PopUp und Virus bei Internet Verbindung

Thorus · 07.11.2004

Hallo,

immer wenn ich mit meiner T-Online-Software ins Internet verbinde, kommt ganz normal die T-Online Seite, aber auch eine Virenmeldung. Die Datei (installer.exe) habe ich daraufhin löschen lassen. Aber die ist komischerweise bei jeder Verbindung die aufgebaut wird, wieder da.
Danach kommt ein PopUp-Fenster, welches aber vom Pop-Ups-Blocker geblockt wird und der Inhalt nciht angezeigt wird.

Hab dann mal das Programm HiJack This suchen lassen.
Dieses hier ist das Log-File dazu:

Logfile of HijackThis v1.98.2
Scan saved at 12:32:31, on 07.11.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\system32\drivers\dcfssvc.exe
C:\WINNT\system32\svchost.exe
C:\Programme\KODAK\KODAK EASYSHARE Software\bin\ptssvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINNT\SOUNDMAN.EXE
C:\msconfig.exe
C:\WINNT\system32\internat.exe
C:\Programme\KODAK\Kodak EasyShare software\bin\EasyShare.exe
C:\Programme\KODAK\KODAK Software Updater\7288971\Program\backWeb-7288971.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
D:\Jörn\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [msconfig.exe] C:\msconfig.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Sygate Personal Firewall] Sygate.exe
O4 - HKLM\..\RunServices: [Sygate Personal Firewall] Sygate.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Sygate Personal Firewall] Sygate.exe
O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\KODAK\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: KODAK Software Updater.lnk = C:\Programme\KODAK\KODAK Software Updater\7288971\Program\backWeb-7288971.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office 2000\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite 4.1\ICQLite.exe
O9 - Extra->Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite 4.1\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra->Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F5860F18-F495-432D-AA41-E80DA7DF44C5}: NameServer = 217.237.149.161 217.237.151.225

Die fetten Einträge hatte ich schon mal gelöscht, aber die waren nach einem Reboot einfach wieder da.

Der Spybot findet immer einen DSO-Exploit, der auch nach jeder Verbindung ins Internet wieder da ist. Das Log-File sieht so aus:

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-21-436374069-515967899-839522115-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

--- Spybot - Search && Destroy version: 1.3 ---
2004-08-11 Includes\Cookies.sbi
2004-10-26 Includes\Dialer.sbi
2004-10-26 Includes\Hijackers.sbi
2004-10-07 Includes\Keyloggers.sbi
2004-05-12 Includes\LSP.sbi
2004-10-26 Includes\Malware.sbi
2004-10-05 Includes\Revision.sbi
2004-10-25 Includes\Security.sbi
2004-10-26 Includes\Spybots.sbi
2004-10-21 Includes\Tracks.uti
2004-10-26 Includes\Trojans.sbi

Wie bekomme ich dieses nervige PopUp weg und die Virenmeldung?

Danke für eure Hilfe!!
thx
Thorus

Al Bundy · 07.11.2004

O4 - HKCU\..\Run: [internat.exe] internat.exe

Prozess Name: Gebietsschema Tool

Produkt: Windows

Firma: Microsoft

Datei: internat.exe

Sicherheits-Bewertung:

Wie der Name schon andeutet, hat dieser Prozess mit dem Gebietsschema, welches auf Ihrem PC eingerichtet ist, zu tun. Je nachdem welchen Schemen bei Ihnen eingerichtet sind, sorgt dieser Prozess für die entsprechende Darstellung und Nutzung (Tastatur).

Wichtig: Die Datei internat.exe befindet sich im Ordner C:\Windows\System32. Wenn das nicht der Fall ist, handelt es sich bei internat.exe um einen Virus, Spyware, Trojaner oder Worm!

Die fetten Einträge hatte ich schon mal gelöscht, aber die waren nach einem Reboot einfach wieder da.

Das ist doch deine Firewall.

Thorus · 07.11.2004

Hmm, ist schon eine Firewall, aber das Problem ist, dass ich keine installiert hab! ???

Und die Datei c:\winnt\system32\sygate.exe hab ich auch gelöscht....

PCDpan_fee · 07.11.2004

Thorus schrieb:
Hmm, ist schon eine Firewall, aber das Problem ist, dass ich keine installiert hab! ???

Und die Datei c:\winnt\system32\sygate.exe hab ich auch gelöscht....

siehe http://www.sophos.de/virusinfo/analyses/w32rbotii.html
unter Erweitert

Thorus schrieb:
Der Spybot findet immer einen DSO-Exploit, der auch nach jeder Verbindung ins Internet wieder da ist. Das Log-File sieht so aus:

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-21-436374069-515967899-839522115-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

WinTotal Tipparchiv:
http://www.wintotal.de/Tipps/Eintrag.php?TID=959

pan_fee

Thorus · 07.11.2004

@ PCDpan_fee
Danke für den hoffentlich guten Tipp!!!

PopUp und Virus bei Internet Verbindung

Thorus

Al Bundy

Thorus

PCDpan_fee

Thorus

PopUp und Virus bei Internet Verbindung

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums