MSN als Startseite....

#0
25.05.2004, 09:25
...neu hier

Beiträge: 2
#1 Hallo und guten morgen,

gerne würde ich diese unerwünschte Startseite entfernen, jedoch funktionieren die bisherigen Tipps nicht sonderlich. Nicht zuletzt dürfte es daran liegen, dass ich Thekillbox nirgends gesaugt bekomme...

Anbei einmal meine Logfile

Logfile of HijackThis v1.97.7
Scan saved at 09:27:10, on 25.05.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\SCardSvr.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\basfipm.exe
C:\Programme\Dell\Bluetooth Software\bin\by the way.exe
C:\WINNT\system32\drivers\CDAC11BA.EXE
C:\PROGRA~1\NavNT\DefWatch.exe
C:\WINNT\system32\hidserv.exe
C:\PROGRA~1\NavNT\rtvscan.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WLTRYSVC.EXE
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\bcmwltry.exe
C:\WINNT\Explorer.EXE
C:\Programme\Apoint\Apoint.exe
C:\Programme\Dell\QuickSet\QuickSet.exe
C:\WINNT\system32\PRPCUI.exe
C:\PROGRA~1\NavNT\vptray.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\WINNT\system32\internat.exe
C:\hardcopy\hardcopy.exe
C:\Programme\Apoint\Apntex.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Adobe\Acrobat 5.0\Reader\AcroRd32.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINNT\regedit.exe
C:\Programme\Remote Desktop\mstsc.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX01.414\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [bascstray] BascsTray.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\QuickSet.exe
O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\NavNT\vptray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [SpyHunter] C:\Programme\Enigma Software Group\SpyHunter\SpyHunter.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Startup: Hardcopy.LNK = C:\hardcopy\hardcopy.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Recherchieren (HKLM)
O9 - Extra button: eBay Homepage (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab


Was kann ich tun?

thx im Voraus
Seitenanfang Seitenende
25.05.2004, 10:46
Member

Beiträge: 1095
#2 @skydizer

Einfach darauf achten das abaware die about:blank StartSeite nicht fixt. ;)

Wenn dies passiert setzt WEindows automatisch die msn Seite als Startseite.
Ist einfach so ;)

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
25.05.2004, 11:25
...neu hier

Themenstarter

Beiträge: 2
#3 Ich lasse Adaware jeden Tag laufen. Wieso wird die erst kürzlich gefixt???
Verstehe den Zusammenhang nicht.

grüsse
Seitenanfang Seitenende
25.05.2004, 11:34
Member

Beiträge: 1095
#4

Zitat

Skydizer postete
Ich lasse Adaware jeden Tag laufen. Wieso wird die erst kürzlich gefixt???
Verstehe den Zusammenhang nicht.

grüsse
Weil Adaware dies erst kürzlich in seine Signaturen aufgenommen hat.
Es gab einen HiJacker der about:blank benutzt hat.

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
25.05.2004, 11:53
Member

Beiträge: 13
#5 Hallo,
ich hatt auch das Problem mit der MSN-Startseite, das hab ich mit Hilfen aus dem Forum selbst irgendwie "weggefixt". Aber mein PC verucht immer noch nach dem Hochfahren eine Verbuindung aufzubauen. Könntet ihr bitte mein log mal durchsehen, was dafür verantwortlich ist, denn das nervt einfach irgendwie.

Logfile of HijackThis v1.97.7
Scan saved at 11:59:09, on 25.05.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINNT\System32\smss.exe
D:\WINNT\system32\winlogon.exe
D:\WINNT\system32\services.exe
D:\WINNT\system32\lsass.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\system32\spoolsv.exe
D:\Programme\AVPersonal\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
D:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
D:\WINNT\System32\svchost.exe
D:\WINNT\system32\gearsec.exe
D:\WINNT\System32\pctspk.exe
D:\WINNT\system32\regsvc.exe
D:\WINNT\system32\MSTask.exe
D:\WINNT\system32\stisvc.exe
D:\WINNT\system32\ZONELABS\vsmon.exe
D:\WINNT\System32\WBEM\WinMgmt.exe
D:\WINNT\System32\mspmspsv.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\Explorer.EXE
D:\Programme\ahead\InCD\InCD.exe
D:\Programme\Winamp\Winampa.exe
C:\Programme\Panicware\Pop-Up Stopper\dpps2.exe
D:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
D:\Programme\HighCriteria\TotalRecorder\TotRecSched.exe
D:\WINNT\SystemKnet.exe
D:\Programme\AVPersonal\AVGNT.EXE
D:\WINNT\csrss.exe
D:\Programme\iTunes\iTunesHelper.exe
D:\Programme\QuickTime\qttask.exe
C:\recover.exe
D:\WINNT\acuh.exe
D:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
D:\Programme\TraXEx\TraXEx.exe
D:\Programme\iPod\bin\iPodService.exe
D:\WINNT\system32\ntvdm.exe
D:\T-ONLINE\BSW4\ToDuCAlC.EXE
D:\PROGRA~1\INTERN~1\IEXPLORE.EXE
D:\PROGRA~1\WinZip\winzip32.exe
D:\DOKUME~1\ANDREA~1\LOKALE~1\Temp\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = ,
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = ,
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7A91E5D9-99CC-4586-A200-FF89C894A7FC} - D:\WINNT\dzfir.dll
O2 - BHO: (no name) - {EBCDDA60-2A68-11D3-8A43-0060083CFB9C} - D:\WINNT\System32\nzdd.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [InCD] D:\Programme\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [WinampAgent] "D:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [CountrySelection] pctptt.exe
O4 - HKLM\..\Run: [Pop-Up Stopper] "C:\Programme\Panicware\Pop-Up Stopper\dpps2.exe"
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "D:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [TotalRecorderScheduler] D:\Programme\HighCriteria\TotalRecorder\TotRecSched.exe
O4 - HKLM\..\Run: [SystemKnet.exe] D:\WINNT\SystemKnet.exe
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [csrss] D:\WINNT\csrss.exe
O4 - HKLM\..\Run: [SysUpd] D:\WINNT\system32\SysUpd.exe
O4 - HKLM\..\Run: [NeroCheck] D:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] D:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [mmsys] C:\recover.exe
O4 - HKLM\..\Run: [dsvvrtbe] D:\WINNT\acuh.exe
O4 - HKLM\..\Run: [PestPatrolCL] D:\Programme\PestPatrol\PPCL.exe d:\
O4 - HKLM\..\Run: [CookiePatrol] D:\Programme\PestPatrol\CookiePatrol.exe
O4 - Startup: TraXEx.lnk = D:\Programme\TraXEx\TraXEx.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = D:\WINNT\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: ZoneAlarm.lnk = D:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Real.com (HKLM)
O15 - Trusted Zone: *.isprime.com
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {2D1FCAD0-D02A-409E-951E-ADE0DD000C92} (GoActive Control) - http://ad.linkswiz.com/setup/StartPageKnet.cab
O16 - DPF: {2EF98DE5-183F-11D4-83EC-EC6A1DB6E213} (DynaGeoX Element) - http://www.dynageo.de/download/dynageoviewer.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {4427E1E4-A9A6-40B1-BEAA-3F5CDA2F7453} (AxPhotoStudio Kontrolle) - http://de.samsungmobile.com/play/photo/album_ger.cab
O16 - DPF: {5053A978-5972-4D8E-BEC7-3E8D4BC6B830} (AXLoader Class) - http://juicyland.com/dp5000.dll
O16 - DPF: {52290B25-D07A-43B5-84D8-493116D50FA0} (WebPlugin Class) - http://webinstall.tscash.com/webinstall.cab
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab
O16 - DPF: {DE726BC4-5F2F-4984-B28B-3D6D76724F64} (TSVoiceC Class) - http://download.tscash.com/static/TSVc.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3C41A207-2159-487B-B3B7-82ADE7957C2A}: NameServer = 217.237.150.141 194.25.2.129

Vielen Dank schonmal

P.S.: Mein PopUpStopper funktioniert auch nicht mehr, obwohl er angeblich aktiv ist.
Dieser Beitrag wurde am 25.05.2004 um 11:55 Uhr von Levius_1 editiert.
Seitenanfang Seitenende
25.05.2004, 12:11
Member

Beiträge: 1095
#6 @Levius_1

Fixe bitte das
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = ,
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = ,
O2 - BHO: (no name) - {7A91E5D9-99CC-4586-A200-FF89C894A7FC} - D:\WINNT\dzfir.dll
O2 - BHO: (no name) - {EBCDDA60-2A68-11D3-8A43-0060083CFB9C} - D:\WINNT\System32\nzdd.dll
O4 - HKLM\..\Run: [SystemKnet.exe] D:\WINNT\SystemKnet.exe
O4 - HKLM\..\Run: [csrss] D:\WINNT\csrss.exe
O4 - HKLM\..\Run: [SysUpd] D:\WINNT\system32\SysUpd.exe
O4 - HKLM\..\Run: [mmsys] C:\recover.exe
O4 - HKLM\..\Run: [dsvvrtbe] D:\WINNT\acuh.exe
O16 - DPF: {2D1FCAD0-D02A-409E-951E-ADE0DD000C92} (GoActive Control) - http://ad.linkswiz.com/setup/StartPageKnet.cab
O16 - DPF: {5053A978-5972-4D8E-BEC7-3E8D4BC6B830} (AXLoader Class) - http://juicyland.com/dp5000.dll
O16 - DPF: {52290B25-D07A-43B5-84D8-493116D50FA0} (WebPlugin Class) - http://webinstall.tscash.com/webinstall.cab
O16 - DPF: {DE726BC4-5F2F-4984-B28B-3D6D76724F64} (TSVoiceC Class) - http://download.tscash.com/static/TSVc.cab


Die kannst du Fixen, muß aber nicht
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] "D:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [NeroCheck] D:\WINNT\system32\NeroCheck.exe

Dann neustart machen

Dann dies durchführen
http://www.rokop-security.de/main/article.php?sid=703

Dann Virenscaner updaten und ganz durchlaufen lassen

und neustart machen und nochmal Logfile posten

Gruß paff

P:S:
Wenn's ir nicht zuviele Umstände macht pack diese Dateien bitte in ein ZipFile und schick Sie mir an mike_hangover@gozomail.com (Meine FakeEmail)
D:\WINNT\SystemKnet.exe
D:\WINNT\csrss.exe
D:\WINNT\system32\SysUpd.exe
C:\recover.exe
D:\WINNT\acuh.exe
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Dieser Beitrag wurde am 25.05.2004 um 12:16 Uhr von paff editiert.
Seitenanfang Seitenende
25.05.2004, 13:34
Member

Beiträge: 13
#7 Hi Paff,
danke für deine superschnelle Hilfe:

die Verbindung will sich nicht mehr aufbauen und auch der PopUpStopper funktioniert wieder - DANKE!

Die 5 Dateien hab ich dir geschickt, im Betreff steht, dass sie von mir kommen.

Allerdings stellt sich jetzt wieder die msn-startseite ein ... grummel ... liegt das daran, dass adaware sie gefixt hat?

Gruß Levius_1

P.S.: Sorry hatte vergessen mein log zu posten

Logfile of HijackThis v1.97.7
Scan saved at 13:44:09, on 25.05.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINNT\System32\smss.exe
D:\WINNT\system32\winlogon.exe
D:\WINNT\system32\services.exe
D:\WINNT\system32\lsass.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\system32\spoolsv.exe
D:\Programme\AVPersonal\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
D:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
D:\WINNT\System32\svchost.exe
D:\WINNT\system32\gearsec.exe
D:\WINNT\System32\pctspk.exe
D:\WINNT\system32\regsvc.exe
D:\WINNT\system32\MSTask.exe
D:\WINNT\system32\stisvc.exe
D:\WINNT\system32\ZONELABS\vsmon.exe
D:\WINNT\System32\WBEM\WinMgmt.exe
D:\WINNT\System32\mspmspsv.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\Explorer.EXE
D:\Programme\ahead\InCD\InCD.exe
D:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
D:\Programme\HighCriteria\TotalRecorder\TotRecSched.exe
D:\Programme\AVPersonal\AVGNT.EXE
D:\Programme\iTunes\iTunesHelper.exe
D:\WINNT\csrss.exe
D:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
D:\Programme\iPod\bin\iPodService.exe
D:\Programme\TraXEx\TraXEx.exe
D:\DOKUME~1\ANDREA~1\LOKALE~1\Temp\HijackThis.exe
D:\WINNT\system32\ntvdm.exe
D:\WINNT\System32\svchost.exe
C:\Eigene Dateien\email-stuff\ZIP\acuh.exe
C:\Programme\Panicware\Pop-Up Stopper\dpps2.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [InCD] D:\Programme\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [CountrySelection] pctptt.exe
O4 - HKLM\..\Run: [Pop-Up Stopper] "C:\Programme\Panicware\Pop-Up Stopper\dpps2.exe"
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "D:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [TotalRecorderScheduler] D:\Programme\HighCriteria\TotalRecorder\TotRecSched.exe
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [iTunesHelper] D:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [PestPatrolCL] D:\Programme\PestPatrol\PPCL.exe d:\
O4 - HKLM\..\Run: [CookiePatrol] D:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [csrss] D:\WINNT\csrss.exe
O4 - Startup: TraXEx.lnk = D:\Programme\TraXEx\TraXEx.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = D:\WINNT\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: ZoneAlarm.lnk = D:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Real.com (HKLM)
O15 - Trusted Zone: *.isprime.com
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {2EF98DE5-183F-11D4-83EC-EC6A1DB6E213} (DynaGeoX Element) - http://www.dynageo.de/download/dynageoviewer.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {4427E1E4-A9A6-40B1-BEAA-3F5CDA2F7453} (AxPhotoStudio Kontrolle) - http://de.samsungmobile.com/play/photo/album_ger.cab
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab

Nochmals Danke!
Dieser Beitrag wurde am 25.05.2004 um 13:36 Uhr von Levius_1 editiert.
Seitenanfang Seitenende
25.05.2004, 14:14
Member

Beiträge: 1095
#8 @Levius_1

Ja, das mit der MSN liegt am fixen mit adaware. Einfach dieses beim nächsten mal Adaware nicht fixen. ;)

Das hier hast du noch vergessen
O4 - HKLM\..\Run: [csrss] D:\WINNT\csrss.exe

Bitte noch fixen dann neustart

und nochmal das log bitte ;)

Gruß paff
P.S.
Danke für die Dateien
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Dieser Beitrag wurde am 25.05.2004 um 14:16 Uhr von paff editiert.
Seitenanfang Seitenende
25.05.2004, 14:35
Member

Beiträge: 13
#9 Hi Paff,

also ich hab die csrss.exe gefixt, aber sie ist wieder aufgetaucht ... die ist wohl etwas hartnäckig!!! Was macht die denn - wenn´s nix Schlimmes ist, lass ich sie halt...

Kannst du mit den dateien was anfangen?

Gruß Andi

Logfile of HijackThis v1.97.7
Scan saved at 14:34:39, on 25.05.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINNT\System32\smss.exe
D:\WINNT\system32\winlogon.exe
D:\WINNT\system32\services.exe
D:\WINNT\system32\lsass.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\system32\spoolsv.exe
D:\Programme\AVPersonal\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
D:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
D:\WINNT\System32\svchost.exe
D:\WINNT\system32\gearsec.exe
D:\WINNT\System32\pctspk.exe
D:\WINNT\system32\regsvc.exe
D:\WINNT\system32\MSTask.exe
D:\WINNT\system32\stisvc.exe
D:\WINNT\system32\ZONELABS\vsmon.exe
D:\WINNT\System32\WBEM\WinMgmt.exe
D:\WINNT\System32\mspmspsv.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\Explorer.EXE
D:\Programme\ahead\InCD\InCD.exe
C:\Programme\Panicware\Pop-Up Stopper\dpps2.exe
D:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
D:\Programme\HighCriteria\TotalRecorder\TotRecSched.exe
D:\Programme\AVPersonal\AVGNT.EXE
D:\Programme\iTunes\iTunesHelper.exe
D:\WINNT\csrss.exe
D:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
D:\Programme\TraXEx\TraXEx.exe
D:\Programme\iPod\bin\iPodService.exe
D:\PROGRA~1\WinZip\winzip32.exe
D:\DOKUME~1\ANDREA~1\LOKALE~1\Temp\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [InCD] D:\Programme\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [CountrySelection] pctptt.exe
O4 - HKLM\..\Run: [Pop-Up Stopper] "C:\Programme\Panicware\Pop-Up Stopper\dpps2.exe"
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "D:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [TotalRecorderScheduler] D:\Programme\HighCriteria\TotalRecorder\TotRecSched.exe
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [iTunesHelper] D:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [PestPatrolCL] D:\Programme\PestPatrol\PPCL.exe d:\
O4 - HKLM\..\Run: [CookiePatrol] D:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [csrss] D:\WINNT\csrss.exe
O4 - Startup: TraXEx.lnk = D:\Programme\TraXEx\TraXEx.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = D:\WINNT\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: ZoneAlarm.lnk = D:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Real.com (HKLM)
O15 - Trusted Zone: *.isprime.com
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {2EF98DE5-183F-11D4-83EC-EC6A1DB6E213} (DynaGeoX Element) - http://www.dynageo.de/download/dynageoviewer.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {4427E1E4-A9A6-40B1-BEAA-3F5CDA2F7453} (AxPhotoStudio Kontrolle) - http://de.samsungmobile.com/play/photo/album_ger.cab
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab
Seitenanfang Seitenende
25.05.2004, 14:47
Member

Beiträge: 1095
#10 @levius

Fix den Eintrag mal im abgesicherten Modus
http://www.bsi.de/av/texte/winsave.htm

oder beende erst mit dem Taskmanager den Prozess "csrss.exe"
dann fixen
O4 - HKLM\..\Run: [csrss] D:\WINNT\csrss.exe


Hier ein Link dazu
http://securityresponse1.symantec.com/sarc/sarc-intl.nsf/html/de-w32.nimda.e@mm.html

Du sollest dir einen Virenscanner besorgen
www.antivir.de
ist umsonst für Privatanwender

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
25.05.2004, 16:22
Member

Beiträge: 13
#11 Hi Paff,

also im log ist die csrss.exe nich mehr, aber der Taskmanager zeigt sie mir noch an und die konnte er auch im abg. Modus nicht abrechen.

Hab mir dann diesen Wurmvernichter von Symantec runtergeladen, der hat sich aber zweimal dann aufgehängt...jetzt nochmal mein log, aber ich glaube das wars dann soweit.

Vielen dank für deine Hilfe, gut das es so Leute wie dich gibt..
Gruß Andi

Logfile of HijackThis v1.97.7
Scan saved at 16:27:17, on 25.05.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINNT\System32\smss.exe
D:\WINNT\system32\winlogon.exe
D:\WINNT\system32\services.exe
D:\WINNT\system32\lsass.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\system32\spoolsv.exe
D:\Programme\AVPersonal\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
D:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
D:\WINNT\System32\svchost.exe
D:\WINNT\system32\gearsec.exe
D:\WINNT\System32\pctspk.exe
D:\WINNT\system32\regsvc.exe
D:\WINNT\system32\MSTask.exe
D:\WINNT\system32\stisvc.exe
D:\WINNT\system32\ZONELABS\vsmon.exe
D:\WINNT\System32\WBEM\WinMgmt.exe
D:\WINNT\System32\mspmspsv.exe
D:\WINNT\system32\svchost.exe
D:\Programme\ahead\InCD\InCD.exe
D:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
D:\Programme\HighCriteria\TotalRecorder\TotRecSched.exe
D:\Programme\AVPersonal\AVGNT.EXE
D:\Programme\iTunes\iTunesHelper.exe
D:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
D:\Programme\TraXEx\TraXEx.exe
D:\Programme\iPod\bin\iPodService.exe
D:\WINNT\system32\ntvdm.exe
D:\WINNT\explorer.exe
D:\T-ONLINE\BSW4\ToDuCAlC.EXE
D:\PROGRA~1\INTERN~1\IEXPLORE.EXE
D:\Programme\AVPersonal\AVWIN.EXE
D:\Programme\AVPersonal\INETUPD.EXE
D:\PROGRA~1\WinZip\winzip32.exe
D:\DOKUME~1\ANDREA~1\LOKALE~1\Temp\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [InCD] D:\Programme\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [CountrySelection] pctptt.exe
O4 - HKLM\..\Run: [Pop-Up Stopper] "C:\Programme\Panicware\Pop-Up Stopper\dpps2.exe"
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "D:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [TotalRecorderScheduler] D:\Programme\HighCriteria\TotalRecorder\TotRecSched.exe
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [iTunesHelper] D:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [PestPatrolCL] D:\Programme\PestPatrol\PPCL.exe d:\
O4 - HKLM\..\Run: [CookiePatrol] D:\Programme\PestPatrol\CookiePatrol.exe
O4 - Startup: TraXEx.lnk = D:\Programme\TraXEx\TraXEx.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = D:\WINNT\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: ZoneAlarm.lnk = D:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Real.com (HKLM)
O15 - Trusted Zone: *.isprime.com
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {2EF98DE5-183F-11D4-83EC-EC6A1DB6E213} (DynaGeoX Element) - http://www.dynageo.de/download/dynageoviewer.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {4427E1E4-A9A6-40B1-BEAA-3F5CDA2F7453} (AxPhotoStudio Kontrolle) - http://de.samsungmobile.com/play/photo/album_ger.cab
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3C41A207-2159-487B-B3B7-82ADE7957C2A}: NameServer = 217.237.150.141 194.25.2.129
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: