Viren-Check

Hallo!

Hab ne Vermutung, dass sich ein Virus bei mir eingeschlichen hat. Ich bitte euch das folgende Logfile zu überprüfen
und mir falls es Probleme gibt Bescheid zu geben.

Danke im Voraus diniska!!!


Logfile of HijackThis v1.97.7
Scan saved at 20:16:43, on 26.05.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFSERVICE.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\regsvc.exe
C:\WINDOWS\system32\MSTask.exe
C:\WINDOWS\System32\WBEM\WinMgmt.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFAGENT.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\sstray.exe
C:\Programme\SaveNow\SaveNow.exe
C:\Programme\Gemeinsame Dateien\Totem Shared\Uninstall0001\upd.exe
C:\Programme\ClearSearch\Loader.exe
C:\DOKUME~1\WINDOW~1\LOKALE~1\Temp\bundle.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Common files\updmgr\updmgr.exe
C:\Programme\ThrustMaster\ThrustMapper\TMTMTSR.exe
C:\WINDOWS\system32\P2P Networking\P2P Networking.exe
C:\PROGRA~1\MCAFEE.COM\PERSON~1\MpfTray.exe
C:\DOKUME~1\WINDOW~1\LOKALE~1\Temp\Rar$EX00.422\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R3 - URLSearchHook: PerfectNavBHO Class - {0428FFC7-1931-45b7-95CB-3CBB919777E1} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
O2 - BHO: (no name) - {00000EF1-0786-4633-87C6-1AA7A44296DA} - C:\WINDOWS\system32\ATPART~1.DLL
O2 - BHO: NavErrRedir Class - {0428FFC7-1931-45b7-95CB-3CBB919777E1} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_22.dll
O2 - BHO: (no name) - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar1_27.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar1_27.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SaveNow] C:\Programme\SaveNow\SaveNow.exe
O4 - HKLM\..\Run: [Uninstall0001] "C:\Programme\Gemeinsame Dateien\Totem Shared\Uninstall0001\upd.exe" LASTCALL!adverts.mp3dancer.com!StatsMP3Dancer
O4 - HKLM\..\Run: [ClrSchLoader] C:\Programme\ClearSearch\Loader.exe
O4 - HKLM\..\Run: [SAHBundle] C:\DOKUME~1\WINDOW~1\LOKALE~1\Temp\bundle.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup
O4 - HKLM\..\Run: [updmgr] C:\Programme\Common files\updmgr\updmgr.exe
O4 - HKLM\..\Run: [ThrustTSR] C:\Programme\ThrustMaster\ThrustMapper\TMTMTSR.exe
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\system32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

 

Spyware:
C:\Programme\SaveNow\SaveNow.exe
C:\Programme\ClearSearch\Loader.exe

Fraglich:
C:\Programme\Gemeinsame Dateien\Totem Shared\Uninstall0001\upd.exe

C:\DOKUME~1\WINDOW~1\LOKALE~1\Temp\bundle.exe

C:\Programme\Common files\updmgr\updmgr.exe

C:\WINDOWS\system32\P2P Networking\P2P Networking.exe

O4 - HKLM\..\Run: [SaveNow] C:\Programme\SaveNow\SaveNow.exe

O4 - HKLM\..\Run: [Uninstall0001] "C:\Programme\Gemeinsame Dateien\Totem Shared\Uninstall0001\upd.exe"

O4 - HKLM\..\Run: [ClrSchLoader] C:\Programme\ClearSearch\Loader.exe
O4 - HKLM\..\Run: [SAHBundle] C:\DOKUME~1\WINDOW~1\LOKALE~1\Temp\bundle.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup
O4 - HKLM\..\Run: [updmgr] C:\Programme\Common files\updmgr\updmgr.exe

Das ist mal eine Auswahl - kann sein das ich was übersehen habe...

 

@ diniska

Nachdem dein System hochgradig verseucht ist, solltest du es besser neuaufsetzen.
Du hast dir den Troj/Flood-EF, SAH Agent und diverse Ad- und Malware eingefangen.
Kurzeitige Lösung bis zum Neuaufsetzen:
Lade dir LSPFix und repariere damit deine WinSocks.
Danach entfernst du alle von mir genannten EintrÃ?ge und postet nochmal ein neues Log File. Deinen IExplorer patchen, d.h. das SP1 und alle weiteren sicherheitsrelavanten Updates
installieren.
Diese EintrÃ?ge fixen:
R3 - URLSearchHook: PerfectNavBHO Class - {0428FFC7-1931-45b7-95CB-3CBB919777E1} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
O2 - BHO: (no name) - {00000EF1-0786-4633-87C6-1AA7A44296DA} - C:\WINDOWS\system32\ATPART~1.DLL
O2 - BHO: NavErrRedir Class - {0428FFC7-1931-45b7-95CB-3CBB919777E1} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: (no name) - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar1_27.dll
O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_22.dll
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O3 - Toolbar: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar1_27.dll
O4 - HKLM\..\Run: [SaveNow] C:\Programme\SaveNow\SaveNow.exe
O4 - HKLM\..\Run: [Uninstall0001] "C:\Programme\Gemeinsame Dateien\Totem Shared\Uninstall0001\upd.exe"
O4 - HKLM\..\Run: [ClrSchLoader] C:\Programme\ClearSearch\Loader.exe
O4 - HKLM\..\Run: [SAHBundle] C:\DOKUME~1\WINDOW~1\LOKALE~1\Temp\bundle.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup
O4 - HKLM\..\Run: [updmgr] C:\Programme\Common files\updmgr\updmgr.exe
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\system32\P2P Networking\P2P Networking.exe /AUTOSTART
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -

 

... Hinweg damit... das Ding ist hinterlistig den bekommst du mit fixen und löschen der ".dll" nicht weg. Machst du das geht dein Internet nicht mehr, das Teil modifiziert bzw. tauscht die WinSock aus. Da beißt du dir als Anfänger die Zähne dran aus.

Grüße
Wolfgang

 

O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_22.dll
-> Hinweg damit !!

Sehr fraglich und vermutlich Adware :
O4 - HKLM\..\Run: [updmgr] C:\Programme\Common files\updmgr\updmgr.exe

siehe hier : http://pestpatrol.com/pestinfo/e/euniverse.asp

Da ist noch einiges anderes drin enthalten .
Bitte Vollscan mit aktualisierten Versionen von Ad-Aware6 + Spybot 1.3 + CWShredder 1.57 durchführen und dann ein erneutes LHJT-Logfile erstellen !
Ein Update des IE könnte nötig sein aber zu empfehlen ist ein Browserwechsel auf Mozilla/Firefox oder Opera

 

Auf jeden Fall solltest Du mal Deinen IE patchen.
Das Logfile muß muß ein anderer auswerten.