Hi Leute,

habe jetzt schon alles probert! Kriege diese scheiß Weiterleitungen zu Werbefenstern und die automatische Öffnen dergleichen nicht in den Griff.

Habe schon 1 1/2 eScan durchlaufen lassen und alles manuelle im abgesicherten Modus gelöscht. (Da im normalen Modus die meisten Datein nicht zu löschen waren)

Hijackthis habe ich auch schon mehrfach benutzt, allerdings kommen gewisse einträge nach einer Zeit immer wieder zurück. Habe euch mal meinen Log gepostet, der aber eigentlich jetzt nach hijackthis.de clean ist.

Hier der Log:

Logfile of HijackThis v1.98.2
Scan saved at 14:15:46, on 26.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\mnmsrvc.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{17238201-8B9B-44C6-8D4B-7DAAB660EB51}: NameServer = 192.168.178.1,192.168.178.2
O17 - HKLM\System\CCS\Services\Tcpip\..\{A4DD41DC-366E-42C0-BEF4-DCD18CB5753E}: NameServer = 192.168.178.1,192.168.178.2
O17 - HKLM\System\CCS\Services\Tcpip\..\{DBBE4F15-CA6F-4CD3-A256-E5E525616DC7}: NameServer = 192.168.178.1,192.168.178.2
O17 - HKLM\System\CS1\Services\Tcpip\..\{17238201-8B9B-44C6-8D4B-7DAAB660EB51}: NameServer = 192.168.178.1,192.168.178.2

Spybot habe ich auch schon mehrmals benutzt. Der findet auch immer was - "repariert" das dann und dann scannst du nochmal und er findet immer noch was...

vielleicht hat ja jemand einen Tipp....

mfg sash

@smilysm

log ist unauffällig, d.h. nicht das eventuell nichts vorhanden ist.

mache bitte folgendes:
[1] Neueste Spybot Version installieren

Als erstes sollte man sich die neuste Version von Spybot installieren,
aktuell ist die Spybot 1.3.1TX.

Warum ist das so wichtig?
Einerseits gibt es natürlich Programmierfehler, andererseits entwickelt sich
auch die Spyware weiter und fordert somit zwangsläufig Neuererungen in der
Bekämpfung.


Fangen wir mal ganz von vorne an. (Der Weg zur TX-Version)

1. Man installiert erstmal die Spybot 1.3.
http://www.safer-networking.org/de/download/index.html

2. Nun läd man sich die Spybot 1.3.1TX herunter
http://www.safer-networking.org/files/spybotsd131tx.exe

Bei dem Download ("spybotsd131txt.exe") handelt es sich um ein
Installationsprogramm, welches das Hauptprogramm (.exe) ersetzt.

3. Nachdem die "spybotsd131tx.exe" heruntergeladen ist, muss man diese
einfach ausführen. Das Installationsprogramm fragt nach, wo sich Ihr bereits auf dem Computer bestehendes Spybot S&D - Verzeichnis
befindet. Prüft bitte nach, ob der angegebene Pfad korrekt ist.

Sollte die folgende Fehlermeldung erscheinen
================================================== ====
C:\Programme\spybot-search&destroy\spybotSD.exe
An error occurred while trying to replace the existing fiel:
deleteFile failed; code5.
Zugriff verweigert.
================================================== ====
laeuft noch das Hauptprogramm von Spybot im Hintergrund, und damit
kann das Installtionsprogramm die alte Datei nicht ueberschreiben, weil in
Benutzung ist.

4. Abschliessende Installation und starten von Spybot.

================================================

[2] Aktuelle Updates herunterladen

Hier gilt es eigentlich wie bei dem Hauptprogramm, man muss auf einem aktuellen Stand sein.

Sollte die folgende Fehlermeldung erscheinen
================================================
Englisch:

- Dialog: Warning
The external update application has been corrupted.
Please make sure you download the "Updater" update to replace it!

Dialog: Error
Cannot create file "C:\....\Spybot - Search und Destroy\Updates\downloaded.ini".
Das System kann den angegebenen Pfad nicht finden
================================================

wurde die Spybot 1.3.1TX nicht korrekt installiert (falsches Verzeichnis) .

Daher sollte man ab dem Punkt [1]-3 alles noch einmal wiederholen
und darauf achten den richtige Verzeichnis angegeben wird.

================================================

[3] Computer überprüfen

Dadurch wird nun im Spybot Report direkt das Ergebnis der Überprüfung mit
aufgeführt, was sehr hilfreich sein kann, wenn man sieht, was Spybot so
gefunden hat.

================================================

[4] Spybot report erstellen.

Ab der Spybot 1.3.1TX ist es jetzt möglich im Ausgabefenster direkt
mit der rechten Maustaste ein Spybot Report zu erstellen, ohne
Umständlich in den erweiterten Modus zu gehen.

Verdächtige URL/Dateien

Jeder Hinweis kann wichtig sein, ob Webadressen oder Datein. Damit das mit
den Datein etwas einfach geht haben wir auf die schnelle ein kleines Tool geschrieben "Suspicious File Packer".
http://www.safer-networking.org/de/tools/tools_ads.html


Suspicious File Packer
Wenn Ihr z.B. ein HijackerThis Logfile habt, braucht Ihr nur den Pfad rauskopieren und in das Eingabefenster von "Suspicious File Packer" zu kopieren.
Also
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

Einfach C:\WINDOWS\System32\msdxm.ocx

Habt Ihr alle Datein die Ihr uns schicken möchtet eintragen, braucht Ihr nur
noch auf den Button zu drücken und auf dem Desktop taucht dann eine result-Datei auf.

Selbiges gilt fuer ein Spybot Report
Path: C:\winnt\Downloaded Program Files\
Long name: Si.dll

muss man nur C:\winnt\Downloaded Program Files\Si.dll eintragen.

Suspicious File Locator

War anfänglich zum auffinden neuer CoolWWWSearch DLLs gedacht, wurde aber um die Funktion erweitert, ADS Streams zu durchsuchen (interessierte seinen auf http://www.heise.de/security/artikel/52139 verwiesen).
Führt das Programm aus, drückt die rechte Maustaste auf dem "Scan"-Button und wählt "Scan ADS" aus, falls etwas gefunden wird, wird eine "suspicious-file-ads.cab" auf dem Desktop abgelegt.

Hinweis : Auch normale Programme legen in diesem ADS Bereich Informationen ab, also nicht erschrecken, wenn etwas gefunden wird.


[5] Betreff+Problembeschreibung bei eMails

Man sollte etwas sinnvolles im Betreff schreiben und am Ende " -TBOARD "
anfügen. Weiter eine kurze Beschreibung des Problems, damit wir in etwa
sehen können wonach wir suchen müssten. Gegebenfalls noch zusätzlich
den Link auf den Thread hier von Euch.

Jetzt schnell den Spybot Report und vielleicht noch die Datein an die eMail anfügen und ab an detections@spybot.info

lade dir noch von www.clearprog.de clearprog, dann laufen lassen. es löscht deine TIF's
chaosman

[QUOTE=smilysm]Hi Leute,

habe jetzt schon alles probert! Kriege diese scheiß Weiterleitungen zu Werbefenstern und die automatische Öffnen dergleichen nicht in den Griff.

Habe schon 1 1/2 eScan durchlaufen lassen und alles manuelle im abgesicherten Modus gelöscht. (Da im normalen Modus die meisten Datein nicht zu löschen waren)

Hijackthis habe ich auch schon mehrfach benutzt, allerdings kommen gewisse einträge nach einer Zeit immer wieder zurück. Habe euch mal meinen Log gepostet, der aber eigentlich jetzt nach hijackthis.de clean ist.

Hier der Log:

Logfile of HijackThis v1.98.2
Scan saved at 14:15:46, on 26.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\mnmsrvc.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{17238201-8B9B-44C6-8D4B-7DAAB660EB51}: NameServer = 192.168.178.1,192.168.178.2
O17 - HKLM\System\CCS\Services\Tcpip\..\{A4DD41DC-366E-42C0-BEF4-DCD18CB5753E}: NameServer = 192.168.178.1,192.168.178.2
O17 - HKLM\System\CCS\Services\Tcpip\..\{DBBE4F15-CA6F-4CD3-A256-E5E525616DC7}: NameServer = 192.168.178.1,192.168.178.2
O17 - HKLM\System\CS1\Services\Tcpip\..\{17238201-8B9B-44C6-8D4B-7DAAB660EB51}: NameServer = 192.168.178.1,192.168.178.2

Spybot habe ich auch schon mehrmals benutzt. Der findet auch immer was - "repariert" das dann und dann scannst du nochmal und er findet immer noch was...

vielleicht hat ja jemand einen Tipp....

mfg sash

PS: hier ein paar URLs, die immer auftauchen:

http://adv1.eblocs.com/spyblocs/adv/admed_006.html
http://69.20.56.3/yyy6.html
http://69.20.61.245/info@nictechnetw...ad-armorie.htm

Hallo smilysm,

beachte bitte, dass Du bei WindowsXP alles was Du entfernst, im abgesicherten Modus, bei deaktivierter Systemwiederherstellung machen musst! Nach dem löschen in den normalen Modus booten und die Systemwiederherstellung aktivieren.

Besuche bitte diese Seite: Vorbeugung und lade Dir dort das Tool "Browser Hijack Blaster 1.0" runter, denk auch an einen Browserwechsel. "SpywareBlaster" ist ebenfalls sehr zu empfehlen: am besten läßt Du alle Häk'chen angefinkt und erstellst damit jedesmal, bevor Du online gehst, den Schutz für den/die Browser. Tägliches Updaten online nicht vergessen!

Teile uns mit, ob der Einsatz der nun verwendeten Programme zu einem Erfolg geführt hat.

SD

hi,

kann mir die Syp BOt TC nicht runterladen und finde den auch nicht...

mfg sash

Die Version ist momentan nicht verfügbar und vom Server genommen worden.

danke für die vielen Tipps.

1. ich brauche den IE, weil ich damit meine Windoof-Updates mache und auch sonst reicht mir der eigentlich...hatte alle andere Browser schon drauf, aber die gefallen mir nicht so

2. schade, dass es die TX Version im Moment nicht gibt

3. habe das Browser Hijack Blaster 1.0

glaube aber nicht, dass sich jetzt keine Werbefenster mehr öffnen.

hier nochmal mein Log:

kriege die fettgedrucken Zeilen einfach nicht weg - da kann ich "fixen" soviel ich will. Nach jedem Neustart ist der scheiß wieder da...


Logfile of HijackThis v1.98.2
Scan saved at 16:48:52, on 27.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
E:\D\Programme\eMule.de\emule.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{17238201-8B9B-44C6-8D4B-7DAAB660EB51}: NameServer = 192.168.178.1,192.168.178.2
O17 - HKLM\System\CCS\Services\Tcpip\..\{A4DD41DC-366E-42C0-BEF4-DCD18CB5753E}: NameServer = 192.168.178.1,192.168.178.2
O17 - HKLM\System\CCS\Services\Tcpip\..\{DBBE4F15-CA6F-4CD3-A256-E5E525616DC7}: NameServer = 192.168.178.1,192.168.178.2
O17 - HKLM\System\CS1\Services\Tcpip\..\{17238201-8B9B-44C6-8D4B-7DAAB660EB51}: NameServer = 192.168.178.1,192.168.178.2