Home » Spyware & Browser Hijacker Support Forum » Hijack www.mysearchnow.com - wie entfernen? » Themenansicht

Hijack www.mysearchnow.com - wie entfernen?
#0
07.06.2004, 21:48
paff
Member

Beiträge: 1095
#16

Zitat

jacko postete
Danke,ich glaub jetzt ist alles wieder in Ordnung
Das glaub ich nicht
Das hier ist immer noch da
O4 - HKLM\..\Run: [vrsowtvaqykp] C:\WINDOWS\System32\ugjnhq.exe

Geh mal in den abgesicherten Modus
http://www.bsi.de/av/texte/winsave.htm
und fixe den Eintrag dort.

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
07.06.2004, 23:42
jacko
...neu hier

Beiträge: 4
#17 sorry hat etwas gedauert.Hatte Probleme mit dem Rechner.

Logfile of HijackThis v1.97.7
Scan saved at 23:43:07, on 07.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\DTSTA.EXE
C:\Program Files\Internet Optimizer\optimize.exe
C:\Programme\Save\Save.exe
C:\Programme\ISTsvc\istsvc.exe
C:\Programme\Tweak-XP Pro\popup.exe
C:\Programme\Netscape\Netscape\Netscp.exe
C:\PROGRA~1\CLOCKS~1\Sync.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\GEARSEC.EXE
C:\Programme\BatteryScope\Batmgr.exe
C:\Programme\PowerPanel\Program\PcfMgr.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Standard\LOKALE~1\Temp\Rar$EX00.393\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://home.de.netscape.com/de/home/winsearch200.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://keyword.de.netscape.com/keyword/%s
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=www-proxy.btx.dtag.de:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.t-online.de;localhost;<local>
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.t-online.de/
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: (no name) - {F7F808F0-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem218.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe
O4 - HKLM\..\Run: [DTSTA.EXE] DTSTA.EXE START
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [WhenUSave] C:\Programme\Save\Save.exe
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [Pop-Up-Blocker] "C:\Programme\Tweak-XP Pro\popup.exe"
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo
O4 - HKCU\..\Run: [ClockSync] C:\PROGRA~1\CLOCKS~1\Sync.exe /q
O4 - Global Startup: BatteryScope.lnk = C:\Programme\BatteryScope\Batmgr.exe
O4 - Global Startup: PowerPanel.lnk = C:\Programme\PowerPanel\Program\PcfMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://c:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra button: concept/design's onlineTV (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O16 - DPF: {12398DD6-40AA-4C40-A4EC-A42CFC0DE797} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_Cra*hier nicht!*.cab
O16 - DPF: {A20FA4E2-AFFA-4BFD-B859-6E34A92A7EBB} (AXLT Class) - https://www.letstrade.de/axlt.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Seitenanfang Seitenende
08.06.2004, 09:26
paff
Member

Beiträge: 1095
#18 @jacko

Bitte das im abgesicherten Modus durchführen
http://www.rokop-security.de/main/article.php?sid=703
d.h. Erst Programme runterladen, installieren updaten, dann in den abgesicherten modus gehen und ausführen
Ad-Aware,Spybot, CWShredder

Virenscanner besorgen, installieren updaten auch im abgesicherten Modus alles scannen. www.antivir.de

Dies im Abgesicherten modus fixen
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {F7F808F0-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem218.dll
O4 - HKLM\..\Run: [DTSTA.EXE] DTSTA.EXE START
O4 - HKLM\..\Run: [WhenUSave] C:\Programme\Save\Save.exe
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKCU\..\Run: [ClockSync] C:\PROGRA~1\CLOCKS~1\Sync.exe /q
O4 - Global Startup: BatteryScope.lnk = C:\Programme\BatteryScope\Batmgr.exe
O16 - DPF: {A20FA4E2-AFFA-4BFD-B859-6E34A92A7EBB} (AXLT Class) -
http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_Cra*hier nicht!*.cab

Dann wieder im Normalen Modus starten
Alle Windowsupdates machen www.windowsupdate.com

Nochmal Logfile posten

Gruß paff
P.S.
Bei all dem sollte der Internetexplorer immer geschlossen sein
Auch Temp-Internetfiles löschen und Papierkorb leeren ist nie falsch.
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Dieser Beitrag wurde am 08.06.2004 um 09:29 Uhr von paff editiert.
Seitenanfang Seitenende
08.06.2004, 15:16
Harle
Member

Themenstarter

Beiträge: 23
#19 SO HIER HAB ICH DES MAL MIT 1 gemacht!!

Module information for 'Explorer.EXE'
MODULE BASE SIZE PATH
Explorer.EXE 1000000 1011712 C:\WINDOWS\Explorer.EXE 6.00.2600.0000 (xpclient.010817-1148) Windows Explorer
ntdll.dll 77f40000 720896 C:\WINDOWS\System32\ntdll.dll 5.1.2600.0 (xpclient.010817-1148) DLL für NT-Layer
kernel32.dll 77e40000 1011712 C:\WINDOWS\system32\kernel32.dll 5.1.2600.0 (xpclient.010817-1148) Client-DLL für Windows NT-Basis-API
msvcrt.dll 77be0000 339968 C:\WINDOWS\system32\msvcrt.dll 7.0.2600.0 (xpclient.010817-1148) Windows NT CRT DLL
ADVAPI32.dll 77da0000 630784 C:\WINDOWS\system32\ADVAPI32.dll 5.1.2600.0 (XPClient.010817-1148) Erweitertes Windows 32 Base-API
RPCRT4.dll 77c90000 479232 C:\WINDOWS\system32\RPCRT4.dll 5.1.2600.0 (XPClient.010817-1148) Remote Procedure Call Runtime
GDI32.dll 77c40000 253952 C:\WINDOWS\system32\GDI32.dll 5.1.2600.132 (xpclnt_qfe.021108-2107) GDI Client DLL
USER32.dll 77d10000 577536 C:\WINDOWS\system32\USER32.dll 5.1.2600.0 (xpclient.010817-1148) Client-DLL für Windows XP USER-API
SHLWAPI.dll 70bd0000 413696 C:\WINDOWS\system32\SHLWAPI.dll 6.00.2800.1106 Shell Light-weight Utility Library
SHELL32.dll 773a0000 8380416 C:\WINDOWS\system32\SHELL32.dll 6.00.2600.0000 (xpclient.010817-1148) Allgemeine Windows-Shell-DLL
ole32.dll 77180000 1155072 C:\WINDOWS\system32\ole32.dll 5.1.2600.0 (XPClient.010817-1148) Microsoft OLE für Windows
OLEAUT32.dll 770f0000 569344 C:\WINDOWS\system32\OLEAUT32.dll 3.50.5014.0 Microsoft OLE 3.50 for Windows NT(TM) and Windows 95(TM) Operating Systems
BROWSEUI.dll 71160000 1036288 C:\WINDOWS\System32\BROWSEUI.dll 6.00.2800.1106 Shell Browser UI-Bibliothek
SHDOCVW.dll 71000000 1347584 C:\WINDOWS\System32\SHDOCVW.dll 6.00.2800.1106 Bibliothek für Shell-Dokumente und -Steuerelemente
UxTheme.dll 5b0f0000 212992 C:\WINDOWS\System32\UxTheme.dll 6.00.2600.0000 (xpclient.010817-1148) Microsoft UxTheme-Bibliothek
comctl32.dll 71950000 933888 C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\comctl32.dll 6.0 (xpclient.010817-1148) User Experience Controls Library
comctl32.dll 77310000 569344 C:\WINDOWS\system32\comctl32.dll 5.82 (xpclient.010817-1148) Common Controls Library
appHelp.dll 75ee0000 118784 C:\WINDOWS\system32\appHelp.dll 5.1.2600.0 (xpclient.010817-1148) Application Compatibility Client Library
CLBCATQ.DLL 76f90000 491520 C:\WINDOWS\System32\CLBCATQ.DLL 2001.12.4414.42
COMRes.dll 77010000 864256 C:\WINDOWS\System32\COMRes.dll 2001.12.4414.42
VERSION.dll 77bd0000 28672 C:\WINDOWS\system32\VERSION.dll 5.1.2600.0 (xpclient.010817-1148) Version Checking and File Installation Libraries
cscui.dll 765c0000 327680 C:\WINDOWS\System32\cscui.dll 5.1.2600.0 (xpclient.010817-1148) Clientseitige Cachebenutzeroberfläche
CSCDLL.dll 765a0000 110592 C:\WINDOWS\System32\CSCDLL.dll 5.1.2600.0 (xpclient.010817-1148) Offlinenetzwerk-Agent
themeui.dll 5b9b0000 462848 C:\WINDOWS\System32\themeui.dll 6.00.2600.0000 (xpclient.010817-1148) Windows-Design-API
Secur32.dll 76f50000 65536 C:\WINDOWS\System32\Secur32.dll 5.1.2600.0 (xpclient.010817-1148) Security Support Provider Interface
MSIMG32.dll 76320000 20480 C:\WINDOWS\System32\MSIMG32.dll 5.1.2600.0 (xpclient.010817-1148) GDIEXT Client DLL
USERENV.dll 75a10000 675840 C:\WINDOWS\system32\USERENV.dll 5.1.2600.0 (xpclient.010817-1148) Userenv
msutb.dll 60010000 221184 C:\WINDOWS\System32\msutb.dll 5.1.2600.0 (xpclient.010817-1148) MSUTB-Server-DLL
MSCTF.dll 746a0000 307200 C:\WINDOWS\System32\MSCTF.dll 5.1.2600.0 (xpclient.010817-1148) MSCTF-Server-DLL
NETAPI32.dll 71ba0000 315392 C:\WINDOWS\System32\NETAPI32.dll 5.1.2600.122 (xpclnt_qfe.021108-2107) Net Win32 API DLL
SAMLIB.dll 71b70000 69632 C:\WINDOWS\System32\SAMLIB.dll 5.1.2600.0 (xpclient.010817-1148) SAM Library DLL
LINKINFO.dll 76930000 28672 C:\WINDOWS\System32\LINKINFO.dll 5.1.2600.0 (xpclient.010817-1148) Windows Volume Tracking
ntshrui.dll 76940000 151552 C:\WINDOWS\System32\ntshrui.dll 5.1.2600.0 (xpclient.010817-1148) Shellerweiterungen für Freigaben
ATL.DLL 76ad0000 86016 C:\WINDOWS\System32\ATL.DLL 3.00.9238 ATL Module for Windows NT (Unicode)
SETUPAPI.dll 76620000 937984 C:\WINDOWS\System32\SETUPAPI.dll 5.1.2600.0 (xpclient.010817-1148) Windows Setup-API
WINSTA.dll 76300000 61440 C:\WINDOWS\System32\WINSTA.dll 5.1.2600.0 (xpclient.010817-1148) Winstation Library
NETSHELL.dll 75c90000 1658880 C:\WINDOWS\system32\NETSHELL.dll 5.1.2600.0 (xpclient.010817-1148) Shell für Netzwerkverbindungen
credui.dll 76bc0000 188416 C:\WINDOWS\system32\credui.dll 5.1.2600.0 (xpclient.010817-1148) Benutzerschnittstelle für Anmeldeinformationsverwaltung
WS2_32.dll c00000 86016 C:\WINDOWS\system32\WS2_32.dll 5.1.2600.0 (xpclient.010817-1148) Windows Socket 2.0 32-Bit DLL
WS2HELP.dll ed0000 32768 C:\WINDOWS\system32\WS2HELP.dll 5.1.2600.0 (xpclient.010817-1148) Windows Socket 2.0 Helper für Windows NT
iphlpapi.dll 76d20000 86016 C:\WINDOWS\system32\iphlpapi.dll 5.1.2600.2 (xpclient.010817-1148) IP-Hilfs-API
netman.dll 76da0000 155648 C:\WINDOWS\system32\netman.dll 5.1.2600.0 (xpclient.010817-1148) Netzwerkverbindungs-Manager
MPRAPI.dll 76d00000 90112 C:\WINDOWS\system32\MPRAPI.dll 5.1.2600.0 (xpclient.010817-1148) Windows NT MP Router Administration DLL
ACTIVEDS.dll 76e00000 192512 C:\WINDOWS\system32\ACTIVEDS.dll 5.1.2600.0 (xpclient.010817-1148) ADs Router-Ebene-DLL
adsldpc.dll 76dd0000 147456 C:\WINDOWS\system32\adsldpc.dll 5.1.2600.0 (xpclient.010817-1148) DLL für ADs LDAP Provider C
WLDAP32.dll 76f20000 184320 C:\WINDOWS\system32\WLDAP32.dll 5.1.2600.0 (xpclient.010817-1148) Win32 LDAP-API-DLL
rtutils.dll 76e40000 53248 C:\WINDOWS\system32\rtutils.dll 5.1.2600.0 (xpclient.010817-1148) Routing Utilities
RASAPI32.dll 76ea0000 225280 C:\WINDOWS\system32\RASAPI32.dll 5.1.2600.0 (xpclient.010817-1148) RAS-API
rasman.dll 76e50000 69632 C:\WINDOWS\system32\rasman.dll 5.1.2600.0 (xpclient.010817-1148) Remote Access Connection Manager
TAPI32.dll 76e70000 172032 C:\WINDOWS\system32\TAPI32.dll 5.1.2600.0 (xpclient.010817-1148) Microsoft® Windows(TM) Telefonie-API-Client-DLL
WINMM.dll 76af0000 184320 C:\WINDOWS\system32\WINMM.dll 5.1.2600.0 (xpclient.010817-1148) MCI API-DLL
WZCSvc.DLL 76d60000 196608 C:\WINDOWS\system32\WZCSvc.DLL 5.1.2600.0 (xpclient.010817-1148) Konfigurationsfreier Dienst für drahtlose Verbindung
WMI.dll 76cf0000 16384 C:\WINDOWS\system32\WMI.dll 5.1.2600.0 (XPClient.010817-1148) WMI DC and DP functionality
DHCPCSVC.DLL 76d40000 106496 C:\WINDOWS\system32\DHCPCSVC.DLL 5.1.2600.0 (xpclient.010817-1148) DHCP Clientdienst
DNSAPI.dll 76ee0000 151552 C:\WINDOWS\system32\DNSAPI.dll 5.1.2600.0 (xpclient.010817-1148) DNS Client API DLL
CRYPT32.dll 76260000 569344 C:\WINDOWS\system32\CRYPT32.dll 5.131.2600.0 (xpclient.010817-1148) Krypto-API32
MSASN1.dll 76240000 65536 C:\WINDOWS\system32\MSASN1.dll 5.1.2600.137 (xpclnt_qfe.021108-2107) ASN.1 Runtime APIs
WTSAPI32.dll 76f10000 32768 C:\WINDOWS\system32\WTSAPI32.dll 5.1.2600.0 (xpclient.010817-1148) Windows Terminal Server SDK APIs
stobject.dll 74a80000 131072 C:\WINDOWS\System32\stobject.dll 5.1.2600.0 (xpclient.010817-1148) Systray-Shell-Serviceobjekt
BatMeter.dll 74a70000 36864 C:\WINDOWS\System32\BatMeter.dll 6.00.2600.0000 (xpclient.010817-1148) Batteriemesshilfs-DLL
POWRPROF.dll 74a50000 28672 C:\WINDOWS\System32\POWRPROF.dll 6.00.2600.0000 (xpclient.010817-1148) Power Profile Helper DLL
webcheck.dll 70340000 274432 C:\WINDOWS\System32\webcheck.dll 6.00.2800.1106 Websiteüberwachung
msi.dll 763a0000 2076672 C:\WINDOWS\System32\msi.dll 2.0.2600.0 Windows Installer
WININET.dll 70200000 614400 C:\WINDOWS\system32\WININET.dll 6.00.2800.1106 Interneterweiterungen für Win32
MPR.dll 71a80000 69632 C:\WINDOWS\system32\MPR.dll 5.1.2600.0 (xpclient.010817-1148) Router-DLL für Mehrfachanbieter
drprov.dll 75f00000 24576 C:\WINDOWS\System32\drprov.dll 5.1.2600.0 (xpclient.010817-1148) Microsoft Terminal Server Network Provider
ntlanman.dll 71b90000 53248 C:\WINDOWS\System32\ntlanman.dll 5.1.2600.0 (xpclient.010817-1148) Microsoft(R) LAN-Manager
NETUI0.dll 71c50000 90112 C:\WINDOWS\System32\NETUI0.dll 5.1.2600.0 (xpclient.010817-1148) NT-LM-Benutzerschnittstellen-Standardcode - GUI-Klassen
NETUI1.dll 71c10000 245760 C:\WINDOWS\System32\NETUI1.dll 5.1.2600.0 (xpclient.010817-1148) NT LM UI Common Code - Networking classes
NETRAP.dll 71c00000 24576 C:\WINDOWS\System32\NETRAP.dll 5.1.2600.0 (xpclient.010817-1148) Net Remote Admin Protocol DLL
davclnt.dll 75f10000 36864 C:\WINDOWS\System32\davclnt.dll 5.1.2600.0 (xpclient.010817-1148) Client-DLL für Web DAV
srclient.dll 5c3f0000 73728 C:\WINDOWS\System32\srclient.dll 5.1.2600.0 (xpclient.010817-1148) SR-CLIENT-DLL
framedyn.dll 69770000 188416 C:\WINDOWS\System32\Wbem\framedyn.dll 5.1.2600.0 (xpclient.010817-1148) WMI SDK Provider Framework
wdmaud.drv 72c90000 36864 C:\WINDOWS\System32\wdmaud.drv 5.1.2600.0 (XPClient.010817-1148) WDM Audio driver mapper
msacm32.drv 72c80000 32768 C:\WINDOWS\System32\msacm32.drv 5.1.2600.0 (xpclient.010817-1148) Microsoft Soundmapper
MSACM32.dll 77bb0000 81920 C:\WINDOWS\System32\MSACM32.dll 5.1.2600.0 (xpclient.010817-1148) Microsoft ACM-Audiofilter
midimap.dll 77ba0000 28672 C:\WINDOWS\System32\midimap.dll 5.1.2600.0 (xpclient.010817-1148) Microsoft MIDI-Mapper
printui.dll 74b00000 544768 C:\WINDOWS\System32\printui.dll 5.1.2600.0 (XPClient.010817-1148) DLL für die Druckerbenutzeroberfläche
WINSPOOL.DRV 72f70000 143360 C:\WINDOWS\System32\WINSPOOL.DRV 5.1.2600.0 (XPClient.010817-1148) Windows-Spoolertreiber
CFGMGR32.dll 74a60000 28672 C:\WINDOWS\System32\CFGMGR32.dll 5.1.2600.0 (xpclient.010817-1148) Configuration Manager Forwarder DLL
SXS.DLL 75e30000 663552 C:\WINDOWS\System32\SXS.DLL 5.1.2600.0 (xpclient.010817-1148) Fusion 2.5
shdoclc.dll 718c0000 565248 C:\WINDOWS\System32\shdoclc.dll 6.00.2800.1106 Bibliothek für Shell-Dokumente und -Steuerelemente
browselc.dll 1e10000 77824 C:\WINDOWS\System32\browselc.dll 6.00.2800.1106 Shell Browser UI-Bbibliothek
NavShExt.dll 10000000 106496 C:\Programme\Norton AntiVirus\NavShExt.dll 8.07.17 Norton AntiVirusNAVShellExt Module
MSVCP60.dll 76020000 397312 C:\WINDOWS\System32\MSVCP60.dll 6.00.8972.0 Microsoft (R) C++ Runtime Library
AcroIEHelper.ocx 1e50000 32768 C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx 1, 0, 0, 1 AcroIEHelper Module
SDHelper.dll 1ea0000 765952 C:\Programme\Spybot - Search & Destroy\SDHelper.dll 1, 3, 0, 12 Bad download blocker
olepro32.dll 5f1a0000 106496 C:\WINDOWS\System32\olepro32.dll 5.0.5014 Microsoft (R) OLE Property Support DLL
Vcs3RT.dll 2070000 143360 C:\Programme\AV VCS 3.0 DIAMOND\Vcs3RT.dll 1, 0, 0, 1 Vcs3RT Module
urlmon.dll 702b0000 499712 C:\WINDOWS\system32\urlmon.dll 6.00.2800.1106 OLE32-Erweiterung für Win32
DUSER.dll 6c670000 274432 C:\WINDOWS\System32\DUSER.dll 5.1.2600.0 (xpclient.010817-1148) Windows DirectUser Engine
shmedia.dll 5ce60000 143360 C:\WINDOWS\System32\shmedia.dll 6.00.2600.0000 (xpclient.010817-1148) Extrahierungsshellerweiterung der Mediendateieigenschaften
MSVFW32.dll 73b40000 126976 C:\WINDOWS\System32\MSVFW32.dll 5.1.2600.0 (xpclient.010817-1148) DLL für Microsoft Video für Windows
AVIFIL32.dll 73ac0000 86016 C:\WINDOWS\System32\AVIFIL32.dll 5.1.2600.0 (xpclient.010817-1148) Microsoft AVI-Dateiunterstützungs-Bibliothek
comdlg32.dll 76350000 286720 C:\WINDOWS\system32\comdlg32.dll 6.00.2600.0000 (xpclient.010817-1148) DLL für gemeinsame Dialoge
msdmo.dll 2670000 28672 C:\WINDOWS\System32\msdmo.dll
perfos.dll 5eb30000 36864 C:\WINDOWS\System32\perfos.dll 5.1.2600.0 (xpclient.010817-1148) DLL für Windows-Systemleistungsobjekte
wmpshell.dll 83f0000 98304 C:\WINDOWS\System32\wmpshell.dll 9.00.00.2980 Windows Media Player-Launcher
WMVCore.DLL 8530000 2084864 C:\WINDOWS\System32\WMVCore.DLL 9.00.00.2980 built by: lab03_dev(bld4act) Windows Media Playback/Authoring DLL
WMASF.DLL 7260000 233472 C:\WINDOWS\System32\WMASF.DLL 9.00.00.2980 built by: lab03_dev(bld4act) Windows Media ASF DLL
rarext.dll 910000 176128 C:\Programme\WinRAR\rarext.dll
ICQLiteShell.dll 2970000 65536 C:\Programme\ICQLite\ICQLiteShell.dll 1, 0, 0, 1 ICQLiteShell Module
MFC42.DLL 73d30000 991232 C:\WINDOWS\System32\MFC42.DLL 6.00.8665.0 MFCDLL Shared Library - Retail Version
MFC42LOC.DLL 61dc0000 57344 C:\WINDOWS\System32\MFC42LOC.DLL 6.00.8665.0 MFC Language Specific Resources
AVShlExt.DLL d80000 61440 C:\Programme\AVWin\AVShlExt.DLL 6.22.00.00 Avshlext
MSGINA.dll 75910000 995328 C:\WINDOWS\System32\MSGINA.dll 5.1.2600.128 (xpclnt_qfe.021108-2107) Windows-Anmeldungs-GINA-DLL
ODBC32.dll 1f7b0000 200704 C:\WINDOWS\System32\ODBC32.dll 3.520.7713.0 Microsoft Data Access - ODBC Driver Manager
odbcint.dll 1f850000 98304 C:\WINDOWS\System32\odbcint.dll 3.520.7713.0 Microsoft Data Access - ODBC Ressourcen
actxprxy.dll 703d0000 110592 C:\WINDOWS\System32\actxprxy.dll 6.00.2800.1106 ActiveX Interface Marshaling Library
sti.dll 73b10000 77824 C:\WINDOWS\System32\sti.dll 5.1.2600.0 (XPClient.010817-1148) Digitalbildgeräte-Client-DLL
qedit.dll 1c200000 1810432 C:\WINDOWS\System32\qedit.dll 6.05.01.0900 DirectShow-Bearbeitung.
quartz.dll 35500000 2129920 C:\WINDOWS\System32\quartz.dll 6.05.01.0902 DirectShow-Laufzeitbibliothek
devenum.dll ce0000 143360 C:\WINDOWS\System32\devenum.dll 6.05.01.0902 Geräteenumeration
divxdec.ax 1c400000 667648 C:\WINDOWS\System32\divxdec.ax 5.1.1.1031 DivX® Decoder Filter
WINTRUST.dll 76bf0000 176128 C:\WINDOWS\System32\WINTRUST.dll 5.131.2600.0 (xpclient.010817-1148) Microsoft Vertrauensverifizierungs-APIs
IMAGEHLP.dll 76c50000 139264 C:\WINDOWS\system32\IMAGEHLP.dll 5.1.2600.0 (XPClient.010817-1148) Windows NT Image Helper
rsaenh.dll ffd0000 139264 C:\WINDOWS\System32\rsaenh.dll 5.1.2518.0 (main.010714-2114) Microsoft Base Cryptographic Provider
asfsipc.dll 70f00000 28672 C:\WINDOWS\System32\asfsipc.dll 1.1.00.3917 ASFSipc Object
MSISIP.DLL 609f0000 53248 C:\WINDOWS\System32\MSISIP.DLL 2.0.2600.0 MSI Signature SIP Provider
wshext.dll fc0000 65536 C:\WINDOWS\System32\wshext.dll 5.6.0.6626 Microsoft (r) Shell Extension for Windows Script Host
wshDE.DLL 23d0000 57344 C:\WINDOWS\System32\wshDE.DLL 5.6.0.6626 Internationale Ressourcen für Microsoft (r) Windows Script Host
ScrTrust.dll 23e0000 53248 C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\ScrTrust.dll 1, 1, 0, 126 ScriptBlocking Trust Verifier
MCPS.DLL 365a0000 86016 C:\PROGRA~1\MICROS~4\Office10\MCPS.DLL 10.0.2625 Media Catalog Proxy/Stub


und jetzt kommt 6:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="NVDESK32.DLL"
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710


hoffe ihr checkt davon was weil ich check garnichts!!
Seitenanfang Seitenende
08.06.2004, 16:47
paff
Member

Beiträge: 1095
#20 @Harle

Wenn scheint die böse Datei das zu sein
C:\WINDOWS\System32\msdmo.dll

Zip die Datei mal bitte und schick Sie mir an mike_hangover@gozomail.com (Meine FakeEMail) oder prüfe Sie hier
http://www.kaspersky.com/remoteviruschk.html

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
08.06.2004, 19:15
Harle
Member

Themenstarter

Beiträge: 23
#21 @paff hab dir gerade die datei geschickt ^^
Seitenanfang Seitenende
08.06.2004, 19:41
FOFICO
...neu hier

Beiträge: 2
#22 Hallo,

entschuldigung fürs einklinken...aber was mein ihr mit "Fixen" ?? *schäm*

Gruß, fofico
Seitenanfang Seitenende
08.06.2004, 19:51
Harle
Member

Themenstarter

Beiträge: 23
#23 sozusagen die datei löschen oder reparieren des bedeutet in etwa fixen
Seitenanfang Seitenende
08.06.2004, 21:50
paff
Member

Beiträge: 1095
#24 @FOFICO

Fixen bedeutet :
In HiJackThis den Eintrag ankreuzen und "Fix Checked" drücken.

Dadurch wird einfach, in der Registry von Windows, derjennige Eintrag gelöscht.
Es wird nicht die betroffene Datei gelöscht.

@Harle
Bin leider noch nicht soweit mit der Datei., dauert noch einen Moment.

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
08.06.2004, 23:31
paff
Member

Beiträge: 1095
#25 @Harle
Tja , die Datei ist auch sauber.

Langsam werd ich ratlos
Schick mir mal bitte jeweils die Logfiles für 3,4,5 in (runme.bat) plus dein aktuelles HIJackTHis Logfile + die Datei "NVDESK32.DLL"

an mike_hangover@gozomail.com

Wäre doch gelacht wenn wir dem Teil nicht auf die Schliche kommen.

Und schau bitte nach obs irgendwo eine system32.dll gibt.

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
09.06.2004, 14:51
Harle
Member

Themenstarter

Beiträge: 23
#26 jo ok ich schick dir das heut so um 6 weil jetzt muss ich noch weg ^^ also freud dich schonmal auf die ganzen dateien ^^
PS: Schei... msn plus sponsoren ^^
Seitenanfang Seitenende
09.06.2004, 14:57
paff
Member

Beiträge: 1095
#27

Zitat

Harle postete
jo ok ich schick dir das heut so um 6 weil jetzt muss ich noch weg ^^ also freud dich schonmal auf die ganzen dateien ^^
PS: Schei... msn plus sponsoren ^^
Ich freu mich drauf ;)

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
09.06.2004, 17:32
Harle
Member

Themenstarter

Beiträge: 23
#28 hmmm wo soll ichs dir denn bitte hin schicken ??? und wie was soll ich alles nochmal machn ?? zippen ?? und alle logs in eine file rein oder alles alleine ^^" wie willstes haben :p



Edit: jo supi kann dir jetzt schicken bloss in der log von rundll32 steht nix drin und wo is diese eine datei hab in den windows ordner schon reingeschaut seh aber nix kannst ja die die e-mail addy sagen ^^
Dieser Beitrag wurde am 09.06.2004 um 17:45 Uhr von Harle editiert.
Seitenanfang Seitenende
09.06.2004, 18:03
hevtig
Moderator
Avatar hevtig

Beiträge: 2312
#29 Ähm, sorry, bin neu hier,

aber

warum nutzt ihr nicht einfach Ad Aware und Spybot.
zusätzlich nen Housecall von Trendmicro TrendMicro Housecall

bin mir sicher, daß dann nicht mehr viel auf dem Rechner ist, was da nicht sein soll...
__________
Woher soll ich wissen was ich denke, bevor ich höre was ich sage??
Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+!
Dieser Beitrag wurde am 09.06.2004 um 18:04 Uhr von HeVTiG editiert.
Seitenanfang Seitenende
09.06.2004, 19:01
paff
Member

Beiträge: 1095
#30 @harle

EInfach an mike_hangover@gozomail.com
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1234