Browser wandert selbstständig auf Werbeseite

Wahrscheinlich Spyware

http://www.chip.de/downloads/c1_downloads_13001443.html
(Runterladen, Installieren, Updaten, alles unnötige Löschen!)

http://download.hijackthis.eu/hijackthis_199.zip
(Runerladen, Installieren, Prüfen, LogFile posten!)

http://www.chip.de/downloads/c1_downloads_13000824.html
(runterladen, Installieren, Updaten, Prüfen, alles unnötige Weg!)



#scootertuner 

Danke für die Info.
Schritt 1 ist erledigt, hier nun die Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 22:41:43, on 20.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\LckFldService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\QuickTime\qttask.exe
C:\Windows\System\csrss.exe
C:\Program Files\Windows Media Player\Skins\WindowsMediaSkin\Data\smss.exe
C:\Programme\emule\emule.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\volker\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinic.exe,userinit.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MSConfig] C:\Dokumente und Einstellungen\volker\Desktop\msconfig.exe /auto
O4 - HKLM\..\Run: [Lexmark_X79-55] C:\WINDOWS\system32\lsasss.exe
O4 - HKCU\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted IP range: 206.161.125.149
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://as.photoprintit.de/ips-opdata/activex/IPSUploader.cab
O16 - DPF: {FB90BA05-66E6-4C56-BCD3-D65B0F7EBA39} (Foto.com SpeedUploader 1.0 Control) - http://express.foto.com/FUploader/SpeedUploader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: 
O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService.exe

 

Hallo,

Log-File gleich selbst bei www.hijackthis.de auswerten

@scootertuner
da helfen weder Witzprogramme wie Spybot und Adaware sondern
@vubler
das System neuaufsetzen !!!da hilft kein fixen oder säubern.

Moin!

ACK, die Kiste ist mit 'ner Säuberungsaktion nicht mehr zu retten. Du hast mindestens zwei Viecher  drauf, die irgendwas nachladen können. Außerdem noch diverses andere Zeugs.
Setz die Kiste ordentlich neu auf. Dürfte wohl die am wenigsten zeitintensive und die sicherste Methode sein.

@big
das ist das einzigste was er machen kann/muß.

Oh nein
Da hat einer angefangen mit Rechner neu aufsetzen und jetzt kommen noch 2 dazu oder wie? Ganz toll.

Geh mal auf hijackthis.de und kopier die Logfile darein! Dann siehst du welche Einträge ein Rotes Kreuz haben! Diese bitte dann unbedingt fixen (sind sehr viele)



#scootertuner

Danke an alles für die Hilfe.
@scootertuner:
Wie geht man gegen die fraglichen running processes an?
Da erscheint zweimal die Meldung :

"Laut unserer Datenbank läuft dieser Prozess nomalerweise in c:\windows\system32\! Überprüfen Sie, ob Sie die Datei kennen und führen Sie ggf. einen Virencheck durch. Prozess läuft nicht im System32 Ordner!"!

Hier ist fixen glaube ich nicht erfolgreich: Kommt wieder:

O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll

Hallo,

Du solltest dringend neuaufsetzen !!
Diese Anleitung ist die beste die kenne :

http://www.trojaner-board.de/12154-anleitung-neuaufsetzen-des-systems-und-anschliessende-absicherung.html

Leider weiß "scootertuner" nicht mal ansatzweise von was er spricht.
Auf die automatische Auswertung" ist kein Verlass.Diese ist sehr lückenhaft.
Du hast zwei aktive Backdoortrojaner auf deiner Kiste.
Die kannst du übrigens "fixen" so oft du willst,sie werden nach jedem Neustart wieder da sein...
Frag doch "scootertuner" mal,was genau beim "fixen mit Hijackthis" eigentlich passiert...
Ich wette ,er wird dir eine Menge ** Netiquette! ** erzählen,wenn er sich überhaupt traut...
Ich gebe dir dann den Link ,der dich zu dem Programmierer von Hijackthis führt.Er persönlich sagt dir dann was da genau eigentlich gemacht wird...
Sir Reklov

Ich weiß echt nicht was mit den Leute hier los ist. Seit wann muss man bei einem Trojaner neu aufsetzen? Ich lese das zum ersten mal

Leider weiß "scootertuner" nicht mal ansatzweise von was er spricht.
Auf die automatische Auswertung" ist kein Verlass.Diese ist sehr lückenhaft.
Du hast zwei aktive Backdoortrojaner auf deiner Kiste.
Die kannst du übrigens "fixen" so oft du willst,sie werden nach jedem Neustart wieder da sein...
Frag doch "scootertuner" mal,was genau beim "fixen mit Hijackthis" eigentlich passiert...
Ich wette ,er wird dir eine Menge ** Netiquette! ** erzählen,wenn er sich überhaupt traut...
Ich gebe dir dann den Link ,der dich zu dem Programmierer von Hijackthis führt.Er persönlich sagt dir dann was da genau eigentlich gemacht wird...
Sir Reklov

Hallo,

beherzige deine eigenen Worte und gehe Mofas reparieren...

 

Ich helfe nur bei Dingen, die ich selbst verstehe

aber solche "Vorwürfe" muss ich mir nicht an den Kopf fallen lassen

@scootertuner:
http://www.microsoft.com/germany/technet/datenbank/articles/600574.mspx
sowie
http://www.microsoft.com/germany/technet/datenbank/articles/600575.mspx

Und jetzt genug mit der Troll-Fütterung