Problem, da http://www.greatsearch.biz Startseite

#0
08.04.2004, 00:59
Kitty-Cat
zu Gast
#1 Hallo zusammen,

habe ein RIESEN Problem! Bei mir hat sich http://www.gratsearch.biz als Startseite eingenistet. Wenn ich diese über die Interneteigenschaften ändere, das ganze übernehmen und den I-Explorer neu starte, ist wieder greatsearch.biz als Startseite.

Außerdem kann ich in der Systemsteuerung nichts mehr verändern (nach doppelklick auf bspw. "Software" erscheint das kurz und schließt sich sofort wieder).

Bei einem Rechtsklick auf "Arbeitsplatz" und der Auswahl von "Eigenschaften" passiert das selbe.

Bin mitlerweile echt verzweifelt.
Habe bereits
- AntiVir XP
- Spybot - Search & Destroy
- Ad-aware 6.0
- Norton AntiVirus 2004 Professional
- TrendMicro Pattern Version 801
- und Hijackthis
durchlaufen lassen.

Die Anti-Viren Tools haben dutzende Trojaner, Backdoors, etc. gefunden, unter anderem "TROJ_MUSS.A", "Backdoor.Lixy", etc. etc. etc.

Wenn ich die Startseite in den Registry-Einträgen änder und aktualisiere, erscheint http://www.greatsearch.biz ebenfalls sofort wieder!

Hier die Log-Datei von Hijackthis:

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\PROGRAMME\SGEASY\SGECTL.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Tivoli\lcf\bin\w32-ix86\mrt\LCFD.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
c:\programme\OfficeScan NT\ntrtscan.exe
C:\WINDOWS\System32\svchost.exe
c:\programme\OfficeScan NT\ofcdog.exe
c:\programme\OfficeScan NT\tmlisten.exe
C:\WINDOWS\System32\VetMsgNT.exe
C:\Programme\NetInst\NiAiServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\System32\atiptaxx.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\Apoint2K\Apntex.exe
C:\programme\OfficeScan NT\pccntmon.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\PROGRAMME\SGEASY\ECVIEW.EXE
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\reg33.exe
C:\WINDOWS\dl.exe
C:\WINDOWS\dlm.exe
C:\WINDOWS\winupd.exe
C:\WINDOWS\system32\config\services.exe
C:\PROGRA~1\CA\ETRUST~1\ETRUST~1\VetTray.exe
C:\Programme\Winamp\Winamp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\GXEC\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://greatsearch.biz/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://greatsearch.biz/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://greatsearch.biz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://greatsearch.biz/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://greatsearch.biz/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://greatsearch.biz/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "c:\programme\OfficeScan NT\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Sgecrypt] C:\Programme\SGEasy\SGECRYPT /FLOPPY:OFF
O4 - HKLM\..\Run: [EDWizard] C:\PROGRAMME\SGEASY\EDWIZARD.EXE as
O4 - HKLM\..\Run: [SgeEcView] C:\PROGRAMME\SGEASY\ECVIEW.EXE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SimpleScreenshot] C:\PROGRA~1\SSS\SIMPLESCREENSHOT.EXE
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Secure] c:\secure.e
O4 - HKLM\..\Run: [Dial32] C:\WINDOWS\dl.exe
O4 - HKLM\..\Run: [Dial33] C:\WINDOWS\dlm.exe
O4 - HKLM\..\Run: [Upgrade Service] C:\WINDOWS\winupd.exe
O4 - HKLM\..\Run: [Services Process] C:\WINDOWS\system32\config\services.exe
O4 - HKLM\..\Run: [VetTray] C:\PROGRA~1\CA\ETRUST~1\ETRUST~1\VetTray.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O15 - Trusted Zone: *.trustcenter.de
O15 - Trusted Zone: *.unit.net
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/Thread/virusinfo/webscan.cab
Seitenanfang Seitenende
08.04.2004, 04:47
Member

Beiträge: 20
#2 Hallo Kitty-Cat!

Das sieht alles in allem sehr bedenklich aus - vor allem der gefundene Backdoor ist Anlass zur Sorge.

Zitat

Kitty-Cat postete
Bin mitlerweile echt verzweifelt.
Habe bereits
- AntiVir XP
- Spybot - Search & Destroy
- Ad-aware 6.0
- Norton AntiVirus 2004 Professional
- TrendMicro Pattern Version 801
- und Hijackthis
durchlaufen lassen.
Wichtig, ganz wichtig: Scanner können niemals sicher alles aufdecken, was sich ggf. an Malware auf dem System befindet. Genau darum ist es so bedingungslos wichtig zu verhindern, dass es überhaupt soweit kommt.

Vorbeugung lautet hier das Zauberwort (als Tipp für die Zukunft).

Zitat

Die Anti-Viren Tools haben dutzende Trojaner, Backdoors, etc. gefunden, unter anderem "TROJ_MUSS.A", "Backdoor.Lixy", etc. etc. etc.
Der Backdoor allein ist schon Grund genug, das System neu aufzusetzen.

Zitat

Wenn ich die Startseite in den Registry-Einträgen änder und aktualisiere, erscheint h**p://w*w.greatsearch.biz ebenfalls sofort wieder!
Kein Wunder, da laufen so viele Schadsoftware-Prozesse...

Zitat

C:\WINDOWS\reg33.exe
C:\WINDOWS\dl.exe
C:\WINDOWS\dlm.exe
C:\WINDOWS\winupd.exe
C:\WINDOWS\system32\config\services.exe
Bitte alle Dateien hier prüfen:
http://www.kaspersky.com/de/remoteviruschk.html

Zumindest die reg33.exe dürfte schon mal als solcher feststehen:
Trojan.Win32.Harnig.c

Alle anderen, bzw. alle, die bei diesem Check NICHT als Schadsoftware erkannt werden, sende bitte einmal an virus@protecus.de und wenn's keine Mühe macht via CC im Mailprogramm auch an mich: markus@mail.klaffke.info - Danke!

Ruf dann über Strg Alt Entf den Taskmanager auf, markiere die eben genannten vier Prozesse, beende sie und nimm dann die Dateien aus den jeweiligen Ordnern heraus (Ausschneiden und dann in einen anderen ordner zwecks Quarantäne einfügen).

Eine Bemerkung am Rande: Du hast mehrere Virenscanner gleichzeitig laufen. Das solltest du unbedingt vermeiden.

Im HijackThis wären zudem folgende Einträge zu markieren und anschl. via Fix checkes zu entfernen:

Alle R0- und R1-Einträge.

Sowie diese:

Zitat

O4 - HKLM\..\Run: [Secure] c:\secure.e
O4 - HKLM\..\Run: [Dial32] C:\WINDOWS\dl.exe
O4 - HKLM\..\Run: [Dial33] C:\WINDOWS\dlm.exe
O4 - HKLM\..\Run: [Upgrade Service] C:\WINDOWS\winupd.exe
O4 - HKLM\..\Run: [Services Process] C:\WINDOWS\system32\config\services.exe
Dieser Beitrag wurde am 08.04.2004 um 04:49 Uhr von mmk editiert.
Seitenanfang Seitenende
08.04.2004, 10:49
Member

Beiträge: 1095
#3 Auch wäre es nicht schlecht, mal den CWShredder dürüberlaufen zu lassen.

Hier erhältlich ;)
Alternative Download Seiten für CWS Shredder
http://www.chip.de/downloads/c_downloads_11353799.html
http://www.wintotal.de/softw/index.php?id=1935
http://www.computercops.biz/zx/phoenix22/cws.zip

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: