hi!

seit einiger zeit öffnen sich, wenn ich mich beim eingeben von internetaddressen vertippe, zweifelhafte dating-seiten..
ich hab mich im internet (auch bei trojaner-board) kundig gemacht.. anscheinend is das ein häufigeres problem
ich hab auch schon sehr vieles versucht:

ad-aware
spybot

die haben auch was gefunden, und behoben.. das problem jedoch das gleiche..

von freunden hab ich mir sagen lassen dass so was mit firefox nicht passiert
zu deren überaschung is auch mit firefox das prob das gleiche

mit hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 14:30:20, on 18.11.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\spoolsv.exe
H:\Programme\AntiVir PersonalEdition Classic\sched.exe
H:\Programme\AntiVir PersonalEdition Classic\avguard.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\ZoneLabs\vsmon.exe
H:\WINDOWS\Explorer.EXE
H:\WINDOWS\System32\VTTimer.exe
H:\WINDOWS\System32\VTtrayp.exe
H:\Programme\HP\hpcoretech\hpcmpmgr.exe
H:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
H:\WINDOWS\SOUNDMAN.EXE
H:\WINDOWS\System32\PuXpMan.exe
H:\Programme\T-DSL SpeedManager\SpeedMgr.exe
H:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
H:\Programme\ICQLite\ICQLite.exe
H:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
H:\Programme\Winamp\winampa.exe
H:\WINDOWS\System32\ctfmon.exe
H:\Programme\Messenger\msmsgs.exe
H:\Programme\Spybot - Search & Destroy\TeaTimer.exe
H:\Programme\Mozilla Firefox\firefox.exe
H:\Programme\T-DSL SpeedManager\tsmsvc.exe
H:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
H:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
H:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
H:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
H:\Programme\eMule\eMule.exe
H:\Programme\Winamp\winamp.exe
H:\WINDOWS\System32\taskmgr.exe
H:\DOKUME~1\NIKLAS\EIGENE~1\MIST\WINZIP\winzip32.exe
H:\Dokumente und Einstellungen\Niklas\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - H:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - H:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - H:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - H:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [HP Component Manager] "H:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [avgnt] "H:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [mspwr] H:\WINDOWS\System32\PuXpMan.exe
O4 - HKLM\..\Run: [PwrUpTweakMe] "H:\WINDOWS\System32\PUXPTWKS.EXE" /TWEAK
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "H:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [Microsoft Works Update Detection] "H:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe"
O4 - HKLM\..\Run: [ICQ Lite] "H:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [Zone Labs Client] "H:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [dmzzq.exe] H:\WINDOWS\System32\dmzzq.exe
O4 - HKLM\..\Run: [WinampAgent] H:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "H:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] H:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = H:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://H:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - H:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - H:\Programme\ICQLite\ICQLite.exe
O10 - Unknown file in Winsock LSP: h:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: h:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: h:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: h:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: h:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: h:\windows\system32\spacklsp.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{047B9FE5-EFBB-45C8-A09C-E03129682073}: NameServer = 85.255.116.146,85.255.112.225
O17 - HKLM\System\CCS\Services\Tcpip\..\{82967E9B-52EB-4E3A-8AB0-570F8BDBD38E}: NameServer = 85.255.116.146,85.255.112.225
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.146 85.255.112.225
O17 - HKLM\System\CS1\Services\Tcpip\..\{047B9FE5-EFBB-45C8-A09C-E03129682073}: NameServer = 85.255.116.146,85.255.112.225
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.146 85.255.112.225
O17 - HKLM\System\CS2\Services\Tcpip\..\{047B9FE5-EFBB-45C8-A09C-E03129682073}: NameServer = 85.255.116.146,85.255.112.225
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.146 85.255.112.225
O20 - Winlogon Notify: WRNotifier - H:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - H:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - H:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Pml Driver HPZ12 - HP - H:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Sniff Managmnet Service - Unknown owner - H:\WINDOWS\system32\csrv.exe (file missing)
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - H:\Programme\T-Online\DSL-Manager\TODslSvc.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - H:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - H:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Windows System Tray - Unknown owner - H:\WINDOWS\systay.exe (file missing)

ich hab auch schon anwendungen mit "bösen buben " im internet verglichen.. nix gefunden ):
schön langsam fällt mir nix mehr ein

bitte helft mir!

danke schon mal

gruß emil

Hallo Emil,

bevor Du jetzt den FireFox verteufelst, wieso fehlt SP2 und alle anschließenden Updates bei Dir?

Logfile of HijackThis v1.99.1
Scan saved at 14:30:20, on 18.11.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Du hast eine Umleitung in die Ukraine. Weiter habe ich garnicht mehr nachgeschaut.
Mach die Kiste platt und setze neu auf->am besten nach der Anleitung
Klick


Gruß cad

hallo cad!

gibt es keine andere möglichkeit?

gruß niklas

Hallo Niklas,

meiner Meinung nach Nein

SP2 + alle nachfolgenden Updates sind Pflicht.

SP2 Download
updates

Wichtig

Deine erste Internetverbindung sollte Dich auf diese Seite führen -> Microsoft Windows Update


Tut mir leid, eine andere Möglichkeit sehe ich nicht.

Gruß cad

Hi

Lade die Dateien
H:\WINDOWS\System32\dmzzq.exe
h:\windows\system32\spacklsp.dll

mal bei Virustotal rauf und schau was dort rauskommt.

Wenn böse, dann weg damit und such dir einen LSP Winsock Fix. (das kann man auch manuell machen, aber das ist ein bischen mehr zum Erklären).


Setze die Einstellungen mal zurück (also ändere die Werte auf bekannte Werte, nimm irgendeinen Nameserver).

HKLM\System\CCS\Services\Tcpip\..\{047B9FE5-EFBB-45C8-A09C-E03129682073}: NameServer = 85.255.116.146,85.255.112.225
O17 - HKLM\System\CCS\Services\Tcpip\..\{82967E9B-52EB-4E3A-8AB0-570F8BDBD38E}: NameServer = 85.255.116.146,85.255.112.225
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.146 85.255.112.225
O17 - HKLM\System\CS1\Services\Tcpip\..\{047B9FE5-EFBB-45C8-A09C-E03129682073}: NameServer = 85.255.116.146,85.255.112.225
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.146 85.255.112.225
O17 - HKLM\System\CS2\Services\Tcpip\..\{047B9FE5-EFBB-45C8-A09C-E03129682073}: NameServer = 85.255.116.146,85.255.112.225
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.146 85.255.112


Dann installier dir SP2 und die Patches drauf und lass mal einen akt. Virenscanner drüber laufen.

Ich würde da mal den Kaspersky empfehlen, aber das ist durchaus auch Geschmackssache.

Dann poste wieder was Sache ist

lg

mOIn auch

@Njall da gibt es nix mehr zu Bereinigen, das System ist ungepflegt und veraltet,
außerdem es sind/waren im System min. 2 Backdoors unterwegs und hier am Bord bereinigt soviel ich weiß, niemand Backdoors, weil es nicht sicher ist,
also hat cad völlig recht -->Neuaufsetzen.

MFG