Maleware Problem

[ValkoinenKoulema]

Hi,

seit gestern krieg ich jedesmal wenn ich einen Browser öffne aufeinmal die "Western Union" als Startseite, egal was ich mache das geht nicht weg hab schon Virenchekc gemacht,Spybot,Norman Anti Maleware aber ohne Erfolg habt ihr vielleicht noch Tipps.

Sonst seh ich mich gezwungen den Rechner komplett zu grillen.

[Happy Hardcore]

Hallo ValkoinenKoulema,
hast du deine Browsereinstellungen schon überprüft? Anderen Browser getestet? Wenn ja, tritt das Problem auch mit diesem auf?
Normal ist Western Union harmlos, daher ist Malware unrealistisch.

[ValkoinenKoulema]

Naja ich hab zwar noch IE aber der wird nie genutzt und ja, da ist das auch.Hab auch schon woanders gelesen, dass das im moment um sich greift nur gibts anscheinend noch keine Lösung.

Die Einstellungen sind es definitiv nicht.

[Diablo_]

Ein HiJackThis Scan würde vieleicht helfen die Ursache zu finden.

Also wenn du die Startseite änderst, ist die Western Union Seite nach dem nächsten Browserstart wieder als Startseite eingerichtet?

[ValkoinenKoulema]

Quote:

Originally Posted by Diablo_

Ein HiJackThis Scan würde vieleicht helfen die Ursache zu finden.

Also wenn du die Startseite änderst, ist die Western Union Seite nach dem nächsten Browserstart wieder als Startseite eingerichtet?

Genau!

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 17:30:55, on 18.10.2011
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Internet Explorer v9.00 (9.00.8112.16421)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe
C:\Program Files\Origin\Origin.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\HALLOWICKED\Downloads\HiJackThis204.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4FE6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe -s
O4 - HKLM\..\Run: [StartCCC] "c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
O4 - HKCU\..\Run: [EADM] "C:\Program Files\Origin\Origin.exe" -AutoStart
O4 - HKCU\..\Run: [{AE45BCE3-35FB-4919-0E09-ACD984C8CA36}] C:\Users\HALLOWICKED\AppData\Roaming\Atwi\ehovosk. exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O9 - Extra button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - (file missing)
O9 - Extra 'Tools' menuitem: eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - (file missing)
O9 - Extra button: @C:\Program Files\Windows Live\Writer\WindowsLiveWriterShortcuts.dll,-1004 - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: @C:\Program Files\Windows Live\Writer\WindowsLiveWriterShortcuts.dll,-1003 - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: ICQ7.5 - {7578ADEA-D65F-4C89-A249-B1C88B6FFC20} - C:\Program Files\ICQ7.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ7.5 - {7578ADEA-D65F-4C89-A249-B1C88B6FFC20} - C:\Program Files\ICQ7.5\ICQ.exe
O9 - Extra button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - (file missing) (HKCU)
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -
O18 - Protocol: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - C:\Program Files\Windows Live\Photo Gallery\AlbumDownloadProtocolHandler.dll
O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: ICQ Service - Unknown owner - C:\Program Files\ICQ6Toolbar\ICQ Service.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe

--
End of file - 6466 bytes

[Diablo_]

Ich dachte, ich finde etwas im Autostart aber dann fiel mit etwas anderes auf.

Code:

C:\Users\HALLOWICKED\AppData\Roaming\Atwi\ehovosk. exe

Was ist das? Beim Roaming Ordner lagert sich immer der gefährliche Scheiß ab.


Diesen Eintrag kannst du mal fixxen mit HiJackThis:

Code:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Western Union Geldtransfer

[ValkoinenKoulema]

Quote:

Originally Posted by Diablo_

Ich dachte, ich finde etwas im Autostart aber dann fiel mit etwas anderes auf.

Code:

C:\Users\HALLOWICKED\AppData\Roaming\Atwi\ehovosk. exe

Was ist das? Beim Roaming Ordner lagert sich immer der gefährliche Scheiß ab.


Diesen Eintrag kannst du mal fixxen mit HiJackThis:

Code:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Western Union Geldtransfer

Also bin zwar jez an nem anderen Rechner aber das untere hatte ich gefixt aber verändert hat sich nix und das mit dem roaming ordner scheint ev. das Problem zu sein, also das auch killen?

[Diablo_]

Quote:

Originally Posted by ValkoinenKoulema

Also bin zwar jez an nem anderen Rechner aber das untere hatte ich gefixt aber verändert hat sich nix und das mit dem roaming ordner scheint ev. das Problem zu sein, also das auch killen?

Wie? Du musst den Eintrag schon an dem PC fixxen, wo das Problem ist und die Datei killst du erstmal nicht.

Ich würde gerne wissen was das ist und habe dich gefragt, ob du es weißt.

[ValkoinenKoulema]

Nichts was mir bekannt ist.

Ich hab das mit western union veruscht zu fixen aber das problem besteht weiterhin.Wenn ich wieder zuhause bin versuch ichs weiter.

BTW:Schon kla das ich das am selben Rechner machen muss, bin net grenzdebil.

[Diablo_]

Quote:

Originally Posted by ValkoinenKoulema

Nichts was mir bekannt ist.

Ich hab das mit western union veruscht zu fixen aber das problem besteht weiterhin.Wenn ich wieder zuhause bin versuch ichs weiter.

BTW:Schon kla das ich das am selben Rechner machen muss, bin net grenzdebil.

Ist die Datei denn sichtbar in dem Ordner?

[ValkoinenKoulema]

Ja, diese ehovosk.exe ist sichtbar und das mit dem fixen der Startpage hat immer noch keinen langfristigen Erfolg bzw. genau für einen Start :P

[Diablo_]

Kannst du die Datei dann mal hier hochladen?

['Orchestrator]

Hat mir schon bei vielen Viren geholfen BKA Virus usw.

[ValkoinenKoulema]

Also VirusTotal checkt grad, aber da ist ja hochbetrieb imo :O und über einen Alternative hab ich das hier.



3 von 20 sagen das ist was...

EDIT: Hier noch die Zusatzinfos, laut Jotti

Dateigröße:129024 Bytes
Dateityp:PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5: 77400018d9f3d0bec626ec92136c93ef
SHA1:049c33ee39b5f42b49754266a971b8278e90da7e

[ValkoinenKoulema]

So Pc neu aufgesetzt , Problem gelöst

#closed