Hi,

habe seit kurzem vollgende Probleme:

1. beim ie offnet sich immer h**p://bestsearch.cc/668/ als Startseite
2. Ich kann mir über outlook express keine Mails mehr anzeigen lassen und es treten Probleme beim Senden auf
3. wenn ich eine txt-Datei öffnen will sagt mir Windows es konnte notepad.exe nicht finden

Ich habe den Rechner im abgesicherten Modus schon mit NAV und eScan und Adaware (alles mit neustem Update) gescannt und es wurden auch einige Sachen entfernt...
Auch habe ich das WindowsUpdate durchgeführt.

Mein aktueller HijackThis log:

Logfile of HijackThis v1.98.2

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/showpost.php?p=171957&postcount=1

danke
GUA
[/edit]

Bin mit meinem Latain am Ende....

Auch wenn du mit eScan bereits geprüft hast, check diese Datei:
C:\WINDOWS\svchost.exe

...mal bitte hier: http://www.kaspersky.com/de/scanforvirus

Was kommt heraus?


Obgleich er nicht mehr aktualisiert wird, versuche dann CWShredder einzusetzen.
http://filepony.de/download-cwshredder/

Laut Check ist die Datei Ok:

Zu überprüfende Datei: svchost.exe
svchost.exe - packed with Yoda
svchost.exe Ok

Statistiken:
Bekannte Viren: 96648 Updated: 19-08-2004
Größe der Datei (Kb): 10 Viren-Korpus: 0
Datei: 2 Warnungen: 0
Archive: 0 Verdächtigt: 0



Und CWShredder hat auch nichts gefunden....

Hat noch jemand einen Tip ?
Bin wirklich nicht besonders heiß darauf mein System komplett neu zu einzurichten...

Die Datei ist definitiv Malware. Um herauszufinden welche, sende sie mal bitte an die in meiner Signatur genannten Adressen!

OK, hab die Datei gesendet. Hoffentlich kommt was bei raus...

Auch schon via Mail:

Dekativiere die Systemwiederherstellung. Lösch dann im abgesicherten
Modus diese Datei sowie den auf sie verweisenden Registry-Eintrag. Ist
sie dann beim nächsten Neustart wieder vorhanden?

Bleibt hartnäckig bestehen das Ding !
Ist also nach Neustart wieder da...

Hi Leute brauche dringend hilfe habe jetzt alles ausprobiert aber ich kriege diese Startseite h**p://213.159.117.134/index.php leider nicht mehr weg und weiß nicht mehr was ich machen soll kann mir vieleicht einer helfen?
Jedesmal wenn ich den explorer öffne zeigt Antivir das als Trojana an ich kriege das leider nicht weg!Habe ach mit dem Programm von euch schon gecheckt hier das ergebniss wäre echt geil wenn mir einer helfen könnte!!



Logfile of HijackThis v1.98.2


[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/showpost.php?p=171957&postcount=1

danke
GUA
[/edit]

Hallo !
Jetzt meld ich mich auch mal ......
Hab auch dieses Problem mit der Seite "absolut blank"
Hab schon viel gelesen hier bei Euch, hab auch fast alles ausprobiert, aber
es funzt nicht !
Ich hab keine Ahnung, was ich tun soll, bin auch absolut Laie ! *seufz*
Für Ratschläge wäre ich sehr dankbar !
Kann mir jemand helfen ?

Gruss

Babs

Hallo marrtin

Platform: Windows XP SP1 (WinNT 5.01.2600) - lade Dir bitte das aktuelle Service Pack runter: www.windowsupdate.com

-----------

Überprüfe mit dem online-scan von Kaspersky folgende Datei:

C:\Dokumente und Einstellungen\Senol Yilmaz\Anwendungsdaten\bswm.exe

Teile uns das Ergebnis der Überprüfung mit und sende diese Datei, wenn sie infiziert ist, an partytime-germany.ice@web.de, mit Verweis auf diesen Thread.

-----------

Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, fixe mit Hijack This:

C:\Program Files\Windows SyncroAd\SyncroAd.exe
C:\Program Files\Windows SyncroAd\WinSync.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
ht*p://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
ht*p://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
ht*p://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
ht*p://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
ht*p://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
ht*p://213.159.117.134/index.php
O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows
SyncroAd\SyncroAd.exe
O16 - DPF: {44FD0AF8-9D30-4E96-8ECE-306446B5E0D3} -
ht*p://naupoint.com/toolbar/installer/iEBINST2.cab

wenn Du diese Seiten nicht kennst/brauchst, kannst Du sie ebenfalls fixen:

O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O16 - DPF: {1C955F3B-5B32-4393-A05D-24B4970CD2A1} -
ht*p://streamp.babenet.com/cabs/videox.cab
O16 - DPF: {F5192746-22D6-41BD-9D2D-1E75D14FBD3C} -
ht*p://216.65.38.226/crack.CAB

Aktiviere die Systemwiederherstellung, boote in den normalen Modus.

-----------

"Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"" [Cidre zitiert]

Lösche:

SyncroAd.exe
WinSync.exe

-----------

Führe sicherheitshalber den eScan auf Deinem System durch: lade den eScan runter, erstelle einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte bitte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht automatisch löscht. Die Malware muß - bei deaktivierter Systemwiederherstellung - manuell gelöscht werden, siehe eScan: "Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum oder in die Windows Suche übertragen -> löschen!"

-----------

Teile uns das Ergebnis des eScan mit: welche/wieviel Viren wurden auf Deinem Rechner gefunden. Erstelle ein neues Hijack This Logfile und poste es.

--------------

Hallo Goldie,

es wäre nett, wenn Du einen neuen Thread eröffnen könntest, das erhöht die Übersichtlichkeit. Erstelle bitte ein Hijack This-Logfile mit http://www.trojaner-board.de/51130-a...ijackthis.html und poste es mittels copy&paste.

SD

Hi Danke erstmal aber Ich habe keinen anwendungsdaten unter senol Yilmaz und auch nicht diese Datei!Das mit dem abgesicherten modus probiere ich mal!!Danke nochmal!!

Hi Leute kann mir nochmal einer helfen hier die daten nochmal!hijack:Logfile of HijackThis v1.98.2
Scan saved at 14:25:43, on 17.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\Programme\Microsoft Hardware\Keyboard\type32.exe
C:\Programme\Anti-Trojan-55\ATWatch.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Dokumente und Einstellungen\Senol Yilmaz\Anwendungsdaten\bswm.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Senol Yilmaz\Desktop\Vieren\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\apps\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [AT-Watch] C:\Programme\Anti-Trojan-55\ATWatch.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [NVIDIA Remote Control Panel] NVAREM.EXE /S
O4 - HKCU\..\Run: [Wuao] C:\Dokumente und Einstellungen\Senol Yilmaz\Anwendungsdaten\bswm.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab30149.cab
O16 - DPF: {1C955F3B-5B32-4393-A05D-24B4970CD2A1} - h**p://streamp.babenet.com/cabs/videox.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - h**p://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097517956328
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - h**p://messenger.zone.msn.com/binary/ZIntro.cab30149.cab
O16 - DPF: {F5192746-22D6-41BD-9D2D-1E75D14FBD3C} - h**p://216.65.38.226/crack.CAB

Hier die escan viren:File C:\WINDOWS\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.
File C:\DOKUME~1\SENOLY~1\ANWEND~1\bswm.exe infected by "not-a-virus:AdvWare.PurityScan.w" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.
File C:\DOKUME~1\SENOLY~1\ANWEND~1\bswm.exe infected by "not-a-virus:AdvWare.PurityScan.w" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\toolbar.exe infected by "Trojan.Win32.LowZones.f" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\d2kndr.exe infected by "Trojan.Win32.Dialer.ce" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\secupd050104.exe infected by "TrojanDownloader.Win32.Esepor.m" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\sex.exe tagged as not-a-virus:PornWare.Dialer.Kotu.c. No Action Taken.
File C:\WINDOWS\system32\system.exe infected by "TrojanProxy.Win32.Mitglieder.x" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\WinDSL-Uninstall.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Take

Lösche die gefunden Dateien im abgesicherten Modus manuell.

Dann poste ein neues Log von HijackThis.

Hi danke was ist mit bswm.exe und System exe darf ich die beiden auch löschen?Die anderen habe ich schon manuell gelöscht!!Danke nochmal!!

Gruß