Computerhilfen.de Logo
Forum
Tipps
News

wo ist der Virus?

Also erstmal tut es mir leid das ich hier eure Zeit in Anspruch nehmen muss, aber es ich bekomm das Problem nicht in den Griff. Browser Hijacking ist für mich neu, höre zum ersten Mal davon.
Die Symptome:
-Popups bei aktiviertem google Popup-Blocker
-wenn ich in Word mehrere Dokumente kopiere erscheinen die verschiedenen kopierte Dateien rechts in einem Fenster. Da seh ich dann wie sich diverse URLs rein kopieren... das ist nicht normal.

Ich hab im abgesicherten Modus mit Norton, sypbot und Ad-aware alle viren entfernt, aber das Popupproblem wurde nicht behoben...wahrscheinlich sind die "bösen exe" längst wieder auf`m Rechner...
ich will euch jetzt nicht zulabern. Hier der hijackthis log(unter Running processes kann ich mir ja was vorstellen aber sonst alles böhmische Dörfer für mich.. lustige Klammern und striche, echt schön anzuschauen!):

Logfile of HijackThis v1.98.2
Scan saved at 12:19:47, on 03.09.2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Internetprogramme\Sygate\smc.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
D:\WINDOWS\system32\spoolsv.exe
D:\PROGRAMME\SCANJET\PrecisionScanLT\hppwrsav.exe
D:\Programme\Bluetooth Software\BTTray.exe
D:\Programme\Logitech\MouseWare\system\em_exec.exe
D:\Programme\Bluetooth Software\bin\btwdins.exe
D:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe
D:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
D:\WINDOWS\System32\nvsvc32.exe
D:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
D:\WINDOWS\System32\svchost.exe
D:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe
D:\Internetprogramme\RegCleaner\RegCleanr.exe
D:\Internetprogramme\Ventrilo\Ventrilo.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\Nmain.exe
C:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.52so.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://aflcub.t.muxa.cc/s.php?aid=613 (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://aflcub.t.muxa.cc/s.php?aid=613 (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://aflcub.t.muxa.cc/s.php?aid=613 (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://aflcub.t.muxa.cc/h.php?aid=613 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://aflcub.t.muxa.cc/s.php?aid=613 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://aflcub.t.muxa.cc/h.php?aid=613 (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://aflcub.t.muxa.cc/h.php?aid=613 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/service/redir/tosw5_webtour.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: MxTargetObj Class - {0000607D-D204-42C7-8E46-216055BF9918} - D:\WINDOWS\mxTarget.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Internetprogramme\Spybot\SDHelper.dll
O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\programme\google\googletoolbar2.dll
O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - D:\WINDOWS\System32\nvms.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - D:\WINDOWS\System32\mscb.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - D:\WINDOWS\System32\msbe.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [hppwrsav] D:\PROGRAMME\SCANJET\PrecisionScanLT\hppwrsav.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SmcService] D:\INTERN~1\Sygate\smc.exe -startgui
O4 - HKLM\..\Run: [SSC_UserPrompt] D:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: &Google Search - res://d:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://d:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Send To &Bluetooth - D:\Programme\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Verweisseiten - res://d:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://d:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Programme\ICQ\ICQ.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - D:\Programme\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - D:\Programme\Bluetooth Software\btsendto_ie.htm
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v45/yacscom.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web8.cab
O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{ADD943E1-A250-4B01-BC34-7D2083BA1DB5}: NameServer = 192.168.2.1

Also mir ist da nichts aufgefallen was vielleicht nicht da rein gehören könnte.
MfG Michael



Antworten zu wo ist der Virus?:

*hust* ja natürlich hab ich erst nach dem ersten Post gelesen was man alles beachten soll...

Betriebssystem: Windows-XP Professional
Browser: Internet Explorer 6.0.2600
Benutzet Software um Problem zu lösen: Norton Antivirus 2004, Spybot Search&Destroy, Ad-aware. Desweiteren wird mein PC durch eine Router Firewall geschützt und zusätzlich durch die kostenlose smc personal Firewall. Es ist mir ein Rätsel wie ich den scheiß überhaupt bekommen hab, aber so ist es halt wenn die kleinen Brüder auch an den PC gehen.
- alle Programme sind auf dem neusten Stand, was allerdings noch zu erwähnen ist: Die Norton Autoprotect Funktion ist nicht Verfügbar. Anscheinend auch kaputt.

Hier übrigens der Link, der in diesem Word-Zwischenspeicher auftaucht:
http://master.mx-targeting.com/mx/servlet/MXTarget?adcontext=http://www.computerhilfen.de/sicherheits-hilfe.html&contextpeak=0&contextcount=0&countrycodein=DE&lastAdTime=0|0|0|0|0|1094210634|0|0|0|&lastAdCode=6&cookie1=lflshdt%3D1094071714%26capdatedy%3D0903%26lstlogdt%3D20040903%26capdate%3D037%26capcntdy%3D10%26cntp%3Ddialup%26capcnt%3D2%26&cookie

MfG Michael

Hier Escan runterladen->updaten wie beschrieben->Offline gehn->Systemwiederherstellung deaktivieren

Temp-Ordner + Temporäre Internetfiles leeren und wenn Java-Sun installiert ist, den Java-Cache.

Dann in den abgesicherten-Modus booten->escan starten(doppelklick mwavscan.com)->zusätzlich alle Laufwerke und Services auswählen und das system damit scannen.

Danach ganz normal booten und wenns immernoch so ist nochmal ein LOG machen mit HIjackthis V1.98.2
Wenn nicht die Systemwiederherstellung wieder aktivieren und gut.

Gruß

Juhu!
Es geht alles wieder. Trotzdem denke ich ernsthaft darüber nach den Browser zu wechseln... es kann ja nicht angehen das trotz Software und Hadwarefirewall der Browser eine so große Sicherheitslücke darstellt.
MfG michi
Ach hätt ich fast vergessen: ein herzliches DANKESCHÖN! :-*


« cpu-auslastung vonb 100% !!!w32spybot.worm »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!