Hallo,

mein Explorer bewegt sich von Geisterhand oder besser

1)Beim Starten des Notebooks öffnet sich bei der Desktop-Ansicht eine Seite mit der URL http://underrun.net/test.htm

2) Zwiscendurch kommt schon mal ein Popup: Internet Explorer wird wegen internem Fehler runtergefahren

3) In der Taskleiste erscheinen plötzlich Einträge, von denen ich nur sehen kann: "advertising_loading_Window...-Microsoft Internet Explorer bereitgestellt von ..." Anklicken erzeugt keine Reaktion


AV, Spybot, Symantec, Adware genutzt, aber beim Einschalten gehts wieder los.


Kann irgendwer helfen??

Danke
Frank

Hallo Hasenscharte
Lade das HijackThis, scanne, save und kopiere das Log ins Forum
Downloadlinks:

http://www.downloads.subratam.org/hijackthis.zip
http://www.spywareinfo.com/~merijn/files/hijackthis.zip

mfg
Nikita

Such unter google nach "CWShredder", lad's dir runter und scan damit dein System; das Programm behebt Fehler solcher Art.

cwshredder leider ohne erfolg, darum hier das log


Logfile of HijackThis v1.98.2
Scan saved at 11:00:05, on 13.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\carpserv.exe
C:\PROGRA~1\SwiftBtn\SwiftBtn.EXE
C:\windows\winset.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\ozj.exe
C:\AddOn\AcrobatReader\Distillr\AcroTray.exe
C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe
C:\Corel\Graphics8\Programs\MFIndexer.exe
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
C:\WINDOWS\msagent\AgentSvr.exe
\Server\cobra\Programm\AdressPLUS.exe
C:\Programme\Viren\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ftd.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.1und1.de/Herzlich_Willkommen/b1/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.1und1.de/Herzlich_Willkommen/b1/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von 1 & 1 Internet AG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {34AA1774-B31C-74BE-8076-60557FA7284D} - C:\WINDOWS\System32\skybob.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {64FB1621-E618-75B6-8076-60557FA7264D} - C:\WINDOWS\System32\tqgccbkm.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [QT4StBtn] C:\PROGRA~1\SwiftBtn\SwiftBtn.EXE
O4 - HKLM\..\Run: [Norton Updater] C:\windows\winset.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [Mucebb] C:\WINDOWS\System32\ozj.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\AddOn\AcrobatReader\Distillr\AcroTray.exe
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.1und1.de/Herzlich_Willkommen/b1/
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/ ... 1/chat.cab
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/gerpep_nopop.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file. ... 32ab8e2e83
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab

@Hallo Hasenscharte

#Deaktiviere die Wiederherstellung
http://service1.symantec.com/SUPPORT/IN ... 7105707924

#Scanne noch einmal mit dem HijackThis, dann hake an, was ich poste und <fix<. Dann starte sofort neu.

O2 - BHO: (no name) - {34AA1774-B31C-74BE-8076-60557FA7284D} - C:\WINDOWS\System32\skybob.dll
O2 - BHO: (no name) - {64FB1621-E618-75B6-8076-60557FA7264D} - C:\WINDOWS\System32\tqgccbkm.dll

O4 - HKLM\..\Run: [Norton Updater] C:\windows\winset.exe .....Das ist ein Virus\Trojaner !!!!!!

O4 - HKCU\..\Run: [Mucebb] C:\WINDOWS\System32\ozj.exe
Dialer!
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/gerpep_nopop.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file. ... 32ab8e2e83


neustarten


Lade dieses Tool,
http://www.diamondcs.com.au/index.php?page=apm
klicke :
C:\Windows\explorer.exe
C:\WINDOWS\System32\skybob.dll
C:\WINDOWS\System32\tqgccbkm.dll
Dann druecke auf <unload dll<

Dann suche und loesche :
C:\WINDOWS\System32\tqgccbkm.dll
C:\WINDOWS\System32\skybob.dll


3.)<eScan< (in C:\base entpacken)
http://www.mwti.net/antivirus/free_utilities.asp
# "kavupd.exe" suchen und anklicken.
Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt(dauert ein bisschen)
#den Scanner mit der "mwav.exe starten. Alle Häkchen setzen und "Clean-Scan" klicken.

Lade AdAware (free) scanne <alle Dateien<
http://www.lavasoft.de/support/download/

#Optimiere\reinige\reapriere mit TuneUp (30 Tage free) den Compi
http://www.tuneup.de/download/

#Lade ClearProg
http://www.clearprog.de/
Loesche:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)

..................................................................................................
Lade den Firefox
http://www.firebird-browser.de/
stelle eine Startseite ein und surfe nur mit ihm.

Dann muesste eigentlich wieder alles funktionieren.
Es waere gut, wenn du mir dann posten wuerdest, was eScan NICHT geleoscht hat.(zur spaaeteren manuellen Entfernung)

#Stelle unter IE eine neue Startseite ein und poste das Log noch mal ...mit dem IE !(nicht mit dem Firefox)
Mfg
Nikita

hi nikita,
nach stunden... es hat geholfen.

hier noch kurz die infos von escan
.
File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\A9OBIT65\MediaTicketsInstaller[1].cab infected by "not-a-virus:AdvWare.MediaTickets.c" Virus. Action Taken: File Renamed.

File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W5MNS56R\bridge[1].cab infected by "TrojanSpy.Win32.Briss.g" Virus. Action Taken: File Deleted.


einstweilen besten Dank
Frank

File C:\Dokumente und Einstellungen\Frank\Anwendungsdaten\sero.exe infected by "TrojanDownloader.Win32.PurityScan.e" Virus. Action Taken: File Deleted.

File C:\Dokumente und Einstellungen\Frank\Lokale Einstellungen\Temporary Internet Files\Content.IE5\X8AI91C6\bridge[1].cab infected by "TrojanSpy.Win32.Briss.g" Virus. Action Taken: File Deleted.

File C:\Programme\WindowsSA\wsaupdater.exe infected by "not-a-virus:AdvWare.BlazeFind.b" Virus. Action Taken: File Renamed.

@Hasenscharte

Poste bitte das aktuelle Log vom HijackThis
mfg
Nikita

Hallo,

habe seit 2 Wochen so meine Probleme
mit Viren und Trojanern, der hartnäckigste
wie bei Hasenscharte ist der, der beim Start den IE
öffnet und die Seite underrun.net aufrufen will.
Nach abchecken diverser Foren und Installieren
von Spybot und Ad aware 1.3 sowie seit gestern
Norton Personal Firewall 2003 tritt das Problem
nach wie vor auf
also habe ich mal hijackthis probiert, hier der Scan:
Logfile of HijackThis v1.98.2
Scan saved at 22:45:23, on 03.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\PROGRA~1\T-Online\ISDNSP~1\Tomcat.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Pinnacle\Shared Files\Programs\USBTip\USBTip.exe
C:\windows\mActiveX.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Dokumente und Einstellungen\Rolf Riller\Anwendungsdaten\soht.exe
C:\Programme\F-Prot\F-StopW.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\VeriSign\NAVI\naviagent.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Norton Personal Firewall\NISUM.EXE
C:\Programm\HijackThis.exe
C:\Programme\IrfanView\i_view32.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.225.176.14/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://195.225.176.14/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://195.225.176.14/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.225.176.14/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://195.225.176.14/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://195.225.176.14/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.225.176.14/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://195.225.176.14/ie
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://195.225.176.14/ie
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.225.176.14/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.225.176.14/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/service/redir/tosw5_webtour.htm
R3 - URLSearchHook: VeriSign Inc. i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_1_4.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {48F1312B-BC37-24B2-8E01-60550DA17010} - C:\WINDOWS\System32\feclrq.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programm\SPYBOT~1\SDHelper.dll
O2 - BHO: VeriSign Inc. i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_1_4.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [ISDN SpeedManager] "C:\PROGRA~1\T-Online\ISDNSP~1\Tomcat.exe"
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [USB2Check] RUNDLL32.EXE "C:\WINDOWS\System32\PCLECoInst.dll",CheckUSBController
O4 - HKLM\..\Run: [USBToolTip] "C:\Programme\Pinnacle\Shared Files\Programs\USBTip\USBTip.exe"
O4 - HKLM\..\Run: [REGRUN] C:\windows\mActiveX.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKCU\..\Run: [Rlos] C:\Dokumente und Einstellungen\Rolf Riller\Anwendungsdaten\soht.exe
O4 - HKCU\..\Run: [Lkcwj] C:\WINDOWS\System32\asfe.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - Global Startup: F-STOPW.lnk = C:\Programme\F-Prot\F-StopW.exe
O4 - Global Startup: Norton Personal Firewall.lnk = ?
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM\aim.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra 'Tools' menuitem: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_1_4.dll
O9 - Extra 'Tools' menuitem: Optionen für i-Nav - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_1_4.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra button: MedionShop - {ABF53A3A-024E-4762-A3C1-263AEE17F172} - http://www.medionshop.de/ (file missing) (HKCU)
O12 - Plugin for .fpx: C:\\Program Files\\Internet Explorer\\PLUGINS\\NPRVRT32.dll
O12 - Plugin for .ivr: C:\\Program Files\\Internet Explorer\\PLUGINS\\NPRVRT32.dll
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{127A8D5A-48BB-4A4B-9702-CF4AEBFD5973}: NameServer = 192.168.120.252,192.168.120.253
O21 - SSODL: Web Event Logger - {79FEACFF-FFCE-815E-A900-316290B5B738} - (no file)

Als Virenprogramm läuft bei mir F-Prot 5.14e.
Übrigens muß mir so ein Trojaner vor 3 oder 4 Wochen
F-Prot aus dem Autostart geschmissen haben und ich
hab's nicht gleich gemerkt ...

Bin natürlich für jede Hilfe dankbar.

MfG Martin12

hallo @Martin12

#Deaktiviere die Wiederherstellung
http://service1.symantec.com/SUPPORT/IN ... 7105707924


scanne mit dem HijackThis, hake an, was ich poste, dann <fix< und sofort neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.225.176.14/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://195.225.176.14/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://195.225.176.14/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.225.176.14/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://195.225.176.14/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://195.225.176.14/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.225.176.14/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://195.225.176.14/ie
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://195.225.176.14/ie
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.225.176.14/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.225.176.14/

O2 - BHO: (no name) - {48F1312B-BC37-24B2-8E01-60550DA17010} - C:\WINDOWS\System32\feclrq.dll

O4 - HKLM\..\Run: [REGRUN] C:\windows\mActiveX.exe
O4 - HKCU\..\Run: [Rlos] C:\Dokumente und Einstellungen\Rolf Riller\Anwendungsdaten\soht.exe
O4 - HKCU\..\Run: [Lkcwj] C:\WINDOWS\System32\asfe.exe

O21 - SSODL: Web Event Logger - {79FEACFF-FFCE-815E-A900-316290B5B738} - (no file)


neustarten

#Loesche unter <Internetoptionen< die TemporaryInternetfiles (auch Offline)

#Lade <eScan< (in C:\base entpacken, die du vorher erstellst)
http://www.mwti.net/antivirus/free_utilities.asp
#mwav.exe anklicken, alle Haeckchen setzen, aber noch nicht scannen
# "kavupd.exe" suchen und anklicken. (kann auch unter Start<Ausfuehren%temp% sein)
Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt (dauert ein bisschen)


#gehe in den abgesicherten Modus (!)...F8 druecken, wenn der PC hochfaehrt
http://www.bsi.de/av/texte/winsave.htm

#dort suchst du wieder die <mwav.exe<, setzt alle Haeckchen und scannst.

#Dann fuehrst du alles aus, was hier gepostet ist:
http://www.rokop-security.de/main/article.php?sid=703

#Dann poste, was der Scanner gefunden hat (aus Logviewer abkopieren) und das neue Log vom HijackThis noch mal.

mfg
Nikita

Hallo Nikita,

zuerst die gute Meldung ...
underun.net scheint erledigt zu sein, seit 3 Tagen ist Ruhe ...

Das <escan> (mwav.exe) muß wohl in C:\Bases ! installiert werden,
da die Aktalisierung von C:\Base hängenblieb ... und das obige Verzeichnis auf einmal da war ...
... wobei das Installieren auch nicht so enfach war, da bei der selbst entpackenden Datei ein temporäres Verzeichnis angegeben und nicht zu ändern war ... hab's mit Winzip hingekiegt ...
Die Aktalisierung mit kavupd.exe zeigte allerdings nur "Failed"-Ergebnisse
Ich scannte natürlich trotzdem komplett mein PC (1,5 Std.) und dies wurde gefunden:
Sun Sep 05 00:25:09 2004 => File C:\Dokumente und Einstellungen\Rolf Riller\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UHSJATY1\shscr[1].js infected by "TrojanDownloader.JS.gen" Virus. Action Taken: File Renamed.
... sowie 4 Dealer die ich dann per Hand löschte ...

dann jagte ich noch ad-aware 1.3 (aktualisiert) und SpybotS&D
(keine Aktualisierung da) sowie CWS Shredders (keine Aktualisierung möglich, muß ich später noch mal probieren ...)
... übers System ...
Zwischendurch versorgte ich mir noch ad-aware 6.0 Ref.330 (von der Computer-Bild), aktualisierte es und jagte es ebenfalls komplett über den Rechner, fand auch was ...

nu denke ich haben wir's geschafft (fast!), denn der letzte Eintrag im neuen Log von HijackThis macht mich schon wieder nachdenklich (ebenso die Datei svchost.exe ? gleich 2mal?)... Hier ist es :

Logfile of HijackThis v1.98.2
Scan saved at 23:18:43, on 06.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton Personal Firewall\NISUM.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\PROGRA~1\T-Online\ISDNSP~1\Tomcat.exe
C:\Programme\Pinnacle\Shared Files\Programs\USBTip\USBTip.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\F-Prot\F-StopW.EXE
C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\T-Online\T-Online_Software_5\Banking\HBRemind.exe
C:\Programme\FRITZ!\IWatch.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
C:\Programme\Norton Personal Firewall\ccPxySvc.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\VeriSign\NAVI\naviagent.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\Programm\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/service/redir/tosw5_webtour.htm
R3 - URLSearchHook: VeriSign Inc. i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_1_4.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programm\SPYBOT~1\SDHelper.dll
O2 - BHO: VeriSign Inc. i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_1_4.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [ISDN SpeedManager] "C:\PROGRA~1\T-Online\ISDNSP~1\Tomcat.exe"
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [USB2Check] RUNDLL32.EXE "C:\WINDOWS\System32\PCLECoInst.dll",CheckUSBController
O4 - HKLM\..\Run: [USBToolTip] "C:\Programme\Pinnacle\Shared Files\Programs\USBTip\USBTip.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [F-StopW] C:\Programme\F-Prot\F-StopW.EXE
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Microsoft--Updates] sxvhost.exe
O4 - HKLM\..\Run: [Microsoft Update] wuamagr32.exe
O4 - HKLM\..\Run: [Microsoft Services Unitd] MSU32.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\eznxcd.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [HBRemind] C:\Programme\T-Online\T-Online_Software_5\Banking\HBRemind.exe
O4 - Startup: Termine.lnk = C:\Programm\KALENDER\TERMINE.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM\aim.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra 'Tools' menuitem: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_1_4.dll
O9 - Extra 'Tools' menuitem: Optionen für i-Nav - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_1_4.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra button: MedionShop - {ABF53A3A-024E-4762-A3C1-263AEE17F172} - http://www.medionshop.de/ (file missing) (HKCU)
O12 - Plugin for .fpx: C:\\Program Files\\Internet Explorer\\PLUGINS\\NPRVRT32.dll
O12 - Plugin for .ivr: C:\\Program Files\\Internet Explorer\\PLUGINS\\NPRVRT32.dll
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{127A8D5A-48BB-4A4B-9702-CF4AEBFD5973}: NameServer = 192.168.120.252,192.168.120.253

MfG Martin12

@Martin12

Ja, diesmal hat es dich erwischt...
Du solltest ernsthaft ueber eine Neuinstallation nachdenken.

Da hast du ganz gemeine Trojaner auf der Platte, die dann den Backdoors die Ports oeffnen...

Fixe
O4 - HKLM\..\Run: [Microsoft--Updates] sxvhost.exe
O4 - HKLM\..\Run: [Microsoft Update] wuamagr32.exe
O4 - HKLM\..\Run: [Microsoft Services Unitd] MSU32.exe

neustarten

und deaktiviere (und deinstalliere gleich den Symantec...ist zerstoert)
und lade Antivirus
http://www.free-av.de/
Nach dem Installationsscann konfiguriere:
<alle Dateien
<Heuristik:mittel

gehe in den abgesicherten Modus und scanne.

Deaktiviere die Wiederherstellung

Lade Trojaner-check und aktiviere die Ueberwachung
http://www.trojancheck.de/

und poste das Log noch mal.

mfg
Nikita

Hallo Nikita,

woran erkennt man das Symanthec zerstört ist ...?

und kann ich Ihn dann wieder aufspielen ?

Gehe ich ohne Firewall ins Internet (Aktualisierungen), fange ich mir doch sofort wieder was ein oder?

alles andere habe ich schon runter geladen,
wird morgen durchgeführt ...

MfG Martin12

Es gibt Viren, die gezielt Firewall oder Antiviren-Tools deaktivieren, manchmal merkt man das garnicht.
Der Fakt, dass du allseits bekannte Trojaner auf der Platte hast, und Symantec nicht Alarm geschlagen hat sagt alles....
Natuerlich kannst du ihn nach dem Deinstallieren wieder neu laden.

Die Firewall solltest du aktiviert lassen.
und falls die Viren\Trojaner wegbekommst...dein System bleibt dennoch kompromitiert und nicht mehr vertrauenswuerdig, solltest du ueber eine Neuinstallation nachdenken

mfg
Nikita

Hallo Nikita,

hier das neu Log von HiJack:

Logfile of HijackThis v1.98.2
Scan saved at 16:10:55, on 08.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton Personal Firewall\NISUM.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\PROGRA~1\T-Online\ISDNSP~1\Tomcat.exe
C:\Programme\Pinnacle\Shared Files\Programs\USBTip\USBTip.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\F-Prot\F-StopW.EXE
C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\T-Online\T-Online_Software_5\Banking\HBRemind.exe
C:\Programme\FRITZ!\IWatch.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
C:\Programm\AVPersonal\AVGUARD.EXE
C:\Programm\AVPersonal\AVWUPSRV.EXE
C:\Programme\Norton Personal Firewall\ccPxySvc.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\VeriSign\NAVI\naviagent.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programm\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/service/redir/tosw5_webtour.htm
R3 - URLSearchHook: VeriSign Inc. i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_1_4.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programm\SPYBOT~1\SDHelper.dll
O2 - BHO: VeriSign Inc. i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_1_4.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [ISDN SpeedManager] "C:\PROGRA~1\T-Online\ISDNSP~1\Tomcat.exe"
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [USB2Check] RUNDLL32.EXE "C:\WINDOWS\System32\PCLECoInst.dll",CheckUSBController
O4 - HKLM\..\Run: [USBToolTip] "C:\Programme\Pinnacle\Shared Files\Programs\USBTip\USBTip.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [F-StopW] C:\Programme\F-Prot\F-StopW.EXE
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [HBRemind] C:\Programme\T-Online\T-Online_Software_5\Banking\HBRemind.exe
O4 - Startup: Termine.lnk = C:\Programm\KALENDER\TERMINE.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM\aim.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra 'Tools' menuitem: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_1_4.dll
O9 - Extra 'Tools' menuitem: Optionen für i-Nav - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_1_4.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra button: MedionShop - {ABF53A3A-024E-4762-A3C1-263AEE17F172} - http://www.medionshop.de/ (file missing) (HKCU)
O12 - Plugin for .fpx: C:\\Program Files\\Internet Explorer\\PLUGINS\\NPRVRT32.dll
O12 - Plugin for .ivr: C:\\Program Files\\Internet Explorer\\PLUGINS\\NPRVRT32.dll
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{127A8D5A-48BB-4A4B-9702-CF4AEBFD5973}: NameServer = 192.168.120.252,192.168.120.253

MfG Martin12

@Martin12
es ist alles sauber

Das kannst du fixen
O9 - Extra button: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra 'Tools' menuitem: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)

Gruss
Nikita