Virus(?) versucht sich einzuwählen Einstellungen

[mg115]

Hallo Leute,

leider bin ich nicht sehr bewandt was Viren etc. angeht und auch nicht gerade ein Computerfreak =) aber ich habe ein grosses Problem:

sobald ich den Internet Explorer starte, versucht sich automatisch eine Verbindung zu einer IP-Addresse aufzubauen, was von meiner Firewall (Armor2Net) erfolgreich geblockt wird. Der "Virus" versucht ca. alle 2 Sekunden über einen neuen Port bei gleicher IP-Addresse reinzukommen.
Als ich zwischenzeitlich verzweifelt war, weil weder AdAware, noch AntiVir, noch SpyBot geholfen hat, habe ich den Zugriff erlaubt und es hat sich als Startseite so ein "Du-hast-Spyware-und-kannst-sie-nur-mit-diesem-Programm-entfernen-Kaufe-Es!" Virus eingenistet...
Ich hatte so ein Problem schon einmal und habe mich damals mit Hilfe von Euch und den entsprechenden Programmen von der "Spyware"? befreien können.
Leider funktioniert mein eScan von damals nicht mehr und ich kann es auch nirgendwo runterladen... Vielleicht auch deswegen krieg ich diesen Virus diesmal nicht weg =(
Als ich vorhin nochmal diese Seite in der Firewall geblockt habe (Versucht sich mit Windows Explorer einzuwählen) und erneut SpyBot drübergejagt habe wurden etwas über 80 verdächtige Dateien entfernt und das mit der Startseite bei IE geht auch wieder wie vorher, allerdings versucht sich das Mistvieh immer noch einzuwählen...

Bitte helft mir

Danke im Voraus.

[Voyager]

stelle hier erstmal dein hijackthis-log rein .

[mg115]

Wie man das Log erstellt bei Hijackthis weiss ich,nur wie bzw. wo muss es ich es dann einfügen?

[Voyager]

kopiere den text und füge ihn hier ein über das (maus) rechtsklick kontextmenü

[mg115]

ich kopiers einfach mal rein, hoffe esklappt...

Logfile of HijackThis v1.99.0
Scan saved at 22:46:54, on 07.09.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVWin\AVGUARD.EXE
C:\Programme\AVWin\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Armor2net\Armor2net Personal Firewall\Armor2net.exe
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\AVWin\AVGNT.EXE
C:\WINNT\system32\internat.exe
C:\Programme\FinePixViewer\QuickDCF.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
C:\WINNT\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINNT\system32\NOTEPAD.EXE
C:\unzipped\hijackthis199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.net/de/dienst
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.1und1.de/Herzlich_Willkommen/b1/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://find777.com/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von 1 & 1 Internet AG
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [AVWUpd32] "C:\PROGRA~1\AVWin\Avwupd32.EXE" /min
O4 - HKLM\..\Run: [Armor2net] C:\Programme\Armor2net\Armor2net Personal Firewall\Armor2net.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVWin\AVGNT.EXE" /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [T-Online_Software_5\WLAN-Access Finder] C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe /StartMinimized
O4 - Startup: Ad-Watch SE Professional.lnk = C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
O4 - Global Startup: Exif Launcher.lnk = C:\Programme\FinePixViewer\QuickDCF.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O10 - Unknown file in Winsock LSP: c:\programme\armor2net\armor2net personal firewall\netdog.dll
O10 - Unknown file in Winsock LSP: c:\programme\armor2net\armor2net personal firewall\netdog.dll
O10 - Unknown file in Winsock LSP: c:\programme\armor2net\armor2net personal firewall\netdog.dll
O10 - Unknown file in Winsock LSP: c:\programme\armor2net\armor2net personal firewall\netdog.dll
O10 - Unknown file in Winsock LSP: c:\programme\armor2net\armor2net personal firewall\netdog.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.1und1.de/Herzlich_Willkommen/b1/
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15014/CTSUEng.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab
O16 - DPF: {CA034DCC-A580-4333-B52F-15F98C42E04C} (Downloader Class) - http://www.stopzilla.com/_download/Auto_Installer/dwnldr.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15014/CTPID.cab
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINNT\system32\vbsys2 (file missing)
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVWin\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVWin\AVWUPSRV.EXE
O23 - Service: InCD File System Service - AHEAD Software - C:\Programme\Ahead\InCD\InCDsrv.exe

[mg115]

falls es was hilft :

das programm versucht sich in

69.50.171.149 Port 80

einzuwählen

[Voyager]

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://find777.com/sp.html
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINNT\system32\vbsys2 (file missing)

interessant dürfte das letzte sein , das klingt jedenfalls sehr verdächtig .


p.s. die gehostete webseite die der hijacker aufrufen will ist übrigens in Covina/kalifornien USA .

Der Beitrag wurde von bond7 bearbeitet: 07.09.2005, 21:53

[mg115]

wenn ich bei denen ein Häkchen setze und "Fix Checked" mache, erscheinen sie beim nächsten scan trotzdem wieder...

ist das normal?

[Yopie]

Nein, das ist nicht normal.

Mach mal einen eScan, und poste die Funde mit Hilfe der find.rar.

Beachte die Anleitung genau: http://www.trojaner-board.com/showthread.php?t=17492

[mg115]

mein escan funktioniert leider nicht mehr und ich konnte nirgendwo ein neues download finden =(

[Voyager]

ist das normal?

ja weil du den systemprozess nicht so einfach gelöscht kriegst , mache es im abgesicherten modus und lösche im systemordner die datei vbsys2 mit jeder möglichen endung exe com bat ect ! weil die endung nicht sichtbar ist sagt hijackthis ja auch file missing aber ich bin mir sicher der prozess ist da .

Der Beitrag wurde von bond7 bearbeitet: 07.09.2005, 22:00

[Yopie]

In der Anleitung ist die Download-Adresse angegeben.

Achtung, Direktlink: ftp://ftp.microworldsystems.com/download/tools/mwav.exe oder, wenn das nicht geht, ftp://216.121.191.33/download/tools/mwav.exe

[mg115]

wie gesagt bin leider kein Experte (aber auch nicht vom Baum gefallen =) )

kommt man auch so in den abgesicherten Modus oder muss ich neustarten?

wie auch immer, soll ich dann hijackthis starten und...wo finde ich dann diese datei die du meinst?

[Voyager]

wo finde ich dann diese datei die du meinst?

C:\WINNT\system32\vbsys2

[mg115]

hallo yopie

die ftp-addresse klappt auch nicht ...

[Yopie]

Fehlermeldung?

[christian4u2]

In den abgesichterten Modus kommst du nur durch einen Neustart (f8). Dann einfach die Suchfunktion verwenden und nach vbsys2.* suchen lassen und alle Ergebnisse löschen. Dann ein neues Log machen und die oben genannten Einträge fixen. Neustarten und ein neues Log hier posten.
Nebenbei ist es vielleicht auch ratsam wärend dieser Aktion die Systemwiederherstellung zu deaktivieren.
Grüße Chris.

[Solution-Design]

http://www.hijackthis.de/logfiles/1f68eb80...e21ffd8705.html

Auf http://www.hijackthis.de findest du eine Auswertung deines LOGs (siehe obiger Link) und auch die neuste Hijackthis-Version.

Eines habe ich nicht so ganz verstanden, du schreibst, deine Desktop-Firewall blockt irgendetwas. Ich nehme an, das heraustelefonieren, oder doch das Pingen? Na wie dem auch sei, statt eScan würde ich mal vorübergehend den aktiven Virenscanner deinstallieren und eine Kaspersky Testversion installieren. Die Testversion hinterlässt nach Deinstallation kaum Registrier-Einträge, welche nicht auch schon eScan hinterlassen hat.

Die findest du hier:
http://www.kaspersky.com/de/downloads?chapter=146520596

Zu Spyware:

Ad-Aware und Spybot nutzt du ja schon.

Spyware-Killer findest du unter folgenden Adressen.

http://www.snapfiles.com/get/bho.html
BHO Captor zeigt Programme an, welche sich im IE als "Browser Helper Objects" eingenistet haben und ermöglicht die Deaktivierung der Objekte.

http://www.chip.de/downloads/c_downloads_11353799.html
Immer noch Probleme mit der falschen STartseite im IE? Dann die neuste Version von CWShredder laufen lassen.

http://www.doxdesk.com/parasite/
Außerdem empfiehlt sich obiger Online-Checker

http://www.intermute.com/products/cwshredder.html
Und zu guter Letzt, was auf keinen Fall fehlen darf ist CWShredder™ Dieses Programm findet und entfern Spure von CoolWebSearch. CoolWebSearch ist eine Bezeichnung für die sogenannten Browser-Hijacker.

[mg115]

seit der gestrigen aktion hat sich mein rechner nun komplett verabschiedet bzw ist zur Zeit im Koma. Auf den Rat von bond7 hin habe ich im abgesicherten Modus neugestartet um dies vbsys2-datei zu löschen und selbst hier lädt das Desktop sich zwar hoch, allerdings ist nichts mehr anklickbar! weder mit li. noch mit re. Maustaste.
Solange der Mauszeiger oberhalb der Taskleiste ist, sieht man ihn als Pfeil.
Sobald man in Höhe der Taskleiste runterkommt zeigt der Mauszeiger die Sanduhr an, als wenn gerade etwas geladen wird.
ICh vermute(???) das sich explorer.exe zersägt hat (das ist doch für den Aufbau des Desktops zuständig oder?)
Ach ja, noch was, es wird beim normalen Hochfahren auch keines der Programme in der Taskleiste aufgerufen( z.B. Antivir,Firewall,etc).
Bin wirklich verzweifelt und kann jeden Rat gebrauchen.
Nochmals danke für alle bereits geleisteten Tips und Hilfen !!!

[christian4u2]

seit der gestrigen aktion hat sich mein rechner nun komplett verabschiedet bzw ist zur Zeit im Koma. Auf den Rat von bond7 hin habe ich im abgesicherten Modus neugestartet um dies vbsys2-datei zu löschen und selbst hier lädt das Desktop sich zwar hoch, allerdings ist nichts mehr anklickbar!...
[right][snapback]108828[/snapback][/right]

An dem Löschen dieser Datei sollte das aber nicht liegen...das die verschwinden muß ist meines Erachtens korrekt.