You're Visiting Illegal Underage Sites!!!

im abgesicherten Modus gescannt ??

Ja, aber nur mit Ad-Aware, Spybot und eScan! Wobei der eScan viele Trojaner endeckt hat aber das löschen mit dem Programm ist ziemlich kompliziert also weiß ich nicht, ob das ganze geklappt hat!!   

Besorg dir hier eScancheck 110-sfx

Dann das sfx ausführen dann wirds entpackt und gestartet.

Danach gehste auf Sonstiges-> eScan Download/Update/Start

Dort klickste die ersten 2 an(download/Update) ->'Start'
Dann wird Escan heruntergeladen und upgedatet
Danach offline gehn den Rechner im abgesicherten-Modus starten (als Admin anmelden falls mehrere Konten).

Dann EScancheck wieder aufrufen -> Sonstiges-> eScan Download/Update/Start und jetzt nur 'Escan Start' anklicken->Start und Escan fängt zu scannen an mit den empfohlenen Einstellungen.

Wenn er fertig ist mit scannen (kann lange dauern), gehst in Escancheck auf Datei->Escan-LOg öffnen wählst die mwav.log aus->OK

Wenn Einträge auftauchen machste nen rechtsklick->alle infizierten markieren.

Dann unten die letzten 3 anhaken (ausser fenster im Vordergrund) und klickst auf Dateien löschen.

Dann wird der Rechner neugestartet.
Nach dem Neustarten suchste die Datei escan_Result.txt öffnest die kopierst alles und fügst es hier ins Forum ein bei Antworten.

Danach kannste noch ein Hijackthis-LOG hier reinstellen.

Gruß

Hier ist schon mal die HijackThis Log File!!! Den Rest mache ich jetzt!!!


Logfile of HijackThis v1.99.1
Scan saved at 19:29:04, on 14.06.2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\FRITZ!DSL\fritzdsl.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Lenny\Desktop\HijackThis.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = C:\Programme\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{70EEA4F0-DBAE-4F93-B2EE-63F91EE796AB}: NameServer = 69.50.176.198,195.225.176.153
O17 - HKLM\System\CCS\Services\Tcpip\..\{AB3810E2-D569-4016-B40A-64F815EC95A4}: NameServer = 69.50.176.198,195.225.176.153
O17 - HKLM\System\CCS\Services\Tcpip\..\{DAD3B4EC-5246-4DC7-BB0F-3D37749D846F}: NameServer = 69.50.176.198,195.225.176.153
O17 - HKLM\System\CS2\Services\Tcpip\..\{12929785-A1D7-43BD-9E90-66045DE27ACA}: NameServer = 69.50.176.198,195.225.176.153
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe

Ist nichts böses dabei!!! Hier ist die escan_result.txt!!!


--------------------------------------------------
-------------------- INFECTED --------------------
--------------------------------------------------

1: Tue Jun 14 20:06:52 2005 => File C:\WINDOWS\System32\csukp.exe infected by "Trojan-Dropper.Win32.Agent.nj" Virus! Action Taken: No Action Taken.
2: Tue Jun 14 20:16:56 2005 => File C:\WINDOWS\system32\csukp.exe infected by "Trojan-Dropper.Win32.Agent.nj" Virus! Action Taken: No Action Taken.
3: Tue Jun 14 21:09:49 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
4: Tue Jun 14 21:16:37 2005 => Scanning Folder: C:\Programme\Softwin\BitDefender Free Edition\Infected\*.*
5: Tue Jun 14 21:16:48 2005 => Scanning Folder: C:\Programme\PDG 4\infected\*.*
6: Tue Jun 14 21:16:48 2005 => Scanning File C:\Programme\PDG 4\infected\infected.txt [**]

--------------------------------------------------
--------------------- ERRORS ---------------------
--------------------------------------------------

1: Tue Jun 14 19:41:32 2005 => ERROR!!! Invalid Entry System32\DRIVERS\MemStPCI.SYS in SYSTEM\CurrentControlSet\Services\MemStPCI...
2: Tue Jun 14 19:42:07 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "C:\WINDOWS\Downloaded Program Files\AdToolsX.dll". Action Taken: No Action Taken.
3: Tue Jun 14 19:42:07 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "C:\WINDOWS\Downloaded Program Files\editLive4.chm". Action Taken: No Action Taken.
4: Tue Jun 14 19:42:07 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "C:\WINDOWS\Downloaded Program Files\editLive4.ocx". Action Taken: No Action Taken.
5: Tue Jun 14 19:42:07 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "C:\WINDOWS\Downloaded Program Files\editLive4common.exe". Action Taken: No Action Taken.
6: Tue Jun 14 19:42:07 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "C:\WINDOWS\Downloaded Program Files\hrtbeat.ocx". Action Taken: No Action Taken.
7: Tue Jun 14 19:42:07 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "C:\WINDOWS\Downloaded Program Files\ICQVideoControl.dll". Action Taken: No Action Taken.
8: Tue Jun 14 19:42:07 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "C:\WINDOWS\Downloaded Program Files\RdxIE.dll". Action Taken: No Action Taken.
9: Tue Jun 14 19:42:07 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\ModuleUsage" refers to invalid object "C:\WINDOWS\Downloaded Program Files\setacceptlang.dll". Action Taken: No Action Taken.
10: Tue Jun 14 19:42:08 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\Downloaded Program Files\editLive4common.exe". Action Taken: No Action Taken.
11: Tue Jun 14 19:42:08 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\Downloaded Program Files\editLive4.chm". Action Taken: No Action Taken.
12: Tue Jun 14 19:42:08 2005 => Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" refers to invalid object "C:\WINDOWS\Downloaded Program Files\editLive4.ocx". Action Taken: No Action Taken.
13: Tue Jun 14 19:42:14 2005 => Entry "HKCR\CLSID\{56D9BD1C-ED45-4adb-BE0A-FF68C7F69BE2}" refers to invalid object "dit5gr2e.dll". Action Taken: No Action Taken.
14: Tue Jun 14 19:42:17 2005 => Entry "HKCR\CLSID\{88E729D6-BDC1-11D1-BD2A-00C04FB9603F}" refers to invalid object "fde.dll". Action Taken: No Action Taken.
15: Tue Jun 14 19:42:19 2005 => Entry "HKCR\CLSID\{B0693766-5278-4ec6-B9E1-3CE40560EF5A}" refers to invalid object "CaPlgin.ax". Action Taken: No Action Taken.
16: Tue Jun 14 19:42:22 2005 => Entry "HKCR\CLSID\{E9B718D0-9E18-4737-B958-94E9FDEA28D5}" refers to invalid object "C:\WINDOWS\System32\bveta.dll". Action Taken: No Action Taken.
17: Tue Jun 14 19:42:26 2005 => Entry "HKCR\ComPlusMetaData.MsCorHost" refers to invalid object "{727CDF4F-3BA0-11D3-8738-00C04F79ED0D}". Action Taken: No Action Taken.
18: Tue Jun 14 19:42:26 2005 => Entry "HKCR\ComPlusMetaData.MsCorHost.2" refers to invalid object "{727CDF4F-3BA0-11D3-8738-00C04F79ED0D}". Action Taken: No Action Taken.
19: Tue Jun 14 19:42:28 2005 => Entry "HKCR\EphoxEditLive4.EditLive" refers to invalid object "{DA511858-B44C-439E-A0EA-704ED20035E7}". Action Taken: No Action Taken.
20: Tue Jun 14 19:42:32 2005 => Entry "HKCR\PE2.BasicEditing" refers to invalid object "{ED88DAF1-BA55-11D0-9620-0080C81859FE}". Action Taken: No Action Taken.
21: Tue Jun 14 19:42:32 2005 => Entry "HKCR\PE2.BnC" refers to invalid object "{0B796E76-BA4D-11D0-9617-0080C81859FE}". Action Taken: No Action Taken.
22: Tue Jun 14 19:42:32 2005 => Entry "HKCR\PE2.ClrBaln" refers to invalid object "{B6F7CD57-DCBC-11D0-9617-0080C81859FE}". Action Taken: No Action Taken.
23: Tue Jun 14 19:42:32 2005 => Entry "HKCR\PE2.Crop" refers to invalid object "{B5CE2CD5-C0A1-11D0-9617-0080C81859FE}". Action Taken: No Action Taken.
24: Tue Jun 14 19:42:32 2005 => Entry "HKCR\PE2.Rotate" refers to invalid object "{ACA339B5-189F-11D1-A838-0080C81F572B}". Action Taken: No Action Taken.
25: Tue Jun 14 19:42:33 2005 => Entry "HKCR\RealDownloadExpress.IE" refers to invalid object "{56336BCB-3D8A-11d6-A00B-0050DA18DE71}". Action Taken: No Action Taken.
26: Tue Jun 14 19:42:33 2005 => Entry "HKCR\RealDownloadExpress.IE.1" refers to invalid object "{56336BCB-3D8A-11d6-A00B-0050DA18DE71}". Action Taken: No Action Taken.

--------------------------------------------------
-------- DATEIEN ZUM LÖSCHEN HINZUGEFÜGT ---------
--------------------------------------------------

1: C:\WINDOWS\System32\csukp.exe => Trojan-Dropper.Win32.Agent.nj
2: C:\WINDOWS\system32\csukp.exe => Trojan-Dropper.Win32.Agent.nj

--------------------------------------------------
-------------------- Statistik -------------------
--------------------------------------------------

Tue Jun 14 21:31:19 2005 => Total Objects Scanned: 49268
Tue Jun 14 21:31:19 2005 => Total Virus(es) Found: 4
Tue Jun 14 21:31:19 2005 => Total Errors: 26
Tue Jun 14 21:31:20 2005 => Virus Database Date: 2005/06/12
Tue Jun 14 21:31:20 2005 => Virus Database Count: 134380
Tue Jun 14 23:21:40 2005 => Total Objects Scanned: 49268
Tue Jun 14 23:21:40 2005 => Total Virus(es) Found: 4
Tue Jun 14 23:21:40 2005 => Total Errors: 26

Wieso Nix ernstes ?? OBEN : INFEKTED !!!
Unten : viruses Found 4  ???
FIXEN und löschen !!! ???

Ich meinte mit nix böses den HijackThis Log!!! Also nachdem eScan durchgelaufen ist, habe ich die beiden Trojaner vom Programm löschen lassen, sowie die anderen Dateien, die infiziert waren, selber gelöscht!! Das ist ja alles schön und gut - das einzige Problem ist das dieser Desktophintergrund immer noch da ist!!! Gibt es vielleicht noch andere Möglichkeiten oder habe ich was falsch gemacht??

Was ist das hier:

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

Kann der Hintergrund davon kommen?

Ansonsten mach start->ausführern->Eingabe: regedit

Dann links oben Arbeitsplatz markieren->Menü: Bearbeiten->suchen

Suchbegriff: Wallpaper

Und dort schauste dann ob und was dort drinsteht.
Wenn dort was drinsteht klickste mit der rechten Maustaste auf Wallpaper->ändern und löschst den Inhalt raus, und wenn das nicht funktioniert schreibste rein: (Kein)

Solang nach Wallpaper suchen bis kommt: registrierung wurde durchsucht, weil wallpaper öfters vorkommt.

Gruß

So ich habe jetzt mein Systemneu aufegesetzt, weil alles was ich versucht habe nicht geklappt hat. Ich danke trotzdem nochmals für eure Hilfe. Danke!!!

--- auch 'ne Möglichkeit.
Und jedenfalls einigermassen sicher - wenn man dann vorsorgt:

Vorsorge: (Natürlich einen Virenscanner benutzen)

1. Einen anderen Browser benützen
(Den IE nur für Windows-Update und das auch gleich ausführen)

http://firebird-browser.de/

2. Spybot und Spyware-Blaster laden und jede Woche updaten.

http://spybot.safer-networking.org/index.php?lang=de&page=download
SpywareBlaster: http://www.zdnet.de/downloads/prg/3/7/en10196637-wc.html
Bei Spybot den 'erweiterten Modus' aktivieren und die Werzeuge:
BHO's, Browser-Seiten, IE-Spielereien, und Host-Datei, sowie Prozess-Liste und System Innnereien aktivieren.  Innerhalb beider Programme Updates und Immunisierung durchführen.

3. Bei XPSp2 den Firewall benutzen (nicht abstellen)
oder einen anderen Firewall installieren.

http://download.zonelabs.com/bin/free/de/download/znalmZAAV.html

4. Bei Einwahlmodems antidialler Software installieren und sich vor einem Schadenfall informieren:

http://www.dialerschutz.de/home.php
http://www.dialerhilfe.de/start/start.php

(Allerdings ist es am besten einen guten Virenscanner zu kaufen. Der hat heute (fast) alle Tools drin:
http://www.kaspersky.com/de/downloads?chapter=146440558 )

Ich hab im Prinzip das gleiche Problem. Bei mir steht nur --- statt Underage.
Also ich würde nur ungern mein Wondows deswegen killen. Der Rote Hintergrund ist nicht einfach ein Hintergrund sondern eine auf den Aktiv Desktop verlinkte Internetseite.
Leider bringt es nichts, die Seite im abgesicherten Modus zu löschen. Wenn ich neu starte, ist sie wieder da. Muss sagen, so langsam weiß ich nicht mehr weiter.

Lösung:

1.) Im Abgesicherten Modus starten und unter C:\Windows und c:\windows\system32 die EXE-Dateien löschen (meist 626*****.exe). Sollte dies nicht gehen, Platte ausbauen und an einen anderen Rechner hängen.

2.) Den AktiveDesktop deaktivieren (Systemsteuerung -> Anzeige -> Desktop -> Desktop anpassen -> Web, und dort den Eintrag löschen.

Der Spuk hat ein Ende.

Gruss,

FaZtiG

Hi,

erstmal riesen Dank an an euch, habe das Zeugs runter bekommen, das einzigste was nicht so recht will ist der DesktopHintergrund, habe auch schon im abgesicherten Modus probiert, aber da kommt dann immer wieder das alte

naja, wie gesagt, danke nochmal ...

mfg
jute