Brauch mal dringend Hilfe!

millennia100 · 30.10.2004, 22:01

Hi.

Ich hab seit ungefähr einer Woche ein Virus, dem ich einfach nicht bei komme. Ich kann versuchen was ich will...

Es handelt sich um folgendes:

1. Die Startseite meines IE6.0 (Ja, ich bin mir darüber im Klaren, das es andere Browser gibt, aber ich möchte nicht auf den IE verzichten) ändert sich (auch ohne neustart) nach jeder meiner Änderung in die Seite "about:blank", was aber nicht die wirkliche "about:blank" ist, sonder etwas mit der Seite "fastsearchweb.com" zu tun haben muss. Das ist seit ein paar Tagen der Fall. Vorher war die Startseite nach jedem Neustart "www.smile-x.com" - eine Porno-Seite, deren Anzahl sich ja leider jeden Tag zu quadrieren scheint.

2. Mein Rechner (oder das Virus) meint ab und an, dass ich irgendeine Casino-Seite unbedingt öffter sehen sollte. Die wird einfach so geladen, sogar ohne das ich den IE geöffnet habe.

3. Es meldet sich öffters mal die (angebliche) "Windows File Protection" um mir folgendes zu sagen:
"Windows detects that this computer is infected
with a spyware called "SubSearch", "MoneyTree", "Aorum",
"Win32/Aspam.Trojan"!

Spyware is software that displays unwanted advertising
and records your communicatoion.
Would you like to find outhow spyware removal software
can protect your privacy and boost system performance?"
Antwortmöglichkeiten: Yes - No
Die angegebenen Viren die sie angeblich entdeckt hat ändern sich von Nachricht zu Nachricht immer. Würde ich auf "Yes" klicken werde ich zu Seite "http://www.findspyware.net/freescan.php" oder "http://www.v5msn.com/search.php?q=spyware&said=2222" geführt, bei No passiert nichts.

4. Der seltenste Fall ist das sich einfach mein IE öffnet um mir die eben genannte Seite auch ohne Aufforderung zu zeigen.

Ich bin mit folgenden Programmen vorgegangen, habe mich aber leider vergeblich bemüht:
Anti-Vir Personal Edition (aktuellste Version)
Ad-Aware (aktuellste Version)
Ewido Security Suite (aktuellste Version)

Da ich mich mit HijackThis nicht auskenne: Hier die Liste:

Logfile of HijackThis v1.98.2
Scan saved at 22:43:01, on 30.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\MOUSE\mouse32a.exe
C:\Programme\D-Tools\daemon.exe
C:\WINDOWS\webshots.scr
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\servises.exe
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\AVPersonal\AVGNT.EXE
E:\PROGRA~1\PERSON~1\MpfTray.exe
E:\PROGRA~1\PERSON~1\MPFAGENT.EXE
E:\PROGRA~1\PERSON~1\MPFSERVICE.exe
C:\Programme\AVPersonal\AVGUARD.EXE
E:\Programme\winRAR\WinRAR.exe
C:\DOKUME~1\EVA~1.KAN\LOKALE~1\Temp\Rar$EX00.757\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\rpcnt4.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\rpcnt4.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\rpcnt4.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\rpcnt4.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\rpcnt4.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\rpcnt4.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.web.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\WINDOWS\System32\msacmx.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: (no name) - {F7F7CFFE-58C6-4B79-9264-CCB8E32579DC} - C:\WINDOWS\System32\rpcnt4.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\MOUSE\mouse32a.exe
O4 - HKLM\..\Run: [MPFExe] E:\PROGRA~1\PERSON~1\MPFTRAY.EXE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - Startup: WEBSHOTS.lnk = C:\Programme\Webshots\Launcher.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - E:\PROGRA~1\MESSEN~1\2\YPAGER.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - E:\PROGRA~1\MESSEN~1\2\YPAGER.EXE
O16 - DPF: JT's Blocks - http://download.games.yahoo.com/game...s/y/blt1_x.cab
O16 - DPF: Yahoo! Literati - http://download.games.yahoo.com/game...ts/y/tt2_x.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache...tup1.0.0.8.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-12.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/106abb0d...dxIE601_de.cab
O16 - DPF: {5D9E4B6D-CD17-4D85-99D4-6A52B394EC3B} (WSDownloader Control) - http://www.webshots.com/samplers/WSDownloader.ocx
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1099057438911
O18 - Filter: text/html - {99A6EB9B-0CD1-45B8-B1CA-1E55EABA0E50} - C:\WINDOWS\System32\rpcnt4.dll
O18 - Filter: text/plain - {99A6EB9B-0CD1-45B8-B1CA-1E55EABA0E50} - C:\WINDOWS\System32\rpcnt4.dll

------------------------------------------------
Ich brauche unbedingt Hilfe bei der Sache.
Ich danke schonmal im Vorraus.
Bis dahin:

Und mit meinem Rechner mach ich der weilen das:

FancyAndy · 31.10.2004, 03:59

Herzlich Willkommen in der Welt der Unsicheren Seiten,

alles was ich Dir nun an den Kopf werfe BITTE im ABGESICHERTEN Modus machen, Danke für die Aufmerksamkeit und deaktiviere die SYSTEMWIEDERHERSTELLUNG

Man nehme HJT, und Scanne dann schmeiße man Folgende EInträge RAUS :

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\rpcnt4.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\rpcnt4.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\rpcnt4.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\rpcnt4.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\rpcnt4.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\rpcnt4.dll/sp.html (obfuscated)

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocach...etup1.0.0.8.cab

O2 - BHO: (no name) - {F7F7CFFE-58C6-4B79-9264-CCB8E32579DC} - C:\WINDOWS\System32\rpcnt4.dll

O18 - Filter: text/html - {99A6EB9B-0CD1-45B8-B1CA-1E55EABA0E50} - C:\WINDOWS\System32\rpcnt4.dll
O18 - Filter: text/plain - {99A6EB9B-0CD1-45B8-B1CA-1E55EABA0E50} - C:\WINDOWS\System32\rpcnt4.dll

Anschleißend suche Dir eScan raus, Update und scanne (der geneigte Leser kann via Suchfunktion des Forums herausfinden wie das mit eScan funzt).
Du solltest dann das was Virusmässig markiert ist, LÖSCHEN.

Poste danach NOCHMAL Dein Log hier damit wir sehen ob alles weg ist.

Hoffe wir konnten helfen.

Gruß
Andy

millennia100 · 31.10.2004, 14:11

Hier ist jetzt der aktuelle HiJack-Log.

Logfile of HijackThis v1.98.2
Scan saved at 14:07:06, on 31.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\MOUSE\mouse32a.exe
E:\PROGRA~1\PERSON~1\MPFTRAY.EXE
C:\Programme\D-Tools\daemon.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\webshots.scr
E:\PROGRA~1\PERSON~1\MPFAGENT.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\ewido\security suite\ewidoctrl.exe
E:\PROGRA~1\PERSON~1\MPFSERVICE.exe
C:\WINDOWS\System32\wuauclt.exe
E:\Sicherheit\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.web.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\MOUSE\mouse32a.exe
O4 - HKLM\..\Run: [MPFExe] E:\PROGRA~1\PERSON~1\MPFTRAY.EXE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - Startup: WEBSHOTS.lnk = C:\Programme\Webshots\Launcher.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - E:\PROGRA~1\MESSEN~1\2\YPAGER.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - E:\PROGRA~1\MESSEN~1\2\YPAGER.EXE
O16 - DPF: JT's Blocks - http://download.games.yahoo.com/game...s/y/blt1_x.cab
O16 - DPF: Yahoo! Literati - http://download.games.yahoo.com/game...ts/y/tt2_x.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-12.cab
O16 - DPF: {5D9E4B6D-CD17-4D85-99D4-6A52B394EC3B} (WSDownloader Control) - http://www.webshots.com/samplers/WSDownloader.ocx
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1099057438911

Danke für die hilfe. Soweit ich das deuten kann ist jetzt alles clean.
Ich war aber echt überrascht, das eScan mehr Viren findet als das Anti-Vir Personal. Auf das Programm hab ich bisher immer vertraut, aber ich wurde nun eines bsseren belehrt.
Sollte ich noch etwas fixen bitte unbedingt bescheid sagen. DANKE.

FancyAndy · 31.10.2004, 14:24

Tröööt

Sieht wieder alles ok aus

Hoffe wir konnten helfen

Wenn noch Fragen sind, immer her damit

Gruß
~Andy~

cacatoa · 31.10.2004, 14:29

@ millenia100:
Und was ist mit updaten (empfohlen in post Nr. 2 von FancyAndy)?

FancyAndy · 31.10.2004, 14:32

Winke

Bitte XP auf SP2 Updaten !!! Schau nach ob Du denn IE ebenfalls Updaten kannst.

Und Du solltest eScan auch geupdated haben wie ich es reingeschrieben habe.

Das kurzerhand dazu.

Mögest Du von Malware udn Co. verschont bleiben

Amen

Gruß
Andy

Brauch mal dringend Hilfe!

Log-Analyse und Auswertung: Brauch mal dringend Hilfe!