WebSite Viewer, TIBS

max41033 · 27.06.2005, 19:46

Hallo.

Habe ein riesen Problem mit WebSiteViewer. Jedesmal, wenn ich den PC starte öffnet ein Fenster mit nackten Damen und auf dem Desktop erscheint ein "Button" (Mädchen und Schriftzug "Sex").
Habe alles versucht (Spybot S&D). Bitte dringend Hilfe.

cronos · 27.06.2005, 19:49

Dann erstelle doch zunächst bitte in Logfile mittels Hijackthis und poste das dann doch hier im Forum.

Gigamail · 27.06.2005, 19:53

Hi,

erstelle ein Hijack This Logfile und poste es mittels copy&paste:Direktdownload hier Denk bitte daran, damit das Programm Hijack This in einem neuen Ordner unter C: laufen sollte, siehe dazu auch Cidres Anleitung

Wichtig: in HJT Log-Files sollten aktive Links und persönliche Informationen editiert werden.
Z.B.:http:// in h**p:// und C:\Dokumente und Einstellungen\***\Eigene Dateien\hijackthis\1.99.1\HijackThis.exe

Edit:
Servus Cronos

max41033 · 27.06.2005, 20:05

Besten Dank.

hier nun das Hijack This Logfile

Logfile of HijackThis v1.99.1
Scan saved at 20:54:47, on 27.06.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.exe
c:\winnt\system32\yqqkms.exe
C:\WINNT\Fonts\wmplayer.exe
C:\WINNT\system32\adv12.exe
C:\WINNT\system32\internat.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Compaq\Compaq EAB Software\cpqek.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINNT\system32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = www-proxy.t-online.de:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 192.168.1.254
F2 - REG:system.ini: Shell=Explorer.exe C:\WINNT\Nail.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [cpqek] C:\Programme\Compaq\Compaq EAB Software\cpqek.exe
O4 - HKLM\..\Run: [minimo] C:\WINNT\Fonts\wmplayer.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Windows Service] C:\WINNT\system32\adv12.exe
O4 - HKLM\..\Run: [izivea] c:\winnt\system32\yqqkms.exe r
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Windows Service] C:\WINNT\system32\adv12.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {072D3F2E-5FB6-11D3-B461-00C04FA35A21} (CFForm Runtime) - http://www.quadrant.uk.com/CFIDE/classes/CFJava.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7F76CB47-994E-49BA-8F0C-EFD515810315}: NameServer = 194.168.1.254,194.25.2.129
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINNT\svcproc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

Hoffe das passt so.

1000 Dank für die Hilfe.

Gigamail · 27.06.2005, 20:17

lasse mal die Dateien hier scannen und teile das Ergebnis mit

c:\winnt\system32\yqqkms.exe r
C:\WINNT\system32\adv12.exe

beende die Prozesse im Taskmanager vor dem Hochladen und beende auch dein AV-Programm

max41033 · 27.06.2005, 20:27

Hier die Ergebnisse:
c:\winnt\system32\yqqkms.exe r

Datei: yqqkms.exe
Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: PE_PATCH, UPX

AntiVir TR/Spy.Hijla gefunden
ArcaVir Trojan.Agent.Ay gefunden
Avast Win32:Trojano-1473 gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Trojan.Agent.AY gefunden
ClamAV Keine Viren gefunden
Dr.Web not a virus Adware.CallingHome gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet W32/Agent.AY-tr gefunden
Kaspersky Anti-Virus Trojan.Win32.Agent.ay gefunden
NOD32 Win32/Agent.CP gefunden
Norman Virus Control Keine Viren gefunden
VBA32 Trojan.Win32.Agent.ay gefunden

C:\WINNT\system32\adv12.exe
Datei: adv12.exe
Status: INFIZIERT/MALWARE
Entdeckte Packprogramme: UPX

AntiVir TR/Dldr.Delf.KS.2 gefunden
ArcaVir Trojan.Dropper.Small.Rd gefunden
Avast Win32:Trojan-gen. gefunden
AVG Antivirus Dropper.Small.13.BI gefunden
BitDefender Trojan.Dropper.Small.RD gefunden
ClamAV Trojan.Downloader.Tibser-2 gefunden
Dr.Web Trojan.MulDrop.1504 gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet W32/Small.RD-tr gefunden
Kaspersky Anti-Virus Trojan-Dropper.Win32.Small.rd gefunden
NOD32 Win32/TrojanDropper.Small.RD gefunden
Norman Virus Control W32/Smalldrp.CIO gefunden
VBA32 Trojan-Dropper.Win32.Small.rd gefunden

Danke für die Anteilnahme, brauche meinen Laptop nämlich morgen für eine Präsentation, daher eilt es so.

Gigamail · 27.06.2005, 20:44

Zitat:

Danke für die Anteilnahme, brauche meinen Laptop nämlich morgen für eine Präsentation, daher eilt es so.

Viren beseitigen kann eine langwierige Sache sein, also Gedult

führe als erstes das hier aus. Boote danach in den abgesicherten Modus und fixe mit HJT folgende Einträge (falls noch vorhanden)

F2 - REG:system.ini: Shell=Explorer.exe C:\WINNT\Nail.exe
O4 - HKLM\..\Run: [Windows Service] C:\WINNT\system32\adv12.exe
O4 - HKLM\..\Run: [izivea] c:\winnt\system32\yqqkms.exe r
O4 - HKCU\..\Run: [Windows Service] C:\WINNT\system32\adv12.exe
O16 - DPF: {072D3F2E-5FB6-11D3-B461-00C04FA35A21} (CFForm Runtime) - http://www.quadrant.uk.com/CFIDE/classes/CFJava.cab

lösche dann von Hand wenn noch vorhanden:

C:\WINNT\Nail.exe
C:\WINNT\system32\adv12.exe
c:\winnt\system32\yqqkms.exe r

danach neu booten und ein neues HJT posten

WebSite Viewer, TIBS

Plagegeister aller Art und deren Bekämpfung: WebSite Viewer, TIBS