It´s dangerous for your system (critical files can be lost)!

Click OK to download the antispyware program to clean your system! (Recommended)

Diese Meldung kommt bei fast jedem CLick auf einen Link!


Ausserdem wird bei der google suche auch ein error bei den suchergebnissen angezeigt! und ein link auf eine porno seite!

Bitte um Hilfe!
Danke

Lade dir HJT hier WinTotal - Software - HijackThis runter, nenne es ABC.com, klicke auf Do a system scan and save Logfile und Poste den Log.


mfg cartman123

Hallo,

1.
wende bitte smitfraudfix an - Option 1 und 2 - poste hier beide reporte
SmitfraudFix

2.
wende combofix an + poste den Report
combofix

Hier das HiJackThis
Danke



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:58:26, on 17.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hposol08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\Jul\LOKALE~1\Temp\Temporäres Verzeichnis 1 für HiJackThis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: Windows Media Player - {D5A7151F-58D0-4AC8-9329-BEDD59625679} - C:\WINDOWS\wmpdxm.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [XP Antivirus] C:\Programme\XP Antivirus\xpa.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: officejet 6100.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/pm/activex/eBay_Enhanced_Picture_Control_v1-0-3-48.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://asp07.photoprintit.de/microsite/1387/defaults/activex/IPSUploader.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

--
End of file - 7080 bytes

Lade das

C:\WINDOWS\wmpdxm.dll

mal bei Virustotal hoch und Poste das Ergebniss.
VirusTotal - Kostenloser online Viren- und Malwarescanner


mfg cartman123

Hoff ich hab alles richtig gemacht!


Datei wmpdxm.dll empfangen 2008.03.17 16:10:17 (CET)Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.3.18.0 2008.03.17 -
AntiVir 7.6.0.73 2008.03.17 TR/Dldr.Codec.N.4
Authentium 4.93.8 2008.03.14 -
Avast 4.7.1098.0 2008.03.16 -
AVG 7.5.0.516 2008.03.17 -
BitDefender 7.2 2008.03.17 Trojan.Downloader.Codec.N
CAT-QuickHeal 9.50 2008.03.14 -
ClamAV 0.92.1 2008.03.17 -
DrWeb 4.44.0.09170 2008.03.17 -
eSafe 7.0.15.0 2008.03.09 -
eTrust-Vet 31.3.5621 2008.03.17 -
Ewido 4.0 2008.03.17 -
F-Prot 4.4.2.54 2008.03.16 W32/Banload.E.gen!Eldorado
F-Secure 6.70.13260.0 2008.03.17 -
FileAdvisor 1 2008.03.17 -
Fortinet 3.14.0.0 2008.03.17 -
Ikarus T3.1.1.20 2008.03.17 Trojan-Downloader.Delf.OGX
Kaspersky 7.0.0.125 2008.03.17 -
McAfee 5252 2008.03.14 -
Microsoft 1.3301 2008.03.16 Trojan:Win32/Delflob.I
NOD32v2 2953 2008.03.17 -
Norman 5.80.02 2008.03.17 -
Panda 9.0.0.4 2008.03.16 -
Prevx1 V2 2008.03.17 Generic.Malware
Rising 20.36.02.00 2008.03.17 -
Sophos 4.27.0 2008.03.17 Mal/Emogen-N
Sunbelt 3.0.963.0 2008.03.14 -
Symantec 10 2008.03.17 -
TheHacker 6.2.92.247 2008.03.15 -
VBA32 3.12.6.2 2008.03.16 -
VirusBuster 4.3.26:9 2008.03.17 -
Webwasher-Gateway 6.6.2 2008.03.17 Trojan.Dldr.Codec.N.4

weitere Informationen
File size: 219648 bytes
MD5: 12c851dd7abe835d213931d60887ccbc
SHA1: 414174d4b714c93cb24e11fd4a6cd2d7dac9a1c8
PEiD: ASPack v2.12 -> Alexey Solodovnikov
packers: ASPack
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=AFEBBCBB00C0A7535A10035C1CCC6B00BA061248

Zitat:

Zitat von Daffy

Hoff ich hab alles richtig gemacht!

Ja hast du.
Normal müsste das der Windows Media Player sein..
Fixe den Eintrag

O2 - BHO: Windows Media Player - {D5A7151F-58D0-4AC8-9329-BEDD59625679} - C:\WINDOWS\wmpdxm.dll

mit Hjackthis und mach ein neues HJT aber benenne Hijackthis.exe in ABC.com um.Lade dir wenn du willst dann nochmal den Player runter.Du weißt doch wo oder?


mfg cartman123

Danke einmal!

werde jetzt das hakerl setzen und den eintrag fixen!

Das umbenennen versteh ich nicht ganz!

Klick auf HijackThis 1 mal rechts, auf Umbenennen und gib dann ABC.com ein.


mfg cartman123

es geht

oeffnen, ausschneiden, kopieren, loeschen und eigenschaften!!

aber es kommt kein umbenennen!

Hallo

fixen allein reicht nicht...damit ist der Virus nicht gelöscht

wende bitte Combofix an - poste hier den Report, der erscheint, so kann man alles sehen, was sich so auf deinem Rechner tummelt - z.B> [XP Antivirus] C:\Programme\XP Antivirus\xpa.exe ....
combofix


«

Klicke auf den Typ mit der Lupe 1 mal rechts. Umbenennen ist über Eigenschaften.


mfgcartman123

Hallo cartman123

wenn du schon so fleissig mit HijackThis fixen lässt (obwohl dass nichts mit Reinigen zu tun hat), dann lasse auch mitfixen:

Zitat:

O4 - HKCU\..\Run: [XP Antivirus] C:\Programme\XP Antivirus\xpa.exe

Sabina...
Du und dein Combofix.

Naja Sabina macht das schon.


mfg cartman123