rookit statt google öffnen sich andere seiten.......

hab ein problem:

wenn ich google öffnet sich immer wieder ein kleines fenster mit dem inhalt: looking for..... cklick here usw.
es öffnen sich dann auch noch anndere seiten ( meist ****os)

das internet funzt auch extrem langsam. antivirus und firewall finden nichts.

ich glaube, dass ich mir nen wurm oder sowas eingefangen habe und wolte das ganze mit dem tool L2mfix testen, leider finde ich keinen downloadlink, der funzt.

hat jemand ne idee?

 

Hallo,

http://www.simplytech.it/L2MRemover/index_de.htm

http://virus-protect.org/l2mfix.html

und bitte ein HiJackThis wie oben im Forum beschrieben posten.

 

mein HijackThis Bericht:

Logfile of HijackThis v1.99.1
Scan saved at 12:35:59, on 28.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
HJ-Log entfernt - Rattiberta



hab auch mal bitdefender_antirootkit-BETA2 getestet, der hat nichts gefunden.

mit escan hab ich folgenden virusbericht bekommen:
Object "universal searchbar Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCR\Alg.AlgSetup" verweist auf das ungültige Objekt "{27D0BCCC-344D-4287-AF37-0C72C161C14C}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCR\Alg.AlgSetup.1" verweist auf das ungültige Objekt "{27D0BCCC-344D-4287-AF37-0C72C161C14C}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCR\MailFileAtt" verweist auf das ungültige Objekt "{00020D05-0000-0000-C000-000000000046}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCR\mapifvbx.object" verweist auf das ungültige Objekt "{41116C00-8B90-101B-96CD-00AA003B14FC}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCR\mapifvbx.object.1" verweist auf das ungültige Objekt "{41116C00-8B90-101B-96CD-00AA003B14FC}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCR\Plenoptic.Plenoptic" verweist auf das ungültige Objekt "{607C27E9-AB27-11d3-A116-A0EA50C10801}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCR\Plenoptic.Plenoptic.1" verweist auf das ungültige Objekt "{607C27E9-AB27-11d3-A116-A0EA50C10801}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCR\RTCCore.RTCClient" verweist auf das ungültige Objekt "{7a42ea29-a2b7-40c4-b091-f6f024aa89be}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCR\RTCCore.RTCClient.1" verweist auf das ungültige Objekt "{7a42ea29-a2b7-40c4-b091-f6f024aa89be}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCR\WMPPublsihCntr.WMPPublsihCntr" verweist auf das ungültige Objekt "{939438A9-CF0F-44d8-9140-599736F0D3A2}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCR\WMPPublsihCntr.WMPPublsihCntr.1" verweist auf das ungültige Objekt "{939438A9-CF0F-44d8-9140-599736F0D3A2}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCR\WMPShell.HWEventHandler" verweist auf das ungültige Objekt "{9B186A8F-F520-4eeb-B553-118304AC46C5}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCR\WMPShell.HWEventHandler.1" verweist auf das ungültige Objekt "{9B186A8F-F520-4eeb-B553-118304AC46C5}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINDOWS\System32\msxml3a.dll". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINDOWS\system32\pxwma.dll". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDlls" verweist auf das ungültige Objekt "C:\WINDOWS\system32\pxcpyi64.exe". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".fkv". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".fllv". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".tmp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\4.tmp markiert als "not-a-virus:AdWare.Win32.LinkOptimizer.b". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\xcaa.dll infiziert von "BkCln.Unknown" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\RECYCLER\S-1-5-21-299502267-606747145-839522115-500\Dc2.exe infiziert von "Trojan.Win32.Dialer.rm" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.

 

also :

der looktomeremover findet nix

für das l2mfix funkt der downloadlink nicht.
http://www.downloads.subratam.org/l2mfix.exe

 

Folgende Einträge solltest du fixen:

C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\ScanningProcess.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = :

R3 - Default URLSearchHook is missing

O2 - BHO: Class - {9F8E9E63-0CF5-5067-C17E-A3B60CD10F08} - C:\WINDOWS\xtixi1.dll (file missing)

O4 - HKLM\..\Run: [xorl1.exe] C:\WINDOWS\Temp\xorl1.exe

Einträge sollten im abgesicherten Modus bei deaktivierter Systemwiederherstellung wie folgt entfernt werden
http://www.cidres-security.de/hijackthis.html

edit:
Log-Auswerung
http://www.hijackthis.de/logfiles/04d2acce511b037d35ecee45fe3374bd.html

 

wie fixen????

 

Wenn du Zeit hast dann kannst du auch noch den Virus in deinem Papierkorb entfernen der da gemeldet wird:

Datei C:\RECYCLER\S-1-5-21-299502267-606747145-839522115-500\Dc2.exe infiziert von "Trojan.Win32.Dialer.rm" Virus

Ein MOD hat dein Log gelöscht.. hier ist die Auswertung:

http://www.hijackthis.de/logfiles/420566bdba73a84b13b46a7606a5facd.html

 

Nicht dass du gleich zum nächsten Dealer rennst und dir eine Nadel beschaffst. .. Fixen mit HiJackThis.. weiter beachten vor dem fixen und löschen von Dateien:

Bundesamt für Sicherheit in der Informationstechnologie (BSI)

Informationen zur Deaktivierung der Systemwiederherstellung und zum Start in den abgesicherten Modus (Windows XP)

http://www.bsi.de/av/texte/wiederher_xp.htm

 

also hab die einträge jetzt gefixt.

google spinnt aber noch und das internet is auch noch extrem langsam.

hab jetzt von f-secure blacklight getestet, dort kommt aber immer die fehlermeldung: f-secure blacklight could not acquire necessary privileges
your computer settings may prevent acquiring these privileges.
a malicious program might have disabled these privileges.

klingt nicht sehr beruhigend,oder??

 

nach dem fixen noch da?

hab jetzt noch mal mit hijack this getestet und


R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = :

R3 - Default URLSearchHook is missing

O2 - BHO: Class - {9F8E9E63-0CF5-5067-C17E-A3B60CD10F08} - C:\WINDOWS\xtixi1.dll (file missing)

SIND NOCH DA

O4 - HKLM\..\Run: [xorl1.exe] C:\WINDOWS\Temp\xorl1.exe

DIESER WURDE GELÖSCHT

 

Hallo,
hast du den Dialer hier beseitigt ?..
Datei C:\RECYCLER\S-1-5-21-299502267-606747145-839522115-500\Dc2.exe infiziert von "Trojan.Win32.Dialer.rm" Virus

Wie gehst du in das Internet, Einwahlverbindung (Analog, ISDN) oder per DSL ?

 

also, hab das ganze jetzt nochmals gemacht.
die einträge wurden gelöscht, sobald ich jedoch ins internet gehe, sind sie wieder da.......(firewall und antivirus zeigen nichts ungewöhnliches an)

 

also, ja , den virus im papierkorb habe ich gelöscht und ins internet gehe ich über adsl

 

Als Admin unterwegs, oder eingeschränktes Benutzerkonto?
Sollte erstes zutreffen, solltest Du eigentlich nich mehr viel ausrichten können.
http://www.pcwelt.de/forum/sicherheit-viren-wuermer-trojaner-rootkits/227068-boesartige-dienste.html

Schau mal bei den Diensten nach, ob da n paar mit schwachsinnigen Namen sind.
Mir ist mittlerweile noch ein Fall bekannt, wo sich 8 von diesen eingenistet hatten.

 

auf welche soll ich da besonders achten, die von mir (admin) ausgeführt werden, vom system , lokale bzw. netzwerkdienste?