Internet Explorer öffnet andere als die gefundene Seite

LOG FILE FORTSETZUNG

O2 - BHO: (no name) - {202a961f-23ae-42b1-9505-ffe3c818d717} - C:\Programme\IntCodec\isaddon.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\Raiffeisen OnLine InternetSecurity\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\Raiffeisen OnLine InternetSecurity\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Programme\Raiffeisen OnLine InternetSecurity\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [News Service] "C:\Programme\Raiffeisen OnLine InternetSecurity\FSGUI\ispnews.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [SystemDoctor 2006 Free] C:\Programme\SystemDoctor 2006 Free\sd2006.exe -scan
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PhonostarAgent] C:\Programme\phonostar\ps_agent.exe
O4 - HKCU\..\Run: [PhonostarTimer] C:\Programme\phonostar\ps_timer.exe
O4 - HKCU\..\Run: [VoipStunt] "C:\programme\voipstunt.com\voipstunt\voipstunt.exe" -nosplash -minimized
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SystemDoctor 2006 Free] C:\Programme\SystemDoctor 2006 Free\sd2006.exe -scan
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet
O4 - Startup: USB Phone Driver.lnk = ?
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Raiffeisen OnLine InternetSecurity.lnk = C:\Programme\Raiffeisen OnLine InternetSecurity\backweb\7936210\Program\fspex.exe
O4 - Global Startup: Verknüpfung mit Fax.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\npjpi150_09.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\npjpi150_09.dll
O9 - Extra button: IE-Schutzschild - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Programme\Raiffeisen OnLine InternetSecurity\Anti-Spyware\ieshield.dll
O9 - Extra 'Tools' menuitem: IE-Schutzschild... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Programme\Raiffeisen OnLine InternetSecurity\Anti-Spyware\ieshield.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.raiffeisen.it/
O16 - DPF: Yahoo! Chess - http://download.games.yahoo.com/games/clients/y/ct5_x.cab
O16 - DPF: Yahoo! Dominoes - http://download.games.yahoo.com/games/clients/y/dot8_x.cab
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/pote_x.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {AADFFE48-8DBD-4B56-8F70-2A6CF29F548A} (WebSF Control) - http://mytel.ecs.net/WebSF.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) -
http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O16 - DPF: {FF536F77-656B-4863-96F7-B7C8DBF342E3} (WebPhone Control) - http://www.abbeyphone.com/activex/WebPhone-1.2.5.2_light.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{03D755A5-FD73-4B09-B617-406E9549B53F}: NameServer = 85.255.116.69,85.255.112.91
O17 - HKLM\System\CCS\Services\Tcpip\..\{3C3EE159-5FAB-4593-BADE-388BDC426D98}: NameServer = 85.255.116.69,85.255.112.91
O17 - HKLM\System\CCS\Services\Tcpip\..\{3F202105-ADE2-454A-9257-453D29B575FB}: NameServer = 85.255.116.69,85.255.112.91
O17 - HKLM\System\CCS\Services\Tcpip\..\{44E8BBA1-AD9D-4568-9D7B-F37F98D57CA3}: NameServer = 85.255.116.69,85.255.112.91
O17 - HKLM\System\CCS\Services\Tcpip\..\{5B9A324E-4CE3-4C82-9D9F-AC94B1F64280}: NameServer = 85.255.116.69,85.255.112.91
O17 - HKLM\System\CCS\Services\Tcpip\..\{6ABEF0A1-A97C-42FD-AC03-04CFD44527E5}: NameServer = 85.255.116.69,85.255.112.91
O17 - HKLM\System\CCS\Services\Tcpip\..\{ADAD18ED-8A74-46AD-A078-A2515B178BAF}: NameServer = 85.255.116.69,85.255.112.91
O17 - HKLM\System\CCS\Services\Tcpip\..\{B9C62A84-1B14-4ABC-B9FD-6F3B24D83198}: NameServer = 85.255.116.69,85.255.112.91
O17 - HKLM\System\CCS\Services\Tcpip\..\{E91BFB37-23DF-416E-8BF6-4810E100B0A1}: NameServer = 85.255.116.69,85.255.112.91
O17 - HKLM\System\CCS\Services\Tcpip\..\{EBC7AEB1-CC54-492B-A684-BF5C56F45F02}: NameServer = 85.255.116.69,85.255.112.91
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.69 85.255.112.91
O17 - HKLM\System\CS1\Services\Tcpip\..\{03D755A5-FD73-4B09-B617-406E9549B53F}: NameServer = 85.255.116.69,85.255.112.91
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.69 85.255.112.91
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Raiffeisen OnLine InternetSecurity (BackWeb Plug-in - 7936210) - Raiffeisen OnLine InternetSecurity - C:\PROGRA~1\RAIFFE~1\backweb\7936210\Program\SERVIC~1.EXE
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corporation - C:\Programme\Raiffeisen OnLine InternetSecurity\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Programme\Raiffeisen OnLine InternetSecurity\backweb\7936210\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\Raiffeisen OnLine InternetSecurity\FWES\Program\fsdfwd.exe
O23 - Service: FSMA - F-Secure Corporation - C:\Programme\Raiffeisen OnLine InternetSecurity\Common\FSMA32.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: SFUSVC - KYOCERA MITA CORPORATION - C:\Programme\Kyocera\FileUtility\SFUSVC.exe

Hi,
hinter diesen Eintrag steckt die Malware AdWare.Win32.Webdir:
O2 - BHO: CvgraphObj Object - {12355F3E-90C3-41AA-8705-15969AF7F210} - C:\WINDOWS\vgraph.dll

Bitte dies mit HijackThis fixen !
Die Schnellanleitung:
Öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neu starten

Alle O17 sind Böse und sind ebenfalls unbedingt zu fixen!
Durch diese Einträge läuft dein Internetverkehr über die Ukraine, noch Fragen?

Diese Einträge sind unnötige und können auch gefixt werden, sind übrigens Reste von Malware:

O2 - BHO: MyWay Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - C:\Programme\MyWay\SrchAstt\1.bin\MYSRCHAS.DLL (file missing)

O2 - BHO: (no name) - {202a961f-23ae-42b1-9505-ffe3c818d717} - C:\Programme\IntCodec\isaddon.dll (file missing)

Frage:
Wie alt ist dein Virenscanner ?
Das was uns der Logfile of HijackThis verrät,
passt irgend wie nicht dem Schutzprogramm F-Secure Internet Security zusammen !


Lösche bitte vorsorglich deinen Browser-Cache und alle sonstigen Temporären Dateien,
ebenso den Papierkorb. Benutze dazu einfach die Freeware CCleaner,
http://www.ccleaner.com/ccdownload.asp
und führe den Befehl Cleaner aus.
Zur Kontrolle sollte noch eine Überprüfung mit dem kostenlosen Online-Scanner Ewido  vorgenommen werden.
Zum Teil in Englisch und nur für Windows XP und 2000
http://www.ewido.net/de/onlinescan/
Gut bei der Spyware / Adware Erkennung und Beseitigung.
Wenn Malware entdeckt, muss nach dem Scan der Button “Remove Infections“ gedrückt werden, damit die Schadprogrammen automatisch beseitigen.
(Eventuellen Meldungen beim Scan von Ewido unter “TrackingCookie“ sind harmlos und stellen keine akute Gefahr dar)
Poste bitte das ausführliche Scanergebniss hier.
Aktualisiere dein Schutzprogramm F-Secure und scanne damit ebenfalls mal den kompletten PC.

Ich glaube zumindest, Eure Anweisungen ausgeführt zu haben und dachte es wäre wieder alles ok, aber das Problem mit den falschen Seiten bleibt. Wahrscheinlich habe ich trotzdem etwas falsch gemacht

Hier das neue Log-File:
Logfile of HijackThis v1.99.1
Scan saved at 16:31:29, on 23.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\RAIFFE~1\backweb\7936210\Program\SERVIC~1.EXE
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Raiffeisen OnLine InternetSecurity\Anti-Virus\fsgk32st.exe
C:\Programme\Raiffeisen OnLine InternetSecurity\Anti-Virus\FSGK32.EXE
C:\Programme\Raiffeisen OnLine InternetSecurity\backweb\7936210\program\fsbwsys.exe
C:\Programme\Raiffeisen OnLine InternetSecurity\Anti-Virus\fssm32.exe
C:\Programme\Raiffeisen OnLine InternetSecurity\Common\FSMA32.EXE
C:\Programme\Raiffeisen OnLine InternetSecurity\Common\FSMB32.EXE
C:\Programme\Kyocera\FileUtility\SFUSVC.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\fxssvc.exe
C:\Programme\Raiffeisen OnLine InternetSecurity\Common\FCH32.EXE
C:\Programme\Raiffeisen OnLine InternetSecurity\Common\FAMEH32.EXE
C:\Programme\Raiffeisen OnLine InternetSecurity\Anti-Virus\fsqh.exe
C:\Programme\Raiffeisen OnLine InternetSecurity\Anti-Virus\fsrw.exe
C:\Programme\Raiffeisen OnLine InternetSecurity\FWES\Program\fsdfwd.exe
C:\Programme\Raiffeisen OnLine InternetSecurity\Anti-Virus\fsav32.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\ATI-CPanel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\GSICON.EXE
C:\WINDOWS\system32\dslagent.exe
C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE
C:\Programme\Raiffeisen OnLine InternetSecurity\Common\FSM32.EXE
C:\Programme\Raiffeisen OnLine InternetSecurity\FSGUI\ispnews.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\phonostar\ps_agent.exe
C:\Programme\phonostar\ps_timer.exe
C:\programme\voipstunt.com\voipstunt\voipstunt.exe
C:\Programme\Skype\Phone\Skype.exe
C:\PROGRA~1\RAIFFE~1\ANTI-S~1\fsaw.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Raiffeisen OnLine InternetSecurity\FSGUI\fsguidll.exe
C:\Programme\Raiffeisen OnLine InternetSecurity\backweb\7936210\Program\fspex.exe
C:\Programme\USB Phone Driver\USB VoIP Driver.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Oekotherm\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.rolbox.net:8080;https=proxy.rolbox.net:8080;ftp=proxy.rolbox.net:8080;gopher=proxy.rolbox.net:8080
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\Raiffeisen OnLine InternetSecurity\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\Raiffeisen OnLine InternetSecurity\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Programme\Raiffeisen OnLine InternetSecurity\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [News Service] "C:\Programme\Raiffeisen OnLine InternetSecurity\FSGUI\ispnews.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PhonostarAgent] C:\Programme\phonostar\ps_agent.exe
O4 - HKCU\..\Run: [PhonostarTimer] C:\Programme\phonostar\ps_timer.exe
O4 - HKCU\..\Run: [VoipStunt] "C:\programme\voipstunt.com\voipstunt\voipstunt.exe" -nosplash -minimized
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - Startup: USB Phone Driver.lnk = ?
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Raiffeisen OnLine InternetSecurity.lnk = C:\Programme\Raiffeisen OnLine InternetSecurity\backweb\7936210\Program\fspex.exe
O4 - Global Startup: Verknüpfung mit Fax.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\npjpi150_09.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\npjpi150_09.dll
O9 - Extra button: IE-Schutzschild - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Programme\Raiffeisen OnLine InternetSecurity\Anti-Spyware\ieshield.dll
O9 - Extra 'Tools' menuitem: IE-Schutzschild... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Programme\Raiffeisen OnLine InternetSecurity\Anti-Spyware\ieshield.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.raiffeisen.it/
O16 - DPF: Yahoo! Chess - http://download.games.yahoo.com/games/clients/y/ct5_x.cab
O16 - DPF: Yahoo! Dominoes - http://download.games.yahoo.com/games/clients/y/dot8_x.cab
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/pote_x.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {AADFFE48-8DBD-4B56-8F70-2A6CF29F548A} (WebSF Control) - http://mytel.ecs.net/WebSF.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O16 - DPF: {FF536F77-656B-4863-96F7-B7C8DBF342E3} (WebPhone Control) - http://www.abbeyphone.com/activex/WebPhone-1.2.5.2_light.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Raiffeisen OnLine InternetSecurity (BackWeb Plug-in - 7936210) - Raiffeisen OnLine InternetSecurity - C:\PROGRA~1\RAIFFE~1\backweb\7936210\Program\SERVIC~1.EXE
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corporation - C:\Programme\Raiffeisen OnLine InternetSecurity\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Programme\Raiffeisen OnLine InternetSecurity\backweb\7936210\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\Raiffeisen OnLine InternetSecurity\FWES\Program\fsdfwd.exe
O23 - Service: FSMA - F-Secure Corporation - C:\Programme\Raiffeisen OnLine InternetSecurity\Common\FSMA32.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: SFUSVC - KYOCERA MITA CORPORATION - C:\Programme\Kyocera\FileUtility\SFUSVC.exe

Hallo,
leider hast du Pech gehabt...
Du hast diesen im System :http://www.sophos.de/security/analyses/w32forbotfl.html
Da hilft nur Neuaufsetzen,alles andere ist Frickelei one Garantie
Sir Reklov

Hallo Sir Reklov,

danke für die rasche Antwort, aber habe ich das richtig verstanden? Ich muss alles formatieren? Der PC hängt an einem internen Netzwerk mit 100ten von Einstellungen, die ich selbst nie im Leben hinbekomme?

Reicht es möglicherweise nicht, nur gewisse Programme oder Verzeichnisse zu eliminieren?
Wenn nicht, plage ich mich lieber mit diesem Problem herum als mit allen Neueinstellungen. Aber ist mein PC derzeit zumindest vor unberechtigten Zugriffen auf die Daten geschützt oder ist mein PC jetzt ein offenes Buch für alle?

Danke

Hallo,
leider hast du Pech gehabt...
Du hast diesen im System :http://www.sophos.de/security/analyses/w32forbotfl.html
Da hilft nur Neuaufsetzen,alles andere ist Frickelei one Garantie
Sir Reklov

Sir Reklov, ich sehe davon nichts! Ich denke dir ist hier ein Fehler unterlaufen, oder ich blind?

@ mthomaser
Warte mit dem formatieren ab. Erst müssen wir herausfinden, was genau deinen PC ärgert.
Das ist erst mal Wichtig!
Scanne deinen PC o.b. mit Ewido und poste unbedingt den Scanbericht hier.
Ebenso scanne mit deinen Antivirusprogramm den Computer und poste auch diesen Bericht vollständig hier.
   

Hallo,
 

Ich denke dir ist hier ein Fehler unterlaufen

Ist auch schon vorgekommen... In diesem Fall aber eher nicht..

 

oder ich blind?

Partitielle Blindheit kann jeden treffen...

 

ich sehe davon nichts!

Aber den Link von Sophos hast du zu Ende gelesen. Da wird der Prozess dazu explizieht genannt,wenn ich ihn poste kenne ich die Reaktion des Threaderstellers schon...

 http://www.sophos.de/security/analyses/w32forbotfl.html
@mthomaser
Lies dir die Beschreibung für das Vieh mal in Ruhe durch...da steht genau dabei was er macht und was er kann.
Es ist dein Rechner und du darfst selbstverständlich damit tun und lassen was du möchtest..
Sir Reklov

Aber den Link von Sophos hast du zu Ende gelesen.

Ich schon, du auch ?

Du verrennst dich da in etwas, was gar nicht möglich ist.
Der User hat Windows XP SP2 auf seinen Rechner, der Wurm,
der laut der Meinung den PC befallen hat ist aus August 2005 und nützt eine Lücke in Windows aus (MS04-011) die unter dem SP2 definitiv gepacht ist!
Ergebnis, der Wurm W32/Forbot-FL kann den Computer von mthomaser nicht infizieren.
 

Hier der EWIDO OUTPUT.
Ich hatte allerdings diesen Check schon mal durchlaufen lassen und alle "infections removed". Jetzt sind diese schon wieder da?

Mein Antivirus-Programm werde ich heute nacht durchlaufen lassen.
__________________________________________________
ewido anti-spyware online scanner
   http://www.ewido.net
__________________________________________________


Name: Downloader.Zlob.aty
Path: [860] VM_03530000
Risk: High

Name: Downloader.Zlob.aty
Path: [884] VM_00C70000
Risk: High

Name: Downloader.Zlob.aty
Path: [364] VM_009F0000
Risk: High

Name: Downloader.Zlob.aty
Path: [1268] VM_00D40000
Risk: High

Name: Downloader.Zlob.aty
Path: [1492] VM_009B0000
Risk: High

Name: Downloader.Zlob.aty
Path: [1552] VM_00390000
Risk: High

Name: Downloader.Zlob.aty
Path: [1632] VM_003C0000
Risk: High

Name: Downloader.Zlob.aty
Path: [1104] VM_01A40000
Risk: High

Name: Downloader.Zlob.aty
Path: [2664] VM_009D0000
Risk: High

Name: Downloader.Zlob.aty
Path: [2700] VM_00C20000
Risk: High

Name: Downloader.Zlob.aty
Path: [2844] VM_009B0000
Risk: High

Name: Downloader.Zlob.aty
Path: [2860] VM_009E0000
Risk: High

Name: Downloader.Zlob.aty
Path: [2884] VM_00BB0000
Risk: High

Name: Downloader.Zlob.aty
Path: [2924] VM_00AB0000
Risk: High

Name: Downloader.Zlob.aty
Path: [2940] VM_00900000
Risk: High

Name: Downloader.Zlob.aty
Path: [2948] VM_009D0000
Risk: High

Name: Downloader.Zlob.aty
Path: [2956] VM_009E0000
Risk: High

Name: Downloader.Zlob.aty
Path: [2980] VM_01370000
Risk: High

Name: Downloader.Zlob.aty
Path: [3000] VM_020D0000
Risk: High

Name: Downloader.Zlob.aty
Path: [3172] VM_00990000
Risk: High

Name: Downloader.Zlob.aty
Path: [3412] VM_009F0000
Risk: High

Name: Downloader.Zlob.aty
Path: [3504] VM_00890000
Risk: High

Name: Downloader.Zlob.aty
Path: [3896] VM_00D50000
Risk: High

Name: Downloader.Zlob.aty
Path: [2648] VM_009C0000
Risk: High

Name: Downloader.Zlob.aty
Path: [1036] VM_011F0000
Risk: High

Name: Downloader.Zlob.aty
Path: [1736] VM_009A0000
Risk: High

Name: Downloader.Zlob.aty
Path: [680] VM_00880000
Risk: High

Name: Downloader.Zlob.aty
Path: [3620] VM_003D0000
Risk: High

Name: Downloader.Zlob.aty
Path: [280] VM_003D0000
Risk: High

Name: Downloader.Zlob.aty
Path: [2776] VM_003D0000
Risk: High

Name: Downloader.Zlob.aty
Path: [1064] VM_00E60000
Risk: High

Name: Downloader.Zlob.aty
Path: [4020] VM_003D0000
Risk: High

Name: Downloader.Zlob.aty
Path: [3252] VM_01EC0000
Risk: High

Name: Adware.WinAD
Path: C:\System Volume Information\_restore{30DBA0C7-A9F6-41CE-853E-91D89AFB1FA6}\RP535\A0128238.exe
Risk: Medium

Name: Adware.WebHancer
Path: C:\System Volume Information\_restore{30DBA0C7-A9F6-41CE-853E-91D89AFB1FA6}\RP535\A0128240.dll
Risk: Medium

Name: Adware.Webhancer.a
Path: C:\System Volume Information\_restore{30DBA0C7-A9F6-41CE-853E-91D89AFB1FA6}\RP535\A0128241.exe
Risk: Medium

Name: Adware.WebHancer
Path: C:\System Volume Information\_restore{30DBA0C7-A9F6-41CE-853E-91D89AFB1FA6}\RP535\A0128244.exe
Risk: Medium

Name: Adware.WinAD
Path: C:\System Volume Information\_restore{30DBA0C7-A9F6-41CE-853E-91D89AFB1FA6}\RP535\A0128246.exe
Risk: Medium

Ewido findet den Downloader.Zlob.aty nur im Speicher, aber nicht die dafür verantwortlichen Daten auf der Festeplatte, da hier ist ein Rootkit aktiv ist !

Deshalb checke deinen PC zuvor unbedingt noch mit dem kostenlosen Tool BlackLight von F-Secure:
https://europe.f-secure.com/exclude/blacklight/index.shtml
Findet Blacklight verdächtige Dateien, dann führe nach den Scan die Funktion “Renamend“ aus, drücke dazu einfach den entsprechenden Button.
Im Anschluss sollte der PC sofort neu gebootet werden !

Ich habe jetzt Black Light ausgeführt.
Er hat ein File gefunden und ich habe es umbenennen lassen und neu gestartet.

Hier das Log-File

11/24/06 13:06:40 [Info]: BlackLight Engine 1.0.47 initialized
11/24/06 13:06:40 [Info]: OS: 5.1 build 2600 (Service Pack 2)
11/24/06 13:06:40 [Note]: 7019 4
11/24/06 13:06:40 [Note]: 7005 0
11/24/06 13:06:45 [Note]: 7006 0
11/24/06 13:06:45 [Note]: 7011 680
11/24/06 13:06:45 [Note]: 7026 0
11/24/06 13:06:45 [Note]: 7026 0
11/24/06 13:07:09 [Note]: FSRAW library version 1.7.1020
11/24/06 13:21:54 [Info]: Hidden file: c:\WINDOWS\system32\kdmsy.exe
11/24/06 13:21:54 [Note]: 7002 32
11/24/06 13:21:54 [Note]: 7003 1
11/24/06 13:21:54 [Note]: 10002 1
11/24/06 14:14:25 [Note]: 7007 0

Gut, damit sollte der Downloader.Zlob.aty beseitigt sein und dein Problem
mit dem öffnen von ungewollten Seiten bei google ebenfalls.

Scanne aber erneut mit Ewido den PC noch mal und poste den Bericht hier !
Eine Frage ist noch nicht beantwortet:
Hast du noch eine gültig Lizenz für das Antivirenprogramm ?
Poste bitte hier auch, wie bereits gefordert, einen aktuellen Scanbericht !

Hallo,
ich will nochmal kurz dazusenfen..
"Zlob" könnte deshalb ohne Pfad sein ,weil das hier ohne Datei ist :
 

O2 - BHO: (no name) - {202a961f-23ae-42b1-9505-ffe3c818d717} - C:\Programme\IntCodec\isaddon.dll (file missing)

Codec`s bringen in letzter eit den "zlob" mit.....

 

und nützt eine Lücke in Windows aus (MS04-011) die unter dem SP2 definitiv gepacht ist!
 

Für Einzelplatzrechner völlig richtig,im Netzwerk kann auch weiterhin der "Buffer overflow" provuziert werden.Falls das Netzwerk nicht oder schlecht gesichert ist....

@mthomaser
Weißt du für was man ein "Rootkit" benutzt ? "Wikipedia" gibt Auskunft...

 

11/24/06 13:21:54 [Info]: Hidden file: c:\WINDOWS\system32\kdmsy.exe

Ist das die bereits umbenannte Datei ? weißt du den Originalnamen noch ?

 

O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\Raiffeisen OnLine InternetSecurity\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
 

Ist das deine Bankverbindung bzw.dein Arbeitgeber ?

Meine Meinung :
Da du sagst du bist in ein Netzwerk eingebunden,würde ich dir vorschlagen bei dem zuständigen Admin beichten zu gehen....
Irgendwer muß dieses Netzwerk wohl pflegen,oder ? Bei soviel Clienten ist was anderes eigentlich nicht vorstellbar.
Der Admin wird über kurz oder lang merken,das du am rumpfriemeln warst....je nachdem wie der drauf ist,könnte das einen gewaltigen Anschiß bedeuten.Lieber jetzt beichten gehen,als später dem Donnerwetter entgegensehen...
Deine Umleitung in die Ukraine plus dem Rootkit,plus Zlob, plus web hancer,würde mich rennen lassen wie der Teufel...genau in die Arme des Admins...
Ein Ende mit Schrecken ohne Zweifel...
...aber andersrum ist es auch nicht besser....
...und die Wahrscheinlichkeit dazu ist groß,sehr groß...
Sir Reklov