internet seiten öffnen sich - ganz üble sache

schorsch28 · 05.02.2005, 19:22

hallo ihr!

vielleicht kann mir ja wer helfen. bei mir öffnen sich von zeit zu zeit internetseiten automatisch. habe schon alles darüber gelesen, das problem haben auch andere. die tips haben bei mir aber leider nichts bewirkt.
fixen mit hijack this bringt nichts. escan auch nicht. ad-aware auch nicht usw. wenn ich die datei hosts löschen möchte, schmiert der rechner ab. genauso wenn das der hijack versucht. auch schon alles im abgesicherten modus versucht usw.
also, ich bin echt total ratlos. so ein drecksteil hatte ich noch nie drauf.
hier das logfile. wäre toll wenn einer weiter wüßte. das regt mich echt auf das teil )-:

vielen dank und grüße aus duisburg

jörg

Logfile of HijackThis v1.99.0
Scan saved at 18:46:52, on 05.02.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAMME\PCMACLAN\ATMSG.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\LOGITECH\ITOUCH\ITOUCH.EXE
C:\PROGRAMME\A4TECH\MOUSE\AMOUMAIN.EXE
C:\PROGRAMME\ADVANCED LAUNCHER\ALAUNCH_CRACKED.EXE
C:\PROGRAMME\MATRIXSOFTWARE\FOOBAR\FOOBAR.EXE
C:\PROGRAMME\GETRIGHT\GETRIGHT.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
D:\DOWNLOAD\TOOLS\HIJACKTHIS.EXE

O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRAMME\FLASHGET\FGIEBAR.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4TECH\MOUSE\AMOUMAIN.EXE
O4 - HKLM\..\RunServices: [Miramar Systems' PC MACLAN] c:\programme\pcmaclan\ATMsg.exe -service
O4 - HKCU\..\Run: [Advanced Launcher] C:\PROGRAMME\ADVANCED LAUNCHER\ALAUNCH_CRACKED.EXE
O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: FooBar 1.0.LNK = MatrixSoftware\FooBar\FooBar.exe
O4 - Startup: GetRight - Tray Icon.lnk = C:\Programme\GetRight\getright.exe
O8 - Extra context menu item: &Leech It - D:\DOWNLOAD\TOOLS\Leech.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRAMME\FLASHGET\jc_link.htm
O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRAMME\FLASHGET\jc_all.htm
O8 - Extra context menu item: Download by Net Transport - C:\PROGRAMME\XI\NETTRANSPORT 2\NTAddLink.html
O8 - Extra context menu item: Download all by Net Transport - C:\PROGRAMME\XI\NETTRANSPORT 2\NTAddList.html
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRAMME\FLASHGET\FLASHGET.EXE
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRAMME\FLASHGET\FLASHGET.EXE
O15 - Trusted Zone: http://www.heymanns.com
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {8A0DCBDA-6E20-489C-9041-C1E8A0352E75} - http://download.getmirar.com/cabs/875504.cab

Cidre · 05.02.2005, 19:51

Hallo,

führe diese beiden Punkte aus und poste die Log-Files:

- Lade DllCompare.
Doppelklick auf DllCompare.exe -> Run locate.com -> wenn der Scan erfolgt ist "Compare" klicken -> wenn auch dieser Scan fertig ist "Make a Log of what was found" klicken -> Inhalt des Logs posten

- Lade und scanne mit eScan AntiVirus im abgesicherten Modus wie beschrieben.
Poste anschliessend die Virus Log Information von eScan AntiVirus:
Öffne die mwav.log im Ordner C:\bases -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.

schorsch28 · 08.02.2005, 18:20

vielen dank für die antwort. sorry dass ich jetzt erst antworte. aber war karneval ;-)

dllcompare lässt sich nicht starten (run time error 52).
das logfile von escan lautet:

File C:\WINDOWS\SYSTEM\MSOffice\services.exe infected by "Trojan-Downloader.Win32.Zdesnado.t" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\COMMAND\EBD\EBD.CAB tagged as not-a-virus:Tool.DOS.Restart. No Action Taken.
File C:\WINDOWS\Downloaded Program Files\CONFLICT.1\HDPlugin1018.dll infected by "not-a-virus:AdWare.Gator.1018" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Downloaded Program Files\CONFLICT.1\WinCommX.dll infected by "not-a-virus:AdWare.WinAD" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Downloaded Program Files\WinCommX.dll infected by "not-a-virus:AdWare.WinAD" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Downloaded Program Files\WinCommX.dll infected by "not-a-virus:AdWare.WinAD" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Downloaded Program Files\WinCommX.dll infected by "not-a-virus:AdWare.WinAD" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Downloaded Program Files\HDPlugin1018.dll infected by "not-a-virus:AdWare.Gator.1018" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Downloaded Program Files\MediaTicketsInstaller.ocx infected by "not-a-virus:AdWare.MediaTickets.f" Virus. Action Taken: No Action Taken
File C:\WINDOWS\Downloaded Program Files\HDPlugin1019.dll infected by "not-a-virus:AdWare.Gator.1019" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Downloaded Program Files\HDPlugin1101.dll infected by "not-a-virus:AdWare.Gator.1101" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Downloaded Program Files\loader2.ocx infected by "Trojan-Downloader.Win32.Agent.ex" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Downloaded Program Files\WUInst.dll infected by "not-a-virus:AdWare.SaveNow.ab" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\wt\wtvh.dll infected by "not-a-virus:AdWare.WildTangent.b" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\wt\wtbgm\wtbgmtt.exe infected by "not-a-virus:AdWare.WinAD" Virus. Action Taken: No Action Taken.

vielleicht fällt euch ja was ein. das wäre nett. ich weiß einfach nix mehr

jörg

chaosman · 08.02.2005, 18:29

@schorsch28
der hier macht mir sorgen, finde kaum was bei google, lasse doch mal bei
http://virusscan.jotti.org/de
überprüfen, ergebnis hier posten
File C:\WINDOWS\SYSTEM\MSOffice\services.exe infected by "Trojan-Downloader.Win32.Zdesnado.t" Virus. Action Taken: No Action Taken.

diese kannst du in den abgesicherten modus manuell löschen
File C:\WINDOWS\Downloaded Program Files\CONFLICT.1\HDPlugin1018.dll infected by "not-a-virus:AdWare.Gator.1018" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Downloaded Program Files\CONFLICT.1\WinCommX.dll infected by "not-a-virus:AdWare.WinAD" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Downloaded Program Files\WinCommX.dll infected by "not-a-virus:AdWare.WinAD" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Downloaded Program Files\WinCommX.dll infected by "not-a-virus:AdWare.WinAD" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Downloaded Program Files\WinCommX.dll infected by "not-a-virus:AdWare.WinAD" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Downloaded Program Files\HDPlugin1018.dll infected by "not-a-virus:AdWare.Gator.1018" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Downloaded Program Files\MediaTicketsInstaller.ocx infected by "not-a-virus:AdWare.MediaTickets.f" Virus. Action Taken: No Action Taken
File C:\WINDOWS\Downloaded Program Files\HDPlugin1019.dll infected by "not-a-virus:AdWare.Gator.1019" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Downloaded Program Files\HDPlugin1101.dll infected by "not-a-virus:AdWare.Gator.1101" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Downloaded Program Files\loader2.ocx infected by "Trojan-Downloader.Win32.Agent.ex" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Downloaded Program Files\WUInst.dll infected by "not-a-virus:AdWare.SaveNow.ab" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\wt\wtvh.dll infected by "not-a-virus:AdWare.WildTangent.b" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\wt\wtbgm\wtbgmtt.exe infected by "not-a-virus:AdWare.WinAD" Virus. Action Taken: No Action Taken.
chaosman

schorsch28 · 09.02.2005, 09:44

vielen dank für die antwort.
ich habe diese oder ähnliche sachen schon mal per hand gelöscht. 20 minuten später ist der ganze kram wieder da.

hier das ergebnis. ich hoffe, du meintest das.

Service load: 0% 100%

File: services.exe
Status: INFECTED/MALWARE
Packers detected: PE_PATCH.PECOMPACT, PECBUNDLE, PECOMPACT

AntiVir TR/Downloader.Agent.EB (0.42 seconds taken)
Avast No viruses found (3.42 seconds taken)
AVG Antivirus No viruses found (3.21 seconds taken)
BitDefender Trojan.Downloader.Agent.EB (1.19 seconds taken)
ClamAV Trojan.Downloader.Agent-40 (1.13 seconds taken)
Dr.Web Trojan.DownLoader.1134 (0.56 seconds taken)
F-Prot Antivirus No viruses found (0.41 seconds taken)
Fortinet No viruses found (0.43 seconds taken)
Kaspersky Anti-Virus Trojan-Downloader.Win32.Zdesnado.t (0.92 seconds taken)
mks_vir No viruses found (0.22 seconds taken)
NOD32 probably unknown NewHeur_PE (probable variant) (0.60 seconds taken)
Norman Virus Control No viruses found (10.46 seconds taken)

vielleicht weiß ja einer rat. danke schön.

jörg

internet seiten öffnen sich - ganz üble sache

Plagegeister aller Art und deren Bekämpfung: internet seiten öffnen sich - ganz üble sache