Wie bekomme ich die Sexseiten weg???

04.03.2004, 13:21

Blume1

Member

Beiträge: 36

#1 Hallo Leute!
Ich habe ein kleines Problem und nichts passendes im Forum gefunden .
Bei mir öffnen sich bei einer ganz bestimmten Seite Popupfenster(glaube ich)
Obwohl ich die GOOGLE TOOLBAR installiert habe.Bei allen anderen POPUPS werden diese blockiert.
Habe schon mit SPYSWEEPER,SPYBOT und ADWARE 6.0 gesucht er zeigt auch einiges an ,dann lösche ich alles aber beim nächsten Scan ist alles wieder da.Habe ich mir etwa etws anderes eingefangen?
Und wie bekomme ich das wieder weg? Die Seiten die dann öffnen sehen auch nicht so legal aus . Alles Sexseiten.

Ich benutze WIN MX.

04.03.2004, 13:38

Blume1

Member

Themenstarter

Beiträge: 36

#2 Logfile of HijackThis v1.97.5
Scan saved at 13:52:04, on 04.03.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\LXSUPMON.EXE
C:\Programme\Roxio\WinOnCD 6 PE\DirectCD\DirectCD.exe
C:\PROGRA~1\B'SCLI~1\Win2K\BSCLIP.exe
F:\programme\CloneCDTray.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System\taskman.exe
C:\WINDOWS\SYSTEM32\RAMASST.exe
F:\Programme\QuickDCF.exe
C:\WINDOWS\System32\DVDRAMSV.exe
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\Programme\HanseNet\HanseNet Speed-Produkte\app\TangoService.exe
C:\PROGRA~1\HanseNet\HANSEN~1\app\TangoManager.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\COMMANDER\Lokale Einstellungen\Temp\HijackThis.exe
C:\WINDOWS\System32\taskmgr.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.google.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\WinOnCD 6 PE\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [B'sCLiP] C:\PROGRA~1\B'SCLI~1\Win2K\BSCLIP.exe
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "F:\Programme\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [CloneCDTray] f:\programme\CloneCDTray.exe
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] f:\programme\ElbyCheck.exe /L ElbyCDFL
O4 - HKLM\..\Run: [SpyHunter] F:\Programme\SpyHunter.exe
O4 - HKLM\..\Run: [Soundmx] \soundmx.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [System Update] C:\WINDOWS\System\taskman.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\SYSTEM32\RAMASST.exe
O4 - Global Startup: Mountit.lnk = C:\Programme\Roxio\WinOnCD 6 PE\MountIt.exe
O4 - Global Startup: Exif Launcher.lnk = F:\Programme\QuickDCF.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38005.5060300926
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F23760B0-EADE-4DA1-A410-9A829F333D9B}: NameServer = 213.191.74.18 213.191.74.19

Dieser Beitrag wurde am 04.03.2004 um 14:06 Uhr von Blume1 editiert.

04.03.2004, 15:18

paff

Member

Beiträge: 1095

#3 Hi Blume1

Fixe bitte mal das
O4 - HKCU\..\Run: [System Update] C:\WINDOWS\System\taskman.exe

Fixe bitte auch alle Einträge mit R0 und R1
Die Startseite www.google.de kannst du in Systemsteuerung/Internetoptionen danach wieder eintragen

und dann neustart

und noch mal log posten
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

04.03.2004, 15:31

Blume1

Member

Themenstarter

Beiträge: 36

#4 Logfile of HijackThis v1.97.5
Scan saved at 15:29:03, on 04.03.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\LXSUPMON.EXE
C:\Programme\Roxio\WinOnCD 6 PE\DirectCD\DirectCD.exe
C:\PROGRA~1\B'SCLI~1\Win2K\BSCLIP.exe
F:\programme\CloneCDTray.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\SYSTEM32\RAMASST.exe
F:\Programme\QuickDCF.exe
C:\WINDOWS\System32\DVDRAMSV.exe
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\Programme\HanseNet\HanseNet Speed-Produkte\app\TangoService.exe
C:\PROGRA~1\HanseNet\HANSEN~1\app\TangoManager.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\COMMANDER\Lokale Einstellungen\Temp\HijackThis.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\WinOnCD 6 PE\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [B'sCLiP] C:\PROGRA~1\B'SCLI~1\Win2K\BSCLIP.exe
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "F:\Programme\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [CloneCDTray] f:\programme\CloneCDTray.exe
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] f:\programme\ElbyCheck.exe /L ElbyCDFL
O4 - HKLM\..\Run: [SpyHunter] F:\Programme\SpyHunter.exe
O4 - HKLM\..\Run: [Soundmx] \soundmx.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\SYSTEM32\RAMASST.exe
O4 - Global Startup: Mountit.lnk = C:\Programme\Roxio\WinOnCD 6 PE\MountIt.exe
O4 - Global Startup: Exif Launcher.lnk = F:\Programme\QuickDCF.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38005.5060300926
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F23760B0-EADE-4DA1-A410-9A829F333D9B}: NameServer = 213.191.74.18 213.191.74.19

04.03.2004, 15:49

raman

Moderator

Beiträge: 7805

#5 Das sollte noch raus:
O4 - HKLM\..\Run: [Soundmx] \soundmx.exe

dann arbeite dich hier mal durch und poste dann ein neues Log. Cwshreder und Windowsupdate solltes du als erstes machen:
http://board.protecus.de/t9373.htm

by the way: Du nutzt ein alter Hijackthis. Aktuell ist 1.97.7
__________
MfG Ralf
SEO-Spam Hunter

Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:

Seite(n): 1