Werde den S..kerl nicht los!
 

Hallo !
ich kann seit etwa 1 Woche Micorsoft.de bzw. Microsoft.com nicht erreichen.
Es wird bei Aufruf dieser Seiten eine Suchseite angezeigt, die sich als MSN-Suchseite ausgibt. Links verweisen aber auf Search.findwhatevernow.com.
Nachdem ich Euer Forum ausgiebig studiert habe, habe ich ESCAN im abgesicherten Modus durchgeführt. Der hat auch prompt 8 Viren bzw. kritische Anwendungen gefunden.
Nach Neustart besteht das Problem immer noch.
Daraufhin habe HijackThis laufen lassen.
Die Logs habe ich angefügt.

Was kann ich noch tun?
Über Microsoft.at komme ich an alle Windows-Seiten, die nicht unmittelbar mit Micorsoft.Com beginnen. Ausnahme ist leider die Update-Seite V4.Microsoft.com....

Log von ESCAN und HiJackThis: siehe Anhänge

mfg. MarcelD

Hallo MarcelD,

zunächst willkommen am Trojaner Board.

Wenn Du den IE nicht unbedingt brauchst, könntest Du Dir einen Browserwechsel
(http://www.trojaner-info.de/hijacker/vorbeugung.shtml) überlegen. Es gibt Browser, die genauso schnell, aber wesentlich sicherer als der IE sind. Schau Dich doch bitte mal auf der verlinkten Seite um. Es wäre auf jeden Fall zunächst eine Hilfe für Dich, damit Du die Patches aufspielen kannst.

Viel Erfolg!
SD

Hallo Marcel
Hatte ein ähnliches Problem und zudem noch den Backdoor.agent.b. Nach all den Anweisungen hier im Board hab ich auch das gemacht was du gemacht hast, aber, mein PC lief am Schluss nicht mehr. Er hat sich, sobald ich einloggte, selber wieder abgemolden. Naja half alles nix mehr, hab dann ein Format:\c gemacht und alles neu installiert und jetzt hab ich RUHE!
Ist das schön...

P.S. Die Frage ist nur wie lange!

Übrigens ging die Neuinstallation schneller als das suchen, löschen, downloaden, ärgern und fluchen das alles nichts nützt.
Kleiner Tipp: Partitioniere dein Laufwerk in verschiedene Laufwerke damit du nicht alles verlierst und neuinstallieren musst bei einer Formatierung von C:\

MfG
Marcel alias Cellobello

Habe immer noch die gleichen Probleme: Kein Microsoft.com, kein Micorsoft-Update, kein MSN, Yahoo-Mail mit Anzeigefehlern (keine JPG) usw.
Hier mein aktuelles Log. Wäre nett, wenn Ihr Euch das mal näher anschaut.
Bitte nicht wundern: Ich habe meinen Rechner mittlerweile mit AntiSpy gepflastert.

Logfile of HijackThis v1.98.2
Scan saved at 12:26:53, on 18.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\windows\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Symantec AntiVirus\DefWatch.exe
C:\Programme\Tools\DKService.exe
C:\Programme\KEN!\KENCLI.EXE
C:\WINDOWS\LogWatNT.exe
D:\oracle\ora81\bin\dbsnmp.exe
C:\Tools\PivX\Qwik-Fix\qfloadsvc.exe
C:\Programme\Symantec AntiVirus\SavRoam.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Symantec AntiVirus\Rtvscan.exe
C:\TwinCAT\EventLogger\TcEventLogger.exe
C:\TwinCAT\TCATSysSrv.exe
C:\Tools\VirtualCD3\VCDDriveset.EXE
C:\WINDOWS\Explorer.EXE
C:\Tools\BILLPS~1\WINPAT~1\WinPatrol.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\PROGRA~1\SYMANT~2\VPTray.exe
C:\WINDOWS\System32\NWTRAY.EXE
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Downloads\marcel\DarkDesktop.exe
C:\Programme\Launch Manager\CtrlVol.exe
C:\Tools\ClipMem Advanced\clipmem.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\atiptaxx.exe
C:\Tools\uptimer\uptimer4.exe
C:\Tools\PivX\Qwik-Fix\qfui.exe
C:\PROGRA~1\PESTPA~1\PPControl.exe
C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
C:\Tools\a2\a2guard.exe
C:\CacheSys\Bin\csystray.exe
C:\Programme\Hardcopy\hardcopy.exe
C:\Tools\BHODemon 2\BHODemon.exe
C:\Tools\SpywareGuard\sgmain.exe
C:\Tools\SpywareGuard\sgbhp.exe
C:\Tools\SpywareGuard\sgbhp.exe
d:\oracle\ora81\bin\ORACLE.EXE
D:\oracle\ora81\BIN\TNSLSNR.exe
C:\Programme\Oracle\jre\1.1.7\bin\jrew.exe
D:\oracle\ora81\bin\sqlplus.exe
C:\Tools\Netscape\Netscape\Netscp.exe
C:\Tools\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://v4.windowsupdate.microsoft.com/
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Tools\SpywareGuard\dlprotect.dll (disabled by BHODemon)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Tools\Spybot - Search & Destroy\SDHelper.dll (disabled by BHODemon)
O4 - HKLM\..\Run: [WinPatrol] "C:\Tools\BILLPS~1\WINPAT~1\WinPatrol.exe"
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~2\VPTray.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [HydraVisionDesktopManager] C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [DarkDesktop] C:\Downloads\marcel\DarkDesktop.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [ClipMemAutoStart] C:\Tools\ClipMem Advanced\clipmem.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [Uptimer4] C:\Tools\uptimer\uptimer4.exe
O4 - HKLM\..\Run: [Qwik-Fix User Interface] C:\Tools\PivX\Qwik-Fix\\qfui.exe
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\PROGRA~1\PESTPA~1\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Tools\Netscape\Netscape\Netscp.exe" -turbo
O4 - HKCU\..\Run: [a²] "C:\Tools\a2\a2guard.exe"
O4 - Startup: BHODemon 2.0.lnk = C:\Tools\BHODemon 2\BHODemon.exe
O4 - Startup: SpywareGuard.lnk = C:\Tools\SpywareGuard\sgmain.exe
O4 - Global Startup: CacheWeb.lnk = C:\CacheSys\Bin\csystray.exe
O4 - Global Startup: Hardcopy.LNK = C:\Programme\Hardcopy\hardcopy.exe
O4 - Global Startup: Startup.cmd
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Client auf Monitor & öffnen1 - C:\WINDOWS\web\AOpenClient.htm
O8 - Extra context menu item: Client auf Monitor & öffnen2 - C:\WINDOWS\web\AOpenClient.htm
O8 - Extra context menu item: Linked Ima&ges - C:\Programme\Tools\IEimage\IEimage.htm
O8 - Extra context menu item: Suchen mit Copernic Agent - C:\Tools\Copernic Agent\Web\SearchExt.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\Tools\COPERN~1\COPERN~1.EXE
O9 - Extra 'Tools' menuitem: Starten von Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\Tools\COPERN~1\COPERN~1.EXE
O9 - Extra button: Add to Restricted Zone - {B06300D0-CCDE-11d2-92D3-0000F87A4A55} - C:\WINDOWS\System32\webzone.dll
O9 - Extra 'Tools' menuitem: Add to R&estricted Zone - {B06300D0-CCDE-11d2-92D3-0000F87A4A55} - C:\WINDOWS\System32\webzone.dll
O9 - Extra button: Add to Trusted Zone - {BF80219A-CCDD-11d2-92D3-0000F87A4A55} - C:\WINDOWS\System32\webzone.dll
O9 - Extra 'Tools' menuitem: Add to Tr&usted Zone - {BF80219A-CCDD-11d2-92D3-0000F87A4A55} - C:\WINDOWS\System32\webzone.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) -
O16 - DPF: {CAFEEFAC-0013-0001-0008-ABCDEFFEDCBA} (Java Plug-in 1.3.1_08) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{B1775B36-4D31-4BDC-9B51-BF5795102473}: NameServer = 209.47.15.118,64.157.143.38,194.8.194.70,194.8.194.71

Hurra!! alles wieder im grünen Bereich!

Habe folgende Einträge mit Hijackthis gefixed:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://v4.windowsupdate.microsoft.com/
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Tools\SpywareGuard\dlprotect.dll (disabled by BHODemon)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Tools\Spybot - Search & Destroy\SDHelper.dll (disabled by BHODemon)
O17 - HKLM\System\CCS\Services\Tcpip\..\{B1775B36-4D31-4BDC-9B51-BF5795102473}: NameServer = 209.47.15.118,64.157.143.38,194.8.194.70,194.8.194.71

Anschliessend habe ich für IE die Webeinstellungen zurückgesetzt (Eigenschaften - Programme).

Nun mußte ich wieder meinen DNS-Server in der Netzwerkeinstellung eintragen.

Das wars.
Vielleicht hilft diese kurze Beschreibung auch anderen weiter.

mfg. Marcel