[Virus] Weiterleitung zu anderen Webseiten

hero-master · 19.02.2006, 11:43

Hallo zusammen

ich habe seit heute ein kleines Problem auf meinem PC:

Wenn ich meinen Browser öffne und dort einige Zeit bin, dann werde ich plötzlich auf andere Webseiten (Gewinnspiele, Fake-AntiVir-Programme, etc) weitergeleitet

Ichh abe schon hijackthis und Spybot durchlaufen lassen, doch das Problem besteht weiterhin

Das Ganze ist wohl browserunabhängig, da es sowohl im FF als auch in Opera passiert.
Htaj emand noch ne Idee auf Lager?

Stefan · 19.02.2006, 11:50

Drücke mal STRG + Alt + Entfernen und schau' dir die Prozesse an, dort wird sich der "Schädling" wohl verstecken. Entferne einfach mal ein paar verdächtige Programme und merk' dir den Dateinamen. Falls dein Problem dann verschwunden ist, löscht du diese Datei dann manual von deiner Festplatte ...

EDIT: Besser als der Windows Taskmanager ist J-Taskmanager. Damit sollten auch Prozesse angezeigt werden, die im Windows Taskmanager nicht angezeigt werden ...

hero-master · 19.02.2006, 12:41

Hi Juiced,
danke für den Tipp.
Den Task-Manager kann ich merkwürdigerweise nicht öffnen bzw. er öffnet sich nicht

Hab es auch über Start -> Ausführen -> taskmgr.exe versucht, dann kam die Fehlermeldun, dass er schon ausgeführt wird...

Stefan · 19.02.2006, 12:46

Dann probier' doch das J-Taskmanager

hero-master · 19.02.2006, 13:02

Zitat:

Zitat von Juiced

Dann probier' doch das J-Taskmanager

Da bekomme ich dann nur das "Loading-Fenster" und das will nicht emhr weg...

Unten in der Taskleiste steht dann "Microsoft Windows 2000" und da kann ichauch nich tper Rechtsklick oder ähnlichem das Ding löschen. -> Neustart...

Stefan · 19.02.2006, 13:07

Kannst du MSCONFIG öffnen? Wie sieht's im Abgesicherten Modus aus, tritt dort das Problem auch auf?

hero-master · 19.02.2006, 13:15

Das über tasmgr.exe ging wohl nur nicht, nachdem man bereits per alt+strg+entf den Task-Manager öffnen wollte.
Nun hab ich ihn offen.

Nur ich weiß jetzt nicht genau was nicht dahin gehört

Das meiste kenne ich zwar aber einige DInge sind mir fremd, jedoch sieht mir keisn davon bedrohlich aus:

nicolas11 · 19.02.2006, 13:30

hi hero master,

auf dieser seite kannst du siehst du eine erklärung zu fast allen prozessen

Stefan · 19.02.2006, 13:36

Sind das nur so wenige?

- Schade dass JTM nicht geht, da würdest du gleich sehen, wo's hingehört.

Ist wohl mehr ne Sache von rumprobieren ... ich hab' mal deine Dateien auf meinem W2k System gesucht. Die wo ich gefunden habe (grün), werden wohl unbedenklich sein. Beende testweise mal alle rot markierten Prozesse. (Siehe Anhang).

Auffällig ist die Datei lsass.exe. Der Sasser "Virus" trägt genau den gleichen Dateinamen. Eventuell handelt es sich dabei um eine erweiterte Variante etc.- Würde besonders auf diese Datei achten!

Gruß Stefan

EDIT: Scheint wohl doch was dran sein, an meiner Vermutung, wenn ich mir den Link von nicolas11 näher anschaue: http://www.sysinfo.org/startuplist.php?filter=lsass

nicolas11 · 19.02.2006, 14:13

Zitat:

Zitat von Juiced

EDIT: Scheint wohl doch was dran sein, an meiner Vermutung, wenn ich mir den Link von NIkolas näher anschaue: http://www.sysinfo.org/startuplist.php?filter=lsass

ich muss doch wohl sehr bitten!

maxi89 · 19.02.2006, 14:48

@Juiced: Warum soll er denn den Antivir-Guard beenden?
Das wird über den Taskmanager schwierig werden, der wehrt sich meistens dagegen.

Jokai olvaso · 19.02.2006, 15:26

Wenn Du Hijackthis eh schon hast laufen lassen, dann poste doch einfach mal das Log davon, ist üblicherweise etwas aufschlußreicher als der Taskmanager...

hero-master · 19.02.2006, 18:56

Danke euch, ich werd mal schlau machen auf der Seite

@Jokai: Haste eigentlich Recht

Zitat:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
D:\Programme\SpamPal\spampal.exe
D:\Programme\Mozilla Thunderbird\thunderbird.exe
D:\Programme\Trillian\trillian.exe
D:\Programme\foobar2000\foobar2000.exe
D:\PROGRA~1\MOZILL~1\FIREFOX.EXE
D:\Eigene Dateien\Sonstiges\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [outlook] C:\Programme\outlook\outlook.exe /auto
O4 - HKLM\..\Run: [winlog] winlog.exe
O4 - HKLM\..\RunServices: [winlog] winlog.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Spampal.lnk = D:\Programme\SpamPal\spampal.exe
O4 - Startup: T-Online.lnk = ?
O4 - Global Startup: Adobe Reader Speed Launch.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{9B0DAD5D-8D5D-4F1A-A633-2C2ECF3CFEDC}: NameServer = 217.237.151.161 217.237.151.33
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: ShellCompatibility - C:\WINDOWS\system32\enj6l11s1.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

juiced: danke für deine Mühen

Ichh abe mal ein wenig nachgeforscht bzw. habe mir "Security Task Manager" heruntergeladen
- Bei lsass.exe habe ich mich auch mal schlau gemacht: Das ist kein Virus, sondern "der lokale Sicherheitsdienst steuert die Richtlinien für User. ( lsass.exe = Local Security Authority Subsystem )"
- avguard.exe ist AntiVir
- sched.exe gehört auch zu AntiVir (der Scheduler)
- nvsvc32.exe gehört zum GraKa-Treiber (nvidia)
- von alg.exe findet STM nichts bzw. wird nicht aufgelistet...

Greenhorn23 · 20.02.2006, 12:14

hi,
die nwiz.exe schaut komisch aus,
es gibt einen trojaner (http://www.sophos.de/virusinfo/analy...agobotlb.html), der sich so schimpft aber auch eine exe die zu deiner grafikarte von nvidia gehört
hier etwas zur alg.exe (http://frankn.com/html/alg_exe.php)

hero-master · 20.02.2006, 12:55

Hi greenhorn,
nwiz.exe gehört wohl zur GraKa laut STM.
zu alg.exe habe ich auch einiges gefunden und sie befindet sich in dem Ordner, in dem sie sich befinden soll.
Ich habe keinen Prozess erkennen können, der eine Gefahr darstellen könnte

Ich habe WinXP Home und 2 Benutzernamen, die beide auch Admins sind. Kann es vielleicht sein, dass sich der Virus beim anderen Benutzer "eingeschlichen" hat und man sich, wenn man sich dort anmeldet, irgendwas finden könnte?