Hallo liebe Gemeinde

langsam verzweifele ich. Schon wieder ein Hijacker!!!
Diesmal lande ich immer wieder auf der Seite http://24-7-search.com/

Hab schon alles mögliche versucht:

* CWShredder
* Spybot - Search & Destroy
* Ad-Aware SE
* Giant Anti Spyware

Das letzte Programm "Giant Anti Spyware" hat auch einen Hijacker erkannt und gemeldet, daß er erfolgreich gelöscht wurde.
Aber als Startseite ist im Internetexplorer immer noch oben genannte Seite eingetragen. Sooft ich auch versuche dies zu ändern, sie kommt immer wieder.
Giant Anti Spyware meldet ab und zu, daß es erfolgreich verhindert hat, daß die Startseite von http://24-7-search.com/ auf http://24-7-search.com/ geändert wurde.
Das ist doch zum k.....

Als letztes hab ich jetzt mal das Programm "HijackThis" laufen lassen und möchte euch nachfolgend das LogFile präsentieren.

Kann mir vielleicht irgendjemand helfen? Danke schon mal im vorraus, Wutax

-------------------------

Logfile of HijackThis v1.97.7
Scan saved at 14:14:08, on 11.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Guard.exe
C:\WINDOWS\winhost.exe
C:\WINDOWS\winhost.exe
C:\WINDOWS\winhost.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\PROGRA~1\TCMCOM~1\PS2USBKBDDrv.exe
C:\PROGRA~1\TCMCOM~1\MouseDrv.exe
C:\Programme\GIANT AntiSpyware\gcasServ.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\Programme\TuneUp Utilities 2004\MemOptimizer.exe
C:\Programme\GIANT AntiSpyware\gcasDtServ.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\AOL 9.0b\aoltray.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\HijackThis (Version 1.97.7 - Englisch).exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://24-7-search.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://24-7-search.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Tweak UI 1.33 deutsch] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [TCMKeyboard ] C:\PROGRA~1\TCMCOM~1\PS2USBKBDDrv.exe
O4 - HKLM\..\Run: [TCMMouse ] C:\PROGRA~1\TCMCOM~1\MouseDrv.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\GIANT AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2004\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0b\aoltray.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe

Hallo,

lade die neue Version 1.99 von HijackThis und poste danach das Log-File.

Fixe diese Einträge noch:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://24-7-search.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://24-7-search.com/

Lösche:
C:\WINDOWS\winhost.exe

Arbeite danach dies ab ->
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org

Sicherheitshalber auch dies ->
Lade und scanne mit eScan AntiVirus im abgesicherten Modus wie beschrieben.
Poste anschliessend die Virus Log Information von eScan AntiVirus:
Öffne die mwav.log -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen -> löschen.

So, habe mir mal die neueste Version von HijackThis besorgt und ein neues LogFile erstellt.

Das Problem ist nur, daß ich die Zeile

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://24-7-search.com/

sooft fixen kann, wie ich will, sie erscheint bei einem erneutem Scan immer wieder.

HHHHHHHHHiiiiiiiiiiillllllllfffffffffffeeeeeeeee, ich verzweifele



--------------------

Logfile of HijackThis v1.99.0
Scan saved at 08:05:05, on 12.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Guard.exe
C:\WINDOWS\winhost.exe
C:\WINDOWS\winhost.exe
C:\WINDOWS\winhost.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\PROGRA~1\TCMCOM~1\PS2USBKBDDrv.exe
C:\PROGRA~1\TCMCOM~1\MouseDrv.exe
C:\Programme\GIANT AntiSpyware\gcasServ.exe
C:\Programme\TuneUp Utilities 2004\MemOptimizer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AOL 9.0b\aoltray.exe
C:\Programme\GIANT AntiSpyware\gcasDtServ.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLacsd.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Programme\AOL 9.0b\waol.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\AOL 9.0b\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://24-7-search.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://24-7-search.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Tweak UI 1.33 deutsch] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [TCMKeyboard ] C:\PROGRA~1\TCMCOM~1\PS2USBKBDDrv.exe
O4 - HKLM\..\Run: [TCMMouse ] C:\PROGRA~1\TCMCOM~1\MouseDrv.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\GIANT AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2004\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0b\aoltray.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{211BADF0-6826-4E84-B586-2BA9AFAFD10A}: NameServer = 205.188.146.145
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O21 - SSODL: eplrr - {B020CB3E-D6F0-45CF-BDAF-E319EEF8D16E} - C:\WINDOWS\system32\eplrr3.dll
O23 - Service: AOL Connectivity Service - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

Problem kann wie folge gelöst werden.

1. Über TaskMng den Prozess Guard.exe killen.

2. Über den Explorer C:\WINDOWS\Guard.exe löschen

3. Im Regedit nach Guard.exe suchen. Weiss nicht mehr genau wo .... policies/Run .... diese Einträge müssen auch gelöscht werden. Dadurch lädt der Internet Exploree Quard.exe automatisch.

Dieses Programm verhindert, dass die startpage nicht gespeichert werden kann.

Gruss K.

Winhost.exe ist ein Wurm

IM-Worm.Win32.Bropia.c
Alias: Win32.Worm.Bropia.F (BitDefender), WORM_BROPIA.F (Trend), W32/Bropia.worm.g (McAfee), W32.Bropia.J (Symantec), Bropia.F (F-Secure)


Erkannt seit AVK version: AVK 15.0.2960, Datum 8.2.2005
(Hilfe: Wie erkenne ich meine AVK version?)

Allgemeine Beschreibung:
Dieser Wurm verbreitet sich per MSN Messenger. Er versendet sich unter verschiedenen Dateinamen an alle Kontakte, deren Status sich ändert. Wer den Download der Datei akzeptiert und sie öffnet, installiert den Wurm. Er kopiert das Bild eines gegrillten Hähnchens als "sexy.jpg" in das Rootverzeichnis und zeigt es im Browser an. Bropia.F versucht mit einer Backdoor den Rechner in ein Botnet zu integrieren.

Systemvoraussetzungen:
Betriebssystem: Win 32 bit
Software: MSN Messenger

Symptome:
Dateien:
%ROOT%\sexy.jpg
%SYSTEM%\winhost.exe (Bot)
%SYSTEM%\msnus.exe

Registry:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"win32" = "winhost.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
"win32" = "winhost.exe"
[HKEY_CURRENT_USER\Software\Microsoft\OLE]
"win32" = "winhost.exe"

Aktionen während der Installation:
Der Wurm sucht auf dem Rechner nach folgenden Dateien:

%SYSTEM%\adaware.exe

%SYSTEM%\VB6.EXE.exe

%SYSTEM%\lexplore.exe

%SYSTEM%\Win32.exe

Wenn diese Dateien nicht existieren kopiert er die Datei "cz.exe" in das Rootverzeichnis und führt sie aus. Dadurch wird ein Bot-Programm als %SYSTEm%\winhost.exe installiert und cz.exe wird gelöscht. Durch die o.g. Registry-Einträge sorgt er dafür, dass der Bot beim Systemstart aktiv wird.

Der Wurm kopiert sich unter einem der folgenden Namen in das Rootverzeichnis (normalerweise C:\):

LOL.scr
Webcam.pif
bedroom-thongs.pif
naked_drunk.pif
LMAO.pif
ROFL.pif
underware.pif
Hot.pif
new_webcam.pif



Verbreitung:
Sobald sich der Status eine MSN Messenger Kontakts ändert, versendet sich IM-Worm.Win32.Bropia.c an diesen Kontakt.

Tarnung:
IM-Worm.Win32.Bropia.c läuft nicht auf Rechnern, auf denen die Debugger-Software NT-ice oder Softice laufen.

Technische Details:
Größe: 188 928 Byte

@Wutax
lasse
C:\WINDOWS\winhost.exe
C:\WINDOWS\winhost.exe
C:\WINDOWS\winhost.exe
doch mal hier
http://virusscan.jotti.org/de/
überprüfen.
poste das ergebnis
chaosman