| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: 69sexsearchWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
| |
04.01.2005, 16:27
| #1 |
 |  69sexsearch Hallo, ich hab folgendes Problem: Beim Schließen einer IE-Seite poppen bei mir danach immer wieder sexseiten mit der Adresse www.60sexsearch.com auf! Dann hat sich auch die Startseite des IE selbständig in realsearch verändert! Auch wenn man die Startseite wieder selbständig ändert, wird dies nicht gespeichert, sondern nach dem erneuten Hochfahren des Computers wieder in realsearch verändert! Der HijackThis sagt mir: Logfile of HijackThis v1.99.0 Scan saved at 13:54:45, on 04.01.2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINNT\system32\LEXBCES.EXE C:\WINNT\system32\spoolsv.exe C:\WINNT\system32\LEXPPS.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\system32\usrbridg.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\System32\mspmspsv.exe C:\WINNT\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\HP\hpcoretech\hpcmpmgr.exe C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\Programme\Winamp\winampa.exe C:\Programme\Logitech\iTouch\iTouch.exe C:\WINNT\system32\xpsp2fw.exe C:\WINNT\system32\RYinctf.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton AntiVirus\SAVScan.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\Programme\Outlook Express\msimn.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\DOKUME~1\KIRCHN~1.KIR\LOKALE~1\Temp\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://realsearch.cc/?a=2 R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://realsearch.cc/?a=2 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://realsearch.cc/?a=2 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://realsearch.cc/?a=2 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://realsearch.cc/?a=2 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://realsearch.cc/?a=2 R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://realsearch.cc/?a=2 R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://realsearch.cc/?a=2 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe" O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe" O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb09.exe O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [XPSP2 Firewall] C:\WINNT\system32\xpsp2fw.exe O4 - HKLM\..\Run: [tibs3] C:\WINNT\System32\tibs3.exe O4 - HKLM\..\Run: [9D6356D6] C:\WINNT\system32\RYinctf.exe O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe O4 - HKCU\..\Run: [lycosInside] C:\Programme\lycos\Lyc_SysTray.exe O4 - HKCU\..\Run: [Windows Update Client ] C:\WINNT\system32\wuclient.exe O4 - HKCU\..\Run: [9D6356D6] C:\WINNT\system32\RYinctf.exe O4 - Global Startup: Image Transfer.lnk = C:\Programme\Sony Corporation\Image Transfer\SonyTray.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Tevion Scanner Finder.lnk = C:\Programme\Tevion\ScanWizard 5\ScannerFinder.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O15 - Trusted Zone: http://*.69sexsearch.com O16 - DPF: {7589EEE6-E336-11D4-8A7E-EE1D971D9B47} - http://secure.aconti.net/acontix/acontix.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{FD1E99FD-316D-49F7-A00E-DBCF1307B31B}: NameServer = 217.237.150.97 217.237.149.161 O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Programme\HP\hpcoretech\comp\hpuiprot.dll O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Symantec Licensing Detect Internet Connection - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: LexBce Server - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: IrBridge User-Level Interface - Extended Systems, Inc. - C:\WINNT\system32\usrbridg.exe Ich hoffe, dass mir jemand helfen kann! Stina |
|
04.01.2005, 16:33
| #2 |
| | 69sexsearch Gehe unter www.hijackthis.de und gebe dort zur automatischen deutschen Auswertung Deine Logfile ein. Fixe alle bösen Einträge und wenn es dann noch Probleme gibt melde Dich wieder!
__________________Roland |
|
04.01.2005, 16:47
| #3 |
  | 69sexsearch @stina
__________________speichere diese datei auf diskette zwecks beweissicherung C:\WINNT\System32\tibs3.exe gebe HJT bitte einen eigenen ordner lasse diese datei C:\WINNT\system32\RYinctf.exe hier online http://www.kaspersky.com/de/scanforvirus überprüfen, das ergebnis hier posten der hier ist im system getarnt als C:\WINNT\system32\xpsp2fw.exe wechsle danach in den abgesicherten modus und fixe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://realsearch.cc/?a=2 R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://realsearch.cc/?a=2 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://realsearch.cc/?a=2 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://realsearch.cc/?a=2 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://realsearch.cc/?a=2 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://realsearch.cc/?a=2 R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://realsearch.cc/?a=2 R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://realsearch.cc/?a=2 O4 - HKLM\..\Run: [XPSP2 Firewall] C:\WINNT\system32\xpsp2fw.exe O4 - HKLM\..\Run: [tibs3] C:\WINNT\System32\tibs3.exe O4 - HKLM\..\Run: [9D6356D6] C:\WINNT\system32\RYinctf.exe O4 - HKCU\..\Run: [Windows Update Client ] C:\WINNT\system32\wuclient.exe O4 - HKCU\..\Run: [9D6356D6] C:\WINNT\system32\RYinctf.exe O15 - Trusted Zone: http://*.69sexsearch.com O16 - DPF: {7589EEE6-E336-11D4-8A7E-EE1D971D9B47} - http://secure.aconti.net/acontix/acontix.cab lösche dann manuell C:\WINNT\system32\wuclient.exe C:\WINNT\system32\RYinctf.exe C:\WINNT\System32\tibs3.exe C:\WINNT\system32\xpsp2fw.exe neu booten, ein neues HJT logfile hier posten @Roland wenn es nur so einfach wäre Gehe unter www.hijackthis.de und gebe dort zur automatischen deutschen Auswertung Deine Logfile ein. Fixe alle bösen Einträge und wenn es dann noch Probleme gibt melde Dich wieder!  chaosman
__________________ |
|
04.01.2005, 16:50
| #4 |
| | 69sexsearch So, jetzt hab ich noch ne dumme Frage, als unerfahrene Computerfrau: Wie fixe ich denn mit Hijackthis??? Wahrscheinlich empfindest du Frage als peinlich, aber wie gesagt: Ich bin dann doch eher etwas doof auf diesem Gebiet!  Stina Ps: Habs aber zumindest geschafft, dass er mir die Dateinen anzeigt, die gefixt werden müssen! |
|
04.01.2005, 16:55
| #5 |
  | 69sexsearch einfach n haken hin machen wo ich btw chaosman gesagt hat und dann auf fix checked klicken. (natürlich in hijack this) oh^^ das war auchnoch n dialer o.O jep der muss dann auf diskette. @chaosman thx für die berichtigung^^ |
|
04.01.2005, 17:17
| #6 |
| | 69sexsearch Ahhhh, ich bin euch super dankbar für eure Hilfe, aber irgendwie blick ich nicht durch! Die Datei, die ich auf Diskette speichern soll, find ich nicht! Woran kann das liegen? |
|
04.01.2005, 17:34
| #7 |
| Administrator, a.D. | 69sexsearch Dateinamenerweiterung bei bekannten Dateitypen wieder einblenden: Windows Explorer (Win Taste +E) -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Erweiterungen bei bekannten Dateitypen ausblenden" -> "OK" Geschützte Systemdateien ausblenden: Windows Explorer (Win Taste +E) -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK" Geändert von Cidre (08.11.2006 um 18:07 Uhr) Grund: Anleitung erweitert! |
|
04.01.2005, 17:35
| #8 |
| | 69sexsearch hm hast du die datei gelöscht? ich hoffe doch nicht. ansonsten musst du sie wiederherstellen. mit tuneup utillities geht das. lad dir die tuneup utillities 2004 und wenn dus installiert hast, unter daten retten,vernichten im hauptfenster tuneup undelete auswählen, dann beim suchbegriff tibs3.exe eingeben. dann rechtsklick wiederherstellen in einem anderen ordner (also auf c: ) und dann speicherst die auf diskette. |
|
04.01.2005, 17:36
| #9 |
| | 69sexsearch Bekannte Viren: 113688 Updated: 04-01-2005 Größe der Datei (Kb): 9 Viren-Korpus: 1 Datei: 1 Warnungen: 0 Archive: 0 Verdächtigt: 0 So, das ist schonmal das Ergebnis von der Onlineüberprüfung! |
|
04.01.2005, 16:39
| #10 |
| | 69sexsearch so lad dir mal escan runter und führe es im abgesicherten modus aus. ich hab da die vermutung das das da noch mehr viren sind. die einträge wirste aber auch mit hijack this im abgesicherten modus los, wenn ich mich nicht irre. fixe dort auch mal das: R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://realsearch.cc/?a=2 R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://realsearch.cc/?a=2 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://realsearch.cc/?a=2 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://realsearch.cc/?a=2 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://realsearch.cc/?a=2 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://realsearch.cc/?a=2 R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://realsearch.cc/?a=2 R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://realsearch.cc/?a=2 O4 - HKLM\..\Run: [XPSP2 Firewall] C:\WINNT\system32\xpsp2fw.exe O4 - HKLM\..\Run: [tibs3] C:\WINNT\System32\tibs3.exe O4 - HKLM\..\Run: [9D6356D6] C:\WINNT\system32\RYinctf.exe O4 - HKCU\..\Run: [lycosInside] C:\Programme\lycos\Lyc_SysTray.exe O4 - HKCU\..\Run: [Windows Update Client ] C:\WINNT\system32\wuclient.exe O4 - HKCU\..\Run: [9D6356D6] C:\WINNT\system32\RYinctf.exe O15 - Trusted Zone: http://*.69sexsearch.com O16 - DPF: {7589EEE6-E336-11D4-8A7E-EE1D971D9B47} - http://secure.aconti.net/acontix/acontix.cab lösch auch mal im ordner c:\winnt\system32 im abgesicherten modus die dateien xpsp2fw.exe,tibs3.exe,RYinctf.exe @roland da reicht fixen nicht mehr aus. da is n trojaner drauf nämlich Troj/Small-RN. also zurück zum fall: dann poste das log von escan und das log von hijack this. achja und so wie ich das sehe hast du das von einer site aufgeschnappt. verwende als gegenmaßnahme dagegen auch gleich mal nen anderen browser wie firefox oder opera |
|
| Themen zu 69sexsearch |
| acrobat, adobe, antivirus, askbar, bho, boot, button, dateien, drivers, explorer, firewall, helfen, hijack, hijackthis, icq, immer wieder, internet, internet explorer, microsoft, outlook express, problem, programme, schließen, settings manager, software, symantec, system, system32, t-online, tcpip, temp, update, windows |
Hybrid-Darstellung