Einen Virus eingefangen ?

Dieses Thema Einen Virus eingefangen ? im Forum "Sonstiges rund ums Internet" wurde erstellt von Microgates, 23. Juni 2004.

Thema: Einen Virus eingefangen ? Hallo Experten , seit heute nachmittag erscheint nach dem Aufruf des MSIE-6.0 nicht mehr meine gewohnte Startseite,...

  1. Hallo Experten ,

    seit heute nachmittag erscheint nach dem Aufruf des MSIE-6.0 nicht mehr meine gewohnte Startseite, sondern das entsprechende Feld in der Optionen ist mit about:blank überschrieben worden. Nun erscheint jedesmal eine Spyware-Seite, die mich darauf hinweist, dass ich meinen PC scannen soll.

    Ich kann zwar dort in dem Feld meine gewohnte Startseite wieder eintragen und auch mit ok bestätigen, aber beim nächsten Aufruf des MSIE steht schon wieder dieser alte Mist drin.

    Wie kann ich es denn hinbiegen, dass mir dieses Feld nicht dauernd überschrieben wird ? Irgendetwas muss sich doch da irgendwo eingenistet haben und jedesmal das Feld ändern ?

    Ausserdem habe ich schon seit ein paar Wochen eine Datei auf dem Rechner, die mich echt nervt. Der Norton-Anti-Virus springt regelmässig auf diese Datei an und warnt vor einem Virus.

    Die Datei lautet:

    C:\windows\system32\ia.dll

    Norton gibt den Virusnamen mit Bloodhound-Packed an.

    Zwar kommt gleichzeitig mit der Norton-Einblendung der Hinweis, dass die Datei ia.dll repariert wurde, aber die Warnung kommt trotzdem immer wieder. Und beim Scannen mit NAV oder Spybot-Search $ Destroy kommt diese Warnung fast im Minutentakt und muss erst aufwendig ausgeklickt werden.

    Kann ich diese ia.dll Datei eigentlich so ohne Weiteres löschen, ohne dass ich mir etwas zerschlage ?

    Mit dem seit heute stattfindenden sehr nervenden Überschreiben meiner Startseite hat das aber nichts zu tun.

    Ich freue mich schon auf Eure wie immer sehr guten und kompetenten Antworten.

    Liebe Grüsse

    Microgates
     
  2. Hallo PCDFlocke ,

    herzlichen Dank für den Link. Wahrscheinlich habe ich den Mist mit der Startseite sogar anderweitig beseitigen können.

    Ich habe Adaware über die gesamten Festplatten rutschen lassen und es wurden zwei Verdächtige gefunden. Den Rest hatte vorher ja schon der Lauf mit Spybot erledigt.

    Die zwei von Adaware identifizierten Übeltäter habe ich auf die Quarantänestation verlegt und seitdem ist Ruhe im Karton.

    Was ich allerdings mit der in meinem ersten Posting engesprochenen ia.dll - Datei machen soll, ist mir nach wie vor schleierhaft.

    Liebe Grüsse

    Microgates
     
  3. Hallo Experten ,

    jetzt bin ich endlich dazu gekommen, den Text durchzuarbeiten und die Programme zu fahren.

    Ganz am Ende habe ich das Programm sphjfix107.exe gefunden und gestartet. Daraufhin wurde das Systen neu gestartet und das Programm hat sich selbst noch einmal aufgerufen, um den Prozess abzuschliessen. Mir wurde gemeldet, dass das System infiziert war und die Sache jetzt beseitigt ist.

    Leider habe ich aber immer noch das Problem mit der Startseite. Ich kann in das Feld reinschreiben, was ich will - beim zweiten Aufruf des MSIE-6.0 steht dann wieder About:blank drin und eine merkwürdige Seite wird geladen (die ich natürlich überhaupt nicht haben will). Kurioserweise bietet mir diese nicht gewollte Seite sauteure Programme zum Entfernen von Hijacker-Attacken an. Und die andauerenden Popups nerven gewaltig.

    Ich habe auch HijackThis (Version 1.97.7) gefahren und führe das Resultat hier auf, weil ich da nicht durch blicke.

    Den CoolWebShredder 1.59.0 habe ich ebenfalls herunter geladen, aber noch nicht laufen lassen, weil ich vielleicht erst mit dem Protokoll des HijackThis-Laufs klar kommen sollte.

    Kann mir da bitte jemand helfen ?

    Hier ist das Protokoll:

    Logfile of HijackThis v1.97.7
    Scan saved at 17:09:06, on 26.06.2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\Network ICE\BlackICE\blackd.exe
    C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
    C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
    C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
    C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
    C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\wanmpsvc.exe
    C:\WINDOWS\htpatch.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Programme\Microsoft Hardware\Mouse\point32.exe
    C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
    C:\Programme\MultiMedia Keyboard\MultiMedia Keyboard\1.1\KbdAp32A.exe
    C:\WINDOWS\Dit.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
    C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\WINDOWS\Twain_32\FlatBed\HotKey.exe
    C:\Programme\WebWasher\wwasher.exe
    C:\Programme\Network ICE\BlackICE\blackice.exe
    C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
    C:\Programme\Messenger\msmsgs.exe
    C:\WINDOWS\DitExp.exe
    L:\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\GNTERS~1\LOKALE~1\Temp\sp.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\GNTERS~1\LOKALE~1\Temp\sp.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\GNTERS~1\LOKALE~1\Temp\sp.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\GNTERS~1\LOKALE~1\Temp\sp.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\GNTERS~1\LOKALE~1\Temp\sp.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.com/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\GNTERS~1\LOKALE~1\Temp\sp.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
    O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\WINDOWS\Downloaded Program Files\ycomp5_1_6_0.dll
    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {2A27F302-8252-4FD7-AE94-B211293DB766} - C:\WINDOWS\System32\nngk.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: Yahoo! Assistent - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\WINDOWS\Downloaded Program Files\ycomp5_1_6_0.dll
    O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
    O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [POINTER] C:\Programme\Microsoft Hardware\Mouse\point32.exe
    O4 - HKLM\..\Run: [PCMService] C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
    O4 - HKLM\..\Run: [LWBKEYBOARD] C:\Programme\MultiMedia Keyboard\MultiMedia Keyboard\1.1\KbdAp32A.exe
    O4 - HKLM\..\Run: [Dit] Dit.exe
    O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
    O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
    O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\FlatBed\HotKey.exe
    O4 - HKCU\..\Run: [WebWasher] C:\Programme\WebWasher\wwasher.exe
    O4 - Global Startup: BlackICE Utility.lnk = ?
    O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
    O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
    O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
    O9 - Extra button: Preispiraten (HKLM)
    O9 - Extra button: Real.com (HKLM)
    O9 - Extra button: MedionShop (HKCU)
    O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
    O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
    O14 - IERESET.INF: START_PAGE_URL=http://www.medion.com/
    O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
    O16 - DPF: {0594AF7E-573B-40DF-8165-E47AB2EAEFE8} (EGEGAUTH Class) - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1015_EN_XP.cab
    O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v45/yacscom.cab
    O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
    O16 - DPF: {486E48B5-ABF2-42BB-A327-2679DF3FB822} - http://akamai.downloadv3.com/binaries/IA/ia_XP.cab
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab
    O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab
    O16 - DPF: {8B1BC605-C593-4865-8F5B-05517F0CD0BB} (MSSecurityAdvisorCD Class) - file://F:\Content\include\msSecUcd.cab
    O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37933.2729976852
    O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
    O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (Yahoo! Assistent) - http://us.dl1.yimg.com/download.companion.yahoo.com/dl/toolbar/yiebio5_1_6_0.cab


    Viele liebe Grüsse und vielen herzlichen Dank schon im voraus.

    Microgates
     
  4. ..... mir ist beim Durchforsten der aufgelisteten Dateien aufgefallen, dass sich unter R0,R1,R2... immer wieder diese Datei sp.html befindet.

    Diese Datei habe ich einfach mal in den Explorer geladen und siehe da, es ist genau die Seite, die immer wieder statt meiner Startseite beim Aufruf des Explorers angezeigt wird.

    Nun weiss ich natürlich nicht, ob ich diese Datei so einfach löschen kann. Und wenn, kann man sie einfach manuell rausschmeissen oder muss man dazu noch einmal das Tool HijackThis laufen lassen ?

    Und was hat dieser Eintrag about:blank eigentlich zu bedeuten ? Ist der auch durch das Hijacking erst entstanden ?

    Ich muss einfach diese dummen Fragen stellen, weil ich mich mit den ganzen Windows-Interna nicht so auskenne und mit dem Löschen von mir unbekannten Dateien äusserst vorsichtig bin.

    Viele liebe Grüsse

    Microgates
     
  5. Dann mach das nochmal.

    Nee, genau andersrum. Erst das SP-Fix Programm laufen lassen, dann CoolWebShredder und erst danach, wenn das Prob dadurch immer noch nicht behoben wurde, dann erst HijackThis anwenden.
     
  6. Hallo Flocke ,

    herzlichen Dank für den Tipp. Dann werde ich das mal in der von Dir genannten Reihenfolge laufen lassen.
    Auf jeden Fall gibt es dann heute nachmittag einen Bericht, wie und ob die Säuberung ausgegangen ist.

    Viele Grüsse

    Microgates

    PS.
    Was ist denn nun eigentlich mit der von mir im Posting erwähnten Datei pn.html ?
     
  7. ...... sorry, die Datei heisst natürlich sp.html und nicht pn.html .

    Microgates
     
  8. O2 - BHO: (no name) - {2A27F302-8252-4FD7-AE94-B211293DB766} - C:\WINDOWS\System32\nngk.dll

    Check mal obige Datei....

    Kommt mir spanisch vor...

    Weisst Du auch, was
    O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\WINDOWS\Downloaded Program Files\ycomp5_1_6_0.dll

    für eine Datei ist?

    Sonst keine Auffälligkeiten...

    Hatte vor kurzem ähnliches Problem, schuld war auch ein Virus als .dll Datei....

    cybergreini
     
Die Seite wird geladen...

Einen Virus eingefangen ? - Ähnliche Themen

Forum Datum
Symbol meint ich hätte mir einen virus eingefangen Viren, Trojaner, Spyware etc. 14. Apr. 2007
Vbremst ein Virus meinen Rechner aus? Viren, Trojaner, Spyware etc. 15. März 2006
Ihre Mail an xy enthielt einen Virus Sonstiges rund ums Internet 24. Mai 2004
Habe ich einen Virus auf meinem System? Windows XP Forum 15. Nov. 2003
[S] Programm um einen I LOVE YOu letter  Virus zu entfernen Software: Empfehlungen, Gesuche & Problemlösungen 19. Okt. 2002