habe seit einer woche ein riesen problem.

irgend ein scheiss ändert dauernd meine startseite und trägt in die favoriten irgenwelche pornosites ein.

wenn ich die laufenden prozesse angucke dann öffnet sich alle minuten ein neuer task mit irgendwelchen pornoseiten.

hab schon alles probiert was hier steht.

mein virenscanner schlägt auch dauernd alarm

Trojan.Mitglieder
Trojan.ByteVerify
usw...

löscht die dinger aber irgendwie nicht richtig.
hier meine logdatei:

Logfile of HijackThis v1.97.7
Scan saved at 15:02:38, on 25.02.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\Programme\Norton Internet Security\ccPxySvc.exe
C:\Programme\1&1 Programme\cFos\cFosDNT.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\windows\rundll32.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Outlook Express\msimn.exe
C:\totalcmd\TOTALCMD.EXE
c:\Install\hijackthis1977\HijackThis.exe
C:\WINDOWS\notepad.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Programme\Outlook Express\msimn.exe

O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C:\Programme\Yahoo!\Companion\ycomp5_0_2_3.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\ycomp5_0_2_3.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [cFosDNT] C:\Programme\1&1 Programme\cFos\cFosDNT.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Services] C:\WINDOWS\svchost.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [rundll32] C:\windows\rundll32.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Translate (HKLM)
O9 - Extra 'Tools' menuitem: Translator (HKLM)
O9 - Extra button: Recherche-Assistent (HKLM)
O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} - http://63.217.29.115/cax.cab
O16 - DPF: {093F9CF8-0DE1-491C-95D5-5EC257BD4CA3} - http://akamai.downloadv3.com/binarie...tc32_EN_XP.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...042.0533564815
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {F57D17AE-CE37-4BC8-B232-EA57747BE5E7} - http://66.230.146.53/EPlugin.cab
O16 - DPF: {FFFF0003-0001-101A-A3C9-08002B2F49FB} - http://prx.freecj.com/t/sexeur.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{58318B55-EB54-4635-88C5-BD0D644B42AF}: NameServer = 217.5.99.105 194.25.2.129

bitte helft mir ich bin verzweifelt
vielen dank

O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} - http://63.217.29.115/cax.cab WEG! Dialer/Malware!
O16 - DPF: {093F9CF8-0DE1-491C-95D5-5EC257BD4CA3} - http://akamai.downloadv3.com/binarie...tc32_EN_XP.cab WEG! => Hardcore-Access
O16 - DPF: {F57D17AE-CE37-4BC8-B232-EA57747BE5E7} - http://66.230.146.53/EPlugin.cab => Weg! Real-Euros.com - Best Dialer Program for adult webmasters
O16 - DPF: {FFFF0003-0001-101A-A3C9-08002B2F49FB} - http://prx.freecj.com/t/sexeur.exe => Weg damit


O17 - Dürfte Legal sein, sind Proxys der DTAG

Hallo und willkommen an Board!

</font><blockquote>Zitat:</font><hr />Original erstellt von dankroth:
irgend ein scheiss ändert dauernd meine startseite und trägt in die favoriten irgenwelche pornosites ein.</font>[/QUOTE]Das liegt an mehreren Dingen. Zu allererst einmal an einer ungepatchten Microsoft VM (also dem Java von Micsrosoft). Mit anderen Worten: ein Update deines Systems ist unbedingt erforderlich:

http://windowsupdate.microsoft.com

Des Weiteren empfehle ich dir darüber nachzudenken, einen weniger eng mit dem System verwobenen Browser wie den IE einzusetzen - damit wärst du sicherer unterwegs! Alternativen: Firefox, Mozilla Suite, Opera, K-Meleon. Denn Active X spielt hier auch eine Rolle (siehe unten).

</font><blockquote>Zitat:</font><hr />löscht die dinger aber irgendwie nicht richtig.</font>[/QUOTE]Nein - sie kommen immer wieder!


Den IE schließen, das bitte markieren und fixen:

O4 - HKLM\..\Run: [Services] C:\WINDOWS\svchost.exe

O16 - DPF: {FFFF0003-0001-101A-A3C9-08002B2F49FB} - http://prx.freecj.com/t/sexeur.exe

Letzterer ist:
sexeur.exe Infiziert Trojan.Win32.Dialer.e

Edit: Fixe auch die von Shadow genannten. Kannst nichts falsch machen dabei.

</font><blockquote>Zitat:</font><hr />Original erstellt von mmk:
Das liegt an mehreren Dingen. Zu allererst einmal an einer ungepatchten Microsoft VM (also dem Java von Micsrosoft). Mit anderen Worten: ein Update deines Systems ist unbedingt erforderlich:

http://windowsupdate.microsoft.com </font>[/QUOTE]ich habe doch heute morgen ein update ausgeführt sollte auf dem neuesten stand sein

Bei 63.217.29.115 (eingabe NUR diese IP-Adresse) wird sofort wieder eine Software (Dialer) od-dflt0001.exe (versucht) heruntergeladen.
Also Vorsicht beim Testen was da ist/sein könnte :D

@Dankroth: ERST FIXen, dann weiterarbeiten

</font><blockquote>Zitat:</font><hr />Original erstellt von Shadow:
Bei 63.217.29.115 (eingabe NUR diese IP-Adresse) wird sofort wieder eine Software (Dialer) od-dflt0001.exe (versucht) heruntergeladen.
Also Vorsicht beim Testen was da ist/sein könnte :D

@Dankroth: ERST FIXen, dann weiterarbeiten </font>[/QUOTE]gott sei dank hab ich nur dsl anschluss und sonst nix, da kann mir ein dialer mindestens keinen finanziellen schaden anfügen (abgesehen von dem ärger den er mir gerade bereitet)

</font><blockquote>Zitat:</font><hr />Original erstellt von dankroth:
ich habe doch heute morgen ein update ausgeführt sollte auf dem neuesten stand sein</font>[/QUOTE]Das behebt aber eben nicht die prinzipiellen Sicherheitslücken wie Active X & Co. Daher mein Rat eines Browserwechsels.

so leute hab jetzt alles gelöscht:

Logfile of HijackThis v1.97.7
Scan saved at 16:58:46, on 25.02.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\Programme\Norton Internet Security\ccPxySvc.exe
C:\Programme\1&1 Programme\cFos\cFosDNT.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\windows\rundll32.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Outlook Express\msimn.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\totalcmd\TOTALCMD.EXE
c:\Install\hijackthis1977\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [cFosDNT] C:\Programme\1&1 Programme\cFos\cFosDNT.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [rundll32] C:\windows\rundll32.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Translate (HKLM)
O9 - Extra 'Tools' menuitem: Translator (HKLM)
O9 - Extra button: Recherche-Assistent (HKLM)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...042.0533564815
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{58318B55-EB54-4635-88C5-BD0D644B42AF}: NameServer = 217.5.99.105 194.25.2.129

und trotzdem passiert das im taskmanager:
in den anwendungen schliesen und öffnen sich task`s (die unteren 4) froh und munter die sind aber nicht sichtbar
http://www.box.ag/virus.jpg

was kann ich noch machen?

Edit:
nachdem ich 5 minuten online bin und die logs nochmal mit hijackthis auslese steht wieder ein müll drinnen

schau mal was in (start =&gt; ausführen =&gt;) msconfig alles geladen wird.
Lösche mal alle Temporären Internet-Dateien.
Hast Du die Tools aus meiner Signatur schon durchlaufen lassen?

heul

ja das hab ich schon alles gemacht nicht einmal sondern mehrmals.

alles vergebens

heul

Gaaanz ruhig.

Kannst Dir ja mal den FireFox-Browser downloaden, dann bist Du erstens mal im Internet und zweitens relativ sicher und schnell im Internet.
www.Firefox-Browser.de

Lasse auch mal (wenn nicht schon geschehen) ein oder mehrere Online-Virenscans (nacheinander!) drüber laufen.
Welchen Virenscanner benutzt Du normal?
Ist er auf dem neuesten Stand?

</font><blockquote>Zitat:</font><hr />Original erstellt von dankroth:
nachdem ich 5 minuten online bin und die logs nochmal mit hijackthis auslese steht wieder ein müll drinnen </font>[/QUOTE]Bist Du "nur" online oder surfst Du mit dem IE im Internet? Wenn ja, auf welchen Seiten (reproduzierbar?)?
Vielleich besuch nochmal windowsupdate.com, denn ich kann kaum glauben, dass alle Sicherheitspatches eingespielt sind.
Evtl. hilft es auch, die Tools nochmal im abgesicherten Modus zu starten.

Der Rat mit dem Browserwechsel bleibt natürlich bestehen, denn mit Opera, Mozilla, Firefox ist das Risiko, sich unabsichtlich Malware einzufangen, viel geringer (= Null!).

Gruß [img]graemlins/daumenhoch.gif[/img]
Yopie

also ich hab jetzt folgendes gemacht ohne erfolg:

diese reihenfolge:
1. alle virenprograme update auf den neuesten stand
2. cookies gelöscht
3. temporäre internetdateien (alles) gelöscht
4. verlauf gelöscht
5. das windoof update überprüft, es sind keine updates vorhanden system ist auf dem neuesten stand.
6. virenscanner (norten antivirus) gestartet
7. pc im abgesicherten modus hochgefahren
8. spybotsd drüberlaufen lassen
9. adaware
10. cwshredder
11. hijackthis
pc neu gestartet

und alles beim alten
bin ja schon froh das meine startpage nicht mehr verändert wird und in die favoriten nix eingetragen wird.

wie fängt alles an:

ich geh online: öffne ein explorer fenster blank, also ohne inhalt. und das ding läuft los.
also ich surfe nicht rum besuche keine seiten nichts.

und jetzt bin ich ratlos. :confused:

</font><blockquote>Zitat:</font><hr />Original erstellt von dankroth:
und jetzt bin ich ratlos. :confused: </font>[/QUOTE]Mmmh, ich auch... :confused:

systemwiederherstellung mal deaktivieren...neustarten.

dann eventuell noch einmal mit deinem norton durchscannen. dann melde dich nochmals.

gruss
rock