Firewall aus - Plötzlich VIREN, TROJA, DIALER und COOL SEARCH
 

Hi Leute!

Hab ein großes Problem!

Ich wollte jetzt mal das Spiel „Need for Speed Underground“ über Online spielen.
Dazu muss meine ZoneAlarm Firewall abgeschaltet werden, da ich sonst keine vernünftige Verbindung zustande bekomme!

Aber als ich sie abgeschaltet habe, und Online gegangen bin – ich dachte ich guck nicht richtig:

Plötzlich schrieb sich eine Seite Namens „Cool Search“ als Startseite ein, die man nicht mehr wegbekommt – AntiVir meldete alle 10 Sekunden einen Trojaner – ich hatte auf dem Desktop plötzlich einen “Sex Link Symbol“ – Nachrichten kamen per Nachrichtendienst - und dann hatte sich noch eine DFÜ Verbindung eingerichtet namens „New Dial Up Connection“ !!

ALTER! WAS GEHT!

Ich habe dann versucht, diese Dinger alle loszuwerden.
Habe AdAware, Spybot, Hijack, Antivir durchlaufenlassen, sämtliche einträge aus der Regedit gelöscht.

Aber ich kriege diese Startseite „Cool Search“ nicht weg!

Wie kriege ich die entfernt?
Und ständig, wenn ich online bin, geht der Rechner selber OFFLINE und dann versucht diese Neue Verbindung, sich anzuwählen!

Aber noch viel wichtiger: Wie kann ich mich schützen? Denn wenn ich wieder ohne Firewall online gehe, habe ich wieder das selbe Prob!
Nur ich muss die Firewall abstellen, sonst kann ich nicht Online zocken!

Wäre für jede Hilfe dankbar!
Greetz,

Ben


ACHJA

Hier nochmal die LogFile von Hijack!
Da ist ja ein Eintrag mit "coolsearch" - aber wenn ich die Lösche ist sie beim nächsten start wieder da!

Logfile of HijackThis v1.98.0
Scan saved at 23:24:20, on 20.08.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\services\wmplayer.exe
C:\Programme\AVPersonal\AVGNT.EXE
D:\Programme\Motherboard Monitor 5\MBM5.EXE
D:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\ctfmon.exe
F:\Programme\Microsoft Office\Office\OSA.EXE
D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
D:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
D:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
D:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
D:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\tonchkml32.exe
F:\Brenner\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.coolsearch.biz/

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/service...ebtour.htm

F0 - system.ini: Shell=

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)

O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min

O4 - HKLM\..\Run: [MBM 5] "D:\Programme\Motherboard Monitor 5\MBM5.EXE"

O4 - HKLM\..\Run: [Zone Labs Client] D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKLM\..\Run: [xpsystem] C:\WINDOWS\system32\services\wmplayer.exe

O4 - HKLM\..\Run: [CloneCDElbyCDFL] "D:\Programme\Elaborate
Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL

O4 - HKLM\..\Run: [CloneCDTray] "D:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [xpsystem] C:\WINDOWS\system32\services\wmplayer.exe

O4 - Global Startup: Office-Start.lnk = F:\Programme\Microsoft Office\Office\OSA.EXE

O4 - Global Startup: Microsoft-Indexerstellung.lnk = F:\Programme\Microsoft Office\Office\FINDFAST.EXE

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000

O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll

O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea.com/downloads/rtpatch/EARTPX.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{81E08740-DA03-4E6D-8AC3-A04052F67E09}: NameServer = 217.237.149.161 194.25.2.129

O21 - SSODL: System - {43D6652E-0243-4985-BEBD-7859538CE8E4} - C:\WINDOWS\system32\system32.dll

Hallo!

Sichere das System selbst ab:
- http://dingens.org bzw. detaillierter erläutert:
- http://www.ntsvcfg.de


Ferner musst du dringend dein System updaten! Auch zukünftig regelmäßig...


Das sind Trojaner:
C:\WINDOWS\system32\services\wmplayer.exe
C:\WINDOWS\system32\system32.dll

Sollte die Prüfung bei Kaspersky bestätigen:
http://www.kaspersky.com/de/scanforvirus

Ergebnis?



Diese Einträge fixen:

O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)
O4 - HKLM\..\Run: [xpsystem] C:\WINDOWS\system32\services\wmplayer.exe
O4 - HKCU\..\Run: [xpsystem] C:\WINDOWS\system32\services\wmplayer.exe
O21 - SSODL: System - {43D6652E-0243-4985-BEBD-7859538CE8E4} - C:\WINDOWS\system32\system32.dll


Lies bitte diese Hinweise zwecks Vorbeugung / Schutz:
http://www.mathematik.uni-marburg.de...ompromise.html

@ VTEC Power

Eine Antwort hab ich dir hier http://www.pcwelt.de/index.cfm?pid=1...246&tid=972188 schon gegeben, also erspar ich´s mir hier. ;)