Startseite befallen

na dann schaue dir das hier erst mal an,
http://www.hijackthis.de/

und zu DSO Exploit, schaue hier mal nach,
http://www.wintotal.de/Tipps/Eintrag.php?TID=959

ok
habe dass mal durchgelesen
hab die logfile auswerten lassen
und siehe da
zwei einträge hatte ich vorher gar nicht beachtet
 es sieht so aus als währ ich sie los

danke für deinen rat

gruss huraxtax ...

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLACSD.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\AOL 9.0\waol.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\OutLaster\shhost.exe
C:\Programme\eDonkey2000\edonkey2000.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\AOL 9.0\aoltray.exe
C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\Programme\Web_Rebates\WebRebates1.exe
C:\Programme\Web_Rebates\WebRebates0.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Hoschi\LOKALE~1\Temp\Rar$EX00.172\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_30.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [shhost] C:\Programme\OutLaster\shhost.exe
O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe"
O4 - HKLM\..\Run: [eDonkey2000] "C:\Programme\eDonkey2000\edonkey2000.exe" -t
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: T-COM WLAN Manager T-Sinus 154data.lnk = C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file)
O9 - Extra button: Corel Network monitor worker - {293C1C74-F3D9-4C0E-846E-F4FF09F7B204} - (no file)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {293C1C74-F3D9-4C0E-846E-F4FF09F7B204} - (no file)
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file) (HKCU)
O9 - Extra button: Corel Network monitor worker - {293C1C74-F3D9-4C0E-846E-F4FF09F7B204} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {293C1C74-F3D9-4C0E-846E-F4FF09F7B204} - (no file) (HKCU)
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O13 - DefaultPrefix: http://www.heretofind.com/show.php?id=20&q=
O13 - WWW Prefix: http://www.heretofind.com/show.php?id=20&q=
O13 - Home Prefix: http://www.heretofind.com/show.php?id=20&q=
O13 - Mosaic Prefix: http://www.heretofind.com/show.php?id=20&q=
O13 - Gopher Prefix: http://www.heretofind.com/show.php?id=20&q=
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093466432250
O17 - HKLM\System\CCS\Services\Tcpip\..\{F4306DD5-8862-4821-AC1C-4FD4F5C129F2}: NameServer = 205.188.146.146

kann damit jemand was anfangen???

hab auch das problem mit heretofind

Systemwiederherstellung deaktivieren dann hier Escan runterladen->updaten wie beschrieben->in den abgesicherten-Modus booten->escan starten(doppelklick mwavscan.com)->zusätzlich alle Laufwerke und Services auswählen und das system damit scannen.

Danach ganz normal booten und wenns immernoch so ist nochmal ein LOG machen mit HIjackthis V1.98.2

Gruß

Halo Leute

Ihr müsst einfach den Ordner c:\spe löschen dann ist er weg.

Viel spaß noch

cu

@Nightwolf1979

Schon mal neu gebootet. Nichts für ungut. Ist dann aber immer noch da. Die Idee is n bischen zu einfach!

hilft es den ordner bei jedem boot neu zu löschen? ich meine ist ja nicht so hammer aufwendig.

Ich habe mitlerweile schon tausendmal neu gebootet und er bleibt weg.

Nachdem ihr den Ordner gelöscht habt müsst ihr die Regestrie noch reinigen ist doch klar.
Sorry hatte ich vorausgesetzt da hier ja jeder über HijackThis redet.
Also einfach nach dem löschen HijackThis laufen lassen udn Problem ist und BLEIBT weg.

CU

@Nightwolf1979

Schon mal neu gebootet. Nichts für ungut. Ist dann aber immer noch da. Die Idee is n bischen zu einfach!

@Nightwolf1979  

Ich hab dir geglaubt wenn du was schreibst und halbe Wahrheiten stimmen nun mal nicht. Das Löschen des Ordners allein hilft nicht weiter und genau das hast du behauptet. Und was ist bitte das für ein Niveau "Ich bin Informatiker". Wenn du als Informatiker 6 Stunden brauchst um darauf zu kommen die Registry zu reinigen und es in einem Thread nicht dazu schreibst??? Für eine schnelle Lösung auf jeden Fall nicht geeignet und als gründliche Lösung ebenfalls nicht.

Die schnelle Hilfe sieht so aus(Bootpartition in  NTFS): Den Ordner c:\spe\ leeren und die Berechtigungen für diesen Ordner alle löschen.
Dafür hab ich keine Informatikerausbildung und nur 1 Stunde gebraucht.

Die gründliche Lösung geht nur mit zusätzlichen Programmen (schon ausführlich beschrieben - mal googeln) RegClean reicht hier nicht aus.

Und noch 'n Tip nimm nicht immer alles so persönlich und hinterfrag dich selbst.

na dann schaue dir das hier erst mal an,
http://www.hijackthis.de/

und zu DSO Exploit, schaue hier mal nach,
http://www.wintotal.de/Tipps/Eintrag.php?TID=959

hm .. ich habs anders hinbekommen... allerdingens fahr ich W98 - da komm ich mit Berechtigungen nich' so jut klar... *g*.
Spybot S6D 1.3 findet zwar alle Registry-Einträge, aber das reicht ja bekanntlich nicht. Auch der Ordner C:\spe erstellt sich immer wieder neu. Witzig ist aber, daß in den reg-Einträgen auf die mir schon verdächtige "C:\windows\system\remove_me.dll" verwiesen wird. Auch hier ist die Kette nicht zu Ende (wenn ich dat file lösche, is es in fünf Minuten wieder da) - aber wenn ich eine Dummydatei mit diesem Namen erstelle und sie schreibschütze, bleibt mein IE nach dem Start immer sauber auf blank. Und das ist die Hauptsache. Mir ist auch klar, daß ich damit nur Symptome bekämpft habe (irgendwo muß das Skript ja lauern, das diese ".dll" erstellt) ... aber Faulheit siegt ja bekanntlich. In drei Jahren werd ich mehr Dummyfiles als Systemdateien in meiner Büchse beherbergen...*g*