Browser und Desktop hijacked

#0
29.01.2006, 22:35
...neu hier

Beiträge: 2
#1 Hallo!

Bei mir auf dem Desktop und im Browser (als Startseite) kommen immer rote Leisten bzw. Einblendungen "You're visiting illegal porn sites".

Was kann man dagegeben machen? Spybot und Ad-Aware bringen nichts.

Unten ist mein HijackThis-Log.

Danke vorab!

Logfile of HijackThis v1.99.1
Scan saved at 22:02:33, on 29.01.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Programme\Gemeinsame Dateien\Stardock\SDMCP.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kommunikation\ICQLite\ICQLite.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\MSWSA32.exe
C:\Programme\Kommunikation\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\MSWSA32.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SICHER~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\Kommunikation\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [MS Windows System Alert] MSWSA32.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Kommunikation\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [77aae5add32] C:\WINDOWS\System32\77aae5add32.exe
O4 - HKLM\..\RunServices: [MS Windows System Alert] MSWSA32.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SMSSU] C:\WINDOWS\System32\SMSSU.EXE
O4 - HKCU\..\Run: [Tmntsrv32] C:\WINDOWS\System32\Tmntsrv32.EXE

O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MS Windows System Alert] MSWSA32.exe
O4 - HKCU\..\Run: [77aae5add32] C:\WINDOWS\System32\77aae5add32.exe

O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\Kommunikation\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\Kommunikation\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\Kommunikation\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1105212351539
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: MCPClient - C:\Programme\Gemeinsame Dateien\Stardock\mcpstub.dll
O23 - Service: WindowInstallSystem (77aae5add32svr) - Unknown owner - C:\WINDOWS\77aae5add32.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe
Seitenanfang Seitenende
29.01.2006, 23:59
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Reinboeng

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

Download Registry Search by Bobbi Flekman
http://www.bleepingcomputer.com/files/regsearch.php
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

WindowInstallSystem


in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.01.2006, 09:31
...neu hier

Themenstarter

Beiträge: 2
#3 Okay, hab den Cleanup durchlaufen lassen.

Hier die Ergebnisse aus der datfindbat:

sys.txt:
30.01.2006 09:15 0 sys.txt
30.01.2006 09:15 6.125 system.txt
30.01.2006 09:15 351 systemtemp.txt
30.01.2006 09:14 94.153 system32.txt
30.01.2006 09:12 805.306.368 pagefile.sys
30.01.2006 09:12 536.399.872 hiberfil.sys
08.01.2005 19:47 0 MSDOS.SYS
08.01.2005 19:47 0 IO.SYS
08.01.2005 19:47 0 AUTOEXEC.BAT
08.01.2005 19:47 0 CONFIG.SYS
08.01.2005 19:40 194 boot.ini

system.txt:
30.01.2006 09:14 631 win.ini
30.01.2006 09:13 0 0.log
30.01.2006 09:12 159 wiadebug.log
30.01.2006 09:12 2.048 bootstat.dat
30.01.2006 09:11 50 wiaservc.log
30.01.2006 09:11 429.723 WindowsUpdate.log
30.01.2006 09:11 32.536 SchedLgU.Txt
15.01.2006 00:22 56.059 wmsetup.log
09.01.2006 15:24 183.296 NDNuninstall7_14.exe
07.01.2006 13:47 400 ODBC.INI
20.12.2005 10:56 859.587 setupapi.log
06.12.2005 11:19 182.272 NDNuninstall6_98.exe
29.11.2005 19:55 0 hosts
29.11.2005 19:53 0 secure32.html
29.11.2005 19:51 0 degbes.exe
29.11.2005 19:50 0 de.exe
29.11.2005 19:48 0 tool2.exe
29.11.2005 19:47 0 kl.exe
29.11.2005 19:46 0 uniq
06.10.2005 20:07 182.272 NDNuninstall6_90.exe

system32.txt:
30.01.2006 09:13 35.874 vsconfig.xml
13.01.2006 14:41 13.646 wpa.dbl
30.12.2005 23:17 5.675 links.exe
29.12.2005 11:45 4.212 zllictbl.dat
25.12.2005 15:17 121.344 MSWSA32.exe
24.12.2005 19:10 1.632 d3d8caps.dat
10.12.2005 04:16 180.224 NVUNINST.EXE
29.11.2005 19:54 0 paytime.exe
15.11.2005 00:51 71.440 zlcommdb.dll
15.11.2005 00:51 79.624 zlcomm.dll
15.11.2005 00:51 100.104 vsxml.dll
15.11.2005 00:51 382.728 vsutil.dll
15.11.2005 00:51 71.440 vsregexp.dll
15.11.2005 00:50 227.088 vspubapi.dll
15.11.2005 00:50 104.208 vsmonapi.dll
15.11.2005 00:50 141.064 vsinit.dll
15.11.2005 00:50 372.816 vsdatant.sys
15.11.2005 00:50 83.720 vsdata.dll
30.10.2005 12:49 110.992 FNTCACHE.DAT
13.10.2005 00:11 118.784 sirenacm.dll
03.10.2005 19:05 1.744 d3d9caps.dat

systemtemp.txt:
30.01.2006 09:13 1.454 0d2bdce55.html
30.01.2006 09:13 0 448d641541d.bd2

und dann noch die Daten aus der Registry search:
REGEDIT4

; Registry Search by Bobbi Flekman © 2005
; Version: 1.0.2.4

; Results at 30.01.2006 09:18:19 for strings:
; 'windowinstallsystem'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_77AAE5ADD32SVR\0000]
"DeviceDesc"="WindowInstallSystem"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\77aae5add32svr]
"DisplayName"="WindowInstallSystem"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_77AAE5ADD32SVR\0000]
"DeviceDesc"="WindowInstallSystem"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\77aae5add32svr]
"DisplayName"="WindowInstallSystem"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_77AAE5ADD32SVR\0000]
"DeviceDesc"="WindowInstallSystem"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\77aae5add32svr]
"DisplayName"="WindowInstallSystem"

; End Of The Log...


So, hoffe ich hab jetzt alle notwendigen Daten zusammen. Danke!
Seitenanfang Seitenende
30.01.2006, 12:06
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Reinboeng

Start -- Ausführen -- regedit (reinschreiben)

Bearbeiten--> suchen--> 77aae5add32svr

Sollte man Probleme haben, die Einträge zu löschen,
Legacy_ .....kann nicht gelöscht werden. Fehler beim Löschen des Schlüssels,
dann gehe mit Rechtsklick im Kontextmenü auf: "Berechtigungen" Setze das Häkchen bei "Vollzugriff zulassen"
Übernehmen, OK
Danach sollte(n) sich der(die) betreffenden Schlüssel löschen lassen.

Zitat

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_77AAE5ADD32SVR\0000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\77aae5add32svr

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_77AAE5ADD32SVR\0000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\77aae5add32svr

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_77AAE5ADD32SVR\0000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\77aae5add32svr
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked"--> PC neustarten

O4 - HKLM\..\Run: [MS Windows System Alert] MSWSA32.exe
O4 - HKLM\..\Run: [77aae5add32] C:\WINDOWS\System32\77aae5add32.exe
O4 - HKLM\..\RunServices: [MS Windows System Alert] MSWSA32.exe
O4 - HKCU\..\Run: [SMSSU] C:\WINDOWS\System32\SMSSU.EXE
O4 - HKCU\..\Run: [Tmntsrv32] C:\WINDOWS\System32\Tmntsrv32.EXE
O4 - HKCU\..\Run: [MS Windows System Alert] MSWSA32.exe
O4 - HKCU\..\Run: [77aae5add32] C:\WINDOWS\System32\77aae5add32.exe
O23 - Service: WindowInstallSystem (77aae5add32svr) - Unknown owner - C:\WINDOWS\77aae5add32.exe

PC neustarten

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren:

C:\WINDOWS\System32\77aae5add32.exe
C:\WINDOWS\System32\Tmntsrv32.EXE
C:\WINDOWS\System32\SMSSU.EXE
C:\WINDOWS\\NDNuninstall7_14.exe
C:\WINDOWS\\NDNuninstall6_98.exe
C:\WINDOWS\hosts
C:\WINDOWS\secure32.html
C:\WINDOWS\degbes.exe
C:\WINDOWS\de.exe
C:\WINDOWS\tool2.exe
C:\WINDOWS\kl.exe
C:\WINDOWS\uniq
C:\WINDOWS\NDNuninstall6_90.exe
C:\WINDOWS\System32\MSWSA32.exe
C:\WINDOWS\System32\paytime.exe

PC neustarten

Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.

poste das Log von Winpfind
http://virus-protect.org/winpfind.html

(dann moechte ich auch noch mal die 4 Logs von Datfindbat sehen...bis August
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: