Virus/Trojaner über Internet Explorer

[Kaddl]

Hallo,

habe seit ein paar Tagen anscheinend einen Virus/Trojaner auf dem Rechner. Es öffnen sich im Minutentakt Fenster von Internet Explorer (ich nutze sogut wie immer mozilla firefox), die Werbung anzeigen.

Hab mit "hijack" schon die Programme gescannt (Tipp von meinem Bruder). Ich selbst kenne mich in der Richtung nicht wirklich aus. Kann mir also jemand weiterhelfen?
Hier die Textdatei

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:23:12, on 17.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Programme\Intel\Wireless\Bin\OProtSvc.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\TOSHIBA\TME3\Tmesrv31.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\QIP\qip.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [face bin load show] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\title tool face bin\axis build.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Error Locks] C:\DOKUME~1\Kaddl\ANWEND~1\SUPPOR~1\BikeBleh.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://static.pe.schuelervz.net/photouploader/ImageUploader5.cab?nocache=1217714441
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: OwnershipProtocol - Intel Corporation - C:\Programme\Intel\Wireless\Bin\OProtSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Tmesrv3 (Tmesrv) - TOSHIBA - C:\Programme\TOSHIBA\TME3\Tmesrv31.exe

--
End of file - 5603 bytes

Lg, Kaddl

 

[Boogeyman]

Lass diese Datei mal bei www.virustotal.com überprüfen.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\title tool face bin\axis build.exe
C:\DOKUME~1\Kaddl\ANWEND~1\SUPPOR~1\BikeBleh.exe

 

[jack86]

Hast du Antivirenprogramme oder Spybot installiert? Wenn ja, lass mal ne Suche durchlaufen.

 

[casanova8279]

Hallo Kaddl,

installiere Spybot und aktualisiere deinen Virenclient. Starte im Abgesicherten Modus. Führe den Spybot & Virenprogramm aus. Wenn das kein erfolg bringt, muss noch in der Regedit nachschauen.

Gruss
casa

 

[Kaddl]

Mein Virenprogramm AntiVir lief schon und Spybot auch. Mit letzterem kenne ich mich allerdings auch nicht aus und weiß nicht so richtig wie ich vorgehen soll. Habe gerade nochmal eine Überprüfung gestartet.

@Boogeyman, habe ich versucht, aber die Dateien sind nicht da, wie es angegeben ist. Hab ich nicht gefunden?!

 

[Boogeyman]

Sie sind schon da, aber werden normalerweise ausgeblendet.
Mach mal das, dann dürftest du sie" sehen"


Dateinamenerweiterung bei bekannten Dateitypen wieder einblenden:

Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Erweiterungen bei geschützten Systemdateien ausblenden:

2.Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"kannten Dateitypen ausblenden" -> "OK"

 

[Kaddl]

Ok, dadurch wirds angezeigt. Das erste hab ich gefunden und es läuft gerade. Danke erstmal, ich meld mich wieder.

Gefunden wurde: Trojan.Win32.Obfuscated.gen & OScope.Trojan.BagsWay.B in der Datei: axis_build.exe

Die andere Datei ließen sich einfach löschen. Wie bekomme ich nun die andere Datei (axis_build.exe) weg?

 

[jack86]

Wenn sich die Datei nicht löschen lässt versuchs nochmal im Abgesicherten Modus (F8 drücken kurz vorm Windowsstart, also kurz bevor der Startbildschirm kommt).

 

[TheGhost31.08]

1. Normalerweise erstellt Virus-Total eine Liste der Programme und der Funde, diese sollte man auch komplett posten, könnte ja ein Fehlalarm eines Programmes sein.
2. Mit Hijackthis nochmal einen Scan machen, und damit den Eintrag fixen. Wenn die Datei danach immernoch besteht: Im Abgesicherten Modus probieren, falls immernoch nicht möglich: "unlocker" benutzen.
3. Du solltest mal alle Passwörter die du über deinen Pc eingegeben hast ändern,könnte ja sein, das der Trojaner nach hause gesendet hat.