Hallo ich habe folgendes Problem,wenn ich den internet explorer starte passiert es so ca. bei jedem 2. mal, das antivir mir meldet ein backdoorprogramm und einen trojaner. wenn ich diese dann lösche erscheint in meiner favoritenliste eine reihe von unseriösen favoriten und wenn ich dann so auf eigentlich sicheren internetseiten surfe kommt beim klicken auf den seiten manchmal immer dieselbe seite die da gar nicht hingehört, dann beim auf zurück klicken und wieder auf den selben punkt geklickt kommt dann die richtige seite
Antivir kann das problem nicht beheben.
Auch von microsoft die updates sind runtergeladen bis auf das sp2 weil dieses mir probleme bereitete

Hi Boogywood,

lade dir Hijackthis, und kopiere das Logfile hier ins Forum:

http://www.informationsarchiv.net/foren ... -6002.html

MfG
Jinxy

Hallo hier ist es es wäre supernett wenn mir jemand dazu etwas sagen könnte








Logfile of HijackThis v1.99.0
Scan saved at 20:27:15, on 07.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\Winhost.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hposol08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Uckert\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis[1].zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://clearsurfing.net/srch.php?qq=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.piper-home.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Name - {B02CED09-E240-4987-A78E-E9DCEDA42C63} - C:\WINDOWS\System32\msyiq.dll
O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - C:\WINDOWS\System32\iesp2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [rdspclips.exe] rdspclips.exe
O4 - HKLM\..\Run: [Winhost ] Winhost.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft upnp Update] msie.exe
O4 - HKLM\..\Run: [Microsoft Local32 Server] syslocal32.exe
O4 - HKLM\..\Run: [Microsoft Hosting Service] winhosting.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [Microsoft upnp Update] msie.exe
O4 - HKLM\..\RunServices: [Microsoft Local32 Server] syslocal32.exe
O4 - HKLM\..\RunServices: [Microsoft Hosting Service] winhosting.exe
O4 - HKLM\..\RunServices: [Winhost ] Winhost.exe
O4 - HKLM\..\RunOnce: [Winhost ] Winhost.exe
O4 - HKCU\..\Run: [Winhost ] Winhost.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [Winhost ] Winhost.exe
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: officejet 6100.lnk = ?
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O14 - IERESET.INF: START_PAGE_URL=http://www.saturn.de
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://bin.wordsx.cc/vctXsBIM3DUxEMO3tTwlfzA.chm::/on-line.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 5473077140
O17 - HKLM\System\CCS\Services\Tcpip\..\{3AD209A9-1C91-45C0-A0FA-3299C237B636}: NameServer = 69.50.176.156,195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{55B02A8E-4703-4C02-8692-E9C6EF99860D}: NameServer = 69.50.176.156,195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{F707843D-E91C-4530-986D-5DE8E2A7A22D}: NameServer = 83.218.32.227,83.218.34.194
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

Antivir findet dann immer folgendes:
Backdoorprogramm BDS/Hidd.E.1

und

Trojan TR/Spy.jepan

Nach dem löschen von trojan erscheinen die besagten favoriten in der favoritenliste

Hallo@Boogywood

KillBox
http://www.bleepingcomputer.com/files/killbox.php
Lade und entpacke auf dem Desktop

Deaktivieren Wiederherstellung
«XP
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

1) lade remv3.zip herunter
remv3.zip ( 9.85k ) Number of downloads:......
http://forums.skads.org/index.php?showtopic=80
(dort im 1. Posting von Baskar unter Attached File(s)!).
2) entpacke es im verzeichnis C:\WINDOWS\System32\
(es ist wichtig, dass es in diesem verzeichnis ist!)

Download Registry Search Tool :
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
Doppelklick:regsrch.vbs

kopiere rein:

{B02CED09-E240-4987-A78E-E9DCEDA42C63}

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)

das machst du auch mit:

{06ABAA2D-34AB-4902-A326-409BD9B9A7A5}
Winhost
Winhost.exe
Microsoft upnp Update
rdspclips.exe
Microsoft upnp Update
msie.exe
Microsoft Local32 Server]
syslocal32.exe
Microsoft Hosting Service
winhosting.exe
Microsoft Local32 Server]
FreshBar
{10003000-1000-0000-1000-000000000000}

Deinstalliere den Antivirus (free) und lade:

#eScan-Trial--> scanne noch nicht, das machst du erst im abgesicherten Modus
http://www.mwti.net/antivirus/escan/esc ... ivirus.asp (15-Tage- trial-Freeversion)

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://clearsurfing.net/srch.php?qq=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.piper-home.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank

O2 - BHO: Name - {B02CED09-E240-4987-A78E-E9DCEDA42C63} - C:\WINDOWS\System32\msyiq.dll
O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - C:\WINDOWS\System32\iesp2.dll
O4 - HKLM\..\Run: [rdspclips.exe] rdspclips.exe
O4 - HKLM\..\Run: [Winhost ] Winhost.exe
O4 - HKLM\..\Run: [Microsoft upnp Update] msie.exe
O4 - HKLM\..\Run: [Microsoft Local32 Server] syslocal32.exe
O4 - HKLM\..\Run: [Microsoft Hosting Service] winhosting.exe
O4 - HKLM\..\RunServices: [Microsoft upnp Update] msie.exe
O4 - HKLM\..\RunServices: [Microsoft Local32 Server] syslocal32.exe
O4 - HKLM\..\RunServices: [Microsoft Hosting Service] winhosting.exe
O4 - HKLM\..\RunServices: [Winhost ] Winhost.exe
O4 - HKLM\..\RunOnce: [Winhost ] Winhost.exe
O4 - HKCU\..\Run: [Winhost ] Winhost.exe
O4 - HKCU\..\RunOnce: [Winhost ] Winhost.exe
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://bin.wordsx.cc/vctXsBIM3DUxEMO3tTwlfzA.chm::/on-line.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{3AD209A9-1C91-45C0-A0FA-3299C237B636}: NameServer = 69.50.176.156,195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{55B02A8E-4703-4C02-8692-E9C6EF99860D}: NameServer = 69.50.176.156,195.225.176.31

PC neustarten
3) starte den rechner im abgesicherten modus.
http://www.tu-berlin.de/www/software/vi ... mode.shtml

4) starte die datei rem.bat, scannen lassen.

Loeschen temporaere Dateien --> loesche die Dateien in den Ordnern, nicht die ordner selbst
C:\WINDOWS\Temp\
C:\Temp\
C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temp\
C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ [loesche nicht die index.dat)

Killbox:
<Delete File on Reboot
und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

kopiere in die Killbox:
C:\WINDOWS\System32\msyiq.dll
C:\WINDOWS\System32\iesp2.dll
C:\WINDOWS\system32\Winhost.exe
C:\WINDOWS\system32\msie.exe
C:\WINDOWS\system32\syslocal32.exe
C:\WINDOWS\system32\winhosting.exe

C:\WINDOWS\system32\run_dos.dll
C:\WINDOWS\System32\msugm.dll
C:\WINDOWS\System32\Q611689.dll
C:\WINDOWS\System32\Q411812.dll
C:\WINDOWS\msxmidi.exe
C:\WINDOWS\system32\msxmidi.exe
C:\WINDOWS\Ole32ws.dll
C:\WINDOWS\System32\hdbvz.dll
C:\WINDOWS\System32\hdzow.dll
C:\WINDOWS\System32\iesp1.dll
C:\WINDOWS\System32\nbtrstat.exe
C:\WINDOWS\System32\sprestrst.exe
C:\WINDOWS\System32\tsmsetup.exe
C:\WINDOWS\System32\update.exe
C:\WINDOWS\System32\upncont.exe
C:\WINDOWS\System32\wowdbe.exe
C:\WINDOWS\system32\smbdins.exe
C:\WINDOWS\System32\sethcd.exe
C:\WINDOWS\system32\rdspclips.exe

PC neustarten--> wieder in den abgesicherten Modus

klicke auf: awn2k3e.exe (escan), setze alle Haekchen und mache einen Komplettscann)

Gehe wieder in den Normalmodus

#ClaerProg..lade die neuste Version <1.4.1
http://www.clearprog.de/downloads.php
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)

#Ad-aware SE Personal 1.05 Updated (noch nicht oeffnen)
http://fileforum.betanews.com/detail/965718306/1

schliesse Ad-Aware (if running)
Download the VX2 Cleaner here
http://www.lavasoftusa.com/software/add ... aner.shtml
Install the VX2 Cleaner
Start Ad-Aware
Go to “Add-ons”
Select the VX2 Cleaner add-on and click “Run Tool”
If your computer isn’t infected, click “Close”.

If your computer is infected
Select “Clean System”
Reboot your computer
Scan your computer with Ad-Aware
Remove any VX2 objects detected
Reboot your computer again
Run a second scan to make sure the files have been removed from your computer.

Jetzt scanne mit AdAware:
#Ad-aware SE Personal 1.05 Updated
Laden--> Updaten-->scannen-->PC neustarten--> noch mal scannen--> poste das Log vom Scann

#<Online-Scann (Panda)
http://www.pandasoftware.com/activescan ... ncipal.htm

#Online-Scann <f-secure<
http://support.f-secure.com/enu/home/ols.shtml

#McAfee FreeScan (Online)
www.mcafee.com/myapps/mfs/default.asp

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein


CWShredder 2.12 [2004-12-13]
http://www.majorgeeks.com/download3019.html
1. Click "Check For Update"
(If an update isn't available, skip to step #4.)
2. Click "Click here to Download the upate".
3. When the new version has been downloaded, click "Save".
4. Click "Fix ->"
Log-->"make Report"

6)Die remv3.bat hat die Datei C:\log.txt angelegt. Den Inhalt hier posten.
7) markiere den inhalt und füge ihn hier ein.
erstelle ein aktuelles HijackThis log und poste es mit der log.txt von rem.

Berichte von den Onlinescanns, poste alle Logs, die ich sehen will und am Ende das neue Log vom HijackThis