Submithook.dll - Probleme mit Pop-Ups und dem IE |
|
---|---|
14.06.2004, 19:09
Member
Beiträge: 117 |
|
|
|
16.06.2004, 17:09
Member
Beiträge: 1095 |
#2
@smirni
Virenscanner updaten oder besorgen www.antivir.de Geh in den Safemode von XP http://www.bsi.de/av/texte/winsave.htm Fixe dies R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\awxkb.dll/sp.html#37049 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://awxkb.dll/index.html#37049 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://awxkb.dll/index.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\awxkb.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://awxkb.dll/index.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\awxkb.dll/sp.html#37049 O2 - BHO: (no name) - {5E5DBFEE-5C17-CE66-1F25-F001EBA4E915} - C:\WINDOWS\crxt32.dll O4 - HKLM\..\Run: [netmx.exe] C:\WINDOWS\system32\netmx.exe Virenscanner ganze Platte scannen Normalen Neustart machen und Logfile wieder posten Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
16.06.2004, 18:04
Member
Themenstarter Beiträge: 117 |
#3
so siehts jetzt aus:
Logfile of HijackThis v1.97.3 Scan saved at 18:03:49, on 16.06.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\Norton Internet Security\NISUM.EXE C:\Programme\Norton Internet Security\ccPxySvc.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\netam.exe C:\WINDOWS\system32\netmx.exe C:\WINDOWS\System32\S3hotkey.exe C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Dokumente und Einstellungen\Stefan Brunner\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis1973.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=proxy.aon.at:8080;http=proxy.aon.at:8080 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.aon.at;<local> O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {A453AF77-9B34-21D0-0C2F-C6B27B32D846} - C:\WINDOWS\system32\addts32.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [S3hotkey] S3hotkey.exe O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [netmx.exe] C:\WINDOWS\system32\netmx.exe O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: ICQ Lite (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab Virus etc. wurde nichts gefunden. Diese netmx.exe ist noch da?! Die Startseite war jetzt leer, aber ein Pop-Up hab ich schon wieder gehabt. thx |
|
|
17.06.2004, 10:37
Member
Beiträge: 1095 |
#4
@smirni
Ok, dieser HiJacker ist etwas hartnäckig. Das Problemmist mit Standard wohl erstmal nicht zu lösen. Also folgende Vorgehensweise. 1. Mach ein HiJackthis logfile Speichere es als Log1.txt Geh in den Safemode von XP http://www.bsi.de/av/texte/winsave.htm 1. Mach ein weiteres HiJackthis logfile Speichere es als Log2.txt 2. Normal starten 3. Lad dir diese Datei http://www.zerosrealm.com/downloads/pv.zip 4. Starte den Internet explorer 5. entpacken der pv.zip , runme.bat starten 6. 2 drücken und return Text in einer Datei ie.txt speichern 7. 6 Drücken und return Text in einer Datei appsint.txt speichern 8. Schick die 4 Datei in einem Zipfile an mike_hangover@gozomail.com(meine FakeEmail) Gruß paff -------------------------- Nachtrag: Achtung. Schau mal unter Systemsteuerung/Verwaltung/Dienste ob es einen Dienst namens "Network Security Service" gibt. Wenn ja bitte doppelklicken und auf deaktiviert stellen + Dienst beenden. __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 17.06.2004 um 11:04 Uhr von paff editiert.
|
|
|
17.06.2004, 19:44
Member
Themenstarter Beiträge: 117 |
|
|
|
17.06.2004, 20:25
Member
Beiträge: 1095 |
#6
@smirni
Seit heute mittag weiß ich die Lösung des Problems Ließ dir mal meinen Letzten Post in diesem Thread durch http://board.protecus.de/t10713.htm Dort steht die Lösung Hier noch 2 ähliche Fälle http://board.protecus.de/t10731.htm http://www.rokop-security.de/board/index.php?showtopic=3692 Wenn's Probleme gibt melde dich nochmal. Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
17.06.2004, 20:32
Member
Themenstarter Beiträge: 117 |
#7
Ich werd mal Deinen Anweisungen in diesem Thread nachgehen
http://board.protecus.de/t10731.htm Ist das ok? Hab mir das auch angeschaut mit diesem Network Security Service und bei mir ist der Pfad zu dieser Datei: - C:\WINDOWS\ntha32.exe /s Soll ich das jetzt so machen wie im anderen Thread beschrieben? |
|
|
17.06.2004, 20:50
Member
Beiträge: 1095 |
#8
Zitat Soll ich das jetzt so machen wie im anderen Thread beschrieben?Ja machs genau so, das hilft dann Mach dananch einfach einen Neustart und poste das LogFile Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
17.06.2004, 21:47
Member
Themenstarter Beiträge: 117 |
#9
So, hab das mal gemacht, hier die Logfile...
Logfile of HijackThis v1.97.3 Scan saved at 21:46:56, on 17.06.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\Norton Internet Security\NISUM.EXE C:\Programme\Norton Internet Security\ccPxySvc.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\mfclh.exe C:\WINDOWS\System32\S3hotkey.exe C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Dokumente und Einstellungen\Stefan Brunner\Lokale Einstellungen\Temp\Temporäres Verzeichnis 7 für hijackthis1973.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=proxy.aon.at:8080;http=proxy.aon.at:8080 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.aon.at;<local> O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {A453AF77-9B34-21D0-0C2F-C6B27B32D846} - C:\WINDOWS\system32\addts32.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [S3hotkey] S3hotkey.exe O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\RunOnce: [mfclh.exe] C:\WINDOWS\mfclh.exe O4 - HKLM\..\RunOnce: [appia32.exe] C:\WINDOWS\system32\appia32.exe O4 - HKLM\..\RunOnce: [atlpz32.exe] C:\WINDOWS\system32\atlpz32.exe O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: ICQ Lite (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab Diese Sachen kamen mir ein bißchen komisch vor, habe es aber dabei belassen und diverse res://... gefixt. O2 - BHO: (no name) - {A453AF77-9B34-21D0-0C2F-C6B27B32D846} - C:\WINDOWS\system32\addts32.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\RunOnce: [mfclh.exe] C:\WINDOWS\mfclh.exe O4 - HKLM\..\RunOnce: [appia32.exe] C:\WINDOWS\system32\appia32.exe O4 - HKLM\..\RunOnce: [atlpz32.exe] C:\WINDOWS\system32\atlpz32.exe Wie siehts jetzt aus? edit: hmmm... grad wieder ein Pop Up "ONLY THE BEST" gehabt, dürfte also noch immer nicht ganz bereinigt sein :-( edit²: hab jetzt noch eine Logfile gemacht nachdem ich im IE war... Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\Norton Internet Security\NISUM.EXE C:\Programme\Norton Internet Security\ccPxySvc.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\mfclh.exe C:\WINDOWS\System32\S3hotkey.exe C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\system32\netmx.exe C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE C:\Programme\Microsoft Office\Office10\WINWORD.EXE C:\Dokumente und Einstellungen\Stefan Brunner\Lokale Einstellungen\Temp\Temporäres Verzeichnis 8 für hijackthis1973.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\cmbss.dll/sp.html#37049 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://derstandard.at/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://cmbss.dll/index.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\cmbss.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://cmbss.dll/index.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\cmbss.dll/sp.html#37049 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=proxy.aon.at:8080;http=proxy.aon.at:8080 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.aon.at;<local> O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {A453AF77-9B34-21D0-0C2F-C6B27B32D846} - C:\WINDOWS\system32\addts32.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [S3hotkey] S3hotkey.exe O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [netmx.exe] C:\WINDOWS\system32\netmx.exe O4 - HKLM\..\RunOnce: [mfclh.exe] C:\WINDOWS\mfclh.exe O4 - HKLM\..\RunOnce: [appia32.exe] C:\WINDOWS\system32\appia32.exe O4 - HKLM\..\RunOnce: [atlpz32.exe] C:\WINDOWS\system32\atlpz32.exe O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: ICQ Lite (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{B36FABFC-9BA5-41D6-9C92-D388B42C95DD}: NameServer = 195.3.96.67 195.3.96.68 Dieser Beitrag wurde am 17.06.2004 um 22:37 Uhr von smirni editiert.
|
|
|
17.06.2004, 22:41
Member
Beiträge: 1095 |
#10
@smirni
Langsam, alle nochmal von vorne. Hier die mwav.exe runterladen http://www.mwti.net/antivirus/free_utilities.asp In ein verzeichnis entpacken und die kavupd.exe ausfuehren damit die mwav upgedatet wird. Dann in den Abgesicherten Modus gehen Dann die einträge fixen O2 - BHO: (no name) - {A453AF77-9B34-21D0-0C2F-C6B27B32D846} - C:\WINDOWS\system32\addts32.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [netmx.exe] C:\WINDOWS\system32\netmx.exe O4 - HKLM\..\RunOnce: [mfclh.exe] C:\WINDOWS\mfclh.exe O4 - HKLM\..\RunOnce: [appia32.exe] C:\WINDOWS\system32\appia32.exe O4 - HKLM\..\RunOnce: [atlpz32.exe] C:\WINDOWS\system32\atlpz32.exe Dann noch die Datei suchen die im Dienst angegeben ist. Diese Namen hier ändern sich wie gesagt bei jedem Neustart, aber du erkennst ja schon die richtigen. Dann die mwav.exe starten und scannen lassen Die oben genannten Dateien löschen wenn Sie die mwav nicht erwischt. Neustart machen und log posten Dein Problem ist außerdem das dein Windows total veraltet ist, du brauchst dringend ein des Internet Explorers. So wie's jetzt ist kannst du dir bei jedem Onlinegehen sofort wieder so ein Teil holen. VIelleicht mal anderen Browser installieren Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
17.06.2004, 23:05
Member
Themenstarter Beiträge: 117 |
#11
ok, vielen Dank nochmal. Werds wieder versuchen.
Hatte das Problem das diese mwav.exe beim Scan im abgesicherten Modus "fehlgeschlagen" angezeigt hat. Aber ich kann mir vorstellen warum, ich war nicht online... Was hältst du für den besten Browser? Hab mich da noch nie so umgeschaut... edit: hab jetzt die wmav gestartet und er sagt mir nach einer Weile "KAV Family products currently installed on your computer does not require updating" Dieser Beitrag wurde am 17.06.2004 um 23:11 Uhr von smirni editiert.
|
|
|
17.06.2004, 23:31
Member
Beiträge: 1095 |
#12
Zitat smirni posteteIch benutze den www.opera.com, auch gut firebird von Mozilla Zitat edit: hab jetzt die wmav gestartet und er sagt mir nach einer WeileAlso dann ist die mwav aktuell. Also los gehts, scannen Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
18.06.2004, 00:27
Member
Themenstarter Beiträge: 117 |
#13
erledigt ;-)
Logfile of HijackThis v1.97.3 Scan saved at 00:27:37, on 18.06.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\Norton Internet Security\NISUM.EXE C:\WINDOWS\System32\S3hotkey.exe C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Norton Internet Security\ccPxySvc.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE C:\Programme\Microsoft Office\Office10\WINWORD.EXE C:\Dokumente und Einstellungen\Stefan Brunner\Lokale Einstellungen\Temp\Temporäres Verzeichnis 9 für hijackthis1973.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://derstandard.at/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=proxy.aon.at:8080;http=proxy.aon.at:8080 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.aon.at;<local> O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [S3hotkey] S3hotkey.exe O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: ICQ Lite (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{B36FABFC-9BA5-41D6-9C92-D388B42C95DD}: NameServer = 195.3.96.67 195.3.96.68 sieht ganz gut aus oder? Jedenfalls soweit ich das beurteilen kann als Nicht-Profi :-) Mal schauen was die nächste Zeit so passiert, ich hoffe das wars und sag mal vielen Dank. Und werde auf Deinen Rat hören und Opera nehmen. |
|
|
18.06.2004, 13:42
Member
Beiträge: 1095 |
#14
@smirni
Überprüf bitte die Datei C:\WINDOWS\system32\slserv.exe hier http://www.kaspersky.com/de/remoteviruschk.html Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
18.06.2004, 15:53
Member
Themenstarter Beiträge: 117 |
#15
Zitat slserv.exe Ok:-) ich dürfte also endlich sauber sein *g* by the way: bin auf Firefox 0.9 umgestiegen und jetzt werden sehr viele Bilder nicht mehr dargestellt. Ganze Seiten wie zB. derstandard.at oder fm4.orf.at und hier die kleinen .jpg's. Passt zwar nicht hier rein aber hast Du eine Idee bzw. einen Tip an wen ich mich wenden könnte?! Danke! |
|
|
Nachdem ihr mir hier schon einmal sehr geholfen habt, versuche ich es nochmal.
Zum Problem:
Habe seit ca. 1 Woche ununterbrochen lästige Pop-Ups, der IE verändert sich immer wieder (Inhalte der Symbolleisten zB.) und die Startseite auch.
Egal wie oft ich diese ändere, momentan ist es: res://awxkb.dll/index.html#37049
Das nächste Problem kommt dann bei google. Sobald ich eine Suche starte, öffnet sich ein neues Browser-Fenster und eine neuen "Suchmaschine": http://search-to-find.com/sec.php?qq=air&pin=37049
Ich habe mich ein wenig umgesehen und das hier gefunden:
C:\Program Files\Submit\submithook.dll bzw. auch
C:\Program Files 1\Submit\submithook.dll
Es ist auch eine "Uninstall" Datei dabei, aber einer dieser Ordner kommt immer wieder.
Mit Norton AntiVirus, Ad-Aware oder Spybot findet sich nichts, was das Problem ein für alle mal beendet. Bis jetzt hab ich das immer so irgendwie hinbekommen aber ich stehe nun an. Vielleicht könnt ihr euch mal die HiJack Daten ansehen:
Logfile of HijackThis v1.97.3
Scan saved at 18:59:50, on 14.06.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\Programme\Norton Internet Security\ccPxySvc.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\netam.exe
C:\WINDOWS\System32\S3hotkey.exe
C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\netmx.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Dokumente und Einstellungen\Stefan Brunner\Lokale Einstellungen\Temp\Temporäres Verzeichnis 4 für hijackthis1973.zip\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\awxkb.dll/sp.html#37049
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://awxkb.dll/index.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://awxkb.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\awxkb.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://awxkb.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\awxkb.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=proxy.aon.at:8080;http=proxy.aon.at:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.aon.at;<local>
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5E5DBFEE-5C17-CE66-1F25-F001EBA4E915} - C:\WINDOWS\crxt32.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [S3hotkey] S3hotkey.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [netmx.exe] C:\WINDOWS\system32\netmx.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Wäre euch sehr dankbar wenn ihr mir helfen könntet.
Ich hoffe meine Beschreibung ist halbwegs verständlich
LG
Stefan
kann mir niemand helfen? :-(
Kann mir in etwa denken was ich vielleicht fixen muss aber Fachmann bin ich keiner.