Hi,
als ich neulich beim surfen war, öffnete sich plötzlich eine HTML namens "secure.html" mit blauem Hintergrund und einer Schrift, die der des MS-DOS sehr ähnelt, dort stand irgendwas mit:
Ihre IP ist so und so....sie haben sich mit Spyware infiziert und ihr pc sei voller Beweise dafür!
Ich schloss diese Datei, plötzlich wechselte mein pc in den Fullscreen-Mode, der nicht wieder weg ging, außer durch den Taskmanager und es erschienen irgendwelche porno-bilder. Dann bemerkte ich, dass die IE6 Sartseite genau diese "secure.html" ist, welche im WINDOWS ordner ist! Dies ließ sich nicht ändern....immer wieder wird secure.html als Startseite angegeben! Dann bemerkte ich, dass "seksdialer.exe" ein aktiver Prozess war, den ich sofort beendete und löschte!
Ich hatte mit AntiVir auch zahlreiche Viruswarnmeldungen, von denen 2 nicht gelöscht werden konnten...

ich habe mir dann mal die Progs "HiJackThis" und "SpyBot S&D"...hab sie auch laufen lassen...
Ergebnis: 48 Spyware einträge, die alle erfolgreich gelöscht wurden.

Hier die HijackThis LOG:

Logfile of HijackThis v1.98.1
Scan saved at 13:47:46, on 06.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\WEB\Apache\Apache.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WEB\Apache\Apache.exe
c:\web\mysql\bin\mysqld-max.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\inKline Global\PC Booster\pcbooster.exe
C:\WINDOWS\system32\slserv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\apps\ABoard\ABoard.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\apps\ABoard\AOSD.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Julian\LOKALE~1\Temp\Rar$EX00.594\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://magicsearch.us/browser/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\secure.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://magicsearch.us/browser/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\secure.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://server224.smartbotpro.net/7search/?new-hklm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\secure.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://magicsearch.us/browser/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://4-counter.com/?a=2&b=alexxp
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://4-counter.com/?a=2&b=alexxp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\secure.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\secure.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R3 - Default URLSearchHook is missing
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81C3A} - C:\WINDOWS\EliteBar\EliteBar version 38.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA880F} - C:\WINDOWS\EliteBar\EliteBar version 38.dll (file missing)
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [taskmanager] c:\windows\taskmgr.com
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PC Booster] C:\Programme\inKline Global\PC Booster\pcbooster.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: AOL Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\ger.htm
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://213.159.117.133/legal/x.chm::/load.exe
O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/pa.../GSManager.cab
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/soft...ch/alaunch.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web8.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O21 - SSODL: System - {D73A2036-3533-4F5E-9FA6-E42C02C13514} - C:\WINDOWS\system32\system32.dll (file missing)



BITTE HELFT MIR DA ICH EIN ABSOLUTER NEWBIE IN SACHEN VIREN ODER DIALERN BIN!

Vielen Dank schon mal im Voraus

MfG
Neo

@keanu äh NEO

Bitte lade dir ESCAN
Entpacken und updaten wie angegeben

Geh in den Abgesicherten Modus

AB JETZT NICHT MEHR DEN INTERNET EXPLORER ÖFFNEN!!!!!!!!!!!!!!

Fixe bitte das in HiJackThis (ankreuzen und FixChecked drücken)
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://magicsearch.us/browser/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\secure.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://magicsearch.us/browser/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\secure.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://server224.smartbotpro.net/7search/?new-hklm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\secure.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://magicsearch.us/browser/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://4-counter.com/?a=2&b=alexxp
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://4-counter.com/?a=2&b=alexxp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\secure.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\secure.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R3 - Default URLSearchHook is missing
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81C3A} - C:\WINDOWS\EliteBar\EliteBar version 38.dll (file missing)

O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA880F} - C:\WINDOWS\EliteBar\EliteBar version 38.dll (file missing)

O4 - HKLM\..\Run: [taskmanager] c:\windows\taskmgr.com
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://213.159.117.133/legal/x.chm::/load.exe
O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/p...s/GSManager.cab
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O21 - SSODL: System - {D73A2036-3533-4F5E-9FA6-E42C02C13514} - C:\WINDOWS\system32\system32.dll (file missing)

Dann bitte Escan starten und wie oben beschrieben

Dann mit AntiVir scannen ganze Festplatte
Das dauert ein Weilchen

Dann wieder normal starten und nochmal Logfile posten

Gruß paff

Soooo...
Ich habe alles getan, genasuso, wie du es gepostet hast!
Was dabei herauskam: AntiVir: 22 Funde davon 18 gelöscht
ESCAN: einige Funde und alle gelöscht bzw. behoben.

Da ich echt keine Ahnung davon habe, poste ich jetzt die LOGS von:

ESCAN (1)
AntiVir (2)
HiJackThis nach den Virenscans (3)

(1)

Fri Aug 06 18:17:30 2004 => **********************************************************
Fri Aug 06 18:17:30 2004 => eScan AntiVirus Toolkit Utility.
Fri Aug 06 18:17:30 2004 => Copyright © 2003-2004, MicroWorld Technologies Inc.
Fri Aug 06 18:17:30 2004 => **********************************************************
Fri Aug 06 18:17:30 2004 => Version 4.4.6
Fri Aug 06 18:17:30 2004 => Log File: C:\bases\mwav.log
Fri Aug 06 18:17:30 2004 => Latest Date of files inside MWAV: 02 Aug 2004 15:08:03.
Fri Aug 06 18:17:33 2004 => AV Library Loaded...
Fri Aug 06 18:17:33 2004 => Scanning File C:\bases\kavss.exe
Fri Aug 06 18:17:33 2004 => Scanning File C:\bases\Getvlist.exe
Fri Aug 06 18:17:34 2004 => Scanning File C:\bases\kavss.dll
Fri Aug 06 18:17:34 2004 => Scanning File C:\bases\kavssdi.dll
Fri Aug 06 18:17:34 2004 => Scanning File C:\bases\kavssi.dll
Fri Aug 06 18:17:34 2004 => Scanning File C:\bases\kavvlg.dll
Fri Aug 06 18:17:34 2004 => Scanning File C:\bases\msvlclnt.dll
Fri Aug 06 18:17:34 2004 => Scanning File C:\bases\ipc.dll
Fri Aug 06 18:17:34 2004 => Scanning File C:\bases\main.avi
Fri Aug 06 18:17:34 2004 => Scanning File C:\bases\virus.avi
Fri Aug 06 18:17:34 2004 => Virus Database Date: 2004/08/02
Fri Aug 06 18:17:34 2004 => Virus Database Count: 99087

Fri Aug 06 18:18:12 2004 => **********************************************************
Fri Aug 06 18:18:12 2004 => eScan AntiVirus Toolkit Utility.
Fri Aug 06 18:18:12 2004 => Copyright © 2003-2004, MicroWorld Technologies Inc.
Fri Aug 06 18:18:12 2004 =>
Fri Aug 06 18:18:12 2004 => Support: support@mwti.net
Fri Aug 06 18:18:12 2004 => Web: http://www.mwti.net
Fri Aug 06 18:18:12 2004 => **********************************************************
Fri Aug 06 18:20:46 2004 => ***** Scanning complete. *****

Fri Aug 06 18:20:46 2004 => Total Number of Files Scanned: 2392
Fri Aug 06 18:20:46 2004 => Total Number of Virus(es) Found: 3
Fri Aug 06 18:20:46 2004 => Total Number of Disinfected Files: 0
Fri Aug 06 18:20:46 2004 => Total Number of Files Renamed: 0
Fri Aug 06 18:20:46 2004 => Total Number of Deleted Files: 2
Fri Aug 06 18:20:46 2004 => Total Number of Errors: 2
Fri Aug 06 18:20:46 2004 => Time Elapsed: 00:02:34
Fri Aug 06 18:20:46 2004 => Virus Database Date: 2004/08/02
Fri Aug 06 18:20:46 2004 => Virus Database Count: 99087

Fri Aug 06 18:20:47 2004 => Scan Completed.


PS: ich habe den kompletten Scanning-Teil rausgetan, da er zu groß für einen post ist.

(2)

Start des Suchlaufs: 06.08.2004 18:22


Windows gelockt.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
HINWEIS! Das gesamte Archiv ist passwortgeschützt
HINWEIS! Das gesamte Archiv ist passwortgeschützt
HINWEIS! Das gesamte Archiv ist passwortgeschützt
ClickAlchemy.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
ClickAlchemy1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
CoolWWWSearchWinProc.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
CoolWWWSearchWinProc1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
CoolWWWSearchWinProc2.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit2.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit3.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit4.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit5.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit6.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit7.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit8.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit9.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DyFuCAInternetOptimizer.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
GoldenPalaceCasino.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
GoldenPalaceCasino1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
MainPean.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
nCase.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
SexList.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
StatblasterAllfiles.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
StatblasterAllfiles1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
StatblasterAllfiles2.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
StatblasterAllfiles3.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
TwainTech.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
TwainTech1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
VXhABetterInternet.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
VXhABetterInternet1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
C:\Dokumente und Einstellungen\Julian\Desktop\Meine Dateien\Stuff\setups
crack_macromedia_mx_2004.zip
ArchiveType: ZIP
--> Generic.Crack.For.All.Macromedia.MX.2004\Generic.Crack.For.All.Macromedia.MX.2004.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
C:\Dokumente und Einstellungen\Julian\Lokale Einstellungen\Temporary Internet Files\Content.IE5\452BC5QB
seksdialer[1].exe
[FUND!] Enthält Signatur eines kostenverursachenden Einwahlprogrammes DIAL/300867 (Dialer)
WURDE GELÖSCHT!
C:\Dokumente und Einstellungen\Julian\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4P038FCZ
deaGB13[1].exe
[FUND!] Ist das Trojanische Pferd TR/Drop.Delf.DJ.3
WURDE GELÖSCHT!
C:\Dokumente und Einstellungen\Julian\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4PEJ09A3
loader[1].jar
ArchiveType: ZIP
--> Counter.class
[FUND!] Enthält Signatur des Java-Scriptvirus JS/OpenConnect.J.1
--> Dummy.class
[FUND!] Ist das Trojanische Pferd TR/Forten.Java.2
--> Parser.class
[FUND!] Enthält Signatur des Java-Scriptvirus JS/OpenConnect.J.3
C:\Dokumente und Einstellungen\Julian\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G1YR0LAN
seksdialer[1].exe
[FUND!] Enthält Signatur eines kostenverursachenden Einwahlprogrammes DIAL/300867 (Dialer)
WURDE GELÖSCHT!
C:\Dokumente und Einstellungen\Julian\Lokale Einstellungen\Temporary Internet Files\Content.IE5\QTTQVUXO
0006_adult[1].cab
ArchiveType: CAB (Microsoft)
--> istactivex.dll
[FUND!] Ist das Trojanische Pferd TR/Dldr.IstBar.PT
C:\Dokumente und Einstellungen\Julian\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WH23GPI7
md[1].htm
[FUND!] Ist das Trojanische Pferd TR/JS.Small.D.5
WURDE GELÖSCHT!
C:\DRIVERS\MCDBF\SOURCE1
OTHER.EXE
ArchiveType: ARJ SFX (self extracting)
HINWEIS! Das gesamte Archiv ist passwortgeschützt
TSADDON.EXE
ArchiveType: ARJ SFX (self extracting)
--> UNISHHS.ARJ
ArchiveType: ARJ
HINWEIS! Das gesamte Archiv ist passwortgeschützt
C:\Programme\Macromedia\Flash MX 2004\Players\Debug
Install Flash Player 7 OSX.hqx
ArchiveType: BinHex (Mac)
HINWEIS! Das Archiv ist unbekannt oder defekt
Install Flash Player 7.hqx
ArchiveType: BinHex (Mac)
HINWEIS! Das Archiv ist unbekannt oder defekt
C:\Programme\Macromedia\Flash MX 2004\Players\Release
Install Flash Player 7 OSX.hqx
ArchiveType: BinHex (Mac)
HINWEIS! Das Archiv ist unbekannt oder defekt
Install Flash Player 7.hqx
ArchiveType: BinHex (Mac)
HINWEIS! Das Archiv ist unbekannt oder defekt
C:\Programme\PowerArchiver\Dat\user\file\name
basedata.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
bloopdata1.rar
ArchiveType: RAR
HINWEIS! Das gesamte Archiv ist passwortgeschützt
data.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
datafile.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
file1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
filesb1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
fileteendata1.rar
ArchiveType: RAR
HINWEIS! Das gesamte Archiv ist passwortgeschützt
minority.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
nemo.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
C:\Programme\WinRAR
rarnew.dat
ArchiveType: RAR
HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
C:\System Volume Information\_restore{D93FF896-00B8-44C3-84C8-3CC3523157C0}\RP2
A0000044.dll
[FUND!] Ist das Trojanische Pferd TR/Dldr.Delf.R
WURDE GELÖSCHT!
A0000045.exe
[FUND!] Ist das Trojanische Pferd TR/Dldr.Alchemic
WURDE GELÖSCHT!
A0000046.exe
Die Datei enthält Signatur des PMS/Dldr.Krepper.1-Programmes und wurde vom Benutzer unterdrückt.
A0000048.dll
[FUND!] Ist das Trojanische Pferd TR/Krepper.C
WURDE GELÖSCHT!
A0000049.exe
[FUND!] Ist das Trojanische Pferd TR/Stubby
WURDE GELÖSCHT!
C:\System Volume Information\_restore{D93FF896-00B8-44C3-84C8-3CC3523157C0}\RP5
A0000378.exe
[FUND!] Ist das Trojanische Pferd TR/Dldr.Harnig.Y.2
WURDE GELÖSCHT!
A0000379.exe
[FUND!] Ist das Trojanische Pferd TR/Dldr.Delf.R
WURDE GELÖSCHT!
A0000380.dll
[FUND!] Enthält Signatur des Droppers DR/Bridge
WURDE GELÖSCHT!
A0000381.exe
[FUND!] Enthält Signatur der Backdoor-Steuersoftware BDC/Ruledor.C.
WURDE GELÖSCHT!
A0000382.exe
[FUND!] Ist das Trojanische Pferd TR/Drop.WWBars.5
WURDE GELÖSCHT!
A0000383.exe
[FUND!] Enthält Signatur des Droppers DR/VB.AA
WURDE GELÖSCHT!
A0000384.dll
[FUND!] Ist das Trojanische Pferd TR/Dldr.PuritySca.D
WURDE GELÖSCHT!
A0001371.exe
[FUND!] Enthält Signatur des Droppers DR/Bridge.A.1
WURDE GELÖSCHT!
A0001372.dll
[FUND!] Ist das Trojanische Pferd TR/Dldr.Harnig.Y.2
WURDE GELÖSCHT!
A0001391.EXE
Die Datei enthält Signatur des PMS/Commercials.1-Programmes und wurde vom Benutzer unterdrückt.
C:\WINDOWS\system32\config
DEFAULT
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SAM
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SECURITY
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SOFTWARE
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SYSTEM
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\WINDOWS\system32\drivers\etc
hosts
[FUND!] Ist das Trojanische Pferd TR/StartPage.IG.1
WURDE GELÖSCHT!



Ende des Suchlaufs: 06.08.2004 19:04
Benötigte Zeit: 42:27 min


6117 Verzeichnisse wurden durchsucht
63262 Dateien wurden geprüft
6 Warnungen wurden ausgegeben
18 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
22 Viren bzw. unerwünschte Programme wurden gefunden

ps: auch hier musste ich zeilen entfernen

und zu guter letzt noch den HijackThis LOG nach den Scans

(3)

Logfile of HijackThis v1.98.1
Scan saved at 19:08:08, on 06.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\DOKUME~1\Julian\LOKALE~1\Temp\Rar$EX00.672\HijackThis.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PC Booster] C:\Programme\inKline Global\PC Booster\pcbooster.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: AOL Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\ger.htm
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/soft...ch/alaunch.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web8.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab

Das würd ich noch fixen:
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\ger.htm

Kann ich das auch lassen? Hab keinen bock das alles mit dem abgesichewrten Modus nochmal von vorn zu machen...

Nun habe ich noch ein problem:
Erstmal...VIEEEELENN DAAAANK
Alles läuft wieder! WhoooWhooo!!!!!

Zu dem Problem:
Seitdem jetzt alles in Ordnung ist, kann ich auf einer Website, die ein Menü komplett mit flash hat, zwar noch aufrufen, jedoch lädt das menü sowie das Intro, welches auch mit flash erstellt wurde nicht....
Das ist sehr blöd da ich so NICHTS auf dieser Seite tun kann!

Hier mal die Seite: http://www.ibl-germany.de

Ich habs auch schon mit Mozilla Firefox probiert, womit es ging (nachdem ich flash-player 7 installiert habe) jedoch finde ich persönlich diesen Browser zum ******