IE Fenster: xadso.offeroptimizer wie entfernen?

#16 @sabina
Vielen, vielen Dank für die schnelle Hilfe... Jetzt funktioniert die Kiste auch wieder richtig. Den Autostart werd ich dann wohl noch ein bisschen ausmisten.

gruß, connum

#17 Hallo! Habe auch das Problem mot dem offeroptimizer! Hier mal mein Log von HiJackThis!

Logfile of HijackThis v1.98.2
Scan saved at 11:09:23, on 06.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programme\Multimedia keyboard utility\1.3\KbdAp32A.exe
C:\WINDOWS\System32\kaqvvqv.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\FlashGet\flashget.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Michael\Desktop\hijackthis1982\HijackThis.exe
C:\Programme\Messenger\msmsgs.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: IEWatchObj Class - {9527D42F-D666-11D3-B8DD-00600838CD5F} - C:\WINDOWS\System32\IETie.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: (no name) - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - (no file)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {CE188402-6EE7-4022-8868-AB25173A3E14} - (no file)
O2 - BHO: (no name) - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - (no file)
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Microsoft IT Update] msupdate.exe
O4 - HKLM\..\Run: [Microsoft Update Machine] iexplorer.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WindowsRegKey update] 16winupdate32.exe
O4 - HKLM\..\Run: [FLMK08KB] C:\Programme\Multimedia keyboard utility\1.3\MMKEYBD.EXE
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [ATI VIDEO REGKEY] ati2vid.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [dksuspvguqf] C:\WINDOWS\System32\kaqvvqv.exe
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [LifeScape Media Detector] C:\Programme\Picasa\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\RunServices: [Microsoft IT Update] msupdate.exe
O4 - HKLM\..\RunServices: [ATI VIDEO REGKEY] ati2vid.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] iexplorer.exe
O4 - HKLM\..\RunServices: [WindowsRegKey update] 16winupdate32.exe
O4 - HKCU\..\Run: [Microsoft IT Update] msupdate.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Joint Operations Typhoon Rising Produktregistrierung.lnk = C:\Dokumente und Einstellungen\Michael\Lokale Einstellungen\Temp\{9FBEF685-7915-4F96-9D20-D88A164DA4CD}\{0325F1C1-883A-41AB-8981-B27359ABDFAF}\NOVG.EXE
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: Share in Hello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - C:\Programme\Hello\PicasaCapture.dll
O9 - Extra 'Tools' menuitem: Share in H&ello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - C:\Programme\Hello\PicasaCapture.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {00000000-0000-0000-0000-000020030000} -
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - https://homepage.t-online.de/app/static/activex/msxml4.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B2F7A3E5-047F-45AC-B8E2-63EFB982088F}: NameServer = 217.237.151.33 217.237.149.225

Bitte helft mir! Habe jetzt in der Registry schon selber alles gelöscht was ich darüber gefunden hab! Was muss ich noch machen? Sehe hier bei den anderen Beiträgen nicht so ganz durch und sieht alles sehr umständlich aus! Bin bei HJThis totaler N00b! Also bitte genau beschreiben was ich machen soll!

Vielen Dank

mfg Micha

#18 Hallo @H4RD5TYL3R

Dein PC ist ziemlich verseucht......
1.) Neu formatieren und installieren
2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen
3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren
http://www.dirks-computerecke.de/windows-xp-firewall.htm
4.) Ebenfalls VOR dem Onlinegehen unnötige Dienste deaktivieren siehe www.dingens.org
5.) Danach zuerst www.windowsupdate.com besuchen und alle Updates installieren
6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera oder firefox umsteigen
Alternativ/Mail zum Outlook
http://www.alles-und-umsonst.de/kostenlos/email.html
Thunderbird Mail
http://www.mozilla.org/products/firefox/download.html?http%3A//ftp.mozilla.org/pub/mozilla.org/firefox/releases/0.10/Firefox%20Setup%201.0PR.exe
#Alternativbrowser zum IE
Firefox
http://www.mozilla.org/products/firefox/download.html?http%3A//ftp.mozilla.org/pub/mozilla.org/firefox/releases/0.10/Firefox%20Setup%201.0PR.exe
Opera
http://www.opera7.de/
7.) Browser und emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail) sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Active-Scripting, Active-X)
8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vroher überprüfen, ob sie Spaware oder Adware enthalten
9) ein Antivirenprogramm (Antivir ist kostenlos und halbwegs brauchbar), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen
http://www.free-av.de/
10) alle Passworte aendern
11) Die xp-Firewall deaktivieren und (zum Beispiel) laden:
<Kerio Personal Firewall
Kerio ist freeware für den privaten Gebrauch.
http://www.kerio.com/kpf_download.html
<Deutsches Handbuch Tiny Personal/Kerio Firewall 2.x
Handbuch von Firewall-Info.net für die Version 2 von Kerio (vormals Tiny Personal).
http://www.firewallinfo.de/handbuecher/tiny_kerio_20/
12)<PC-Selbsttest
http://check.lfd.niedersachsen.de/start.php
13)TCPView 2.34
http://www.sysinternals.com/ntw2k/source/tcpview.shtml
as bietet gleich mehrere Vorteile: Zum einen kann man unbekannte Trojaner ermitteln und zudem auch sofort erkennen, welche Programme eine Verbindung ins Internet aufbauen. TCPView zeigt alle TCP- und UDP-Endpunkte in einer Liste an und liefert dazu die Remote-Adresse. Über [Strg]+[-R] schaltet TCPView zwischen den Namen und der dazugehörigen IP-Adresse um. Die Bildschirmanzeige aktualisiert man über die Taste [F5]. (mrupp/tri)
13)#TraXEx 2.2 ist ein zuverlässiges Sicherheits-Programm für alle aktuellen Internet-Browser und Windows.
TraXEx löscht Spuren, die Ihr Internet-Browser beim Surfen auf Ihrem PC hinterläßt
http://www.almisoft.de/traxex2.htm
___________________________________________________________________________________

Falls du doch eine Reinigung versuchen willst:
Oeffne das HijackThis, scanne und dann hake an, was ich poste<fix<neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
O2 - BHO: (no name) - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - (no file)
O2 - BHO: (no name) - {CE188402-6EE7-4022-8868-AB25173A3E14} - (no file)
O2 - BHO: (no name) - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - (no file)

O4 - HKLM\..\Run: [Microsoft IT Update] msupdate.exe
O4 - HKLM\..\Run: [Microsoft Update Machine] iexplorer.exe
O4 - HKLM\..\Run: [ATI VIDEO REGKEY] ati2vid.exe
O4 - HKLM\..\Run: [WindowsRegKey update] 16winupdate32.exe
O4 - HKLM\..\Run: [dksuspvguqf] C:\WINDOWS\System32\kaqvvqv.exe
O4 - HKLM\..\Run: [LifeScape Media Detector]
C:\Programme\Picasa\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\RunServices: [Microsoft IT Update] msupdate.exe
O4 - HKLM\..\RunServices: [ATI VIDEO REGKEY] ati2vid.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] iexplorer.exe
O4 - HKLM\..\RunServices: [WindowsRegKey update] 16winupdate32.exe
O4 - HKCU\..\Run: [Microsoft IT Update] msupdate.exe
O4 - Startup: Joint Operations Typhoon Rising Produktregistrierung.lnk = C:\Dokumente und Einstellungen\Michael\Lokale Einstellungen\Temp\{9FBEF685-7915-4F96-9D20-D88A164DA4CD}\{0325F1C1-883A-41AB-8981-B27359ABDFAF}\NOVG.EXE
O9 - Extra button: Share in Hello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - C:\Programme\Hello\PicasaCapture.dll
O9 - Extra 'Tools' menuitem: Share in H&ello - {B13B4423-2647-4cfc-A4B3-C7D56CB83487} - C:\Programme\Hello\PicasaCapture.dll
O16 - DPF: {00000000-0000-0000-0000-000020030000} -

neustarten

#Stinger
http://vil.nai.com/vil/stinger/

#Trend-Micro (Online)
http://de.trendmicro-europe.com/enterprise/products/housecall_pre.php

#a² free
http://www.emsisoft.de/de/software/free/

#Das eScan AV Toolkit (mwav.exe) herunterladen,
http://www.mwti.net/antivirus/free_utilities.asp
die Datei in den Ordner "c:\bases" entpacken und danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen.

<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives

folgende Haken :
[x] Memory
[x] Registry
[x] Startup Folders
[x] System Folders
[x] Services
[x] Drive
(x) All Local Drives
[x] Folder [C:\WINDOWS]
[x] Include SubDirectory

<und "Scan clean" klicken.

<Öffne die mwav.log -> Bearbeiten -> Suchen ->
Wenn man infizierte Dateien in dem eScan Log finden will, sollte man nach infected suchen und die Eintraege hier posten, bzw die Datien im abgesicherten Modus loeschen. Auch muss man die Eintraege in der Registrierung per Hand entfernen

und das neue Log vom HijackThis noch mal posten. (vorher die Wiederherstellung von XP deaktivieren)

_____________________________________________________________________

#Regsupreme
http://www.computerbase.de/downloads/software/systemprogramme/regsupreme/
Das Programm RegSupreme von Jouni Vuorio war früher unter dem Name RegCleaner vermarktet worde. Es ist einfach zu benutzen befreit die Windows-Registry von nicht mehr gebrauchten Einträgen. Dies kann automatisch oder manuell geschehen. Auch die Programme, die beim Windows-Start ausgeführt werden, und einige weitere Dinge können in mit Hilfe dieses praktischen Tools bearbeitet werden.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#19 Hallo Sabina,

ich habe das selbe problem....dummerweise auch noch auf der Arbeit....zuhause mach ich bei sowas auch gerne mal format c:..:-)

Hier geht das ja nicht so....

Also, habe den Thread mal durchgeackert. Hier ist der Scan. Hoffe du kannst mir sagen was ich fixen muss damit die Pop ups wieder verschwinden!

Logfile of HijackThis v1.98.2
Scan saved at 15:55:23, on 19.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\New Boundary\PrismXL\ChannelDeploy.sys
C:\WINDOWS\System32\GEARSec.exe
C:\Programme\CA\eTrust\InoculateIT\InoRpc.exe
C:\Programme\CA\eTrust\InoculateIT\InoRT.exe
C:\Programme\CA\eTrust\InoculateIT\InoTask.exe
C:\WINDOWS\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\New Boundary\PrismXL\PRISMXL.SYS
C:\WINDOWS\System32\sokscmnt.exe
C:\Programme\RealVNC\WinVNC\WinVNC.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\CA\eTrust\INOCUL~1\realmon.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\CHIPDRIVE\Smartcard Manager\SCMgr.exe
C:\WINDOWS\System32\sokscmpn.exe
C:\Programme\CHIPDRIVE\CHIPDRIVE Smartcard Office 2\WinLogon\WLBack.exe
C:\Programme\Prism Deploy\Client\PTClient.exe
C:\Programme\CHIPDRIVE\CHIPDRIVE Smartcard Office 2\PCard\PCard.exe
C:\Program Files\Windows SyncroAd\SyncroAd.exe
C:\WINDOWS\System32\biefidt.exe
C:\Programme\Ulead Systems\Ulead PhotoImpact 6\ABMTSR.EXE
C:\Programme\WinZip\WZQKPICK.EXE
C:\Program Files\Windows SyncroAd\WinSync.exe
C:\MAGICM~1\Magic.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\cnmsm58.exe
C:\Programme\Aareon\basic\Gui32.exe
C:\Programme\Aareon\basic\GESLOK32.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\Aareon\System\DFUELuMa.exe
C:\Programme\Attachmate\Extra!\EXTRA.EXE
C:\Programme\Microsoft Office\Office10\EXCEL.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\PESTPA~1\ppcontrol.exe
C:\PROGRA~1\PESTPA~1\cookiepatrol.exe
Z:\DAN\1\Cover\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://gesserver/bauverein
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://gesserver/bauverein
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://gesserver/bauverein
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 172.17.159.170:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = \\gesserver\bauverein;;<local>
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem219.dll (file missing)
O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\localNRD.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\RealVNC\WinVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\eTrust\INOCUL~1\realmon.exe
O4 - HKLM\..\Run: [AOM Demon] aomdemon ping aareon 1 > NUL 2>&1
O4 - HKLM\..\Run: [Prism Deploy Client] "C:\Programme\Prism Deploy\Client\PTClient.exe" /Subscriber
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CHIPDRIVESmartcardManager] C:\Programme\CHIPDRIVE\Smartcard Manager\SCMgr.exe
O4 - HKLM\..\Run: [CHIPDRIVEPinManager] C:\WINDOWS\System32\sokscmpn.exe
O4 - HKLM\..\Run: [WinLogon Support] C:\Programme\CHIPDRIVE\CHIPDRIVE Smartcard Office 2\WinLogon\WLBack.exe
O4 - HKLM\..\Run: [PCard] C:\Programme\CHIPDRIVE\CHIPDRIVE Smartcard Office 2\PCard\PCard.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe
O4 - HKLM\..\Run: [pvaxbt] C:\WINDOWS\System32\biefidt.exe
O4 - HKLM\..\Run: [conscorr] C:\WINDOWS\conscorr.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINNT\System32\ctfmon.exe
O4 - Startup: BJ Status Monitor Canon i560.lnk = C:\Dokumente und Einstellungen\13740dan\cnmss Canon i560 (Local).exe
O4 - Startup: magicmail.magic
O4 - Global Startup: Album Schnellstart.lnk = C:\Programme\Ulead Systems\Ulead PhotoImpact 6\ABMTSR.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://gesserver/bauverein
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/ger_nopop.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=8902da520ea2cb6c540a4fcee4b
5f7d40605916c7fb61942adbcb598a59c2d3c889f2bd3b107335763fda97fa70eb85f576c0
40e108148b9:0e1e56def0c253a0a486d66f6712b078
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = bauverein.de
O17 - HKLM\Software\..\Telephony: DomainName = bauverein.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{12EA6AA8-3092-4D11-8E6B-B55F08EA3692}: NameServer = 62.208.141.10,62.208.142.10,172.17.159.130,194.76.19.7,194.64.78.78
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = bauverein.de
O17 - HKLM\System\CS1\Services\Tcpip\..\{12EA6AA8-3092-4D11-8E6B-B55F08EA3692}: NameServer = 62.208.141.10,62.208.142.10,172.17.159.130,194.76.19.7,194.64.78.78

#20 Hallo @Duggi

Gehe in die Registry
Start<Ausfuehren<regedit:
Gib oben links in die Suchfunktion ein:
<nem219
<biefidt
<SyncroAd
<WinSync
<localNRD
<conscorr

zum Beispiel:
HKLM\Software\Microsoft\Shared Tools\MSCOnfig\startupreg\
loeschen:
<Windows SyncroAd

Fixe mit dem HijackThis, dann neustarten:
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem219.dll (file missing)
O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\localNRD.dll
O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe
O4 - HKLM\..\Run: [pvaxbt] C:\WINDOWS\System32\biefidt.exe
O4 - HKLM\..\Run: [conscorr] C:\WINDOWS\conscorr.exe
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/ger_nopop.exe [Dialer]
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=8902da520ea2cb6c540a4fcee4b5f 7d40605916c7fb61942adbcb598a59c2d3c889f2bd3b107335763fda97fa70eb85f576c040e10814 8b9:0e1e56def0c253a0a486d66f6712b078 [Malware]

neustarten und gehe in den abgesicherten Modus mit Internetverbindung

#Datentraegerbereinigung: und Loeschen der Temporary-Dateien
1. Start<Ausfuehren<cleanmgr
#Click Temporary Internet Files, O.K
#Recycle Bin
#Temporary Files

Loesche:...oder mit der Killbox oder so:
oeffne das HijackThis:
HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:C:\WINDOWS\nem219.dll < PC neustarten (immer in den abgesicherten Modus)

<C:\Program Files\Windows SyncroAd\SyncroAd.exe
<C:\Program Files\Windows SyncroAd\WinSync.exe
<C:\WINDOWS\localNRD.dll
<C:\WINDOWS\conscorr.exe
<C:\WINDOWS\System32\biefidt.exe
<C:\WINDOWS\nem219.dll

Ueberpruefe: (poste das Ergebnis)
#Jotti's malware scan 2.4 - einzelne "exe" ueberpruefen
http://virusscan.jotti.dhs.org/
#Kaspersky-Online-einzelne Dateien ueberpruefen
http://www.kaspersky.com/remoteviruschk.html

1.<C:\WINDOWS\System32\sokscmnt.exe [?]
2.<C:\WINDOWS\System32\sokscmpn.exe [?]

3.<C:\MAGICM~1\Magic.exe
Backdoor.CmjSpy.13, Backdoor.CmjSpy.16, Backdoor.Cmjspy.24, Backdoor.Cmjspy.25.b, Backdoor.CmjSpy.a, Backdoor.CmjSpy.b, Backdoor.CmjSpy.c, Backdoor.CMJSpy.q, Backdoor.MagicLink.14 , Backdoor.MagicLink.20, Backdoor.MagicLink.21.b, Backdoor.MagicLink.21.c, Generic BackDoor trojan (?)
http://www.pestpatrol.com/PestInfo/m/magiclink.asp
Loesche auch die dll und die Eintraege in der Registry

#Trend-Micro (Online)
http://de.trendmicro-europe.com/enterprise/products/housecall_pre.php
#McAfee FreeScan (Online)
www.mcafee.com/myapps/mfs/default.asp
#BitDefender Scan
www.bitdefender.com/scan/Msie/index.php

Das eScan AV Toolkit (mwav.exe) herunterladen,
http://www.rokop-security.de/board/index.php?showtopic=3867

und danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen. (oder unter Start<Ausfuehren<%temp% die kavupd.exe suchen) und anklicken
<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml
und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives
<und "Scan " klicken.
<Öffne die mwav.log -> Bearbeiten -> Suchen ->
Wenn man infizierte Dateien in dem eScan Log finden will, sollte man nach infected suchen und die Eintraege hier posten, (oder selbst mit der Killbox loeschen)

Dann poste das neue Log vom HijackThis noch mal.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#21 Danke für die schnelle und vorallem ausführliche Hilfe!
Ist für mich bewundernswert wie man sich so im Detail auskennen kann. Muss aber gestehen da ich totaler Laie bin...und nur bis zu dem Punkt gekommen bin wo ich im gesicherten Modus hochfahren muss...da weiss ich nicht wie das geht.

Und diese SyncroAd.exe taucht auch immer wieder auf...:-(

Wäre toll wenn du das irgendwie mit mir zusammen noch hinbekommen würde bevor mein Chef mich köpft..:-)

Was hab ich mir da bloss eingefangen mensch kehr.


Logfile of HijackThis v1.98.2
Scan saved at 10:29:31, on 20.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\New Boundary\PrismXL\ChannelDeploy.sys
C:\WINDOWS\System32\GEARSec.exe
C:\Programme\CA\eTrust\InoculateIT\InoRpc.exe
C:\Programme\CA\eTrust\InoculateIT\InoRT.exe
C:\Programme\CA\eTrust\InoculateIT\InoTask.exe
C:\WINDOWS\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\New Boundary\PrismXL\PRISMXL.SYS
C:\WINDOWS\System32\sokscmnt.exe
C:\Programme\RealVNC\WinVNC\WinVNC.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\CA\eTrust\INOCUL~1\realmon.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\CHIPDRIVE\Smartcard Manager\SCMgr.exe
C:\Programme\Prism Deploy\Client\PTClient.exe
C:\WINDOWS\System32\sokscmpn.exe
C:\Programme\CHIPDRIVE\CHIPDRIVE Smartcard Office 2\WinLogon\WLBack.exe
C:\Programme\CHIPDRIVE\CHIPDRIVE Smartcard Office 2\PCard\PCard.exe
C:\Program Files\Windows SyncroAd\SyncroAd.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\MAGICM~1\Magic.exe
C:\Program Files\Windows SyncroAd\WinSync.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\cnmsm58.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Aareon\basic\Gui32.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\Microsoft Office\Office10\EXCEL.EXE
C:\Programme\Aareon\basic\GESLOK32.EXE
C:\Programme\Aareon\System\DFUELuMa.exe
C:\Programme\Attachmate\Extra!\EXTRA.EXE
C:\Programme\Internet Explorer\iexplore.exe
Z:\DAN\1\Cover\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://gesserver/bauverein
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://gesserver/bauverein
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://gesserver/bauverein
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 172.17.159.170:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = \\gesserver\bauverein;;<local>
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: MultimppObj Class - {002EB272-2590-4693-B166-FBD5D9B6FEA6} - C:\WINDOWS\multimpp.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\RealVNC\WinVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\eTrust\INOCUL~1\realmon.exe
O4 - HKLM\..\Run: [AOM Demon] aomdemon ping aareon 1 > NUL 2>&1
O4 - HKLM\..\Run: [Prism Deploy Client] "C:\Programme\Prism Deploy\Client\PTClient.exe" /Subscriber
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CHIPDRIVESmartcardManager] C:\Programme\CHIPDRIVE\Smartcard Manager\SCMgr.exe
O4 - HKLM\..\Run: [CHIPDRIVEPinManager] C:\WINDOWS\System32\sokscmpn.exe
O4 - HKLM\..\Run: [WinLogon Support] C:\Programme\CHIPDRIVE\CHIPDRIVE Smartcard Office 2\WinLogon\WLBack.exe
O4 - HKLM\..\Run: [PCard] C:\Programme\CHIPDRIVE\CHIPDRIVE Smartcard Office 2\PCard\PCard.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINNT\System32\ctfmon.exe
O4 - Startup: BJ Status Monitor Canon i560.lnk = C:\Dokumente und Einstellungen\13740dan\cnmss Canon i560 (Local).exe
O4 - Startup: magicmail.magic
O4 - Global Startup: Album Schnellstart.lnk = C:\Programme\Ulead Systems\Ulead PhotoImpact 6\ABMTSR.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://gesserver/bauverein
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = bauverein.de
O17 - HKLM\Software\..\Telephony: DomainName = bauverein.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{12EA6AA8-3092-4D11-8E6B-B55F08EA3692}: NameServer = 62.208.141.10,62.208.142.10,172.17.159.130,194.76.19.7,194.64.78.78
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = bauverein.de
O17 - HKLM\System\CS1\Services\Tcpip\..\{12EA6AA8-3092-4D11-8E6B-B55F08EA3692}: NameServer = 62.208.141.10,62.208.142.10,172.17.159.130,194.76.19.7,194.64.78.78

#22 Hallo @Duggi

Oeffne das HijackThis, hake an, was ich schreibe, dann drueckst du auf <fix< und startest den PC normal neu.
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: MultimppObj Class - {002EB272-2590-4693-B166-FBD5D9B6FEA6} - C:\WINDOWS\multimpp.dll
O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe


Suchfunktion von Windows:
1. "Bevorzugte Einstellungen ändern | Datei- und Ordnersuchverhalten
ändern | Erweitert [...] Empfohlen für fortgeschrittene Benutzer"
2. Über "OK" auf "Weitere Optionen" gehen und die folgenden Optionen
auswählen:
[x] Systemordner durchsuchen
[x] Versteckte Elemente durchsuchen
[x] Unterordner durchsuchen


Dann suchst du mit der Suchfunktion von Windows:
<SyncroAd
<C:\Program Files\Windows SyncroAd\SyncroAd.exe
<WinSync
<C:\Program Files\Windows SyncroAd\WinSync.exe
<conscorr
<C:\WINDOWS\System32\biefidt.exe
<biefidt
<C:\WINDOWS\conscorr.exe

und loescht alles, was du findest.

Dann oeffnest du noch mal das HijackThis:
HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:
C:\WINDOWS\multimpp.dll <PC neustarten

HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:
C:\WINDOWS\localNRD.dll <PC neustarten

HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:
C:\WINDOWS\nem219.dll <PC neustarten

HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:
C:\WINDOWS\System32\biefidt.exe <PC neustarten

HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:
C:\WINDOWS\conscorr.exe <PC neustarten

Das eScan AV Toolkit (mwav.exe) herunterladen,..loescht nicht...zeigt nur an, was verseucht ist.....
http://www.rokop-security.de/board/index.php?showtopic=3867
und den Scanner starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives
<und "Scan " klicken.

<Öffne die mwav.log -> Bearbeiten -> Suchen ->
Wenn man infizierte Dateien in dem eScan Log finden will, sollte man nach infected suchen und die Eintraege hier posten.
Dann poste das Log noch mal.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#23 Super, das war genau eine Anleitung mit der auch ich was anfangen konnte....:-)

Hier die infizierten dateien:

File C:\WINDOWS\preInsln.exe infected by "not-a-virus:AdvWare.BiSpy.o" Virus. Action Taken: No Action Taken.
File C:\Programme\SideFind\sfbho.dll infected by "not-a-virus:AdvWare.ToolBar.SideFind" Virus. Action Taken: No Action Taken.
File C:\RECYCLER\S-1-5-21-1614895754-492894223-725345543-1108\Dc7733.tmp\localNRD.dll infected by "not-a-virus:AdvWare.BiSpy.n" Virus. Action Taken: No Action Taken.
File C:\RECYCLER\S-1-5-21-1614895754-492894223-725345543-1108\Dc7733.tmp\polall1l.exe infected by "TrojanDownloader.Win32.Agent.ae" Virus. Action Taken: No Action Taken.
File C:\RECYCLER\S-1-5-21-1614895754-492894223-725345543-1108\Dc7733.tmp\preInsln.exe infected by "not-a-virus:AdvWare.BiSpy.o" Virus. Action Taken: No Action Taken.
File C:\RECYCLER\S-1-5-21-1614895754-492894223-725345543-1108\Dc7734.tmp\multimpp.dll infected by "not-a-virus:AdvWare.BiSpy.o" Virus. Action Taken: No Action Taken.

Und hier das aktuelle Log:

Logfile of HijackThis v1.98.2
Scan saved at 08:22:34, on 21.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\New Boundary\PrismXL\ChannelDeploy.sys
C:\WINDOWS\System32\GEARSec.exe
C:\Programme\CA\eTrust\InoculateIT\InoRpc.exe
C:\Programme\CA\eTrust\InoculateIT\InoRT.exe
C:\Programme\CA\eTrust\InoculateIT\InoTask.exe
C:\WINDOWS\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\New Boundary\PrismXL\PRISMXL.SYS
C:\WINDOWS\System32\sokscmnt.exe
C:\Programme\RealVNC\WinVNC\WinVNC.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\CA\eTrust\INOCUL~1\realmon.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\CHIPDRIVE\Smartcard Manager\SCMgr.exe
C:\Programme\Prism Deploy\Client\PTClient.exe
C:\WINDOWS\System32\sokscmpn.exe
C:\Programme\CHIPDRIVE\CHIPDRIVE Smartcard Office 2\WinLogon\WLBack.exe
C:\Programme\CHIPDRIVE\CHIPDRIVE Smartcard Office 2\PCard\PCard.exe
C:\Programme\Ulead Systems\Ulead PhotoImpact 6\ABMTSR.EXE
C:\Programme\WinZip\WZQKPICK.EXE
C:\MAGICM~1\Magic.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\cnmsm58.exe
C:\Programme\Aareon\basic\Gui32.exe
C:\Programme\Aareon\basic\GESLOK32.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\Aareon\System\DFUELuMa.exe
C:\Programme\Attachmate\Extra!\EXTRA.EXE
C:\Programme\Microsoft Office\Office10\EXCEL.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\notepad.exe
Z:\DAN\1\Cover\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://gesserver/bauverein
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://gesserver/bauverein
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://gesserver/bauverein
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 172.17.159.170:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = \\gesserver\bauverein;;<local>
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\RealVNC\WinVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\eTrust\INOCUL~1\realmon.exe
O4 - HKLM\..\Run: [AOM Demon] aomdemon ping aareon 1 > NUL 2>&1
O4 - HKLM\..\Run: [Prism Deploy Client] "C:\Programme\Prism Deploy\Client\PTClient.exe" /Subscriber
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CHIPDRIVESmartcardManager] C:\Programme\CHIPDRIVE\Smartcard Manager\SCMgr.exe
O4 - HKLM\..\Run: [CHIPDRIVEPinManager] C:\WINDOWS\System32\sokscmpn.exe
O4 - HKLM\..\Run: [WinLogon Support] C:\Programme\CHIPDRIVE\CHIPDRIVE Smartcard Office 2\WinLogon\WLBack.exe
O4 - HKLM\..\Run: [PCard] C:\Programme\CHIPDRIVE\CHIPDRIVE Smartcard Office 2\PCard\PCard.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - Startup: BJ Status Monitor Canon i560.lnk = C:\Dokumente und Einstellungen\13740dan\cnmss Canon i560 (Local).exe
O4 - Startup: magicmail.magic
O4 - Global Startup: Album Schnellstart.lnk = C:\Programme\Ulead Systems\Ulead PhotoImpact 6\ABMTSR.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://gesserver/bauverein
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = bauverein.de
O17 - HKLM\Software\..\Telephony: DomainName = bauverein.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{12EA6AA8-3092-4D11-8E6B-B55F08EA3692}: NameServer = 62.208.141.10,62.208.142.10,172.17.159.130,194.76.19.7,194.64.78.78
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = bauverein.de
O17 - HKLM\System\CS1\Services\Tcpip\..\{12EA6AA8-3092-4D11-8E6B-B55F08EA3692}: NameServer = 62.208.141.10,62.208.142.10,172.17.159.130,194.76.19.7,194.64.78.78

Hoffe mal ich hab alles richtig gemacht!

#24 Hallo @Duggi

1. Leere den Papierkorb.

2.Suche und loesche manuell:
<C:\WINDOWS\preInsln.exe
<C:\Programme\SideFind\sfbho.dll
<C:\RECYCLER\S-1-5-21-1614895754-492894223-725345543-1108\Dc7733.tmp\localNRD.dll
<C:\RECYCLER\S-1-5-21-1614895754-492894223-725345543-1108\Dc7733.tmp\polall1l.exe
<C:\RECYCLER\S-1-5-21-1614895754-492894223-725345543-1108\Dc7733.tmp\preInsln.exe
<C:\RECYCLER\S-1-5-21-1614895754-492894223-725345543-1108\Dc7734.tmp\multimpp.dll

Das kannst du manuell machen, oder wieder ins HijackThis reinkopieren und PC neustarten

Datentraegerbereinigung: und Loeschen der Temporary-Dateien
1. Start<Ausfuehren<cleanmgr
#Click Temporary Internet Files, O.K
#Temporary Files

#AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!.

dann scanne noch mal mit eScan.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#25 :-)

nix mehr gefunden....pop ups gehen auch nicht mehr auf! Toll! Danke für die 1a unterstützung!

#26 Hallo Leute,

ich habe dasselbe Problem mit dem offeroptimizer und hoffe, jemand kann mir helfen, das Problem zu beheben. Vielen, vielen Dank schonmal im Voraus.

MfG
Michael

Logfile sieht wie folgt aus:

Logfile of HijackThis v1.98.2
Scan saved at 16:40:42, on 01.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\PROGRA~1\F-SECU~1.DEE\backweb\154149\Program\SERVIC~1.EXE
C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\Anti-Virus\fsgk32st.exe
C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\backweb\154149\program\fsbwsys.exe
C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\Anti-Virus\FSGK32.EXE
C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\Common\FSMA32.EXE
C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\Anti-Virus\fssm32.exe
C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\fswsclds.exe
C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\Common\FSMB32.EXE
C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\backweb\154149\Program\BackWeb-154149.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\Common\FCH32.EXE
C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\Common\FAMEH32.EXE
C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\Anti-Virus\fsav32.exe
C:\WINDOWS\system32\fxssvc.exe
C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\FWES\Program\fsdfwd.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Lexmark X74-X75\lxbbbmgr.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\Lexmark X74-X75\lxbbbmon.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\Common\FSM32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\MICHAE~1\LOKALE~1\Temp\Rar$EX00.754\HijackThis.exe
C:\Programme\Outlook Express\msimn.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tu-chemnitz.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem219.dll (file missing)
O2 - BHO: twaintecObj Class - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINDOWS\wsem301.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\downloaded program files\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\downloaded program files\googletoolbar1.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Lexmark X74-X75] "C:\Programme\Lexmark X74-X75\lxbbbmgr.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [zzzCamInSuiteIII] D:\SETUP.EXE 24***
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [oypkib] C:\WINDOWS\System32\fumews.exe
O4 - HKLM\..\Run: [alchem] C:\WINDOWS\alchem.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\TNB\TNBUtil.exe" /CHECKALL
O4 - HKLM\..\Run: [satmat] C:\WINDOWS\satmat.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\windows\downloaded program files\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\windows\downloaded program files\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\windows\downloaded program files\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\windows\downloaded program files\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/226c1187e2b13dd30d05/netzip/RdxIE601_de.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {94C53FB6-01B7-4BA7-848B-E43D11B84F5F} (WEB.DE IE Drop-Upload) - http://217.17.197.101/scripts/WDU_1251.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D67AC55A-B750-41A4-BEE6-020E017A7996} (IEPlugIn Class) - http://www.popfile.de/myplaylist/pc/MY-PLAYLIST-WEBINSTALLER_loader.exe
O16 - DPF: {E8EDB60C-951E-4130-93DC-FAF1AD25F8E7} (MoneyTree Dialer) - http://cdn.climaxbucks.com/internet-optimizer/080703/UniDistIOcrack.CAB
O16 - DPF: {EF86873F-04C2-4A95-A373-5703C08EFC7B} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v3.0/0006.cab

#27 Hallo@micky12

Oeffne das HijackThis, hake an, was ich schreibe, dann drueckst du auf <fix< und startest den PC normal neu.

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem219.dll (file missing)
O2 - BHO: twaintecObj Class - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll
O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINDOWS\wsem301.dll (file missing)
O4 - HKLM\..\Run: [oypkib] C:\WINDOWS\System32\fumews.exe
O4 - HKLM\..\Run: [alchem] C:\WINDOWS\alchem.exe
O4 - HKLM\..\Run: [satmat] C:\WINDOWS\satmat.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/226c1187e2b13dd30d05/netzip/RdxIE601_de.cab
O16 - DPF: {94C53FB6-01B7-4BA7-848B-E43D11B84F5F} (WEB.DE IE Drop-Upload) - http://217.17.197.101/scripts/WDU_1251.cab
O16 - DPF: {D67AC55A-B750-41A4-BEE6-020E017A7996} (IEPlugIn Class) - http://www.popfile.de/myplaylist/pc/MY-PLAYLIST-WEBINSTALLER_loader.exe
O16 - DPF: {E8EDB60C-951E-4130-93DC-FAF1AD25F8E7} (MoneyTree Dialer) - http://cdn.climaxbucks.com/internet-optimizer/080703/UniDistIOcrack.CAB
O16 - DPF: {EF86873F-04C2-4A95-A373-5703C08EFC7B} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v3.0/0006.cab

PC neustarten

1.) öffne das HijackThis:
2.) HijackThis starten, den Config Button klicken - MiscTools - "Delete a file on reboot" .
3.) In dem Fenster bei Dateiname einfügen\reinkopieren:

C:\WINDOWS\nem219.dll

4.) wenn dann die Frage kommt, ob neugestartet werden soll (will be deleted by Windows when the system restarts....Do you want to restart your computer now?" )-->>klicke "No"
5.)und füge das Nächste ein.

C:\WINDOWS\twaintec.dll
C:\WINDOWS\wsem301.dll
C:\WINDOWS\System32\fumews.exe
C:\WINDOWS\alchem.exe
C:\WINDOWS\satmat.exe

Erst beim letzten klickst du "Yes" und startest den PC neu.

#Gehe zu: C:\WINDOWS\Downloaded Programm Files --> ALLE löschen

#Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

#AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
WÄHREND des Scanvorganges müssen ALLE sonstige
Anwendungen beendet werden und alle Browserfenster müssen
geschlossen sein!

#arbeite das ab:
#eScan-Erkennungstool
http://www.rokop-security.de/board/index.php?showtopic=3867

Dann poste das neue Log vom HijackThis.
_________________________________________________________________

Information:

Troj/IstBar-M is an aggressive downloading adware provided by Integrated Search Technologies/CDT Inc. It is capable of downloading adware from *http://install.xxxtoolbar.com/* and various other websites.
The adware it downloads includes: IstSvc, StatBlaster, Avenye Media Internet Optimizer, Bargins, SideFind, SideSearch, 180Solutions msbb, Power Scan.

Depending on which adware it has downloaded, it will attempt to:
1. create related registry entries under HKLM/Software/[Adware name]
2. create start and uninstall entries for the adware
3. report to the related server about the installation

It is registered as a COM object in the system with a clsid of:
[018B7EC3-EECA-11D3-8E71-0000E82C6C0D]
and as a BHO under the clsid of:
[60E78CAC-E9A7-4302-B9EE-8582EDE22FBF]

Zitat:
TEST MS-IE 6, SP1
zeigt das Resultat eines einzigen Seiten-Aufrufs im
Die Situation wurde in diesem Fall bewusst herbeigeführt. Die Seite aber ist nicht speziell für Testzwecke
konstruiert, sondern ist nur ein unter vielen, die Schwachstellen des IE ausnutzen.
Als Browser wurde ein
• IE 5.0 (1. Test)
• IE 6, SP1, gepatcht (2. Test)
unter Win98 verwendet.
• Das Bemerkenswerte ist, dass sich die Ergebnisse (Test1, Test2) im Grunde nicht unterscheiden !
Die Sicherheitsstufe war in beiden Versuchen auf "Mittel", also "Auslieferungszustand".
Das Protokoll besteht aus 3 Teilen:
• Modifikationen im System bei/durch den Seitenaufruf
• HijackThis-Log (ausgewertet)
• Virenscan (KAV)
Ein erster Scan mit Ad-Aware nach einem Seitenaufruf lässt schon Böses erahnen:
• 98 (!!) Objekte gefunden 1 Process
• 32 Registry-Schlüssel
• 53 Registry Werte
• 11 Dateien
• 1 Ordne

Resumée:
Der wunde Punkt ist die ActiveX-Technologie und Microsofts "JV Virtual Machine" für Java. Fast alle Malware, Parasiten, Backdoors, etc wurden hier mittels ActiveX auf das System geschleust, ein anderer Teil eben dadurch , dass "JV Virtual Machine" im Browser aktiviert ist. Ersetzt man sie durch Java von "SUN", findet zwar ebenfalls ein Download der Malware statt, jedoch keine Infektion. Generell Java deaktivieren und nur wenn benötigt zuschalten, ist auf jeden Fall ratsam; gänzlich unabhängig vom verwendeten Browser.

In Anlehnung auf einen Browsertest in BILD, möchte ich bemerken, dass ist es eben nicht nur entscheidend ist, wieviele Klicks man benötigt um sein "Lieblings-Bookmark" abzuspeichern oder dergleichen völlig sekundären Dinge. Die Funktionalität der "Browserkonkurrenten" ist ohnehin bestechend gut. Der für mich aber erschreckenste Punkt ist, dass der Anzahl der schadhaftem Elemente, die durch einen Seitenaufruf mit dem IE auf den Rechner gelangen können, keine Grenzen gesetzt sind. Im Grunde reicht ein (falscher) Klick, um das komplette System zu ruinieren und sogar persönliche Daten in Gefahr zu bringen. Ein weiteres Problem ist, dass viele der installierten Elemente im Hindergrund arbeiten und weitere Malware auf den Rechner laden, bzw. Tür und Tor für Angreifer öffnen.
------------------------------------------------------------------------------------
Solche Downloader stecken in aktiven Skripten von Warez oder Pornoseiten-->>IE wenn ActiveX-Control aktiviert ist

Das Skript versucht zunächst ein ActiveX-Control automatisch zu installieren, indem es eine CODEBASE angibt, die auf eine externe CAB-Datei verweist. Klappt das nicht (onerror), erscheint eine Meldung, dass man zur Installation des Spieles "Yes" klicken müsse, und das Skript versucht es erneut

#Alternativbrowser zum IE
Firefox
http://www.mozilla-europe.org/de/
Installation+Konfiguration Firefox
http://www.pcwelt.de/know-how/software/103924/index1.html

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#28 Hallo@Sabina,

danke für die Tipps, das Problem scheint behoben.

Hier nochmal der aktuelle Log:

Logfile of HijackThis v1.98.2
Scan saved at 09:25:45, on 03.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\Anti-Virus\fsgk32st.exe
C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\backweb\154149\program\fsbwsys.exe
C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\Anti-Virus\FSGK32.EXE
C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\Common\FSMA32.EXE
C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\Anti-Virus\fssm32.exe
C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\fswsclds.exe
C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\Common\FSMB32.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\Common\FCH32.EXE
C:\WINDOWS\system32\fxssvc.exe
C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\Common\FAMEH32.EXE
C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\Anti-Virus\fsav32.exe
C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\FWES\Program\fsdfwd.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Lexmark X74-X75\lxbbbmgr.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
C:\Programme\Lexmark X74-X75\lxbbbmon.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\Common\FSM32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Downloads\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\downloaded program files\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\downloaded program files\googletoolbar1.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Lexmark X74-X75] "C:\Programme\Lexmark X74-X75\lxbbbmgr.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\TNB\TNBUtil.exe" /CHECKALL
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\windows\downloaded program files\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\windows\downloaded program files\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\windows\downloaded program files\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\windows\downloaded program files\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

---
MfG
Michael

#29 Hallo@micky12

Wenn der esCan nichts mehr anzeigt...und die Startseite vom IE sich nicht mehr veraendert....das Log ist sauber ...dann bis zum naechsten Mal.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit