Moin,
habe heute in der Firma den Virenscan mal durchgejagt und 30 mal die gleiche Datei geloescht, die infiziert war. Auswirken tut sich das, dass der Browser (egal ob IE oder FireFox) immer anfaengt nach irgendwelchen Teens zu suchen. X-D

Ist ja mal ganz witzig, aber nicht, wenn Kunden daneben stehen. ;(

Antivir ist auf dem neuesten Stand, AdAware auch, die hosts-Datei ist auch sauber, was zum... X-(

Jage mal Stinger rüber!

mfg

Hilft auch nicht ...

So 'n Mist, das kann doch nicht sein. Antivir, AdAware, Stinger etc. finden alle nix. Der startet sogar selbstständig den Browser um auf diese Suchseite zu gehen ;(

Probier mal Sysclean mit aktueller Pattern-Datei im abgesicherten Modus.
Hijackthis laufen lassen?

So, habe Hijackthis gerade durchgejagt. Ich glaube, ich habe ihn terminiert!

Hier noch einmal der Log um sicherzugehen:

Logfile of HijackThis v1.99.1
Scan saved at 11:55:59, on 24.02.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Microsoft SQL Server\MSSQL$CENTROSQL\Binn\sqlservr.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\HotFixQ0306270.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\PL15Co2K.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\ASCOMP Software\BackUp Maker\bkmaker.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\open32.exe
C:\Programme\CENTROdigital\PROGRAMM\CENTROdigital.exe
C:\Programme\CENTROdigital\PROGRAMM\NET.exe
C:\Programme\CENTROdigital\PROGRAMM\DDEServer.exe
C:\Dokumente und Einstellungen\KFZ\Desktop\stinger.exe
C:\Programme\Outlook Express\msimn.exe
C:\unzipped\hijackthis_199\HijackThis.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: (no name) - {F2AD2848-8172-9288-2631-44FB35F261F5} - C:\WINDOWS\sdkic.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SaveMaker.exe] C:\Programme\SaveMaker\SaveMaker.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HI-SPEED USB DEVICE Coinstaller] PL15Co2K.exe
O4 - HKLM\..\Run: [addja32.exe] C:\WINDOWS\system32\addja32.exe
O4 - HKLM\..\Run: [Shell] open32.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [SaveMaker.exe] C:\Programme\SaveMaker\SaveMaker.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: winupdate29476905[1].exe
O4 - Global Startup: BackUp Maker.lnk = C:\Programme\ASCOMP Software\BackUp Maker\bkmaker.exe
O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: Corel Network monitor worker - {1EE4E843-84D0-4ADD-B790-1E3B2A3FED62} - C:\WINDOWS\System32\iegfxfrw.dll
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {1EE4E843-84D0-4ADD-B790-1E3B2A3FED62} - C:\WINDOWS\System32\iegfxfrw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\Agnitum\OUTPOS~1.0\trash.exe (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\Agnitum\OUTPOS~1.0\trash.exe (file missing) (HKCU)
O9 - Extra button: Corel Network monitor worker - {1EE4E843-84D0-4ADD-B790-1E3B2A3FED62} - C:\WINDOWS\System32\iegfxfrw.dll (HKCU)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {1EE4E843-84D0-4ADD-B790-1E3B2A3FED62} - C:\WINDOWS\System32\iegfxfrw.dll (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e60/
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.awmdabest.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.static.topconverting.com
O15 - Trusted Zone: *.05p.com (HKLM)
O15 - Trusted Zone: *.awmdabest.com (HKLM)
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.scoobidoo.com (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted Zone: *.static.topconverting.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: 206.161.125.149 (HKLM)
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/25f2e2e6673badaa1f16/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1104141959685
O16 - DPF: {693F0F29-1D1F-4EDF-B5A8-E8852FF195DE} (SEAGULL J Walk Printer Client) - http://www.japcar.de/jwalk/jwalk_printerclient_ie.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Prolific HotFix Q0306270 (PLQ0306270) - Unknown owner - C:\WINDOWS\System32\HotFixQ0306270.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Network Security Service (?%AF夶À¨) - Unknown owner - C:\WINDOWS\d3ye.exe (file missing)

Ok. doch nicht terminiert, er springt immer noch auf die komische Seite X-( (ueber Horseserver.net)

Schon mal Spybot in der neuesten Version probiert ?

Hier auf die schnelle die automatische Auswertung.
http://www.hijackthis.de/logfiles/cd1affde869cf5200191ece21cb68f72.html

Da sind einige seltsame Einträge vorhanden.

So, habe Hijackthis gerade durchgejagt. Ich glaube, ich habe ihn terminiert!

Hier noch einmal der Log um sicherzugehen:

Logfile of HijackThis v1.99.1
Scan saved at 11:55:59, on 24.02.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Microsoft SQL Server\MSSQL$CENTROSQL\Binn\sqlservr.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\HotFixQ0306270.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\PL15Co2K.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\ASCOMP Software\BackUp Maker\bkmaker.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\open32.exe
C:\Programme\CENTROdigital\PROGRAMM\CENTROdigital.exe
C:\Programme\CENTROdigital\PROGRAMM\NET.exe
C:\Programme\CENTROdigital\PROGRAMM\DDEServer.exe
C:\Dokumente und Einstellungen\KFZ\Desktop\stinger.exe
C:\Programme\Outlook Express\msimn.exe
C:\unzipped\hijackthis_199\HijackThis.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE


die markierten sind definitiv nicht gut.

Erstmal danke fuer die Infos, ist auch alles soweit gefixt, bis auf

O23 - Service: Network Security Service (?%AF夶À¨) - Unknown owner - C:\WINDOWS\d3ye.exe (file missing)
O23 - Service: Prolific HotFix Q0306270 (PLQ0306270) - Unknown owner - C:\WINDOWS\System32\HotFixQ0306270.exe

Der kommt auch immer wieder, egal wie oft ich den Fixe oder per Antivir loesche/quarantisiere.

Jemand noch 'ne Idee dazu?

Das ist kein Trojaner der Firefox befällt, sondern eine Malware die offensichtlich bestimmte IP-Adressen auf andere umbiegt und wahrscheinlich noch andere lustige Sachen...

Erstmal danke fuer die Infos, ist auch alles soweit gefixt, bis auf

O23 - Service: Network Security Service (?%AF夶À¨) - Unknown owner - C:\WINDOWS\d3ye.exe (file missing)
O23 - Service: Prolific HotFix Q0306270 (PLQ0306270) - Unknown owner - C:\WINDOWS\System32\HotFixQ0306270.exe

Der kommt auch immer wieder, egal wie oft ich den Fixe oder per Antivir loesche/quarantisiere.

Jemand noch 'ne Idee dazu?
1. Den Prozess abschießen und Datei löschen
2. Systemwiederherstellung abschalten
3. Rechner im abgesicherten Modus starten
4. Einträge fixen

Jetzt sollte es klappen.

'edit' Auch wenn der IE nicht benutzt wird sollte er aktuell sein und auch alle Patches dafür installiert werden.

mmm...

C:\WINDOWS\System32\open32.exe <--- Erschiess den Task im Taskmanager

Komische Einträge:
O2 - BHO: (no name) - {F2AD2848-8172-9288-2631-44FB35F261F5} - C:\WINDOWS\sdkic.dll <--- ???

O4 - HKLM\..\Run: [SaveMaker.exe] C:\Programme\SaveMaker\SaveMaker.exe <-- kenne ich nicht, hast du aber wohl installiert

O4 - HKLM\..\Run: [HI-SPEED USB DEVICE Coinstaller] PL15Co2K.exe <-- gehört wohl zu nem USB- Teil, soll der Uninstaller sein
O4 - HKLM\..\Run: [addja32.exe] C:\WINDOWS\system32\addja32.exe <-- sehr merkwürdiges Teil
O4 - HKLM\..\Run: [Shell] open32.exe <-- sehr merkwürdiges Teil

O4 - HKCU\..\Run: [SaveMaker.exe] C:\Programme\SaveMaker\SaveMaker.exe

O4 - Startup: winupdate29476905[1].exe <--- sehr merkwürdiges Teil

O9 - Extra button: Corel Network monitor worker - {1EE4E843-84D0-4ADD-B790-1E3B2A3FED62} - C:\WINDOWS\System32\iegfxfrw.dll <--- keine Ahnung
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {1EE4E843-84D0-4ADD-B790-1E3B2A3FED62} - C:\WINDOWS\System32\iegfxfrw.dll <-- Keine Ahnung
O9 - Extra button: Corel Network monitor worker - {1EE4E843-84D0-4ADD-B790-1E3B2A3FED62} - C:\WINDOWS\System32\iegfxfrw.dll (HKCU) <--- keine Ahnung
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {1EE4E843-84D0-4ADD-B790-1E3B2A3FED62} - C:\WINDOWS\System32\iegfxfrw.dll (HKCU) <--- keine Ahnung


Diese Einträge würde ich definitiv entfernen, danach kannst du im IE mal nachschauen, was alles als vertrauenswürdige Zone eingetragen ist:
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e60/
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.awmdabest.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.static.topconverting.com
O15 - Trusted Zone: *.05p.com (HKLM)
O15 - Trusted Zone: *.awmdabest.com (HKLM)
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.scoobidoo.com (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted Zone: *.static.topconverting.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: 206.161.125.149 (HKLM)
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/25f2e2e...RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...b?1104141959685
O16 - DPF: {693F0F29-1D1F-4EDF-B5A8-E8852FF195DE} (SEAGULL J Walk Printer Client) - http://www.japcar.de/jwalk/jwalk_printerclient_ie.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub...ash/swflash.cab


O23 - Service: Prolific HotFix Q0306270 (PLQ0306270) - Unknown owner - C:\WINDOWS\System32\HotFixQ0306270.exe <--- soll ebenfalls zum USB- Teil gehören
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe <--- ??? Du hast 2 PFw's am Laufen?
O23 - Service: Network Security Service (?%AF夶À¨) - Unknown owner - C:\WINDOWS\d3ye.exe (file missing) <-- böse, aber nicht mehr da, Eintrag entfernen

Bei den merwürdigen Einträgen, such die Datei und lad sie auf einen von den beiden Seiten einmal hoch:
http://virusscan.jotti.org/
http://www.virustotal.com/flash/index_en.html