Habe trojaner, wuermer usw bin zieml computer-unbegabt !!!

#1 wer kann mir helfen bei folgendem Problem ?

1. Automatisch kopieren sich in meine Favoritenliste irgendwelche sex-seiten ...

2. Wenn ich das internet hochfahre bekomme ich eine meldung von Norton dass ich einen trojaner habe der aber jedesmal anders heisst ....

3. Startseite im Internet hat sich geaendert

4. Drucken geht auch nicht mehr ...


Habe schon verschiede programme versucht wie Ad-aware und spybot aber kein erfolg

Wer kann mir helfen und zwar so dass auch ich dass verstehe ?? :-))

Vielen Dank fuer eure Hilfe

Ulf

#2 Hallo, lade dir das Tool AdAware und Spybot und scan damit
dein PC. Vor dem Start aber unbedingt das update von AdAware und Spybot laden.
Danach lade dir HijackThis, stelle es in einen seperaten Ordner und starte
das Programm. Die dabei erzeugte Logfile bitte speichern und hier posten.
Rolfs

#3 Hallo Rolf,

schon mal vielen Dank fuer die schnelle Info.

AdAware und Spybot habe ich schon auf meinem PC installiert und laufen lassen. Bei HijackThis kommt folgendes raus:

Logfile of HijackThis v1.99.1
Scan saved at 19:02:39, on 29/06/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccProxy.exe
C:\Program Files\Intel\Intel Application Accelerator\iaantmon.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\system32\netwh.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\DOCUME~1\Ulf\LOCALS~1\Temp\Tijdelijke map 3 voor hijackthis_199[1].zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\rplvr.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\rplvr.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\rplvr.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\rplvr.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\rplvr.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\rplvr.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\rplvr.dll/sp.html#37049
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {E6729088-50CA-1D40-3B9D-AA2D52D24BF7} - C:\WINDOWS\system32\ipxf32.dll
O4 - HKLM\..\Run: [netwh.exe] C:\WINDOWS\system32\netwh.exe
O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: IAA Event Monitor (IAANTMon) - Intel Corporation - C:\Program Files\Intel\Intel Application Accelerator\iaantmon.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe

Ciao

Ulf

#4

Zitat

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\rplvr.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\rplvr.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\rplvr.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\rplvr.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\rplvr.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\rplvr.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\rplvr.dll/sp.html#37049
R3 - Default URLSearchHook is missing

O4 - HKLM\..\Run: [netwh.exe] C:\WINDOWS\system32\netwh.exe

sollten unbedingt gefixt werden

Bei folgendem bin ich mir nicht ganz sicher:

Zitat

O2 - BHO: Class - {E6729088-50CA-1D40-3B9D-AA2D52D24BF7} - C:\WINDOWS\system32\ipxf32.dll

__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#5 OK, was passiert wenn ich den letzten auch fixe und er sollte nicht ??

Ist das schlimm ?

Und was mache ich danach ??

#6 Wenn Du den letzten fixt, könnte es sein, dass irgendeine (evtl. überflüssige) Toolbar oder so im IE nicht mehr funktioniert. BHO = Browser Helper Object, also sowas wie die ICQ-Toolbar, die Google-Toolbar oder andere Spielereien. Kann aber auch schädlich sein.

Nach Möglichkeit sollte man sowieso lieber nicht den IE, sondern einen der sicheren Browser verwenden (Firefox, Mozilla, Opera), dann fängt man sich auch keine Viren, Würmer oder Malware beim Surfen ein

Nachtrag: Und bei Spybot auch die Immunisieren-Funktion verwenden
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#7 Habe die jetzt alle gefixt.

Was mache ich als naechstes ? Oder war es das schon ?

#8 kannst ja nochmal ein HJT-Log posten, aber ich denke, dass es das war
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#9 Also hier nochmal das aktuelle Log:


Logfile of HijackThis v1.99.1
Scan saved at 20:55:38, on 29/06/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccProxy.exe
C:\Program Files\Intel\Intel Application Accelerator\iaantmon.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\DOCUME~1\Ulf\LOCALS~1\Temp\mwavscan.com
C:\DOCUME~1\Ulf\LOCALS~1\Temp\kavss.exe
C:\WINDOWS\system32\netwh.exe
C:\Program Files\Microsoft Office\Office10\WINWORD.EXE
C:\Program Files\Common Files\Microsoft Shared\Speech\sapisvr.exe
C:\DOCUME~1\Ulf\LOCALS~1\Temp\Tijdelijke map 4 voor hijackthis_199[1].zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\rplvr.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\rplvr.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\rplvr.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\rplvr.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\rplvr.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\rplvr.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\rplvr.dll/sp.html#37049
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {E6729088-50CA-1D40-3B9D-AA2D52D24BF7} - C:\WINDOWS\system32\ipxf32.dll
O4 - HKLM\..\Run: [netwh.exe] C:\WINDOWS\system32\netwh.exe
O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: IAA Event Monitor (IAANTMon) - Intel Corporation - C:\Program Files\Intel\Intel Application Accelerator\iaantmon.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe



Die seiten werden nach wie vor in meine favoriten-Liste kopiert, under der drucker weigert sich auch immer noch .... Auch nach runterfahren des PC's ...

Hat dann nicht ganz geklappt oder ?? Was kann man jetzt noch versuchen ?

Sorry das ich so nerve aber ich weiss wirklich nicht mehr weiter und brauche den PC und Drucker jeden Tag. :-)

#10 Hat um genau zu sein überhaupt nicht geklappt. Ist alles samt wieder da. Lad dir am besten erst mal eScan runter (http://www.mwti.net/antivirus/escan/escandl_antivirus.asp) und lass es dann mal duchlaufen. Dann postest du alle Einträge, die im Protokoll als infected angezeigt werden.

#11 Folgendes Ergebnis ist beim E-scan rausgekommen:


Status: File renamed

File: Altnet2.zip

Directory: C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery

Virus: Password-protected-EXE


Soll ich diese Datei loeschen ?

Kann das sein das es nur an dieser einen Datei liegt ?

Ulf

#12 durchlesen und abarbeiten bitte:
http://board.protecus.de/t16317.htm
(Abschnitt: "Virenalarm" und die FAQ)


Lade folgende Programme herunter und update sie:

se.dll\sp.html - Cleaner-Tool
http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html
CWShredder:
http://cwshredder.net/bin/CWShredder.exe
AdAware
http://www.lavasoft.de/support/download/
Spybot S&D
http://www.safer-networking.org/de/download/index.html

Scanne zuerst mit dem se.dll\sp.html - Cleaner-Tool deinen PC und lasse ihn bereinigen, danach führe einen Scan mit den restlichen Tools durch und update sie vorher auch.
Den Fund von eScan kannst du löschen so wie ich das sehe, da er sich im Recovery-Ordner von Spybot befindet (wahrscheinlich hat Spybot das Altnet-Problem schon beseitigt und ein Sicherheitsbackup angelegt).

Danach poste unbedingt ein aktuelles HijackThis-Log (se.dll ist meistens eine hartnäckige Sache).


Tipps zu AdAware, Spybot und CWShredder:

Zitat

Quelle: http://board.protecus.de/t16317.htm

AdAware

- Wie update ich AdAware?
Es sollte vor einem Scan immer überprüft werden, ob Updates zur Verfügung stehen.
Starte AdAware, klicke auf "Check for Updates now" >> "Connect"

- Wie scanne ich mit AdAware richtig?
Handelt es sich nicht nur um einen kurzen Routinescan, sondern um ein infiziertes System, welches gesäubert werden soll, sollte man auf jeden Fall einen Vollscan durchführen. Das bedeutet:
Starte AdAware im abgesicherten Modus, klicke auf "Start" >> Wähle aus: "Perform full system scan" >> "Next"

- Ich wurde aufgefordert ein Logfile von AdAware zu posten, wie mache ich das?
Scanne mit AdAware wie beschrieben. Nachdem der Scanvorgang abgeschlossen ist, klicke auf "Show Logfile". Nun siehst du das Logfile im AdAware-Fenster. Rechtsklicke in das Log und wähle "save" um das Log als Textdatei abzuspeichern. Kopiere den Inhalt danach ins Forum.

- AdAware findet haufenweise MRU-einträge und "negligible objects". Ist mein System verseucht?!
Nein. MRU-Einträge (Most-Recent-Used) sind die Verlaufseinträge von Windows. Windows hat die Angewohnheit, fast alles was du auf deinem Rechner machst zu protokollieren, von Programm- und Dateiaufrufen, bis hin zu Surfspuren (Verlauf, letzte Suchanfragen, letzte geöffnete Dateien, etc). Diese Dinge werden in den MRU-Listen gespeichert und können mit AdAware gelöscht werden, wenn man will.

- AdAware hat bei mir kritische Objekte gefunden, wie kann ich diese beheben?
Markiere (Häkchen setzen) alle gefunden kritischen Objekte und drücke "Next" um sie löschen zu lassen.


Spybot Search & Destroy

- Wie update ich Spybot Search & Destroy?
Starte Spybot S&D, klicke auf "Nach updates suchen", nachdem der Update-Check abgeschlossen ist, wähle durch anhaken aus der Liste alle Updates aus und klicke auf "Updates herunterladen" um den Vorgang fortzusetzen. Spybot bietet die Option Updates von verschiedenen Mirrors zu beziehen, falls ein Server mal nicht verfügbar sein sollte. Den Server kannst du zwischen den beiden Buttons "Nach Updates suchen" und "Updates herunterladen" in einer Drop-Down-Liste auswählen.

- Was ist die Option Immunisieren und sollte ich das ausführen?
Spybot S&D bietet die Möglichkeit das System gegen einige bekannte Bedrohungen abzusichern, es empfiehlt sich also diesen zusätzlichen Schutz wahrzunehmen. Dies ersetzt jedoch auf keinen Fall einen Virenscanner sowie regelmäßige Windowsupdates und Systempflege. Wähle dazu die Option "Immunisieren", nach einer kurzen Überprüfung zeigt Spybot an ob und wieviele Absicherungen vorgenommen werden können. Klicke dann auf den Button mit dem grünen Pluszeichen "+ Immunisieren" um die Absicherungen vorzunehmen. Nach jedem Update von Spybot sollte man hier nochmal rein schauen, da es sein kann, dass neue Immunisierungen hinzu kommen.

- Wie scanne ich mit Spybot Search & Destroy?
Überprüfe zunächst ob Updates für Spybot verfügbar sind, wenn ja, lade sie herunter. Starte Spybot im abgesicherten Modus und wähle links aus der Optionsliste "Search & Destroy" und dann "Überprüfen".

- Spybot hat kritische Objekte gefunden, wie lösche ich sie?
Markiere durch anhaken alle gefunden Objekte und klicke auf "markierte Probleme beheben".

- Ich wurde aufgefordert ein Logfile von Spybot Search & Destroy zu posten, wie mache ich das?
Nachdem du einen Scan wie beschrieben mit Spybot durchgeführt hast, rechtsklicke in das Fenster wo die Scanergebnisse angezeigt werden. Wähle dort "Save full report to file..." und speichere das Log als Textdatei ab. Öffne die Datei anschließend und markiere & kopiere den Inhalt.

- Ich habe immer wieder einen DSO-Exploit mit Spybot, egal wie oft ich ihn fixe!!
Vor einiger Zeit gab es einen völlig harmlosen Bug bei Spybot, durch welchen dieser Exlpoit immer angezeigt wurde, ob er nun wirklich vorhanden war oder nicht. Mittlerweile ist dieser Bug jedoch behoben, update dringendst deine Signaturen von Spybot!


CWShredder

- Wie update ich den CWShredder?
Starte den CWShredder und klicke auf "Check for Update".

__________
"life's a bitch, turn around and she'll backstab you for a buck."

#13 Wie komme ich in den Abgesicherten Modus ?

F8 beim hochfahren funktioniert nicht. Ist es schlimm die scans im normalen modus zu machen ?

#14 Wahrscheinlich dürckst du zum falschen Zeitpunkt, der ist recht knapp bemessen.

Du musst F8 drücken NACHDEM dein BIOS geladen ist (wenn dein BIOS also z.B. am Anfang immer so Daten am Bildschirm ausgibt, wie deine CPU und RAM, dann warte bis das weg ist und drücke danach), während gerade dein Windows laden will und bevor der Windows-Ladebildschirm erscheint.

Es ist normalerweise kein Beinbruch nicht im abgesicherten Modus zu scannen, es ist häufig jedoch viel zuverlässiger. Da im abgesicherten Modus nur die Kern-Komponenten des Systems geladen werden, ist da meistens keine Malware im Hintergrund aktiv, welche den Scanner beeinflussen bzw. stoppen könnte. Solltest du es also partout nicht hinbekommen, scanne eben im normalen Modus.
__________
"life's a bitch, turn around and she'll backstab you for a buck."