|
Brauch mal dringend Hilfe! :headbang: :balla: Hi. :piggi: Ich hab seit ungefähr einer Woche ein Virus, dem ich einfach nicht bei komme. Ich kann versuchen was ich will... Es handelt sich um folgendes: 1. Die Startseite meines IE6.0 (Ja, ich bin mir darüber im Klaren, das es andere Browser gibt, aber ich möchte nicht auf den IE verzichten) ändert sich (auch ohne neustart) nach jeder meiner Änderung in die Seite "about:blank", was aber nicht die wirkliche "about:blank" ist, sonder etwas mit der Seite "fastsearchweb.com" zu tun haben muss. Das ist seit ein paar Tagen der Fall. Vorher war die Startseite nach jedem Neustart "www.smile-x.com" - eine Porno-Seite, deren Anzahl sich ja leider jeden Tag zu quadrieren scheint. 2. Mein Rechner (oder das Virus) meint ab und an, dass ich irgendeine Casino-Seite unbedingt öffter sehen sollte. Die wird einfach so geladen, sogar ohne das ich den IE geöffnet habe. 3. Es meldet sich öffters mal die (angebliche) "Windows File Protection" um mir folgendes zu sagen: "Windows detects that this computer is infected with a spyware called "SubSearch", "MoneyTree", "Aorum", "Win32/Aspam.Trojan"! Spyware is software that displays unwanted advertising and records your communicatoion. Would you like to find outhow spyware removal software can protect your privacy and boost system performance?" Antwortmöglichkeiten: Yes - No Die angegebenen Viren die sie angeblich entdeckt hat ändern sich von Nachricht zu Nachricht immer. Würde ich auf "Yes" klicken werde ich zu Seite "http://www.findspyware.net/freescan.php" oder "http://www.v5msn.com/search.php?q=spyware&said=2222" geführt, bei No passiert nichts. 4. Der seltenste Fall ist das sich einfach mein IE öffnet um mir die eben genannte Seite auch ohne Aufforderung zu zeigen. Ich bin mit folgenden Programmen vorgegangen, habe mich aber leider vergeblich bemüht: Anti-Vir Personal Edition (aktuellste Version) Ad-Aware (aktuellste Version) Ewido Security Suite (aktuellste Version) Da ich mich mit HiJackThis nicht auskenne: Hier die Liste: Logfile of HijackThis v1.98.2 Scan saved at 22:43:01, on 30.10.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\MOUSE\mouse32a.exe C:\Programme\D-Tools\daemon.exe C:\WINDOWS\webshots.scr C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\servises.exe C:\Programme\ewido\security suite\ewidoctrl.exe C:\Programme\AVPersonal\AVGNT.EXE E:\PROGRA~1\PERSON~1\MpfTray.exe E:\PROGRA~1\PERSON~1\MPFAGENT.EXE E:\PROGRA~1\PERSON~1\MPFSERVICE.exe C:\Programme\AVPersonal\AVGUARD.EXE E:\Programme\winRAR\WinRAR.exe C:\DOKUME~1\EVA~1.KAN\LOKALE~1\Temp\Rar$EX00.757\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\rpcnt4.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\rpcnt4.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\rpcnt4.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\rpcnt4.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\rpcnt4.dll/sp.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\rpcnt4.dll/sp.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.web.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\WINDOWS\System32\msacmx.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: (no name) - {F7F7CFFE-58C6-4B79-9264-CCB8E32579DC} - C:\WINDOWS\System32\rpcnt4.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\MOUSE\mouse32a.exe O4 - HKLM\..\Run: [MPFExe] E:\PROGRA~1\PERSON~1\MPFTRAY.EXE O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - Startup: WEBSHOTS.lnk = C:\Programme\Webshots\Launcher.exe O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - E:\PROGRA~1\MESSEN~1\2\YPAGER.EXE O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - E:\PROGRA~1\MESSEN~1\2\YPAGER.EXE O16 - DPF: JT's Blocks - http://download.games.yahoo.com/game...s/y/blt1_x.cab O16 - DPF: Yahoo! Literati - http://download.games.yahoo.com/game...ts/y/tt2_x.cab O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache...tup1.0.0.8.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-12.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/106abb0d...dxIE601_de.cab O16 - DPF: {5D9E4B6D-CD17-4D85-99D4-6A52B394EC3B} (WSDownloader Control) - http://www.webshots.com/samplers/WSDownloader.ocx O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1099057438911 O18 - Filter: text/html - {99A6EB9B-0CD1-45B8-B1CA-1E55EABA0E50} - C:\WINDOWS\System32\rpcnt4.dll O18 - Filter: text/plain - {99A6EB9B-0CD1-45B8-B1CA-1E55EABA0E50} - C:\WINDOWS\System32\rpcnt4.dll ------------------------------------------------ Ich brauche unbedingt Hilfe bei der Sache. Ich danke schonmal im Vorraus. Bis dahin: :party: Und mit meinem Rechner mach ich der weilen das: :snyper: |
Herzlich Willkommen in der Welt der Unsicheren Seiten, alles was ich Dir nun an den Kopf werfe BITTE im ABGESICHERTEN Modus machen, Danke für die Aufmerksamkeit und deaktiviere die SYSTEMWIEDERHERSTELLUNG Man nehme HJT, und Scanne dann schmeiße man Folgende EInträge RAUS : R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\rpcnt4.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\rpcnt4.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\rpcnt4.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\rpcnt4.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\rpcnt4.dll/sp.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\rpcnt4.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocach...etup1.0.0.8.cab O2 - BHO: (no name) - {F7F7CFFE-58C6-4B79-9264-CCB8E32579DC} - C:\WINDOWS\System32\rpcnt4.dll O18 - Filter: text/html - {99A6EB9B-0CD1-45B8-B1CA-1E55EABA0E50} - C:\WINDOWS\System32\rpcnt4.dll O18 - Filter: text/plain - {99A6EB9B-0CD1-45B8-B1CA-1E55EABA0E50} - C:\WINDOWS\System32\rpcnt4.dll Anschleißend suche Dir eScan raus, Update und scanne (der geneigte Leser kann via Suchfunktion des Forums herausfinden wie das mit eScan funzt). Du solltest dann das was Virusmässig markiert ist, LÖSCHEN. Poste danach NOCHMAL Dein Log hier damit wir sehen ob alles weg ist. Hoffe wir konnten helfen. :blabla: Gruß Andy |
:o :o :o :o Hier ist jetzt der aktuelle HiJack-Log. Logfile of HijackThis v1.98.2 Scan saved at 14:07:06, on 31.10.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\MOUSE\mouse32a.exe E:\PROGRA~1\PERSON~1\MPFTRAY.EXE C:\Programme\D-Tools\daemon.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\webshots.scr E:\PROGRA~1\PERSON~1\MPFAGENT.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\ewido\security suite\ewidoctrl.exe E:\PROGRA~1\PERSON~1\MPFSERVICE.exe C:\WINDOWS\System32\wuauclt.exe E:\Sicherheit\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.web.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\MOUSE\mouse32a.exe O4 - HKLM\..\Run: [MPFExe] E:\PROGRA~1\PERSON~1\MPFTRAY.EXE O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - Startup: WEBSHOTS.lnk = C:\Programme\Webshots\Launcher.exe O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - E:\PROGRA~1\MESSEN~1\2\YPAGER.EXE O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - E:\PROGRA~1\MESSEN~1\2\YPAGER.EXE O16 - DPF: JT's Blocks - http://download.games.yahoo.com/game...s/y/blt1_x.cab O16 - DPF: Yahoo! Literati - http://download.games.yahoo.com/game...ts/y/tt2_x.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-12.cab O16 - DPF: {5D9E4B6D-CD17-4D85-99D4-6A52B394EC3B} (WSDownloader Control) - http://www.webshots.com/samplers/WSDownloader.ocx O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1099057438911 Danke für die hilfe. Soweit ich das deuten kann ist jetzt alles clean. Ich war aber echt überrascht, das eScan mehr Viren findet als das Anti-Vir Personal. Auf das Programm hab ich bisher immer vertraut, aber ich wurde nun eines bsseren belehrt. Sollte ich noch etwas fixen bitte unbedingt bescheid sagen. DANKE. :D :D |
Tröööt Sieht wieder alles ok aus :) Hoffe wir konnten helfen :daumenhoc Wenn noch Fragen sind, immer her damit Gruß ~Andy~ |
@ millenia100: Und was ist mit updaten (empfohlen in post Nr. 2 von FancyAndy)? |
Winke :p Bitte XP auf SP2 Updaten !!! Schau nach ob Du denn IE ebenfalls Updaten kannst. Und Du solltest eScan auch geupdated haben wie ich es reingeschrieben habe. Das kurzerhand dazu. Mögest Du von Malware udn Co. verschont bleiben Amen :D Gruß Andy |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 20:43 Uhr. |
Copyright ©2000-2025, Trojaner-Board