Geänderte Startseite, Viele Troyaner Warnungen

#1 Habe ein Problem, in meinem Internet Explorer hat sich die Startseite geändert und unter Favoriten tauchen auch neue auf. Habe jetzt auf Firefox gewechselt, bekomme aber laufend Troyaner warnungen und das System läuft echt langsam. Habe hier mal das Logfile von HiJack und wäre für eure Hilfe dankbar.
Logfile of HijackThis v1.99.1
Scan saved at 12:18:13, on 12.06.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\winkb.exe
C:\Dokumente und Einstellungen\Dirk Kühnemund\Eigene Dateien\Autoruns\autoruns.exe
C:\Dokumente und Einstellungen\Dirk Kühnemund\Eigene Dateien\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\zgwoa.dll/sp.html#12047
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\zgwoa.dll/sp.html#12047
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\zgwoa.dll/sp.html#12047
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\zgwoa.dll/sp.html#12047
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\zgwoa.dll/sp.html#12047
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\zgwoa.dll/sp.html#12047
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\zgwoa.dll/sp.html#12047
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Class - {91F9F1D1-DC62-6D04-A727-9C3B92E34EC4} - C:\WINDOWS\sysdx.dll
O2 - BHO: GDS module - {A084A565-B09B-4e4c-A497-7CC50AEAB2A7} - C:\WINDOWS\gds3.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\kszqi.exe
O4 - HKLM\..\Run: [update run dos] logon.exe
O4 - HKLM\..\Run: [Microsoft Windows] explorar.exe
O4 - HKLM\..\Run: [Microsoft Windows System Update] rpcxupdtsys.exe
O4 - HKLM\..\Run: [Microsoft Updates] wumdasti.exe
O4 - HKLM\..\Run: [crwg32.exe] C:\WINDOWS\crwg32.exe
O4 - HKLM\..\Run: [addlc.exe] C:\WINDOWS\system32\addlc.exe
O4 - HKLM\..\Run: [Security iGuard] C:\Programme\Security iGuard\Security iGuard.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [winkb.exe] C:\WINDOWS\winkb.exe
O4 - HKLM\..\RunServices: [update run dos] logon.exe
O4 - HKLM\..\RunServices: [Microsoft Windows] explorar.exe
O4 - HKLM\..\RunServices: [Microsoft Windows System Update] rpcxupdtsys.exe
O4 - HKLM\..\RunServices: [Microsoft Updates] wumdasti.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [update run dos] logon.exe
O4 - HKCU\..\Run: [Microsoft Windows System Update] rpcxupdtsys.exe
O4 - HKCU\..\Run: [Microsoft Updates] wumdasti.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://img.web.de/v/mail/activex/mail_upload_1123.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1118150067796
O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\ipqf32.exe" /s (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run (MSPatch) - Unknown owner - C:\WINDOWS\System32\svhost.exe" -netsvcs (file missing)
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

#2

Zitat

about:blank - se.dll\sp.html - Cleaner-Tool

Ich habe ein hartnäckiges Problem mit about:blank - se.dll\sp.html ... Hilfe?
Infos und ein Cleaner Tool dafür gibt's unter anderem hier: http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html

Besorge dir als allererstes das obige Cleaner-Tool und lasse es über dein System laufen.



Lade dir danach folgende Programme herunter und update sie:

CWShredder:
http://cwshredder.net/bin/CWShredder.exe
AdAware
http://www.lavasoft.de/support/download/
Spybot S&D
http://www.safer-networking.org/de/download/index.html
eScan
http://www.mwti.net/antivirus/free_utilities.asp


Erster Schritt:

Deaktiviere die Systemwiederherstellung (Arbeitsplatz => Rechtsklick => Eigenschaften). Nach erfolgter Reinigung des Systems nicht vergessen, wieder zu aktivieren!


Diagnose und Vorbereinigung:

Deaktiviere den Virenwächter, falls vorhanden, und führe mit AdAware und Spybot S&D im abgesicherten Modus (Rechner neu starten und F8 drücken beim Booten) einen vollständigen Systemscan durch. Markiere (Häkchen setzen) und lösche alle gefundenen kritischen Objekte (AdAware: "Next", Spybot S&D: "markierte Probleme beheben" drücken)
(DSO Exploit im Spybot S&D kannst Du vernachlässigen, ist ein Bug im Programm. Wenn Du willst, kannst Du ihn mit dem Fix von hier beseitigen, ist für die Funktion von Spybot aber nicht notwendig).

Lese dir aufmerksam die Informationen auf folgender Seite zu eScan durch:
http://www.trojaner-info.de/hijacker/escan.shtml
Update und scanne mit eScan entsprechend der Beschreibung für die Version 4.5.1 oder jünger von trojaner-info.

Setze im eScan alle Häkchen, außer bei "Folder" und wähle bei "Drives" "All Local Drives" aus und ein paar Zeilen darunter "Scan All Files" anstelle von "Program Files". Drücke dann den Scan-Button um den Vorgang zu starten (das kann je nach Größe deiner Festplatten ziemlich lange dauern, aber unbedingt zu Ende scannen lassen und nicht abbrechen!).

Lass dir danach das eScan-Log anzeigen und speichere es ab. Öffne es mit dem Editor und suche per Suchfunktion nach "infected". Kopiere alle betroffenen Zeilen vollständig und poste sie hier im Forum (kompletter Pfad + Datei, sowie Art der Infektion!)
Virenwächter danach wieder aktivieren!


Erstelle danach ein neues HijackThis-Log und poste es zusammen mit den anderen angeforderten Informationen (eScan-Ergebnisse).
__________
"life's a bitch, turn around and she'll backstab you for a buck."

#3 Hallo@Marco S.

Zitat

Kompromittiertes System
Wenn ein System kompromittiert wurde, ist das System nicht mehr vertrauenswürdig. Das heißt, das Daten, Programme und Ports manipuliert und das alle Informationen, die auf dem System gespeichert waren oder verarbeitet worden sind, an Dritte weitergegeben worden sein könnten. ACHTUNG: Sobald der Computer durch einen Backdoor/Wurm angegriffen wurde, besteht die Möglichkeit, dass ein nicht autorisierter Benutzer auf Ihr System zugegriffen hat. Aus diesem Grund ist es nicht möglich, die Integrität eines Systems zu garantieren, auf dem eine solche Infektion stattgefunden hat.

Der Remote-Benutzer könnte in Ihrem System z. B. folgende Änderungen vorgenommen haben:

* Entwenden oder Ändern von Kennwörtern oder Kennwortdateien
* Installieren von Fernsteuerungssoftware, auch bekannt als "Backdoors" (Hintertüren)
* Installieren von Software zur Aufzeichnung von Tastatureingaben
* Konfigurieren von Firewall-Regeln
* Diebstahl von Kreditkartennummern, Bankdaten, persönlichen Daten usw.
* Löschen und Bearbeiten von Dateien
* Versenden von anstößigem/diskriminierendem Material (E-Mail-Benutzerkonto)
* Ändern von Zugriffsrechten auf Benutzerkonten oder Dateien
* Löschen von Protokolldateien, um solche Aktivitäten zu verbergen

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.


REGEDIT4

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ 11Fßä#·ºÄÖ`I]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ 11Fßä#·ºÄÖ`I]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\ 11Fßä#·ºÄÖ`I]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\ 11Fßä#·ºÄÖ`I]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 11Fßä#·ºÄÖ`I]


Deaktivieren Wiederherstellung
«XP
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\zgwoa.dll/sp.html#12047
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\zgwoa.dll/sp.html#12047
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\zgwoa.dll/sp.html#12047
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\zgwoa.dll/sp.html#12047
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\zgwoa.dll/sp.html#12047
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\zgwoa.dll/sp.html#12047
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\zgwoa.dll/sp.html#12047
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {91F9F1D1-DC62-6D04-A727-9C3B92E34EC4} - C:\WINDOWS\sysdx.dll
O2 - BHO: GDS module - {A084A565-B09B-4e4c-A497-7CC50AEAB2A7} - C:\WINDOWS\gds3.dll

O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\kszqi.exe
O4 - HKLM\..\Run: [update run dos] logon.exe
O4 - HKLM\..\Run: [Microsoft Windows] explorar.exe
O4 - HKLM\..\Run: [Microsoft Windows System Update] rpcxupdtsys.exe
O4 - HKLM\..\Run: [Microsoft Updates] wumdasti.exe
O4 - HKLM\..\Run: [crwg32.exe] C:\WINDOWS\crwg32.exe
O4 - HKLM\..\Run: [addlc.exe] C:\WINDOWS\system32\addlc.exe
O4 - HKLM\..\Run: [Security iGuard] C:\Programme\Security iGuard\Security iGuard.exe
O4 - HKLM\..\Run: [winkb.exe] C:\WINDOWS\winkb.exe
O4 - HKLM\..\RunServices: [update run dos] logon.exe
O4 - HKLM\..\RunServices: [Microsoft Windows] explorar.exe
O4 - HKLM\..\RunServices: [Microsoft Windows System Update] rpcxupdtsys.exe
O4 - HKLM\..\RunServices: [Microsoft Updates] wumdasti.exe
O4 - HKCU\..\Run: [update run dos] logon.exe
O4 - HKCU\..\Run: [Microsoft Windows System Update] rpcxupdtsys.exe
O4 - HKCU\..\Run: [Microsoft Updates] wumdasti.exe
O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\ipqf32.exe" /s (file missing
O23 - Service: HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run (MSPatch) - Unknown owner - C:\WINDOWS\System32\svhost.exe" -netsvcs (file missing)


PC neustarten
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken).

Die Datei "fixme.reg" auf dem Desktop doppelklicken.
------------------------------------------------------------------------------------------------------
KORGO-Wurm:
•Removaltool: (Kaspersky)
Clrav-DOS-Scanner
http://virus-protect.org/antivirenfree.html

CCleaner--> loesche alle *temp-Datein
http://virus-protect.org/temp.html



•Antivirus (free)--> updaten

Optionen--> Konfiguration-->Heuristik-->win32 Datei-heuristik--> aktivieren--> auf Mittel stellen

[X] Speicher
[X] Bootsektor Suchlaufwerke
[ ] Unbekannte Bootsektoren melden
[X] Alle Dateien
[ ] Programmdateien

gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

mache einen Komplettscan (poste mir dann das Log/den Report vom Scan)

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

mache einen Onlinescan mit PANDA und anderen Onlinescannern (wenn der Antivirus "meckert"--> nicht beachten"--> poste alles
http://virus-protect.org/onlinescan.html
+
das neue Log vom HijackThis
__________
__________
MfG Sabina

rund um die PC-Sicherheit

#4 Hier der Report von Panda:

Incident Status Location

Adware:Adware/SearchAid No disinfected C:\WINDOWS\system32\nettm32.exe
Adware:Adware/SearchAid No disinfected C:\WINDOWS\system32\crbw.exe
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Dirk Kühnemund\Favoriten\Sites about\Ab scissor.url
Adware:Adware/CWS.HomeSearchAsisstantNo disinfected Windows Registry
Adware:Adware/Adsmart No disinfected C:\WINDOWS\sys????.exe
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Dirk Kühnemund\Favoriten\Sites about\Ab scissor.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Dirk Kühnemund\Favoriten\Sites about\Broadband comparison.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Dirk Kühnemund\Favoriten\Sites about\Credit counseling.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Dirk Kühnemund\Favoriten\Sites about\Credit report.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Dirk Kühnemund\Favoriten\Sites about\Crm software.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Dirk Kühnemund\Favoriten\Sites about\Debt credit card.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Dirk Kühnemund\Favoriten\Sites about\Escorts.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Dirk Kühnemund\Favoriten\Sites about\Fha.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Dirk Kühnemund\Favoriten\Sites about\Health insurance.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Dirk Kühnemund\Favoriten\Sites about\Help desk software.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Dirk Kühnemund\Favoriten\Sites about\Insurance home.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Dirk Kühnemund\Favoriten\Sites about\Loan for debt consolidation.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Dirk Kühnemund\Favoriten\Sites about\Loan for people with bad credit.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Dirk Kühnemund\Favoriten\Sites about\Marketing email.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Dirk Kühnemund\Favoriten\Sites about\Mortgage insurance.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Dirk Kühnemund\Favoriten\Sites about\Mortgage life insurance.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Dirk Kühnemund\Favoriten\Sites about\Nevada corporations.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Dirk Kühnemund\Favoriten\Sites about\Online Betting Site.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Dirk Kühnemund\Favoriten\Sites about\Online gambling casino.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Dirk Kühnemund\Favoriten\Sites about\Online instant loan.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Dirk Kühnemund\Favoriten\Sites about\Order phentermine.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Dirk Kühnemund\Favoriten\Sites about\Payroll advance.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Dirk Kühnemund\Favoriten\Sites about\Personal loans online.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Dirk Kühnemund\Favoriten\Sites about\Personal loans with bad credit.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Dirk Kühnemund\Favoriten\Sites about\Prescription Drugs Rx Online.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Dirk Kühnemund\Favoriten\Sites about\Refinancing my mortgage.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Dirk Kühnemund\Favoriten\Sites about\Tahoe vacation rental.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Dirk Kühnemund\Favoriten\Sites about\Unsecured bad credit loans.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Dirk Kühnemund\Favoriten\Sites about\Videos.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\Dirk Kühnemund\Favoriten\Sites about\What is hydrocodone.url
Adware:Adware/SearchAid No disinfected C:\WINDOWS\ntqy32.exe
Adware:Adware/Startpage.VQ No disinfected C:\WINDOWS\rlubm.dll
Adware:Adware/Adsmart No disinfected C:\WINDOWS\sysbq32.exe
Adware:Adware/Adsmart No disinfected C:\WINDOWS\sysce32.exe
Adware:Adware/SideFind No disinfected C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\63UTMZ81\sfbho13[1].dll
Adware:Adware/SearchAid No disinfected C:\WINDOWS\system32\crbw.exe
Adware:Adware/SearchAid No disinfected C:\WINDOWS\system32\nettm32.exe
Adware:Adware/SearchAid No disinfected C:\WINDOWS\winkb.exe

Antivir hat nix gefunden, und nun noch das Log File von HiJack

Logfile of HijackThis v1.99.1
Scan saved at 16:37:43, on 12.06.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\ArcorOnline\Arcor.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\nettm32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\crbw.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\Dirk Kühnemund\Eigene Dateien\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\rlubm.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\rlubm.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\rlubm.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\rlubm.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\rlubm.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\rlubm.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\rlubm.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Class - {91F9F1D1-DC62-6D04-A727-9C3B92E34EC4} - C:\WINDOWS\sysdx.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [crbw.exe] C:\WINDOWS\system32\crbw.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://img.web.de/v/mail/activex/mail_upload_1123.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1118150067796
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6EB14903-2E92-46FF-B78C-26EBD143FDE5}: NameServer = 195.50.140.250 145.253.2.11
O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\nettm32.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run (MSPatch) - Unknown owner - C:\WINDOWS\System32\svhost.exe" -netsvcs (file missing)
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

#5 Marco S.

#Scrolle bis zu Mitte dieser Seite und lade:
get_active_services_179.zip --> entpacken -->
http://computercops.biz/postp237756.html
(du must als Administrator angemeldet sein)
http://www.tu-berlin.de/www/software/virus/savemode.shtml
öffnen -->"get active services.vbs"-->scannen-->Active.txt-->es öffnet sich der [Texteditor]-->
-->nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

•KillBox
http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip
Anleitung: (bebildert)
http://virus-protect.org/killbox.html

•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"


C:\WINDOWS\rlubm.dll
C:\WINDOWS\system32\crbw.exe
C:\WINDOWS\system32\nettm32.exe
C:\WINDOWS\system32\crbw.exe
C:\WINDOWS\sys????.exe
C:\WINDOWS\ntqy32.exe
C:\WINDOWS\rlubm.dll
C:\WINDOWS\sysbq32.exe
C:\WINDOWS\sysce32.exe
C:\WINDOWS\sysdx.dll
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\63UTMZ81\sfbho13[1].dll
C:\WINDOWS\system32\crbw.exe
C:\WINDOWS\system32\nettm32.exe
C:\WINDOWS\winkb.exe

PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\rlubm.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\rlubm.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\rlubm.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\rlubm.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\rlubm.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\rlubm.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\rlubm.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {91F9F1D1-DC62-6D04-A727-9C3B92E34EC4} - C:\WINDOWS\sysdx.dll
O4 - HKLM\..\Run: [crbw.exe] C:\WINDOWS\system32\crbw.exe
O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\nettm32.exe
O23 - Service: HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run (MSPatch) - Unknown owner - C:\WINDOWS\System32\svhost.exe" -netsvcs (file missing)

neustarten

CCleaner--> loesche alle *temp-Datein+ urls
http://virus-protect.org/temp.html



C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\63UTMZ81\ <--loeschen

•Antivirus (free)--> updaten

Optionen--> Konfiguration-->Heuristik-->win32 Datei-heuristik--> aktivieren--> auf Mittel stellen

[X] Speicher
[X] Bootsektor Suchlaufwerke
[ ] Unbekannte Bootsektoren melden
[X] Alle Dateien
[ ] Programmdateien

gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

mache einen Komplettscan (poste mir dann das Log/den Report vom Scan)

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein
__________
MfG Sabina

rund um die PC-Sicherheit

#6 Vielen Dank für die Hilfe ihr habt mir echt weiter geholfen. Habe nun aber den Pc formatiert. Nochmals vielen Dank. Werde nun aber öfter mal vorbei schauen. Und wenn ich Hilfe brauche weiss ich das ich mich auf euch verlassen kann.