CWS gibt scho wieder ka Ruah !

[Dannyo]

Ordentlicher Dreck... hab mir schon wieder irgendeine CWS-Startseite eingefangen und der CWShredder bringt ihn genau so wenig weg wie HiJackThis.

Irgendwelche Ideen oder Tools ?

[Litzi]

Irgendwelche Ideen oder Tools ?

Bei mir fangts auch wieder an.... das selbe wie schon vor 2 wochen ca....

Und es nervt.....

Bin ebenfalls für jeden Tipp dankbar !

[Waschmaschine]

Spybot Search and Destroy

Ad-Aware

und davor alle Einträge aus der Hostslist raus bis auf den Localhost und die Hostslist danach schreibschützen.

P.S.: Zum finden der Hostslist einfach nach "hosts" suchen auf dem Computer - dann z. B. mit "Editor" öffnen.

bearbeitet 4. Juni 2004 von Waschmaschine

[Camlann]

Interessant wäre vor allem welche Startseite du dir eingefangen hast

[Dannyo]

Diese hier: http://213.159.117.132/1050/

Nachher macht er ausserdem immer einen Porno-Fullscreen auf...

[Camlann]

Schau dir das mal an

[Dannyo]

Alles klar, habe das jetzt mal erledigt, aber er gibt mir immer noch Main, Run oder Search-Befehle im HiJackThis. Habe mir mal die Log gespeichert:

Logfile of HijackThis v1.97.7

Scan saved at 00:07:28, on 07.06.2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\KEN!\KENCLI.EXE

C:\PROGRA~1\NORTON~1\AdvTools\NPROTECT.EXE

C:\Programme\Messenger\msmsgs.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Dokumente und Einstellungen\Dannyo.ASB\Anwendungsdaten\aboo.exe

C:\WINDOWS\System32\wnststr.exe

F:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.132/redir.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.132/redir.php

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.132/redir.php

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.132/redir.php

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=169.254.153.223:3128;https=169.254.153.223:3128;ftp=169.254.153.223:3128;socks=169.254.153.223:1080

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.132/redir.php

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.132/redir.php

R3 - URLSearchHook: (no name) - 3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

F1 - win.ini: run=C:\WINDOWS\System32\services\exploit.exe

O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - (no file)

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O14 - IERESET.INF: START_PAGE_URL=http://169.254.153.223:3128/ken2000.html

O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab

Der CWShredder findet nichts mehr, HiJackThis schon.

[Camlann]

HiJackThis erkennt auch Systemfiles als gefährlich an.

In deinem Log file kann ich nichts gefährliches erkennen

[Dannyo]

Und wie nennst du dann das ?

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.132/redir.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.132/redir.php

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.132/redir.php

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.132/redir.php

[Camlann]

Und wie nennst du dann das ?

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.132/redir.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.132/redir.php

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.132/redir.php

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.132/redir.php

Im gequoteten Beitrag hab ich nur ... = gesehen, nich das danach noch ein Link ist, sorry

Wenn das "alles" ist das übrig geblieben ist, würd ich vorschlagen du änderst diese Registrierungseinträge manuell

[Dannyo]

Wenn das "alles" ist das übrig geblieben ist, würd ich vorschlagen du änderst diese Registrierungseinträge manuell

Wie genau ?

Habe mal versucht diese redir-URL auf eine andere URL zu ändern, aber das setzt es immer wieder zurück.

[Camlann]

Wie genau ?

Habe mal versucht diese redir-URL auf eine andere URL zu ändern, aber das setzt es immer wieder zurück.

So wie´s aussieht hast du einen lässtigen Zeitgenossen auf deinem PC - vielleicht hilft dir das weiter

bearbeitet 8. Juni 2004 von Camlann

[Dannyo]

Nicht infiziert...

[Muuu]

Hmm also genau das gleiche Problem hab ich wohl nun auch !

Was kann ich nun dagegen machen ?!

Ich bin wohl alle hier geposteten Tipps durchgegangen aber nix ! Wenn ich Ad Aware durchlaufen lass findet er was, doch sobald ichs löschen will is es wieder da ...

Gleich mitm Norton Anti ... er findet 3 Viren ... 2 x Bloodhound.Packed und einmal nen Trojaner Namens: Trojan.Noupdate.B ...

Entfernen lassen sie sich nicht !!

[L'Antibois]

Selbes Problem, nutzt alles nix.