Rechner Infiziert? -Ständige Werbeeinblendungen

Hi,
habe seit heut Morgen ein ziemlich großes Problem. Und zwar bekomme ich im Internet Explorer und gelegentlich auch im Firefox Werbeeinblendungen von diversen Anbietern in einem neuen Fenster.

Mein System:
Windows Xp
Motherboard: MSI K9N Neo V2
Grafikkarte: ATI Radeon HD 3870
CPU: AMD Athlon 64 X2
Service Pack 3 ist installiert mit allen momentan verfügbaren Updates

ich habe in einem anderen Thread hier, ein ähnliches Problem gefunden und deshalb ersteinmal HijackThis durchlaufen lassen.

Hier der Log:

Code:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:40:17, on 01.08.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.17184)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\SanDisk\Sansa Updater\SansaDispatch.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\CursorXP\CursorXP.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\MirandaX Ardena\miranda32.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Rockbert\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=105563
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SansaDispatch] C:\Programme\SanDisk\Sansa Updater\SansaDispatch.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [20d022f4] rundll32.exe "C:\WINDOWS\system32\ovgmdkmi.dll",b
O4 - HKLM\..\Run: [BM23e31168] Rundll32.exe "C:\WINDOWS\system32\xkvifckl.dll",s
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [CursorXP] C:\Programme\CursorXP\CursorXP.exe
O4 - Startup: Miranda IM.lnk = C:\Programme\MirandaX Ardena\miranda32.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.msi.com.tw
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1200181283937
O16 - DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} (WebSDev Control) - http://liveupdate.msi.com.tw/autobios/LOnline/install.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4D74C93A-1DEA-4F37-90C9-6CCE49FFB363}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{F6B99F63-B4A6-4D23-8F75-A8044172EE0C}: NameServer = 192.168.0.100
O17 - HKLM\System\CS1\Services\Tcpip\..\{4D74C93A-1DEA-4F37-90C9-6CCE49FFB363}: NameServer = 192.168.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{4D74C93A-1DEA-4F37-90C9-6CCE49FFB363}: NameServer = 192.168.0.1
O17 - HKLM\System\CS3\Services\Tcpip\..\{4D74C93A-1DEA-4F37-90C9-6CCE49FFB363}: NameServer = 192.168.0.1
O17 - HKLM\System\CS4\Services\Tcpip\..\{4D74C93A-1DEA-4F37-90C9-6CCE49FFB363}: NameServer = 192.168.0.1
O17 - HKLM\System\CS5\Services\Tcpip\..\{4D74C93A-1DEA-4F37-90C9-6CCE49FFB363}: NameServer = 192.168.0.1
O17 - HKLM\System\CS6\Services\Tcpip\..\{4D74C93A-1DEA-4F37-90C9-6CCE49FFB363}: NameServer = 192.168.0.1
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - Unknown owner - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

--
End of file - 6403 bytes

Im Anhang habe ich noch einen Screenshot von solch einem Werbefenster.

Ich habe auch schon Antivir und Spybot Search&Destroy durchlaufen lassen, diese haben jedoch nichts gefunden.
Ich hoffe ihr könnt mir helfen

 

Im abgesicherten Modus mal fixen:

Code:

O4 - HKLM\..\Run: [20d022f4] rundll32.exe "C:\WINDOWS\system32\ovgmdkmi.dll",b
O4 - HKLM\..\Run: [BM23e31168] Rundll32.exe "C:\WINDOWS\system32\xkvifckl.dll",s

Was bedeutet Fixen ?
http://members.linzag.net/680262/HJT/HijackThis.html#Was_bedeutet_FIXEN

Dann sind die vielen (Name)DNS-Server Einträge etwas seltsam.

Ist die IP 192.168.0.1 die des Routers?

Code:

O17 - HKLM\System\CS1\Services\Tcpip\..\{4D74C93A-1DEA-4F37-90C9-6CCE49FFB363}: NameServer = 192.168.0.1

Und wer hat die IP 192.168.0.100 im Netzwerk?

Code:

O17 - HKLM\System\CCS\Services\Tcpip\..\{F6B99F63-B4A6-4D23-8F75-A8044172EE0C}: NameServer = 192.168.0.100

 

Jetzt habe ich 2Fragen zu deinem Post^^
1.) Wie starte ich den abgesicherten Modus?
2.) Wo kann ich die Ip-Addressen einsehen?

Außerdem habe ich mir mal Ad-Aware2008 runter geladen und es wurden 12Datein gefunden.
kannst du mir sagen ob ich alle löschen kann oder nicht?

Edit: Also ich habe jetzt mal geschaut und weiß nun das man mit F8 den Abgesicherten Modus startet

Habe nun noch die Frage, ob ich so verfahren soll, wie hier : http://www.pcwelt.de/forum/sicherhe...erste-schritte-sch-dlingsbefall-verdacht.html

 

Tracking Cookies (verfolgende Cookies) und MRU-Objekte (Verlaufslisten) gehören zu Adware und dienen dazu, das Nutzerverhalten beim Besuchen von Webseiten auszulesen, um gezielte Werbung einblenden zu können.
Das Zeug kann man über die Browsereinstellungen und Erweiterungen (IE7 Pro, NoScript bei Mozilla) blocken.
Du hast aber den IE8 installiert und der ist noch Beta, also im Entwicklungstadium.
Hoffentlich wurde er erst nach dem SP3 installiert. Ansonsten muss das SP3 deinstalliert werden, um den IE8 wieder deinstallieren zu können. Da hat Microsoft eine Sackgasse eingebaut.
Das mit dem SP3 gilt übrigens auch für den IE7. Um an den IE6 wieder ran zu kommen, darf weder IE7 noch IE8 beim Updaten auf SP3 installiert sein.

abgesicherter Modus:
http://www2.tu-berlin.de/www/software/virus/savemode.shtml

IP-Konfiguration
http://www.pcwelt.de/forum/1400988-post10.html

 

192.168.0.1 ist die Ip-Addy vom Router
192.168.0.0 ist der andere Pc

Ich werde dann mal den Abgesicherten Modus starten, und die ganzen Programme durchlaufen lassen

 

Ich hab jetzt die ganzen Porgramme(bis auf das Online-Programm, dass mag net)
Die Logfiles an die ich kommen konnte sind im Anhang.

Dann ahbe ich da noch 2Sachen
1.) Spybot hatte etwas gefunden namens "Vrtumode". was ist das?
2.) Antivir hatte den Trojaner "TR/Spy.ZBot.iewo" in C:\Dokumente und Einstellungen\Rockbert\Anwendungsdaten\Thunderbird\Profiles\91ee5g64.default\Mail\Local Folders\ Inbox gefunden konnte aber nichts machen, da dies eine Mailbox ist. Was muss ich dort machen.

Eine frage habe ich noch:
Ist mein Pc jetzt wieder so sicher, dass ich mich mit meinen Accounts wieder einloggen kann?(z.B. dieverse mmorpgs^^)

 

Rechnung_S833.zip ist anscheinend ein Dateianhang einer Spammail, die einen Trojaner enthält.
Solange der Anhang nicht ausgeführt wird, passiert nichts. Suche mal die Mail in Thunderbird und lösche sie.
Bezüglich Thunderbird und Antivirus-Software kannst du mal hier lesen:
Datenverlust droht!
http://www.thunderbird-mail.de/wiki/Antivirus-Software_-_Datenverlust_droht!

SmitfraudFix enthält selbst Code, der bei Trojanern benutzt wird. In dem Fall ist er aber nicht schädlich.

Im HijackThis-Log sehe ich keine Unregelmäßigkeiten mehr.

 

Habe jetzt mal alle Mails mit Anhang gelöscht, jedoch besteht immernoch das Problem in der Mailbox?

Außerdem hab ich irgendwie ab und an das problem, das Firefox Google nicht richtig ausführt und ich somit nichts suchen kann

Außerdem habe ich jetzt auch wieder das Problem, dass diese Werbefenster jetzt im Firefox angehen

die beiden merkwürdigen Dll's sind auch wieder da:
O4 - HKLM..Run [BM23e31168] Rundll32.exe CWINDOWSsystem32weggvxwx.dll,s
O4 - HKLM..Run [20d022f4] rundll32.exe CWINDOWSsystem32fqqsotgu.dll,b

 

Das sind jetzt aber andere Dateien als vorher.
Das sieht nach WinFixer aus.
http://www.wintotal-forum.de/index....cc2505f29fb8&topic=100715.msg521322#msg521322
Es gibt aber mittlerweile Tausende Abarten dieser Gattung. Täglich kommen neue hinzu, dass es da kaum Möglichkeiten zur Desinfizierung gibt.
Du kannst dich schon einmal auf ein Neuaufsetzen einstellen.

 

Denke auch das ein Neuaufsetzen notwendiig sein wird.
Sage mal, wie kann ich sicherstellen, dass bei den Datein die ich mitnehmen muss(E-Mails, Spielstände, Bilder usw) keine Verseuchten bei sind?

 

http://de.wikipedia.org/wiki/Technische_Kompromittierung#Neuaufsetzen_des_Systems

Ohne Backups ist das schwierig. Man kann zwar mit einem aktuellen AV-Programm scannen, aber wenn es sich um noch unbekannte Schädlinge handelt, kann man dann auch scheitern.
Man kann die Sicherungen in eine Art Quarantäne nehmen und sie dann später untersuchen, wenn die Virenerkennung verbessert ist.

 

Ok PC ist neu aufgesetzt ich denke der Thread kann geschlossen werden.

Und danke das du mir so toll geholfen hast

 

Der andere PC im Netzwerk ist ja dann hoffentlich auch sauber.