Submithook.dll - Probleme mit Pop-Ups und dem IE

14.06.2004, 19:09
Member

Beiträge: 117
#1 Hallo!

Nachdem ihr mir hier schon einmal sehr geholfen habt, versuche ich es nochmal.

Zum Problem:
Habe seit ca. 1 Woche ununterbrochen lästige Pop-Ups, der IE verändert sich immer wieder (Inhalte der Symbolleisten zB.) und die Startseite auch.
Egal wie oft ich diese ändere, momentan ist es: res://awxkb.dll/index.html#37049
Das nächste Problem kommt dann bei google. Sobald ich eine Suche starte, öffnet sich ein neues Browser-Fenster und eine neuen "Suchmaschine": http://search-to-find.com/sec.php?qq=air&pin=37049

Ich habe mich ein wenig umgesehen und das hier gefunden:
C:\Program Files\Submit\submithook.dll bzw. auch
C:\Program Files 1\Submit\submithook.dll
Es ist auch eine "Uninstall" Datei dabei, aber einer dieser Ordner kommt immer wieder.
Mit Norton AntiVirus, Ad-Aware oder Spybot findet sich nichts, was das Problem ein für alle mal beendet. Bis jetzt hab ich das immer so irgendwie hinbekommen aber ich stehe nun an. Vielleicht könnt ihr euch mal die HiJack Daten ansehen:


Logfile of HijackThis v1.97.3
Scan saved at 18:59:50, on 14.06.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\Programme\Norton Internet Security\ccPxySvc.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\netam.exe
C:\WINDOWS\System32\S3hotkey.exe
C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\netmx.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Dokumente und Einstellungen\Stefan Brunner\Lokale Einstellungen\Temp\Temporäres Verzeichnis 4 für hijackthis1973.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\awxkb.dll/sp.html#37049
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://awxkb.dll/index.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://awxkb.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\awxkb.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://awxkb.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\awxkb.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=proxy.aon.at:8080;http=proxy.aon.at:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.aon.at;<local>
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5E5DBFEE-5C17-CE66-1F25-F001EBA4E915} - C:\WINDOWS\crxt32.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [S3hotkey] S3hotkey.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [netmx.exe] C:\WINDOWS\system32\netmx.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab


Wäre euch sehr dankbar wenn ihr mir helfen könntet.
Ich hoffe meine Beschreibung ist halbwegs verständlich ;)

LG
Stefan


kann mir niemand helfen? :-(
Kann mir in etwa denken was ich vielleicht fixen muss aber Fachmann bin ich keiner.
Dieser Beitrag wurde am 16.06.2004 um 17:02 Uhr von smirni editiert.
Seitenanfang Seitenende
16.06.2004, 17:09
Member

Beiträge: 1095
#2 @smirni


Virenscanner updaten oder besorgen
www.antivir.de


Geh in den Safemode von XP
http://www.bsi.de/av/texte/winsave.htm

Fixe dies
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\awxkb.dll/sp.html#37049
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://awxkb.dll/index.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://awxkb.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\awxkb.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://awxkb.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\awxkb.dll/sp.html#37049
O2 - BHO: (no name) - {5E5DBFEE-5C17-CE66-1F25-F001EBA4E915} - C:\WINDOWS\crxt32.dll
O4 - HKLM\..\Run: [netmx.exe] C:\WINDOWS\system32\netmx.exe

Virenscanner ganze Platte scannen

Normalen Neustart machen und Logfile wieder posten

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
16.06.2004, 18:04
Member

Themenstarter

Beiträge: 117
#3 so siehts jetzt aus:

Logfile of HijackThis v1.97.3
Scan saved at 18:03:49, on 16.06.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\Programme\Norton Internet Security\ccPxySvc.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\netam.exe
C:\WINDOWS\system32\netmx.exe
C:\WINDOWS\System32\S3hotkey.exe
C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Dokumente und Einstellungen\Stefan Brunner\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis1973.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=proxy.aon.at:8080;http=proxy.aon.at:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.aon.at;<local>
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {A453AF77-9B34-21D0-0C2F-C6B27B32D846} - C:\WINDOWS\system32\addts32.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [S3hotkey] S3hotkey.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [netmx.exe] C:\WINDOWS\system32\netmx.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab


Virus etc. wurde nichts gefunden. Diese netmx.exe ist noch da?!
Die Startseite war jetzt leer, aber ein Pop-Up hab ich schon wieder gehabt.

thx
Seitenanfang Seitenende
17.06.2004, 10:37
Member

Beiträge: 1095
#4 @smirni

Ok, dieser HiJacker ist etwas hartnäckig. Das Problemmist mit Standard wohl erstmal nicht zu lösen.

Also folgende Vorgehensweise.

1. Mach ein HiJackthis logfile
Speichere es als Log1.txt

Geh in den Safemode von XP
http://www.bsi.de/av/texte/winsave.htm

1. Mach ein weiteres HiJackthis logfile
Speichere es als Log2.txt

2. Normal starten

3. Lad dir diese Datei
http://www.zerosrealm.com/downloads/pv.zip

4. Starte den Internet explorer

5. entpacken der pv.zip , runme.bat starten

6. 2 drücken und return
Text in einer Datei ie.txt speichern

7. 6 Drücken und return
Text in einer Datei appsint.txt speichern

8. Schick die 4 Datei in einem Zipfile an mike_hangover@gozomail.com(meine FakeEmail)

Gruß paff
--------------------------
Nachtrag:
Achtung. Schau mal unter Systemsteuerung/Verwaltung/Dienste ob es einen Dienst namens "Network Security Service" gibt.
Wenn ja bitte doppelklicken und auf deaktiviert stellen + Dienst beenden.
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Dieser Beitrag wurde am 17.06.2004 um 11:04 Uhr von paff editiert.
Seitenanfang Seitenende
17.06.2004, 19:44
Member

Themenstarter

Beiträge: 117
#5 OK, erledigt - Mail ist grad weg.

Danke!
Seitenanfang Seitenende
17.06.2004, 20:25
Member

Beiträge: 1095
#6 @smirni

Seit heute mittag weiß ich die Lösung des Problems

Ließ dir mal meinen Letzten Post in diesem Thread durch
http://board.protecus.de/t10713.htm
Dort steht die Lösung

Hier noch 2 ähliche Fälle
http://board.protecus.de/t10731.htm
http://www.rokop-security.de/board/index.php?showtopic=3692

Wenn's Probleme gibt melde dich nochmal.

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
17.06.2004, 20:32
Member

Themenstarter

Beiträge: 117
#7 Ich werd mal Deinen Anweisungen in diesem Thread nachgehen
http://board.protecus.de/t10731.htm
Ist das ok?

Hab mir das auch angeschaut mit diesem Network Security Service und bei mir ist der Pfad zu dieser Datei: - C:\WINDOWS\ntha32.exe /s

Soll ich das jetzt so machen wie im anderen Thread beschrieben?
Seitenanfang Seitenende
17.06.2004, 20:50
Member

Beiträge: 1095
#8

Zitat

Soll ich das jetzt so machen wie im anderen Thread beschrieben?
Ja machs genau so, das hilft dann

Mach dananch einfach einen Neustart und poste das LogFile

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
17.06.2004, 21:47
Member

Themenstarter

Beiträge: 117
#9 So, hab das mal gemacht, hier die Logfile...

Logfile of HijackThis v1.97.3
Scan saved at 21:46:56, on 17.06.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\Programme\Norton Internet Security\ccPxySvc.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\mfclh.exe
C:\WINDOWS\System32\S3hotkey.exe
C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Dokumente und Einstellungen\Stefan Brunner\Lokale Einstellungen\Temp\Temporäres Verzeichnis 7 für hijackthis1973.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=proxy.aon.at:8080;http=proxy.aon.at:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.aon.at;<local>
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {A453AF77-9B34-21D0-0C2F-C6B27B32D846} - C:\WINDOWS\system32\addts32.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [S3hotkey] S3hotkey.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\RunOnce: [mfclh.exe] C:\WINDOWS\mfclh.exe
O4 - HKLM\..\RunOnce: [appia32.exe] C:\WINDOWS\system32\appia32.exe
O4 - HKLM\..\RunOnce: [atlpz32.exe] C:\WINDOWS\system32\atlpz32.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab


Diese Sachen kamen mir ein bißchen komisch vor, habe es aber dabei belassen und diverse res://... gefixt.
O2 - BHO: (no name) - {A453AF77-9B34-21D0-0C2F-C6B27B32D846} - C:\WINDOWS\system32\addts32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\RunOnce: [mfclh.exe] C:\WINDOWS\mfclh.exe
O4 - HKLM\..\RunOnce: [appia32.exe] C:\WINDOWS\system32\appia32.exe
O4 - HKLM\..\RunOnce: [atlpz32.exe] C:\WINDOWS\system32\atlpz32.exe

Wie siehts jetzt aus?

edit: hmmm... grad wieder ein Pop Up "ONLY THE BEST" gehabt, dürfte also noch immer nicht ganz bereinigt sein :-(
edit²: hab jetzt noch eine Logfile gemacht nachdem ich im IE war...

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\Programme\Norton Internet Security\ccPxySvc.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\mfclh.exe
C:\WINDOWS\System32\S3hotkey.exe
C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\netmx.exe
C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Dokumente und Einstellungen\Stefan Brunner\Lokale Einstellungen\Temp\Temporäres Verzeichnis 8 für hijackthis1973.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\cmbss.dll/sp.html#37049
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://derstandard.at/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://cmbss.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\cmbss.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://cmbss.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\cmbss.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=proxy.aon.at:8080;http=proxy.aon.at:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.aon.at;<local>
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {A453AF77-9B34-21D0-0C2F-C6B27B32D846} - C:\WINDOWS\system32\addts32.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [S3hotkey] S3hotkey.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [netmx.exe] C:\WINDOWS\system32\netmx.exe
O4 - HKLM\..\RunOnce: [mfclh.exe] C:\WINDOWS\mfclh.exe
O4 - HKLM\..\RunOnce: [appia32.exe] C:\WINDOWS\system32\appia32.exe
O4 - HKLM\..\RunOnce: [atlpz32.exe] C:\WINDOWS\system32\atlpz32.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B36FABFC-9BA5-41D6-9C92-D388B42C95DD}: NameServer = 195.3.96.67 195.3.96.68
Dieser Beitrag wurde am 17.06.2004 um 22:37 Uhr von smirni editiert.
Seitenanfang Seitenende
17.06.2004, 22:41
Member

Beiträge: 1095
#10 @smirni

Langsam, alle nochmal von vorne.

Hier die mwav.exe runterladen
http://www.mwti.net/antivirus/free_utilities.asp
In ein verzeichnis entpacken und die kavupd.exe ausfuehren damit die mwav upgedatet wird.

Dann in den Abgesicherten Modus gehen

Dann die einträge fixen
O2 - BHO: (no name) - {A453AF77-9B34-21D0-0C2F-C6B27B32D846} - C:\WINDOWS\system32\addts32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [netmx.exe] C:\WINDOWS\system32\netmx.exe
O4 - HKLM\..\RunOnce: [mfclh.exe] C:\WINDOWS\mfclh.exe
O4 - HKLM\..\RunOnce: [appia32.exe] C:\WINDOWS\system32\appia32.exe
O4 - HKLM\..\RunOnce: [atlpz32.exe] C:\WINDOWS\system32\atlpz32.exe

Dann noch die Datei suchen die im Dienst angegeben ist.
Diese Namen hier ändern sich wie gesagt bei jedem Neustart, aber du erkennst ja schon die richtigen. ;)

Dann die mwav.exe starten und scannen lassen

Die oben genannten Dateien löschen wenn Sie die mwav nicht erwischt.

Neustart machen und log posten

Dein Problem ist außerdem das dein Windows total veraltet ist, du brauchst dringend ein des Internet Explorers. So wie's jetzt ist kannst du dir bei jedem Onlinegehen sofort wieder so ein Teil holen.

VIelleicht mal anderen Browser installieren

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
17.06.2004, 23:05
Member

Themenstarter

Beiträge: 117
#11 ok, vielen Dank nochmal. Werds wieder versuchen.
Hatte das Problem das diese mwav.exe beim Scan im abgesicherten Modus "fehlgeschlagen" angezeigt hat.
Aber ich kann mir vorstellen warum, ich war nicht online...

Was hältst du für den besten Browser? Hab mich da noch nie so umgeschaut...

edit: hab jetzt die wmav gestartet und er sagt mir nach einer Weile
"KAV Family products currently installed on your computer does not require updating"
Dieser Beitrag wurde am 17.06.2004 um 23:11 Uhr von smirni editiert.
Seitenanfang Seitenende
17.06.2004, 23:31
Member

Beiträge: 1095
#12

Zitat

smirni postete
Was hältst du für den besten Browser? Hab mich da noch nie so umgeschaut..
Ich benutze den www.opera.com, auch gut firebird von Mozilla

Zitat

edit: hab jetzt die wmav gestartet und er sagt mir nach einer Weile
"KAV Family products currently installed on your computer does not require updating"
Also dann ist die mwav aktuell.
Also los gehts, scannen ;)

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
18.06.2004, 00:27
Member

Themenstarter

Beiträge: 117
#13 erledigt ;-)

Logfile of HijackThis v1.97.3
Scan saved at 00:27:37, on 18.06.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\WINDOWS\System32\S3hotkey.exe
C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Norton Internet Security\ccPxySvc.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Dokumente und Einstellungen\Stefan Brunner\Lokale Einstellungen\Temp\Temporäres Verzeichnis 9 für hijackthis1973.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://derstandard.at/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=proxy.aon.at:8080;http=proxy.aon.at:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.aon.at;<local>
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [S3hotkey] S3hotkey.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B36FABFC-9BA5-41D6-9C92-D388B42C95DD}: NameServer = 195.3.96.67 195.3.96.68


sieht ganz gut aus oder? Jedenfalls soweit ich das beurteilen kann als Nicht-Profi :-)

Mal schauen was die nächste Zeit so passiert, ich hoffe das wars und sag mal vielen Dank. Und werde auf Deinen Rat hören und Opera nehmen.
Seitenanfang Seitenende
18.06.2004, 13:42
Member

Beiträge: 1095
#14 @smirni

Überprüf bitte die Datei
C:\WINDOWS\system32\slserv.exe

hier
http://www.kaspersky.com/de/remoteviruschk.html


Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
18.06.2004, 15:53
Member

Themenstarter

Beiträge: 117
#15

Zitat

slserv.exe Ok
:-) ich dürfte also endlich sauber sein *g*

by the way: bin auf Firefox 0.9 umgestiegen und jetzt werden sehr viele Bilder nicht mehr dargestellt. Ganze Seiten wie zB. derstandard.at oder fm4.orf.at und hier die kleinen .jpg's.
Passt zwar nicht hier rein aber hast Du eine Idee bzw. einen Tip an wen ich mich wenden könnte?!

Danke!
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: