Hallo,
ich habe praktisch keine Ahnung von Hijackern, troj. Pferden etc. - aber irgendso ein Teil hat sich mein PC wohl eingefangen! Seit heute lautet die Startseite clicksearchclick.com/ und lässt sich nicht über Extras/Internetoptionen des IE ändern. Ausserdem habe ich festgestellt, dass auf allen möglichen Websites diese Seite "verlinkt" ist, auch bei euch im Trojaner-Board. D.h. das Ding, was auch immer es ist, baut diese Links von sich aus auf allen Websites, die der infizierte User öffnet ein. Hat hier jemand das gleiche Problem und wie kann ich diesen Schrott wieder loswerden? Hilfe!!

P.S.: Gerade in der Vorschau dieses geposteten Textes erschien auch so ein eingebauter Link!

Hallo Akasha,

poste bitte ein Hijackthis-Logfile.
Persönliche Daten bitte unkenntlich machen.

dartus

Hallo dartus,

ich lade mir nach mal HijackThis runter und poste den Logfile - da ich davon aber auch reichlich wenig Ahnung habe: wie mache ich persönl. Daten unkenntlich?

Hallo Akasha,

das wird in dem Link alles beschrieben.

dartus

Das war jetzt ganz schön schwierig, HJT überhaupt runterzuladen, weil eigentlich alle Links auf clicksearchclick umgeleitet wurden

Nun aber hier der Logfile:


Logfile of HijackThis v1.99.1
Scan saved at 20:52:18, on 11.05.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\Dit.exe
C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Programme\iSaver\iSaverCtrl.exe
C:\WINDOWS\System32\Services\{38F5BF12-9D77-4393-9584-AD26382BEF55}\SVCHOST.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\DT\T-Sinus 130data 11Mbps WLAN USB Adapter\monitordt.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Hijack This\HijackThis.exe
C:\WINDOWS\notepad.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.clicksearchclick.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.freenet.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {30961966-6804-44B3-AEC3-6E1C4B08403A} - C:\WINDOWS\System32\fomg.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O2 - BHO: jxlfemhhxloeupjgzcyy - {e377b2a7-f0cc-47d7-b7f5-0d7a6f9c321c} - C:\DOKUME~1\BARBAR~1\ANWEND~1\iedcofrouoo.dll (file missing)
O3 - Toolbar: teallcrobsc - {8737510a-7074-4f1d-b5d1-af11b2204d48} - C:\DOKUME~1\BARBAR~1\ANWEND~1\iedcofrouoo.dll (file missing)
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [PCMService] C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [iSaverCtrl] C:\Programme\iSaver\iSaverCtrl.exe --startup
O4 - HKLM\..\Run: [Service Host] C:\WINDOWS\System32\Services\{38F5BF12-9D77-4393-9584-AD26382BEF55}\SVCHOST.EXE
O4 - HKLM\..\Run: [Disk Keeper] C:\WINDOWS\System32\Services\{38F5BF12-9D77-4393-9584-AD26382BEF55}\SECURITY.EXE
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: T-Sinus 130data WLAN USB Monitor.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra button: MedionShop - {01E9CF82-AE9D-42BA-A629-B23D51A4B86B} - h**p://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=h**p://www.freenet.de
O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - h**p://f011.mail.lycos.de/app/uploader/FileUploader.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - h**p://www.popcap.com/games/popcaploader_v6.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = U14785.tjgo.com
O17 - HKLM\Software\..\Telephony: DomainName = U14785.tjgo.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{0E6B4FCB-9F25-4B2F-92A0-D9BB7FDC8983}: Domain = U14785.tjgo.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{13C9FBEB-F2C8-46DC-AE86-AEB59B968791}: Domain = U14785.tjgo.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{A6115259-7D4A-4276-95D1-60BF6CB25D65}: Domain = U14785.tjgo.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{C1C14C50-9C36-452D-98D8-99194520AA95}: Domain = U14785.tjgo.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{C2EEB5B3-F42D-4213-AAE6-3A6EC2A52D17}: Domain = U14785.tjgo.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = U14785.tjgo.com
O17 - HKLM\System\CS1\Services\Tcpip\..\{0E6B4FCB-9F25-4B2F-92A0-D9BB7FDC8983}: Domain = U14785.tjgo.com
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = U14785.tjgo.com
O17 - HKLM\System\CS2\Services\Tcpip\..\{0E6B4FCB-9F25-4B2F-92A0-D9BB7FDC8983}: Domain = U14785.tjgo.com
O18 - Filter: text/html - {3F88B720-CC91-4738-9671-2A75718FA614} - C:\WINDOWS\System32\fomg.dll
O18 - Filter: text/plain - {3F88B720-CC91-4738-9671-2A75718FA614} - C:\WINDOWS\System32\fomg.dll
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe


Und nochmal: ich habe keine wirkliche Ahnung, was ich hier tue oder tun muss und wäre deshalb dankbar für eine genaue Anleitung. DANKE!

@Akasha
überprüfe dein system mit escan
http://www.trojaner-board.de/showthread.php?t=17492

chaosman

Hallo,
ich habe den Dreck auch auf meinem PC und bekomme ihn nicht los.
Hast du es denn geschafft, wenn ja , wie. Würde mich freuen , wenn du mir helfen könntest.
mfg stetser

Ich habe den Müll ebenfalls auf meinem PC. Jedoch habe ich es gestern geschafft zumindest diese Verlinkungen wegzubekommen. Allerdings hängt dieses Clicksearch nach wie vor auf meiner Startseite und außerdem fährt mein PC wenn ich online bin jetzt in unregelmäßigen Abständen runter und startet neu.

lopeng

@lopeng
poste ein HJT logfile
http://www.trojaner-board.de/showthread.php?t=17493

eröffne einen neuen Thread, anders wir es sehr unübersichtlich

chaosman