Browser und Desktop hijacked |
||
---|---|---|
#0
| ||
29.01.2006, 22:35
...neu hier
Beiträge: 2 |
||
|
||
29.01.2006, 23:59
Ehrenmitglied
Beiträge: 29434 |
#2
Reinboeng
stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html Download Registry Search by Bobbi Flekman http://www.bleepingcomputer.com/files/regsearch.php und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) WindowInstallSystem in edit und klicke "Ok". Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
30.01.2006, 09:31
...neu hier
Themenstarter Beiträge: 2 |
#3
Okay, hab den Cleanup durchlaufen lassen.
Hier die Ergebnisse aus der datfindbat: sys.txt: 30.01.2006 09:15 0 sys.txt 30.01.2006 09:15 6.125 system.txt 30.01.2006 09:15 351 systemtemp.txt 30.01.2006 09:14 94.153 system32.txt 30.01.2006 09:12 805.306.368 pagefile.sys 30.01.2006 09:12 536.399.872 hiberfil.sys 08.01.2005 19:47 0 MSDOS.SYS 08.01.2005 19:47 0 IO.SYS 08.01.2005 19:47 0 AUTOEXEC.BAT 08.01.2005 19:47 0 CONFIG.SYS 08.01.2005 19:40 194 boot.ini system.txt: 30.01.2006 09:14 631 win.ini 30.01.2006 09:13 0 0.log 30.01.2006 09:12 159 wiadebug.log 30.01.2006 09:12 2.048 bootstat.dat 30.01.2006 09:11 50 wiaservc.log 30.01.2006 09:11 429.723 WindowsUpdate.log 30.01.2006 09:11 32.536 SchedLgU.Txt 15.01.2006 00:22 56.059 wmsetup.log 09.01.2006 15:24 183.296 NDNuninstall7_14.exe 07.01.2006 13:47 400 ODBC.INI 20.12.2005 10:56 859.587 setupapi.log 06.12.2005 11:19 182.272 NDNuninstall6_98.exe 29.11.2005 19:55 0 hosts 29.11.2005 19:53 0 secure32.html 29.11.2005 19:51 0 degbes.exe 29.11.2005 19:50 0 de.exe 29.11.2005 19:48 0 tool2.exe 29.11.2005 19:47 0 kl.exe 29.11.2005 19:46 0 uniq 06.10.2005 20:07 182.272 NDNuninstall6_90.exe system32.txt: 30.01.2006 09:13 35.874 vsconfig.xml 13.01.2006 14:41 13.646 wpa.dbl 30.12.2005 23:17 5.675 links.exe 29.12.2005 11:45 4.212 zllictbl.dat 25.12.2005 15:17 121.344 MSWSA32.exe 24.12.2005 19:10 1.632 d3d8caps.dat 10.12.2005 04:16 180.224 NVUNINST.EXE 29.11.2005 19:54 0 paytime.exe 15.11.2005 00:51 71.440 zlcommdb.dll 15.11.2005 00:51 79.624 zlcomm.dll 15.11.2005 00:51 100.104 vsxml.dll 15.11.2005 00:51 382.728 vsutil.dll 15.11.2005 00:51 71.440 vsregexp.dll 15.11.2005 00:50 227.088 vspubapi.dll 15.11.2005 00:50 104.208 vsmonapi.dll 15.11.2005 00:50 141.064 vsinit.dll 15.11.2005 00:50 372.816 vsdatant.sys 15.11.2005 00:50 83.720 vsdata.dll 30.10.2005 12:49 110.992 FNTCACHE.DAT 13.10.2005 00:11 118.784 sirenacm.dll 03.10.2005 19:05 1.744 d3d9caps.dat systemtemp.txt: 30.01.2006 09:13 1.454 0d2bdce55.html 30.01.2006 09:13 0 448d641541d.bd2 und dann noch die Daten aus der Registry search: REGEDIT4 ; Registry Search by Bobbi Flekman © 2005 ; Version: 1.0.2.4 ; Results at 30.01.2006 09:18:19 for strings: ; 'windowinstallsystem' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_77AAE5ADD32SVR\0000] "DeviceDesc"="WindowInstallSystem" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\77aae5add32svr] "DisplayName"="WindowInstallSystem" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_77AAE5ADD32SVR\0000] "DeviceDesc"="WindowInstallSystem" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\77aae5add32svr] "DisplayName"="WindowInstallSystem" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_77AAE5ADD32SVR\0000] "DeviceDesc"="WindowInstallSystem" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\77aae5add32svr] "DisplayName"="WindowInstallSystem" ; End Of The Log... So, hoffe ich hab jetzt alle notwendigen Daten zusammen. Danke! |
|
|
||
30.01.2006, 12:06
Ehrenmitglied
Beiträge: 29434 |
#4
Reinboeng
Start -- Ausführen -- regedit (reinschreiben) Bearbeiten--> suchen--> 77aae5add32svr Sollte man Probleme haben, die Einträge zu löschen, Legacy_ .....kann nicht gelöscht werden. Fehler beim Löschen des Schlüssels, dann gehe mit Rechtsklick im Kontextmenü auf: "Berechtigungen" Setze das Häkchen bei "Vollzugriff zulassen" Übernehmen, OK Danach sollte(n) sich der(die) betreffenden Schlüssel löschen lassen. Zitat [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_77AAE5ADD32SVR\0000öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked"--> PC neustarten O4 - HKLM\..\Run: [MS Windows System Alert] MSWSA32.exe O4 - HKLM\..\Run: [77aae5add32] C:\WINDOWS\System32\77aae5add32.exe O4 - HKLM\..\RunServices: [MS Windows System Alert] MSWSA32.exe O4 - HKCU\..\Run: [SMSSU] C:\WINDOWS\System32\SMSSU.EXE O4 - HKCU\..\Run: [Tmntsrv32] C:\WINDOWS\System32\Tmntsrv32.EXE O4 - HKCU\..\Run: [MS Windows System Alert] MSWSA32.exe O4 - HKCU\..\Run: [77aae5add32] C:\WINDOWS\System32\77aae5add32.exe O23 - Service: WindowInstallSystem (77aae5add32svr) - Unknown owner - C:\WINDOWS\77aae5add32.exe PC neustarten KILLBOX - Pocket KillBox http://virus-protect.org/killbox.html Options: Delete on Reboot --> anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" reinkopieren: C:\WINDOWS\System32\77aae5add32.exe C:\WINDOWS\System32\Tmntsrv32.EXE C:\WINDOWS\System32\SMSSU.EXE C:\WINDOWS\\NDNuninstall7_14.exe C:\WINDOWS\\NDNuninstall6_98.exe C:\WINDOWS\hosts C:\WINDOWS\secure32.html C:\WINDOWS\degbes.exe C:\WINDOWS\de.exe C:\WINDOWS\tool2.exe C:\WINDOWS\kl.exe C:\WINDOWS\uniq C:\WINDOWS\NDNuninstall6_90.exe C:\WINDOWS\System32\MSWSA32.exe C:\WINDOWS\System32\paytime.exe PC neustarten Hoster.zip http://www.funkytoad.com/download/hoster.zip Press 'Restore Original Hosts' and press 'OK' Exit Program. poste das Log von Winpfind http://virus-protect.org/winpfind.html (dann moechte ich auch noch mal die 4 Logs von Datfindbat sehen...bis August __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
Bei mir auf dem Desktop und im Browser (als Startseite) kommen immer rote Leisten bzw. Einblendungen "You're visiting illegal porn sites".
Was kann man dagegeben machen? Spybot und Ad-Aware bringen nichts.
Unten ist mein HijackThis-Log.
Danke vorab!
Logfile of HijackThis v1.99.1
Scan saved at 22:02:33, on 29.01.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Programme\Gemeinsame Dateien\Stardock\SDMCP.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kommunikation\ICQLite\ICQLite.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\MSWSA32.exe
C:\Programme\Kommunikation\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\MSWSA32.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\hijackthis\HijackThis.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SICHER~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\Kommunikation\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [MS Windows System Alert] MSWSA32.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Kommunikation\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [77aae5add32] C:\WINDOWS\System32\77aae5add32.exe
O4 - HKLM\..\RunServices: [MS Windows System Alert] MSWSA32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SMSSU] C:\WINDOWS\System32\SMSSU.EXE
O4 - HKCU\..\Run: [Tmntsrv32] C:\WINDOWS\System32\Tmntsrv32.EXE
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MS Windows System Alert] MSWSA32.exe
O4 - HKCU\..\Run: [77aae5add32] C:\WINDOWS\System32\77aae5add32.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\Kommunikation\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\Kommunikation\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\Kommunikation\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1105212351539
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: MCPClient - C:\Programme\Gemeinsame Dateien\Stardock\mcpstub.dll
O23 - Service: WindowInstallSystem (77aae5add32svr) - Unknown owner - C:\WINDOWS\77aae5add32.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe