Seit kurzem ist es bei so, dass wenn ich die Seite technik.movie2digital.de aufrufen will, der IE mich auf folgende Spammerseite umlenkt:

http://www.ms-search.com/search.php?aid=30625&q=technik.movie2digital.de

Woran liegt das?

AdAware hat nix gefunden...

mmm...

Modifiziert Hosts- Datei? must mal danach suchen, da sollte am Ende eigentlich nur localhost 127.0.0.1 stehen. Denke, du hast Malware (Spyware) drauf, die Ad-Aware noch nicht kennt, kannst CWShredder oder Spybot mal drüberlaufen lassen oder ein Log von Hijackthis posten ...

Die host ist nicht verändert.

CWShredder Log:

CWShredder v1.59.1 scan only report
Please understand that a CWShredder 'Scan only' report
might not be sufficient to troubleshoot an infected system.
You can use HijackThis for that:
http://www.merijn.org/files/hijackthis.zip
http://www.spywareinfo.com/~merijn/files/hijackthis.zip

Windows XP (5.01.2600 SP1)
Windows dir: C:\WINDOWS
Windows system dir: C:\WINDOWS\System32
AppData folder: C:\Dokumente und Einstellungen\Username:

Found Hosts file: C:\WINDOWS\System32\drivers\etc\hosts (820 bytes, A)
Shell Registry value: HKLM\..\WinLogon [Shell] Explorer.exe
UserInit Registry value: HKLM\..\WinLogon [UserInit] C:\WINDOWS\system32\userinit.exe,
Found Win.ini file: C:\WINDOWS\win.ini (1619 bytes, A)
Found System.ini file: C:\WINDOWS\system.ini (303 bytes, A)

- END OF REPORT -

Spybot werde ich nun mal laufen lassen...

Original geschrieben von Merkor
Die host ist nicht verändert.

CWShredder Log:

CWShredder v1.59.1 scan only report
Please understand that a CWShredder 'Scan only' report
might not be sufficient to troubleshoot an infected system.
You can use HijackThis for that:
http://www.merijn.org/files/hijackthis.zip
http://www.spywareinfo.com/~merijn/files/hijackthis.zip

Windows XP (5.01.2600 SP1)
Windows dir: C:\WINDOWS
Windows system dir: C:\WINDOWS\System32
AppData folder: C:\Dokumente und Einstellungen\Username:

Found Hosts file: C:\WINDOWS\System32\drivers\etc\hosts (820 bytes, A)
Shell Registry value: HKLM\..\WinLogon [Shell] Explorer.exe
UserInit Registry value: HKLM\..\WinLogon [UserInit] C:\WINDOWS\system32\userinit.exe,
Found Win.ini file: C:\WINDOWS\win.ini (1619 bytes, A)
Found System.ini file: C:\WINDOWS\system.ini (303 bytes, A)

- END OF REPORT -

Spybot werde ich nun mal laufen lassen...

Hi Merkor,
kannst mal die LoG von HijackThis posten, weil so kann man recht wenig erkennen...

Steht nix Interessantes drin, oder?

Logfile of HijackThis v1.98.0
Scan saved at 21:28:47, on 20.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\explorer.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Microsoft Hardware\Keyboard\type32.exe
C:\WINDOWS\system32\winservices.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\GEMEIN~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\IE New Window Maximizer\iemaximizer.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System\services.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\3Com Bluetooth\BTCM.exe
C:\Programme\WinTV\Ir.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Trillian Pro\trillian.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Popup Ad Filter\PopFilter.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Norton AntiVirus\OPScan.exe
C:\Programme\1\Security\HijackThis.exe

R3 - URLSearchHook: MailTo Class - {FDE3577A-6254-181C-4E11-339E4F746BD3} - C:\WINDOWS\System32\wins32t.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [XTNDConnect PC - ErPhn2] C:\PROGRA~1\GEMEIN~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [winsockdriver] winservices.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [tapisys] C:\WINDOWS\System32\tss.exe
O4 - HKCU\..\Run: [IE New Window Maximizer] C:\Programme\IE New Window Maximizer\iemaximizer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [System Update] C:\WINDOWS\System\services.exe
O4 - HKCU\..\Run: [tapisys] C:\WINDOWS\System32\tss.exe
O4 - HKCU\..\RunOnce: [winsockdriver] winservices.exe
O4 - Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe
O4 - Global Startup: Bluetooth Connection Manager.lnk = C:\Programme\3Com Bluetooth\BTCM.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check(3).lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV03.EXE
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: A&lles mit ReGet Deluxe herunterladen - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_All.htm
O8 - Extra context menu item: Allow Popups - C:\Programme\Popup Ad Filter\WhiteGetUrl.js
O8 - Extra context menu item: Herunterladen mit Re&Get Deluxe - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_Link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {1B9935E4-8A50-4DD8-BD09-A7518723BF97} (eAssist NetAgent Customer ActiveX Control version 3) - http://etalk.epson.de/netagent/objects/custappx3.CAB
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {4E888414-DB8F-11D1-9CD9-00C04F98436A} (Microsoft.WinRep) - https://webresponse.one.microsoft.com/oas/ActiveX/winrep.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/289c1adcb0931eb92405/netzip/RdxIE601_de.cab
O16 - DPF: {638AF6A2-81A1-4655-9FFA-9FC09CDE22CF} (CScanner Object) - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://www.mindfactory.de/live2/AxisCamControl.ocx
O16 - DPF: {A7E092C3-692A-11D0-A7E5-08002B322F3B} (WebResponseAttachments Control) - https://webresponse.one.microsoft.com/oas/ActiveX/FileXfer.cab
O16 - DPF: {AD7FAFB0-16D6-40C3-AF27-585D6E6453FD} -
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} - http://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O16 - DPF: {f760cb9e-c60f-4a89-890e-fae8b849493e} -
O16 - DPF: {FEC3E5A3-50F7-4B0C-97D8-01CF69DFBFC7} (Measurement Service Client) - http://ccon.madonion.com/global/msc.cab

Original geschrieben von Merkor
Steht nix Interessantes drin, oder?
Doch, laut http://www.hijackthis.de findet sich das hier.

C:\WINDOWS\system32\winservices.exe - Böse

C:\WINDOWS\System\services.exe - Böse

R3 - URLSearchHook: MailTo Class - {FDE3577A-6254-181C-4E11-339E4F746BD3} - C:\WINDOWS\System32\wins32t.dll - ???

O4 - HKLM\..\Run: [winsockdriver] winservices.exe - Böse

O4 - HKLM\..\Run: [tapisys] C:\WINDOWS\System32\tss.exe - ???

O4 - HKCU\..\Run: [System Update] C:\WINDOWS\System\services.exe - Böse

O4 - HKCU\..\Run: [tapisys] C:\WINDOWS\System32\tss.exe - ???

O4 - HKCU\..\RunOnce: [winsockdriver] winservices.exe - Böse


Aber warte mal ab ob die anderen noch etwas finden.

C:\WINDOWS\system32\winservices.exe <-- Wurm, erkennt Sophos seit Dezember 2002

C:\PROGRA~1\GEMEIN~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe
C:\Programme\IE New Window Maximizer\iemaximizer.exe <-- unbekanntes Programm, dürfte aber sauber sein
C:\WINDOWS\System\services.exe <-- falscher Ordner, müsste eigentlich im System32- Ordner liegen

R3 - URLSearchHook: MailTo Class - {FDE3577A-6254-181C-4E11-339E4F746BD3} - C:\WINDOWS\System32\wins32t.dll <-- ???

O4 - HKLM\..\Run: [XTNDConnect PC - ErPhn2] C:\PROGRA~1\GEMEIN~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe <-- die unbekannte Anwendung

O4 - HKLM\..\Run: [winsockdriver] winservices.exe <-- der Wurm
O4 - HKLM\..\Run: [tapisys] C:\WINDOWS\System32\tss.exe <-- Shell Switcher? müsste demnach ein Programm von MS sein
O4 - HKCU\..\Run: [IE New Window Maximizer] C:\Programme\IE New Window Maximizer\iemaximizer.exe <-- unbekannte Anwendung
O4 - HKCU\..\Run: [System Update] C:\WINDOWS\System\services.exe <-- garantiert kein System Update
O4 - HKCU\..\Run: [tapisys] C:\WINDOWS\System32\tss.exe <-- Shell Switcher?
O4 - HKCU\..\RunOnce: [winsockdriver] winservices.exe <-- der Wurm nochmal

Unnötige Einträge, kannst du gefahrlos löschen:
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.co...t/c381/chat.cab
O16 - DPF: {1B9935E4-8A50-4DD8-BD09-A7518723BF97} (eAssist NetAgent Customer ActiveX Control version 3) - http://etalk.epson.de/netagent/objects/custappx3.CAB
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {4E888414-DB8F-11D1-9CD9-00C04F98436A} (Microsoft.WinRep) - https://webresponse.one.microsoft.c...iveX/winrep.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/289c1adcb0931e...RdxIE601_de.cab
O16 - DPF: {638AF6A2-81A1-4655-9FFA-9FC09CDE22CF} (CScanner Object) - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://www.mindfactory.de/live2/AxisCamControl.ocx
O16 - DPF: {A7E092C3-692A-11D0-A7E5-08002B322F3B} (WebResponseAttachments Control) - https://webresponse.one.microsoft.c...eX/FileXfer.cab
O16 - DPF: {AD7FAFB0-16D6-40C3-AF27-585D6E6453FD} -
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} - http://ax.phobos.apple.com.edgesuit.../ITDetector.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/active...ol_v1-0-3-0.cab
O16 - DPF: {f760cb9e-c60f-4a89-890e-fae8b849493e} -
O16 - DPF: {FEC3E5A3-50F7-4B0C-97D8-01CF69DFBFC7} (Measurement Service Client) - http://ccon.madonion.com/global/msc.cab

Die meisten Einträge kannst du löschen (hiajckthis erstellt einen Ordner mit dem Namen Backups, da drinne sind die gelöschten Einträge zwecks Wiederherstellung zu finden), gleichzeitig solltest du die Dateien selber mal anschauen (einige kenne ich nicht), zippen und mir dann mailen. Ich will wissen, ob Antivir sie erkennt ;) ... EMail Lokadamus@gmx.de Betreff: 3dc- Würmer

OK, Jungs, vielen Dank schon mal!!

winservices.exe wird von Norton AV 2004 nicht erkannt! Habe den Kram nun manuell entfernt.

C:\WINDOWS\System\services.exe Diese Datei gibt es bei mir gar nicht. Was mache ich da denn nun mit?

"XTNDConnect" ist clean, genauso wie IEmaximizer.

mmm...

Die gibt es 100%, ansonsten würde sie nicht weiter oben als aktiver Task aufgelistet werden:
C:\WINDOWS\System\services.exe

Kannst du erstmal im Taskmanager abschiessen und dann im Explorer muss eingestellt sein, das Systemdateien (ist irgendwo oben in der Liste) und alle Dateien und Ordner angezeigt werden (findet man schnell), Extras => Optionen => Ansicht und dort die 2 Sachen raussuchen. Danach sollte die Datei zu sehen sein. Ich hasse diese scheiss Werbung oben, frisst nur Resourcen und interessiert niemanden ...

Du solltest die Dateien doch nicht löschen, sondern mir mailen, vielleicht hab ich Glück und deine Systemwiederherstellung holt die Dateien wieder ;) ...

So, hab sie nun doch gefunden, sie war versteckt, aber ich lasse immer alles anzeigen, sie war vorhin wirklich nicht da.

Den Prozess kann ich nicht killen. Ich werde nun mal neu starten, habe den Prozess nämlich aus der Registry rausgenommen.

Die Systemwiederherstellung schalte ich gleich mal aus... ;)

So, alles weg! Wenigstens die services.exe ist auf dem Weg zu dir. ;)

Und die Seite lässt sich auch wieder aufrufen. Aber da bin ich echt enttäuscht von Norton (einmal mehr)...

Bitte nochmals eine LOG-Datei erstellen und hier ins Forum stellen damit wir sicher sein können das momentan nichts mehr auf Deinem System werkelt was dort nicht hingehört !

TIP : Bei Spybot die Funktionen "Immunisieren" und "Blocken bösartiger Downloads beim IE" benutzen .
Spywareblaster wäre auch noch eine nette Zugabe - damit sollten sich Tracking-Cookies usw verhindern lassen die Werbefirmen gerne zum Spionieren benutzen

Original geschrieben von Anonym_001
Doch, laut http://www.hijackthis.de findet sich das hier.

C:\WINDOWS\system32\winservices.exe - Böse

C:\WINDOWS\System\services.exe - Böse

R3 - URLSearchHook: MailTo Class - {FDE3577A-6254-181C-4E11-339E4F746BD3} - C:\WINDOWS\System32\wins32t.dll - ???

O4 - HKLM\..\Run: [winsockdriver] winservices.exe - Böse

O4 - HKLM\..\Run: [tapisys] C:\WINDOWS\System32\tss.exe - ???

O4 - HKCU\..\Run: [System Update] C:\WINDOWS\System\services.exe - Böse

O4 - HKCU\..\Run: [tapisys] C:\WINDOWS\System32\tss.exe - ???

O4 - HKCU\..\RunOnce: [winsockdriver] winservices.exe - Böse


Aber warte mal ab ob die anderen noch etwas finden.

Das sagt Google dazu:

This is the Services Control Manager, which is responsible for running, ending, and interacting with system services.

Note: The services.exe file is located in the c:\windows\System32 folder. In other cases, services.exe is a virus, spyware, trojan or worm!


Da die datei bei die nicht im system32 ordner ist, ist es ein worm.

mmm...

Achja, Antivir erkennt die Services.exe als TR/SysTSK (also als Trojaner) ;) ...

iam.cool
Nett, das du es nochmal hoch geholt hast ;) ...