,Start Page = *http://www.hotoffers.info/ad0179/*

#1 Hi ^^"
War letztens ganz einfach in Ebay, plötzlich haben sich alle Fenster geschlossen, und unten in der Leiste is plötzlich ein seltsames Icon gewesen:
http://nihon.superprovider.de/Hijack/Icon.JPG, im TaskManager war der Prozess Rundll32.exe angezeigt, nachdem der beendet war, verschwand das Icon (Bis zum nächsten Tag, dazu noch später). Die Startseite war sonst noch verändert (http://www.hotoffers.info/ad0179/adult/index.html) und zwischendrin öffneten sich Popups mit den verschiedensten Inhalten oder "pflanzten" sich einfach in bestehende Browser-Fenster.
(z.B: http://www.hotoffers.info/ad0179/warning/danger.html)
(http://antispy.globolook.com/index.php?qq=spyware&id=30777&said=ad0179).
Wie bereits gesagt war das seltsame Icon am nächsten Tag wieder da, dieses mal aber ohne einen beendbaren Prozess, und schickte Meldungen das der PC mit Spyware infiziert wäre..etc. (Im Stile der Windowsmessages wie Windows braucht Updates etc.) (http://nihon.superprovider.de/Hijack/Messages.txt)
Über die System32.txt-Datei wurden dann verschiedenste *.ico angezeigt (gelöscht) und zwei Dateien: "popup_bl.dll" und "param32.dll". Die erste war merkwürdigerweise leer! In der zweiten befanden sich, mit dem Textprogramm geöffnet, alle Meldungen die über die Popups von diesem Icon gesendet wurden, Datei unwiderruflich gelöscht, aber die Popups verschwanden nicht. Über Hijackthis etc. hab ich auch alles infizierte entfernt, Host-Datei restort usw. Dennoch hört das ganze nicht auf! Was soll ich tun? Hier noch der neueste HijackThis-Log:

Logfile of HijackThis v1.99.1
Scan saved at 14:45:06, on 17.04.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\system32\ntvdm.exe
C:\T-ONLINE\BSW4\ToDuCAlC.EXE
C:\WINDOWS\System32\taskmgr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\notepad.exe
C:\Notfall\Apps\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotoffers.info/ad0179/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/service/redir/tosw4_start.htm
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: ALTAVISTA - {4E7BD74F-2B8D-469E-92EA-EC65A294AE31} - C:\WINDOWS\DOWNLO~1\ALTAVI~1.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: ALTAVISTA - {4E7BD74F-2B8D-469E-92EA-EC65A294AE31} - C:\WINDOWS\DOWNLO~1\ALTAVI~1.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: T1 - {4180A6C9-26D0-4A15-A2CD-A24E3178E386} - C:\NEUERO~1\BRAINI~1\T15~1.0\mte\StdAlone\T1IE.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [Pop-Up-Blocker] "C:\Programme\Tweak-XP Pro 3\popup.exe"
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: AltaVista Search - file://C:\Programme\ALTAVISTA Toolbar\Cache\SelectedContextSearch.htm
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate - file://C:\Programme\ALTAVISTA Toolbar\Cache\SelectedContextTranslation.htm
O8 - Extra context menu item: Translate into English - res://c:\programme\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {4E7BD74F-2B8D-469E-92EA-EC65A294AE31} (ALTAVISTA) - http://toolbar.altavista.com/static/toolbar/altavista.cab?r=1109017300
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - http://god.t-online.de/download/ExentCtl.ocx
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{799F6B4F-97E5-48D5-8688-4EE250626693}: NameServer = 217.237.150.141 217.237.150.97
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll (file missing)
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Sygate Personal Firewall Platinum (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

Ich hoffe das hilft euch ^^
Danke schon mal im Vorraus
(Die URL's auf meinem Server sind zu erreichen wenn ihr die URL in den Browser reinkopiert ^^)
Nihon

//Edit: Kann denn keiner helfen? So lohnt es sich nämlich echt nicht mehr an den PC zu gehen

#2 Hallo@Nihon

Start-->Ausfuehren--regedit

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\

loeschen:

"{D56A1203-1452-EBA1-7294-EE3377770000}" = "Interlinking Memory Support"
-> {CLSID}\InProcServer32\(Default) ="C:\WINDOWS\System32\param32.dll"

HKCR\CLSID\

loeschen:

{D56A1203-1452-EBA1-7294-EE3377770000}\InProcServer32"
C:\WINDOWS\System32\param32.dll

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotoffers.info/ad0179/
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll (file missing)

PC neustarten

•KillBox
http://www.bleepingcomputer.com/files/killbox.php

•Delete File on Reboot <--anhaken

und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINDOWS\System32\param32.dll
C:\WINDOWS\System32\mt.exe
C:\WINDOWS\System32\popup_bl.dll
C:\WINDOWS\System32\serch_hook.dll
C:\WINDOWS\System32\setup.exe
C:\WINDOWS\System32\toolband_atl.dll
C:\\WINDOWS\System32\systr.dll
C:\WINDOWS\System32\vbsys2.dll

PC neustarten

ClaerProg..lade die neuste Version <1.5.1
http://www.clearprog.de/programme/clearprog/index_new.php
http://www.clearprog.de/downloads.php

<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)
- index.dat

CWShredder
http://www.intermute.com/spysubtract/cwshredder_download.html
* Double-click on CWShredder.exe.
* Click "Fix ->" and click "OK" at the prompt.
* CWShredder will scan and clean your system of CWS files.

#Ad-aware SE Personal 1.05 Updated
http://fileforum.betanews.com/detail/965718306/1
Laden--> Updaten-->scannen-->PC neustarten--> noch mal scannen--> poste das Log vom Scann

1. Laden Sie L2mfix von hier :
2. http://www.atribune.org/downloads/l2mfix.exe
http://bilder.informationsarchiv.net/Nikitas_Tools/l2mfix.exe
3. Speichern Sie die Datei auf Ihren Desktop und doppel-klicken Sie click l2mfix.exe.
4. Klicken Sie auf Installieren um die Dateien zu extrahieren und folgen Sie den Anweisungen während der Installation.
5. Dann öffnen Sie den auf Ihrem Desktop neuerstellten Ordner l2mfix
6. Doppel-klicken Sie die Datei l2mfix.bat und tippen sie eine 1 und drücken Sie [Enter], um Find log laufen zu lassen. Dies wird Ihren Computer scannen. Es kann sein, das es so aussieht als ob nichts passiert, aber nach 1 oder 2 Minuten wird sich Notepad mit einem Log öffnen.
7. Kopieren Sie den Inhalt durch Strg+A und fügen Sie den Inhalt in Ihren Thread durch Strg+V...oder einfach mit der Maus abkopieren.

WICHTIG:Nutzen Sie nicht Option 2, oder jegliche andere Dateien aus dem l2mfix Ordner, bis Sie dazu aufgefordert werden!

8. Schließen Sie alle offenen Programme , da der nächste Schritt einen Neustart erfordert. Klicken Sie erneut auf l2mfix.bat und tippen Sie 2 ein --> [Enter].
9. Drücken Sie eine beliebige Taste um einen Systemneustart einzuleiten.
10. Nach dem Neustart, werden Ihre Icons auf dem Desktop kurz erscheinen und kurz verschwinden - dies ist NORMAL.
11. L2mfix wird den Systemscan fortsetzen und wenn es fertig ist, wird sich Notepad öffnen und einen Log anzeigen. Kopieren Sie auch diesen hier in den Thread/ins Forum (Strg+C & Strg+V). Posten Sie ausserdem einen aktuellen HijackThis Log.

WICHTIG: Nutzen Sie nicht Option 2, oder jegliche andere Dateien aus dem l2mfix Ordner, bis Sie dazu aufgefordert werden!

12. Doppel-klicken Sie erneut auf l2mfix.bat und geben Sie 4 ein. Bestätigen Sie mit [Enter].
13. Dies stellt die Winlogon Standardeinstellungen wieder her.
14. Posten Sie einen aktuellen HijackThis Log

---------------------------------------------------------------------

INFO:

Automatic Sandbox analysis of unknown malware (W32/Malware)
[ General information ]
* Accesses executable file from resource section.
* File length: 52256 bytes.

[ Changes to filesystem ]
* Creates file C:\WINDOWS\System32\param32.dll.

[ Changes to registry ]
* Creates key "HKCR\CLSID\{D56A1203-1452-EBA1-7294-EE3377770000}\InProcServer32".
* Sets value ""="C:\WINDOWS\System32\param32.dll" in key "HKCR\CLSID\{D56A1203-1452-EBA1-7294-EE3377770000}\InProcServer32".
* Sets value "ThreadingModel"="Apartment" in key "HKCR\CLSID\{D56A1203-1452-EBA1-7294-EE3377770000}\InProcServer32".
* Creates key "HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler".
* Sets value "{D56A1203-1452-EBA1-7294-EE3377770000}"="Interlinking Memory Support" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler".
* Modifies value "Start Page"="http://www.hotoffers.info/ad0066/" in key "HKCU\Software\Microsoft\Internet Explorer\Main".

[ Process/window information ]
* Creates a mutex SystemMutex#2.
* Uses rundll32.exe to run function "load" in library "C:\WINDOWS\System32\param32.dll".
* Creates a mutex SystemMutex#1.
__________
MfG Sabina

rund um die PC-Sicherheit