Hallo.

Habe ein riesen Problem mit WebSiteViewer. Jedesmal, wenn ich den PC starte öffnet ein Fenster mit nackten Damen und auf dem Desktop erscheint ein "Button" (Mädchen und Schriftzug "Sex").
Habe alles versucht (Spybot S&D). Bitte dringend Hilfe.

Dann erstelle doch zunächst bitte in Logfile mittels Hijackthis und poste das dann doch hier im Forum.

Hi,

erstelle ein Hijack This Logfile und poste es mittels copy&paste:Direktdownload hier Denk bitte daran, damit das Programm Hijack This in einem neuen Ordner unter C: laufen sollte, siehe dazu auch Cidres Anleitung

Wichtig: in HJT Log-Files sollten aktive Links und persönliche Informationen editiert werden.
Z.B.:http:// in h**p:// und C:\Dokumente und Einstellungen\***\Eigene Dateien\hijackthis\1.99.1\HijackThis.exe

Edit:
Servus Cronos

Besten Dank.

hier nun das Hijack This Logfile

Logfile of HijackThis v1.99.1
Scan saved at 20:54:47, on 27.06.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.exe
c:\winnt\system32\yqqkms.exe
C:\WINNT\Fonts\wmplayer.exe
C:\WINNT\system32\adv12.exe
C:\WINNT\system32\internat.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Compaq\Compaq EAB Software\cpqek.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINNT\system32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = www-proxy.t-online.de:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 192.168.1.254
F2 - REG:system.ini: Shell=Explorer.exe C:\WINNT\Nail.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [cpqek] C:\Programme\Compaq\Compaq EAB Software\cpqek.exe
O4 - HKLM\..\Run: [minimo] C:\WINNT\Fonts\wmplayer.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Windows Service] C:\WINNT\system32\adv12.exe
O4 - HKLM\..\Run: [izivea] c:\winnt\system32\yqqkms.exe r
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Windows Service] C:\WINNT\system32\adv12.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {072D3F2E-5FB6-11D3-B461-00C04FA35A21} (CFForm Runtime) - http://www.quadrant.uk.com/CFIDE/classes/CFJava.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7F76CB47-994E-49BA-8F0C-EFD515810315}: NameServer = 194.168.1.254,194.25.2.129
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINNT\svcproc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe


Hoffe das passt so.

1000 Dank für die Hilfe.

lasse mal die Dateien hier scannen und teile das Ergebnis mit

c:\winnt\system32\yqqkms.exe r
C:\WINNT\system32\adv12.exe

beende die Prozesse im Taskmanager vor dem Hochladen und beende auch dein AV-Programm

Hier die Ergebnisse:
c:\winnt\system32\yqqkms.exe r

Datei: yqqkms.exe
Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: PE_PATCH, UPX

AntiVir TR/Spy.Hijla gefunden
ArcaVir Trojan.Agent.Ay gefunden
Avast Win32:Trojano-1473 gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Trojan.Agent.AY gefunden
ClamAV Keine Viren gefunden
Dr.Web not a virus Adware.CallingHome gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet W32/Agent.AY-tr gefunden
Kaspersky Anti-Virus Trojan.Win32.Agent.ay gefunden
NOD32 Win32/Agent.CP gefunden
Norman Virus Control Keine Viren gefunden
VBA32 Trojan.Win32.Agent.ay gefunden


C:\WINNT\system32\adv12.exe
Datei: adv12.exe
Status: INFIZIERT/MALWARE
Entdeckte Packprogramme: UPX

AntiVir TR/Dldr.Delf.KS.2 gefunden
ArcaVir Trojan.Dropper.Small.Rd gefunden
Avast Win32:Trojan-gen. gefunden
AVG Antivirus Dropper.Small.13.BI gefunden
BitDefender Trojan.Dropper.Small.RD gefunden
ClamAV Trojan.Downloader.Tibser-2 gefunden
Dr.Web Trojan.MulDrop.1504 gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet W32/Small.RD-tr gefunden
Kaspersky Anti-Virus Trojan-Dropper.Win32.Small.rd gefunden
NOD32 Win32/TrojanDropper.Small.RD gefunden
Norman Virus Control W32/Smalldrp.CIO gefunden
VBA32 Trojan-Dropper.Win32.Small.rd gefunden


Danke für die Anteilnahme, brauche meinen Laptop nämlich morgen für eine Präsentation, daher eilt es so.

Zitat:

Danke für die Anteilnahme, brauche meinen Laptop nämlich morgen für eine Präsentation, daher eilt es so.

Viren beseitigen kann eine langwierige Sache sein, also Gedult
führe als erstes das hier aus. Boote danach in den abgesicherten Modus und fixe mit HJT folgende Einträge (falls noch vorhanden)

F2 - REG:system.ini: Shell=Explorer.exe C:\WINNT\Nail.exe
O4 - HKLM\..\Run: [Windows Service] C:\WINNT\system32\adv12.exe
O4 - HKLM\..\Run: [izivea] c:\winnt\system32\yqqkms.exe r
O4 - HKCU\..\Run: [Windows Service] C:\WINNT\system32\adv12.exe
O16 - DPF: {072D3F2E-5FB6-11D3-B461-00C04FA35A21} (CFForm Runtime) - http://www.quadrant.uk.com/CFIDE/classes/CFJava.cab


lösche dann von Hand wenn noch vorhanden:

C:\WINNT\Nail.exe
C:\WINNT\system32\adv12.exe
c:\winnt\system32\yqqkms.exe r

danach neu booten und ein neues HJT posten

Hier das neue HJT:

Logfile of HijackThis v1.99.1
Scan saved at 22:18:43, on 27.06.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Fonts\wmplayer.exe
C:\WINNT\system32\internat.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Compaq\Compaq EAB Software\cpqek.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
c:\winnt\system32\ftktjm.exe
C:\WINNT\system32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = www-proxy.t-online.de:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 192.168.1.254
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [cpqek] C:\Programme\Compaq\Compaq EAB Software\cpqek.exe
O4 - HKLM\..\Run: [minimo] C:\WINNT\Fonts\wmplayer.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [zttbtwq] c:\winnt\system32\ftktjm.exe r
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7F76CB47-994E-49BA-8F0C-EFD515810315}: NameServer = 194.168.1.254,194.25.2.129
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

1000 Dank.

Hallo max41033,

versuche dies:
http://forum.hijackthis.de/showthread.php?t=3172

Das ist z.Z. in Deinem Fall der Zufallsname, welche sich bei jedem Neustart ändert:
O4 - HKLM\..\Run: [zttbtwq] c:\winnt\system32\ftktjm.exe r

dartus

hats du den Link in meinem letzten Post abgearbeitet?
Lade dir escan siehe unten
boote in den abgesicherten Modus und fixe mit HJT

O4 - HKLM\..\Run: [minimo] C:\WINNT\Fonts\wmplayer.exe
O4 - HKLM\..\Run: [zttbtwq] c:\winnt\system32\ftktjm.exe r

lösche von Hand:

C:\WINNT\Fonts\wmplayer.exe
c:\winnt\system32\ftktjm.exe r


Erstelle für den eScan einen neuen Ordner (=Verzeichnis) "C:\bases_x" . Lade den eScan runter, entpacke ihn mit einem Zip-Programm in diesen neuen Ordner. Beachte dazu die Anleitung .Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus (Haken setzen bei All Local Drives und All Scan Files).Der eScan braucht ca 1 Stunde. Die gefundenen Viren werden von hand gelöscht. Wir geben am Forum Anleitung dazu.

--> Teile uns bitte mit: wieviel Viren auf Deinem Rechner gefunden wurden - das geht so:

Mittels Rechtsklick --> "Ziel speichern unter..." diese Datei runterladen entpacken und ausführen. Dann einfach den Inhalt der c:\eScan_neu.txt hier posten.Funktioniert nur, wenn du eScan gemäß der Anleitung ausführst!
(Zitat: Haui45)

danach neu booten Ergebnisse von eScann und neues HJT posten

@ Dartus

schau mal Post#7

Hi Gigamail,

also ich starte jetzt mit dem e-scan und hoffe das Beste.
Das lästige "Sex"-Icon auf dem Desktop ist nach einem Neustart übrigens nicht mehr aufgetaucht. Ich mache jetzt trotzdem nach Deiner Anleitung weiter und stelle die neuen HJT´s noch heute ins Netz.

Besten Dank für die Mühe.

Hi Gigamail,



dartus