Hartnäckiges Problem mit yourquicksearch.com Pop-Up u.a.

#1 Hallo.

ich bin neu hier und hoffe dass mir jemand weiterhelfen kann.

Ich habe den betroffenen Rechner jetzt schon einige Tage bearbeitet. Habe escan laufen lassen, habe ad-aware und spybot - search & destroy eingesetzt und damit auch etliche Trojaner und hunderte Spyware-Sachen entfernt, darunter auch searchmaid.com. Einen Browser-Hijacker, der immer ehttp.cc vor die Adresse setzt habe ich mit Hilfe von HijackThis auch schon entfernt. Ausserdem habe ich mit HijackThis die Datei [MSN Messenger] C:\WINNT\system32\msmsgs.exe entfernt, die als Resultat des W32/Forbot-BD Wurms auf das System kam.

Bevor Fragen auftauchen: Auf dem Windows 2000 war keine Firewall installiert und auch die Anti-Viren-Programme waren nicht aktuell. Es ist nicht mein Rechner, ich versuche trotzdem ihn noch zu retten bevor alles neu aufgesetzt werden muss.

Inzwischen läuft AntiVir im Hintergrund und sowohl dieses Programm, als auch die Anti-Spyware-Programme finden nichts schädliches mehr. Auch CWShredder findet nichts.

Das aktuelle Problem:
Es erscheinen weiterhin in regelmässigen Abständen Pop-Up-Fenster wie dieses


bzw. rechts unten in der Taskleiste direkt neben der Systemuhr ein gelbes Ausrufezeichen, dass nach draufklicken eine Seite wie diese aufruft


Kann mir bitte jemand weiterhelfen. Zu diesem yourquicksearch.com habe ich bisher nur in polnischen Foren etwas gefunden und da hören meine Sprachkenntnisse auch leider auf...

Die aktuelle HijackThis Log-Datei:


Logfile of HijackThis v1.99.1
Scan saved at 13:26:56, on 24.03.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVWin\AVWUPSRV.EXE
C:\WINNT\System32\cisvc.exe
C:\DATEV\PROGRAMM\B0000150\ScServer\DVckService.exe
C:\WINNT\System32\svchost.exe
C:\Programme\KEN!\KENSERV.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\System32\locator.exe
C:\WINNT\System32\SCardSvr.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\tcpsvcs.exe
C:\WINNT\system32\stisvc.exe
C:\DATEV\PROGRAMM\B0000161\VSService.exe
C:\Programme\KEN!\KENCAPI.EXE
C:\Programme\KEN!\KENINET.EXE
C:\Programme\KEN!\KENPROXY.EXE
C:\Programme\KEN!\KENMAIL.EXE
C:\Programme\KEN!\KENDNS.EXE
C:\Programme\KEN!\KENSOCKS.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programme\KEN!\KENMAP.EXE
C:\Programme\KEN!\KENFTPGW.EXE
C:\Programme\KEN!\KENCRON.EXE
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\helper.exe
D:\Programme\Caere\OmniPagePro90\opware32.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\Programme\KEN!\kentbsrv.exe
C:\WINNT\system32\ntvdm.exe
C:\DATEV\PROGRAMM\B0000347\ScMgmt\ScardManager.exe
C:\Programme\OLYMPUS\CAMEDIA Master 4.1\CM_camera.exe
C:\WINNT\System32\svchost.exe
C:\Programme\AVWin\AVGNT.EXE
C:\Programme\AVWin\AVGUARD.EXE
C:\Programme\AVWin\AVWIN.EXE
C:\WINNT\Profiles\ms\Desktop\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=192.168.112.82:3128;http=192.168.112.82:3128;https=192.168.112.82:3128;socks=192.168.112.82:1080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SCardBHOEvent Class - {AF8CD625-E04A-4A8F-A90A-0C74846C2E30} - C:\DATEV\SYSTEM\DV02DF~1.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [OmniPage] D:\Programme\Caere\OmniPagePro90\opware32.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [KEN Taskbar Service] "C:\Programme\KEN!\kentbsrv.exe"
O4 - HKLM\..\Run: [SfWinStartInfo] C:\SFIRM32\sfWinStartupInfo.exe
O4 - HKLM\..\Run: [DVCCSAWTSSetEntryNTE] C:\DATEV\PROGRAMM\B0000150\ScWTS\DVCCSAWTSSetEntryNTE.exe on
O4 - HKLM\..\Run: [DATEV_SCardMan] C:\DATEV\PROGRAMM\B0000347\ScMgmt\ScardManager.exe
O4 - HKLM\..\Run: [CSINIT] C:\WINNT\system32\spool\DRIVERS\W32X86\CSINIT.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVWin\AVGNT.EXE /min
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: CAMEDIA Master.lnk = C:\Programme\OLYMPUS\CAMEDIA Master 4.1\CM_camera.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: SFIRM32 Automat.lnk = C:\SFIRM32\SFAutomat.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{04088DCD-137F-4469-8006-1FB09065E1A6}: NameServer = 212.218.0.3
O17 - HKLM\System\CCS\Services\Tcpip\..\{A8E78152-0EC1-49CE-A6AF-9CBFF5511A01}: NameServer = 192.168.114.254
O17 - HKLM\System\CS1\Services\Tcpip\..\{04088DCD-137F-4469-8006-1FB09065E1A6}: NameServer = 212.218.0.3
O17 - HKLM\System\CS2\Services\Tcpip\..\{04088DCD-137F-4469-8006-1FB09065E1A6}: NameServer = 212.218.0.3
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVWin\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVWin\AVWUPSRV.EXE
O23 - Service: pcAnywhere Host Service (awhost32) - Symantec Corporation - C:\Programme\Symantec\pcAnywhere\awhost32.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: DVckService - Unknown owner - C:\DATEV\PROGRAMM\B0000150\ScServer\DVckService.exe
O23 - Service: AVM KEN (KEN Service) - AVM Berlin - C:\Programme\KEN!\KENSERV.EXE
O23 - Service: VSService - Unknown owner - C:\DATEV\PROGRAMM\B0000161\VSService.exe

#2 Hallo@KayJay

Jotti's malware scan 2.4 - einzelne "exe" ueberpruefen
http://virusscan.jotti.org/

(helper.exe-->Ist das Trojanische Pferd TR/Spy.Maselp ????)

C:\WINNT\system32\helper.exe

Oben auf der Seite auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit...
jetzt abwarten und danach das Ergebnis abkopieren und hier im Beitrag posten

Hier pruefe ebenfalls-->C:\WINNT\system32\helper.exe
http://www.virustotal.com/flash/index_en.html

__________________________________________________________________________

C:\WINNT\popuper.exe
C:\WINNT\system32\helper123.exe
C:\WINNT\system32\helper.exe --> schau dir dann das Erstellungsdatum von dieser exe an und suche andere dll und exe mit gleichem Erstellungsdatum (poste sie mir)

•KillBox
http://www.bleepingcomputer.com/files/killbox.php

•Delete File on Reboot <--anhaken

und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINNT\SYSTEM32\perfcii.ini
c:\winnt\sites.ini
C:\WINNT\SYSTEM32\ole32vbs.exe
C:\WINNT\system32\helper.exe
C:\WINNT\system32\helper123.exe
C:\WINNT\system32\notepad2.exe
C:\WINNT\popuper.exe
C:\PROGRAM FILES\VIRTUAL MAID\Virtual Maid.dll
C:\PROGRAM FILES\VIRTUAL MAID\GoVM.dll.htm
C:\PROGRAM FILES\VIRTUAL MAID\GoVM.dll
C:\WINNT\SYSTEM32\msmsg.exe

PC neustarten

Kennen Sie die IP oder die Domäne '212.218.0.3' nicht, fixen.
O17 - HKLM\System\CCS\Services\Tcpip\..\{04088DCD-137F-4469-8006-1FB09065E1A6}: NameServer = 212.218.0.3
O17 - HKLM\System\CS1\Services\Tcpip\..\{04088DCD-137F-4469-8006-1FB09065E1A6}: NameServer = 212.218.0.3
O17 - HKLM\System\CS2\Services\Tcpip\..\{04088DCD-137F-4469-8006-1FB09065E1A6}: NameServer = 212.218.0.3

L2mfix
1. Laden Sie L2mfix von hier :
2.
http://bilder.informationsarchiv.net/Nikitas_Tools/l2mfix.exe
3. Speichern Sie die Datei auf Ihren Desktop und doppel-klicken Sie click l2mfix.exe.
4. Klicken Sie auf Installieren um die Dateien zu extrahieren und folgen Sie den Anweisungen während der Installation.
5. Dann öffnen Sie den auf Ihrem Desktop neuerstellten Ordner l2mfix
6. Doppel-klicken Sie die Datei l2mfix.bat und tippen sie eine 1 und drücken Sie [Enter], um Find log laufen zu lassen. Dies wird Ihren Computer scannen. Es kann sein, das es so aussieht als ob nichts passiert, aber nach 1 oder 2 Minuten wird sich Notepad mit einem Log öffnen.
7. Kopieren Sie den Inhalt durch Strg+A und fügen Sie den Inhalt in Ihren Thread durch Strg+V...oder einfach mit der Maus abkopieren Wink

WICHTIG:Nutzen Sie nicht Option 2, oder jegliche andere Dateien aus dem l2mfix Ordner, bis Sie dazu aufgefordert werden!

8. Schließen Sie alle offenen Programme , da der nächste Schritt einen Neustart erfordert. Klicken Sie erneut auf l2mfix.bat und tippen Sie 2 ein --> [Enter].
9. Drücken Sie eine beliebige Taste um einen Systemneustart einzuleiten.
10. Nach dem Neustart, werden Ihre Icons auf dem Desktop kurz erscheinen und kurz verschwinden - dies ist NORMAL.
11. L2mfix wird den Systemscan fortsetzen und wenn es fertig ist, wird sich Notepad öffnen und einen Log anzeigen. Kopieren Sie auch diesen hier in den Thread rein (Strg+C & Strg+V). Posten Sie ausserdem einen aktuellen HijackThis Log.

WICHTIG: Nutzen Sie nicht Option 2, oder jegliche andere Dateien aus dem l2mfix Ordner, bis Sie dazu aufgefordert werden!

12. Doppel-klicken Sie erneut auf l2mfix.bat und geben Sie 4 ein. Bestätigen Sie mit [Enter].
13. Dies stellt die Winlogon Standardeinstellungen wieder her.
14. Posten Sie einen aktuellen HijackThis Log
__________
MfG Sabina

rund um die PC-Sicherheit