|
Plagegeister aller Art und deren Bekämpfung: Es öffnet sich oft "amateur.freegayspace.com/leetage/ov.html"Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
19.10.2004, 11:19 | #1 |
| Es öffnet sich oft "amateur.freegayspace.com/leetage/ov.html" Hallo, nachdem ich gestern schon Probleme hatte und ich nicht mal mehr das T-Online-Startcenter öffnen konnte, habe ich nun Windows2000 nochmals aufgespielt. Dennoch folgendes Problem: Beim IE-Start öffnet sich oft, fast immer die Seite: amateur.freegayspace.com/leetage/ov.html Auch während des Rumsurfens hat sie sich schon selbsttätig geöffnet. Manchmal schlägt Ad-Aware wegen Cookie an. Search+Destroy fand irgendwas mit Alexa. Doch mittlerweile auch nicht mehr. Hier das Ergebnis von HijackThis: Logfile of HijackThis v1.97.7 Scan saved at 12:17:55, on 19.10.2004 Platform: Windows 2000 (WinNT 5.00.2195) MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\MSTask.exe C:\WINNT\Explorer.exe C:\WINNT\System32\oqxnsy.exe C:\WINNT\System32\mediaplayer32.exe C:\Programme\Spamihilator\Spamihilator.exe C:\WINNT\system32\ntvdm.exe C:\T-ONLINE\BSW4\ToDuCAlC.EXE C:\PROGRA~1\INTERN~1\IEXPLORE.EXE C:\download\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [Start Upping] mediaplayer32.exe O4 - HKLM\..\Run: [Windows Compliant] oqxnsy.exe O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\RunServices: [Start Upping] mediaplayer32.exe O4 - HKLM\..\RunServices: [Windows Compliant] oqxnsy.exe O4 - HKCU\..\Run: [Start Upping] mediaplayer32.exe O4 - HKCU\..\Run: [Windows Compliant] oqxnsy.exe O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\Spamihilator.exe" O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: AOL Instant Messenger (TM) (HKLM) O17 - HKLM\System\CCS\Services\Tcpip\..\{6619C101-9118-4F1E-A53A-FBF2A753AAC0}: NameServer = 217.237.151.225 217.237.150.225 Weiß jemand Rat?? |
19.10.2004, 11:52 | #2 |
| Es öffnet sich oft "amateur.freegayspace.com/leetage/ov.html" So, ich hab grade noch den neuesten Stinger durchgejagt und der meldet folgendes:
__________________McAfee AVERT Stinger Version 2.4.1.0 built on Oct 14 2004 Copyright (C) 2004 Networks Associates Technology, Inc. All Rights Reserved. Virus data file v1000 created on Oct 14 2004. Ready to scan for 43 viruses, trojans and variants. Scan initiated on Tue Oct 19 12:23:41 2004 C:\WINNT\System32\oqxnsy.exe Found the W32/Sdbot.worm.gen.h virus !!! C:\WINNT\System32\oqxnsy.exe could not be repaired. C:\WINNT\System32\mediaplayer32.exe Found the W32/Sdbot.worm virus !!! C:\WINNT\System32\mediaplayer32.exe could not be repaired. C:\WINNT\system32\lkoetw.exe Found the W32/Sdbot.worm.gen.h virus !!! C:\WINNT\system32\lkoetw.exe has been deleted. C:\WINNT\system32\mediaplayer32.exe Found the W32/Sdbot.worm virus !!! C:\WINNT\system32\mediaplayer32.exe could not be repaired. C:\WINNT\system32\oqxnsy.exe Found the W32/Sdbot.worm.gen.h virus !!! C:\WINNT\system32\oqxnsy.exe could not be repaired. C:\WINNT\system32\TFTP1072 Found the W32/Sdbot.worm virus !!! C:\WINNT\system32\TFTP1072 has been deleted. C:\WINNT\system32\TFTP2228 Found the W32/Sdbot.worm virus !!! C:\WINNT\system32\TFTP2228 has been deleted. C:\WINNT\system32\TFTP2264 Found the W32/Sdbot.worm.gen.x virus !!! C:\WINNT\system32\TFTP2264 has been deleted. C:\WINNT\system32\TFTP2508 Found the W32/Sdbot.worm.gen.x virus !!! C:\WINNT\system32\TFTP2508 has been deleted. C:\WINNT\system32\TFTP972 Found the W32/Sdbot.worm.gen.x virus !!! C:\WINNT\system32\TFTP972 has been deleted. C:\WINNT\system32\winole.exe Found the W32/Sdbot.worm.gen.h virus !!! C:\WINNT\system32\winole.exe has been deleted. C:\WINNT\system32\winupdate.exe Found the W32/Sdbot.worm.gen.w virus !!! C:\WINNT\system32\winupdate.exe has been deleted. Number of clean files: 40317 Number of infected files: 12 Number of files deleted: 8 |
19.10.2004, 12:02 | #3 |
| Es öffnet sich oft "amateur.freegayspace.com/leetage/ov.html" Hi, Lburg!
__________________Du hast einen bei uns relativ seltenen Trojaner drauf, der mediaplayer32 heißt. Sinn von diesem Teil ist es, beim Öffnen der Startseite sofort zu verschiedenen "gay-sites" zu switchen. Den würde ich mal wie folgt vernichten: Anleitung in deutsch: http://board.gulli.com/thread/341586 Anleitung und Beschreibung in Englisch: http://geocities.com/karlsson/mediaplayer_worm.html Ansonsten im abgesicherten Modus folgendes fixen: O4 - HKLM\..\Run: [Start Upping] mediaplayer32.exe O4 - HKLM\..\Run: [Windows Compliant] oqxnsy.exe O4 - HKLM\..\RunServices: [Start Upping] mediaplayer32.exe O4 - HKLM\..\RunServices: [Windows Compliant] oqxnsy.exe O4 - HKCU\..\Run: [Start Upping] mediaplayer32.exe O4 - HKCU\..\Run: [Windows Compliant] oqxnsy.exe Außerdem folgende Dateien löschen: C:\WINNT\System32\mediaplayer32.exe C:\WINNT\System32\oqxnsy.exe Anschließend bitte ein neues Logfile posten. Ein Virenscanner wär auch keine vergebliche Liebesmühe! Gruß cacatoa
__________________ |
19.10.2004, 12:15 | #4 |
| Es öffnet sich oft "amateur.freegayspace.com/leetage/ov.html" Hallo, Lburg, Scheibenkleister, ich hab´was übersehen: Dein "C:\WINNT\System32\oqxnsy.exe" ist: W32/Sdbot.worm.gen.h Seit 08. September bietet Sophos dagegen einen Schutz (http://www.sophos.de/virusinfo/analyses/w32rbotju.html). Probiers bitte aus. cacatoa
__________________ Der Mensch sollte eine Hundeseele haben |
19.10.2004, 15:53 | #5 |
| Es öffnet sich oft "amateur.freegayspace.com/leetage/ov.html" Danke für die Hilfe! Es sieht gerade mal ganz gut aus. Neue Logfile: Logfile of HijackThis v1.97.7 Scan saved at 16:52:06, on 19.10.2004 Platform: Windows 2000 (WinNT 5.00.2195) MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\MSTask.exe C:\WINNT\Explorer.exe C:\WINNT\system32\ntvdm.exe C:\T-ONLINE\BSW4\ToDuCAlC.EXE C:\Programme\Spamihilator\spamihilator.exe C:\download\HijackThis.exe C:\Programme\Internet Explorer\IEXPLORE.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe" O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: AOL Instant Messenger (TM) (HKLM) O17 - HKLM\System\CCS\Services\Tcpip\..\{6619C101-9118-4F1E-A53A-FBF2A753AAC0}: NameServer = 217.237.151.225 217.237.150.225 Den letzten Eintrag versteh ich nicht. Ich hoffe, er wird nicht noch wehtun. Lieber Gruß!! |
19.10.2004, 17:10 | #6 |
| Es öffnet sich oft "amateur.freegayspace.com/leetage/ov.html" Poste mal ein Log mit der aktuellen Version von hijackthis http://www.trojaner-board.de/51130-a...ijackthis.html |
19.10.2004, 17:12 | #7 |
| Es öffnet sich oft "amateur.freegayspace.com/leetage/ov.html" Und patche vor allem auch dein System: Platform: Windows 2000 (WinNT 5.00.2195) MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000) wir sind inzwischen bei Servicepack 4, bei dir sehe ich noch gar keins. |
Themen zu Es öffnet sich oft "amateur.freegayspace.com/leetage/ov.html" |
ad-aware, bho, button, center, cookie, download, ergebnis, explorer, folge, hijack, hijackthis, internet, internet explorer, messenger, microsoft, probleme, programme, seite, selbsttätig, software, system, system32, tcpip, windows, öffnen, öffnet |