MSN als Startseite.... |
||
---|---|---|
#0
| ||
25.05.2004, 09:25
...neu hier
Beiträge: 2 |
||
|
||
25.05.2004, 10:46
Member
Beiträge: 1095 |
#2
@skydizer
Einfach darauf achten das abaware die about:blank StartSeite nicht fixt. Wenn dies passiert setzt WEindows automatisch die msn Seite als Startseite. Ist einfach so Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
25.05.2004, 11:25
...neu hier
Themenstarter Beiträge: 2 |
#3
Ich lasse Adaware jeden Tag laufen. Wieso wird die erst kürzlich gefixt???
Verstehe den Zusammenhang nicht. grüsse |
|
|
||
25.05.2004, 11:34
Member
Beiträge: 1095 |
#4
Zitat Skydizer posteteWeil Adaware dies erst kürzlich in seine Signaturen aufgenommen hat. Es gab einen HiJacker der about:blank benutzt hat. Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
25.05.2004, 11:53
Member
Beiträge: 13 |
#5
Hallo,
ich hatt auch das Problem mit der MSN-Startseite, das hab ich mit Hilfen aus dem Forum selbst irgendwie "weggefixt". Aber mein PC verucht immer noch nach dem Hochfahren eine Verbuindung aufzubauen. Könntet ihr bitte mein log mal durchsehen, was dafür verantwortlich ist, denn das nervt einfach irgendwie. Logfile of HijackThis v1.97.7 Scan saved at 11:59:09, on 25.05.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: D:\WINNT\System32\smss.exe D:\WINNT\system32\winlogon.exe D:\WINNT\system32\services.exe D:\WINNT\system32\lsass.exe D:\WINNT\system32\svchost.exe D:\WINNT\system32\spoolsv.exe D:\Programme\AVPersonal\AVGUARD.EXE D:\Programme\AVPersonal\AVWUPSRV.EXE D:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe D:\WINNT\System32\svchost.exe D:\WINNT\system32\gearsec.exe D:\WINNT\System32\pctspk.exe D:\WINNT\system32\regsvc.exe D:\WINNT\system32\MSTask.exe D:\WINNT\system32\stisvc.exe D:\WINNT\system32\ZONELABS\vsmon.exe D:\WINNT\System32\WBEM\WinMgmt.exe D:\WINNT\System32\mspmspsv.exe D:\WINNT\system32\svchost.exe D:\WINNT\Explorer.EXE D:\Programme\ahead\InCD\InCD.exe D:\Programme\Winamp\Winampa.exe C:\Programme\Panicware\Pop-Up Stopper\dpps2.exe D:\PROGRA~1\T-DSLS~1\SpeedMgr.exe D:\Programme\HighCriteria\TotalRecorder\TotRecSched.exe D:\WINNT\SystemKnet.exe D:\Programme\AVPersonal\AVGNT.EXE D:\WINNT\csrss.exe D:\Programme\iTunes\iTunesHelper.exe D:\Programme\QuickTime\qttask.exe C:\recover.exe D:\WINNT\acuh.exe D:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe D:\Programme\TraXEx\TraXEx.exe D:\Programme\iPod\bin\iPodService.exe D:\WINNT\system32\ntvdm.exe D:\T-ONLINE\BSW4\ToDuCAlC.EXE D:\PROGRA~1\INTERN~1\IEXPLORE.EXE D:\PROGRA~1\WinZip\winzip32.exe D:\DOKUME~1\ANDREA~1\LOKALE~1\Temp\HijackThis.exe R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = , R1 - HKCU\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = , O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {7A91E5D9-99CC-4586-A200-FF89C894A7FC} - D:\WINNT\dzfir.dll O2 - BHO: (no name) - {EBCDDA60-2A68-11D3-8A43-0060083CFB9C} - D:\WINNT\System32\nzdd.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [InCD] D:\Programme\ahead\InCD\InCD.exe O4 - HKLM\..\Run: [WinampAgent] "D:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [CountrySelection] pctptt.exe O4 - HKLM\..\Run: [Pop-Up Stopper] "C:\Programme\Panicware\Pop-Up Stopper\dpps2.exe" O4 - HKLM\..\Run: [T-DSL SpeedMgr] "D:\PROGRA~1\T-DSLS~1\SpeedMgr.exe" O4 - HKLM\..\Run: [TotalRecorderScheduler] D:\Programme\HighCriteria\TotalRecorder\TotRecSched.exe O4 - HKLM\..\Run: [SystemKnet.exe] D:\WINNT\SystemKnet.exe O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [csrss] D:\WINNT\csrss.exe O4 - HKLM\..\Run: [SysUpd] D:\WINNT\system32\SysUpd.exe O4 - HKLM\..\Run: [NeroCheck] D:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [iTunesHelper] D:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [mmsys] C:\recover.exe O4 - HKLM\..\Run: [dsvvrtbe] D:\WINNT\acuh.exe O4 - HKLM\..\Run: [PestPatrolCL] D:\Programme\PestPatrol\PPCL.exe d:\ O4 - HKLM\..\Run: [CookiePatrol] D:\Programme\PestPatrol\CookiePatrol.exe O4 - Startup: TraXEx.lnk = D:\Programme\TraXEx\TraXEx.exe O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = D:\WINNT\system32\spool\drivers\w32x86\3\E_SRCV02.EXE O4 - Global Startup: ZoneAlarm.lnk = D:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Real.com (HKLM) O15 - Trusted Zone: *.isprime.com O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab O16 - DPF: {2D1FCAD0-D02A-409E-951E-ADE0DD000C92} (GoActive Control) - http://ad.linkswiz.com/setup/StartPageKnet.cab O16 - DPF: {2EF98DE5-183F-11D4-83EC-EC6A1DB6E213} (DynaGeoX Element) - http://www.dynageo.de/download/dynageoviewer.cab O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab O16 - DPF: {4427E1E4-A9A6-40B1-BEAA-3F5CDA2F7453} (AxPhotoStudio Kontrolle) - http://de.samsungmobile.com/play/photo/album_ger.cab O16 - DPF: {5053A978-5972-4D8E-BEC7-3E8D4BC6B830} (AXLoader Class) - http://juicyland.com/dp5000.dll O16 - DPF: {52290B25-D07A-43B5-84D8-493116D50FA0} (WebPlugin Class) - http://webinstall.tscash.com/webinstall.cab O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab O16 - DPF: {DE726BC4-5F2F-4984-B28B-3D6D76724F64} (TSVoiceC Class) - http://download.tscash.com/static/TSVc.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{3C41A207-2159-487B-B3B7-82ADE7957C2A}: NameServer = 217.237.150.141 194.25.2.129 Vielen Dank schonmal P.S.: Mein PopUpStopper funktioniert auch nicht mehr, obwohl er angeblich aktiv ist. Dieser Beitrag wurde am 25.05.2004 um 11:55 Uhr von Levius_1 editiert.
|
|
|
||
25.05.2004, 12:11
Member
Beiträge: 1095 |
#6
@Levius_1
Fixe bitte das R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = , R1 - HKCU\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = , O2 - BHO: (no name) - {7A91E5D9-99CC-4586-A200-FF89C894A7FC} - D:\WINNT\dzfir.dll O2 - BHO: (no name) - {EBCDDA60-2A68-11D3-8A43-0060083CFB9C} - D:\WINNT\System32\nzdd.dll O4 - HKLM\..\Run: [SystemKnet.exe] D:\WINNT\SystemKnet.exe O4 - HKLM\..\Run: [csrss] D:\WINNT\csrss.exe O4 - HKLM\..\Run: [SysUpd] D:\WINNT\system32\SysUpd.exe O4 - HKLM\..\Run: [mmsys] C:\recover.exe O4 - HKLM\..\Run: [dsvvrtbe] D:\WINNT\acuh.exe O16 - DPF: {2D1FCAD0-D02A-409E-951E-ADE0DD000C92} (GoActive Control) - http://ad.linkswiz.com/setup/StartPageKnet.cab O16 - DPF: {5053A978-5972-4D8E-BEC7-3E8D4BC6B830} (AXLoader Class) - http://juicyland.com/dp5000.dll O16 - DPF: {52290B25-D07A-43B5-84D8-493116D50FA0} (WebPlugin Class) - http://webinstall.tscash.com/webinstall.cab O16 - DPF: {DE726BC4-5F2F-4984-B28B-3D6D76724F64} (TSVoiceC Class) - http://download.tscash.com/static/TSVc.cab Die kannst du Fixen, muß aber nicht O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [WinampAgent] "D:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [NeroCheck] D:\WINNT\system32\NeroCheck.exe Dann neustart machen Dann dies durchführen http://www.rokop-security.de/main/article.php?sid=703 Dann Virenscaner updaten und ganz durchlaufen lassen und neustart machen und nochmal Logfile posten Gruß paff P:S: Wenn's ir nicht zuviele Umstände macht pack diese Dateien bitte in ein ZipFile und schick Sie mir an mike_hangover@gozomail.com (Meine FakeEmail) D:\WINNT\SystemKnet.exe D:\WINNT\csrss.exe D:\WINNT\system32\SysUpd.exe C:\recover.exe D:\WINNT\acuh.exe __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 25.05.2004 um 12:16 Uhr von paff editiert.
|
|
|
||
25.05.2004, 13:34
Member
Beiträge: 13 |
#7
Hi Paff,
danke für deine superschnelle Hilfe: die Verbindung will sich nicht mehr aufbauen und auch der PopUpStopper funktioniert wieder - DANKE! Die 5 Dateien hab ich dir geschickt, im Betreff steht, dass sie von mir kommen. Allerdings stellt sich jetzt wieder die msn-startseite ein ... grummel ... liegt das daran, dass adaware sie gefixt hat? Gruß Levius_1 P.S.: Sorry hatte vergessen mein log zu posten Logfile of HijackThis v1.97.7 Scan saved at 13:44:09, on 25.05.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: D:\WINNT\System32\smss.exe D:\WINNT\system32\winlogon.exe D:\WINNT\system32\services.exe D:\WINNT\system32\lsass.exe D:\WINNT\system32\svchost.exe D:\WINNT\system32\spoolsv.exe D:\Programme\AVPersonal\AVGUARD.EXE D:\Programme\AVPersonal\AVWUPSRV.EXE D:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe D:\WINNT\System32\svchost.exe D:\WINNT\system32\gearsec.exe D:\WINNT\System32\pctspk.exe D:\WINNT\system32\regsvc.exe D:\WINNT\system32\MSTask.exe D:\WINNT\system32\stisvc.exe D:\WINNT\system32\ZONELABS\vsmon.exe D:\WINNT\System32\WBEM\WinMgmt.exe D:\WINNT\System32\mspmspsv.exe D:\WINNT\system32\svchost.exe D:\WINNT\Explorer.EXE D:\Programme\ahead\InCD\InCD.exe D:\PROGRA~1\T-DSLS~1\SpeedMgr.exe D:\Programme\HighCriteria\TotalRecorder\TotRecSched.exe D:\Programme\AVPersonal\AVGNT.EXE D:\Programme\iTunes\iTunesHelper.exe D:\WINNT\csrss.exe D:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe D:\Programme\iPod\bin\iPodService.exe D:\Programme\TraXEx\TraXEx.exe D:\DOKUME~1\ANDREA~1\LOKALE~1\Temp\HijackThis.exe D:\WINNT\system32\ntvdm.exe D:\WINNT\System32\svchost.exe C:\Eigene Dateien\email-stuff\ZIP\acuh.exe C:\Programme\Panicware\Pop-Up Stopper\dpps2.exe R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [InCD] D:\Programme\ahead\InCD\InCD.exe O4 - HKLM\..\Run: [CountrySelection] pctptt.exe O4 - HKLM\..\Run: [Pop-Up Stopper] "C:\Programme\Panicware\Pop-Up Stopper\dpps2.exe" O4 - HKLM\..\Run: [T-DSL SpeedMgr] "D:\PROGRA~1\T-DSLS~1\SpeedMgr.exe" O4 - HKLM\..\Run: [TotalRecorderScheduler] D:\Programme\HighCriteria\TotalRecorder\TotRecSched.exe O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [iTunesHelper] D:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [PestPatrolCL] D:\Programme\PestPatrol\PPCL.exe d:\ O4 - HKLM\..\Run: [CookiePatrol] D:\Programme\PestPatrol\CookiePatrol.exe O4 - HKLM\..\Run: [csrss] D:\WINNT\csrss.exe O4 - Startup: TraXEx.lnk = D:\Programme\TraXEx\TraXEx.exe O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = D:\WINNT\system32\spool\drivers\w32x86\3\E_SRCV02.EXE O4 - Global Startup: ZoneAlarm.lnk = D:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Real.com (HKLM) O15 - Trusted Zone: *.isprime.com O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab O16 - DPF: {2EF98DE5-183F-11D4-83EC-EC6A1DB6E213} (DynaGeoX Element) - http://www.dynageo.de/download/dynageoviewer.cab O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab O16 - DPF: {4427E1E4-A9A6-40B1-BEAA-3F5CDA2F7453} (AxPhotoStudio Kontrolle) - http://de.samsungmobile.com/play/photo/album_ger.cab O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab Nochmals Danke! Dieser Beitrag wurde am 25.05.2004 um 13:36 Uhr von Levius_1 editiert.
|
|
|
||
25.05.2004, 14:14
Member
Beiträge: 1095 |
#8
@Levius_1
Ja, das mit der MSN liegt am fixen mit adaware. Einfach dieses beim nächsten mal Adaware nicht fixen. Das hier hast du noch vergessen O4 - HKLM\..\Run: [csrss] D:\WINNT\csrss.exe Bitte noch fixen dann neustart und nochmal das log bitte Gruß paff P.S. Danke für die Dateien __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 25.05.2004 um 14:16 Uhr von paff editiert.
|
|
|
||
25.05.2004, 14:35
Member
Beiträge: 13 |
#9
Hi Paff,
also ich hab die csrss.exe gefixt, aber sie ist wieder aufgetaucht ... die ist wohl etwas hartnäckig!!! Was macht die denn - wenn´s nix Schlimmes ist, lass ich sie halt... Kannst du mit den dateien was anfangen? Gruß Andi Logfile of HijackThis v1.97.7 Scan saved at 14:34:39, on 25.05.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: D:\WINNT\System32\smss.exe D:\WINNT\system32\winlogon.exe D:\WINNT\system32\services.exe D:\WINNT\system32\lsass.exe D:\WINNT\system32\svchost.exe D:\WINNT\system32\spoolsv.exe D:\Programme\AVPersonal\AVGUARD.EXE D:\Programme\AVPersonal\AVWUPSRV.EXE D:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe D:\WINNT\System32\svchost.exe D:\WINNT\system32\gearsec.exe D:\WINNT\System32\pctspk.exe D:\WINNT\system32\regsvc.exe D:\WINNT\system32\MSTask.exe D:\WINNT\system32\stisvc.exe D:\WINNT\system32\ZONELABS\vsmon.exe D:\WINNT\System32\WBEM\WinMgmt.exe D:\WINNT\System32\mspmspsv.exe D:\WINNT\system32\svchost.exe D:\WINNT\Explorer.EXE D:\Programme\ahead\InCD\InCD.exe C:\Programme\Panicware\Pop-Up Stopper\dpps2.exe D:\PROGRA~1\T-DSLS~1\SpeedMgr.exe D:\Programme\HighCriteria\TotalRecorder\TotRecSched.exe D:\Programme\AVPersonal\AVGNT.EXE D:\Programme\iTunes\iTunesHelper.exe D:\WINNT\csrss.exe D:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe D:\Programme\TraXEx\TraXEx.exe D:\Programme\iPod\bin\iPodService.exe D:\PROGRA~1\WinZip\winzip32.exe D:\DOKUME~1\ANDREA~1\LOKALE~1\Temp\HijackThis.exe R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [InCD] D:\Programme\ahead\InCD\InCD.exe O4 - HKLM\..\Run: [CountrySelection] pctptt.exe O4 - HKLM\..\Run: [Pop-Up Stopper] "C:\Programme\Panicware\Pop-Up Stopper\dpps2.exe" O4 - HKLM\..\Run: [T-DSL SpeedMgr] "D:\PROGRA~1\T-DSLS~1\SpeedMgr.exe" O4 - HKLM\..\Run: [TotalRecorderScheduler] D:\Programme\HighCriteria\TotalRecorder\TotRecSched.exe O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [iTunesHelper] D:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [PestPatrolCL] D:\Programme\PestPatrol\PPCL.exe d:\ O4 - HKLM\..\Run: [CookiePatrol] D:\Programme\PestPatrol\CookiePatrol.exe O4 - HKLM\..\Run: [csrss] D:\WINNT\csrss.exe O4 - Startup: TraXEx.lnk = D:\Programme\TraXEx\TraXEx.exe O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = D:\WINNT\system32\spool\drivers\w32x86\3\E_SRCV02.EXE O4 - Global Startup: ZoneAlarm.lnk = D:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Real.com (HKLM) O15 - Trusted Zone: *.isprime.com O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab O16 - DPF: {2EF98DE5-183F-11D4-83EC-EC6A1DB6E213} (DynaGeoX Element) - http://www.dynageo.de/download/dynageoviewer.cab O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab O16 - DPF: {4427E1E4-A9A6-40B1-BEAA-3F5CDA2F7453} (AxPhotoStudio Kontrolle) - http://de.samsungmobile.com/play/photo/album_ger.cab O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab |
|
|
||
25.05.2004, 14:47
Member
Beiträge: 1095 |
#10
@levius
Fix den Eintrag mal im abgesicherten Modus http://www.bsi.de/av/texte/winsave.htm oder beende erst mit dem Taskmanager den Prozess "csrss.exe" dann fixen O4 - HKLM\..\Run: [csrss] D:\WINNT\csrss.exe Hier ein Link dazu http://securityresponse1.symantec.com/sarc/sarc-intl.nsf/html/de-w32.nimda.e@mm.html Du sollest dir einen Virenscanner besorgen www.antivir.de ist umsonst für Privatanwender Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
25.05.2004, 16:22
Member
Beiträge: 13 |
#11
Hi Paff,
also im log ist die csrss.exe nich mehr, aber der Taskmanager zeigt sie mir noch an und die konnte er auch im abg. Modus nicht abrechen. Hab mir dann diesen Wurmvernichter von Symantec runtergeladen, der hat sich aber zweimal dann aufgehängt...jetzt nochmal mein log, aber ich glaube das wars dann soweit. Vielen dank für deine Hilfe, gut das es so Leute wie dich gibt.. Gruß Andi Logfile of HijackThis v1.97.7 Scan saved at 16:27:17, on 25.05.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: D:\WINNT\System32\smss.exe D:\WINNT\system32\winlogon.exe D:\WINNT\system32\services.exe D:\WINNT\system32\lsass.exe D:\WINNT\system32\svchost.exe D:\WINNT\system32\spoolsv.exe D:\Programme\AVPersonal\AVGUARD.EXE D:\Programme\AVPersonal\AVWUPSRV.EXE D:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe D:\WINNT\System32\svchost.exe D:\WINNT\system32\gearsec.exe D:\WINNT\System32\pctspk.exe D:\WINNT\system32\regsvc.exe D:\WINNT\system32\MSTask.exe D:\WINNT\system32\stisvc.exe D:\WINNT\system32\ZONELABS\vsmon.exe D:\WINNT\System32\WBEM\WinMgmt.exe D:\WINNT\System32\mspmspsv.exe D:\WINNT\system32\svchost.exe D:\Programme\ahead\InCD\InCD.exe D:\PROGRA~1\T-DSLS~1\SpeedMgr.exe D:\Programme\HighCriteria\TotalRecorder\TotRecSched.exe D:\Programme\AVPersonal\AVGNT.EXE D:\Programme\iTunes\iTunesHelper.exe D:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe D:\Programme\TraXEx\TraXEx.exe D:\Programme\iPod\bin\iPodService.exe D:\WINNT\system32\ntvdm.exe D:\WINNT\explorer.exe D:\T-ONLINE\BSW4\ToDuCAlC.EXE D:\PROGRA~1\INTERN~1\IEXPLORE.EXE D:\Programme\AVPersonal\AVWIN.EXE D:\Programme\AVPersonal\INETUPD.EXE D:\PROGRA~1\WinZip\winzip32.exe D:\DOKUME~1\ANDREA~1\LOKALE~1\Temp\HijackThis.exe R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [InCD] D:\Programme\ahead\InCD\InCD.exe O4 - HKLM\..\Run: [CountrySelection] pctptt.exe O4 - HKLM\..\Run: [Pop-Up Stopper] "C:\Programme\Panicware\Pop-Up Stopper\dpps2.exe" O4 - HKLM\..\Run: [T-DSL SpeedMgr] "D:\PROGRA~1\T-DSLS~1\SpeedMgr.exe" O4 - HKLM\..\Run: [TotalRecorderScheduler] D:\Programme\HighCriteria\TotalRecorder\TotRecSched.exe O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [iTunesHelper] D:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [PestPatrolCL] D:\Programme\PestPatrol\PPCL.exe d:\ O4 - HKLM\..\Run: [CookiePatrol] D:\Programme\PestPatrol\CookiePatrol.exe O4 - Startup: TraXEx.lnk = D:\Programme\TraXEx\TraXEx.exe O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = D:\WINNT\system32\spool\drivers\w32x86\3\E_SRCV02.EXE O4 - Global Startup: ZoneAlarm.lnk = D:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Real.com (HKLM) O15 - Trusted Zone: *.isprime.com O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab O16 - DPF: {2EF98DE5-183F-11D4-83EC-EC6A1DB6E213} (DynaGeoX Element) - http://www.dynageo.de/download/dynageoviewer.cab O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab O16 - DPF: {4427E1E4-A9A6-40B1-BEAA-3F5CDA2F7453} (AxPhotoStudio Kontrolle) - http://de.samsungmobile.com/play/photo/album_ger.cab O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{3C41A207-2159-487B-B3B7-82ADE7957C2A}: NameServer = 217.237.150.141 194.25.2.129 |
|
|
||
gerne würde ich diese unerwünschte Startseite entfernen, jedoch funktionieren die bisherigen Tipps nicht sonderlich. Nicht zuletzt dürfte es daran liegen, dass ich Thekillbox nirgends gesaugt bekomme...
Anbei einmal meine Logfile
Logfile of HijackThis v1.97.7
Scan saved at 09:27:10, on 25.05.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\SCardSvr.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\basfipm.exe
C:\Programme\Dell\Bluetooth Software\bin\by the way.exe
C:\WINNT\system32\drivers\CDAC11BA.EXE
C:\PROGRA~1\NavNT\DefWatch.exe
C:\WINNT\system32\hidserv.exe
C:\PROGRA~1\NavNT\rtvscan.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WLTRYSVC.EXE
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\bcmwltry.exe
C:\WINNT\Explorer.EXE
C:\Programme\Apoint\Apoint.exe
C:\Programme\Dell\QuickSet\QuickSet.exe
C:\WINNT\system32\PRPCUI.exe
C:\PROGRA~1\NavNT\vptray.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\WINNT\system32\internat.exe
C:\hardcopy\hardcopy.exe
C:\Programme\Apoint\Apntex.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Adobe\Acrobat 5.0\Reader\AcroRd32.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINNT\regedit.exe
C:\Programme\Remote Desktop\mstsc.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX01.414\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [bascstray] BascsTray.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\QuickSet.exe
O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\NavNT\vptray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [SpyHunter] C:\Programme\Enigma Software Group\SpyHunter\SpyHunter.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Startup: Hardcopy.LNK = C:\hardcopy\hardcopy.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Recherchieren (HKLM)
O9 - Extra button: eBay Homepage (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
Was kann ich tun?
thx im Voraus