Diverse Meldungen über Spyware etc

69er · 1. Juli 2006 um 11:20

Hallo zusammen,

ich habe seit 3 Tagen folgendes Problem.
Wenn ich ins Internet gehe, kann ich keine eigene Startseite mehr festlegen und in der Adresszeile steht about:blank und erscheint entweder diese (http://protectmypc.net/) oder diese Startseite (http://service.gmx.net/mc/xyhZEDJeYrUjsceNmq4m9fuKsg…) —> ist eine Hardcopy vom Monitor.
Ausserdem erscheinen in unregelmässigen Abständen immer unten rechts auf dem Monitor diverse Meldungen —> hier ein paar Hardcopys der Meldungen (http://service.gmx.net/mc/ZJA4NKzywQaOL8IfjWX42jos9A…).
Als BS habe ich Windows XP Professional mit dem SP 2.
Der Virenscanner ist von „Sophos“ und auf dem allerneuesten Stand und er bringt keine Virenmeldung oder ähnliches.
Wer kann mir hier weiterhelfen???

Danke im Voraus,

The Burner

69er · 1. Juli 2006 um 11:23

NACHTRAG!!!
Wenn man auf die beiden Links von „GMX“ klickt, dann dort nochmal auf „GMX MediaCenter starten“ klicken!!!

Gruss,

The Burner

Kasi_67e6e8 · 1. Juli 2006 um 11:30

Hi!
Ich tippe ´drauf, das du dir ´n ganz hartnäckigen Trojaner eingefangen hast.
Mach doch bitte auf http://www.hijackthis.de/ mal einen Onlinescan & poste das Ergebnis hier.
kasi

69er · 1. Juli 2006 um 11:39

Hier das Logfile vom Hijacker.
Logfile of HijackThis v1.99.1
Scan saved at 11:38:22, on 01.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
C:\Programme\Sophos\AutoUpdate\ALsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Sophos\AutoUpdate\ALMon.exe
C:\WINDOWS\system32\users32.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\HijackThis.exe
C:\WINDOWS\system32\qjrkvy.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.googel.de
O2 - BHO: (no name) - {00000000-59D4-4008-9058-080011001200} - (no file)
O2 - BHO: (no name) - {00000000-C1EC-0345-6EC2-4D0300000000} - (no file)
O2 - BHO: (no name) - {00000000-F09C-02B4-6EC2-AD0300000000} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat

7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {3ceff6cd-6f08-4e4d-bccd-ff7415288c3b} - (no file)
O2 - BHO: (no name) - {7b55bb05-0b4d-44fd-81a6-b136188f5deb} - (no file)
O2 - BHO: (no name) - {8333c319-0669-4893-a418-f56d9249fca6} - (no file)
O2 - BHO: (no name) - {9c691a33-7dda-4c2f-be4c-c176083f35cf} - (no file)
O2 - BHO: adobepnl.ADOBE_PANEL - {A40D9D65-5C09-421A-AFF8-2160D7ABD4E7} - C:\WINDOWS\system32\adobepnl.dll
O2 - BHO: (no name) - {e52dedbb-d168-4bdb-b229-c48160800e81} - (no file)
O2 - BHO: (no name) - {ffd2825e-0785-40c5-9a41-518f53a8261f} - (no file)
O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM…\Run: [nwiz] nwiz.exe /install
O4 - HKLM…\Run: [GhostStartTrayApp] C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM…\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM…\Run: [TkBellExe] „C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe“ -osboot
O4 - HKLM…\Run: [Adware.Srv32] C:\WINDOWS\system32\runsrv32.exe
O4 - HKLM…\Run: [Transponder] C:\WINDOWS\system32\susp.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Programme\Sophos\AutoUpdate\ALMon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra ‚Tools‘ menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra ‚Tools‘ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip…{6626774B-C607-44BF-8A85-F59E4D87F8C3}: NameServer = 217.237.148.17

217.237.148.49
O23 - Service: GhostStartService - Symantec Corporation - C:\Programme\Symantec\Norton Ghost

2003\GhostStartService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame

Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos plc - C:\Programme\Sophos\Sophos

Anti-Virus\SAVAdminService.exe
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos plc - C:\Programme\Sophos\Sophos Anti-Virus\SavService.exe
O23 - Service: Sophos AutoUpdate Service - Sophos plc - C:\Programme\Sophos\AutoUpdate\ALsvc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame

Dateien\Ulead Systems\DVD\ULCDRSvr.exe

Gruss,

The Burner

Kasi_67e6e8 · 1. Juli 2006 um 11:50

Logfile of HijackThis v1.99.1

Macht mich ja schon ein wenig stutzig:
—>:R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page
—>:= http://[U]www.googel.de[/U]

mutschy · 1. Juli 2006 um 14:55

Neu aufsetzen!
Moin!

Da hammers doch schon:
O4 - HKLM…\Run: [Adware.Srv32] C:\WINDOWS\system32\runsrv32.exe
und
O4 - HKLM…\Run: [Transponder] C:\WINDOWS\system32\susp.exe
Du hast dir mindestens ein Trojanisches Pferd eingefangen.

Ergo: Neu aufsetzen des Rechners aus sicherer Quelle (CD/DVD) ist die einzig richtige, wenn auch kompromisslose Lösung.

Merke: Egal, ob Viren oder Trojanische Pferde, du weisst nie, was die sich noch an schädlichem Code nachträglich ausm Netz gezogen haben. Und um die Kontrolle nicht noch weiter zu verlieren, ist ein Neuaufsetzen des gesamten Rechners die einzige Möglichkeit. Ein blick auf die Seite http://comsafe.de schadet auch nicht :o)

Gruss

Mutschy