Advt. -Troj.-2 Desktop SBs + Startseite unveränderbar, umgeleitet...

#16 @0815
gehen wir's an.

Also, deaktiviere mal die Systemwiederherstellung deines Windows.
http://www.treiber-world.de/article47.html

Dann alle Temp/Offline-Dateien löschen in Systemsteuerung/Internetoptionen

dann Neustart
Dann Fixe mit HiJackThis alles mit
R0
O1
dann Neustart

Dann teste nochmal mit Virenscanner.
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#17 Guten Morgen,

auch mich hat es wohl erwischt, meine Startseite ist bei jedem Neustart www.viewpornkey.com und diverse Fenster öffnen sich in unregelmäßigen Abständen immer mal wieder.
Neue Icons liegen in der Programmleiste etc.

Allerdings bin ich weit davon entfernt, die ganzen technischen Dinge zu verstehen, die ich hier im Board so lese ;-)

Würde sich eventuell jemand opfern, das ganze in "Blondinendeutsch" zu übersetzen und Erste Hilfe zu leisten?

Grüße
Tanja

#18 Du weisst ja, was du tun musst. Hijackthis log Posten!

Download hier
http://www.chip.de/downloads/c_downloads_11353576.html (low speed!)
infos wie=hier: www.hjt.klaffke.de
__________
MfG Ralf
SEO-Spam Hunter

#19 Hallo Raman,

war erst heute wieder online.

So, nun das Log sieht so aus:

Logfile of HijackThis v1.97.7
Scan saved at 19:22:54, on 15.02.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\PROGRA~1\Ontrack\SYSTEM~1\mxserver.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\SOINTGR.EXE
C:\WINDOWS\soundman.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Program Files\SCom\Dialers\XXXmovie_de\XXXmovie_de.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System\update.exe
C:\WINDOWS\twain_32\A4CIS600\WATCH.exe
C:\Programme\E m u l e\E m u l e.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Downloads - Programme, Spiele\hijackthis1977\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.viewpornkey.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.viewpornkey.com/se.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.search-dot.com/1/search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.search-dot.com/1/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.search-dot.com/1/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.search-dot.com/1/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.search-dot.com/1/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.viewpornkey.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.search-dot.com/1/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.search-dot.com/1/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.search-dot.com/1/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.viewpornkey.com/se.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.search-dot.com/1/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.search-dot.com/1/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://dhvlmw.t.muxa.cc/h.php?aid=227 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchAssistant = http://www.sharempeg.com/find/
R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = http://www.sharempeg.com/find/
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = about:blank
O1 - Hosts: 66.98.142.143 #uto.search.msn.com
O1 - Hosts: 66.98.142.143 search.msn.com
O1 - Hosts: 66.98.142.143 msn.com
O1 - Hosts: 66.98.142.143 www.msn.com
O1 - Hosts: 66.98.142.143 yahoo.com
O1 - Hosts: 66.98.142.143 www.yahoo.com
O1 - Hosts: 66.98.142.143 google.com
O1 - Hosts: 66.98.142.143 www.google.com
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {1F48AA48-C53A-4E21-85E7-AC7CC6B5FFB2} - C:\WINDOWS\mschmk.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE
O4 - HKLM\..\Run: [soundmanager] soundman.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus C82 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C82 Series" /O6 "USB001" /M "Stylus C82"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Fix-It AV] C:\PROGRA~1\Ontrack\SYSTEM~1\MemCheck.exe
O4 - HKLM\..\Run: [Truefonts] C:\WINDOWS\Fonts\fonts.hta
O4 - HKLM\..\Run: [sys] regedit -s sys.reg
O4 - HKLM\..\Run: [Windows Security Assistant] C:\WINDOWS\system32\rundll32.vbe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [host] C:\WINDOWS\system32\hosts.vbs
O4 - HKLM\..\Run: [XXXmovie_de] C:\Program Files\SCom\Dialers\XXXmovie_de\XXXmovie_de.exe /dontdial
O4 - HKLM\..\RunServices: [Windows Security Assistant] C:\WINDOWS\system32\rundll32.vbe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Windows Security Assistant] C:\WINDOWS\system32\rundll32.vbe
O4 - HKCU\..\Run: [System Update] C:\WINDOWS\System\update.exe
O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\A4CIS600\WATCH.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: AOL 7.0 (HKCU)
O9 - Extra button: MedionShop (HKCU)
O13 - WWW. Prefix: http://ehttp.cc/?
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20021126/qtinstall.info.apple.com/dribnif/de/win/QuickTimeInstaller.exe
O16 - DPF: {638AF6A2-81A1-4655-9FFA-9FC09CDE22CF} (CScanner Object) - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38031.0135185185
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8732D518-7FA1-4F95-BDF8-7AAF8A8F22FE}: NameServer = 62.225.251.16 194.25.2.129





und was nun??

Grüße
Tanja

#20 Lass das mal "fixen":
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.viewpornkey.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.viewpornkey.com/se.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.search-dot.com/1/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.search-dot.com/1/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.search-dot.com/1/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.search-dot.com/1/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.search-dot.com/1/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.viewpornkey.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.search-dot.com/1/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.search-dot.com/1/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.search-dot.com/1/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchAssistant = http://www.sharempeg.com/find/
R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = http://www.sharempeg.com/find/
O4 - HKLM\..\Run: [Fix-It AV] C:\PROGRA~1\Ontrack\SYSTEM~1\MemCheck.exe
O4 - HKLM\..\Run: [Truefonts] C:\WINDOWS\Fonts\fonts.hta
O4 - HKLM\..\Run: [host] C:\WINDOWS\system32\hosts.vbs
O4 - HKLM\..\Run: [XXXmovie_de] C:\Program Files\SCom\Dialers\XXXmovie_de\XXXmovie_de.exe /dontdial
O4 - HKLM\..\RunServices: [Windows Security Assistant] C:\WINDOWS\system32\rundll32.vbe
O4 - HKCU\..\Run: [System Update] C:\WINDOWS\System\update.exe
O13 - WWW. Prefix: http://ehttp.cc/?

So ich denke das wars aber Raman bitte guck noch mal ob ich nix übersehen habt.


@MissNaiv
Lad dir mal den kostenlosen Virenscanner runter: http://www.antivir.de
Da war ganz schön was los auf deinem PC hatte so was seit langem nicht mehr gesehen.
MFG
DAFRA

#21 Das muss auch noch weg:

O2 - BHO: (no name) - {1F48AA48-C53A-4E21-85E7-AC7CC6B5FFB2} - C:\WINDOWS\mschmk.dll
O4 - HKCU\..\Run: [Windows Security Assistant] C:\WINDOWS\system32\rundll32.vbe
O4 - HKLM\..\Run: [sys] regedit -s sys.reg
O1 - Hosts: 66.98.142.143 #uto.search.msn.com
O1 - Hosts: 66.98.142.143 search.msn.com
O1 - Hosts: 66.98.142.143 msn.com
O1 - Hosts: 66.98.142.143 www.msn.com
O1 - Hosts: 66.98.142.143 yahoo.com
O1 - Hosts: 66.98.142.143 www.yahoo.com
O1 - Hosts: 66.98.142.143 google.com
O1 - Hosts: 66.98.142.143 www.google.com

Und nun muss ich nur noch "betteln"! Koenntest du folgende Dateien an virus@rokop-security, oder an die Adresse in meinem Profil schicken?

C:\WINDOWS\system32\rundll32.vbe
sys.reg (befindet sich wohl im Windows oder System32 ordner)
C:\WINDOWS\mschmk.dll
C:\WINDOWS\system32\hosts.vbs
C:\WINDOWS\Fonts\fonts.hta
C:\Program Files\SCom\Dialers\XXXmovie_de\XXXmovie_de.exe <---Dialer
!
C:\WINDOWS\System\update.exe

Diese Dateien kannst du danach (bzw nach einem Neustart) auch loeschen.
Nutze zusaetzlich die Tipps aus diesem Artikel:
http://board.protecus.de/t9373.htm
__________
MfG Ralf
SEO-Spam Hunter

#22 Hallo Raman,

habe nun brav alles befolgt, inklusive der Anweisungen aus dem verlinkten Artikel.

Sollte also alles erledigt sein ;-)

Beim Neustart kam zumindest wieder der gute alte Spiegel als Startseite, schon mal beruhigend...

Vielen Dank für die Hilfe!
Tanja