Desktop Warnung! Wichtig!
 

Hi

Als ich heute meinen PC hochgefahren habe und das Internet eingeschaltet hatte ist mir etwas schreckliches ins Auge gesprungen! Mein Desktophintergrund verschwand und folgende Naricht stand im schwarzen Hintergrund:

Warning!
Your´re in Danger!
All you do with Computer is stored forever in your hard disk. When you visit sites, send emails... all your actions are logged. And it is impossible to remove them with standard tools. your data data is still available for forensics. And in some cases for your boss, your friends, your wife, your children.

Every site you or sombody or even something, like spyware, opened in your browser, with all images, and all downloaded and maybe later removed movies or mp3 songs - are still there and could broke your life!

Secure yourself right now!

Auf die Schrift kann man klicken, was ich aber sicherhaltshalber nicht getan habe!
Weis wirklich nicht was ich tun soll! Ist es ein Virus oder ein Trojana? Ausserdem befinden sich jetzt sachen wie free casino, usw. auf meinem PC, obwohl ich in letzter Zeit nichts gedownloadet habe. Hab nur ne Mail und ne Naricht bei ICQ geöffnet, wobei aber keine Datei dabei war!
Brauche dringend Hilfe! :(

zusätzlich bitte ein HijackThis Log posten (http://filepony.de/download-hijackthis/)
Wenn das mit der TAskleiste nicht funktioniert, man kann es auch über Systemsteuerung-> Anzeige machen

Um was handelt es sich dabei? Und wie hab ich das auf meinen PC bekommen?

Du hast es auf deinen PC bekommen, weil du mit dem IE surfst. Es dürfte sich um einen Hijacker handeln. Soweit ich weiß, ist der Destophintergrund eine Website.
btw funktioniert es?

Jup funktioniert. Nur die Startseite kann ich nicht ändern. Werd mir mal das Programm von http://filepony.de/download-hijackthis/ ziehen.

OK, das Logfile aber bitte posten und nicht gleich selbst alles fixen, das kann nämlich auch ins Auge gehen.

Füg alles grade mal da rein. Was da für Dateien erscheinen. Irgendwelche Links zu Porno-,Casinoseiten und sonstiges! Wo kommt der ganze Schrott her?

Logfile of HijackThis v1.98.2
Scan saved at 14:02:59, on 29.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\FRITZ!DSL\Awatch.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\LXSUPMON.EXE
C:\WINDOWS\System32\systime.exe
C:\WINDOWS\System32\msrexe.exe
C:\Programme\CashBack\bin\cashback.exe
C:\Programme\BullsEye Network\bin\bargains.exe
C:\Programme\SED\SED.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\my-playlist\my-playlist.exe
C:\WINDOWS\System32\systime.exe
C:\Programme\FRITZ!\FriWeb32.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\GetRight\getright.exe
C:\Programme\GetRight\getright.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\FRITZ!DSL\FritzDsl.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Downloads\hijackthis1982\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
O1 - Hosts: 127.0.0.3 n-glx.s-redirect.com
O1 - Hosts: 127.0.0.3 x.full-tgp.net
O1 - Hosts: 127.0.0.3 counter.sexmaniack.com
O1 - Hosts: 127.0.0.3 autoescrowpay.com
O1 - Hosts: 127.0.0.3 www.autoescrowpay.com
O1 - Hosts: 127.0.0.3 www.awmdabest.com
O1 - Hosts: 127.0.0.3 www.sexfiles.nu
O1 - Hosts: 127.0.0.3 awmdabest.com
O1 - Hosts: 127.0.0.3 sexfiles.nu
O1 - Hosts: 127.0.0.3 allforadult.com
O1 - Hosts: 127.0.0.3 www.allforadult.com
O1 - Hosts: 127.0.0.3 www.iframe.biz
O1 - Hosts: 127.0.0.3 iframe.biz
O1 - Hosts: 127.0.0.3 www.newiframe.biz
O1 - Hosts: 127.0.0.3 newiframe.biz
O1 - Hosts: 127.0.0.3 www.vesbiz.biz
O1 - Hosts: 127.0.0.3 vesbiz.biz
O1 - Hosts: 127.0.0.3 www.pizdato.biz
O1 - Hosts: 127.0.0.3 pizdato.biz
O1 - Hosts: 127.0.0.3 www.aaasexypics.com
O1 - Hosts: 127.0.0.3 aaasexypics.com
O1 - Hosts: 127.0.0.3 www.virgin-tgp.net
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [App.exe] app.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [SysTime] C:\WINDOWS\System32\systime.exe
O4 - HKLM\..\Run: [System Service] C:\WINDOWS\System32\msrexe.exe
O4 - HKLM\..\Run: [180ax] c:\windows\180ax.exe
O4 - HKLM\..\Run: [CashBack] C:\Programme\CashBack\bin\cashback.exe
O4 - HKLM\..\Run: [BullsEye Network] C:\Programme\BullsEye Network\bin\bargains.exe
O4 - HKLM\..\Run: [SESync] "C:\Programme\SED\SED.exe"
O4 - HKLM\..\Run: [rgjwb] C:\WINDOWS\rgjwb.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [my-playlist] "C:\Programme\my-playlist\my-playlist.exe" /Autostart
O4 - HKCU\..\Run: [SysTime] C:\WINDOWS\System32\systime.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: FRITZ!data.lnk = C:\Programme\FRITZ!\FriDat32.exe
O4 - Global Startup: FRITZ!web.lnk = C:\Programme\FRITZ!\FriWeb32.exe
O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Programme\GetRight\getright.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: Preispiraten 2.1.2 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten\Preispiraten2\preispiraten2ie.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: eBay Homepage - {D4951B60-8FF9-4813-B716-FF3E75386E74} - http://www.preispiraten.de/cgi-bin/e...://www.ebay.de (file missing)
O10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\aklsp.dll
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.crazywinnings.com
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.topconverting.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.xxxtoolbar.com
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://69.50.161.82/dl/adv422/x.chm::/load.exe
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/ca...C_1_0_0_44.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1101034479437
O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} (SL Control) - http://static.topconverting.com/activex/sl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{94D766C5-D4F7-4E90-AFC3-2054E3FBC4EF}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{9CB46294-B043-4E69-80D5-AD7BDA91716E}: NameServer = 192.168.122.252,192.168.122.253

Ok, du hast ne ganze Menge drauf. Bevor wir entscheiden, ob sich reparieren überhaupt noch lohnt, scanne bitte folgende Dateien mit dem diesem Onlinescan:
C:\WINDOWS\System32\msrexe.exe
C:\WINDOWS\rgjwb.exe
C:\Programme\my-playlist\my-playlist.exe
und poste was gefunden wurde
falls du die Dateien nicht finden kannst, mach folgendes:
Im Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren
+
Im Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren

btw:ich hoffe du gehst mit DSL ins Netz
C:\Programme\SED\SED.exe <- Dialer
PS: das obenstehende ist noch lang nicht alles, du hast massenweise Zeugs drauf

Verschiedene Gründe:
ungepatchtes System, Verwenden des IE und v.a. dein Surfverhalten!!!

Also ich würde hier ganz kurzen Prozess machen.
LG, Charlie

My Playlist ist ein einfaches von mir gedownloadetes Musikprogramm, das beim OnlineScann ein OK eingefangen hatt. Hab ich auch schon länger drauf und hatt bisher keine Probleme bereitet. Und das mit dem Surfverhalten muss ich wiedersprechen :D. Hier die restlichen zwei Ergebnisse:



Service load: 0% 100%

File: msrexe.exe
Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected: None

AntiVir BDS/Jeem (0.95 seconds taken)
Avast Win32:Jeet (4.76 seconds taken)
BitDefender Backdoor.Jeemp.C (1.38 seconds taken)
ClamAV Trojan.Jeemp.C (1.94 seconds taken)
Dr.Web Trojan.PWS.Jeem (2.78 seconds taken)
F-Prot Antivirus W32/Jeemp.B (0.70 seconds taken)
Kaspersky Anti-Virus Backdoor.Jeemp.c (2.43 seconds taken)
mks_vir Trojan.Jeemp.C (0.82 seconds taken)
NOD32 Win32/Jeemp.C (1.31 seconds taken)
Norman Virus Control Jeemp.C (0.14 seconds taken)

Statistics
Last piece of malware found was Jeemp.C in msrexe.exe, detected by:

Scanner Malware name Time taken
AntiVir BDS/Jeem 0.28 seconds
Avast Win32:Jeet 1.56 seconds
BitDefender Backdoor.Jeemp.C 0.34 seconds
ClamAV Trojan.Jeemp.C 0.34 seconds
Dr.Web Trojan.PWS.Jeem 0.51 seconds
F-Prot Antivirus W32/Jeemp.B 0.06 seconds
Kaspersky Anti-Virus Backdoor.Jeemp.c 1.91 seconds
mks_vir Trojan.Jeemp.C 0.73 seconds
NOD32 Win32/Jeemp.C 1.17 seconds
Norman Virus Control Jeemp.C 0.40 seconds


Service load: 0% 100%

File: rgjwb.exe
Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) (Note: only non-destructive malware has been found. Considering the non-destructive nature of samples like these - although they can be a pain in the ass -, results will not be stored in the database.)
Packers detected: None

AntiVir DR/180Solutions (0.51 seconds taken)
Avast Win32:NcaseSpy (1.64 seconds taken)
BitDefender Adware.180Solutions.5.11 (1.02 seconds taken)
ClamAV Trojan.Spy.Ncase-1 (0.91 seconds taken)
Dr.Web not a virus Adware.nCase (1.67 seconds taken)
F-Prot Antivirus security risk or a "backdoor" program (0.25 seconds taken)
Kaspersky Anti-Virus not-a-virus:AdWare.180Solutions (2.55 seconds taken)
mks_vir .Ncase180 (0.78 seconds taken)
NOD32 No viruses found (1.73 seconds taken)
Norman Virus Control W32/Ncase.B (0.49 seconds taken)

Statistics
Last piece of malware found was probably unknown NewHeur_PE in mewed.exe, detected by:

Scanner Malware name Time taken
AntiVir X 0.85 seconds
Avast X 3.47 seconds
BitDefender Backdoor.RBot.Gen 5.41 seconds
ClamAV X 0.32 seconds
Dr.Web X 0.57 seconds
F-Prot Antivirus X 0.12 seconds
Kaspersky Anti-Virus Backdoor.Win32.Rbot.gen 3.30 seconds
mks_vir Win32.4 0.70 seconds
NOD32 probably unknown NewHeur_PE 3.71 seconds
Norman Virus Control X 9.64 seconds

Sorry bei einem aktiven Backdoor gibts nur ein: formatieren und neu aufsetzen:
Alle Dialer je nach dem wie du ins Netz gehst bitte sichern (Dialer Hinweis )
vor allem für dich Pflichtlektüre -> http://www.mathematik.uni-marburg.de...ompromise.html
unbedingt Windows aktuell halten
den Rest bekommst du schon noch mit
@charlie1
ich wollte sicher gehen, wenns meiner wäre (was ja eher unwahrscheinlich ist *g*), würde der jetzt schon nicht mehr am Netz hängen.

Also am besten die Festplatte platt machen und Windows neu draufschmeissen! Kann man Patitionen mit MP3´s noch retten oder sind diese auch verseucht?

Lutz über Datensicherung

Also, ich habe mir mal die eine oder andere Seite aus dem log angesehen-
das wimmelt wie oben gesagt so von Pay und Dialerseiten und anderem Schrott- wenn ich diese Seiten nicht wissentlich angesurft hätte, würde ich nicht formatieren- wie sollen alle Dialer gesichert werden?
Bei dem Rechner würde ich sofort alle Kabel zum Netz entfernen.
edit:
russisch spreche und verstehe ich nicht.

Hinweis aus einem anderen Forum: