Hallo,

nachdem ich gestern schon Probleme hatte und ich nicht mal mehr das T-Online-Startcenter öffnen konnte, habe ich nun Windows2000 nochmals aufgespielt.

Dennoch folgendes Problem:

Beim IE-Start öffnet sich oft, fast immer die Seite: amateur.freegayspace.com/leetage/ov.html

Auch während des Rumsurfens hat sie sich schon selbsttätig geöffnet.
Manchmal schlägt Ad-Aware wegen Cookie an. Search+Destroy fand irgendwas mit Alexa. Doch mittlerweile auch nicht mehr.

Hier das Ergebnis von HijackThis:

Logfile of HijackThis v1.97.7
Scan saved at 12:17:55, on 19.10.2004
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\Explorer.exe
C:\WINNT\System32\oqxnsy.exe
C:\WINNT\System32\mediaplayer32.exe
C:\Programme\Spamihilator\Spamihilator.exe
C:\WINNT\system32\ntvdm.exe
C:\T-ONLINE\BSW4\ToDuCAlC.EXE
C:\PROGRA~1\INTERN~1\IEXPLORE.EXE
C:\download\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Start Upping] mediaplayer32.exe
O4 - HKLM\..\Run: [Windows Compliant] oqxnsy.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\RunServices: [Start Upping] mediaplayer32.exe
O4 - HKLM\..\RunServices: [Windows Compliant] oqxnsy.exe
O4 - HKCU\..\Run: [Start Upping] mediaplayer32.exe
O4 - HKCU\..\Run: [Windows Compliant] oqxnsy.exe
O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\Spamihilator.exe"
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: AOL Instant Messenger (TM) (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\..\{6619C101-9118-4F1E-A53A-FBF2A753AAC0}: NameServer = 217.237.151.225 217.237.150.225

Weiß jemand Rat??

So, ich hab grade noch den neuesten Stinger durchgejagt und der meldet folgendes:

McAfee AVERT Stinger Version 2.4.1.0 built on Oct 14 2004

Copyright (C) 2004 Networks Associates Technology, Inc. All Rights Reserved.

Virus data file v1000 created on Oct 14 2004.

Ready to scan for 43 viruses, trojans and variants.



Scan initiated on Tue Oct 19 12:23:41 2004

C:\WINNT\System32\oqxnsy.exe

Found the W32/Sdbot.worm.gen.h virus !!!

C:\WINNT\System32\oqxnsy.exe could not be repaired.

C:\WINNT\System32\mediaplayer32.exe

Found the W32/Sdbot.worm virus !!!

C:\WINNT\System32\mediaplayer32.exe could not be repaired.

C:\WINNT\system32\lkoetw.exe

Found the W32/Sdbot.worm.gen.h virus !!!

C:\WINNT\system32\lkoetw.exe has been deleted.

C:\WINNT\system32\mediaplayer32.exe

Found the W32/Sdbot.worm virus !!!

C:\WINNT\system32\mediaplayer32.exe could not be repaired.

C:\WINNT\system32\oqxnsy.exe

Found the W32/Sdbot.worm.gen.h virus !!!

C:\WINNT\system32\oqxnsy.exe could not be repaired.

C:\WINNT\system32\TFTP1072

Found the W32/Sdbot.worm virus !!!

C:\WINNT\system32\TFTP1072 has been deleted.

C:\WINNT\system32\TFTP2228

Found the W32/Sdbot.worm virus !!!

C:\WINNT\system32\TFTP2228 has been deleted.

C:\WINNT\system32\TFTP2264

Found the W32/Sdbot.worm.gen.x virus !!!

C:\WINNT\system32\TFTP2264 has been deleted.

C:\WINNT\system32\TFTP2508

Found the W32/Sdbot.worm.gen.x virus !!!

C:\WINNT\system32\TFTP2508 has been deleted.

C:\WINNT\system32\TFTP972

Found the W32/Sdbot.worm.gen.x virus !!!

C:\WINNT\system32\TFTP972 has been deleted.

C:\WINNT\system32\winole.exe

Found the W32/Sdbot.worm.gen.h virus !!!

C:\WINNT\system32\winole.exe has been deleted.

C:\WINNT\system32\winupdate.exe

Found the W32/Sdbot.worm.gen.w virus !!!

C:\WINNT\system32\winupdate.exe has been deleted.

Number of clean files: 40317

Number of infected files: 12

Number of files deleted: 8

Hi, Lburg!
Du hast einen bei uns relativ seltenen Trojaner drauf, der mediaplayer32 heißt. Sinn von diesem Teil ist es, beim Öffnen der Startseite sofort zu verschiedenen "gay-sites" zu switchen. Den würde ich mal wie folgt vernichten:

Anleitung in deutsch:
http://board.gulli.com/thread/341586

Anleitung und Beschreibung in Englisch:
http://geocities.com/karlsson/mediaplayer_worm.html

Ansonsten im abgesicherten Modus folgendes fixen:
O4 - HKLM\..\Run: [Start Upping] mediaplayer32.exe
O4 - HKLM\..\Run: [Windows Compliant] oqxnsy.exe
O4 - HKLM\..\RunServices: [Start Upping] mediaplayer32.exe
O4 - HKLM\..\RunServices: [Windows Compliant] oqxnsy.exe
O4 - HKCU\..\Run: [Start Upping] mediaplayer32.exe
O4 - HKCU\..\Run: [Windows Compliant] oqxnsy.exe

Außerdem folgende Dateien löschen:
C:\WINNT\System32\mediaplayer32.exe
C:\WINNT\System32\oqxnsy.exe

Anschließend bitte ein neues Logfile posten.
Ein Virenscanner wär auch keine vergebliche Liebesmühe!
Gruß cacatoa

Hallo, Lburg,
Scheibenkleister, ich hab´was übersehen: Dein "C:\WINNT\System32\oqxnsy.exe" ist:

W32/Sdbot.worm.gen.h

Seit 08. September bietet Sophos dagegen einen Schutz (http://www.sophos.de/virusinfo/analyses/w32rbotju.html).
Probiers bitte aus.
cacatoa

Danke für die Hilfe!

Es sieht gerade mal ganz gut aus.

Neue Logfile:

Logfile of HijackThis v1.97.7
Scan saved at 16:52:06, on 19.10.2004
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\Explorer.exe
C:\WINNT\system32\ntvdm.exe
C:\T-ONLINE\BSW4\ToDuCAlC.EXE
C:\Programme\Spamihilator\spamihilator.exe
C:\download\HijackThis.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe"
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: AOL Instant Messenger (TM) (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\..\{6619C101-9118-4F1E-A53A-FBF2A753AAC0}: NameServer = 217.237.151.225 217.237.150.225

Den letzten Eintrag versteh ich nicht. Ich hoffe, er wird nicht noch wehtun.

Lieber Gruß!!

Poste mal ein Log mit der aktuellen Version von hijackthis http://www.trojaner-board.de/51130-a...ijackthis.html

Und patche vor allem auch dein System:

Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000)

wir sind inzwischen bei Servicepack 4, bei dir sehe ich noch gar keins.