Wurm/Virus auf meinem PC!

Seridan

Rare-Mob
Mitglied seit
18.02.2008
Beiträge
310
Reaktionspunkte
4
Kommentare
83
Guten morgen Leute,

ich habe eine kleines Problem mit meinem Rechner.
Habe mir einen Wurm bzw. einen Virus eingefangen, kann es nicht genau zuordnen.
Dieser wirkt sich indem aus, dass wenn man einen Suchbegriff in Google eingibt und eine Such-Lösung anklickt auf eine falsche Seite umgeleitet wird.
Habe mich im Internet etwas schlau gemacht, aber da wusste keiner eine Lösung.
Ich versuche es nun hier mit der Hoffnung das mir hier vllt. jmd. ein wenig weiterhelfen kann.

Anbei Hijackthis!:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 10:13:44, on 09.09.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AVG\AVG9\avgchsvx.exe
C:\Programme\AVG\AVG9\avgrsx.exe
C:\Programme\AVG\AVG9\avgcsrvx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVG\AVG9\avgwdsvc.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\NMSAccess32.exe
C:\WINDOWS\system32\CAP3RSK.EXE
C:\Programme\AVG\AVG9\avgemc.exe
C:\Programme\AVG\AVG9\avgam.exe
C:\Programme\AVG\AVG9\avgnsx.exe
C:\Programme\AVG\AVG9\avgcsrvx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\PROGRA~1\AVG\AVG9\avgtray.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\CAP3LAK.EXE
C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP3SWK.EXE
Z:\aB-Agenta\aB-Agenta Programm\aBMain.exe
C:\Programme\Gemeinsame Dateien\Java\Java Update\jucheck.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Mozilla Firefox\plugin-container.exe
C:\Dokumente und Einstellungen\Name geändert\Eigene Dateien\Downloads\HiJackThis204.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft....k/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft....k/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft....k/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft....k/?LinkId=69157
O1 - Hosts: 212.95.49.48 www.google.com
O1 - Hosts: 212.95.49.48 us.search.yahoo.com
O1 - Hosts: 212.95.49.48 uk.search.yahoo.com
O1 - Hosts: 212.95.49.48 search.yahoo.com
O1 - Hosts: 212.95.49.48 www.google.com.br
O1 - Hosts: 212.95.49.48 www.google.it
O1 - Hosts: 212.95.49.48 www.google.es
O1 - Hosts: 212.95.49.48 www.google.co.jp
O1 - Hosts: 212.95.49.48 www.google.com.mx
O1 - Hosts: 212.95.49.48 www.google.ca
O1 - Hosts: 212.95.49.48 www.google.com.au
O1 - Hosts: 212.95.49.48 www.google.nl
O1 - Hosts: 212.95.49.48 www.google.co.za
O1 - Hosts: 212.95.49.48 www.google.be
O1 - Hosts: 212.95.49.48 www.google.gr
O1 - Hosts: 212.95.49.48 www.google.at
O1 - Hosts: 212.95.49.48 www.google.se
O1 - Hosts: 212.95.49.48 www.google.ch
O1 - Hosts: 212.95.49.48 www.google.pt
O1 - Hosts: 212.95.49.48 www.google.dk
O1 - Hosts: 212.95.49.48 www.google.fi
O1 - Hosts: 212.95.49.48 www.google.ie
O1 - Hosts: 212.95.49.48 www.google.no
O1 - Hosts: 212.95.49.48 www.google.de
O1 - Hosts: 212.95.49.48 www.google.fr
O1 - Hosts: 212.95.49.48 www.google.co.uk
O1 - Hosts: 212.95.49.48 www.bing.com
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG9\avgssie.dll
O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [CAP3ON] C:\WINDOWS\system32\spool\drivers\w32x86\3\CAP3ONN.EXE
O4 - HKLM\..\Run: [AVG9_TRAY] C:\PROGRA~1\AVG\AVG9\avgtray.exe
O4 - Global Startup: Statusfenster für Canon LASER SHOT LBP-1120.LNK = C:\WINDOWS\system32\spool\drivers\w32x86\3\CAP3LAK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = Name geändert!
O17 - HKLM\Software\..\Telephony: DomainName = Name geändert!
O17 - HKLM\System\CCS\Services\Tcpip\..\{DBA02596-0B73-47F3-987C-C4BE3C0961C0}: NameServer = 192.168.9.2
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = Name geändert!
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = Name geändert!
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG9\avgpp.dll
O20 - Winlogon Notify: avgrsstarter - avgrsstx.dll (file missing)
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: AVG E-mail Scanner (avg9emc) - AVG Technologies CZ, s.r.o. - C:\Programme\AVG\AVG9\avgemc.exe
O23 - Service: AVG WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - C:\Programme\AVG\AVG9\avgwdsvc.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NMSAccessU - Unknown owner - C:\WINDOWS\system32\NMSAccess32.exe

--
End of file - 6349 bytes


Hoffe Ihr könnt mir ein paar Denkanreize geben.

MfG

Seri
 
Zuletzt bearbeitet von einem Moderator:
In der Prozessliste wird zumindest nichts großartig verdächtiges ausgeführt.
Was du mal prüfen könntest, ist ob in c:\windows\ mehr als eine explorer.exe vorhanden ist...

Ansonsten könnte es auch ein Rootkit sein, dass dich ärgert.
 
Mein Denkanreiz wäre dein Logfile in den Logfileauswerter von Hijackthis zu kopieren und das Logfile auszuwerten.
Und ansonsten dürfte deine Frage im Supportforum von Hijackthis besser aufgehoben sein.

Und wenn man das Logfile dort auswertet wird bei folgenden Einträgen RICHTIG gemeckert.
Da vermutlich dann alle bekannteren Suchmaschinen betroffen sind, wäre es wohl auch etwas komplizierter gewesen diese Seiten zu finden
tongue.gif


O1 - Hosts: 212.95.49.48 www.google.com
O1 - Hosts: 212.95.49.48 us.search.yahoo.com
O1 - Hosts: 212.95.49.48 uk.search.yahoo.com
O1 - Hosts: 212.95.49.48 search.yahoo.com
O1 - Hosts: 212.95.49.48 www.google.com.br
O1 - Hosts: 212.95.49.48 www.google.it
O1 - Hosts: 212.95.49.48 www.google.es
O1 - Hosts: 212.95.49.48 www.google.co.jp
O1 - Hosts: 212.95.49.48 www.google.com.mx
O1 - Hosts: 212.95.49.48 www.google.ca
O1 - Hosts: 212.95.49.48 www.google.com.au
O1 - Hosts: 212.95.49.48 www.google.nl
O1 - Hosts: 212.95.49.48 www.google.co.za
O1 - Hosts: 212.95.49.48 www.google.be
O1 - Hosts: 212.95.49.48 www.google.gr
O1 - Hosts: 212.95.49.48 www.google.at
O1 - Hosts: 212.95.49.48 www.google.se
O1 - Hosts: 212.95.49.48 www.google.ch
O1 - Hosts: 212.95.49.48 www.google.pt
O1 - Hosts: 212.95.49.48 www.google.dk
O1 - Hosts: 212.95.49.48 www.google.fi
O1 - Hosts: 212.95.49.48 www.google.ie
O1 - Hosts: 212.95.49.48 www.google.no
O1 - Hosts: 212.95.49.48 www.google.de
O1 - Hosts: 212.95.49.48 www.google.fr
O1 - Hosts: 212.95.49.48 www.google.co.uk
O1 - Hosts: 212.95.49.48 www.bing.com

Diese müssen gefixt werden.
http://www.safer-net.../hostsfile.html

Und hier noch die Erklärung zu dem Problem.
 
Zuletzt bearbeitet von einem Moderator:
Ui zwei Antworten Super danke euch erstmal!

@ Zam

Das hätte ich mir auch schon gedacht, hatte es aber schon überprüft und leider nichts gefunden.

@ Caps-Lock

Danke. Ich werde dann nun mal versuchen ob das klappt.

Halte euch auf dem laufenden.

MfG
 
Du hast dir das falsche Forum für Hilfe bei diesem Problem ausgesucht. Versuchs lieber mal hier: http://www.trojaner-board.de/plagegeister-aller-art-und-deren-bekaempfung/
 
Ich hatte auch erst überlegt ihm zu sagen das er besser hätte googlen sollen :]
Bis mir aufgefallen ist, das dieses genau sein Problem ist HRHR.
 
Ich hatte auch erst überlegt ihm zu sagen das er besser hätte googlen sollen :]
Bis mir aufgefallen ist, das dieses genau sein Problem ist HRHR.

Sop da bin ich wieder, Guten Morgen allerseits!

Jaha Caps das hab ich versucht, kann dir aber bestätigen ich kam immer auf Seiten mit nackten Tatsachen raus
tongue.gif


Ja in dem Trojaner Board bin ich dann fündig geworden.

Der Virus nennt sich "Antivirus Security 2010", war aber doch dennoch ziemlich einfach zu entfernen nachdem man die Hosts geändert hatte.

Danke euch.

MfG

Seri
 
Zurück