Habe einen Wurm auf Rechner

Question

Hi,

habe mir heute einen Wurm auf dem Rechner eingefangen, weil ich wollte eine Internetseite besuchen, wo mir der Avira Virenscanner als Meldung ausgab"iexplorer.exe möglicherweise ein Wurm."
Dort machte ich ignorieren, weil ich mir auf der Seite sicher vorkam.

Seitdem deaktiviert sich Zonealarm, Roxio wird auch beendet und auch diverse andere Programme.

Was kann ich tun um den Eindringling zu entlarven?
Habe auch schon Hijackthis verwendet mit folgendem Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:24:57, on 21.10.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Winamp\Winampa.exe
C:\WINDOWS\CTHELPER.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe
C:\Programme\Roxio\Media Experience\DMXLauncher.exe
C:\Programme\Roxio\Drag-to-Disc\DrgToDsc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\BlazeVideo\BlazeDTV 2.5a\MediaDetector.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\ASRock WiFi-802.11g\RtWLan.exe
C:\Programme\ASRock\WiFi-802.11n\WiFi-80211n.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Creative Professional\Digital Audio System\E-MU PatchMix DSP\EmuPatchMixDSP.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\CPSHelpRunner.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://search.qip.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.qip.ru
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.qip.ru/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.qip.ru
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT2365318
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.qip.ru/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = Root: HKCU; Subkey: Software\Microsoft\Internet Explorer\SearchUrl; ValueType: string; ValueName: '; ValueData: '; Flags: createvalueifdoesntexist noerror; Tasks: AddSearchQip
R3 - URLSearchHook: QIPBHO Class - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - C:\Dokumente und Einstellungen\Sixer37\Anwendungsdaten\Microsoft\Internet Explorer\qipsearchbar.dll
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: Softonic VLC DE Toolbar - {64577f6f-8a9d-413a-b4c8-d080d6aeaf88} - C:\Programme\Softonic_VLC_DE\tbSoft.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Softonic VLC DE Toolbar - {64577f6f-8a9d-413a-b4c8-d080d6aeaf88} - C:\Programme\Softonic_VLC_DE\tbSoft.dll
O2 - BHO: QIPBHO - {A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE} - C:\Dokumente und Einstellungen\Sixer37\Anwendungsdaten\Microsoft\Internet Explorer\qipsearchbar.dll
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll
O3 - Toolbar: Softonic VLC DE Toolbar - {64577f6f-8a9d-413a-b4c8-d080d6aeaf88} - C:\Programme\Softonic_VLC_DE\tbSoft.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RoxWatchTray] "C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe"
O4 - HKLM\..\Run: [DMXLauncher] "C:\Programme\Roxio\Media Experience\DMXLauncher.exe"
O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Programme\Roxio\Drag-to-Disc\DrgToDsc.exe"

Answer 1

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TBPanel] C:\Programme\Vtune\TBPanel.exe /A
O4 - HKCU\..\Run: [BlazeServoTool] "C:\Programme\BlazeVideo\BlazeDTV 2.5a\MediaDetector.exe"
O4 - HKCU\..\Run: [SetDefaultMIDI] MIDIDef.exe
O4 - HKCU\..\Run: [uTorrent] "C:\Programme\uTorrent\uTorrent.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\A4CIS600\WATCH.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: ASRock WiFi-802.11g.lnk = ?
O4 - Global Startup: ASRock WiFi-802.11n Utility.lnk = C:\Programme\ASRock\WiFi-802.11n\WiFi-80211n.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: QIP 2005 - {1EF681F7-A04B-4D6D-9012-A307CCA55610} - C:\Programme\QIP\qip.exe (HKCU)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{351F9347-D5A3-48CC-B7D8-756B766844E6}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{351F9347-D5A3-48CC-B7D8-756B766844E6}: NameServer = 192.168.1.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{351F9347-D5A3-48CC-B7D8-756B766844E6}: NameServer = 192.168.1.1
O20 - AppInit_DLLs: winmm.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Google Update Service (gupdate1ca3c074aacb2b0) (gupdate1ca3c074aacb2b0) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Roxio UPnP Renderer 9 - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Sonic Shared\RoxioUPnPRenderer9.exe
O23 - Service: Roxio Upnp Server 9 - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Sonic Shared\RoxioUpnpService9.exe
O23 - Service: LiveShare P2P Server 9 (RoxLiveShare9) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Programme\Gemeinsame Dateien\SureThing Shared\stllssvr.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 8900 bytes

Vielleicht kann mir da einer helfen, welches Proggy das geöffnet ist das Problem verursacht.

Danke im voraus.

Gruß
Dennis

Answer 2

hallo,

das ist ja krass, benutze die:
Automatische Auswertung Ihres HijackThis Logfiles
und nachher poste hier die bösen oder nicht klare einträge.

lg

Answer 3

Hallo Dennis!

Nicht sooooo Schlimm! ;-) Installiere Dir zb. das neue Norton-Internet-Security-2010-Virenschutzprogramm (=> siehe Norton-Homepage) als sog. 30-Tage Testvesion und lass damit dein komplettes System durchsuchen. Findet Norton etwas wird es eleminiert (=> gelöscht) u. dein PC / Notebook ist wieder ´clean´!

Alternativ könnte ich Dir den kostenlosen Virenschutz von "Avast" vorschlagen, aber leider sind die kostenlosen Virenscanner nicht so gut (=> Scannen nur nach Virendefinitionen! Keine Rootkit- oder verhaltensbasierte Malware-Erkennung!) und besitzen bestenfalls eine rudimentäre Malware-Entfernungsroutine, die meistens nicht ausreicht um den Eindringlich wirklich unschädlich zu machen! Deshalb mein Vorschlag mit dem Testsieger "Norton-Intenet-Security-2010" welchen Du relativ günstig erwerben kannst (=> 1 Jahr Nutzungsdauer) oder nach kurzem Gebrauch wieder deinstallieren kannst.
Zum Glück hat die Zeitschrift "AudiVideoFoto(-Bild)" die noch erhältliche Vorgängerversion (Norton-Internet-Security-2009) als GRATIS-Promo-Aktionsware, in der Beilagen-DVD, anzubieten. Diese Version habe ich auch installiert und bin recht zufrieden damit, die Konfigurations- & Erkennungsmöglichkeiten sind Enorm!
Die Virenerkennungs-Updates kommen ca. im 5-10 Minuten-Takt! und gewährleisten so einen wirklich aktuellen Virenschutz! Die kostenlosen Virenscanner updaten dagegen meistens nur 1- 2-mal am Tag! :-( Der Norton-Schutz beinhalte ausserdem eine spezielle Firewall und diverse andere Erkennungs- und Blockademittel die eine Gratis-Virensoftware garantiert nicht besitzt!

Willst Du also einen bestmöglichen Schutz so installiere dir die Norton-Internet-Security-Software von der "AudioVideoFoto-Bild"-Zeitschrift (=> Hardware-Testjournal, an jedem besseren Kiosk erhältlich!) so bekommst Du zumindest eine Gratisversion(!) für zunächst ein halbes Jahr Nutzungsdauer, welche Du aber auf ein Jahr, kostenlos, mitsamt Upgrade, auf die aktuelle Version-2010, verlängern kannst!!! (=> Persönliche Registrierung erforderlich!:-)

Also, worauf wartest Du noch,....Hopp,Hopp, zum nächsten Kiosk / Zeitschriftenhandel und sich ´ne "AudioVideoFoto-Bild" besorgt! Gell! ;-D


Tschau...:-)

Answer 4

Danke für die Antworten.

Auch dir großen Dank vorallem Orakel.
Ich dachte mir dann auch, weil sich das System nicht erhängt oder Programme überhaupt nicht mehr funktionieren, das dies noch auszubügeln geht.
NOCH habe ich glücklicherweise Zugriff auf die Daten und das OS.

Ich probiere es mal aus mit deinen Links und melde mich dann nochmal.

Gruß
Dennis