"startpage" virus /TROJ_ADERS.A./Troj/AdClick-AC

#1 hallo leute!

hab auf meinem rechner mittels hijack folgendes logfile erzeugt:

Logfile of HijackThis v1.99.0
Scan saved at 08:57:50, on 17.12.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\cisvc.exe
C:\WINNT\System32\svchost.exe
C:\Ikarus\GuardNT\GuardNT.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\inetsrv\inetinfo.exe
C:\WINNT\system32\internat.exe
C:\WINNT\system32\IKAutoUp.exe
C:\Programme\Alcatel_PIMphony\aocphone.exe
C:\WINNT\explorer.exe
C:\WINNT\System32\cidaemon.exe
C:\WINNT\System32\cidaemon.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Microsoft Office\Office\WINWORD.EXE
C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
C:\Programme\Microsoft Office\Office\EXCEL.EXE
D:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=proxy.pmt-ltd.at:82;gopher=proxy.pmt-ltd.at:81;http=proxy.pmt-ltd.at:81;https=proxy.pmt-ltd.at:81
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = intranet.pmt-ltd.at;<local>
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: CleanMyPC Popup Blocker - {7A9BC6B1-7F27-47c6-A66D-13582E81E537} - C:\Programme\CleanMyPC Popup Blocker\CleanBHO.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: CleanMyPC Toolbar - {04164EC4-1E48-4279-818E-3721931E7636} - C:\Programme\CleanMyPC Popup Blocker\CleanBar.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Startup: Mircosoft OUTLOOK.lnk = C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
O4 - Global Startup: IKAutoUp.exe.lnk = C:\WINNT\system32\IKAutoUp.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: PIMphony.lnk = C:\Programme\Alcatel_PIMphony\aocphone.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O16 - DPF: {22222222-2222-2222-2222-222222222222} - file://c:\x.cab
O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://www.raaba.at/OrtsplanRaaba/mgaxctrl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{89D2EEA2-CC7C-42AE-B80B-5C89279C9194}: NameServer = 195.58.160.2,195.58.161.3
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINNT\system32\vbsys2 (file missing)
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Guard NT - Ikarus Software Wien - C:\Ikarus\GuardNT\GuardNT.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe

hab versucht mittels adaware,spybot und dergleichen zu agieren,hab aber noch immer das problem,daß sich beim öffnen des internetexplorers 3-4 weitere fenster von dubiosen suchmaschinen und ***seiten öffnen..

wäre super,wenn mir jemand helfen könnte wieder einen normalzustand herzustellen,ohne den rechner neu auzusetzten

#2 Hallo@CanisLupus75

Gehe in die Registry
Start<Ausfuehren<regedit:

<HKCR\CLSID\
loesche:
(54645654-2225-4455-44A1-9F4543D34545)
(Default)
System Check Application

<HKCR\CLSID\
loesche:
(54645654-2225-4455-44A1-9F4543D34545)\InProcServer32
(Default)
C:\WINNT\system32\vbsys2

<HKLM\SOFTWARE\Microsoft\Windows\
CurrentVersion\ShellServiceObjectDelayLoad
loesche:
SystemCheck2
(54645654-2225-4455-44A1-9F4543D34545)

schliesse die Registry

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

O16 - DPF: {22222222-2222-2222-2222-222222222222} - file://c:\x.cab
O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://www.raaba.at/OrtsplanRaaba/mgaxctrl.cab
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINNT\system32\vbsys2 (file missing)-->TROJ_ADERS.A./Troj/AdClick-AC

neustarten

#C:\Windows\Downloaded Programm Files\ -->ALLE löschen

KillBox
geh auf Delete File on Reboot und klick auf das rote Kreuz,
wenn gefragt wird, ob reboot-> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"
http://www.bleepingcomputer.com/files/killbox.php
http://download.broadbandmedic.com/

C:\WINNT\system32\vbsys2.dll
C:\WINDOWS\System32\vbsys2.dl_old

neustarten

Zum Starten des Dienstprogramms Datenträgerbereinigung klicken
Sie auf Start, zeigen auf Programme, zeigen auf Zubehör, zeigen auf Systemprogramme und klicken anschließend auf Datenträgerbereinigung.
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

arbeite das ab:
#eScan-Erkennungstool
http://www.rokop-security.de/board/index.php?showtopic=3867

<Öffne die mwav.log [oder: -->klick: "view Log" ] -> Bearbeiten -> Suchen ->
Wenn man infizierte Dateien in dem "eScan- Log" finden will, sollte
man nach infected suchen und die Einträge hier posten, bzw
die Dateien im abgesicherten Modus loeschen
_______________________________________________________________________________
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken
__________
MfG Sabina

rund um die PC-Sicherheit

#3 DANKE!!!

meld mich ob,oder obs nicht gefunkt hat! bin aber zuversichtlich

lg
Canislupus75

#4 @Sabina

so,das ist jetzt das aktuelle logfile vom rechener.

danke nochmal,wäre selbst nie soweit gekommen!

Logfile of HijackThis v1.99.0
Scan saved at 13:40:16, on 17.12.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\cisvc.exe
C:\WINNT\System32\svchost.exe
C:\Ikarus\GuardNT\GuardNT.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\inetsrv\inetinfo.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\IKAutoUp.exe
C:\Programme\Alcatel_PIMphony\aocphone.exe
C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
D:\HijackThis.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=proxy.pmt-ltd.at:82;gopher=proxy.pmt-ltd.at:81;http=proxy.pmt-ltd.at:81;https=proxy.pmt-ltd.at:81
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = intranet.pmt-ltd.at;<local>
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: CleanMyPC Popup Blocker - {7A9BC6B1-7F27-47c6-A66D-13582E81E537} - C:\Programme\CleanMyPC Popup Blocker\CleanBHO.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: CleanMyPC Toolbar - {04164EC4-1E48-4279-818E-3721931E7636} - C:\Programme\CleanMyPC Popup Blocker\CleanBar.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - Startup: Mircosoft OUTLOOK.lnk = C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
O4 - Global Startup: IKAutoUp.exe.lnk = C:\WINNT\system32\IKAutoUp.exe
O4 - Global Startup: PIMphony.lnk = C:\Programme\Alcatel_PIMphony\aocphone.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{89D2EEA2-CC7C-42AE-B80B-5C89279C9194}: NameServer = 195.58.160.2,195.58.161.3
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Guard NT - Ikarus Software Wien - C:\Ikarus\GuardNT\GuardNT.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe

lg
Canislupus

#5 Hallo@CanisLupus75

Das Log ist sauber

Wenn du keinen Virenscanner hast, dann lade
#Antivirus (free)
http://www.free-av.de/

surfe nur noch mit dem Firefox
#Alternativbrowser zum IE
Firefox
http://www.mozilla-europe.org/de/
Installation+Konfiguration Firefox
http://www.pcwelt.de/know-how/software/103924/index1.html
__________
MfG Sabina

rund um die PC-Sicherheit