Skriptvirus

Hallo Leute,

habe mich gerade hier registrieren lassen und möchte auch direkt meine Erste Frage loswerden:

Ich benutze den kostenlosen AntiVir Guard und verfüge über das aktuellste Update. Jedoch zeigt mir der AntiVir bei jedem Systemstart eine Meldung über einen Skriptvirus HTML-Startpage B, der ständig meine Startseite im Internet-Explorer verändert. AntiVir Guard läßt sich auch nicht weiter nutzen, da er diesen Skriptvirus nicht löschen, überschreiben oder ins Quarantäneverzeichnis verschieben kann. Die verursachende Datei nennt sich HH.HTT (C:\WINDOWS\HH.HTT) und läßt sich auch manuell nicht löschen, sie erscheint immer wieder...

Kann mir da einer mit Rat und Tat zur Seite stehen?

Vielen Dank für Eure Hilfe im voraus!

Sorban

 

Der CWShredder hilft nur bei der Cool WebSearch-Variante
und andere .ws Domains

Bei Search Club.cc gibts andere.

HiJackThis ist erstmal der erste Schritt.
Meistens hat man auch viele Hits, wenn man die Seitenadresse in Google eintippert.

 

Danke! Ihr wart alle samt echt eine super Hilfe!

 

okay updates vom IE installiert, aber als alternativen Browser kenne ich nur Netscape, wo kann ich den "for free" runterladen? Oder kennt ihr bessere Browser die ich mal ausprobieren könnte?

 

Hallo,

an der Versionsnummer 6.00.2600.0000 sieht man dass bei dir wohl ein paar neuere Sicherheitspatches fehlen.

Du solltest in etwa auf so eine Versionsnummer kommen:
Versionsnummer 6.00.2800.1106 SP1

Glaube den letzten den ich installiert habe war der Q824145

Grüße
Wolfgang

 

Also folgende Anzeige folgt:

Done!
Your system was completely clean.

Obwohl ich nun nichts erneut gelöscht habe soll das System sauber sein.

AntiVir sagt nichts mehr von dem Fehler, scheint also im Moment alles gut zu sein. Aber was meint kommputer mit "IE"?
Internet Explorer vermutlich, oder?
Einfach bei Microsoft saugen oder wo?

 

Also eine HH.exe ist nicht aktiv. Der A2 Scan brachte keine Ergebnisse und hier ist die Log-file von Hijackthis:

Logfile of HijackThis v1.97.7
Scan saved at 15:56:38, on 01.02.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Virenkiller\AVGNT.EXE
F:\Overnet\Overnet.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Virenkiller\AVGUARD.EXE
C:\Programme\Virenkiller\AVWUPSRV.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Rolex.POOLSHARK\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\Virenkiller\AVGNT.EXE /min
O4 - HKLM\..\Run: [Overnet] F:\Overnet\Overnet.exe -t
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Symantec Fax Starter Edition-Anschluss.lnk = C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE

 

Also um einen Trojaner handelt es sich meinst du, welches Merkmal läßt dich darauf schließen?

Auf jeden Fall habe ich den CW-Shredder nun zweimal durchlaufen lassen und der sagt immer:

A CWS variant was detected that is still loaded into memory...

Ich soll einen Restart machen und beim erneuten Start von CW-Shredder passiert das gleiche Spiel. Ich versuche es nun einmal mit dem A2 was du gepostet hast....

 

Also nach meinem System Neustart ist nun meine selbst angegebene Startseite wieder da wenn ich den Internet-Explorer starte, allerdings kann AntiVir den "Skriptvirus" immernoch nicht löschen, überschreiben oder ins Quarantäneverzeichnis verschieben.

Folgende Angabe erscheint in der Reportdatei ständig wieder und AntiVir geht nicht zu beenden ausser ich deaktiviere es ganz schnell vor der nächsten Meldung...

01.02.2004,14:57 [WARNUNG] Enthält Signatur des HTML-Scriptvirus HTML/StartPage.B!
C:\WINDOWS\HH.HTT
[INFO] Die Datei wurde in das Quarantäneverzeichnis verschoben!


Könnt ihr mir hier weitere Hilfestellung geben oder irgendwelche Erfahrungen mitteilen? Wäre wirklich super dankbar wenn ihr noch etwas Zeit für mich findet.

 

Und nun noch einen Scan durchgeführt....

Wieder ein Fund!?!?!


Ich mache jetzt mal einen Systemneustart....

Bis gleich.

 

Sind markiert und gelöscht und beim erneuten Scan wieder vier gefundene Objekte gefunden und gelöscht...

 

Also Ad-aware sagt meldet:

14 running processes
6 Objects recognized

1 Registry values identified
5 files identified

6 New objects

Aber wenn ich mir die Zusammenfassung ansehe kann ich leider nichts damit anfangen, was soll ich tun?

Ich starte nun nochmal das HijackThis und poste das Ergebnis hier...

 

Hallo,

würde ich auch sagen.. lass erstmal den CWShredder laufen. Wenn der den HiJacker nicht terminiert melde dich wieder. Die Firewall ich Router hilft gegen solche Malware leider nicht.

Grüße
Wolfgang

 

Ich scanne gerade mit Ad-aware und melde dann erstmal das Ergebnis hier. Die anderen versuche starte ich danach.

Danke erst einmal für die schnelle Hilfe.

 

Sorry, vielleicht waren das zu wenig Informationen. Ich benutze Windows XP, gehe über ArcorFlatRate online und benutze AntiVir und habe eine Firewall im Router integriert. Adaware kenne ich nicht, kann man sich vertrauensvoll diese Adaware Software runterladen?

 

Was anscheinden auch der Fall war - da der Thread schon erledigt ist. Die hh.htt ist anscheinend eine CWS Variante.

 

Unter www.mozilla.org findest du eine aktuelle Version des Browsers den Netscape für ihren Browser verwendet.

 

Ja, zumindest das Sp1 für den IE solltest du installieren (online Update)- besser wäre wenn du einen alternativen Browser zum surfen verwenden würdest.

Zu dem anderen:

Die Spyware hast du von Overnet - weil du das Programm beendet hast konnte der CWSSchredder den Quatsch löschen - evnt. läuft Overnet jetzt nicht mehr oder du bekommst das Teil wieder wenn du das Proggie startets

 

Beende Overnet und versuch noch mal den CWShredder

Sonst schauen die Prozesse eigentlich sehr normal aus

 

Die meinung von Google

Drück mal Strg+Alt+Entf und schau unter Prozesse ob du eine hh.exe in der liste hast - wenn ja dann beende den Prozess bevor du suchen läßt - poste das Log von Hijackthis