Brauche Hilfe bei nem highjackthis-logfile! Malware

  • geschlossen
  • Problem

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Brauche Hilfe bei nem highjackthis-logfile! Malware

    Hallo allerseits!

    Ich habe ein großes Problem mit einer Art Malware. Das denke ich zumindest. Das Problem besteht darin, dass im Abstand von einigen Sekunden immer die folgende Seite aufgemacht wird (NICHT DRAUF GEHEN -> ) h**p://demd0.fortunecity.com/ Auf der Seite stand heute mittag noch was von einem Farbkreis und der "Wie alt werden Sie"-Werbung. Jetzt wird darauf hingewiesen, dass es adaware ist. Es steht der folgende Link da und es wird gesagt, dass diese Seite geloggt wurde oder so. h**p://www.spywareinfo.com/articles/hijacked. Ich war auf der Seite, ich fand sie vertrauenswürdig. Weiß jemand ob man dieser Seite vertrauen kann?

    Ich habe bisher folgendes versucht:
    Kaspersky 7.0, SpySweeper, Spybot S&D. Das hat im Grunde nichts genutzt, es wurde ab und zu was gefunden, an diesem Problem hat sich jedoch nichts geändert. Ich habe auch Firefox neu installiert und die persönlichen Daten gelöscht. Das hat es auch nicht gebracht.

    Dann habe ich mit highjackthis gescannt und meiner Meinung nach den/die Übeltäter gefunden. Ich glaube es sind die ersten paar Einträge, die mit R1 oder R0 beginnen. Da steht nämlich auch die Internetadresse, die immer wieder aufgerufen wird.

    Hier mal der Logfile (wenn diese Art des Postings nicht richtig ist, berichtigt mich bitte):

    Logfile of HijackThis v1.99.1
    Scan saved at 19:29:15, on 31.07.2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\ANYCOM\Blue USB-200-250\bin\btwdins.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\msdl.exe
    C:\Programme\Synaptics\SynTP\SynTPEnh.exe
    C:\Programme\Security\Zone Labs\ZoneAlarm\zlclient.exe
    C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
    C:\Programme\D-Link\AirPlus G\AirGCFG.exe
    C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
    C:\Programme\Player\Audio\Winamp\winampa.exe
    C:\WINDOWS\system32\avgaurd.exe
    C:\Programme\Brennen und kopieren\DAEMON Tools Pro\DTProAgent.exe
    C:\Programme\ANYCOM\Blue USB-200-250\BTTray.exe
    C:\PROGRA~1\Webshots\Webshots.scr
    C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
    C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
    C:\Programme\Uni\WLan\Cisco Systems\VPN Client\cvpnd.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\Programme\AntiVir PersonalEdition Classic\sched.exe
    C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
    C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
    C:\WINDOWS\system32\avgnd.exe
    C:\Programme\Internet\Messenger\ICQLite5.1\ICQLite.exe
    C:\Programme\Internet\Browser\Mozilla Firefox\firefox.exe
    C:\Dokumente und Einstellungen\myname\Eigene Dateien\Downloads\hijackthis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p: //h**p://demd0.fortunecity.com/search
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p: //h**p://demd0.fortunecity.com/search
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p: //h**p://demd0.fortunecity.com/search
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Farbkreis Informationen
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p: //h**p://demd0.fortunecity.com/search
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = h**p: //h**p://demd0.fortunecity.com/search
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer Highjacked!!
    O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {2843E1DB-CA97-46C0-B6C0-7D28FAE0C522} - C:\WINDOWS\system32\nvwrsjad.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe
    O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Security\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
    O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Brennen und kopieren\CloneCD\CloneCDTray.exe" /s
    O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Programme\D-Link\AirPlus G\AirGCFG.exe
    O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Player\Audio\Winamp\winampa.exe
    O4 - HKLM\..\Run: [avgaurd] C:\WINDOWS\system32\avgaurd.exe
    O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
    O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "C:\Programme\Brennen und kopieren\DAEMON Tools Pro\DTProAgent.exe"
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\Internet\Messenger\ICQLite5.1\ICQLite.exe -trayboot
    O4 - Startup: Webshots.lnk = C:\Programme\Webshots\Launcher.exe
    O4 - Global Startup: BTTray.lnk = ?
    O4 - Global Startup: VPN Client.lnk = ?
    O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\ANYCOM\Blue USB-200-250\btsendto_ie_ctx.htm
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll
    O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\npjpi160_02.dll
    O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\Internet\Messenger\ICQLite5.1\ICQLite.exe
    O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\Internet\Messenger\ICQLite5.1\ICQLite.exe
    O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\ANYCOM\Blue USB-200-250\btsendto_ie.htm
    O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\ANYCOM\Blue USB-200-250\btsendto_ie.htm
    O17 - HKLM\System\CCS\Services\Tcpip\..\{D59A72A9-C4EC-4418-82E3-58F3D91D9A5E}: NameServer = 81.14.243.9 81.14.244.9
    O17 - HKLM\System\CCS\Services\Tcpip\..\{E5B0BD9A-9AFC-4C73-A894-A3642C3BD780}: NameServer = 192.168.178.1
    O20 - Winlogon Notify: klogon - C:\WINDOWS\
    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
    O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
    O23 - Service: AddFiltr - Unknown owner - C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\AddFiltr.exe (file missing)
    O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
    O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\ANYCOM\Blue USB-200-250\bin\btwdins.exe
    O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Uni\WLan\Cisco Systems\VPN Client\cvpnd.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

    Die Einträge mit R1 und R0 habe ich gefixt, auch im abgesicherten Modus. Sie sind aber nach jedem Neustart wieder da. Und auch nach dem fixen ohne Neustart öffnet sich immer noch die Seite.

    Ich bin total am Verzweifeln, ich habe alles getan, was mir eingefallen ist. Ich muss doch wohl wegen sonem Dreck nicht schon wieder formatieren, oder? Bitte, wenn jemand irgendwas weiß, immer her damit. Bitte, bitte. Und wenn irgendwas fehlt oder ich es falsch gepostet habe, bitte sagt es mir, ich ändere es.

    Danke schonmal an jeden, der es sich durchliest!
  • Also formatieren musst Du da auf keinen Fall was...
    sind doch nur die such+start-sites oder so, die verändert wurden...

    jetz mal nicht direkt zu dem Problem, aber soweit ich weiß, ist das garnicht gut
    wenn man zwei Antiviren-Programme hat..
    Antivir+Kaspersky :confused:

    Kaspersky reicht doch vollkommen aus ;)

    Vielleicht auch etwas zu viel Paranoia...
    >Spybot - Search & Destroy
    >ZoneAlarm
    >AntiVir PersonalEdition Classic
    >Kaspersky Anti-Virus 7.0
    >Ad-Aware 2007

    ..hab -kaspersky (am besten holst du dir die Internet-Security),
    -XP-Clean (da kannst Du auch z.B. einstellen, das die Search und Startseiten nicht verändert werden können ;))
    und das wars...= keine probleme (na vllt. noch'ne Firewall- von Sygate z.B.)

    ...Ach Ja !!! Benutze Firefox !!

    in diesem Sinne...

    MfG FTP
  • Zunächst mal muss ich meinem Vorredner recht geben. Wozu brauchst Du zwei Virenprogramme, die können Dir den Rechner zerschlagen...in Deinem Fall vertragen die sich wohl. ;)
    Das sieht ganz nach einem Browser Hijacker aus, ich würde mal die Systemwiederherstellung deaktivieren und dann Einträge R0 + R1 fixen, anschließend SWH aktivieren und nochmal ein HJT posten
  • hat schon jemand geschrieben, dass es nicht gut ist zwei virenscanner laufen zu haben??? ;) :D

    bei den anderen tools ist es egal - das is ok die drauf zu haben und hat mit paranoia nicht viel zu tun!

    oki - ansonsten die R1-einträge fixen - haste auch schon gemacht...
    - dann fiel mir aber auch das hier auf:
    O2 - BHO: (no name) - {2843E1DB-CA97-46C0-B6C0-7D28FAE0C522} - C:\WINDOWS\system32\nvwrsjad.dll

    hijackthis erkennt das zwar nicht als böse - aber ich hab mal danach gegoogled und nichts (GARNICHTS) dazu gefunden - schon ungewöhnlich?! :confused:

    vielleicht kannste mal rausbekommen, zu welchem prog das teil gehört...?!
    um sicher zu gehen, dass du dir nicht irgendein rootkit eingefangen hast (ich hatte das mal und da haben sich auch u.a. immer wieder die starteinträge auf irgendnen shice eingestellt) solltest du dir mal die kostenlosen anti-rootkits von panda und sophos runterladen und drüberjagen!

    greetz

    janus
    --=== wanna receive a smile? - give a smile! ===--
    oooo
    wanna see my BL?