Hallo.

Lob an euch gleich einmal als erstes!!!!!!

Noch was, ich kenne mich einwenig mit PC aus, bin aber kein Profi! Also bitte ich gleich um Verzeihung, sollte ich einen Fehler machen.

Habe mich schon einwenig in das Thema eingelesen (natürlich hier!!! ), und nun zu meinen Problemen!

Mir wurde meine Startseite verstellt. Ich komme immer auf " www.iwantsearch.com ". einfach umstellen geht leider nicht (in den Optionen) daher habe ich mich bei euch informiert.



Ich habe also als erstes im abgesicherten Modus einen "eScan" durchgeführt und die infizierten Dateien gelöscht.

Als nächstes habe ich ein HijackThis - file erstellt.


Logfile of HijackThis v1.98.2
Scan saved at 14:50:03, on 22.10.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\MSI\Bluetooth Software\bin\btwdins.exe
c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
C:\WINDOWS\system32\svchost.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\ahead\InCD\InCD.exe
C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\PROGRA~1\mcafee.com\agent\mcupdate.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\MSI\Bluetooth Software\BTTray.exe
C:\Programme\Palm\HOTSYNC.EXE
C:\Program Files\Iomega\Tools_NT\IMGICON.EXE
C:\Programme\Plextor\PlexTool.exe
C:\Programme\SECRETMAKER\secretmaker.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\Dokumente und Einstellungen\XXXXX\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.couldnotfind.com/search_p...ount_id=134168
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.couldnotfind.com/search_p...ount_id=134168
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.iwantsearch.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_p...ount_id=134168
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.gmx.at/
R3 - URLSearchHook: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - C:\WINDOWS\Downloaded Program Files\rundlg32.dll (file missing)
O2 - BHO: biObj Class - {000006B1-19B5-414A-849F-2A3C64AE6939} - C:\WINDOWS\bi.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - C:\WINDOWS\Downloaded Program Files\rundlg32.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: IE Search Bar - {71ED4FBA-4024-4bbe-91DC-9704C93F453E} - c:\progra~1\iesearchbar\iesearchbar.dll (file missing)
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: HotSync Manager.lnk = C:\Programme\Palm\HOTSYNC.EXE
O4 - Global Startup: Iomega Icons.lnk = ?
O4 - Global Startup: Iomega Startup Options.lnk = C:\Program Files\Iomega\Tools_NT\startnt.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: PlexTools.lnk = C:\Programme\Plextor\PlexTool.exe
O4 - Global Startup: Refresh.lnk = C:\Program Files\Iomega\Tools_NT\refresh.exe
O4 - Global Startup: SECRETMAKER.lnk = C:\Programme\SECRETMAKER\secretmaker.exe
O8 - Extra context menu item: Send To &Bluetooth - C:\Programme\MSI\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\MSI\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\MSI\Bluetooth Software\btsendto_ie.htm
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} (Moniker32 Class) - http://63.219.181.7/cax.cab
O16 - DPF: {037B3D58-D14A-4C41-BDFD-BD779B0B97BA} (vxiewer control) - http://www.thepaymentcentre.com/build/vxiewer.cab
O16 - DPF: {0873478E-E67A-4876-B0A9-9A36D3AB3602} (vviewer control) - http://www.thepaymentcentre.com/build/vviewer.cab
O16 - DPF: {11111111-1111-1111-1111-111111111111} - mhtml:file://C:NXSFT.MHT!http://67.19.99.158:80/iex/ofile.exe...0/rdgAT870.exe
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://213.159.117.131/dl/adv89/x.chm::/load.exe
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://c:\nosuch.mht!http://www.awmdabest.com/bltd/114.chm::/file.exe
O16 - DPF: {42F2D240-B23C-11D6-8C73-70A05DC10000} - http://63.217.31.12/dial4/058729as.exe
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-12.cab
O16 - DPF: {AD7FAFB0-16D6-40C3-AF27-585D6E6453FD} - http://dload.ipbill.com/del/loader.cab
O16 - DPF: {EFB22865-F3BC-4309-ADFA-C8E078A7F762} (SysWebTelecomInt Class) - http://www.sponsoradulto.com/en/SysWebTelecom.cab
O16 - DPF: {F57D17AE-CE37-4BC8-B232-EA57747BE5E7} - http://www.real-euros.com/EPlugin_AT.cab
O16 - DPF: {FC87A650-207D-4392-A6A1-82ADBC56FA64} (MultiDist) - http://xbs.mtree.com/mt/dialers/fc/MultiDistFC.CAB
O21 - SSODL: System - {9FB7636B-F870-4DD9-B484-640198F2DAAB} - C:\WINDOWS\system32\system32.dll






Jetzt allerdings brauche ich aber eure Hilfe, Bitte. Danke!


Welche davon muss ich "fixen"???




Ich habe auch gelesen, dass man einen Benutzer mit eingeschränkten Rechten erstellen soll. Das werde ich in der zwischenzeit erledigen, bis ich eine Antwort habe.

Weiters würde ich euch bitten, mir einige Alternativen zu IE zu sagen. Vielleicht könnt Ihr mir auch Vor- und Nachteile von diesen Programmen hier Posten, das hat mir bisher hier noch gefehlt.


Ich hoffe ich habe euch alle Infos gegeben, die Ihr braucht, um mir zu helfen. Wenn nicht, bitte posten, und ich werde es so schnell wie möglich hereinstellen.



Nochmals schon DANKE im voraus.

mfg Johann

Hallo,

bevor du dich ans Werk machst, solltest du zuerst dein System updaten/patchen und deine NT-Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org.
Danach kann man über eine Bereinigung nachdenken.

Zitat:

Weiters würde ich euch bitten, mir einige Alternativen zu IE zu sagen.

Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/

Zitat:

Ist Firefox sicherer als der Internet Explorer?
Ja, Firefox ist deutlich sicherer als der Internet Explorer. Hierfür gibt es einige Gründe:

* Er ist nicht an betriebssystemnahe Komponenten gebunden, wodurch ihr Betriebssystem nicht betroffen ist, sollte es jemand schaffen Firefox zu hacken.
* Weder VBScript noch ActiveX werden in der Standardkonfiguration unterstützt. Diese Technologien sind risikoreich, da sie einen Zugriff auf das System ermöglichen.
* Programme werden immer erst nach Bestätigung des Benutzer installiert bzw. ausgeführt.
* Sie haben die komplette Kontrolle über Cookies und andere persönliche Informationen, die über das Internet gesendet werden.

Quelle: http://mozilla.bric.de/wiki/index.ph...stellte_Fragen

Hallo

Benutzer (eingeschränkt) ist erstellt.

Konfiguriert, wie es der Link beschreibt.

Mit dem Update bin ich mir nicht sicher. Ich habe XP, diese aber von einem Freund (Illegal?!?) kann ich das dann trotzdem herunterladen? Beim nächsten PC kommt eine legale Version drauf! Will keine solchen bedenken mehr haben! Habe mir auch schon MCAFEE Virus und Firewall gekauft!

Wie gehts jetzt weiter?

Gibt es FIREFOX auch auf Deutsch?

Danke für die schnelle Hilfe.

mfg Johann

Hallo ViperMX5

Zitat:

Zitat von ViperMX5

Mit dem Update bin ich mir nicht sicher. Ich habe XP, diese aber von einem Freund (Illegal?!?) kann ich das dann trotzdem herunterladen?

Die Updates und Patches kannst Du machen. Du kannst aber keine Service Packs runterladen.

Zitat:

Zitat von ViperMX5

Habe mir auch schon MCAFEE Virus und Firewall gekauft!

Die Meinung, dass eine Firewall einen Nutzen habe, ist zwar weit verbreitet, aber leider falsch: siehe Firewall-Rubrik.

Zitat:

Zitat von ViperMX5

Gibt es FIREFOX auch auf Deutsch?

Firefox auf deutsch.

===>bitte Reihenfolge beachten<===

überprüfe mit dem online-scan von Kaspersky:

C:\Programme\Plextor\PlexTool.exe
C:\Programme\SECRETMAKER\secretmaker.exe

Teile uns das Ergebnis der Überprüfung mit. Sende diese Dateien passwortgeschützt an partytime-germany.ice@web.de, mit Verweis auf diesen Thread (Forschungszweck).

===>2<===

Arbeite nun zuallererst (!) bitte das Tutorial der Spybot-Forschung Punkt für Punkt durch, überprüfe den Rechner mit Spybot 1.3.1TX, lasse bestehende Probleme beheben. Erstelle einen Spybot-Report und sende ihn an detections@spybot.info, mit dem Betreff "iwantsearch.com-TBOARD" und Hinweis auf diesen Thread. (Nicht im Forum posten, da zwecklos!)

===>3<===

Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe dann mit Hijack This (Häkchen setzen und fix checked klicken):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.couldnotfind.com/search_...count_id=134168
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.couldnotfind.com/search_...count_id=134168
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_...count_id=134168
R3 - URLSearchHook: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - C:\WINDOWS\Downloaded Program Files\rundlg32.dll (file missing)
O2 - BHO: biObj Class - {000006B1-19B5-414A-849F-2A3C64AE6939} - C:\WINDOWS\bi.dll (file missing)
O2 - BHO: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - C:\WINDOWS\Downloaded Program Files\rundlg32.dll (file missing)
O3 - Toolbar: IE Search Bar - {71ED4FBA-4024-4bbe-91DC-9704C93F453E} - c:\progra~1\iesearchbar\iesearchbar.dll (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} (Moniker32 Class) - http://63.219.181.7/cax.cab
O16 - DPF: {037B3D58-D14A-4C41-BDFD-BD779B0B97BA} (vxiewer control) - http://www.thepaymentcentre.com/build/vxiewer.cab
O21 - SSODL: System - {9FB7636B-F870-4DD9-B484-640198F2DAAB} - C:\WINDOWS\system32\system32.dll

wenn Du diese Einträge nicht kennst/ nicht brauchst, bitte fixen:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.iwantsearch.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.gmx.at/
O16 - DPF: {0873478E-E67A-4876-B0A9-9A36D3AB3602} (vviewer control) - http://www.thepaymentcentre.com/build/vviewer.cab
O16 - DPF: {11111111-1111-1111-1111-111111111111} - mhtml:file://C:NXSFT.MHT!http://67.19.99.158:80/iex/ofile.ex...80/rdgAT870.exe
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://213.159.117.131/dl/adv89/x.chm::/load.e xev
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://c:\nosuch.mht!http://www.awmdabest.com/bltd/114.chm::/file.e xe
O16 - DPF: {AD7FAFB0-16D6-40C3-AF27-585D6E6453FD} - http://dload.ipbill.com/del/loader.cab
O16 - DPF: {EFB22865-F3BC-4309-ADFA-C8E078A7F762} (SysWebTelecomInt Class) - http://www.sponsoradulto.com/en/SysWebTelecom.cab
O16 - DPF: {F57D17AE-CE37-4BC8-B232-EA57747BE5E7} - http://www.real-euros.com/EPlugin_AT.cab

Dialer bitte vor dem fixen auf Diskette sichern (Dialer-Hinweis):

O16 - DPF: {42F2D240-B23C-11D6-8C73-70A05DC10000} - http://63.217.31.12/dial4/058729as.exe
O16 - DPF: {FC87A650-207D-4392-A6A1-82ADBC56FA64} (MultiDist) - http://xbs.mtree.com/mt/dialers/fc/MultiDistFC.CAB

Boote in den normalen Modus. Aktiviere die Systemwiederherstellung.

===>4<===

Downloade das Clear Prog, leere damit die Ordner TEMP, Temporary Internet Files, Cookies und den Verlauf.

===>5<===

Lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus.

Beachte bitte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht löscht.

"Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre) Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden. Erstelle ein neues Hijack This Logfile und poste es.

SD

Hallo,
kurzer Zwischenbericht:

Ergebnis der zwei Dateien:

Zu überprüfende Datei: 2Dateien.zip
2Dateien.zip Archive: ZIP
2Dateien.zip/PlexTool.exe Ok
2Dateien.zip/secretmaker.exe Ok
2Dateien.zip Ok

Statistiken:
Bekannte Viren: 102099
Updated: 23-10-2004
Größe der Datei (Kb): 630
Viren-Korpus: 0
Datei: 4
Warnungen: 0
Archive: 1
Verdächtigt: 0


Mail habe ich auch schon verschickt.

Update und Spybot lade ich mir am Montag herunter (in meiner Firma, da ich zuhause nur telephonanschluss habe! im schnitt 3,5 - 5kbit/s beim Download)
Werde mich danach wieder melden.


Danke schon mal für die Hilfe!!!!
mfg Johann