Dialer und Startseitenprobleme...
 

Hallo

Bin gerade heute durch google auf dieses forum gestoßen und hoffe jemand könnte mir helfen... Ich habe folgendes problem:Mein PC ist seeehr langsam geworden, wahrscheinlich wegen den dialers, die mein McAfee stets findet,löscht, die aber auch immer wieder kommen. Als ich die firewall von MA noch nicht hatte kam dauernd eine art pop-up die ''please select your country'' anzeigte.. die datei, die das auslöst hab ich auf C: gefunden, lösche sie immer , sie kommt aber immer wieder...hat jemand ne idee wie ich das wieder los krieg? achja: zweites problem.. seit neustem ändert sich meine startseite immer von selbst von google.at zu http://213.159.117.134/index.php
eineer page namens cool web search.... ich hoffe sehr dass mir wer hilft, denn in sachen viren loswerden bin ich nicht allzu gut -_-"
vielen dank im voraus

Guy Incognito

Lade dir Hijackthis runter
http://www.trojaner-board.de/51130-a...ijackthis.html

und poste das log hier

da ich das selbe problem mit der startseite (nud mein antivirenprogramm spricht mich mit der meldung "Trojanisches Pferd TR/Drop.Delf.DJ.3 gefunden" an.habe hier mal meine logfile...kann wer helfen?

Logfile of HijackThis v1.99.0
Scan saved at 17:29:30, on 11.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\SLEE503.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Winamp\Winampa.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\PestPatrol\PPMemCheck.exe
C:\Programme\PestPatrol\CookiePatrol.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\systime.exe
C:\WINDOWS\nmmst.exe
C:\Programme\Skype\Phone\Skype.exe
C:\WINDOWS\system32\systime.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\ACER Technology Corporation\ACER WLAN 11g USB adapter\ACERWlan.exe
C:\Programme\PerSono\perstray.exe
C:\Programme\Trillian\trillian.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\System Essentials\hijackthis199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
O1 - Hosts: 127.0.0.3 www.greg-tut.com
O1 - Hosts: 127.0.0.3 nylonsexy.com
O1 - Hosts: 127.0.0.3 www.nylonsexy.com
O1 - Hosts: 127.0.0.3 vparivalka.com
O1 - Hosts: 127.0.0.3 www.vparivalka.comtoescrowpay.com
O1 - Hosts: 127.0.0.3 www.awmdabest.com
O1 - Hosts: 127.0.0.3 www.sexfiles.nu
O1 - Hosts: 127.0.0.3 awmdabest.com
O1 - Hosts: 127.0.0.3 sexfiles.nu
O1 - Hosts: 127.0.0.3 allforadult.com
O1 - Hosts: 127.0.0.3 www.allforadult.com
O1 - Hosts: 127.0.0.3 www.iframe.biz
O1 - Hosts: 127.0.0.3 iframe.biz
O1 - Hosts: 127.0.0.3 www.newiframe.biz
O1 - Hosts: 127.0.0.3 newiframe.biz
O1 - Hosts: 127.0.0.3 www.vesbiz.biz
O1 - Hosts: 127.0.0.3 vesbiz.biz
O1 - Hosts: 127.0.0.3 www.pizdato.biz
O1 - Hosts: 127.0.0.3 pizdato.biz
O1 - Hosts: 127.0.0.3 www.aaasexypics.com
O1 - Hosts: 127.0.0.3 aaasexypics.com
O1 - Hosts: 127.0.0.3 www.virgin-tgp.net
O1 - Hosts: 127.0.0.3 virgin-tgp.net
O1 - Hosts: 127.0.0.3 www.awmcash.biz
O1 - Hosts: 127.0.0.3 awmcash.biz
O1 - Hosts: 127.0.0.3 buldog-stats.com
O1 - Hosts: 127.0.0.3 www.buldog-stats.com
O1 - Hosts: 127.0.0.3 fregat.drocherway.com
O1 - Hosts: 127.0.0.3 slutmania.biz
O1 - Hosts: 127.0.0.3 www.slutmania.biz
O1 - Hosts: 127.0.0.3 toolbarpartner.com
O1 - Hosts: 127.0.0.3 www.toolbarpartner.com
O1 - Hosts: 127.0.0.3 www.megapornix.com
O1 - Hosts: 127.0.0.3 megapornix.com
O1 - Hosts: 127.0.0.3 www.sp2fucked.biz
O1 - Hosts: 127.0.0.3 sp2fucked.biz
O1 - Hosts: 127.0.0.3 greg-tut.com
O1 - Hosts: http://213.159.117.133/dkprogs/hosts.txt
O2 - BHO: (no name) - {B72F75B8-93F3-429D-B13E-660B206D897A} - (no file)
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [SysTime] C:\WINDOWS\system32\systime.exe
O4 - HKLM\..\Run: [_Cat1] C:\WINDOWS\nmmst.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SysTime] C:\WINDOWS\system32\systime.exe
O4 - Startup: Trillian.lnk = C:\Programme\Trillian\trillian.exe
O4 - Global Startup: ACER WLAN 11g USB Utility.lnk = C:\Programme\ACER Technology Corporation\ACER WLAN 11g USB adapter\ACERWlan.exe
O4 - Global Startup: Perstray.lnk = ?
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{0FF8C8BF-971B-45F5-BB7E-FD07A7EC4C2F}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{0FF8C8BF-971B-45F5-BB7E-FD07A7EC4C2F}: NameServer = 192.168.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{0FF8C8BF-971B-45F5-BB7E-FD07A7EC4C2F}: NameServer = 192.168.0.1
O18 - Filter: text/html - {B72F75B8-93F3-429D-B13E-660B206D897A} - (no file)
O18 - Filter: text/plain - {B72F75B8-93F3-429D-B13E-660B206D897A} - (no file)
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Steganos Live Encryption Engine (Version 503) [Service] - Unknown - C:\WINDOWS\system32\SLEE503.exe
O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

hmmm...auch das löschen der regfiles brachte keinen erfolg...und ich habe keine lust das windows deswegen nochmal neu machen zu müssen...brauche dringend hilfe...kann man denn gegen den betreiber gar nichts tun?denn schließlich kam diese site net freiwillig auf meinen rechner

Hi,
probier doch mal im IE
Extras
Ordneroptionen
und dann gehb deine Wunschadresse ein!!:cool:

Ich will erst mal alles angeben was auf deinen system ist...

C:\WINDOWS\system32\systime.exe (Trojan Downloader)
C:\WINDOWS\nmmst.exe (Hab ich noch nie gesehen)
Die ganzen 01 Einträge
O2 - BHO: (no name) - {B72F75B8-93F3-429D-B13E-660B206D897A}
-nofile
O4 - HKLM\..\Run: [SysTime] C:\WINDOWS\system32\systime.exe
O18 - Filter: text/html - {B72F75B8-93F3-429D-B13E-660B206D897A} - (no file)

O18 - Filter: text/plain - {B72F75B8-93F3-429D-B13E-660B206D897A} - (no file)

Du glaubst dieses System vom Februar ist jetzt im Dezember noch aktuell?
Das Datum oben links steht zur Information und nicht zum Schmuck dort oben. :lach:

lOl das mit den datum hab ich nicht gesehen xD
Hab gepostet da ich dachte es wäre neu weil jemand anderes reingeschrieben hat! :huepp: