Hallo nochmal,
ich habe noch vergessen zu erwähnen. Wenn ich google aufgerufen habe, hat sich immer eine zweite, unbekannte Suchmaschiene geöffnet. Genau das Problem wie bei euch. Antivir hat mir auch immer angezeigt, wo er stecken soll ( C:\Windows\FDDWH.DLL ). Ich habe dies aber nie gefunden. Ich habe keine Ahnung was der Trojaner verursachen kann ? Er scheint wohl sehr neu zu sein, weil noch keiner was gegen ihn hat.
Ich habe jetzt nach der Formatierung keine Probleme mehr !!!

Gruß Markus

Zusätzlich zur Vorgehensweise wie ich schon geschrieben hab muss das Temp-Verzeichnis geleert werden.

Und im Hijackthis-Thread ganz oben hier im Forum gibts nen Link zu Clrav.com der entfernt auf jedenfall die Dateien die dafür verantwortlich sind.

Nach nem Neustart noch das System32-Verzeichnis nach Dateien durchsuchen mit erstellungsdatum der INfektion.

Gruß

Hallo Night,

ich habe dies alles versucht. Nichts hat geholfen. Das Mistfieh ist hartnäckig!!!
Gruß Markus

Haste clrav im abesicherten-Modus laufen lassen?

Systemwiederherstellung deaktiviert vorher?

Schau mal unter Dienste ob du *__NS_SERVICE* findest

Wenn ja beenden und dann die Prozedur nochmal probieren

Gruß

ICH HABS!!!
also ich hatte den trojaner auch... bis gerade...

durch lesen der threads hier bin ich auf ne idee gekommen...

hab den Ordner

C:/Windows/System32 geöffnet (das ist der Ordner in dem die ganzen verseuchten dll's drinne sind)

dann hab ich ALLE! dateien seit dem 14.6.2004 gelöscht!
(das konnte alles nix wichtiges sein)

explorer geöffnet, voller erwartung inet explorer geöffnet, startseite geändert, Inet Explorer geschlossen, wieder geöffnet (startseite bleibt die dei ich eingestellt hab), auf google.de gehen (FUNKTIONIERT!!!) urls ohne www. schreiben  FUNKTIONIERT!!! WOOOOHHOOOO und keine nervigen antivir meldungen  *gnaaaaaa*  

hmmm urls ohne www. funktioniert doch noch net... aber wenigstens keine nervigen antivir eldungen mehr... mal schaun was ich noch ändern/löschen muss

Wie heißt der ordner???
Und seit neustem habe ich kein system32 ordner mehr ist weg help was nun?

naja der ordner muss wo sein weil:
Thu Jun 17 22:21:16 2004 => C:\WINDOWS\SYSTEM32\nteo.exe possibly infected and removed by background antivirus package!
ich sage nur lol^^

Ich werd noch zum Stier... ich mach jetzt schon den ganzen Tag mit dem sch... rum...
Antivir laufen lassen, Spybot, CWshredder, BHo Demon, asquared ... und und und ... alles findet ein bisschen was, aber nichts ganzes...

Hab alles im Griff, bis auf die antivir meldungen die mir ziemlich auf den senkel gehen...

das mit der startseite geht wieder, google läuft ... noch jemadn ne idee?

ich muss schon wieder korrigieren... das es klappt gar nichts aus das mit der Startseite ...  

Haste geschaut ob du unter Dienste den *__NS_SERVICE* hast (*=beliebige Zeichenfolgen)?

Gruß

Tach Sportsfreunde!

Kann ja awohl nich angehen das man wegen diesem dämlichen Virus sofort zu format c: greifen muss´!

In anderen Foren heißt es mittlerweile das es sich mal wieder um ne Sicherheitslücke im IE handelt und das die einzige Lösung ist den IE nicht zu benutzen bis diese geschlossen ist und die enstprechenden Cleaner gegen das Mistvieh auf dem Markt sind....

Hoffe mal da tut sich schleunigst was, das Ding nervt nämlich echt.

Immer her mit möglichen Lösungen!!!!

Also, ich habe gerade mein AntiVir geupdatet und bei deaktivierter Systemwiederherstellung im abgesicherten Modus alles gescannt. Scheinbar scheint AntiVir nicht untätig gewesen zu sein. Es wurden 15 Trojaner gefunden und alle gelöscht. Dann habe ich per HijackThis alle mit Kaspersky enttarnten Trojanerdateien gefixt und alles was mir in meinem anderen Thread gesagt wurde noch dazu. Ich habe dann noch manuell alle Trojaner-EXEn und -DLLs per Suchfunktion gelöscht und einen Eintrag mit #96676 in der Registry geändert (einfach in http://www.google.de).
Am Ende habe ich dann noch mit Ad-aware einen Registryeintrag gelöscht und mit Easycleaner die Registry gesäubert, unnötige Dateien entfernt und alles andere auch noch ausgeführt, also z.B. Löschen der Temporary Internet Files usw.
Zur Sicherheit bin ich dann noch mit eScan, Spybot und CWShredder drübergegeangen, die aber nichts mehr gefunden haben.

Bis jetzt ist alles ruhig. Es kam beim Starten des IE kein Alarm und meine Startseite ist wieder Google ohne Werbe-Popup.

Hoffentlich ist es überstanden. Falls nicht werde ichs auf alle Fälle posten.

Hier nochmal ein aktuelles Logfile:

Logfile of HijackThis v1.97.7
Scan saved at 23:01:20, on 17.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Dokumente und Einstellungen\Admin\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "D:\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll

Meiner Meinung nach ist nichts auffälliges mehr dabei. Oder seht ihr da was?

Probierts am besten auch mal genau in der Reihenfolge aus! Ich hoffe es funktioniert bei euch auch!

Viel Glück!

Das werde ich morgen tun, ich muss zugeben er hat mich geschafft für heute...

Mal noch meine logliste...

ich kann damit nichts anfangen, aber vielleicht kann mir mla wirklich jemand ganz detailliert und ich mein d e t a l l i e r t sagen was ich dann zu machen hab so step by step... das wäre wirklich ein feiner zug!

Logfile of HijackThis v1.97.7
Scan saved at 23:52:23, on 17.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\alg.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\appld32.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ievi.exe
C:\Programme\a2\a2guard.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
C:\Programme\BT500\BTTray.exe
C:\Programme\BT500\BTStackServer.exe
C:\Programme\Realtek\Rtl8180\RtlWake.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWIN.EXE
C:\Programme\Trojancheck 6\tcguard.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Marc Privat\Eigene Dateien\Downloads\Highjackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\cnglc.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://cnglc.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\cnglc.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://cnglc.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\cnglc.dll/sp.html#96676
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {CFEE94A2-6DC5-1DD4-6319-B8255C0DD757} - C:\WINDOWS\msmr32.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IW ControlCenter] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
O4 - HKLM\..\Run: [VOBID] C:\Programme\Pinnacle\InstantCDDVD\InstantDrive\InstantDrive.exe /remount
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [ievi.exe] C:\WINDOWS\system32\ievi.exe
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [a²] "C:\Programme\a2\a2guard.exe"
O4 - Startup: BHODemon.lnk = C:\Programme\BHODemon\BHODemon.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Fax.lnk = C:\Programme\Teledat\TelFax32.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: RtlWake.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: XM2002® (HKLM)
O9 - Extra 'Tools' menuitem: &XM2002® (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.gericom.com
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: Yahoo! Checkers - http://download.games.yahoo.com/games/clients/y/kt3_x.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {01FE8D0A-51AD-459B-B62B-85E135128B32} (DD_v4.DDv4) - http://www.drivershq.com/DD_v4.CAB
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/038cd80fdc4252cc5b05/netzip/RdxIE601_de.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040105/qtinstall.info.apple.com/mickey/de/win/QuickTimeInstaller.exe
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - http://god.t-online.de/download/ExentCtl.ocx
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O16 - DPF: {F57D17AE-CE37-4BC8-B232-EA57747BE5E7} - http://66.230.146.53/EPlugin_DE2.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1DFF76BE-7680-446D-833E-066CE9ABBBAC}: NameServer = 192.168.121.252,192.168.121.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{9647504B-62A0-44E3-B4D4-00FD8284EB9F}: NameServer = 217.237.150.33 194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{1DFF76BE-7680-446D-833E-066CE9ABBBAC}: NameServer = 192.168.121.252,192.168.121.253

Es ist übrigens immernoch ruhig!  

@ shakess77

Hab gerade gelesen, dass man keine Log-Files hinten an einen Thread ranschreiben darf. Ich hab es leider auch falsch gemacht! Schreib doch dein Log-File nochmal zusammen mit deinem Anliegen in einen neues Thread. Da wird dir garantiert geholfen!