Home » Spyware & Browser Hijacker Support Forum » Heftiger CWS - Befall, Bitte HjT-Log anschauen :( » Themenansicht
Heftiger CWS - Befall, Bitte HjT-Log anschauen :( |
||
|---|---|---|
| #0
| ||
|
31.05.2004, 23:50
Member
Beiträge: 462 |
||
 
|
|
|
|
02.06.2004, 16:08
Member
 Beiträge: 1122 |
#2
Fix:
O2 - BHO: . - {D34F08C5-4F18-477c-86CB-1A9BEECFE37B} - C:\WINDOWS\ANWENDUNGSDATEN\MSQX\MSQX32.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\RunServices: [MOSearch] C:\PROGRA~1\GEMEIN~1\SYSTEM\MOSEARCH\BIN\MOSEARCH.EXE Sonst seh ich nix. MFG DAFRA |
|
|
|
|
|
|
02.06.2004, 23:34
Member
Themenstarter Beiträge: 462 |
#3
Zunächst mal ein großes MERCI Dafra,
als wir heute mit HijackThis gescannt haben, waren plötzlich wieder etliche R0 und R1 Einträge da. Daraufhin haben wir dann nochmals mit Ad-aware 6 im abgesicherten Modus gescannt, und es hat wieder über 80 Objekte gefunden (überwiegend Dateien, aber auch einige Reg.-Schlüssel und -Einträge). Fast alles CWS und seltsamerweise in nem Verzeichnis "C:\recycled\IrgendwasMitNorton". Sbybot S&D (auch im Safe Mode) hat dann nur einen DSO Exploit gefunden. CWShredder und Trendmicro Housecall fanden danach nichts. Dieser Eintrag: O2 - BHO: . - {D34F08C5-4F18-477c-86CB-1A9BEECFE37B} - C:\WINDOWS\ANWENDUNGSDATEN\MSQX\MSQX32.DLL war dann allerdings auch nicht mehr da. Die andern 3 von dir Dafra empfohlenen haben wir dann noch mit HjT gefixt. Und da ich dem Norton Recycle Bin nicht getraut habe, haben wir den mal entleert. Hier nun unser neues - Logfile of HijackThis v1.97.7 Scan saved at 22:46:17, on 02.06.04 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE C:\PROGRAMME\NORTON ANTIVIRUS\ADVTOOLS\NPROTECT.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\VS7DEBUG\MDM.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE C:\WINDOWS\SYSTEM\SKDAEMON.EXE C:\WINDOWS\LOADQM.EXE C:\WINDOWS\SYSTEM\LEXBCES.EXE C:\WINDOWS\SYSTEM\RPCSS.EXE C:\WINDOWS\SYSTEM\SKSMAILD.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\WINDOWS\SYSTEM\LEXPPS.EXE C:\WINDOWS\SYSTEM\PSTORES.EXE C:\PROGRAMME\HJT1.97.7\HIJACKTHIS.EXE O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL (file missing) O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\ADVTOOLS\ADVCHK.EXE O4 - HKLM\..\Run: [NPROTECT] C:\PROGRA~1\NORTON~1\ADVTOOLS\NPROTECT.EXE O4 - HKLM\..\Run: [Hot Key Kbd Daemon] SKDAEMON.EXE O4 - HKLM\..\Run: [LexStart] Lexstart.exe O4 - HKLM\..\Run: [LoadQM] loadqm.exe O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe" O4 - HKLM\..\RunServices: [NPROTECT] C:\PROGRA~1\NORTON~1\ADVTOOLS\NPROTECT.EXE O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg O4 - HKLM\..\RunServices: [MDM7] "C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\VS7DEBUG\MDM.EXE" O4 - HKCU\..\Run: [IncrediMail] D:\DOWNLO~1\INCRED~1\bin\IncMail.exe /c O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [MyEMessenger] C:\Programme\MyEMessenger\MyEMessenger.exe /autorun O4 - HKCU\..\RunOnce: [ICQ Lite] C:\PROGRAMME\ICQLITE\ICQLITE.EXE -trayboot O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000 O8 - Extra context menu item: &Add animation to IncrediMail Style Box - D:\DOWNLO~1\INCRED~1\bin\resources\WebMenuImg.htm O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmsearch.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmcache.html O8 - Extra context menu item: Si&milar Pages - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmsimilar.html O8 - Extra context menu item: Backward &Links - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmbacklinks.html O9 - Extra button: ICQ 4.0 (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?37939.3953240741 O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://arcade.icq.com/multiplayer/odyssey_web8.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/290d3d68fe52e35d2106/netzip/RdxIE601_de.cab O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/potd_x.cab O16 - DPF: Tornado 21 - http://download.games.yahoo.com/games/clients/y/t21t0_x.cab O16 - DPF: Yahoo! Checkers - http://download.games.yahoo.com/games/clients/y/kt3_x.cab O16 - DPF: {91BE8DAC-957E-416C-B735-E2B63CDB915B} (MyEMessengerSetup Control) - http://www.myemessenger.com/activex/MyEMessengerSetupProject.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab Nochmals wegen dem "MyEMessenger"; ganz sicher dass das Teil ok ist  Wenn ich auf deren HP gehe, wollen die mir gleich was downloaden (myemessengerSS.exe oder so ähnlich). Außerdem sacht mein Junior, er hätte das Teil nie auf den Rechner geladen und wenn er es jetzt über die Systemsteuerung/Software deinstallieren möchte, kommt eine Fehlermeldung, dass "die Deinstallation nicht möglich sei, irgend eine Datei würde fehlen"! Seltsam, oder? :\ Sagt ihr mir bitte, ob das HjT Log jetzt ok ist, und was ihr von dem MyEMessi haltet? Ich danke euch schon mal sehr herzlich. Habe das Protecus Board auch schon fleißig weiterempfohlen.  MfG RollaCoasta __________ U can get it if u really want! (J.Cliff) |
|
|
|
|
|
|
03.06.2004, 15:39
Member
Beiträge: 1095 |
#4
@rolla
1. schreib mal dazu was für R1 oder R0 Einträge da waren 2. Fixe alles was mit "MyEMessenger" zu tun hat O4 - HKCU\..\Run: [MyEMessenger] C:\Programme\MyEMessenger\MyEMessenger.exe /autorun O16 - DPF: {91BE8DAC-957E-416C-B735-E2B63CDB915B} (MyEMessengerSetup Control) - http://www.myemessenger.com/activex/MyEMessengerSetupProject.cab 3. Geh alle O4 EInträge durch. Überprüfe die angegebene Datei bei einem Onlinescan z.B. hier http://www.kaspersky.com/remoteviruschk.html Wenn Malware dann Fixen 4. Temporäre Internetfiles löschen 5. Papierkorb leeren 6. Virenscanner updaten und die Ganze Platte scannen 7. Dies hier in Ruhe durchmachen Nicht vergessen die einzelnen Tools upzudaten http://www.rokop-security.de/main/article.php?sid=703 Danach neustart machen und nochmal Logfile posten Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 03.06.2004 um 15:43 Uhr von paff editiert.
|
|
|
|
|
|
|
03.06.2004, 16:53
Member
Themenstarter Beiträge: 462 |
#5
Hi Paff,
allerherzlichsten Dank erstmal, (ich muss noch warten bis mein Sohn vonner Schule kommt). zu 4. - 6., hatten wir gemacht, siehe auch mein Eröffnungs-Post, 7., bis auf die "ActiveX"-Einstellung und die Windows-updates, by the way wird das (w98SE) überhaupt noch supported? zu 1., waren alles Sachen mit "search..." die aber nach der erneuten Ad-aware- und Spybot S&D1.3-Behandlung weg waren. zu 3., sollen wir ALLE Dateien aus den 04er Einträgen bei Kaspersky testen? oder nur diese 04er "MyEMessenger"-Datei? (was ich annehme) MfG RollaCoasta __________ U can get it if u really want! (J.Cliff) |
|
|
|
|
|
|
03.06.2004, 17:07
Member
Beiträge: 1095 |
#6
Zitat RollaCoasta posteteDer genau Name wäre wichtig. Dies scheint kein Standard HiJacker zu sein Deswegen genau Beschreibung Zitat zu 3.,Wirklich für alle O4 überprüfen Poste bitte auch das erweiterte HiJackthis Logfile HJT starten Config drücken Misc Tools Generate StartupList log Lade dir diese Datei http://tools.zerosrealm.com/pv.zip Auspacken und runme.BAT starten dann "6" eingeben und return Dann Text der erscheinenden Textdatei posten Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 03.06.2004 um 17:07 Uhr von paff editiert.
|
|
|
|
|
|
|
03.06.2004, 18:14
Member
Themenstarter Beiträge: 462 |
#7
hier die ellenlange StartupList noch VOR dem Fixen der MyEMessenger-Einträge,
das "normale HjT-Log" sieht aus wie das am 02.06.04, 23:34 h gepostete, also heute KEINE R0- und R1-Einträge mehr! und auch die Startseite ist die korrekte. StartupList report, 03.06.04, 17:24:31 StartupList version: 1.52 Started from : C:\PROGRAMME\HJT1.97.7\HIJACKTHIS.EXE Detected: Windows 98 SE (Win9x 4.10.2222A) Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106) * Using default options ================================================== Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE C:\PROGRAMME\NORTON ANTIVIRUS\ADVTOOLS\NPROTECT.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\VS7DEBUG\MDM.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE C:\WINDOWS\SYSTEM\SKDAEMON.EXE C:\WINDOWS\LOADQM.EXE C:\WINDOWS\SYSTEM\LEXBCES.EXE C:\WINDOWS\SYSTEM\RPCSS.EXE C:\WINDOWS\SYSTEM\SKSMAILD.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\WINDOWS\SYSTEM\LEXPPS.EXE C:\WINDOWS\SYSTEM\PSTORES.EXE C:\PROGRAMME\HJT1.97.7\HIJACKTHIS.EXE -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\Run TaskMonitor = C:\WINDOWS\taskmon.exe SystemTray = SysTray.Exe LoadPowerProfile = Rundll32.exe powrprof.dll,LoadCurrentPwrScheme ccApp = "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" ccRegVfy = "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" Advanced Tools Check = C:\PROGRA~1\NORTON~1\ADVTOOLS\ADVCHK.EXE NPROTECT = C:\PROGRA~1\NORTON~1\ADVTOOLS\NPROTECT.EXE Hot Key Kbd Daemon = SKDAEMON.EXE LexStart = Lexstart.exe LoadQM = loadqm.exe ICQ Lite = C:\Programme\ICQLite\ICQLite.exe -minimize -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices LoadPowerProfile = Rundll32.exe powrprof.dll,LoadCurrentPwrScheme ccEvtMgr = "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe" NPROTECT = C:\PROGRA~1\NORTON~1\ADVTOOLS\NPROTECT.EXE ScriptBlocking = "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg MDM7 = "C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\VS7DEBUG\MDM.EXE" -------------------------------------------------- Autorun entries from Registry: HKCU\Software\Microsoft\Windows\CurrentVersion\Run IncrediMail = D:\DOWNLO~1\INCRED~1\bin\IncMail.exe /c MsnMsgr = "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background MyEMessenger = C:\Programme\MyEMessenger\MyEMessenger.exe /autorun -------------------------------------------------- Autorun entries from Registry: HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce ICQ Lite = C:\PROGRAMME\ICQLITE\ICQLITE.EXE -trayboot -------------------------------------------------- C:\WINDOWS\WININIT.BAK listing: (Created 2/6/2004, 21:8:24) [rename] NUL=c:\program files\submit\submithook.dll NUL=c:\recycled\nprotect\00004917.exe NUL=c:\recycled\nprotect\00004915.dat NUL=c:\recycled\nprotect\00004913.dat NUL=c:\recycled\nprotect\00005196.dll NUL=c:\recycled\nprotect\00005194.dat NUL=c:\recycled\nprotect\00005193.dat NUL=c:\recycled\nprotect\00005009.new NUL=c:\recycled\nprotect\00004040.dll NUL=c:\recycled\nprotect\00003814.dll NUL=c:\recycled\nprotect\00003785.dll NUL=c:\recycled\nprotect\00003784.dll NUL=c:\recycled\nprotect\00003783.dll NUL=c:\recycled\nprotect\00003782.new NUL=c:\recycled\nprotect\00003781.new NUL=c:\recycled\nprotect\00003780.dll NUL=c:\recycled\nprotect\00003776.dll NUL=c:\recycled\nprotect\00005240.new NUL=c:\recycled\nprotect\00005239.dll NUL=c:\recycled\nprotect\00005192.dll NUL=c:\recycled\nprotect\00005190.exe NUL=c:\recycled\nprotect\00005188.dat NUL=c:\recycled\nprotect\00005187.dat NUL=c:\windows\ndnuninstall6_22.exe NUL=c:\windows\sdkqh32.dll NUL=c:\windows\mshp.dll NUL=c:\windows\submit2.exe NUL=c:\windows\ndnuninstall5_48.exe NUL=c:\windows\iege\keywords.dat NUL=c:\windows\iege\dict.dat NUL=c:\windows\iege\mssearch.dll NUL=c:\windows\iege\msiesh.dll NUL=c:\windows\cookies\thabani@paycounter[1].txt NUL=c:\windows\cookies\thabani@promo.match[1].txt NUL=c:\windows\anwendungsdaten\msqx\nettt.dll NUL=c:\windows\anwendungsdaten\msqx\mfcwt32.dll NUL=c:\windows\anwendungsdaten\msqx\msqx32.dll.new NUL=c:\windows\anwendungsdaten\msqx\msiesh.dll NUL=c:\windows\anwendungsdaten\msqx\netgs.dll NUL=c:\windows\anwendungsdaten\msqx\advsx.dll NUL=c:\windows\anwendungsdaten\msqx\keywords.dat NUL=c:\windows\anwendungsdaten\msqx\dict.dat NUL=c:\windows\anwendungsdaten\msqx\msqx32.dll NUL=C:\WINDOWS\TEMP\GLB1A2B.EXE -------------------------------------------------- C:\AUTOEXEC.BAT listing: mode con codepage prepare=((850) C:\WINDOWS\COMMAND\ega.cpi) mode con codepage select=850 keyb sg,,C:\WINDOWS\COMMAND\keyboard.sys -------------------------------------------------- Enumerating Browser Helper Objects: NAV Helper - C:\Programme\Norton AntiVirus\NavShExt.dll - {BDF3E430-B101-42AD-A544-FADC6B084872} (no name) - c:\programme\google\googletoolbar2.dll - {AA58ED58-01DD-4d91-8333-CF10577473F7} (no name) - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (no name) - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL (file missing) - {53707962-6F74-2D53-2644-206D7942484F} -------------------------------------------------- Enumerating Task Scheduler jobs: Programmstart beschleunigen.job Symantec NetDetect.job Norton AntiVirus - Scan my computer.job -------------------------------------------------- Enumerating Download Program Files: [Update Class] InProcServer32 = C:\WINDOWS\SYSTEM\IUCTL.DLL CODEBASE = http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?37939.3953240741 [{33564D57-0000-0010-8000-00AA00389B71}] CODEBASE = http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB [shizmoo Class] InProcServer32 = C:\PROGRAMME\SHIZMOO\ICQ_WEBGAMES\ODYSSEY_WEBMOO8.DLL CODEBASE = http://arcade.icq.com/multiplayer/odyssey_web8.cab [Shockwave Flash Object] InProcServer32 = C:\WINDOWS\SYSTEM\MACROMED\FLASH\FLASH.OCX CODEBASE = http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab [IMDownloader Class] CODEBASE = http://www2.incredimail.com/contents/setup/downloader/imloader.cab [RdxIE Class] InProcServer32 = C:\WINDOWS\DOWNLOADED PROGRAM FILES\RDXIE.DLL CODEBASE = http://207.188.7.150/290d3d68fe52e35d2106/netzip/RdxIE601_de.cab [MyEMessengerSetup Control] InProcServer32 = C:\WINDOWS\DOWNLO~1\MYEMES~1.OCX CODEBASE = http://www.myemessenger.com/activex/MyEMessengerSetupProject.cab [HouseCall-Kontrolle] InProcServer32 = C:\WINDOWS\DOWNLO~1\XSCAN53.OCX CODEBASE = http://housecall.trendmicro-europe.com/housecall/Xscan53.cab -------------------------------------------------- Enumerating ShellServiceObjectDelayLoad items: WebCheck: C:\WINDOWS\SYSTEM\WEBCHECK.DLL -------------------------------------------------- End of report, 7.755 bytes Report generated in 0,420 seconds Command line options: /verbose - to add additional info on each section /complete - to include empty sections and unsuspicious data /full - to include several rarely-important sections /force9x - to include Win9x-only startups even if running on WinNT /forcent - to include WinNT-only startups even if running on Win9x /forceall - to include all Win9x and WinNT startups, regardless of platform /history - to list version history only Wir werden jetzt mal die 04er scannen (hoffentlich finden wir die auch alle )und dann die MyEMessenger Einträge fixen und das PV-Tool anwenden.Bis hierhin mal THX & Respect MfG RollaCoasta __________ U can get it if u really want! (J.Cliff) |
|
|
|
|
|
|
03.06.2004, 20:34
Member
Beiträge: 1095 |
#8
@rOLLA
Ich würde mal tippen das es die hier ist O4 - HKLM\..\RunServices: [MDM7] "C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\VS7DEBUG\MDM.EXE" Schick mir dei Datei mal bitte an mike_hangover@gozomail.com (Meine FakeEmail) Das hier kannst du auf jedenfall in HiAJckThis fixen O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/290d3d68fe52e35d2106/netzip/RdxIE601_de.cab Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
|
|
|
|
03.06.2004, 20:45
Member
Themenstarter Beiträge: 462 |
#9
Hi Paff,
wollte gerade unser letztes HjT-Log und StartupList posten, ging aber wegen der DoppelPost-Sperre hier im Forum nicht. Aber nun hast du ja geantwortet Kaspersky hat die MDM.EXE als clean bewertet, soll ich sie dir trotzdem schicken? Den RdxIE Class-Eintrag fixe ich dann noch, (dauert aber jetzt wieder eine Weile, da der Junior weg musste und erst später wiederkommt). ----------- hier mein vorbereitetes Post  So, alle 04er Einträge sind laut Kaspersky CLEAN, bis auf: ICQLite und MSN-Messi - die beiden konnten wir nicht scannen, da der Kaspersky-Scanner nur Dateien bis 1MB nimmt; der MyEMessenger wurde wohl vom Vorbesitzer mal auf den Rechner gepackt und später unfachmännisch deinstalliert, da alle Verknüpfungen ins Leere zielen  , die beiden Einträge davon haben wir natürlich gefixt.Hier nun unser neues (und hoffentlich sauberes) Logfile of HijackThis v1.97.7 Scan saved at 19:15:58, on 03.06.04 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE C:\PROGRAMME\NORTON ANTIVIRUS\ADVTOOLS\NPROTECT.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\VS7DEBUG\MDM.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE C:\WINDOWS\SYSTEM\SKDAEMON.EXE C:\WINDOWS\LOADQM.EXE C:\WINDOWS\SYSTEM\LEXBCES.EXE C:\WINDOWS\SYSTEM\RPCSS.EXE C:\WINDOWS\SYSTEM\SKSMAILD.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\WINDOWS\SYSTEM\PSTORES.EXE C:\WINDOWS\SYSTEM\LEXPPS.EXE C:\PROGRAMME\HJT1.97.7\HIJACKTHIS.EXE O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL (file missing) O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\ADVTOOLS\ADVCHK.EXE O4 - HKLM\..\Run: [NPROTECT] C:\PROGRA~1\NORTON~1\ADVTOOLS\NPROTECT.EXE O4 - HKLM\..\Run: [Hot Key Kbd Daemon] SKDAEMON.EXE O4 - HKLM\..\Run: [LexStart] Lexstart.exe O4 - HKLM\..\Run: [LoadQM] loadqm.exe O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe" O4 - HKLM\..\RunServices: [NPROTECT] C:\PROGRA~1\NORTON~1\ADVTOOLS\NPROTECT.EXE O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg O4 - HKLM\..\RunServices: [MDM7] "C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\VS7DEBUG\MDM.EXE" O4 - HKCU\..\Run: [IncrediMail] D:\DOWNLO~1\INCRED~1\bin\IncMail.exe /c O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\RunOnce: [ICQ Lite] C:\PROGRAMME\ICQLITE\ICQLITE.EXE -trayboot O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000 O8 - Extra context menu item: &Add animation to IncrediMail Style Box - D:\DOWNLO~1\INCRED~1\bin\resources\WebMenuImg.htm O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmsearch.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmcache.html O8 - Extra context menu item: Si&milar Pages - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmsimilar.html O8 - Extra context menu item: Backward &Links - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmbacklinks.html O9 - Extra button: ICQ 4.0 (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?37939.3953240741 O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://arcade.icq.com/multiplayer/odyssey_web8.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/290d3d68fe52e35d2106/netzip/RdxIE601_de.cab O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/potd_x.cab O16 - DPF: Tornado 21 - http://download.games.yahoo.com/games/clients/y/t21t0_x.cab O16 - DPF: Yahoo! Checkers - http://download.games.yahoo.com/games/clients/y/kt3_x.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab und der neue StartupList report, 03.06.04, 19:10:12 StartupList version: 1.52 Started from : C:\PROGRAMME\HJT1.97.7\HIJACKTHIS.EXE Detected: Windows 98 SE (Win9x 4.10.2222A) Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106) * Using default options ================================================== Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE C:\PROGRAMME\NORTON ANTIVIRUS\ADVTOOLS\NPROTECT.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\VS7DEBUG\MDM.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE C:\WINDOWS\SYSTEM\SKDAEMON.EXE C:\WINDOWS\LOADQM.EXE C:\WINDOWS\SYSTEM\LEXBCES.EXE C:\WINDOWS\SYSTEM\RPCSS.EXE C:\WINDOWS\SYSTEM\SKSMAILD.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\WINDOWS\SYSTEM\PSTORES.EXE C:\WINDOWS\SYSTEM\LEXPPS.EXE C:\PROGRAMME\HJT1.97.7\HIJACKTHIS.EXE -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\Run TaskMonitor = C:\WINDOWS\taskmon.exe SystemTray = SysTray.Exe LoadPowerProfile = Rundll32.exe powrprof.dll,LoadCurrentPwrScheme ccApp = "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" ccRegVfy = "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" Advanced Tools Check = C:\PROGRA~1\NORTON~1\ADVTOOLS\ADVCHK.EXE NPROTECT = C:\PROGRA~1\NORTON~1\ADVTOOLS\NPROTECT.EXE Hot Key Kbd Daemon = SKDAEMON.EXE LexStart = Lexstart.exe LoadQM = loadqm.exe ICQ Lite = C:\Programme\ICQLite\ICQLite.exe -minimize -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices LoadPowerProfile = Rundll32.exe powrprof.dll,LoadCurrentPwrScheme ccEvtMgr = "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe" NPROTECT = C:\PROGRA~1\NORTON~1\ADVTOOLS\NPROTECT.EXE ScriptBlocking = "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg MDM7 = "C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\VS7DEBUG\MDM.EXE" -------------------------------------------------- Autorun entries from Registry: HKCU\Software\Microsoft\Windows\CurrentVersion\Run IncrediMail = D:\DOWNLO~1\INCRED~1\bin\IncMail.exe /c MsnMsgr = "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background -------------------------------------------------- Autorun entries from Registry: HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce ICQ Lite = C:\PROGRAMME\ICQLITE\ICQLITE.EXE -trayboot -------------------------------------------------- C:\WINDOWS\WININIT.BAK listing: (Created 2/6/2004, 21:8:24) [rename] NUL=c:\program files\submit\submithook.dll NUL=c:\recycled\nprotect\00004917.exe NUL=c:\recycled\nprotect\00004915.dat NUL=c:\recycled\nprotect\00004913.dat NUL=c:\recycled\nprotect\00005196.dll NUL=c:\recycled\nprotect\00005194.dat NUL=c:\recycled\nprotect\00005193.dat NUL=c:\recycled\nprotect\00005009.new NUL=c:\recycled\nprotect\00004040.dll NUL=c:\recycled\nprotect\00003814.dll NUL=c:\recycled\nprotect\00003785.dll NUL=c:\recycled\nprotect\00003784.dll NUL=c:\recycled\nprotect\00003783.dll NUL=c:\recycled\nprotect\00003782.new NUL=c:\recycled\nprotect\00003781.new NUL=c:\recycled\nprotect\00003780.dll NUL=c:\recycled\nprotect\00003776.dll NUL=c:\recycled\nprotect\00005240.new NUL=c:\recycled\nprotect\00005239.dll NUL=c:\recycled\nprotect\00005192.dll NUL=c:\recycled\nprotect\00005190.exe NUL=c:\recycled\nprotect\00005188.dat NUL=c:\recycled\nprotect\00005187.dat NUL=c:\windows\ndnuninstall6_22.exe NUL=c:\windows\sdkqh32.dll NUL=c:\windows\mshp.dll NUL=c:\windows\submit2.exe NUL=c:\windows\ndnuninstall5_48.exe NUL=c:\windows\iege\keywords.dat NUL=c:\windows\iege\dict.dat NUL=c:\windows\iege\mssearch.dll NUL=c:\windows\iege\msiesh.dll NUL=c:\windows\cookies\thabani@paycounter[1].txt NUL=c:\windows\cookies\thabani@promo.match[1].txt NUL=c:\windows\anwendungsdaten\msqx\nettt.dll NUL=c:\windows\anwendungsdaten\msqx\mfcwt32.dll NUL=c:\windows\anwendungsdaten\msqx\msqx32.dll.new NUL=c:\windows\anwendungsdaten\msqx\msiesh.dll NUL=c:\windows\anwendungsdaten\msqx\netgs.dll NUL=c:\windows\anwendungsdaten\msqx\advsx.dll NUL=c:\windows\anwendungsdaten\msqx\keywords.dat NUL=c:\windows\anwendungsdaten\msqx\dict.dat NUL=c:\windows\anwendungsdaten\msqx\msqx32.dll NUL=C:\WINDOWS\TEMP\GLB1A2B.EXE -------------------------------------------------- C:\AUTOEXEC.BAT listing: mode con codepage prepare=((850) C:\WINDOWS\COMMAND\ega.cpi) mode con codepage select=850 keyb sg,,C:\WINDOWS\COMMAND\keyboard.sys -------------------------------------------------- Enumerating Browser Helper Objects: NAV Helper - C:\Programme\Norton AntiVirus\NavShExt.dll - {BDF3E430-B101-42AD-A544-FADC6B084872} (no name) - c:\programme\google\googletoolbar2.dll - {AA58ED58-01DD-4d91-8333-CF10577473F7} (no name) - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (no name) - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL (file missing) - {53707962-6F74-2D53-2644-206D7942484F} -------------------------------------------------- Enumerating Task Scheduler jobs: Programmstart beschleunigen.job Symantec NetDetect.job Norton AntiVirus - Scan my computer.job -------------------------------------------------- Enumerating Download Program Files: [Update Class] InProcServer32 = C:\WINDOWS\SYSTEM\IUCTL.DLL CODEBASE = http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?37939.3953240741 [{33564D57-0000-0010-8000-00AA00389B71}] CODEBASE = http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB [shizmoo Class] InProcServer32 = C:\PROGRAMME\SHIZMOO\ICQ_WEBGAMES\ODYSSEY_WEBMOO8.DLL CODEBASE = http://arcade.icq.com/multiplayer/odyssey_web8.cab [Shockwave Flash Object] InProcServer32 = C:\WINDOWS\SYSTEM\MACROMED\FLASH\FLASH.OCX CODEBASE = http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab [IMDownloader Class] CODEBASE = http://www2.incredimail.com/contents/setup/downloader/imloader.cab [RdxIE Class] InProcServer32 = C:\WINDOWS\DOWNLOADED PROGRAM FILES\RDXIE.DLL CODEBASE = http://207.188.7.150/290d3d68fe52e35d2106/netzip/RdxIE601_de.cab [HouseCall-Kontrolle] InProcServer32 = C:\WINDOWS\DOWNLO~1\XSCAN53.OCX CODEBASE = http://housecall.trendmicro-europe.com/housecall/Xscan53.cab -------------------------------------------------- Enumerating ShellServiceObjectDelayLoad items: WebCheck: C:\WINDOWS\SYSTEM\WEBCHECK.DLL -------------------------------------------------- End of report, 7.528 bytes Report generated in 0,428 seconds Command line options: /verbose - to add additional info on each section /complete - to include empty sections and unsuspicious data /full - to include several rarely-important sections /force9x - to include Win9x-only startups even if running on WinNT /forcent - to include WinNT-only startups even if running on Win9x /forceall - to include all Win9x and WinNT startups, regardless of platform /history - to list version history only Das mit dem PV-Tool habe ich leider nicht ganz geblickt. Zum einen ging nach der empfohlenen Vorgehensweise nur ne englische Bedienungsanleitung auf, zum andern stand in der beigefügten "shadow.txt"-Datei was von einer "runme9x.bat" für w98, diese war aber in dem päckchen nicht dabei Falls die Diagnose mit diesem Tool noch notwendig ist, schreib mir bitte genau (bin doch so ´n oller Newby) wie ich das anwenden muss. Von hier aus sieht es jedenfalls so aus, als ob jetzt alles in Ordnung sei. Aber ich will eurem fachmännischen Urteil da auf keinen Fall vorgreifen. Jedenfalls nochmal ganz vielen herzlichen Dank (mir gehn die Attribute aus *g), wir sind echt happy, dass so Leutz wie ihr hier ihr kompetentes Wissen und ihre Zeit so ehrenamtlich zur Verfügung stellen und helfen. MfG RollaCoasta __________ U can get it if u really want! (J.Cliff) |
|
|
|
|
|
|
03.06.2004, 21:44
Member
Beiträge: 1095 |
#10
@Rolla
Schock mir bitte die Datei mdm.exe aber gezippt. Nur aus Interesse. Zur PV.zip Ich hab die heute Mittag runtergeladen und da war die runme9x.bat noch dabei. Jetzt ist SIe nicht mehr dabei, warum auch immer. Müßte ich auf Arbeit noch haben. Kann Sie dir ja als Gegenleistung für die mdm.exe dann schicken Gruß paff ------------------Nachtrag Starte die runme.bat dann wähle 1 für Explorer DLL's und poste das ergebnis __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 03.06.2004 um 21:50 Uhr von paff editiert.
|
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Seite(n): 1
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
meinem Sohn sein Rechner war durch einen (offensichtlich heftigen) CWS - Befall (waren auch noch paar Dialer und andere Malware drauf) ziemlich außer Gefecht gesetzt.
Aufgefallen ist es dem Junior, als er garnicht mehr ins Internet kam und auch sein Norton AV nichtmehr updaten konnte.
Ich habe dann über meinen Rechner die notwendigen Tools (Ad-aware 6, Spybot S & D 1.3, sowie CWShredder und HijackThis) downgeloadet und nach der Anleitung hier im Forum mehrmals mit den ersten dreien gescannt und gefixt.
Kann sich bitte einer von euch Profis mal das HijackThis Log anschauen? Ich bin da noch zu unwissend, aber ich habe das Gefühl, da ist noch das eine oder andere "faule Ei" drin.
Logfile of HijackThis v1.97.7
Scan saved at 22:49:16, on 31.05.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\ADVTOOLS\NPROTECT.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYSTEM\MOSEARCH\BIN\MOSEARCH.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\VS7DEBUG\MDM.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE
C:\WINDOWS\SYSTEM\SKDAEMON.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\SYSTEM\LEXBCES.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\SKSMAILD.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\LEXPPS.EXE
C:\PROGRAMME\HJT1.97.7\HIJACKTHIS.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: . - {D34F08C5-4F18-477c-86CB-1A9BEECFE37B} - C:\WINDOWS\ANWENDUNGSDATEN\MSQX\MSQX32.DLL
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\ADVTOOLS\ADVCHK.EXE
O4 - HKLM\..\Run: [NPROTECT] C:\PROGRA~1\NORTON~1\ADVTOOLS\NPROTECT.EXE
O4 - HKLM\..\Run: [Hot Key Kbd Daemon] SKDAEMON.EXE
O4 - HKLM\..\Run: [LexStart] Lexstart.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [NPROTECT] C:\PROGRA~1\NORTON~1\ADVTOOLS\NPROTECT.EXE
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [MOSearch] C:\PROGRA~1\GEMEIN~1\SYSTEM\MOSEARCH\BIN\MOSEARCH.EXE
O4 - HKLM\..\RunServices: [MDM7] "C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\VS7DEBUG\MDM.EXE"
O4 - HKCU\..\Run: [IncrediMail] D:\DOWNLO~1\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MyEMessenger] C:\Programme\MyEMessenger\MyEMessenger.exe /autorun
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\PROGRAMME\ICQLITE\ICQLITE.EXE -trayboot
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - D:\DOWNLO~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmsearch.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmsimilar.html
O8 - Extra context menu item: Backward &Links - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmbacklinks.html
O9 - Extra button: ICQ 4.0 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?37939.3953240741
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://arcade.icq.com/multiplayer/odyssey_web8.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/290d3d68fe52e35d2106/netzip/RdxIE601_de.cab
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/potd_x.cab
O16 - DPF: Tornado 21 - http://download.games.yahoo.com/games/clients/y/t21t0_x.cab
O16 - DPF: Yahoo! Checkers - http://download.games.yahoo.com/games/clients/y/kt3_x.cab
O16 - DPF: {91BE8DAC-957E-416C-B735-E2B63CDB915B} (MyEMessengerSetup Control) - http://www.myemessenger.com/activex/MyEMessengerSetupProject.cab
Was kann bzw. sollte da noch gefixt werden? Was ist z.B. mit den ganzen "MyEMessenger"- und diesen
O4 - HKLM\..\Run: [Hot Key Kbd Daemon] SKDAEMON.EXE
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\RunServices: [MOSearch] C:\PROGRA~1\GEMEIN~1\SYSTEM\MOSEARCH\BIN\MOSEARCH.EXE
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/290d3d68fe52e35d2106/netzip/RdxIE601_de.cab
- Einträgen?
Für eure kompetente Hilfe im Voraus, sowie die tolle Anleitung zuoberst dieses Forum´s schon mal recht herzlichen Dank.
PS.: Vor einiger Zeit wollte ich ihm mal seine Festplatte defragmentieren, bin aber gescheitert, da die Defragmentierung nach ca. 10% immer wieder abgebrochen und neu gestartet wurde mit einer eigenartigen Fehlermeldung, irgend ein Prozess sei noch am laufen. Obwohl wir selbst das DSL-Kabel physisch vom Anschluss getrennt hatten, und auch Norton AV´s Dauerüberwachung für diese Zeit abgestellt hatten.
Kann diese Störung durch entsprechende Malware verursacht gewesen sein?
__________
U can get it if u really want! (J.Cliff)