- #1
S
Seuchenopfer
Guest
Hallo,
nun habe ich auch die Seuche. Ad-Aware, Spybot, Antivir, versch. Onlinescanner und C...Sradder oder wie das heißt helfen nicht:
Die Startseite wird andauernd auf http://www.hotoffers.info/a0002/ geändert. Alle paar Minuten erschein ein Windows-Fenster mit dem Hinweis man sei verseucht und solle sich doch was runterladen. Zu diesem hotoffers-Mist findet Google z.Zt. gar nichts, die ganzen Scanner auch nicht. Wenn ich Hijackthis bemühe und die Startseite ändere, wird die Änderung sofort Rückgängig gemacht. Das schlimmste: Auch im abgesicherten Modus hält sich das Ding wacker. Ich vermute irgendeine DLL sorgt dafür, dass ich keine Ruhe mehr habe. Hier das Protokoll:
Logfile of HijackThis v1.97.7
Scan saved at 20:48:50, on 09.12.2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\SAFEGUARD\SGEASY\SGECTL.EXE
C:\WINNT\System32\ibmpmsvc.exe
C:\WINNT\System32\S24EvMon.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINNT\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\system32\hidserv.exe
C:\WINNT\System32\ibmsmbus.exe
C:\WINNT\System32\QCONSVC.EXE
C:\WINNT\System32\RegSrvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\System32\tcpsvcs.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\Explorer.EXE
C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
C:\Programme\ThinkPad\Utilities\TpKmapMn.exe
C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\SAFEGUARD\SGEASY\ECVIEW.EXE
C:\WINNT\System32\TpShocks.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\ThinkPad\CONNEC~1\QCTray.exe
C:\Programme\HighCriteria\TotalRecorder\TotRecSched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe
C:\Programme\ThinkPad\PkgMgr\HOTKEY_1\TpScrex.exe
C:\Programme\iRiver\iHP100\iHPDetect.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\System32\RunDll32.exe
C:\Programme\Rainlendar\Rainlendar.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Downloads\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotoffers.info/a0002/
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [TPKMAPMN] C:\Programme\ThinkPad\Utilities\TpKmapMn.exe
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [EDWizard] C:\SAFEGUARD\SGEASY\EDWIZARD.EXE as
O4 - HKLM\..\Run: [SgeEcView] C:\SAFEGUARD\SGEASY\ECVIEW.EXE
O4 - HKLM\..\Run: [TpShocks] TpShocks.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [BMMLREF] C:\Programme\ThinkPad\Utilities\BMMLREF.EXE
O4 - HKLM\..\Run: [QCTray] C:\PROGRA~1\ThinkPad\CONNEC~1\QCTray.exe
O4 - HKLM\..\Run: [TotalRecorderScheduler] C:\Programme\HighCriteria\TotalRecorder\TotRecSched.exe
O4 - HKLM\..\Run: [iHP-100] C:\Programme\iRiver\iHP100\iHPDetect.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [BMMGAG] RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [Wsas] C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\esrs.exe
O4 - HKCU\..\Run: [SpySweeper] C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe /0
O4 - Startup: Rainlendar.lnk = C:\Programme\Rainlendar\Rainlendar.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present
O9 - Extra->Tools' menuitem: Sun Java Konsole (HKLM)
O16 - DPF: {74FFE28D-2378-11D5-990C-006094235084} (IBM Access Support) - https://www.ibm.com/pc/support/access/aslibmain/content/IbmEgath.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C5F8344B-77AA-43BE-9850-79077CC2DED9}: NameServer = 192.168.0.1
Der fettgedruckte Eintrag ist immer wieder da. Ich kann mich auf den Kopf stellen. Wie soll ich bloß dieses neue oder seltene Stück Dreck Programmierkunst entfernen? Hilfe! :-X
nun habe ich auch die Seuche. Ad-Aware, Spybot, Antivir, versch. Onlinescanner und C...Sradder oder wie das heißt helfen nicht:
Die Startseite wird andauernd auf http://www.hotoffers.info/a0002/ geändert. Alle paar Minuten erschein ein Windows-Fenster mit dem Hinweis man sei verseucht und solle sich doch was runterladen. Zu diesem hotoffers-Mist findet Google z.Zt. gar nichts, die ganzen Scanner auch nicht. Wenn ich Hijackthis bemühe und die Startseite ändere, wird die Änderung sofort Rückgängig gemacht. Das schlimmste: Auch im abgesicherten Modus hält sich das Ding wacker. Ich vermute irgendeine DLL sorgt dafür, dass ich keine Ruhe mehr habe. Hier das Protokoll:
Logfile of HijackThis v1.97.7
Scan saved at 20:48:50, on 09.12.2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\SAFEGUARD\SGEASY\SGECTL.EXE
C:\WINNT\System32\ibmpmsvc.exe
C:\WINNT\System32\S24EvMon.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINNT\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\system32\hidserv.exe
C:\WINNT\System32\ibmsmbus.exe
C:\WINNT\System32\QCONSVC.EXE
C:\WINNT\System32\RegSrvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\System32\tcpsvcs.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\Explorer.EXE
C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
C:\Programme\ThinkPad\Utilities\TpKmapMn.exe
C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\SAFEGUARD\SGEASY\ECVIEW.EXE
C:\WINNT\System32\TpShocks.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\ThinkPad\CONNEC~1\QCTray.exe
C:\Programme\HighCriteria\TotalRecorder\TotRecSched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe
C:\Programme\ThinkPad\PkgMgr\HOTKEY_1\TpScrex.exe
C:\Programme\iRiver\iHP100\iHPDetect.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\System32\RunDll32.exe
C:\Programme\Rainlendar\Rainlendar.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Downloads\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotoffers.info/a0002/
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [TPKMAPMN] C:\Programme\ThinkPad\Utilities\TpKmapMn.exe
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [EDWizard] C:\SAFEGUARD\SGEASY\EDWIZARD.EXE as
O4 - HKLM\..\Run: [SgeEcView] C:\SAFEGUARD\SGEASY\ECVIEW.EXE
O4 - HKLM\..\Run: [TpShocks] TpShocks.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [BMMLREF] C:\Programme\ThinkPad\Utilities\BMMLREF.EXE
O4 - HKLM\..\Run: [QCTray] C:\PROGRA~1\ThinkPad\CONNEC~1\QCTray.exe
O4 - HKLM\..\Run: [TotalRecorderScheduler] C:\Programme\HighCriteria\TotalRecorder\TotRecSched.exe
O4 - HKLM\..\Run: [iHP-100] C:\Programme\iRiver\iHP100\iHPDetect.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [BMMGAG] RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [Wsas] C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\esrs.exe
O4 - HKCU\..\Run: [SpySweeper] C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe /0
O4 - Startup: Rainlendar.lnk = C:\Programme\Rainlendar\Rainlendar.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present
O9 - Extra->Tools' menuitem: Sun Java Konsole (HKLM)
O16 - DPF: {74FFE28D-2378-11D5-990C-006094235084} (IBM Access Support) - https://www.ibm.com/pc/support/access/aslibmain/content/IbmEgath.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C5F8344B-77AA-43BE-9850-79077CC2DED9}: NameServer = 192.168.0.1
Der fettgedruckte Eintrag ist immer wieder da. Ich kann mich auf den Kopf stellen. Wie soll ich bloß dieses neue oder seltene Stück Dreck Programmierkunst entfernen? Hilfe! :-X