Habe XP SP1 installiert als OS.

Bis gestern am Morgen lief alles normal, nur gester Abend ging es dann los.

Der Kasten schaltete sich nach ein paar Minuten mehrfach aus. Norton zeigte nichts an.
Dann ist das Sys oftmals zu 100& ausgelastet, und er versucht in unregelmäßigen Abständen selbstständig eine I-Netverbindung herzustellen.
Was ist das? Hatte mal ein paar Removaltools drüber laufen lassen , aber die haben alle nichts gefunden.
Wenn ich wüsste was es ist, kann ich gezielter vorgehen.
THX für Hilfe im Voraus!

hört sich ganz nach dem Sasser an....hier gibt es mehrere Treads dazu wo auch die Vorgehensweise beschrieben wird das Dind wieder loszu werden

mmm...

Mach mal ein Log mit HijackThis (Link in der Signatur) un poste es dann, dann können wir dir leichter sagen, was es ist ... Norton hast du upgedatet?

Edit: Sober.G (http://www.heise.de/newsticker/meldung/47383), ein Email- Wurm, ist unterwegs ...

Für Sasser und Sober habe ich die Removaltools laufen lassen.
Jetzt habe ich Format C: gemacht. Nun nervt noch der Sound ab, der sich nicht zeigen will.:-(

EDIT: Gast bin ich Franklin.

Norton war neu mit Updates.

Naja hat sich ja dann erledigt mit Format C.

Aber kannst nächstes mal CWShredder benutzen. Das ist ganz gut und findet solche Sachen.

http://download.freenet.de/archiv_c/cwshredder_5981.html

Es trifft immer wenn man es gar nicht gebrauchen kann.
Mich nervt am meisten, das man so machtlos dem gegenüber ist.
Die Kiste läuft kaum noch und dann soll man Gegenmaßnahmnen treffen. Norton erkennt mal wieder rein gar nichts, und dann bleibt mir immer nur Format C:

mmm...

Dafür ist hijackthis sehr praktisch, weil es alle relevanten Informationen raussucht und zeigt. Was davon nachher schuld ist, lässt sich damit aus der Ferne schon erahnen/ sagen ... Sober.G ist erst seit dem 14.05.2004 unterwegs, so gesehen nützen die meisten Removal- Tools da erstmal nicht viel und das Norton nicht mehr so gut ist, stellen einige Leute hier immer wieder fest ...

Wahrscheinlich uas dem Grund, warum es auch fast nur Viren für Windows gibt. Wenn man einen Virus hat , der Windows und Norton umgeht, dann kann man sehr vielen Menschen auf den Geist gehen.
Diese ganzen Installationen immer.

@ Lakadamus
hab gestern bei Freemail auch 2 Mails mit Fotoanhang bekommen.Laut Freemail auch "sauber" !!!
Mein Antivir hat dann beim anklicken dann sofort SoberG
festgestellt.Da sieht man mal wieder das die Server auch nicht gerade up to Date mit Ihrem Virenschutz sind.

mmm...

@Planter
Ich bin kein Lakai, so gesehen bestehe ich auf mein o am Anfang :P ... naja, selbst, wenn Antivir nicht der beste Virenscanner ist, so ist er bei den "schlimmen" Sachen wenigstens aktuell genug :) ...

@Franklin
Einige haben nur festgestellt, das selbst, wenn Norton aktuell ist, einige Viren im System sein können und Norton nichts dagegen macht ...

Es geht weiter....:-(
Nun stellt sich meine Startseite immer auf eine Suchmaschine. Dazu gibt es einen Popup, in dem meine IP steht und es schreibt das es Spyware entdeckt habe.
Norton zeigt nichts an.
Spybot findet sachen, behebt die Probs auch, aber davon findet er jeden Scan wieder welche.
Die Startseite wird als "about:blank" in der Leiste oben angezeigt.

Wie bekomme ich das weg?

Hast du CWShredder mal drüber laufen lassen? Link steht ja oben ...

Der findet auch immer etwas........
Restoring Internet Explorer pages: Restored 6 items
und CWS-searchx: Removed

mmm...

Ad-Aware auch mal drüberlaufen lassen, ansonsten CWShredder drüberlaufen lassen (beide Programme brauchen noch ein Update) und sollte es immernoch nicht laufen, mit HijackThis ein Log erstellen und das Log posten, dann sagen wir dir schon, was raus kann ... Link zu allen genannten Programmen in meiner Signatur ...

Dann werde ich mal den Log erstellen....

Da kommt ein langes Protokoll, was davon soll ich Posten?

Oder wo kann ich ein Pic hinmailen?

Original geschrieben von Franklin
Da kommt ein langes Protokoll, was davon soll ich Posten?

Alles kopieren und einfach posten.
So sieht das dann z.B. aus.
http://www.forum-3dcenter.org/vbulletin/showthread.php?s=&threadid=142578

Lade dir das Sichehreispatch von Microsoft runter, was das Removetool von Microsoft nämlich braucht.

Dann löschst du die Datei avServe und deren BackUp-Datei, weiß aber nicht wo diese liegt, einfach mal suchen.

Das war bei mir erfolgreich.

Hier das Ergebnis:


Logfile of HijackThis v1.97.7
Scan saved at 18:43:38, on 16.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Programme\Norton Personal Firewall\IAMAPP.EXE
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\Winamp\Winampa.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Hewlett-Packard\AiO\hp officejet v series\Bin\hpoant07.exe
C:\Programme\Hewlett-Packard\AiO\hp officejet v series\FRU\Remind32.exe
C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
C:\WINDOWS\System32\hpoipm07.exe
C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe
C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOFXM07.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton Personal Firewall\NISUM.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Norton Personal Firewall\SymProxySvc.exe
C:\Programme\Norton Personal Firewall\NISSERV.EXE
C:\Programme\Norton Personal Firewall\ATRACK.EXE
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\Franklin\LOKALE~1\Temp\Rar$EX00.687\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\hiej.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\hiej.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\hiej.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\hiej.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\hiej.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\hiej.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {2A12A500-482B-4015-9FB4-208CF8414C2C} - C:\WINDOWS\System32\hiej.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton Personal Firewall\IAMAPP.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE
O4 - Startup: Produktumfrage von Hewlett-Packard.lnk = C:\Programme\Hewlett-Packard\AiO\hp officejet v series\FRU\Remind32.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: HPAiODevice(hp officejet v series) - 1.lnk = C:\Programme\Hewlett-Packard\AiO\hp officejet v series\Bin\hpoant07.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38122.1086574074
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{ECB71B31-91CA-448E-BD4E-45E000BB56F3}: NameServer = 213.191.92.87 213.191.74.18

Original geschrieben von Franklin
Dumme Frage , aber wie kopiere ich aus dem Proggi?
Wo vorher "Scan" stand, steht danach "Save Log".
Einfach anklicken und speichern.
Dann mit dem Editor öffnen, alles markieren, kopieren und in einem neuen post einfügen.

Habs gefunden!THX! Ist im vorigen Post eingebaut!

Die Datei "hiej.dll" gehört da mit Sicherheit nicht hin, die überschreibt auch deine normalen Einstellungen was Suchmaschinen und Co angeht.

Löschen geht da wie?
Anhaken und dann?
6 mal ist das da drin wenn ich richtig geschaut habe.

Original geschrieben von Franklin
O17 - HKLM\System\CCS\Services\Tcpip\..\{ECB71B31-91CA-448E-BD4E-45E000BB56F3}: NameServer = 213.191.92.87 213.191.74.18
Das sollte man sich vielleicht auch mal genauer ansehen.

Die 2. IP-Adresse in diesem Eintrag ist von einen normalen DNS-Server, aber die 1. ...

Hier gibts übrigends eine schöne Anleitung zu Hijackthis:
http://www.trojaner-info.de/anleitungen/hijackthis/htlogtutorial.html

Original geschrieben von Franklin
Diese kannst du löschen, ansonsten wird daraus später deine Startseite:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\hiej.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\hiej.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\hiej.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\hiej.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\hiej.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\hiej.dll/sp.html (obfuscated)

Diesen Eintrag must du lösche, dadurch wird dein System jedesmal neu infiziert, sobald du neu startest:
O2 - BHO: (no name) - {2A12A500-482B-4015-9FB4-208CF8414C2C} - C:\WINDOWS\System32\hiej.dll

Der Eintrag vom Nameserver sagt mir, dass du dich über Hansenet einwählst und damit aus HH kommst ;) ... wobei ich nicht weiss, ob die vordere IP auch zu Hansenet gehört oder nicht, die 2. kommt wohl Hansenet, jemand der Hansenet benutzt, muss mal nachschauen, was bei ihm eingetragen ist ...

Hätte ich auch selber drauf kömmen können. ;)
ping/all ist dein Freund.

213.191.74.18 = name2.hansenet.de
213.191.92.87 = name3.hansenet.de

Wo ist denn bei Hijack doe Löschfunktion?

Bin ein Noop auf dem Gebiet....

mmm...

Du siehst vor jeder Zeile einen kleinen weißen Kasten, dort kannst du einen Haken reinsetzen und dann gibt es unten diesen einen "Fix irgendwas" Button, damit entfernst du dann die markierten Einträge, welche erstmal woanders gespeichert werden wollen. Einfach in einen neuen Ordner speichern und wenn der IE wieder fehlerfrei läuft, löscht du diesen Ordner und gut ist ...

Ja ist Hansenet und Hamburg!:D
Habe soweit alles gelöscht was hiej.dll hieß, und was Anonym 001 vorgeschlagen hat auch.
Die Startseite im IE auch neu gesetzt.

Aber das Ding ist immer wieder da!:-(
Hilft da mal wieder nur Format C:?


Logfile of HijackThis v1.97.7
Scan saved at 20:26:49, on 16.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Programme\Norton Personal Firewall\IAMAPP.EXE
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\Winamp\Winampa.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Hewlett-Packard\AiO\hp officejet v series\Bin\hpoant07.exe
C:\Programme\Hewlett-Packard\AiO\hp officejet v series\FRU\Remind32.exe
C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
C:\WINDOWS\System32\hpoipm07.exe
C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe
C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOFXM07.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton Personal Firewall\NISUM.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Norton Personal Firewall\SymProxySvc.exe
C:\Programme\Norton Personal Firewall\NISSERV.EXE
C:\Programme\Norton Personal Firewall\ATRACK.EXE
C:\Programme\eMule\emule.exe
C:\WINDOWS\explorer.exe
C:\DOKUME~1\Franklin\LOKALE~1\Temp\Rar$EX00.468\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.metacrawler.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton Personal Firewall\IAMAPP.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE
O4 - Startup: Produktumfrage von Hewlett-Packard.lnk = C:\Programme\Hewlett-Packard\AiO\hp officejet v series\FRU\Remind32.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: HPAiODevice(hp officejet v series) - 1.lnk = C:\Programme\Hewlett-Packard\AiO\hp officejet v series\Bin\hpoant07.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38122.1086574074
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

mmm...

Ich glaube nicht, das es noch da ist, eher, das deine Hosts- Datei modifiziert ist. Sie liegt unter C:\WINDOWS\system32\drivers\etc und sollte am Ende nur sowas wie: "127.0.0.1 localhost" stehen haben. Diese Datei kannst du mit jedem Textprogramm (wie dem Editor oder Word) einfach öffnen und anschauen. Sollte da mehr drinne stehen, kannst du es gerne posten. Wo am Anfang einer Zeile eine Raute (= # ) steht, wird die Zeile ignoriert, diese Zeilen brauchst du nicht weiter beachten ...

Was genau ist immer wieder da ?
Bitte HJT-Log IMMER !! ohne laufenden IE erstellen !

Diese 6 Einträge kehren immer wieder, und somit auch die komische Startseite.

Diese kannst du löschen, ansonsten wird daraus später deine Startseite:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\hiej.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\hiej.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\hiej.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\hiej.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\hiej.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\hiej.dll/sp.html (obfuscated)

Habe mich für Format C: entschieden.
Mistkram!
Nach dem Format erstmal Virenscanner drauf und dann Windosupdate. Da macht er ein Sicherheitsupdate auch nicht mit. besimmt wegen diesem DING.

mmm...

Ist es nach dem Format weg oder kommt es immernoch wieder? Hast du eventuell nur eine Reperatur- Installation durchgeführt? wenn du die hiej.dll noch hast, zip sie mal und maile sie an mich (lokadamus@gmx.de Betreff: 3dc-virus), dann guck ich mir das Teil mal selber an ...

Ich formatiere richtig, die Reparatur ist nichts dolles.

Scheint ein absolutes Mistbiest zu sein.

Sollte man die desinfektion nicht im abgesichertem Modus durchführen?

Alex

Das weiss ich nicht, hat keiner was von geschrieben. Hatte es jetzt im normalen Windowsmodus gemacht.

@Lokadamus: Die Mail mit dem Anhang ist an dich raus! Kannst ja mal sagen was du rausbekommen hast.

mmm...

So, ich hoffe, ich hab mich richtig infiziert gehabt ;):
1.) Die Datei hiej.dll selber solltest du einfach löschen können
2.) Hijackthis ausführen und sämtliche Einträge davon löschen, Hijackthis ein 2. mal scannen lassen.
3.) im IE die Startseite auf irgendeine andere Startseite setzen, um zu sehen, ob es klappt
4.) Neustarten
5.) Hijackthis aufrufen und nochmal scannen => sollte ok sein
Sollte die Datei hiej.dll nach einem Neustart wieder da sein, spielt uns die Systemwiederherstllung einen Streich (über Desktop => rechte Maustaste vom Arbeitsplatz => Eigenschaften => Karteireiter Systemwiederherstellung und dort die Systemwiederherstellung deaktivieren). Die Datei selber trägt sich auch noch woanders in der Registry ein, weshalb sie immer wieder aufgerufen wird, darum ist es wichtig, dass die Datei gelöscht wird.

CWShredder soll das Teil mittlerweile auch erledigen können, herunterladen (Link in der Signatur) und auf "next" gehen, dann sucht es danach ...

Kann ich mir nicht mehr zu Herzen nehmen, aber es kann bestimmt jemandem helfen, der die Suchfunktion nutzt!

Vielen vielen Dank!!!