Brauch mal dringend Hilfe!

millennia100 · 30.10.2004, 22:01

Hi.

Ich hab seit ungefähr einer Woche ein Virus, dem ich einfach nicht bei komme. Ich kann versuchen was ich will...

Es handelt sich um folgendes:

1. Die Startseite meines IE6.0 (Ja, ich bin mir darüber im Klaren, das es andere Browser gibt, aber ich möchte nicht auf den IE verzichten) ändert sich (auch ohne neustart) nach jeder meiner Änderung in die Seite "about:blank", was aber nicht die wirkliche "about:blank" ist, sonder etwas mit der Seite "fastsearchweb.com" zu tun haben muss. Das ist seit ein paar Tagen der Fall. Vorher war die Startseite nach jedem Neustart "www.smile-x.com" - eine Porno-Seite, deren Anzahl sich ja leider jeden Tag zu quadrieren scheint.

2. Mein Rechner (oder das Virus) meint ab und an, dass ich irgendeine Casino-Seite unbedingt öffter sehen sollte. Die wird einfach so geladen, sogar ohne das ich den IE geöffnet habe.

3. Es meldet sich öffters mal die (angebliche) "Windows File Protection" um mir folgendes zu sagen:
"Windows detects that this computer is infected
with a spyware called "SubSearch", "MoneyTree", "Aorum",
"Win32/Aspam.Trojan"!

Spyware is software that displays unwanted advertising
and records your communicatoion.
Would you like to find outhow spyware removal software
can protect your privacy and boost system performance?"
Antwortmöglichkeiten: Yes - No
Die angegebenen Viren die sie angeblich entdeckt hat ändern sich von Nachricht zu Nachricht immer. Würde ich auf "Yes" klicken werde ich zu Seite "http://www.findspyware.net/freescan.php" oder "http://www.v5msn.com/search.php?q=spyware&said=2222" geführt, bei No passiert nichts.

4. Der seltenste Fall ist das sich einfach mein IE öffnet um mir die eben genannte Seite auch ohne Aufforderung zu zeigen.

Ich bin mit folgenden Programmen vorgegangen, habe mich aber leider vergeblich bemüht:
Anti-Vir Personal Edition (aktuellste Version)
Ad-Aware (aktuellste Version)
Ewido Security Suite (aktuellste Version)

Da ich mich mit HijackThis nicht auskenne: Hier die Liste:

Logfile of HijackThis v1.98.2
Scan saved at 22:43:01, on 30.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\MOUSE\mouse32a.exe
C:\Programme\D-Tools\daemon.exe
C:\WINDOWS\webshots.scr
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\servises.exe
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\AVPersonal\AVGNT.EXE
E:\PROGRA~1\PERSON~1\MpfTray.exe
E:\PROGRA~1\PERSON~1\MPFAGENT.EXE
E:\PROGRA~1\PERSON~1\MPFSERVICE.exe
C:\Programme\AVPersonal\AVGUARD.EXE
E:\Programme\winRAR\WinRAR.exe
C:\DOKUME~1\EVA~1.KAN\LOKALE~1\Temp\Rar$EX00.757\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\rpcnt4.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\rpcnt4.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\rpcnt4.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\rpcnt4.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\rpcnt4.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\rpcnt4.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.web.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\WINDOWS\System32\msacmx.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: (no name) - {F7F7CFFE-58C6-4B79-9264-CCB8E32579DC} - C:\WINDOWS\System32\rpcnt4.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\MOUSE\mouse32a.exe
O4 - HKLM\..\Run: [MPFExe] E:\PROGRA~1\PERSON~1\MPFTRAY.EXE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - Startup: WEBSHOTS.lnk = C:\Programme\Webshots\Launcher.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - E:\PROGRA~1\MESSEN~1\2\YPAGER.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - E:\PROGRA~1\MESSEN~1\2\YPAGER.EXE
O16 - DPF: JT's Blocks - http://download.games.yahoo.com/game...s/y/blt1_x.cab
O16 - DPF: Yahoo! Literati - http://download.games.yahoo.com/game...ts/y/tt2_x.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache...tup1.0.0.8.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-12.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/106abb0d...dxIE601_de.cab
O16 - DPF: {5D9E4B6D-CD17-4D85-99D4-6A52B394EC3B} (WSDownloader Control) - http://www.webshots.com/samplers/WSDownloader.ocx
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1099057438911
O18 - Filter: text/html - {99A6EB9B-0CD1-45B8-B1CA-1E55EABA0E50} - C:\WINDOWS\System32\rpcnt4.dll
O18 - Filter: text/plain - {99A6EB9B-0CD1-45B8-B1CA-1E55EABA0E50} - C:\WINDOWS\System32\rpcnt4.dll

------------------------------------------------
Ich brauche unbedingt Hilfe bei der Sache.
Ich danke schonmal im Vorraus.
Bis dahin:

Und mit meinem Rechner mach ich der weilen das:

Brauch mal dringend Hilfe!

Log-Analyse und Auswertung: Brauch mal dringend Hilfe!

Brauch mal dringend Hilfe!

Ähnliche Themen: Brauch mal dringend Hilfe!