Websiteviewer - Dailer - e scan+adaware+spyboot hilflos
 

Hey Jungs und Mädels!
Ich hab das gleiche schonmal im Hijacker logs posten forum reingepostet, bin mir aber nicht sicher, ob es nicht eher hier rein gehört hätte.

Ich plage mich jetzt schon seit mehreren Tagen mit diesem Scheiss herum.
Beim surfen hab ich mir irgendwie ein teil eingefangen, dass sich immer wieder under c:/programme/websiteviewer installiert. wärend dem surfen popt immer wieder ein dos fenster auf mit der bezeichnung c:/inst.exe und verschwindet dann gleich wieder, außerdem installiert sich in meiner dfü eine TIBS61 Verbindung und versucht sich ständig einzuwählen.

PS: e-scan und adaware sowie spyboot konnten das problem nicht beheben

Hier mein Hijack Logfile:
ich hoffe ihr könnt mir helfen mfg jacky


Logfile of HijackThis v1.98.2
Scan saved at 14:48:23, on 15.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\hfp.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Panda Software\Panda Antivirus Titanium\Pavsrv51.exe
C:\WINDOWS\System32\SLEE401.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Panda Software\Panda Antivirus Titanium\AVENGINE.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\sstray.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\INSTAN~1\INSTAN~1\IWCTRL.EXE
C:\Programme\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE
C:\Software\D-Tools\daemon.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Panda Software\Panda Antivirus Titanium\pavProxy.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WebSiteViewer\124782.dlr
C:\Download\Programme\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.web.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,AutoConfigURL = 192.168.2.1
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 192.168.1
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {0000607D-D204-42C7-8E46-216055BF9918} - (no file)
O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\TechSmith\SnagIt 7\SnagItBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {7B55BB05-0B4D-44fd-81A6-B136188F5DEB} - C:\WINDOWS\questmod.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 7\SnagItIEAddin.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file)
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [IW Controlcenter] C:\PROGRA~1\INSTAN~1\INSTAN~1\IWCTRL.EXE
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Software\D-Tools\daemon.exe" -lang 1033 -lock
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll (file missing)
O9 - Extra button: Corel Network monitor worker - {1F3D37AC-AD6A-435E-9C94-B536E9847147} - (no file)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {1F3D37AC-AD6A-435E-9C94-B536E9847147} - (no file)
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQpro\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQpro\ICQ.exe
O9 - Extra button: concept/design's onlineTV - {B08E5685-5564-464F-8D48-1848D0D27CB6} - C:\Programme\onlineTV\onlineTV.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra button: Corel Network monitor worker - {1F3D37AC-AD6A-435E-9C94-B536E9847147} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {1F3D37AC-AD6A-435E-9C94-B536E9847147} - (no file) (HKCU)
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_f...d12cbd5372935d8
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web8.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E2145406-716C-4615-9618-F97605ADDAC8}: Domain = MSHEIMNETZ

Hallo Jacky,

Platform: Windows XP SP1 (WinNT 5.01.2600) - Dein Betriebssystem ist nicht auf dem aktuellen Stand, besuche www.windowsupdate.com und lade Dir das aktuelle Service Pack runter.

Scanne mit dem online-scan von Kaspersky folgende Datei:

C:\PROGRA~1\INSTAN~1\INSTAN~1\IWCTRL.EXE

Teile uns das Ergebnis der Überprüfung mit und sende diese Datei, wenn sie infiziert sein sollte an partytime-germany.ice@web.de, mit Verweis auf diesen Thread.

Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe dann mit Hijack This (Häk'chen setzen, Fix cheched anklicken):

R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {0000607D-D204-42C7-8E46-216055BF9918} - (no file)
O2 - BHO: (no name) - {7B55BB05-0B4D-44fd-81A6-B136188F5DEB} - C:\WINDOWS\questmod.dll
O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file)
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} -
C:\Programme\SideFind\sidefind.dll (file missing)
O9 - Extra button: Corel Network monitor worker - {1F3D37AC-AD6A-435E-9C94-B536E9847147} - (no file)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker -
{1F3D37AC-AD6A-435E-9C94-B536E9847147} - (no file)
O9 - Extra button: Corel Network monitor worker -
{1F3D37AC-AD6A-435E-9C94-B536E9847147} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker -
{1F3D37AC-AD6A-435E-9C94-B536E9847147} - (no file) (HKCU)
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} -
http://public.windupdates.com/get_f...d12cbd5372935d8

wenn Du diese Einträge nicht kennst/brauchst, bitte fixen:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet
Settings,AutoConfigURL = 192.168.2.1

Aktiviere die Systemwiederherstellung, boote in den normalen Modus.

Lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus.

Der eScan ab Version 4.5.1 löscht gefundene Malware nicht mehr automatisch. Die Malware muß - bei deaktivierter Systemwiederherstellung - von Hand gelöscht werden, siehe eScan 4.5.1: "Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum oder in die Windows Suche übertragen -> löschen!" (Zitat Cidre)

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden. Erstelle ein neues Hijack This Logfile und poste es.

SD