| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: 69sexsearchWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
04.01.2005, 16:27
| #1 |
 |  69sexsearch Hallo, ich hab folgendes Problem: Beim Schließen einer IE-Seite poppen bei mir danach immer wieder sexseiten mit der Adresse www.60sexsearch.com auf! Dann hat sich auch die Startseite des IE selbständig in realsearch verändert! Auch wenn man die Startseite wieder selbständig ändert, wird dies nicht gespeichert, sondern nach dem erneuten Hochfahren des Computers wieder in realsearch verändert! Der HijackThis sagt mir: Logfile of HijackThis v1.99.0 Scan saved at 13:54:45, on 04.01.2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINNT\system32\LEXBCES.EXE C:\WINNT\system32\spoolsv.exe C:\WINNT\system32\LEXPPS.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\system32\usrbridg.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\System32\mspmspsv.exe C:\WINNT\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\HP\hpcoretech\hpcmpmgr.exe C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\Programme\Winamp\winampa.exe C:\Programme\Logitech\iTouch\iTouch.exe C:\WINNT\system32\xpsp2fw.exe C:\WINNT\system32\RYinctf.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton AntiVirus\SAVScan.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\Programme\Outlook Express\msimn.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\DOKUME~1\KIRCHN~1.KIR\LOKALE~1\Temp\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://realsearch.cc/?a=2 R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://realsearch.cc/?a=2 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://realsearch.cc/?a=2 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://realsearch.cc/?a=2 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://realsearch.cc/?a=2 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://realsearch.cc/?a=2 R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://realsearch.cc/?a=2 R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://realsearch.cc/?a=2 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe" O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe" O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb09.exe O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [XPSP2 Firewall] C:\WINNT\system32\xpsp2fw.exe O4 - HKLM\..\Run: [tibs3] C:\WINNT\System32\tibs3.exe O4 - HKLM\..\Run: [9D6356D6] C:\WINNT\system32\RYinctf.exe O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe O4 - HKCU\..\Run: [lycosInside] C:\Programme\lycos\Lyc_SysTray.exe O4 - HKCU\..\Run: [Windows Update Client ] C:\WINNT\system32\wuclient.exe O4 - HKCU\..\Run: [9D6356D6] C:\WINNT\system32\RYinctf.exe O4 - Global Startup: Image Transfer.lnk = C:\Programme\Sony Corporation\Image Transfer\SonyTray.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Tevion Scanner Finder.lnk = C:\Programme\Tevion\ScanWizard 5\ScannerFinder.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O15 - Trusted Zone: http://*.69sexsearch.com O16 - DPF: {7589EEE6-E336-11D4-8A7E-EE1D971D9B47} - http://secure.aconti.net/acontix/acontix.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{FD1E99FD-316D-49F7-A00E-DBCF1307B31B}: NameServer = 217.237.150.97 217.237.149.161 O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Programme\HP\hpcoretech\comp\hpuiprot.dll O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Symantec Licensing Detect Internet Connection - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: LexBce Server - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: IrBridge User-Level Interface - Extended Systems, Inc. - C:\WINNT\system32\usrbridg.exe Ich hoffe, dass mir jemand helfen kann! Stina |
|
04.01.2005, 16:33
| #2 |
| | 69sexsearch Gehe unter www.hijackthis.de und gebe dort zur automatischen deutschen Auswertung Deine Logfile ein. Fixe alle bösen Einträge und wenn es dann noch Probleme gibt melde Dich wieder!
__________________Roland |
|
04.01.2005, 16:39
| #3 |
   | 69sexsearch so lad dir mal escan runter und führe es im abgesicherten modus aus. ich hab da die vermutung das das da noch mehr viren sind. die einträge wirste aber auch mit hijack this im abgesicherten modus los, wenn ich mich nicht irre.
__________________fixe dort auch mal das: R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://realsearch.cc/?a=2 R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://realsearch.cc/?a=2 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://realsearch.cc/?a=2 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://realsearch.cc/?a=2 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://realsearch.cc/?a=2 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://realsearch.cc/?a=2 R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://realsearch.cc/?a=2 R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://realsearch.cc/?a=2 O4 - HKLM\..\Run: [XPSP2 Firewall] C:\WINNT\system32\xpsp2fw.exe O4 - HKLM\..\Run: [tibs3] C:\WINNT\System32\tibs3.exe O4 - HKLM\..\Run: [9D6356D6] C:\WINNT\system32\RYinctf.exe O4 - HKCU\..\Run: [lycosInside] C:\Programme\lycos\Lyc_SysTray.exe O4 - HKCU\..\Run: [Windows Update Client ] C:\WINNT\system32\wuclient.exe O4 - HKCU\..\Run: [9D6356D6] C:\WINNT\system32\RYinctf.exe O15 - Trusted Zone: http://*.69sexsearch.com O16 - DPF: {7589EEE6-E336-11D4-8A7E-EE1D971D9B47} - http://secure.aconti.net/acontix/acontix.cab lösch auch mal im ordner c:\winnt\system32 im abgesicherten modus die dateien xpsp2fw.exe,tibs3.exe,RYinctf.exe @roland da reicht fixen nicht mehr aus. da is n trojaner drauf nämlich Troj/Small-RN. also zurück zum fall: dann poste das log von escan und das log von hijack this. achja und so wie ich das sehe hast du das von einer site aufgeschnappt. verwende als gegenmaßnahme dagegen auch gleich mal nen anderen browser wie firefox oder opera |
|
04.01.2005, 16:47
| #4 |
 | 69sexsearch @stina speichere diese datei auf diskette zwecks beweissicherung C:\WINNT\System32\tibs3.exe gebe HJT bitte einen eigenen ordner lasse diese datei C:\WINNT\system32\RYinctf.exe hier online http://www.kaspersky.com/de/scanforvirus überprüfen, das ergebnis hier posten der hier ist im system getarnt als C:\WINNT\system32\xpsp2fw.exe wechsle danach in den abgesicherten modus und fixe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://realsearch.cc/?a=2 R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://realsearch.cc/?a=2 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://realsearch.cc/?a=2 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://realsearch.cc/?a=2 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://realsearch.cc/?a=2 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://realsearch.cc/?a=2 R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://realsearch.cc/?a=2 R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://realsearch.cc/?a=2 O4 - HKLM\..\Run: [XPSP2 Firewall] C:\WINNT\system32\xpsp2fw.exe O4 - HKLM\..\Run: [tibs3] C:\WINNT\System32\tibs3.exe O4 - HKLM\..\Run: [9D6356D6] C:\WINNT\system32\RYinctf.exe O4 - HKCU\..\Run: [Windows Update Client ] C:\WINNT\system32\wuclient.exe O4 - HKCU\..\Run: [9D6356D6] C:\WINNT\system32\RYinctf.exe O15 - Trusted Zone: http://*.69sexsearch.com O16 - DPF: {7589EEE6-E336-11D4-8A7E-EE1D971D9B47} - http://secure.aconti.net/acontix/acontix.cab lösche dann manuell C:\WINNT\system32\wuclient.exe C:\WINNT\system32\RYinctf.exe C:\WINNT\System32\tibs3.exe C:\WINNT\system32\xpsp2fw.exe neu booten, ein neues HJT logfile hier posten @Roland wenn es nur so einfach wäre Gehe unter www.hijackthis.de und gebe dort zur automatischen deutschen Auswertung Deine Logfile ein. Fixe alle bösen Einträge und wenn es dann noch Probleme gibt melde Dich wieder!  chaosman
__________________ Bonus vir semper tiro |
|
04.01.2005, 16:50
| #5 |
| | 69sexsearch So, jetzt hab ich noch ne dumme Frage, als unerfahrene Computerfrau: Wie fixe ich denn mit Hijackthis??? Wahrscheinlich empfindest du Frage als peinlich, aber wie gesagt: Ich bin dann doch eher etwas doof auf diesem Gebiet!  Stina Ps: Habs aber zumindest geschafft, dass er mir die Dateinen anzeigt, die gefixt werden müssen! |
|
04.01.2005, 16:55
| #6 |
| | 69sexsearch einfach n haken hin machen wo ich btw chaosman gesagt hat und dann auf fix checked klicken. (natürlich in hijack this) oh^^ das war auchnoch n dialer o.O jep der muss dann auf diskette. @chaosman thx für die berichtigung^^ |
|
04.01.2005, 17:17
| #7 |
| | 69sexsearch Ahhhh, ich bin euch super dankbar für eure Hilfe, aber irgendwie blick ich nicht durch! Die Datei, die ich auf Diskette speichern soll, find ich nicht! Woran kann das liegen? |
|
04.01.2005, 17:34
| #8 |
| Administrator, a.D. | 69sexsearch Dateinamenerweiterung bei bekannten Dateitypen wieder einblenden: Windows Explorer (Win Taste +E) -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Erweiterungen bei bekannten Dateitypen ausblenden" -> "OK" Geschützte Systemdateien ausblenden: Windows Explorer (Win Taste +E) -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK" Geändert von Cidre (08.11.2006 um 18:07 Uhr) Grund: Anleitung erweitert! |
|
04.01.2005, 17:35
| #9 |
| | 69sexsearch hm hast du die datei gelöscht? ich hoffe doch nicht. ansonsten musst du sie wiederherstellen. mit tuneup utillities geht das. lad dir die tuneup utillities 2004 und wenn dus installiert hast, unter daten retten,vernichten im hauptfenster tuneup undelete auswählen, dann beim suchbegriff tibs3.exe eingeben. dann rechtsklick wiederherstellen in einem anderen ordner (also auf c: ) und dann speicherst die auf diskette. |
|
04.01.2005, 17:36
| #10 |
| | 69sexsearch Bekannte Viren: 113688 Updated: 04-01-2005 Größe der Datei (Kb): 9 Viren-Korpus: 1 Datei: 1 Warnungen: 0 Archive: 0 Verdächtigt: 0 So, das ist schonmal das Ergebnis von der Onlineüberprüfung! |
|
04.01.2005, 17:42
| #11 |
| Administrator, a.D. | 69sexsearch Zunächst stellt sich die Frage: Wie gehst du Online (56k, ISDN, DSL usw.)? btw: Teste diese Datei C:\WINNT\system32\RYinctf.exe nochmals hier -> http://virusscan.jotti.org/de 9kb erscheint mir etwas gering! |
|
04.01.2005, 17:45
| #12 |
| | 69sexsearch Danke, habs gefunden und auf Diskette gespeichert! Dann werd ich jetzt mal weiter versuchen das Ding zu vernichten! |
|
04.01.2005, 17:47
| #13 |
| | 69sexsearch @ cidre geh mit dsl online! Das ist das Ergebnis vom Test Service load: 0% 100% File: RYinctf.exe Status: INFECTED/MALWARE Packers detected: None AntiVir No viruses found (0.60 seconds taken) Avast No viruses found (1.51 seconds taken) BitDefender No viruses found (0.34 seconds taken) ClamAV No viruses found (0.34 seconds taken) Dr.Web Trojan.Roxabi (0.51 seconds taken) F-Prot Antivirus No viruses found (0.12 seconds taken) Kaspersky Anti-Virus Trojan.Win32.Agent.x (1.34 seconds taken) mks_vir Trojan.Agent.X.19 (0.20 seconds taken) NOD32 Win32/Small.BU (0.38 seconds taken) Norman Virus Control No viruses found (2.03 seconds taken) Statistics Last piece of malware found was W32/DLoader.AY in services.exe, detected by: Scanner Malware name Time taken AntiVir TR/Dldr.Delf.DJ 0.33 seconds Avast X 3.01 seconds BitDefender Trojan.Downloader.Delf.DJ 0.35 seconds ClamAV Trojan.Downloader.Delf.DJ 0.40 seconds Dr.Web Trojan.DownLoader.484 0.53 seconds F-Prot Antivirus X 0.06 seconds Kaspersky Anti-Virus TrojanDownloader.Win32.Delf.dj 0.67 seconds mks_vir Trojan.Trojandownloader.Delf.Dj 0.20 seconds NOD32 Win32/TrojanDownloader.Delf.DJ 0.37 seconds Norman Virus Control W32/DLoader.AY 0.12 seconds Service statistics: 4239 files (3164 of those unique) have been uploaded & scanned since 31/12/2004, the day of the last database purge. 936 of those 3164 files contained a virus or any other form of malware. This page has been visited 8068 times in this time period. This service managed to spot 63 pieces of malware no vendor used knew about at the time of uploading. The service also warned against 482 suspicious files without any help from scanner results. However, 8 files reported to be OK were found out to be malware later (this is checked daily). As far as can be told, all this together makes this service 99.75% accurate. However, since it is very well possible malware has been uploaded no scanner knows about at this time, this number is to be taken with a proper amount of skepticism. No I am not sitting still! For those of you interested, a new, better version of this service is being developed. Click here for a sneak peek. It is not finished. It has bugs. Please only use it for testing purposes. If you have suggestions and/or comments, please send me them! Most popular malware: Rank Malware name Uploaded Last known filename 1 backdoor.rbot.gen 74 times Sys32.exe 2 backdoor.agobot.3.gen 28 times cygcfg32.exe 3 win32:trojan-gen. {other} 28 times lsass135c.exe 4 trojan.spy.agent.y 20 times godmode.exe 5 behaveslike:win32.explorerhijack 18 times f201.exe 6 behaveslike:trojan.downloader 16 times downloader.exe 7 trojan.unremote.a 14 times RuNz.HpRot.zip 8 backdoor.win32.rbot.gen 13 times unpacked2-routine-one.exe 9 .admili 12 times AdmilliKeep.exe 10 bds/nocun 11 times DANGEROUS___.EXE 11 win32.hllw.mybot.based 11 times unpacked2-encpted.exe 12 exploit.dcom-rpc.a 10 times ewj.exe 13 worm/zusha.a 8 times unpacked2.exe 14 backdoor.sdbot.gen 8 times nigger.exe 15 trojan.bifrose-4 7 times b1101.exe |
|
04.01.2005, 17:54
| #14 | |
| Administrator, a.D. | 69sexsearchZitat:
Hast du dein System schon bereinigt oder damit angefangen? |
|
04.01.2005, 18:21
| #15 |
| | 69sexsearch Wollte jetzt damit anfangen! Warum? |
|
| Themen zu 69sexsearch |
| acrobat, adobe, antivirus, askbar, bho, boot, button, dateien, drivers, explorer, firewall, helfen, hijack, hijackthis, icq, immer wieder, internet, internet explorer, microsoft, outlook express, problem, programme, schließen, settings manager, software, symantec, system, system32, t-online, tcpip, temp, update, windows |
Linear-Darstellung
