Hilfe wurde infiziert

Habe irgend eine blöde spyware oder so etwas. Mein explorer geht automatisch an und bringt mich auf diese Seite
(Link editiert)
vieleicht weiß jemand was
Danke im Vorraus.

Ps. fals jemand eine lösung hat bitte so erklären das es ein Anfänger versteht.

Hallo ego,

erstelle bitte mal ein Hijackthis-Log. Wie das geht steht hier:
http://www.dedies-board.de/wbb2/thread.php?threadid=183

Dieses Log dann bitte hier posten.

Bis man weiß, um was es sich bei der Seite handelt, sollte man den Link m.E. "deaktivieren".

@ Haui

Hast recht. Habe nur mal kurz reingesehen, japanische Schriftzeichen entdeckt, aber nicht genauer geforscht.

Sagt ir garnichts.

Logfile of HijackThis v1.99.1
Scan saved at 23:47:55, on 17.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\sstray.exe
C:\Programme\WLAN Monitor\wlconfig.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Program Files\CNNIC\Cdn\cdnup.exe
C:\Programme\Gemeinsame Dateien\updat\Update.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\DrvMon.exe
C:\Programme\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifie
r.exe
C:\dicad\strauti\numplus.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Microsoft Office\OFFICE11\POWERPNT.EXE
C:\Program Files\927up.exe
C:\DOKUME~1\ego\LOKALE~1\Temp\RarSFX1\csrss.exe
C:\Programme\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://client.jogo.cn/cdn/browser/custom...msearch-en.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O1 - Hosts: 80.190.241.30 home.edonkey.com
O1 - Hosts: 80.190.241.30 home.edonkey.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: CdnForIE Class - {5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} - C:\PROGRA~2\CNNIC\Cdn\cdnforie.dll
O2 - BHO: BHOImp Class - {70AFF2CB-9DA2-499C-8D15-900729FCE83D} - C:\WINDOWS\system32\YHBO.dll
O2 - BHO: BandIE Class - {77FEF28E-EB96-44FF-B511-3185DEA48697} - C:\PROGRA~1\baidu\bar\BaiduBar.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O2 - BHO: WMHlprObj Class - {F5824EFB-728A-4726-A5A5-85A68B20EDC3} - C:\PROGRA~2\CNNIC\Cdn\wmhlpr.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: °Ù¶È³¬¼¶ËÑ°Ô - {B580CF65-E151-49C3-B73F-70B13FCA8E86} - C:\PROGRA~1\baidu\bar\BaiduBar.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [WLAN Quick-Starter] "C:\Programme\WLAN Quick-Starter\WLAN Quick-Starter.exe" -update
O4 - HKLM\..\Run: [wlconfig] C:\Programme\WLAN Monitor\wlconfig.exe -autostart
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [CdnCtr] C:\Program Files\CNNIC\Cdn\cdnup.exe
O4 - HKLM\..\Run: [rundll] C:\Program Files\Common Files\rundll.exe
O4 - HKLM\..\Run: [Update] C:\Programme\Gemeinsame Dateien\updat\Update.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DrvMon.exe] C:\WINDOWS\system32\DrvMon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifie
r.exe
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: NumPlus.lnk = C:\dicad\strauti\numplus.exe
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: ¿á±ê - {1D901067-2529-4A9B-9B6B-7A1DB3A44CB5} - C:\Programme\coolsign\coolsign.dll
O9 - Extra button: Chinese Navigation - {5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} - C:\PROGRA~2\CNNIC\Cdn\cdnforie.dll
O9 - Extra 'Tools' menuitem: Chinese Navigation - {5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} - C:\PROGRA~2\CNNIC\Cdn\cdnforie.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AccSys WiFi Server (AccWLSvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe

meinte sagt mir garnichts

Da ist einiges im argen:

Beende zunächst mal über den Taskmanager den Prozess rundll.exe undDrvMon.exe und lade danach folgende Dateien:

C:\Program Files\Common Files\rundll.exe
C:\WINDOWS\system32\DrvMon.exe
hier hoch.

Die Ergebnisse teilst du uns bitte mit!

Stelle auch mal fest, ob du unter Systemsteuerung->Software Baidu findest und das gegebenenfalls deinstallieren kannst.

Ja ja wenn man da nicht aufpasst!!!

-YHBO.dll = AdwARE downloader
-r.exe

Nach dem Sophos Virenlexikon heisst der Trojaner Troj/Small-OY
Und hier die Eklärung zum Trojaner:

Troj/Small-OY ist ein Trojaner für die Windows-Plattform.

Der Trojaner versucht, Dateien von einem

Zitat:

remoten Speicherort

herunterzuladen und zu starten. Die Dateinamen der von dem Trojaner benutzten Komponenten sind runsvc32.exe, spoolsrv32.exe und srpcsrv32.dll.

-Hosts: 80.190.241.30 home.edonkey.com beide Einträge sofort fixen!!

u.v.m Das System bekommst du nicht mehr sauber!! Ich empfehle dir das Teil Neu zu machen, alle Treiber drauf und ein aktuellen AntiVirus bevor dieser ins Internet geht.
Sobald der Rechner im Internet eine Verbindung aufgebaut hat, alle Windows Patches u.a SP2 und den Antivirus auf den neusten Stand bringen.
Danach solltest du ein Backup von deinem System machen um dir die Arbeit beim nächsten Infect zu ersparen. Und Filesharing vermeiden!!

Falls noch Fragen offen sind, einfach posten

gruss Mad

Datei: rundll.exe
Auslastung:
0% 100%
Status:
INFIZIERT/MALWARE
Entdeckte Packprogramme:
FSG

AntiVir
Trojan/Delphi.Downloader.Gen gefunden
ArcaVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Keine Viren gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Trojan.DownLoader.13888 gefunden
F-Prot Antivirus
Keine Viren gefunden
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
Keine Viren gefunden
NOD32
Keine Viren gefunden
Norman Virus Control
Suspicious_F.gen gefunden
VirusBuster
Keine Viren gefunden
VBA32
Keine Viren gefunden

Datei: DrvMon.exe
Auslastung:
0% 100%
Status:
OK (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme:
-

AntiVir
Keine Viren gefunden
ArcaVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Keine Viren gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Keine Viren gefunden
F-Prot Antivirus
Keine Viren gefunden
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
Keine Viren gefunden
NOD32
Keine Viren gefunden
Norman Virus Control
Keine Viren gefunden
VirusBuster
Keine Viren gefunden
VBA32
Keine Viren gefunden

Nachtrag Nr. 1:
Das Programm Baidu ist nicht vorhanden

Nachtrag Nr. 2:
Aber habe leider keine zeit bin am ende meiner Dipl. Arbeit und habe nicht mehr so viel zeit das alles zu machen

Nachtrag Nr. 3:
Habe meinen abgabe termin für mein Dipl. verschoben. Vieleicht kannst du mir erklären wie ich das wegbekommen ohne mein ganzes system neu zu Instalieren.

[m]Bitte benutze in Zukunft den Ändern-Knopf, wenn Du Dir selbst antworten möchtest. Das ist übersichtlicher, als Dir selbst zu antworten.
Dankeschön! MfG Vimes [/m]

Hallo,

erstmal würde ich auch noch diese beiden Dateien:

Zitat:

C:\Program Files\927up.exe C:\DOKUME~1\ego\LOKALE~1\Temp\RarSFX1\csrss.exe

bei Jotti hochladen, wenn dort die Auslastung mal wieder unter 100% sinkt ...

kann C:\DOKUME~1\ego\LOKALE~1\Temp\RarSFX1\csrss.exe
nicht im Task Manager schließen. Es steht konnte diesen kritischen Systemprozess nicht beenden

Nachtrag:
Datei: 927up.exe
Auslastung:
0% 100%
Status:
INFIZIERT/MALWARE
Entdeckte Packprogramme:
NSPACK

AntiVir
Heuristic/Crypted gefunden (mögliche Variante)
ArcaVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Keine Viren gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Keine Viren gefunden
F-Prot Antivirus
Possibly a new variant of W32/Threat-IKNP-based!Maximus gefunden
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
Keine Viren gefunden
NOD32
Keine Viren gefunden
Norman Virus Control
W32/Hengbang.AF gefunden
VirusBuster
Keine Viren gefunden
VBA32
Downloader.Banload.17 gefunden (mögliche Variante)

Aha. Und kannst du eventuell noch herausfinden, was alles in dem Temp-Verzeichnis (siehe Pfad oben) drin ist und auch das, was in dem Unterverzeichnis RarSFX1 steckt. Die csrss.exe gehört da eigentlich nicht hin.

Aber verstehe nicht genau was du wissen willst.

Nachtrag Nr. 1:
Unter Start/Programme habe ich irgend ein Programm mit chinesichen zeichen.

Nachtrag Nr. 2:
°Ù¶È³¬¼¶ËÑ°Ô

Zitat:

Original von soul115 Aha. Und kannst du eventuell noch herausfinden, was alles in dem Temp-Verzeichnis (siehe Pfad oben) drin ist und auch das, was in dem Unterverzeichnis RarSFX1 steckt. Die csrss.exe gehört da eigentlich nicht hin.

Du sollst schauen was in dem Ordner Temp (alles)drin ist und was auch in dem RarSFX1

Pfad --> Systemsteuerung --> Ordneroption --> Reiter Ansicht --> scrollen bis unten "Alle Dateien und Ordner anzeigen" dann suchen...

C:\DOKUME~1\ego\LOKALE~1\Temp\RarSFX1\csrss.exe


Du mußt auf jeden Fall Alle geposteten fixen!! Dann haste vielleicht Ruhe bis du wieder Zeit hast...

ach, Bei mir ist die csrss.exe in den Verzeichnissen und da sollten sie sein

Weiß leider nicht wie man so ein foto vom bildschirm macht

Zitat:

Original von ego Weiß leider nicht wie man so ein foto vom bildschirm macht

Dafür gibt es mehrere Möglichkeiten. Die einfachste davon: man startet Paint oder ein anderes Bildbearbeitungsprogramm, dann drückt man gleichzeitig die Tasten Strg+PrintScreen. dabei wird der Screenshot in der Zwischenablage gespeichert. Es bleibt jetzt nur, im Bildbearbeitungsprogramm auf Bearbeiten/Einfügen zuzugehen .
Bezüglich Temp-Ordner: man brauch normalerweise nicht, dorthin zu gehen und irgendwas zu tun. Es sind die Dienst-Ordner von Windows, alles, was sich dort im Laufe der Zeit sammelt, muss man ab und zu löschen. Das Tool hilft dir, den Müll vom PC rauszuwerfen.

Hallo,

habe auch gestern abend noch gesehen, dass der Temp-Ordner vermutlich viel zu viel beinhaltet. Das wird also wohl nicht viel bringen. Mir ging es nur darum herauszufinden, was sich außer dem bereits genannten noch auf dem Rechner tummelt und was es mit dieser csrss.exe auf sich hat.

Früher oder später wird ein Neuaufsetzen sowieso notwendig sein, alles andere ist Flickschusterei (<- und ich schüttele das auch nicht gerade aus dem Ärmel). Ich würde an egos Stelle schon mal damit anfangen, die persönlichen Daten und Dokumente zu sichern.

Hy
ich wollte noch mal was frage und zwar habe ich jetzt unter msconfig einige Programme im Systemstart entfernt und jetzt öffnet sich kein Fenster mehr von allein. Ich schicke dir mal ein Bild, vieleicht kann ich ja noch etwas ausschalten oder so oder vieleicht siehst du so wo das Problem liegt.

der rest

Ich bin nicht so sehr der Systemstart-Spezialist, aber das sieht schon mal ganz gut aus. Das meiste, was da automatisch startet, kann man ja auch per Hand starten, wenn´s benötigt wird. Ich mach mir da nicht so sehr nen Kopf, aber ich habe ja auch keine Trojaner und chinesische BHOs auf dem Rechner ...

Selbst wenn dein Problem für den Moment behoben scheint, kannst du doch dem Rechner nicht mehr vollständig vertrauen. Meinetwegen schreibe die Diplomarbeit zu Ende (dafür viel Erfolg!), halte dich nach Möglichkeit weitgehend vom Internet fern und freunde dich langsam mit dem Gedanken an, den PC neu aufzusetzen, wenn du die Zeit dafür aufbringen kannst. Dafür sei dir diese Lektüre ans Herz gelegt.