Hallo!


Also ich hab da nen Virus auf meinen Computer und hab keine Ahnung wie ich den entfernt kriege. So ein hartnäckiges Teil hab ich noch nie gehabt.

Der Virus verändert die Startseite des Internetexplorers und verhindert das man mit dem IE oder AOL Browser im Netz surfen kann. Im IE wird die URL mk:@MSITStore:C:\spe\start.chm::/start.html# eingetragen und man wird auf Seiten von www.heretofind.com geleitet. Auf der Festplatte legt der Virus nen Ordner namens "c:\spe" an und in dem Ordner befindet sich die Datei start.chm. Wenn man den Ordner löscht dann kommt er irgendwann von alleine wieder.

Ich hab bis jetzt alle erdenklichen Programme zur Beseitigung ausprobiert. Escan, Antivir, AdWare, Hijack usw. Ich werde den Virus einfach nicht los. Ich kann ihn nicht mal identifiezieren.

Kann mir irgendjemand sagen was ich tun soll? Ich weiß wirklich nicht mehr weiter. (PS: Aber bitte verständlich erklären)


Logfile of HijackThis v1.98.2
Scan saved at 02:30:16, on 25.08.2004
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\drivers\CDAC11BA.EXE
C:\WINNT\System32\svchost.exe
C:\Programme\Ahead\Nero\Misc\NeroSVC.exe
C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\Explorer.EXE
C:\WINNT\htpatch.exe
C:\WINNT\System32\RunDll32.exe
C:\WINNT\Twain_32\Vista\HotKey.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\WINNT\SOINTGR.EXE
C:\Programme\Philips ToUcam Camera\VProperty.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\WINNT\System32\internat.exe
C:\Programme\AOL 9.0a\aoltray.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\AOL 9.0\waol.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\AntiHijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.aol.de/e60/suche/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=20&q=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.darkerradio.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aol.de/e60/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=20&q=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html#
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [HTpatch] C:\WINNT\htpatch.exe
O4 - HKLM\..\Run: [ECS CLOCK] C:\WINNT\System32\ecsclock.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [HotKey] C:\WINNT\Twain_32\Vista\HotKey.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O5 "LPT1:" /M "Stylus C84"
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINNT\SOINTGR.EXE
O4 - HKLM\..\Run: [ToUcamVProperty] C:\Programme\Philips ToUcam Camera\VProperty.exe
O4 - HKLM\..\Run: [WinPatrol] C:\Programme\BillP Studios\WinPatrol\WinPatrol.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Outpost Firewall] C:\Programme\Agnitum\Outpost Firewall 1.0\outpost.exe /waitservice
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [Hostscheck] C:\Programme\Hostscheck\hostscheck.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0a\aoltray.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O13 - DefaultPrefix: http://www.heretofind.com/show.php?id=20&q=
O13 - WWW Prefix: http://www.heretofind.com/show.php?id=20&q=
O13 - Home Prefix: http://www.heretofind.com/show.php?id=20&q=
O13 - Mosaic Prefix: http://www.heretofind.com/show.php?id=20&q=
O13 - Gopher Prefix: http://www.heretofind.com/show.php?id=20&q=
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e60/
O17 - HKLM\System\CCS\Services\Tcpip\..\{8F4677D1-2631-4107-936C-BBCB3446D804}: NameServer = 205.188.146.146

C:\WINNT\System32\ecsclock.exe

Kannst du diese Datei auf dem System finden?

Willkommen am Trojaner Board, VooVoo

fixe bitte (Häk'chen setzen und auf Fix Checked klicken) diese Einträge:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.aol.de/e60/suche/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=20&q=%s

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=20&q=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html#

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe

O13 - DefaultPrefix: http://www.heretofind.com/show.php?id=20&q=
O13 - WWW Prefix: http://www.heretofind.com/show.php?id=20&q=
O13 - Home Prefix: http://www.heretofind.com/show.php?id=20&q=
O13 - Mosaic Prefix: http://www.heretofind.com/show.php?id=20&q=
O13 - Gopher Prefix: http://www.heretofind.com/show.php?id=20&q=

wenn diese Seite nicht Dein Internetanbieter oder Computerhersteller ist, sollte sie gefixt werden:

O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e60/

wenn Du die IP oder die Domäne '205.188.146.146' nicht kennst, bitte fixen:

O17 - HKLM\System\CCS\Services\Tcpip\..\{8F4677D1-2631-4107-936C-BBCB3446D804}: NameServer = 205.188.146.146

----

Weisst Du um welche Programme es sich hierbei handelt:

C:\Programme\Ahead\Nero\Misc\NeroSVC.exe
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINNT\SOINTGR.EXE
O4 - HKLM\..\Run: [Hostscheck] C:\Programme\Hostscheck\hostscheck.exe

Wenn Du es nicht weißt, überprüfe die Dateien bitte mit dem Online-Scan von Kaspersky

----

Bitte erstelle ein Verzeichnis c:\bases, lade eScan runter, extrahiere die Dateien in dieses Verzeichnis, update eScan online und scanne damit Dein System (entsprechend der bebilderten Anleitung) offline im abgesicherten Modus (Link und Anleitung): http://www.trojaner-board.de/showthread.php?t=6083

----

Vergib eine neue Startseite und poste ein neues Logfile und lass uns wissen welche Dateien durch eScan gelöscht bzw. umbenannt wurden.

Lieben Gruss
SD

@ mmk - sorry, ich hab Dich leider erst nach dem posten gesehen.

Das hab ich ja alles schon so gemacht gehabt. Wenn ich mit dem HiJack Programm die Einträge entferne dann kommen sie später automastisch wieder.
Und eScan hat bei mir nicht wirklich geholfen.

Ich brauche ne andere Lösung irgendwie.

@ VooVoo

Zitat:

Zitat von mmk

C:\WINNT\System32\ecsclock.exe
Kannst du diese Datei auf dem System finden?

Beantworte bitte noch die Frage von mmk.

SD

C:\WINNT\System32\ecsclock.exe

ist ein von Eltigroup geliefertes Tool zum übertakten des OnBoard Grafikchips. Das Programm sollte eigentlich ungefährlich sein.

@VooVoo

wichtig ist

Erstmal alle Einträge und Dateien abchecken die dir hier im Thread beschrieben wurden.
Dann schauen was ist gut was ist böse.

Dann wichtig, Fixen und EScan im Abgesicherten Modus machen
http://www.bsi.de/av/texte/winsave.htm
Fixen solltest alles was Showdowdance beschrieben hat.

Dann auch wichtig www.windowsupdate.com

Gruß paff

Sieht so aus als hätte ich den Virus beseitigt gekriegt, oder zumindest funktionsunfähig gemacht. Fragt mich aber bitte nicht wie.
Ich hab alleine schon 6 neue Virenscanner probiert alles Erdenkliche gelöscht was man löschen konnte.
Na ja ich hoffe jetzt nur noch das das nicht nur nen zeitweiliger Effekt jetzt wieder ist.

Ok, danke ertmal.

@VooVoo

mach einfach einen Neustart und poste dann nochmal das Logfile.
Dann sehen wir schon was sache ist .

Gruß paff