Hallo!

Meine Mutter arbeitet sehr viel mit ihrem PC im Büro! Sie hat ein Download-limit von 2 GB! Sie liest hauptsächlich E-Mails, surft nicht viel herum und ladet auch nichts runter (ausgenommen Virendefinitionen (Virenscanner))!

Ihr Download-Limit ist trotz allem immer sehr schnell am Limit(innerhalb ca. 10 - 15 Tage)!
Und auch wenn man auf www.google.at die Liste der gesuchten Wörter ansieht, findet man sehr seltsames!
Einige Beispiele: Horsefuck, Dogfuck, etc. ähnliches könnt ihr euch sicher selber dazu denken!
Sie bestitzt auch kein Wireless-Lan, also Fremdzugriff übers Netzwerk per Wireless ist somit auch ausgeschlossen.

Meine Frage: Wie kann sowas passieren?
Können da Viren dafür verantwortlich sein?
Was habt ihr für Vorschläge um diese Problem zu lösen?

MFG

EDIT:
Sie hat auch schon versucht, die Liste im Google zu löschen! Also, Verlauf, Cache, etc. gelöscht! Die Liste war weg, zumindest für kurze Zeit!
einen oder 2 Tage später war sie jedoch wieder mit Pornografischen Suchbegriffen vorhanden!

Hi,

Anleitung + Download HijackTHis:
http://virus-protect.org/hjtkurz.html

Lade/entpacke HijackThis in einem Ordner -->None of the above, just start the program --> Save--> Savelog -->es öffnet sich der Editor -->
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

Logfile of HijackThis v1.99.1
Scan saved at 15:28:55, on 04.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\system32\BRMFRSMG.EXE
C:\Programme\Canon\CAL\CALMAIN.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\PC\Desktop\HiJack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.vol.at/
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: AON.lnk = ?
O4 - Global Startup: AON.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: concept/design's onlineTV - {EF6E16D3-87B2-4AAB-8E39-CCC7A6A41883} - C:\WINDOWS\Connection Wizard\Andi\OnlineTV\onlineTV\onlineTV.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/big/1 ... gleNav.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/ ... scan53.cab
O16 - DPF: {E53458D2-5A83-4BD1-8DE2-EEEBE73BAB77} - http://dinet.info/e/us26/e.cab
O16 - DPF: {E8304464-1EA9-4F39-A031-522874AAC230} (ESD Object) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{4C6044C6-26D0-479C-8586-07C32DA5FF17}: NameServer = 85.255.115.34 85.255.112.63
O17 - HKLM\System\CCS\Services\Tcpip\..\{9B440670-E39E-4E64-ADBD-DFC13E8C332A}: NameServer = 195.3.96.67,195.3.96.68
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPH11 - HP - C:\WINDOWS\System32\HPHipm11.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

Befindet sich was verdächtiges in diesem Log?
Danke für eure Hilfe!

MFG

up!

Weiss hier keiner Rat?
Wäre euch bzw dir sehr dankbar wenn man mir weiterhelfen könnte!
Ist ziemlich nervig ...!

Danke schonmal!

MFG

Hallo, da ist sogar etwas sehr spektakuläres: Die Internetverbindung wird über folgenden Server:

-ok habe den Link gelöscht- (Ukraine) umgeleitet.

Bitte wende dich per PN an Nikita, ich habe damit zu wenig Erfahrung, als dass ich dir helfen könnte.


edit: Der Server ist der gleiche wie schon in dem Fall vor ein paar Monaten..Ukraine, Kiev..

Erledigt.

Habe Sie angeschrieben!

Danke!

die internetverbindung wird auf einen Server in die Ukraine umgeleitet...

1.
http://www.f-secure.com/blacklight/
starte die Datei, nimm die Lizenzbestimmung an und waehle scan, wenn es mit dem Scan fertig ist, druecke next und danach close. Nun befindet sich im selben Ordner von Blacklight eine FSB*.TXT Datei - poste das log

2.
scanne und poste den report
http://virus-protect.org/artikel/tools/fixwareout.html

3.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

4.
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

Hallo,

so, habe alle Schritte der Reihe nach durchgemacht!
Muss aber noch dazu sagen, dass der Virenscanner (AntiVir), bereits 2(?) Trojaner gefunden hat und unter Quarantäne gesetzt hat! (TR/Spy.Goldun.Ml und noch "Ist das Trojanische Pferd TR/Dldr.Agen.nv.4.B)

Hier noch die Berichte von Punkt4 (3 Monate):
Sys:

07.12.2006 15:41 0 sys.txt
07.12.2006 15:41 696 down.txt
07.12.2006 15:41 334 tmp.txt
07.12.2006 15:41 12.885 system.txt
07.12.2006 15:41 289 systemtemp.txt
07.12.2006 15:41 102.004 system32.txt
07.12.2006 15:28 805.306.368 pagefile.sys
03.07.2006 06:43 512 camusd.log


Down:
Verzeichnis von C:\WINDOWS\Downloaded Program Files

30.08.2006 13:41 114 start.inf
22.06.2006 10:41 5.032 swflash.inf

TMP:
Verzeichnis von C:\WINDOWS\Temp

07.12.2006 15:38 409 WGANotify.settings
07.12.2006 15:38 255 WGAErrLog.txt

System:
Verzeichnis von C:\WINDOWS

07.12.2006 15:39 7.680 Thumbs.db
07.12.2006 15:37 1.948.831 WindowsUpdate.log
07.12.2006 15:29 0 0.log
07.12.2006 15:29 159 wiadebug.log
07.12.2006 15:28 2.592 BrmfBidi.ini
07.12.2006 15:28 50 wiaservc.log
07.12.2006 15:28 2.048 bootstat.dat
07.12.2006 15:27 32.602 SchedLgU.Txt
04.12.2006 09:34 26.413 wmsetup.log
21.11.2006 03:01 477.784 tsoc.log
21.11.2006 03:01 51.482 ocmsn.log
21.11.2006 03:01 1.393 imsins.log
21.11.2006 03:01 213.846 ntdtcsetup.log
21.11.2006 03:01 1.217.055 iis6.log
21.11.2006 03:01 51.584 tabletoc.log
21.11.2006 03:01 349.821 comsetup.log
21.11.2006 03:01 18.058 KB923980.log
21.11.2006 03:01 524.293 ocgen.log
21.11.2006 03:01 52.795 medctroc.Log
21.11.2006 03:01 179.304 netfxocm.log
21.11.2006 03:01 51.927 msgsocm.log
21.11.2006 03:01 1.018.192 FaxSetup.log
21.11.2006 03:01 333.546 msmqinst.log
21.11.2006 03:01 1.393 imsins.BAK
21.11.2006 03:01 17.705 KB924270.log
21.11.2006 03:01 40.515 updspapi.log
21.11.2006 03:01 17.268 KB920213.log
21.11.2006 03:01 19.604 KB922760.log
25.10.2006 07:14 571.784 setupapi.log
16.10.2006 09:27 15.049 KB924191.log
16.10.2006 09:27 14.869 KB922819.log
16.10.2006 09:27 14.038 KB923414.log
16.10.2006 09:27 14.055 KB924496.log
16.10.2006 09:27 11.498 KB923191.log

systemtemp:
Verzeichnis von C:\DOKUME~1\PC\LOKALE~1\Temp

04.10.2006 09:23 668 datFind.bat

System32:
Verzeichnis von C:\WINDOWS\system32

07.12.2006 15:38 2.422 wpa.dbl
16.11.2006 06:20 10.474.920 MRT.exe
30.10.2006 07:27 40.108 perfc009.dat
30.10.2006 07:27 311.912 perfh009.dat
30.10.2006 07:27 316.942 perfh007.dat
30.10.2006 07:27 48.276 perfc007.dat
30.10.2006 07:27 724.660 PerfStringBackup.INI
16.10.2006 11:40 123.392 xpsp3res.dll
13.10.2006 13:35 146.432 nwprovau.dll
13.10.2006 13:35 64.000 nwapi32.dll
13.10.2006 13:35 65.536 nwwks.dll
14.09.2006 09:39 664.576 wininet.dll
14.09.2006 09:39 615.936 urlmon.dll
14.09.2006 09:39 474.624 shlwapi.dll
14.09.2006 09:39 532.480 mstime.dll
14.09.2006 09:39 39.424 pngfilt.dll
14.09.2006 09:39 448.512 mshtmled.dll
14.09.2006 09:39 146.432 msrating.dll
14.09.2006 09:39 3.075.584 mshtml.dll
14.09.2006 09:39 251.392 iepeers.dll
14.09.2006 09:39 357.888 dxtmsft.dll
14.09.2006 09:39 205.312 dxtrans.dll
14.09.2006 09:39 96.768 inseng.dll
14.09.2006 09:39 55.808 extmgr.dll
14.09.2006 09:39 16.384 jsproxy.dll
14.09.2006 09:39 1.056.256 danim.dll
14.09.2006 09:39 152.064 cdfview.dll
14.09.2006 09:39 1.022.976 browseui.dll
13.09.2006 06:02 1.084.416 msxml3.dll
04.09.2006 07:12 1.494.016 shdocvw.dll


So und hier noch der aktuelle HiJack Log(falls der noch auch noch weiterhelfen kann):
Logfile of HijackThis v1.99.1
Scan saved at 15:51:39, on 07.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\system32\BRMFRSMG.EXE
C:\Programme\Canon\CAL\CALMAIN.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\PC\Desktop\HiJack\HijackThis.exe

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: AON.lnk = ?
O4 - Global Startup: AON.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: concept/design's onlineTV - {EF6E16D3-87B2-4AAB-8E39-CCC7A6A41883} - C:\WINDOWS\Connection Wizard\Andi\OnlineTV\onlineTV\onlineTV.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/big/1 ... gleNav.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/ ... scan53.cab
O16 - DPF: {E53458D2-5A83-4BD1-8DE2-EEEBE73BAB77} - http://dinet.info/e/us26/e.cab
O16 - DPF: {E8304464-1EA9-4F39-A031-522874AAC230} (ESD Object) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{4C6044C6-26D0-479C-8586-07C32DA5FF17}: NameServer = 85.255.115.34 85.255.112.63
O17 - HKLM\System\CCS\Services\Tcpip\..\{9B440670-E39E-4E64-ADBD-DFC13E8C332A}: NameServer = 195.3.96.67,195.3.96.68
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPH11 - HP - C:\WINDOWS\System32\HPHipm11.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe



Danke für eure Hilfe!

MFG

(TR/Spy.Goldun.Ml -ist ein Bug vom Antivirus - der Explorer darf nicht in Quarantaene genommen werden !

1.
http://www.f-secure.com/blacklight/
starte die Datei, nimm die Lizenzbestimmung an und waehle scan, wenn es mit dem Scan fertig ist, druecke next und danach close. Nun befindet sich im selben Ordner von Blacklight eine FSB*.TXT Datei - poste das log

2.
scanne und poste den report
http://virus-protect.org/artikel/tools/fixwareout.html

Hallo,

nach langer Zeit meld ich mich mal wieder!

Hatte leider nicht mehr die Möglichkeit an den PC zu sitzen und weiter zu machen!

Aber vielleicht in nächster Zeit.

Aber ich hätte noch eine Frage:
Was hat es mit dem genannten Explorer Bug auf sich?
Was passiert, wenn ich den Explorer unter Quarantäne setze?
Warum sollte ich dies nicht tun?

Danke!

MFG

PS:
Werde versuchen, die nächsten Tage die restlichen Scan auszuführen, damit ich das endlich mal erledigen kann!

saufich hat geschrieben:
Was hat es mit dem genannten Explorer Bug auf sich?
Was passiert, wenn ich den Explorer unter Quarantäne setze?
Warum sollte ich dies nicht tun?

Also, den AntiVir programmmierer ist ein sehr peinlicher Fehler unterlaufen:

Der explorer.exe ist ein Windows prozess, der für das gesamte Fenstersystem zuständig ist.
Ohne den luft bei Windows nicht mehr viel...

Aber es gibt bereits ein neues Update, dass dieses Fehler beseitigt.

Habe den Explorer aber unter Quarantäne gesetzt und trotzdem läuft alles ganz normal weiter?

...

ja, afaik erstellt windows den neu, aber lass erstmal den in ruhe...