Cashsearch.biz treibt mich in den Wahnsinn!!!

#0
22.05.2004, 20:08
...neu hier

Beiträge: 2
#1 Hallo Leute!

Wurde vor Stunden Opfer von search.biz.
IE startet Pornoseite und läßt meinen Virenscanner aufheulen (Mc.Afee 8) -
Exploit - MhtRegdir.gen
VBS/Psyme
Startpage CZ
sind nur einige der Meldungen.

Hier mein Hijack Log: (vielleicht weiß ja einer eine passende Lösung)

Logfile of HijackThis v1.97.7
Scan saved at 20:00:49, on 22.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\Trust\WIRELE~1\Keyboard\Ikeymain.exe
C:\PROGRA~1\Trust\WIRELE~1\Mouse\Amoumain.exe
C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_AICN03.EXE
C:\windows\rundll32.exe
E:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Emerald PopStop\ETIPopStop.exe
C:\WINDOWS\system.exe
C:\Programme\Internet Explorer\iexplore.exe
F:\cynics downloads\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://aifind.info/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://aifind.info/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://aifind.info/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://cashsearch.biz/redir.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://cashsearch.biz/redir.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://cashsearch.biz/redir.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://cashsearch.biz/redir.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://cashsearch.biz/redir.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://cashsearch.biz/redir.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://aifind.info/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [iKeyWorks] C:\PROGRA~1\Trust\WIRELE~1\Keyboard\Ikeymain.exe
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\Trust\WIRELE~1\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] E:\Programme\Corel\Corel Graphics 12\Languages\DE\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=052704 Ser*hier nicht!*=DR12WRS-8796594-FHE lang=DE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [EPSON Stylus COLOR 580] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_AICN03.EXE /P22 "EPSON Stylus COLOR 580" /O6 "USB001" /M "Stylus COLOR 580"
O4 - HKCU\..\Run: [rundll32] C:\windows\rundll32.exe
O4 - Startup: Emerald PopStop.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = E:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren (HKLM)
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} - http://63.219.181.7/cax.cab
O16 - DPF: {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - http://www.cameup.com/download2/ToolBand.cab
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://c:\MAIN.MHT!http://213.159.117.236/buka.chm::/x.exe
O16 - DPF: {11111111-1111-1111-1111-111111111157} -
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/en-us/4,0,0,81/mcinsctl.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/mcgdmgr/en-us/1,0,0,19/mcgdmgr.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F57D17AE-CE37-4BC8-B232-EA57747BE5E7} - http://66.230.146.53/EPlugin_AT.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8E32B4F4-4BFC-41E4-A229-946ABB9A0F43}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{8E32B4F4-4BFC-41E4-A229-946ABB9A0F43}: NameServer = 192.168.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{8E32B4F4-4BFC-41E4-A229-946ABB9A0F43}: NameServer = 192.168.0.1

Danke im Vorraus für mögliche Problemlösungen!
Seitenanfang Seitenende
22.05.2004, 20:13
Member
Avatar Dafra

Beiträge: 1122
#2 Fix mal:
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://aifind.info/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://aifind.info/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://aifind.info/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://cashsearch.biz/redir.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://cashsearch.biz/redir.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://cashsearch.biz/redir.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://cashsearch.biz/redir.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://cashsearch.biz/redir.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://cashsearch.biz/redir.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://aifind.info/
O4 - HKCU\..\Run: [rundll32] C:\windows\rundll32.exe
O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} - http://63.219.181.7/cax.cab
O16 - DPF: {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - http://www.cameup.com/download2/ToolBand.cab
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://c:\MAIN.MHT!http://213.159.117.236/buka.chm::/x.exe
O16 - DPF: {11111111-1111-1111-1111-111111111157} -
MFG
DAFRA
Seitenanfang Seitenende
22.05.2004, 23:32
...neu hier

Themenstarter

Beiträge: 2
#3 leider bleibt der Trojaner:

Logfile of HijackThis v1.97.7
Scan saved at 23:31:12, on 22.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\Trust\WIRELE~1\Keyboard\Ikeymain.exe
C:\PROGRA~1\Trust\WIRELE~1\Mouse\Amoumain.exe
C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_AICN03.EXE
C:\windows\rundll32.exe
E:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Emerald PopStop\ETIPopStop.exe
C:\WINDOWS\system.exe
C:\WINDOWS\system.exe
C:\WINDOWS\System32\mshta.exe
C:\Programme\Internet Explorer\iexplore.exe
F:\cynics downloads\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://cashsearch.biz/redir.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://cashsearch.biz/redir.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://cashsearch.biz/redir.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://cashsearch.biz/redir.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://home.microsoft.com/access/autosearch.asp?p=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://cashsearch.biz/redir.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://cashsearch.biz/redir.php
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [iKeyWorks] C:\PROGRA~1\Trust\WIRELE~1\Keyboard\Ikeymain.exe
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\Trust\WIRELE~1\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] E:\Programme\Corel\Corel Graphics 12\Languages\DE\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=052704 Ser*hier nicht!*=DR12WRS-8796594-FHE lang=DE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [EPSON Stylus COLOR 580] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_AICN03.EXE /P22 "EPSON Stylus COLOR 580" /O6 "USB001" /M "Stylus COLOR 580"
O4 - Startup: Emerald PopStop.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = E:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren (HKLM)
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/en-us/4,0,0,81/mcinsctl.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/mcgdmgr/en-us/1,0,0,19/mcgdmgr.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F57D17AE-CE37-4BC8-B232-EA57747BE5E7} - http://66.230.146.53/EPlugin_AT.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8E32B4F4-4BFC-41E4-A229-946ABB9A0F43}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{8E32B4F4-4BFC-41E4-A229-946ABB9A0F43}: NameServer = 192.168.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{8E32B4F4-4BFC-41E4-A229-946ABB9A0F43}: NameServer = 192.168.0.1
Seitenanfang Seitenende
23.05.2004, 13:20
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Nach erfolgreicher Entfernung sollte bei Win ME und XP die Systemwiederherstellung temporär deaktiviert, der PC dann neugestartet und die Systemwiederherstellung reaktiviert werden

Fixe:


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://cashsearch.biz/redir.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://cashsearch.biz/redir.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://cashsearch.biz/redir.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://cashsearch.biz/redir.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://home.microsoft.com/access/autosearch.asp?p=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://cashsearch.biz/redir.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://cashsearch.biz/redir.php

O4 - Startup: Emerald PopStop.lnk =


neustarten

#Lade ALLE Tools von dieser Site (AdAware, Spybot, CWSHredder und SPHfix.exe scanne
http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html

#Lade e-scann (mwav.exe ), scanne<alle Dateien< und loesche manuell , was das Tool nicht beseitigt.
http://www.mwti.net/antivirus/free_utilities.asp

#Lade WebWasher und saeubere den IE
http://www.zdnet.de/downloads/programs/a/f/de000PAF_is-wc.html

#Loesche die TemporaryInternetFiles...es bleibt nur die Index.bat
UND ie-mediaplayer execute.htm

Dann stelle unter InternetOptionen die Startseite neu ein.

---------------------------------------------------------------------
http://www.pestpatrol.com/PestInfo/t/trojandownloader_vbs_psyme_a.asp
http://www.liutilities.com/products/wintaskspro/processlibrary/systemexe/

Onlinescann
http://housecall.trendmicro.com/
http://www.symantec.com/region/de/avcenter/snoops.html

Browserwechsel
- http://firebird-browser.de
Java von Sun:
http://www.java.com/de/index.jsp


Poste das gereinigte Log noch mal.

Sabina
;)
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 23.05.2004 um 13:50 Uhr von Sabina editiert.
Seitenanfang Seitenende
23.05.2004, 13:51
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#5 @Hallo Profis
Was ist das ?
O16 - DPF: {F57D17AE-CE37-4BC8-B232-EA57747BE5E7} - http://66.230.146.53/EPlugin_AT.cab
mFg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.05.2004, 15:18
Moderator

Beiträge: 7805
#6 Eine Art ActiveX Dialer. Sollte gefixt werden. Wird auch schon von einigen AV-Programme erkannt.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
26.05.2004, 15:58
...neu hier
Avatar Galen

Beiträge: 3
#7 Hallo Leute,

so ich hab den chashsearch.biz-Mist nach einigem rumprobieren wieder von meinem Rechner runter
(mögen den cashsearch-Jungs die Server für immer abrauchen).

Mit folgenden Schritten konnte ich den Schmarotzer entfernen :

1. System im abgesicherten Modus starten, hijackthis.exe ausführen und alles mit cashsearch und mstasks makieren und löschen.
2. Nun die Dateien C:\windows\mstasks.exe und mstasks1.exe löschen.
3. Normal neustarten.
4. Nun hier http://members.shaw.ca/techcd/VB_Projects den File den Hostfilereader.exe downloaden, ausführen und die Schalfläche "Reset Default" klickern und danach OK und Exit.
5. Editor öffnen und folgenden Text einfügen :

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"System"=-
[-HKEY_CLASSES_ROOT\CLSID\{061646A1-DC57-487D-B023-A938198C174E}]
[-HKEY_CLASSES_ROOT\CLSID\{4E8A9E72-8942-40EF-88DF-A559152F6B41}]
[-HKEY_CLASSES_ROOT\CLSID\{6E94CEC3-0C84-4310-AE20-CD4090178388}]


6. Speichern unter "clear.reg" (dazu Dateityp : alle Dateien auswählen)
7. Doppelklick auf den so neu erzeugten File und der Abfrage "zur Registry hinzufügen" zustimmen.
8. Neustart
9. Diesen File c:\windows\system32\system32.dll finden und löschen.
10. Neustart und alles ist wieder gut.

Bei Fragen helfe ich gern per eMail weiter.

Gruss

Galen
Seitenanfang Seitenende
26.05.2004, 19:09
...neu hier

Beiträge: 9
#8 galen gibt es noch ne andere möglichkeit den zu entfernen, denn mit deinem geschreiben kann ich ned so viel anfangen.
aja ich habe win2k da gibt es keine windows ordner.
__________
http://www.bildervote.de/index.php?refid=7388
Seitenanfang Seitenende
26.05.2004, 19:39
...neu hier
Avatar Galen

Beiträge: 3
#9 Naja da heißt der Ordner und damit der Pfad ja nur anders, nämlich c:\winnt\system32\system32.dll

Einen anderen Weg wüßte ich zur Zeit nicht.

Gruss

Galen
Seitenanfang Seitenende
26.05.2004, 22:17
...neu hier

Beiträge: 9
#10 ein großes danke an galen. wie es aussieht ist der Schei... endlich geschichte. taucht aufjedenfall nicht mehr auf.

hier noch des nacher log:

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\Explorer.EXE
C:\WINNT\soundman.exe
C:\Programme\Winamp3\winampa.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\internat.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\Programme\Telekom\Eumex 704PC DSL\Capictrl.exe
C:\Programme\Telekom\Eumex 704PC DSL\HNetCtrl.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\ICQ\Icq.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmyrequest.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmyrequest.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchmyrequest.com/sp.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.drachenerbe.de/
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinUpdate] C:\windows\pturk.exe
O4 - HKLM\..\Run: [WinUpdatea] C:\windows\hta1.hta
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [knsfihywh4] C:\Programme\Symantec\mdmitt3va9.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [aimboot] %SystemRoot%\awinrar.exe
O4 - Global Startup: CAPIControl.lnk = C:\Programme\Telekom\Eumex 704PC DSL\Capictrl.exe
O4 - Global Startup: HomeNet Control.lnk = C:\Programme\Telekom\Eumex 704PC DSL\HNetCtrl.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
__________
http://www.bildervote.de/index.php?refid=7388
Seitenanfang Seitenende
26.05.2004, 22:30
Moderator

Beiträge: 7805
#11 Ich weiss zwar nicht was vorher war, aber nun ist da noch eine ganze Menge...
Fix bitte noch das:

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmyrequest.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmyrequest.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchmyrequest.com/sp.php
O4 - HKLM\..\Run: [WinUpdate] C:\windows\pturk.exe (*)
O4 - HKLM\..\Run: [WinUpdatea] C:\windows\hta1.hta (*)
O4 - HKLM\..\Run: [knsfihywh4] C:\Programme\Symantec\mdmitt3va9.exe (*)
O4 - HKCU\..\Run: [aimboot] %SystemRoot%\awinrar.exe (*)

Starte dann neu .

Es waere nett, wenn du die Dateien, die mit (*) gekennzeichnet sind an virus@protecus.de schicken koenntest. Sofern sie ueberhaupt noch da sind.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
26.05.2004, 22:56
...neu hier

Beiträge: 9
#12 leider konnte nur die mdmitt3va9.exe gefunden werden auf der festplatte.
die wollte ich auch schicken, aber sofort ist von yahoo der virenschutz angesprungen. danke vielmals.
__________
http://www.bildervote.de/index.php?refid=7388
Seitenanfang Seitenende
27.05.2004, 05:28
Moderator

Beiträge: 7805
#13 Das ginge nur mit passwortverschluesseltem Archiv(z.B. ZIP) . Welcher irus wurde denn gemeldet?
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
27.05.2004, 12:00
...neu hier

Beiträge: 9
#14 ich kann sie dir senden wen es mit dem zip geht. die dateien befinden sich im quarantäne ordner von antivir.

hier mal die antivir logs:

26.05.2004,18:02 [WARNUNG] Ist das Trojanische Pferd TR/StartPage.eb.2!
C:\WINNT\SH2.EXE
[INFO] Die Datei wurde gelöscht!
26.05.2004,18:02 [WARNUNG] Ist das Trojanische Pferd TR/StartPage.eb.3!
C:\CT27KH2B\TOPPOP[1].EXE
[INFO] Die Datei wurde gelöscht!
26.05.2004,18:02 [WARNUNG] Ist das Trojanische Pferd TR/StartPage.eb.3!
C:\WINNT\TOPPOP.EXE
[INFO] Die Datei wurde gelöscht!

die 2 trojaner habe ich immer wieder selbst wiederhergestellt. bis hijack sie vernichtet hat.
__________
http://www.bildervote.de/index.php?refid=7388
Dieser Beitrag wurde am 27.05.2004 um 12:03 Uhr von BoneBene editiert.
Seitenanfang Seitenende
27.05.2004, 12:20
Moderator

Beiträge: 7805
#15 Im Zweifelsfalle einschicken....
Dann diese bitte auch: mdmitt3va9.exe
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: