Verdacht auf Virus Einstellungen

[Holger]

Hallo Leute,
ein Bekannter bat mich, "mal seinen PC zu reparieren". Symptome: Beim booten etwa 4 min lang der Anfahr-Bildschirm (für Setup F1 drücken) bevor dann Win XP endlich gestartet wird, eine Unmenge laufender Prozesse, ein de-installiertes Norton Systemworks, das sich nicht mehr installieren läßt (hängt sich bei der Initialisierung auf), Fehlermeldungen (nicht auffindbare .dll-Datei) von einer Rundll32.exe, die nur über den Task-Manager beendet werden kann, nicht mögliche System-Rücksetzung, weder über GoBack, noch über die Systemwiederherstellung. Das totale Chaos. Evtl. ein Virus? Ich habe mal Hijackthis rüberlaufen lassen und hoffe, daß Ihr mir helfen könnt:

ogfile of HijackThis v1.97.7
Scan saved at 21:46:57, on 19.03.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\avmclient\avmbtservice.exe
C:\Programme\avmclient\panapp.exe
C:\Programme\Roxio\GoBack\GBPoll.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Dit.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Classic PhoneTools\CapFax.EXE
C:\WINDOWS\DitExp.exe
C:\Programme\Medion\PowerCinema\My_TV\Agent.exe
C:\Programme\Microsoft Hardware\Keyboard\type32.exe
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\Programme\avmclient\bluefritz!.exe
C:\Programme\Caere\OmniPagePro90\opware32.exe
C:\WINDOWS\System32\SahAgent.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Window Active\winactive.exe
C:\WINDOWS\system32\ntvdm.exe
C:\DOKUME~1\vt\LOKALE~1\Temp\msbb.exe
C:\Programme\Bargain Buddy\bin\bargains.exe
C:\PROGRA~1\COMMON~2\ADDRES~1\winnet.exe
C:\PROGRA~1\COMMON~2\ADDRES~1\comwiz.exe
C:\Program Files\Internet Optimizer\optimize.exe
C:\PROGRA~1\draw dupe\oozeclosegreat.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\Program Files\Internet Optimizer\actalert.exe
C:\Programme\Date Manager\DateManager.exe
C:\Programme\Roxio\GoBack\GBTray.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\PrecisionTime\PrecisionTime.exe
C:\WINDOWS\System32\msiexec.exe
C:\WINDOWS\System32\MsiExec.exe
F:\MSSHLIB\setup.exe
C:\Dokumente und Einstellungen\vt\Desktop\HijackThis.exe
C:\Dokumente und Einstellungen\vt\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.blazefind.com/search.php?search=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.blazefind.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nordclick.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchexe.com/searchbar.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchexe.com/searchbar.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchexe.com/searchbar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.blazefind.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.aldi.com/
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: BabeIE - {00000000-0000-0000-0000-000000000000} - C:\PROGRA~1\COMMON~2\ADDRES~1\cnbabe.dll
O2 - BHO: (no name) - {000006B1-19B5-414A-849F-2A3C64AE6939} - C:\WINDOWS\bi.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {71ED4FBA-4024-4bbe-91DC-9704C93F453E} - c:\progra~1\iesearchbar\iesearchbar.dll
O2 - BHO: (no name) - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINDOWS\wsem217.dll
O2 - BHO: (no name) - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - C:\WINDOWS\Downloaded Program Files\bridge.dll
O2 - BHO: (no name) - {BBDE4A39-7485-0B71-B8B3-6D342CC915B8} - C:\PROGRA~1\ACIDSO~1\browse phone.dll
O2 - BHO: Url Catcher - {CE31A1F7-3D90-4874-8FBE-A5D97F8BC8F1} - C:\PROGRA~1\BARGAI~1\bin\apuc.dll
O2 - BHO: (no name) - {F7F808F0-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem214.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: IE Search Bar - {71ED4FBA-4024-4bbe-91DC-9704C93F453E} - c:\progra~1\iesearchbar\iesearchbar.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [CapFax] C:\Programme\Classic PhoneTools\CapFax.EXE
O4 - HKLM\..\Run: [Agent] C:\Programme\Medion\PowerCinema\My_TV\Agent.exe
O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [AVMBlueClient] C:\Programme\avmclient\bluefritz!.exe
O4 - HKLM\..\Run: [OmniPage] C:\Programme\Caere\OmniPagePro90\opware32.exe
O4 - HKLM\..\Run: [SAHAgent] C:\WINDOWS\System32\SahAgent.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\Downloaded Program Files\bridge.dll",Load
O4 - HKLM\..\Run: [winactive] C:\Programme\Window Active\winactive.exe
O4 - HKLM\..\Run: [msbb] C:\DOKUME~1\vt\LOKALE~1\Temp\msbb.exe
O4 - HKLM\..\Run: [Bargains] C:\Programme\Bargain Buddy\bin\bargains.exe
O4 - HKLM\..\Run: [winnet] C:\PROGRA~1\COMMON~2\ADDRES~1\winnet.exe
O4 - HKLM\..\Run: [MWEOJUB] C:\WINDOWS\MWEOJUB.exe
O4 - HKLM\..\Run: [GQISDN] C:\WINDOWS\GQISDN.exe
O4 - HKLM\..\Run: [Belt] C:\WINDOWS\Belt.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [magsdead] C:\PROGRA~1\draw dupe\oozeclosegreat.exe
O4 - Global Startup: Date Manager.lnk = C:\Programme\Date Manager\DateManager.exe
O4 - Global Startup: GoBack.lnk = C:\Programme\Roxio\GoBack\GBTray.exe
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: PrecisionTime.lnk = C:\Programme\PrecisionTime\PrecisionTime.exe
O8 - Extra context menu item: Add A Page Note - C:\Programme\CommonName\AddressBar\createnote.htm
O8 - Extra context menu item: Bookmark This Page - C:\Programme\CommonName\AddressBar\createbookmark.htm
O8 - Extra context menu item: Email This Link - C:\Programme\CommonName\AddressBar\emaillink.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Search using CommonName - C:\Programme\CommonName\AddressBar\navigate.htm
O9 - Extra button: Recherchieren (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O9 - Extra button: MedionShop (HKCU)
O11 - Options group: [CommonName] CommonName
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de
O16 - DPF: {018B7EC3-EECA-11D3-8E71-0000E82C6C0D} - http://www.negativebeats.com/mp3.plugin.exe
O16 - DPF: {1E50B82A-0D78-48B9-97EC-391B2F81CE8A} (IELoaderCtl Class) - http://acxd.freeload.cc/ieloader.cab
O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} (brdg Class) - http://www2.flingstone.com/cab/2000XP/bridge.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.serviceurl.de/StarInstall.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{6245A22E-E6A4-447B-A7FF-501000F8D1C1}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{6245A22E-E6A4-447B-A7FF-501000F8D1C1}: NameServer = 192.168.120.252,192.168.120.253

Ich hoffe, daß jemand der mehr Ahnung hat als ich hier was sehen kann ...

[Remover]

Da ist schon mal eine ganze Menge Spyware und Adware:

O2 - BHO: BabeIE - {00000000-0000-0000-0000-000000000000} - C:\PROGRA~1\COMMON~2\ADDRES~1\cnbabe.dll
O2 - BHO: (no name) - {000006B1-19B5-414A-849F-2A3C64AE6939} - C:\WINDOWS\bi.dll
O2 - BHO: (no name) - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINDOWS\wsem217.dll
O4 - HKLM\..\Run: [SAHAgent] C:\WINDOWS\System32\SahAgent.exe

Lop Hijacker:
O4 - HKLM\..\Run: [winactive] C:\Programme\Window Active\winactive.exe

O4 - HKLM\..\Run: [winactive] C:\Programme\Window Active\winactive.exe
O4 - HKLM\..\Run: [msbb] C:\DOKUME~1\vt\LOKALE~1\Temp\msbb.exe
O4 - HKLM\..\Run: [Bargains] C:\Programme\Bargain Buddy\bin\bargains.exe
O4 - HKLM\..\Run: [winnet] C:\PROGRA~1\COMMON~2\ADDRES~1\winnet.exe

Virus/Trojaner: (vermutlich mit Random Name)
O4 - HKLM\..\Run: [MWEOJUB] C:\WINDOWS\MWEOJUB.exe
O4 - HKLM\..\Run: [GQISDN] C:\WINDOWS\GQISDN.exe

O4 - HKLM\..\Run: [Belt] C:\WINDOWS\Belt.exe

Gator Spyware kommt mit Datemanager und Precision Time:
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe

Stardialer:
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.serviceurl.de/StarInstall.ocx

Verdaechtig:
O4 - HKLM\..\Run: [magsdead] C:\PROGRA~1\draw dupe\oozeclosegreat.exe


Das war nur auf den ersten Blick.
Am besten schaust du mal in diesen Thread:
http://www.rokop-security.de/main/article.php?sid=703

Da stehen links zu Ad-Aware und Spybot Search & Destroy,
diese als erstes mal einsetzen und dann nochmal ein aktuelles
Hijackthis posten. Du kannst ausserdem die verdaechtigen files
hier ueberpruefen lassen:

http://www.kaspersky.com/scanforvirus.html

Der Beitrag wurde von Remover bearbeitet: 20.03.2004, 12:06

[raman]

Wenn du das alles durch hast u d auch die anderen O16 Eintrage gefixt hast, saemtliche Cache und Temp Ordner( unter Start/Ausfueren %temp% eingeben und in dem dann aufpopenden Ordner alles loeschen, was geht bitte vorher alle unnoetigen Programme schliessen) leeren, neu Starten und einmal hier durcharbeiten http://www.rokop-security.de/main/article.php?sid=703.

Wenn du mit allem fertig bist, poste bitte ein neues Log. Du solltest auch ueberlegen, ob du dir nicht ein Antivirenporgramm anschaffen solltest und wenn es die kostenlosen, wie Avast und Antivir sind.

Edit: @remover, Sh*t bitte nicht deinen Beitrag aendern, wenn ich meinen schreibe!

Der Beitrag wurde von raman bearbeitet: 20.03.2004, 15:00

[Holger]

Wow, das nenne ich prompte Hilfe - sehr angenehm! Da es sich wirklich um den PC eines BEkannten handelt, werde ich erst in der kommenden Woche dazu kommen, die Ratschläge zu beachten. Aber an dieser Stelle schon einmal recht herzlichen Dank!