Trojaner?

Hi!

Jo, Du hast Dir was eingefangen. Sieht ein bisschen nach Zlob-Variante aus.

Ohne Garantie : Rechner im abgesicherten Modus neu starten und Antispyware-Tools wie Ad-Aware oder Spybot drüberlaufen lassen + einen ordentlichen Virenscan durchführen.

Erstell bitte auch mal ein Hijackthis-Log und poste das hier.

Ach ja : lass mal den Internet Explorer weg, bitte 

hab ad-aware u antivir durchlaufen lassen. antivir hat 2 von den exe-dateien auch als trojaner angezeigt... nur bleibt jetzt noch das problem mit der startseite... u ist wirklich alles weg?

noch einen gefunden
TR/Dldr.Zlob.AIZ

Naja, dann hoffe ich mal, daß die Kiste im abgesicherten Modus läuft.
Waren es denn bis jetzt immer die gleichen Funde? Also Zlob.AIZ?

nein, das war der erste sonst nur die beiden .exe-dateien

hab mir das grade mit highjackthis angeschaut aber wo kann ich das downloaden u wie mache ich das mit dem abgesicherten modus? eigentlich über F8 oder? nur gehts irgendwie nicht???

Ja, richtig. Rechner booten und während dem Hochfahren F8 drücken, bis das Bootmenü erscheint. Wobei ich mal annehme, daß Du Win2000 oder XP hast

HJT bekommst Du über http://download.hijackthis.eu/hijackthis_199.zip

Hey,

dann schalt ich mich hier auch mal ein...
Deaktiviere deine Systemwiederherstellung.
Dann: Lade dir von der Kaspersky Homepage den Scanner herunter und lass ihn im Abgesicherten Modus durchlaufen. Natürlich mit Upgedateten Virensignaturen, ok?
Lösche alles was er findet.
Jetzt bootest du den Computer von einer Knoppix Cd oder mit einer LiveLinux Cd. untersuche mit den darauf enthaltenen Programmen deinen Computer und lösche ebenfalls alles was er als schlecht empfindet.

Bin dann mal gespannt was da rausgekommen ist.
Dann bitte ich zuletzt noch um ein paar Infos über deine derzeit installierte Firewall , updatezustand vom System und Virenscanner .

Nachtrag: Abgesicherter Modus= beim booten F8 gedrückt halten und dann auf dem Bildschirm gucken...
hijackthis unter hjt.klaffke.de



Sir Mannor

ok das probiere ich mal aus...
firewall ist im router integriert... (fritzbox)

Das ist sehr gut, aber ich würde trotzdem noch eine Software Firewall dazu nutzen. Wenn ich einen Tip abgeben dürfte: Sygate Firwall.

Viel Glück

"ich würde trotzdem noch eine Software Firewall dazu nutzen."

Wozu Kiste und Netzverbindung unnötig ausbremsen? Das Problem lag hier (wahrscheinlich) im falschen Browser auf der falschen Webseite. Seine Router-FW ist schon ok.

Logfile of HijackThis v1.99.1
Scan saved at 13:29:05, on 18.01.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32Info.exe
C:\Dokumente und Einstellungen\MM\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O2 - BHO: (no name) - {f4d74aaa-a178-4463-846b-b4bc87a024e0} - C:\WINDOWS\System32\ixt1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: NETGEAR WG311v3 Wireless Assistant.lnk = ?
O4 - Global Startup: Smart Wizard Wireless Settings.lnk = C:\Programme\NETGEAR\WG111 Configuration Utility\WG111CFG.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O21 - SSODL: eupeptic - {8670ee50-01f9-47da-ac1e-cf8549e9e521} - (no file)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe

so richtig?

Perfekt!

Ok, also. Erstens : Dir fehlt das Servicepack 2 sowie diverse Patches. Die solltest Du dringend installieren!

O2 - BHO: (no name) - {f4d74aaa-a178-4463-846b-b4bc87a024e0} - C:\WINDOWS\System32\ixt1.dll
=> Zlob lässt grüßen

Das mit HJT fixen bzw. die Datei löschen. Und die Registry reinigen. Die entsprechenden Schlüssel etwa sehen so aus:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run
issearch.exe
issearch.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{873eb32d-ae1a-4183-89bd-45a77f761be4}
HKCR\CLSID\{873eb32d-ae1a-4183-89bd-45a77f761be4}

Falls Du die Systemwiederherstellung noch nicht abgeschaltet hast, sollte eigentlich auch die Rückstellung auf ein Datum VOR der Infektion helfen.