[Maler]

Hallo
Wenn ich den IE 6.0 starte oder auch im netz surfe erschein öfter der HInweis auf einen Virus mit dem Namen Trojan.Bookmarker.Gen.
Was kann ich dagegen unternehmen?

[radyr]

1. Lade dir mal hijackthis runter und lass das Logfile auswerten oder poste es hier.

2. Hast du einen vernünftigen Virenscanner auf deinem System?

3. Versuch es mal mit einem anderen Browser, z.B. Mozilla Firefox.

[Maler]

Hallo rehleinkiller,
ich habe den Norton Antivirus 2004 als Virenscanner.



Logfile of HijackThis v1.98.2
Scan saved at 08:54:15, on 27.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\ntvdm.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\WINNT\System32\hphmon03.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclConf.exe
C:\WINNT\system32\cisvc.exe
C:\WINNT\System32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Java\j2re1.4.2_01\bin\jucheck.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Toolbox\Hintergrundkalender\WCServ.exe
C:\BRICK\BRKMON.EXE
D:\SFIRM32\SFAutomat.exe
C:\WINNT\System32\NMSSvc.exe
C:\WINNT\System32\nvsvc32.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINNT\System32\svchost.exe
C:\Programme\TapeWare\TWWINSDR.EXE
C:\WINNT\system32\cidaemon.exe
C:\WINNT\System32\HPHipm09.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\Michael Schrenke\Desktop\HijackThisneu.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
F3 - REG:win.ini: load=C:\BRICK\CAPI2WSA.EXE
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1297A31B-6F7F-45ED-8282-A0ABACB7FDDA} - C:\WINNT\System32\gfbnkh.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [HPHmon03] C:\WINNT\System32\hphmon03.exe
O4 - HKLM\..\Run: [ConnectionWatch] C:\Dokumente und Einstellungen\Michael Schrenke\Desktop\conwat\ConWat.exe
O4 - HKLM\..\Run: [0190 Warner] D:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [Nokia Connection Monitor] "C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclConf.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINNT\System32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Startup: Activity Monitor.lnk = C:\BRICK\BRKMON.EXE
O4 - Startup: SFirm Automat.lnk = D:\SFIRM32\SFAutomat.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Service für Hintergrundkalender.lnk = C:\Programme\Toolbox\Hintergrundkalender\WCServ.exe
O4 - Global Startup: Toolbox Hintergrundkalender.lnk = C:\Programme\Toolbox\Hintergrundkalender\WallCal.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab
O16 - DPF: {814EA0DA-E0D9-4AA4-833C-A1A6D38E79E9} (DASWebDownload Class) - http://das.microsoft.com/activate/cab/x86/...tail/DASAct.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7C7A7E6F-8499-48FD-8588-B370F099E2EE}: NameServer = 192.168.17.1
O18 - Filter: text/html - {E69F5F6A-9BD2-4D18-96D3-16CB2B9E78A7} - C:\WINNT\System32\gfbnkh.dll
O18 - Filter: text/plain - {E69F5F6A-9BD2-4D18-96D3-16CB2B9E78A7} - C:\WINNT\System32\gfbnkh.dll

[radyr]

Das hier solltest du auf jeden Fall mal fixen:

Zitat

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\temp\sp.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\temp\sp.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\temp\sp.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\temp\sp.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\temp\sp.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\temp\sp.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

Und ich rate dir zu einem anderen Virenscanner. Norton ist nicht empfehlenswert. Wenn du ein bisschen hier im Forum ließt, wirst du das schnell feststellen.

Außerdem solltest du dir überlegen ob du vom (übrigens bei dir veralteten) IE zu einem besseren Alternativ-Browser wechselst. Schau dir mal den Firefox von mozilla an...

[Matze]

Wen du dann schon am fixen bist:
>O18 - Filter: text/html - {E69F5F6A-9BD2-4D18-96D3-16CB2B9E78A7} - C:\WINNT\System32\gfbnkh.dll
>O18 - Filter: text/plain - {E69F5F6A-9BD2-4D18-96D3-16CB2B9E78A7} - C:\WINNT\System32\gfbnkh.dll
>O2 - BHO: (no name) - {1297A31B-6F7F-45ED-8282-A0ABACB7FDDA} - C:\WINNT\System32\gfbnkh.dll

und diese Datei löschen:
C:\WINNT\System32\gfbnkh.dll