Wieder ein Startseiten-Virus

Dieses Thema im Forum "Sicherheit" wurde erstellt von ralhoh, 7. Dezember 2003.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. ralhoh

    ralhoh Byte

    Registriert seit:
    9. Oktober 2002
    Beiträge:
    23
    Bin Admin eine deutschen Erotik-Boards. Und da habe ich mir wieder beim Kontrollieren einiger Links so einen Startseiten-Mist eingefangen. Nennt sich diesmal "www.search-space.com" und "www.locator.com".

    Hab schon alles mögliche versucht:

    - System-Suche nach Dateien, die diese Wörter enthalten (damit hatte
    ich beim ersten Mal diesen Mist wegbekommen) - nichts gefunden

    - Registry editiert - immer wieder drin nach jedem Neustart

    - Inet Temp Dateine, Cookies und Cache geleert- keinen Erfolg

    -verschiedene Proggy's durchlauufen lassen (Spybot-Search and Destroy, XPClean, Ad-Aware) - auch alles ohne Erfolg

    - msconfig laufen lassen und dort nachgeschaut. Sind aber nur die Sachen drin, die drin sein sollen

    Habs dann mal mit CoolWebShredder versucht, der hat einiges gefunden, aber zeigt mir an, daß noch einige Dateien im Speicher aktiv sind, ich solle den PC neu starten und dann das Proggy neu ausführen. Nur liegt das Problem jetzt darin, daß es auch nach jedem Neustart wieder im Speicher geladen ist und ich so diese Dateien nicht wegbekomme!

    Hab mal versucht, die Startdateien und aktiven Prozesse zu überprüfen, aber da ich keine Ahnung davon habe, was alles bleiben muß, hab ich dann erst mal die Finger davon gelassen!

    Dieser Mist legt meine Internet-Verbindung lahm und, wenn ich aus dem Board einen Link in neuem Fenster öffnen will, macht er gar nichts mehr, oder öffnet irgendeine ****o-Seite mit Dialern.

    Komm zur Zeit überall nur noch mit dem T-Online-Browser zuverlässig rein.

    Auch funzt seitdem die normale Suchfunktion (Start-Suchen-Dateien und Ordner) nicht mehr. Kann nur noch über den Explorer suchen lassen.

    Wer weiß, wie ich diesen Müll wieder wegbekomme, ohne gleich wieder alles komplett neu zu installieren? Das nervt nämlich so langsam mit der ständigen Neuinstallation.


    Hier mal mein Highjacker-Logfile:


    Logfile of HijackThis v1.97.7
    Scan saved at 21:26:47, on 07.12.2003
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\System32\sistray.EXE
    C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
    C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
    C:\Program Files\ahead\InCD\InCD.exe
    C:\Programme\AVPersonal\AVGNT.EXE
    C:\windows\system32\msdmxm.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Programme\Messenger\msmsgs.exe
    C:\Programme\GetRight\getright.exe
    C:\Programme\GetRight\getright.exe
    C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
    C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
    C:\Programme\AVPersonal\AVGUARD.EXE
    C:\Programme\AVPersonal\AVWUPSRV.EXE
    C:\WINDOWS\System32\devldr32.exe
    C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
    C:\Programme\T-Online\T-Online_Software_5\Browser\browser.exe
    C:\Dokumente und Einstellungen\jesus\Desktop\HijackThis.exe

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.portalsearching.com/search/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.portalsearching.com/search.php
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.portalsearching.com/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.portalsearching.com/search.php
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.locators.com/sidebar/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    O2 - BHO: (no name) - {00110011-4B0B-44D5-9718-90C88817369B} - C:\WINDOWS\NavExt.dll
    O2 - BHO: (no name) - {D6862A22-1DD6-11D3-BB7C-444553540000} - C:\WINDOWS\Downloaded Program Files\BHO.dll (file missing)
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE
    O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [InCD] C:\Program Files\ahead\InCD\InCD.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
    O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
    O4 - HKLM\..\Run: [Msdmxm] c:\windows\system32\msdmxm.exe /noconnect
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
    O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Programme\GetRight\getright.exe
    O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
    O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
    O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
    O9 - Extra button: Locators.com Search Bar (HKLM)
    O9 - Extra 'Tools' menuitem: Locators.com Search Bar (HKLM)
    O16 - DPF: {00000000-8633-1405-0B53-2C8830E9FAEC} (IEDialerCtl Class) - http://www.netdebit.de/EURODIAL/NetDebit.cab
    O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} - http://install.global-netcom.de/ieloader.cab
    O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
    O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} (Loader Class) - http://connect.online-dialer.com/MaConnect.cab
    O16 - DPF: {486E48B5-ABF2-42BB-A327-2679DF3FB822} - http://akamai.downloadv3.com/binaries/IA/ia_XP.cab
    O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52...pple.com/abarth/de/win/QuickTimeInstaller.exe
    O16 - DPF: {67B15B0B-160C-4579-95AF-858169659092} (IELoaderCtl Class) - http://freeload.cc/secure/ieloader.cab
    O16 - DPF: {94742E3F-D9A1-4780-9A87-2FFA43655DA2} - http://akamai.downloadv3.com/binaries/DialHTML/EGDHTML_pack_XP.cab
    O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37947.6906712963
    O16 - DPF: {A0F0D762-D1DE-43AF-B70E-D87864743EB3} - http://204.177.92.201/nslite/nslite.cab
    O16 - DPF: {AB1E62EB-3DE3-428F-A417-64AB3C9B6CF0} (eConn Class) - http://econnect.libereco.net/econnect.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
    O16 - DPF: {D6862A22-1DD6-11D3-BB7C-444553540000} (BHO.clsInetSpeak) - http://www.sexxx-direct.com/BHO.CAB
    O16 - DPF: {FFFF0003-0001-101A-A3C9-08002B2F49FB} - http://www.sex-moviez.com/DESEX.exe
    O17 - HKLM\System\CCS\Services\Tcpip\..\{71DD9105-002C-488B-A0BD-C3B44EF8E577}: NameServer = 62.155.255.16 194.25.2.129

    Ich denke mal, daß das weiterhilft!
     
  2. Gast

    Gast Guest

    Hallo,

    empfehle dir den Firebird und Thunderbird für Mails:

    http://www.firebird-browser.de/

    Benutze die Programme seit längerer Zeit und bin begeistrt. Browse mal durch die Links, dort ist alles erklärt. Auch in diesem Forum ist der Browser häufig Thema.

    Die Favoriten kannst du importieren.

    Zu deinem Parasiten: Falls noch vertretbar ,mach doch mal ne Systemwiedeherstellung!
     
  3. bedlam

    bedlam ROM

    Registriert seit:
    13. Dezember 2003
    Beiträge:
    7
    Hallo,

    ich habe seit einigen Tagen genau das gleiche Problem mit dieser komischen Startseite "www.search-space.com". Es ist mir total schleierhaft woher ich das haben soll.
    Da ich nicht soviel Ahnung habe und mit den vielen Begriffen hier nichts anfangen kann, werde ich wohl meinen Browser wechseln.
    (Eine einfache Lösung für diesen Mist scheint es ja wohl nicht zu geben)

    Ist dann eigentlich das Problem erledigt???
    Welchen könnt hier mir empfehlen?
    Wie mache ich den Wechsel und wie übernehme ich meine Favoriten?

    Vielen Dank
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen