Trojaner Startpage NK.3. Was nun?

Hi,

ich habe mal einen Blick auf das Forum geworfen. Ich habe massive Probleme gehabt in den letzten Tagen mit Viren. Teilweise bis zu 300 bei einem Durchlauf von Antivir.
Wie auch immer, in meinen Archiven sind wohl noch Viren versteckt, möglicherweise ist es der Freund

Trojanisches Pferd TR/StartPage NK.3.

Den habe ich bei jedem Neustart auf meinem Rechner. Das Runterfahren dauert immer eine Ewigkeit, darüber hinaus öffnet sich meine Startpage web.de ständig und wenn nicht das, dann wird sie von www.searchmiracle.com ersetzt.
Zudem fehlt mir laut meinem Rechner auch die Datei SMCIRDA.Sys von SMCIR_NDIS. Keine Ahnung, was das heißt.
Für einen Firewalltipp wäre ich auch sehr dankbar. Zone Alarm Pro funktioniert bei mir auch nur halb. Hier der logfile


Logfile of HijackThis v1.98.2
Scan saved at 21:12:47, on 21.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\SndMon32.exe
C:\WINDOWS\System32\Svschost.exe
C:\Programme\Generic\USB Card Reader\Disk_Monitor.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Power Management\PwrGui.exe
C:\WINDOWS\System32\PRISMSTA.EXE
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\WINDOWS\System32\xpsp1mfh.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\TEMP\gr33k.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Desktop\volker\rettung.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchmiracle.com/sp.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.searchmiracle.com/
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\localNRD.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [Disk Monitor] C:\Programme\Generic\USB Card Reader\Disk_Monitor.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [PowerManagement] C:\Programme\Power Management\PwrGui.exe
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [Microsoft Update] msconfg.exe
O4 - HKLM\..\Run: [Media Player Update] xpsp1mfh.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Windows Sound Manager] SndMon32.exe
O4 - HKLM\..\Run: [Windows32 Serivces] winser32.exe
O4 - HKLM\..\Run: [BB5D4CB4] C:\WINDOWS\System32\nurzqbzsgl.exe
O4 - HKLM\..\Run: [Printer] C:\WINDOWS\TEMP\gr33k.exe
O4 - HKLM\..\Run: [sais] c:\programme\180solutions\sais.exe
O4 - HKLM\..\Run: [VVSN] C:\Programme\VVSN\VVSN.exe
O4 - HKLM\..\Run: [kernel32dll] Svschost.exe
O4 - HKLM\..\Run: [STOPzilla] "C:\Programme\STOPzilla!\Stopzilla.exe" /autorun
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Sys29] C:\windows\system32\wingiy32.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Win Comm] C:\Program Files\Win Comm\WinComm.exe
O4 - HKLM\..\Run: [nlqbdyjw] C:\WINDOWS\System32\tlgnmt.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [conscorr] C:\WINDOWS\conscorr.exe
O4 - HKLM\..\RunServices: [Microsoft Update] msconfg.exe
O4 - HKLM\..\RunServices: [Media Player Update] xpsp1mfh.exe
O4 - HKLM\..\RunServices: [Windows Sound Manager] SndMon32.exe
O4 - HKLM\..\RunServices: [Windows32 Serivces] winser32.exe
O4 - HKLM\..\RunServices: [468766B6] C:\WINDOWS\System32\nurzqbzsgl.exe
O4 - HKLM\..\RunServices: [kernel32dll] Svschost.exe
O4 - HKLM\..\RunOnce: [Windows Sound Manager] SndMon32.exe
O4 - HKLM\..\RunOnce: [kernel32dll] Svschost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Media Player Update] xpsp1mfh.exe
O4 - HKCU\..\Run: [Windows Sound Manager] SndMon32.exe
O4 - HKCU\..\Run: [Windows32 Serivces] winser32.exe
O4 - HKCU\..\Run: [Microsoft Update] msconfg.exe
O4 - HKCU\..\Run: [kernel32dll] Svschost.exe
O4 - HKCU\..\RunServices: [Media Player Update] xpsp1mfh.exe
O4 - HKCU\..\RunOnce: [kernel32dll] Svschost.exe
O4 - HKCU\..\RunOnce: [Windows Sound Manager] SndMon32.exe
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra button: MedionShop - {E05EC57C-ECD9-431C-981D-15573E34076E} - http://www.medionshop.de/ (file missing) (HKCU)
O16 - DPF: v3cab - http://searchmiracle.com/cab/v3cab.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_f...3f8f13d69a89:eba680bc1be2e220a7ec58ff8178110e
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab
O16 - DPF: {556DDE35-E955-11D0-A707-000000521957} - http://www.xblock.com/download/xclean_micro.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...ls/en/x86/client/wuweb_site.cab?1097843593769
O16 - DPF: {771A1334-6B08-4A6B-AEDC-CF994BA2CEBE} (Installer Class) - http://www.ysbweb.com/ist/softwares/v4.0/ysb_regular.cab
O16 - DPF: {CA034DCC-A580-4333-B52F-15F98C42E04C} (Downloader Class) - http://www.stopzilla.com/_download/Auto_Installer/dwnldr.cab

 

was war daran falsch?

 

Ach Du Scheiße, wie ich es befürchtet habe. Da ist ja nur noch Dreck drauf. Mit Win 98 hatte ich solche Probleme nicht.
Ok, kurzer Rat: Was soll ich nun tun?

 

eigentlich wollte ich Hilfe haben und nicht ausgelacht werden. Kann ja nicht jeder ein Fachmann sein.

habe es wieder rein gestellt und wenn es nur zur Abschreckung ist. Ich weiss noch nicht mal, was ein Size Tag ist.
Kenne das nur von Graffiti.

 

Hallo,
lösche diese Einträge:
C:\WINDOWS\System32\Svschost.exe
O4 - HKLM\..\Run: [kernel32dll] Svschost.exe
O4 - HKLM\..\RunServices: [kernel32dll] Svschost.exe
O4 - HKCU\..\Run: [kernel32dll] Svschost.exe
O4 - HKCU\..\RunOnce: [kernel32dll] Svschost.exe

NICHT mit svchost.exe............verwechseln!!!!
MFG.........

 

hab es doch selbst längst ausgecheckt. Gut, kann versuchen das alles zu fixen nur letztlich stellt sich mir die Frage, ob man ausnahmslos alles noch fixen kann.
Und viel wichtiger, was mache in Zukunft. Bin mit XP gerade mal eine Woche online und ich werde dermaßen bombadiert. Außerdem dachte ich meine XP Version upgedated zu haben. Vielleicht aber auch das zu spät.

 

nun sieht es so aus, was ist mit den Media Player Updates los?

http://www.hijackthis.de/logfiles/a51e51ea0bb87edb274d1a7928d04ad4.html

Der Rechner fährt immer noch wie eine Schecke runter.

 

@ wenigahnung

Also bei dem ganzen "Dreck" würde ich dir zu einer Neuinstallation raten, da bringt auch das fixen nix mehr. Gehe dabei nach dieser Anleitung vor:

http://www.pcwelt.de/forum/showpost.php?p=661577&postcount=3

Außerdem solltest du einen anderen Browser verwenden. Firefox wäre eine gute Alternative. Wenn du aber lieber mit dem Internet Explorer weiterarbeiten möchtest, dann lade dir mal Spybot Search and Destroy herunter, aktualisiere die Erkennungsregeln und immunisiere den IE.

Folgende Seiten solltest du dir mal anschauen:

http://www.ntsvcfg.de/

http://home.telebel.de/skwar/ntsvcfg/kss_xp/kss_xp.html

und evtl. ausdrucken.

Auch ein Image-Programm sei dir ans Herz gelegt. Mit seiner Hilfe erstellst du ein Abbild der Systempartition und kannst diese im Falle eines Malwarebefalls zurückspielen.

Gruß
Nevok

 

Ich bezweifle, dass mein Computerverstaendis dafuer ausreicht.

Ok nach einem weiteren Durchlauf von Antivir, kann ich XP jetzt wieder normal runterfahren.
Aber im Report von Antivir war doch so einiges Beunruhigendes. Einige Trojaner sind bei mir in Archiven versteckt und konnten so nicht geloescht werden.
Frage 1. Was sind genaue diese Archive (.cab-Dateien)?
Frage 2.: Kann man auch da die Trojaner entfernen?

Was ist mit meiner Festplatte D? Inwieweit muss ich mich mit der auch noch beschaeftigen?

 

Ja, stimmt schon, überall HJT-Logs, soweit das Auge reicht. Aber wer suchen kann umgeht diese Einträge - mal als Denkansatz.

mfg

 

Zu Frage 1: In welchem Verzeichnis befinden sich diese cab-Dateien?

Zu Frage 2: Ja, indem du die cab-Dateien löscht.

 

Die Dateien tragen die Namen

conscorr.cab, local Nrd.cab, polall1r.cab und v3cab.cab.

Die sind bei mir unter C: Einstellungen und Dokumente zu finden.

Löschen? Aber wie?

 

Dateien markieren und Entf drücken.

Bist du sicher? Nicht in den Temporary Internet Files?


Allerdings schliesse ich mich Nevok an, Neuinstallation ist die einzig saubere Lösung. Den Link zur Anleitung hat er dir ja schon genannt.

 

habe die Sachen jetzt über Dateien suchen gefunden und gelöscht.
Mein Rechner läuft soweit wieder ganz ordentlich, Viren findet Antivir jetzt nicht mehr. Aber trotzdem brauche ich mehr Schutz.
Darum werde ich die nächsten Tagen mal die gute C formatieren und XP dann neu draufspielen, wenn dann aber ordentlich mit all den Updates und Patches inklusive.
So sieht es momentan aus

http://www.hijackthis.de/logfiles/26930d0d9faa4b09786297104bdf562d.html

webrebates.exe kann ich komischerweise nicht löschen