Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Es öffnet sich oft "amateur.freegayspace.com/leetage/ov.html"

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 19.10.2004, 11:19   #1
Lburg
 
Es öffnet sich oft "amateur.freegayspace.com/leetage/ov.html" - Standard

Es öffnet sich oft "amateur.freegayspace.com/leetage/ov.html"



Hallo,

nachdem ich gestern schon Probleme hatte und ich nicht mal mehr das T-Online-Startcenter öffnen konnte, habe ich nun Windows2000 nochmals aufgespielt.

Dennoch folgendes Problem:

Beim IE-Start öffnet sich oft, fast immer die Seite: amateur.freegayspace.com/leetage/ov.html

Auch während des Rumsurfens hat sie sich schon selbsttätig geöffnet.
Manchmal schlägt Ad-Aware wegen Cookie an. Search+Destroy fand irgendwas mit Alexa. Doch mittlerweile auch nicht mehr.

Hier das Ergebnis von HijackThis:

Logfile of HijackThis v1.97.7
Scan saved at 12:17:55, on 19.10.2004
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\Explorer.exe
C:\WINNT\System32\oqxnsy.exe
C:\WINNT\System32\mediaplayer32.exe
C:\Programme\Spamihilator\Spamihilator.exe
C:\WINNT\system32\ntvdm.exe
C:\T-ONLINE\BSW4\ToDuCAlC.EXE
C:\PROGRA~1\INTERN~1\IEXPLORE.EXE
C:\download\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Start Upping] mediaplayer32.exe
O4 - HKLM\..\Run: [Windows Compliant] oqxnsy.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\RunServices: [Start Upping] mediaplayer32.exe
O4 - HKLM\..\RunServices: [Windows Compliant] oqxnsy.exe
O4 - HKCU\..\Run: [Start Upping] mediaplayer32.exe
O4 - HKCU\..\Run: [Windows Compliant] oqxnsy.exe
O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\Spamihilator.exe"
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: AOL Instant Messenger (TM) (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\..\{6619C101-9118-4F1E-A53A-FBF2A753AAC0}: NameServer = 217.237.151.225 217.237.150.225

Weiß jemand Rat??

Alt 19.10.2004, 11:52   #2
Lburg
 
Es öffnet sich oft "amateur.freegayspace.com/leetage/ov.html" - Standard

Es öffnet sich oft "amateur.freegayspace.com/leetage/ov.html"



So, ich hab grade noch den neuesten Stinger durchgejagt und der meldet folgendes:

McAfee AVERT Stinger Version 2.4.1.0 built on Oct 14 2004

Copyright (C) 2004 Networks Associates Technology, Inc. All Rights Reserved.

Virus data file v1000 created on Oct 14 2004.

Ready to scan for 43 viruses, trojans and variants.



Scan initiated on Tue Oct 19 12:23:41 2004

C:\WINNT\System32\oqxnsy.exe

Found the W32/Sdbot.worm.gen.h virus !!!

C:\WINNT\System32\oqxnsy.exe could not be repaired.

C:\WINNT\System32\mediaplayer32.exe

Found the W32/Sdbot.worm virus !!!

C:\WINNT\System32\mediaplayer32.exe could not be repaired.

C:\WINNT\system32\lkoetw.exe

Found the W32/Sdbot.worm.gen.h virus !!!

C:\WINNT\system32\lkoetw.exe has been deleted.

C:\WINNT\system32\mediaplayer32.exe

Found the W32/Sdbot.worm virus !!!

C:\WINNT\system32\mediaplayer32.exe could not be repaired.

C:\WINNT\system32\oqxnsy.exe

Found the W32/Sdbot.worm.gen.h virus !!!

C:\WINNT\system32\oqxnsy.exe could not be repaired.

C:\WINNT\system32\TFTP1072

Found the W32/Sdbot.worm virus !!!

C:\WINNT\system32\TFTP1072 has been deleted.

C:\WINNT\system32\TFTP2228

Found the W32/Sdbot.worm virus !!!

C:\WINNT\system32\TFTP2228 has been deleted.

C:\WINNT\system32\TFTP2264

Found the W32/Sdbot.worm.gen.x virus !!!

C:\WINNT\system32\TFTP2264 has been deleted.

C:\WINNT\system32\TFTP2508

Found the W32/Sdbot.worm.gen.x virus !!!

C:\WINNT\system32\TFTP2508 has been deleted.

C:\WINNT\system32\TFTP972

Found the W32/Sdbot.worm.gen.x virus !!!

C:\WINNT\system32\TFTP972 has been deleted.

C:\WINNT\system32\winole.exe

Found the W32/Sdbot.worm.gen.h virus !!!

C:\WINNT\system32\winole.exe has been deleted.

C:\WINNT\system32\winupdate.exe

Found the W32/Sdbot.worm.gen.w virus !!!

C:\WINNT\system32\winupdate.exe has been deleted.

Number of clean files: 40317

Number of infected files: 12

Number of files deleted: 8
__________________


Alt 19.10.2004, 12:02   #3
cacatoa
 
Es öffnet sich oft "amateur.freegayspace.com/leetage/ov.html" - Standard

Es öffnet sich oft "amateur.freegayspace.com/leetage/ov.html"



Hi, Lburg!
Du hast einen bei uns relativ seltenen Trojaner drauf, der mediaplayer32 heißt. Sinn von diesem Teil ist es, beim Öffnen der Startseite sofort zu verschiedenen "gay-sites" zu switchen. Den würde ich mal wie folgt vernichten:

Anleitung in deutsch:
http://board.gulli.com/thread/341586

Anleitung und Beschreibung in Englisch:
http://geocities.com/karlsson/mediaplayer_worm.html

Ansonsten im abgesicherten Modus folgendes fixen:
O4 - HKLM\..\Run: [Start Upping] mediaplayer32.exe
O4 - HKLM\..\Run: [Windows Compliant] oqxnsy.exe
O4 - HKLM\..\RunServices: [Start Upping] mediaplayer32.exe
O4 - HKLM\..\RunServices: [Windows Compliant] oqxnsy.exe
O4 - HKCU\..\Run: [Start Upping] mediaplayer32.exe
O4 - HKCU\..\Run: [Windows Compliant] oqxnsy.exe

Außerdem folgende Dateien löschen:
C:\WINNT\System32\mediaplayer32.exe
C:\WINNT\System32\oqxnsy.exe

Anschließend bitte ein neues Logfile posten.
Ein Virenscanner wär auch keine vergebliche Liebesmühe!
Gruß cacatoa
__________________
__________________

Alt 19.10.2004, 12:15   #4
cacatoa
 
Es öffnet sich oft "amateur.freegayspace.com/leetage/ov.html" - Standard

Es öffnet sich oft "amateur.freegayspace.com/leetage/ov.html"



Hallo, Lburg,
Scheibenkleister, ich hab´was übersehen: Dein "C:\WINNT\System32\oqxnsy.exe" ist:

W32/Sdbot.worm.gen.h

Seit 08. September bietet Sophos dagegen einen Schutz (http://www.sophos.de/virusinfo/analyses/w32rbotju.html).
Probiers bitte aus.
cacatoa
__________________
Der Mensch sollte eine Hundeseele haben

Alt 19.10.2004, 15:53   #5
Lburg
 
Es öffnet sich oft "amateur.freegayspace.com/leetage/ov.html" - Standard

Es öffnet sich oft "amateur.freegayspace.com/leetage/ov.html"



Danke für die Hilfe!

Es sieht gerade mal ganz gut aus.

Neue Logfile:

Logfile of HijackThis v1.97.7
Scan saved at 16:52:06, on 19.10.2004
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\Explorer.exe
C:\WINNT\system32\ntvdm.exe
C:\T-ONLINE\BSW4\ToDuCAlC.EXE
C:\Programme\Spamihilator\spamihilator.exe
C:\download\HijackThis.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe"
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: AOL Instant Messenger (TM) (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\..\{6619C101-9118-4F1E-A53A-FBF2A753AAC0}: NameServer = 217.237.151.225 217.237.150.225

Den letzten Eintrag versteh ich nicht. Ich hoffe, er wird nicht noch wehtun.

Lieber Gruß!!


Alt 19.10.2004, 17:10   #6
Lidius
 
Es öffnet sich oft "amateur.freegayspace.com/leetage/ov.html" - Standard

Es öffnet sich oft "amateur.freegayspace.com/leetage/ov.html"



Poste mal ein Log mit der aktuellen Version von hijackthis http://www.trojaner-board.de/51130-a...ijackthis.html

Alt 19.10.2004, 17:12   #7
MountainKing
 
Es öffnet sich oft "amateur.freegayspace.com/leetage/ov.html" - Standard

Es öffnet sich oft "amateur.freegayspace.com/leetage/ov.html"



Und patche vor allem auch dein System:

Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000)

wir sind inzwischen bei Servicepack 4, bei dir sehe ich noch gar keins.

Antwort

Themen zu Es öffnet sich oft "amateur.freegayspace.com/leetage/ov.html"
ad-aware, bho, button, center, cookie, download, ergebnis, explorer, folge, hijack, hijackthis, internet, internet explorer, messenger, microsoft, probleme, programme, seite, selbsttätig, software, system, system32, tcpip, windows, öffnen, öffnet




Ähnliche Themen: Es öffnet sich oft "amateur.freegayspace.com/leetage/ov.html"


  1. Link Klick öffnet zunächst eine Link Fremde Seite " Casino Werbung " " Siele Werbung " "Erotik Seiten " oder ähnliches!
    Plagegeister aller Art und deren Bekämpfung - 26.08.2015 (17)
  2. Fenster "Startmenü wurde aktualisiert öffnet sich" bei Windows 8.1
    Log-Analyse und Auswertung - 08.08.2015 (13)
  3. "Öffnen mit"-Fenster öffnet sich nach Windows-Start.
    Plagegeister aller Art und deren Bekämpfung - 16.07.2015 (12)
  4. Diverse Malware ("CoolSaleCoupon", "ddownlloaditkeep", "omiga-plus", "SaveSense", "SaleItCoupon"); lahmer PC & viel Werbung!
    Plagegeister aller Art und deren Bekämpfung - 11.01.2015 (16)
  5. Win7 - Ordner "Computer" öffnet sich automatisch bei Systemstart
    Log-Analyse und Auswertung - 14.07.2014 (3)
  6. Internet Explorer öffnet sich immer mit "getwindowinfo"
    Plagegeister aller Art und deren Bekämpfung - 07.01.2014 (13)
  7. Win7 Mozilla öffnet Fenster mit "http://static.icmapp.com/blank.html# ..."
    Log-Analyse und Auswertung - 15.12.2013 (5)
  8. Ask Toobar lässt sich nicht deinstallieren + die Seite: "http://rvzr-a.akamaihd.net" öffnet sich ständig - Was kann ich tun?
    Plagegeister aller Art und deren Bekämpfung - 03.12.2013 (13)
  9. Bei benutzung des Browesers "FirerFox" öffnet sich sich die Suchseite "Qvo6.com
    Plagegeister aller Art und deren Bekämpfung - 02.07.2013 (10)
  10. Wie soll ich "HTML/Rce.gen" in "\Firefox\Profiles\p2hadvdz.default\Cache" entfernen?
    Plagegeister aller Art und deren Bekämpfung - 06.02.2011 (1)
  11. Critical Error RAM memory usage .. HDD ... "Scanner" öffnet sich dauernd
    Plagegeister aller Art und deren Bekämpfung - 06.01.2011 (13)
  12. iexplorer öffnet sich von allein mit warnfenster "Anweisung "0x77bd19ef" verweist..
    Log-Analyse und Auswertung - 07.04.2010 (7)
  13. "Rouge.Installer" und "HTML/IFrame.pntb"
    Log-Analyse und Auswertung - 23.01.2010 (0)
  14. Beim Neustart öffnet sich "mysecuritycenter" und noch mehr Probleme!
    Plagegeister aller Art und deren Bekämpfung - 25.08.2008 (3)
  15. Internet Explorer öffnet sich automatisch in einem "unschließbaren" Fenster
    Plagegeister aller Art und deren Bekämpfung - 08.05.2007 (14)
  16. Hilfe: Meldung vonwegen "Virus beagle" und seite öffnet sich
    Plagegeister aller Art und deren Bekämpfung - 10.04.2006 (10)
  17. HILFE ständig öffnet sich http://amateur.freegayspace.com/leetage/vate.html
    Log-Analyse und Auswertung - 08.11.2004 (1)

Zum Thema Es öffnet sich oft "amateur.freegayspace.com/leetage/ov.html" - Hallo, nachdem ich gestern schon Probleme hatte und ich nicht mal mehr das T-Online-Startcenter öffnen konnte, habe ich nun Windows2000 nochmals aufgespielt. Dennoch folgendes Problem: Beim IE-Start öffnet sich oft, - Es öffnet sich oft "amateur.freegayspace.com/leetage/ov.html"...
Archiv
Du betrachtest: Es öffnet sich oft "amateur.freegayspace.com/leetage/ov.html" auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.