hi leute...
ich wäre euch echt sehr dankbar wenn sich einer von euch "cracks"...*g* mal meinen fall anschauen würde...
ich muss mir irgendwo beim surfen einen üblen spyware oder ähnlichen virus eingefangen haben...
das teil verändert mir laufend meine startseite...
merkwürdig ist aber, das es zuerst ein "explorer.exe" trojaner gewesen sein muss( exporer53.exe / bzw.: explorer53[1].cab),der mich ständig ,wenn ich über den internet explorer in`s net wollte,auf die seite www.thenewsearch.com (oder .de,bzw .html) gebracht hat (bloss nicht da raufgehen!!!) wo sich bei ankunft auf der seite sofort eine(wie oben genannte) datei die aussah wie ein zip file in der akte - C/Dokumente und Einstellungen/(benutzer)/Lokale Einstellungen/Temporary Internet Files - eingenistet hat...und ich glaube ein "ableger" davon war auch im C/Windows/Registration ordner zu finden!
nun (plötzlich) , da ich ich dieses "zip" file mit Ad-watch blocke,stellt sich meine startseite (vom internet explorer) nur noch auf diese seite hier um: http://www.irgmjmqwznfijwrowcxxjgdf....puXXmhDnU.html
diese explorer.exe/bzw.cab datei hab ich gelöscht bekommen...und auch die andere datei aus dem Registration-Ordner(obwohl norten nicht dazu in der lage war)...seitdem kommen die auch nicht wieder...selbst wenn man erneut auf diese "thenewsearch" seite geht...(auch ohne Ad-watch) es muss aber trotzdem noch was übrig geblieben sein was ich nicht aufspüren kann...denn obwohl diese beiden dateien weg waren/sind stellte sich meine startseite immernoch ständig auf diese "thenewsearch"-seite um...und danach dann irgendwann wie gesagt nur noch auf diese andere oben angegeben seite...
ich hab von norten bis über ad-watch,spybot,a²,digital patrol scanner,spywareblaster,pest patrol bis hin zu baggle cleaner und dlder-remove alles ausprobiert...aber keines dieser anti viren tools konnte irgendwas finden... *lol*

hinzu kommt noch das - wenn man ne weile auf emule ist/bzw.mit emule downloadet - sich irgendwann norten meldet und einem sagt das er den trojaner:"trojan moo" gefunden hat...(055.part) in dem ordner:C/emule.../emule.../Temp
der witzigerweise sofort wieder automatisch verschwunden ist wenn man emule dichtmacht....
dieser ist dann natürlich ebenfalls nicht mehr aufzuspüren...von keinem der oben genannten anti-viren tools... *lol*

nun meine frage....wie kann ich wieder herr der lage werden??? *lach*
kennt sich vielleicht schon jemand aus mit diesen komischen "viren" oder weiss jemand wo sich noch "ableger" dieser fiesen gesellen verbergen...(datein/ordner?) damit wenigstens meine startseite nicht laufend verändert wird....
ich würde mich über eure hilfe wirklich sehr freuen...
herzliche grüsse und euch allen ein schönes we !!!
bye - smiler

Hallo,

bitte ein Log mit diesem Programm erstellen:

http://www.trojaner-board.de/51130-a...ijackthis.html

Inhalt hier ins Forum posten.

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.kxssmkyxjyeesggwirkhwk.co...BpTNl4jMe.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.irgmjmqwznfijwrowcxxjgdf....puXXmhDnU.html
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\AddOn\AcrobatReader\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {41D77B40-8842-D803-BF8C-0FC5ADF3EA55} - C:\DOKUME~1\Zash\ANWEND~1\INFOPL~1\amok bolt.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\DOKUME~1\Zash\Desktop\Download\ANTIVI~1\Spybot\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.0002.1001\en-xu\stmain.dll
O2 - BHO: Tubby - {9EAC0102-5E61-2312-BC2D-414456544F4E} - C:\WINDOWS\System32\ADV.dll
O2 - BHO: CNisExtBho Class - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.2001.0001\de\msntb.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.2001.0001\de\msntb.dll
O3 - Toolbar: Advanced Search - {9EAC0102-5E61-2312-BC2D-414456544F4E} - C:\WINDOWS\System32\ADV.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PTBSync] C:\Programme\PTBSync\PTBSync.exe /Start
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programme\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [MealPeakTheDale] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\cast 64 meal peak\okayflap.exe
O4 - HKLM\..\RunServices: [update service] winu32.exe
O4 - HKLM\..\RunServices: [Microsoft Update 32] explore32.exe
O4 - HKLM\..\RunServices: [Microsoft WinUpdates] serm32.exe
O4 - HKLM\..\RunServices: [starter] scvhosting.exe
O4 - HKLM\..\RunServices: [System Startup] voltio.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Aimdumb] C:\DOKUME~1\Zash\ANWEND~1\ONECDR~1\jugs chin.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: Digital Patrol Update.lnk = C:\Programme\Proantivirus Lab\Digital Patrol Scanner 5.0\update.exe
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/ca...C_1_0_0_44.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti...l_v1-0-3-9.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1096292064984
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{023D7AD1-14D8-42CB-B3D3-7CC652B68289}: NameServer = 217.237.151.33 217.237.149.225
O17 - HKLM\System\CS1\Services\Tcpip\..\{023D7AD1-14D8-42CB-B3D3-7CC652B68289}: NameServer = 217.237.151.33 217.237.149.225

meintest du sowas hier...?
sorry...bin absoluter newbie in solchen sachen...
aber danke für den tip erstmal... und vor allem für den link

Ja, das meinte ich, allerdings ist das Log nicht ganz vollständig, bitte kopiere den gesamten Inhalt hierher.
Allerdings lässt sich jetzt schon sagen, dass du Trojanische Pferde auf dem Rechner hast, die die Fernsteuerung desselben erlauben und dein System daher kompromittiert ist. Unter anderem (aber nicht nur):

http://www.trendmicro.com/vinfo/viru...BOT.GE&VSect=T

Du solltest dich also schon mal darauf einrichten, dass du alles neu installierst, das wäre die beste Lösung. Und danach musst du auch dringend einige grundlegende Dinge in deinem Surfverhalten ändern, mehr Infos dazu nach dem kompletten Logfile.

oops....sorry...*g*...hatte nicht alles markiert...
kleiner fehler am rande....*lach*
hier nun die ganze liste....und vielen lieben dank schonmal für deine bemühungen.....!!!
wär allerdings echt übel wenn ich alles neu machen müsste....


Logfile of HijackThis v1.98.2
Scan saved at 14:59:20, on 22.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\PTBSync\PTBSync.exe
C:\Programme\PestPatrol\PPControl.exe
C:\Programme\Messenger Plus! 3\MsgPlus.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Proantivirus Lab\Digital Patrol Scanner 5.0\update.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
c:\progra~1\intern~1\iexplore.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Dokumente und Einstellungen\Zash\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\ccApp.exe
C:\Programme\Lavasoft\Ad-aware 6\Ad-watch.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\AIM95\aim.exe
C:\Programme\Yahoo!\Messenger\YPager.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE
C:\Dokumente und Einstellungen\Zash\Desktop\Download\Anti Viren Tools\Spybot\SpybotSD.exe
C:\Dokumente und Einstellungen\Zash\Desktop\Download\Anti Viren Tools\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.kxssmkyxjyeesggwirkhwk.co...BpTNl4jMe.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.irgmjmqwznfijwrowcxxjgdf....puXXmhDnU.html
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\AddOn\AcrobatReader\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {41D77B40-8842-D803-BF8C-0FC5ADF3EA55} - C:\DOKUME~1\Zash\ANWEND~1\INFOPL~1\amok bolt.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\DOKUME~1\Zash\Desktop\Download\ANTIVI~1\Spybot\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.0002.1001\en-xu\stmain.dll
O2 - BHO: Tubby - {9EAC0102-5E61-2312-BC2D-414456544F4E} - C:\WINDOWS\System32\ADV.dll
O2 - BHO: CNisExtBho Class - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.2001.0001\de\msntb.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.2001.0001\de\msntb.dll
O3 - Toolbar: Advanced Search - {9EAC0102-5E61-2312-BC2D-414456544F4E} - C:\WINDOWS\System32\ADV.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PTBSync] C:\Programme\PTBSync\PTBSync.exe /Start
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programme\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [MealPeakTheDale] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\cast 64 meal peak\okayflap.exe
O4 - HKLM\..\RunServices: [update service] winu32.exe
O4 - HKLM\..\RunServices: [Microsoft Update 32] explore32.exe
O4 - HKLM\..\RunServices: [Microsoft WinUpdates] serm32.exe
O4 - HKLM\..\RunServices: [starter] scvhosting.exe
O4 - HKLM\..\RunServices: [System Startup] voltio.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Aimdumb] C:\DOKUME~1\Zash\ANWEND~1\ONECDR~1\jugs chin.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: Digital Patrol Update.lnk = C:\Programme\Proantivirus Lab\Digital Patrol Scanner 5.0\update.exe
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/ca...C_1_0_0_44.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti...l_v1-0-3-9.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1096292064984
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{023D7AD1-14D8-42CB-B3D3-7CC652B68289}: NameServer = 217.237.151.33 217.237.149.225
O17 - HKLM\System\CS1\Services\Tcpip\..\{023D7AD1-14D8-42CB-B3D3-7CC652B68289}: NameServer = 217.237.151.33 217.237.149.225

Ja, also das prinzipielle Problem hat sich natürlich nicht geändert, dein Rechner steht Angreifern von Außen zur freien Verfügung, deine Passworte musst du als bekannt voraussetzen und es können auch Systemdateien verändert worden sein. Die beste Empfehlung wäre eine Neuinstallation anhand dieser Anleitung:

http://board.protecus.de/showtopic.p...me=1097944155&


Vielleicht hast du ja jemanden, der dir dabei helfen kann?

Wenn dir das partout nicht möglich sein sollte:
E-Scan herunterladen und updaten:

http://www.trojaner-board.de/42731-escan-anleitung.html

Systemwiederherstellung deaktivieren, in den abgesicherten Modus booten:

http://www.bsi.bund.de/av/texte/wiederher_xp.htm



Mit HijackThis fixen (Scan/genannte Einträge markieren/"Fix checked" klicken):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.kxssmkyxjyeesggwirkhwk.c...oBpTNl4jMe.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.irgmjmqwznfijwrowcxxjgdf...vpuXXmhDnU.html
O3 - Toolbar: Advanced Search - {9EAC0102-5E61-2312-BC2D-414456544F4E} - C:\WINDOWS\System32\ADV.dll
O4 - HKLM\..\RunServices: [update service] winu32.exe
O4 - HKLM\..\RunServices: [Microsoft Update 32] explore32.exe
O4 - HKLM\..\RunServices: [Microsoft WinUpdates] serm32.exe
O4 - HKLM\..\RunServices: [starter] scvhosting.exe
O4 - HKLM\..\RunServices: [System Startup] voltio.exe

Lösche danach die enstprechenden Dateien.

Diese Einträge sind mir nicht bekannt, wenn du nicht genau weisst, wozu sie gehören, bitte bei http://virusscan.jotti.org/de hochladen und überprüfen:

C:\DOKUME~1\Zash\ANWEND~1\INFOPL~1\amok bolt.exe
O4 - HKLM\..\Run: [MealPeakTheDale] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\cast 64 meal peak\okayflap.exe
O4 - HKCU\..\Run: [Aimdumb] C:\DOKUME~1\Zash\ANWEND~1\ONECDR~1\jugs chin.exe

Falls sie als Schädlinge identifiziert werden, ebenfalls fixen
MessengerPlus wird vielerorts als Spywarte eingestuft, ich würde es deinstallieren.
Poste ein neues Logfile.
Besser wäre jedoch eine Neuinstallation.