Hallo,

habe folgendes Problem,
wenn ich auf meinem Rechner irgend ein Programm starte dann wird in dieses Verzeichnis eine Datei gespeichert mit Namen Q548361 .
Desweiteren kann ich meine Startseite nicht ändern,sie geht immer wieder auf
http://a-search.biz?wmid=1010
egal mit welchem Programm (CWSchredder,Kaspersky,HiJackthisStinger) ich bekomme diese 2 Sachen nicht von meinem Rechner.
Kann mir vielleicht jemand von euch helfen??

Habe die Datei Q548361 auch schon mit Norten antivirus und Escan überprüft aber die ist angeblich nicht infiziert.


Mails bitte an dac828@gmx.de

Hallo,

erstelle mit HiJackThis ein Log-File und poste es hier rein.
Persönliche Informationen, wie Benutzername und dergleichen, bitte unkenntlich machen.

Zitat:

Habe die Datei Q548361 auch schon mit Norten antivirus und Escan überprüft aber die ist angeblich nicht infiziert.

Diese Datei ist nicht infiziert sondern sie ist die Malware.
Aktuelle Signaturen verwendet?

habe seit eben auch eine Datei mega mit 0 kb die das selbe macht wie Q548361.

hier meine Log-Datei
Logfile of HijackThis v1.98.2
Scan saved at 18:58:35, on 03.11.2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINNT\System32\smss.exe
D:\WINNT\system32\csrss.exe
D:\WINNT\system32\winlogon.exe
D:\WINNT\system32\services.exe
D:\WINNT\system32\lsass.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\system32\spoolsv.exe
D:\WINNT\System32\DRIVERS\dcfssvc.exe
D:\WINNT\System32\svchost.exe
D:\WINNT\system32\drivers\KodakCCS.exe
D:\Programme\Norton AntiVirus\navapsvc.exe
D:\Programme\Norton Internet Security\NISUM.EXE
D:\WINNT\System32\nvsvc32.exe
D:\Programme\KODAK\KODAK Bildübertragungssoftware\PTSsvc.exe
D:\WINNT\system32\regsvc.exe
D:\WINNT\system32\MSTask.exe
D:\Programme\Norton Internet Security\SymProxySvc.exe
D:\WINNT\System32\WBEM\WinMgmt.exe
D:\WINNT\system32\svchost.exe
D:\Programme\Norton Internet Security\NISSERV.EXE
D:\WINNT\Explorer.EXE
D:\WINNT\Mixer.exe
D:\PROGRA~1\NORTON~1\navapw32.exe
D:\Programme\Norton Internet Security\IAMAPP.EXE
D:\Programme\tonline\Speedmanager\SpeedMgr.exe
D:\WINNT\updatetc.exe
D:\Programme\Norton Internet Security\ATRACK.EXE
D:\Programme\KODAK\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
D:\Programme\tonline\Speedmanager\tsmsvc.exe
D:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXE
D:\Programme\Microsoft Office\Office10\WINWORD.EXE
D:\Programme\Internet Explorer\iexplore.exe
D:\Programme\WinRAR\WinRAR.exe
D:\Programme\WinRAR\WinRAR.exe
D:\Programme\WinRAR\WinRAR.exe
D:\Programme\ICQ\NDetect.exe
D:\DOKUME~1\mh\LOKALE~1\Temp\Rar$EX00.687\HijackThis.exe
D:\Programme\Virenscanner\hijackthisneu\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blankarch.biz?wmid=1010
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blankarch.biz?wmid=1010
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://google.de
F2 - REG:system.ini: UserInit=Userinit.exe,_huytam_
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NAV Agent] D:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [iamapp] D:\Programme\Norton Internet Security\IAMAPP.EXE
O4 - HKLM\..\Run: [Mirabilis ICQ] D:\Programme\ICQ\NDetect.exe
O4 - HKLM\..\Run: [WinampAgent] "D:\Programme\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "D:\Programme\tonline\Speedmanager\SpeedMgr.exe"
O4 - HKLM\..\Run: [Ad-aware] "D:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-aware.exe" +c
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINNT\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [mwavscan] "D:\DOKUME~1\mh\LOKALE~1\Temp\mwavscan.com" /s
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [tpcupdater] D:\WINNT\updatetc.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] D:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = D:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Image Transfer.lnk = D:\Programme\Sony Corporation\Image Transfer\SonyTray.exe
O4 - Global Startup: Kodak EasyShare Software.lnk = D:\Programme\KODAK\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: Kodak software updater.lnk = D:\Programme\KODAK\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Programme\ICQ\ICQ.exe
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O18 - Filter: text/plain - {D51A9A3A-0E94-4BBD-A0F3-40E45DBBC362} - D:\WINNT\System32\phim.dll
O21 - SSODL: System - {B6A1AE54-FB1B-4839-9873-1D5F24686F14} - D:\WINNT\system32\system32.dll


Problem ist das wenn ich unter HijackThis was fixe dann ist es nach dem neustart wieder drinn.

Lösche diese Dateien im abg. Modus:

D:\WINNT\updatetc.exe
D:\WINNT\system32\system32.dll
D:\WINNT\System32\phim.dll


Anschl. fixe dies mit HijackThis:

O4 - HKLM\..\Run: [tpcupdater] D:\WINNT\updatetc.exe
O18 - Filter: text/plain - {D51A9A3A-0E94-4BBD-A0F3-40E45DBBC362} - D:\WINNT\System32\phim.dll
O21 - SSODL: System - {B6A1AE54-FB1B-4839-9873-1D5F24686F14} - D:\WINNT\system32\system32.dll

danke *Christian* hat geklappt, jetzt ist sowohl die Startseite wieder okay als auch diese läßtigen Dateien die sich erstellt haben weg.



ein Glück gibt es dieses Forum.

hi,
ich habe genau das gleiche problem!
nur sieht das bei mir etwas anders aus...

hier mal die log von hijackthis:

Zitat:

Logfile of HijackThis v1.98.2
Scan saved at 14:39:29, on 06.11.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\_huytam_.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\tftp\tftp4nt.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\UPDATE.EXE
C:\Programme\Trillian\trillian.exe
C:\Programme\Avant Browser\abrowser.exe
C:\Dokumente und Einstellungen\Florian\Desktop\hijackthis\Q548361.exe
C:\WINDOWS\System32\cmd.exe
C:\Dokumente und Einstellungen\Florian\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = http://www.sharempeg.com/find/
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://qwertysearch123.biz/?id=1120
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://qwertysearch123.biz/?id=1120
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://qwertysearch123.biz/?id=1120
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://homepage.com
%00@www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://homepage.com
%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://homepage.com
%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://homepage.com
%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
F2 - REG:system.ini: UserInit=Userinit.exe,_huytam_
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [Desktop] rundll32.exe C:\WINDOWS\System32\avpcc.dll,Restore ControlPanel
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [MSMsgSvc] C:\WINDOWS\System\MSMSGSVC.exe
O4 - Startup: ADILOOK Deutsche Version auf Laufwerk C.LNK = C:\COKTEL\ADDY4\ADILOOK.EXE
O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Subscribe in Desktop Sidebar - res://C:\Programme\Desktop Sidebar\sbhelp.dll/menuhandler.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll (file missing)
O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll (file missing)
O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - C:\PROGRA~1\NEOTRA~1\NTXtoolbar.htm (file missing) (HKCU)
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti...l_v1-0-3-9.cab
O16 - DPF: {A676963B-6856-4F1D-8E16-AB393310B39B} (Download Control) - http://www.d9x.net/Redist/dnactivex.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.serviceurl.de/StarInstall.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{3F476835-CE36-4549-AFF0-ED97F9A5BA2F}: NameServer = 217.237.151.161 217.237.151.33

ich hoffe ihr könnt auch mir helfen!
gruß flori

@ flowri,

Platform: Windows XP (WinNT 5.01.2600)/MSIE: Internet Explorer v6.00 (6.00.2600.0000): besuche www.windowsupdate.com. Beachte, dass das Betriebssystem, der Browser, alle SchutzProgramme, sowie alle weitere Software stets auf dem aktuellen Stand sein muss, um einen Schutz darstellen zu können.

Lade den eScan runter, erstelle einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Die Malware muss von Hand gelöscht werden.

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre)

SD

danke @ sd

so, hab das jetzt mal gemacht! windows ist jetzt auch up 2 date.

die ergebnisse von escan(bitte festhalten) sind als anhang, da es so viele waren!

also ich hab antivir, und trotzdem so viele viren..was haltet ihr von dem programm? bringts das überhaupt? welche antivirus programme nutzt ihr?

kann ich die dateien im "infected"-ordner(quarantäne-verzeichnis von antivir) alle löschen?

die ergebnisse von escan bei denen infected steht kann ich eigentlich alle ohne bedenken (im abgesicherten modus) löschen, oder?

zum browser: ich wollte jetzt auf mozilla firefox umsteigen, aber beim installieren kommt immer ein fehler, dass was mit der xpcom.dll nicht stimmt und wenn ich das programm als .zip entpacken will, kommt beim entpacken der xpcom.dll immer der fehler, dass das system die datei nicht finden kann. kann mir hier noch jemand helfen?

so, das wars.
gruß flori

habe jetzt mal auf "eigene faust" im abgesicherten modus alles mit "infectd gelöscht" und danach bei HijackThis alles (denke ich) nötige gefixed. die q123bla.exe und die mega.exe sind jetzt weg und kommen im moment auch nicht wieder, mal sehen wie lang :-)

wäre schön, wenn mir trotzdem noch jemand was zu den anderen fragen sagen könnte...

Zitat:

also ich hab antivir, und trotzdem so viele viren..was haltet ihr von dem programm? bringts das überhaupt? welche antivirus programme nutzt ihr?

kann ich die dateien im "infected"-ordner(quarantäne-verzeichnis von antivir) alle löschen?

die ergebnisse von escan bei denen infected steht kann ich eigentlich alle ohne bedenken (im abgesicherten modus) löschen, oder?

zum browser: ich wollte jetzt auf mozilla firefox umsteigen, aber beim installieren kommt immer ein fehler, dass was mit der xpcom.dll nicht stimmt und wenn ich das programm als .zip entpacken will, kommt beim entpacken der xpcom.dll immer der fehler, dass das system die datei nicht finden kann. kann mir hier noch jemand helfen?

grus flori

Zitat:

Zitat von flowri

also ich hab antivir, und trotzdem so viele viren..was haltet ihr von dem programm? bringts das überhaupt? welche antivirus programme nutzt ihr?

In der Regel keines. Ich installier mir keine Viren oder Würmer. Wichtig: Sicheren Browser verwenden und das Betriebssystem und alle anderen Programme immer aktuell halten. Und den gesunden Menschenverstand vor dem Rechner nicht ausschalten, Schmuddelseiten meiden.

Siehe auch http://www.mathematik.uni-marburg.de...ompromise.html

Zitat:

kann ich die dateien im "infected"-ordner(quarantäne-verzeichnis von antivir) alle löschen?

die ergebnisse von escan bei denen infected steht kann ich eigentlich alle ohne bedenken (im abgesicherten modus) löschen, oder?

Bei Antivir kann der Infected-Ordner gelöscht werden, bei E-Scan musst Du aufpassen. Nicht alles, was dort aufgeführt ist, sind Viren. Das steht dann aber dabei, es heißt dann z.B. not-a-virus . Selbsterklärend, oder?

Zitat:

zum browser: ich wollte jetzt auf mozilla firefox umsteigen, aber beim installieren kommt immer ein fehler, dass was mit der xpcom.dll nicht stimmt und wenn ich das programm als .zip entpacken will, kommt beim entpacken der xpcom.dll immer der fehler, dass das system die datei nicht finden kann. kann mir hier noch jemand helfen?

Hab mal ein bisschen gegoogelt, aber nichts brauchbares gefunden. Vielleicht versuchst Du es mal mit der genauen Fehlermeldung beim Installieren (sind dabei alle anderen Programme geschlossen?) in diesem Forum:
http://firefox.stw.uni-duisburg.de/forum/index.php

Gruß
Yopie

Hallo,
ich bin aufgrund des o.a. Virus erst heute auf das Forum hier gestoßen.
Erstmal vielen Dank für die guten Hinweise!

Zunächst habe ich mir Highjackthis und das andere von Ihnen empfohlene Anti-Viren Programm (Kaspersky?) aus dem Netz runtergeladen.

Natürlich war die Enttäuschung groß als ich feststellen musste, daß diese Programme keine Viren beseitigen.

Dies habe ich manuell vorgenommen und hierbei bin ich vermutlich auf die Tarnkappe des _huytam_.exe gestossen.

Ich fand in der System.ini einen Eintrag
device=*dynapage
Da ich mit diesem nichts anfangen konnte, habe ich ihn gelöscht.

Danach war die Datei _huytam_.exe (als auch .dll und die zugehörige Prefetch Datei), problemlos über die Suchfunktion von WinXP zu finden.

Jetzt noch die Registry Einträge gesäubert wie von Ad-Aware angezeigt und alles läuft normal wie vorher.

Lothar Weisz (wieder Virenfrei, freu)

@ Lothar Weisz
@ flowri

vielleicht erstellt Ihr beide jeweils ein Hijack This Logfile mit http://www.trojaner-board.de/51130-a...ijackthis.html und postet es ... dann können wir uns das anschauen und Euch vielleicht weiterhelfen.

SD