hallo zusammen!

ich weiss garnicht wie ich anfangen soll... ich habe vor ein paar wochen mir sowas komisches eingefangen, da zeigte mir meine startseite immer "needupdate.com" an. natürlich alles in englisch.. ich gemacht und getan und alles versuch und irgendwie habe ich das wegbekommen. aber seit heute habe ich das gleiche probelm schon wieder nur heisst die seite jetzt anders "updatesystempage.com", ist aber absolut die gleiche!

des weiteren zeigte mir der scan von "spyware doctor" 8 infizierungen an. ich habe mir dann dieses "hijack" gemacht und versucht alles unnötige und böse los zuwerden.

dann habe ich mir "ewido" runtergeladen und damit konnte ich so einige sachen in quarantäne stecken, aber da ich fast garkeine ahnung von computern habe, weiss ich nicht was ich löschen darf und was nicht.

dann dachte ich mir, guck doch mal was der "spyware doctor" jetzt noch so anzeigt und was musste ich feststellen.... es ist schlimmer geworden
vorher 8 infizierungen und nun ca. 35 infizierungen

danach noch mal "hijack" und der zeigte mir 2 sachen an, die ich absolut nicht wegbekommen und zwar:
system32\nvcrtl.exe
system32\mssearchnet.exe

was kann ich machen?? braucht ihr mehr info's??

lieben gruss
tank-girl

Servus!
Poste Dein HJT Log mal hier - dann sehen wir weiter!
Interessant wäre auch, welche Schadsoftware ewido bei Dir gefunden und in Quarantäne gesteckt hat!
stupormundi

hallo stupormundi

also hier:

Logfile of HijackThis v1.99.1
Scan saved at 06:41:01, on 05.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Office Mouse\moffice.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Office Mouse\MOUSE32A.DAT
C:\Programme\anti-virus\antivir\AVGUARD.EXE
C:\Programme\anti-virus\antivir\AVWUPSRV.EXE
C:\WINDOWS\System32\cisvc.exe
C:\Programme\spy\ewido\ewido anti-malware\ewidoctrl.exe
C:\Programme\spy\ewido\ewido anti-malware\ewidoguard.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\spy\sd\sd-1\Spyware Doctor\swdoctor.exe
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\mssearchnet.exe
C:\PROGRA~1\INTERN~1\iexplore.exe
C:\Programme\spy\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe
O2 - BHO: HomepageBHO - {e0103cd4-d1ce-411a-b75b-4fec072867f4} - C:\WINDOWS\system32\hpAE84.tmp
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Office Mouse\moffice.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Arovax AntiSpyware] C:\Programme\spy\aas\Arovax AntiSpyware\arovaxantispyware.exe /s
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\anti-virus\antivir\AVGNT.EXE" /min
O4 - HKLM\..\RunOnce: [WMC_RebootCheck] C:\WINDOWS\inf\unregmp2.exe /FixUps
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\spy\spybot\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\spy\sd\Spyware Doctor\swdoctor.exe" /Q
O4 - Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\WINDOWS\System32\shdocvw.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - http://eu-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E3CEEFDF-0852-44BF-B1B3-209347136CBA}: NameServer = 217.237.151.225,217.237.150.225
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\anti-virus\antivir\AVGUARD.EXE
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - (no file)
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - (no file)
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\anti-virus\antivir\AVWUPSRV.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Programme\spy\ewido\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\spy\ewido\ewido anti-malware\ewidoguard.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - Unknown owner - C:\Programme\spy\sd\Spyware Doctor\sdhelp.exe (file missing)


und bei "ewido" in quarantäne:

Dropper.Small.akq
C:\WINDOWS\system32\1024\ld28FA.tmp

Spyware.PopularScreensavers
HKU\S-1-5-21-1547161642-1897051121-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB}

Downloader.Tibs.az
C:\WINDOWS\system32\ld541B.tmp

Downloader.Zlob.dg
C:\WINDOWS\system32\mscornet.exe

Spyware.eAcceleration
Information\_restore{2D865B25-8955-4E7B-8B70-8FDA4806DA22}\RP57\A0021084.exe

Spyware.eAcceleration
Information\_restore{2D865B25-8955-4E7B-8B70-8FDA4806DA22}\RP58\A0021225.exe

Downloader.Zlob.dg
C:\WINDOWS\system32\mscornet.exe

Downloader.Tibs.az
C:\WINDOWS\system32\__delete_on_reboot__ld541B.tmp

Downloader.Zlob.dg
C:\WINDOWS\system32\mscornet.exe

Downloader.Tibs.az
C:\WINDOWS\system32\__delete_on_reboot__ld541b.tmp

Spyware.Cookie.Falkag
C:\Dokumente und Einstellungen\ich\Lokale Einstellungen\Temp\Cookies\ich@sel.as-eu.falkag[1].txt

Spyware.Cookie.Falkag
C:\Dokumente und Einstellungen\ich\Lokale Einstellungen\Temp\Cookies\ich@as-eu.falkag[2].txt

Spyware.Cookie.Ivwbox
C:\Dokumente und Einstellungen\ich\Lokale Einstellungen\Temp\Cookies\ich@ivwbox[1].txt

Spyware.Cookie.Falkag
C:\Dokumente und Einstellungen\ich\Lokale Einstellungen\Temp\Cookies\ich@as1.falkag[1].txt




ich hoffe du kannst was damit anfangen... wenn du magst, kann ich ja auch noch posten, was dieser "spyware doctor" gefunden hat... das waren ja so an die 34 infizierungen...

Servus wieder!
Arbeite mal diese Anleitung durch und poste anschließend alle zitierten Logfiles hier (Escan, neues HJT, 'C:\smitfiles.txt')
Bis dann, stupormundi

man man man... das ist ja ne prozedur.. aber es hat ja schon geholfen meine startseite ist wieder normal!!!

so.. und hier noch mal:

Logfile of HijackThis v1.99.1
Scan saved at 09:07:14, on 05.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Office Mouse\moffice.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Office Mouse\MOUSE32A.DAT
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\anti-virus\antivir\AVGUARD.EXE
C:\Programme\anti-virus\antivir\AVWUPSRV.EXE
C:\WINDOWS\System32\cisvc.exe
C:\Programme\spy\ewido\ewido anti-malware\ewidoctrl.exe
C:\Programme\spy\ewido\ewido anti-malware\ewidoguard.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\spy\hijackthis\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Office Mouse\moffice.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Arovax AntiSpyware] C:\Programme\spy\aas\Arovax AntiSpyware\arovaxantispyware.exe /s
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\anti-virus\antivir\AVGNT.EXE" /min
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\spy\spybot\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\spy\sd\Spyware Doctor\swdoctor.exe" /Q
O4 - Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\WINDOWS\System32\shdocvw.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - http://eu-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E3CEEFDF-0852-44BF-B1B3-209347136CBA}: NameServer = 217.237.151.225,217.237.150.225
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\anti-virus\antivir\AVGUARD.EXE
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - (no file)
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - (no file)
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\anti-virus\antivir\AVWUPSRV.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Programme\spy\ewido\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\spy\ewido\ewido anti-malware\ewidoguard.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - Unknown owner - C:\Programme\spy\sd\Spyware Doctor\sdhelp.exe (file missing)


so das war erst mal teil 1

und dieser ESCAN ist ganz schön lang... soll ich das alles posten??? das passt nicht...