hijacker IE Umleitung auf auto.search.msn.com |
||
---|---|---|
#0
| ||
14.06.2004, 21:47
...neu hier
Themenstarter Beiträge: 10 |
||
|
||
15.06.2004, 09:19
Member
Beiträge: 1095 |
#17
Zitat meikel-k posteteJa, man kann leicht eine DLL mit alten Datum erzeugen. Ist die Zeit identisch zu den anderen Dateien im Verzeichnis? Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
15.06.2004, 18:45
...neu hier
Themenstarter Beiträge: 10 |
#18
Hallo paff,
nein die dll hat kein identisches Datum , hat als einzige Datei dieses Datum. Immernoch keine Umleitung, ich denke der Spuk ist vorbei, Jubel!! gruss micha |
|
|
||
05.07.2004, 01:56
...neu hier
Beiträge: 8 |
#19
Guten Abend Leute, so wie es aussieht habe ich das teil auch auf dem rechner... nur kann ich a) die besagte .dll nicht bei mir finden und b) funktioniert der download von hijackthis bei mir irgendwie heute nicht, d.h ich krieg das Prog nicht auf den rechner.
XP-clean-vs5.50 habe ich aber schon drauf. Wie gesagt ist das selbe syndrom, anstelle der normalen leeren startseite bekomme ich eine die sich zwar als "about:blank" in der URL tarnt, sich aber weder durch umstellen löschen läßt, adaware und spybot finden die besagte "auto.search..." hostumleitung zwar, kriegen sie aber nicht endgültig runter vom rechner. EDIT: hab hijackthis auf den rechner bekommen... aber nun muß ich erst mal schlafen gehen, sonst killt mich morgen mein chef. Noch schnell mein log: Logfile of HijackThis v1.98.0 Scan saved at 02:09:26, on 05.07.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\MICROS~2\GAMECO~1\STRATE~1\daemon14.exe C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE C:\Programme\QuickTime\qttask.exe C:\Programme\Roxio\WinOnCD\DirectCD\DirectCD.exe C:\Programme\Logitech\iTouch\iTouch.exe C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe C:\WINDOWS\win.exe C:\PROGRA~1\Grisoft\AVG6\avgserv.exe C:\WINDOWS\System32\drivers\CDAC11BA.EXE C:\WINDOWS\System32\CTsvcCDA.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\MsPMSPSv.exe c:\programme\internet explorer\iexplore.exe C:\Programme\teamspeak2_RC2\TeamSpeak.exe C:\Programme\XPcleanv5\XPclean.exe L:\hijackthis_198\HijackThis.exe F0 - system.ini: Shell= F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe, O1 - Hosts: 213.159.117.235 auto.search.msn.com O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Cls - {CF021F40-3E14-23A5-CBA2-717765721306} - C:\WINDOWS\System32\wer1306.dll (file missing) O2 - BHO: (no name) - {FCADDC14-BD46-408A-9842-111111111111} - C:\WINDOWS\System32\backup.dll (file missing) O2 - BHO: (no name) - {FCADDC14-BD46-408A-9842-CDB57890086B} - C:\WINDOWS\dial.dll (file missing) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [Daemon14] C:\PROGRA~1\MICROS~2\GAMECO~1\STRATE~1\daemon14.exe O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\WinOnCD\DirectCD\DirectCD.exe" O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP O4 - HKLM\..\Run: [Winhost] C:\WINDOWS\win.exe O4 - HKCU\..\Run: [Red Swoosh EDN Client] C:\Programme\RSNet\RSEDNClient.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O16 - DPF: {11111111-1111-1111-1111-111111111123} - ms-its:mhtml:file://c:\nosuch.mht!http://www.ruworld.com/hb/files.chm::/file.exe O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://cs6.chat.sc5.yahoo.com/v45/yacscom.cab O16 - DPF: {40BF816B-D862-41B9-9445-ECA36D5F67F7} (Flatcast Viewer 4.10) - http://www.1mal1.com/flatcast/NpFv410.dll O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20020825/qtinstall.info.apple.com/sikes/de/win/QuickTimeInstaller.exe O16 - DPF: {AD688740-5246-40C3-1111-53959999940D} - http://xpehbam.biz/a/load.exe O16 - DPF: {AD688740-5246-40C3-AF27-090006046834} - http://www.xpehbam.biz/5/load.exe O18 - Protocol: start - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\System32\HKNQTWZ].dll O18 - Filter: text/html - {63B95211-7D77-11D2-9F80-00104B107C96} - C:\WINDOWS\System32\HKNQTWZ].dll O18 - Filter: text/plain - {63B95211-7D77-11D2-9F80-00104B107C96} - C:\WINDOWS\System32\HKNQTWZ].dll Dieser Beitrag wurde am 05.07.2004 um 02:00 Uhr von Karnstein editiert.
|
|
|
||
05.07.2004, 10:10
Member
Beiträge: 1095 |
#20
Hi Karnstein
Das ist scheinbar eine neue Variante des auto.search.msn.com + verschiedenste andere HiJacker Also erst mal dies probieren Geh mal bitte in den Safemode von XP http://www.bsi.de/av/texte/winsave.htm Fixe dann diese Einträge in HiJackThis O1 - Hosts: 213.159.117.235 auto.search.msn.com O2 - BHO: Cls - {CF021F40-3E14-23A5-CBA2-717765721306} - C:\WINDOWS\System32\wer1306.dll (file missing) O2 - BHO: (no name) - {FCADDC14-BD46-408A-9842-111111111111} - C:\WINDOWS\System32\backup.dll (file missing) O2 - BHO: (no name) - {FCADDC14-BD46-408A-9842-CDB57890086B} - C:\WINDOWS\dial.dll (file missing) O4 - HKLM\..\Run: [Winhost] C:\WINDOWS\win.exe O16 - DPF: {11111111-1111-1111-1111-111111111123} - ms-its:mhtml:file://c:\nosuch.mht!http://www.ruworld.com/hb/files.chm::/file.exe O16 - DPF: {AD688740-5246-40C3-1111-53959999940D} - http://xpehbam.biz/a/load.exe O16 - DPF: {AD688740-5246-40C3-AF27-090006046834} - http://www.xpehbam.biz/5/load.exe O18 - Protocol: start - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\System32\HKNQTWZ].dll O18 - Filter: text/html - {63B95211-7D77-11D2-9F80-00104B107C96} - C:\WINDOWS\System32\HKNQTWZ].dll O18 - Filter: text/plain - {63B95211-7D77-11D2-9F80-00104B107C96} - C:\WINDOWS\System32\HKNQTWZ].dll Dann Normalen neustart machen, ins Internet gehen und noch HiJackthis logfile erstellen und hier posten Gruß paff P.S: Bitte die Dateien C:\WINDOWS\System32\HKNQTWZ].dll C:\WINDOWS\win.exe in ein zip-File packen und an virus@protecus.de und mike_hangover@gozomail.com schicken __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 05.07.2004 um 10:11 Uhr von paff editiert.
|
|
|
||
05.07.2004, 19:12
...neu hier
Beiträge: 8 |
#21
So hab das Zeug mal im abgesicherten Modus alles runtergeschmissen, aber es ist zäh und baut sich wieder auf:
Hier das log nach dem fixen der angegebenen Dateien: Logfile of HijackThis v1.98.0 Scan saved at 19:19:19, on 05.07.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\MICROS~2\GAMECO~1\STRATE~1\daemon14.exe C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE C:\Programme\QuickTime\qttask.exe C:\Programme\Roxio\WinOnCD\DirectCD\DirectCD.exe C:\Programme\Logitech\iTouch\iTouch.exe C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe C:\PROGRA~1\Grisoft\AVG6\avgserv.exe C:\WINDOWS\System32\drivers\CDAC11BA.EXE C:\WINDOWS\System32\CTsvcCDA.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\Programme\Internet Explorer\iexplore.exe L:\hijackthis_198\HijackThis.exe F0 - system.ini: Shell= F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe, O1 - Hosts: 213.159.117.235 auto.search.msn.com O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [Daemon14] C:\PROGRA~1\MICROS~2\GAMECO~1\STRATE~1\daemon14.exe O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\WinOnCD\DirectCD\DirectCD.exe" O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://cs6.chat.sc5.yahoo.com/v45/yacscom.cab O16 - DPF: {40BF816B-D862-41B9-9445-ECA36D5F67F7} (Flatcast Viewer 4.10) - http://www.1mal1.com/flatcast/NpFv410.dll O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20020825/qtinstall.info.apple.com/sikes/de/win/QuickTimeInstaller.exe O18 - Protocol: start - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\System32\HKNQTWZ].dll O18 - Filter: text/html - {63B95211-7D77-11D2-9F80-00104B107C96} - C:\WINDOWS\System32\HKNQTWZ].dll O18 - Filter: text/plain - {63B95211-7D77-11D2-9F80-00104B107C96} - C:\WINDOWS\System32\HKNQTWZ].dll Email ist schon draussen.. PS: hab noch paar bekannte sachen aus dem autostart rausgeschmissen um es übersichtlicher zu machen. |
|
|
||
05.07.2004, 19:36
Ehrenmitglied
Beiträge: 29434 |
#22
@Karnstein
Das scheint ein neuer Virus zu sein...deshalb die ganzen Scanner, die ich empfehle...in der Hoffnung, das einer den Virus erkennt und loescht..... Fixe O1 - Hosts: 213.159.117.235 auto.search.msn.com O18 - Protocol: start - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\System32\HKNQTWZ].dll O18 - Filter: text/html - {63B95211-7D77-11D2-9F80-00104B107C96} - C:\WINDOWS\System32\HKNQTWZ].dll O18 - Filter: text/plain - {63B95211-7D77-11D2-9F80-00104B107C96} - C:\WINDOWS\System32\HKNQTWZ].dll neustarten und gehe in den abgesicherten Modus...F8 druecken, wenn der Comp. hochfaehrt #gehe in die Registry Start\Ausfuehren\regedit HIer der Eintrag: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{53B95211-7D77-11D2-9F81-00104B107C96} loesche rechts den Wert, wenn er da ist. 2 .Dann suche eine C:\WINNT\system32\msxword.dll C:\WINDOWS\System32\HKNQTWZ].dll und, wenn sie da sind loesche sie. 3. Geh mal zu C:\WINDOWS\SYSTEM32\DRIVERS\ETC\Hosts mit dem Editor oeffen ..notepad Dort sollte nur 127.0.0.1 Lokalhost drinstehen . Alles andere loeschen neustarten Falls du die HKNQTWZ].dll nicht gefunden hast...versuche sie mit diesem Tool zu finden #Lade das Tool ...scanne und dann klicke die einzelnen Prozesse an....bis du C:\WINDOWS\System32\HKNQTWZ].dll gefunden hast...dann klick und <unload< http://www.wilderssecurity.com/showpost.php?p=199716&postcount=27 ##Deaktiviere kurz deinen Virenscanner und lade Antivirus http://www.free-av.de/ Konfiguriere den Antivirus: Einstellungen : (Suchen: ALLE DATEIN, Reperatur: OHNE RÜCKFRAGEN, Löschen bei fehlgeschlagener Reperatur: LÖSCHEN OHNE RÜCKFRAGEN, Unerwünschte Programme: ALLE ausser spiele, Heuristik: Win32 Heuristik Priorität hoch) Scan starten Dann lade mwav.exe ...30 Tage free und scanne <alle Datein< http://www.mwti.net/antivirus/free_utilities.asp 1. Doppelklicken Sie in der Systemsteuerung auf Internetoptionen. 2. Klicken Sie auf die Registerkarte Allgemein, und klicken Sie danach unter Temporäre Internetdateien auf Dateien löschen. 3. Aktivieren Sie im Dialogfeld Dateien löschen das Kontrollkästchen Alle Offlineinhalte löschen, wenn Sie alle Webseiteninhalte löschen möchten, die Sie offline bereitgestellt haben. 4. Klicken Sie auf OK. dann stelle unter InternetOptionen eine neue Startseite ein und poste das Log noch einmal. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 05.07.2004 um 19:45 Uhr von Sabina editiert.
|
|
|
||
05.07.2004, 20:33
Member
Beiträge: 1095 |
#23
@karnstein
Schau mal bitte in der Registry (Start/ausführen/regedit) welche Datei unter diesem Schlüssel aufgeführt ist. Schau mal bitte was unter HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{53B95204-7D77-11D2-9F81-00104B107C96} In dem Schlüssel "InprocServer32" , welche Datei wird dort angegeben? Sehr wichtig!!! Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 05.07.2004 um 20:33 Uhr von paff editiert.
|
|
|
||
05.07.2004, 20:55
...neu hier
Beiträge: 8 |
#24
also wenn ich da nach "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{53B95204-7D77-11D2-9F81-00104B107C96}" suche, dann finde ich den in nem ordner mit der adresse und ner datei, die (standard) heißt und die zahlenkennung als wert hat, und das bekomme ich dann raus wenn ich den schüsselnamen kopiere:
"HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3050F406-98B5-11CF-BB82-00AA00BDCE0B}\TypeLib" Wenn ich nach "inprocserver32" suche, dann findet er 2 sachen "standard" wert = "%SystemRoot%\System32\mshtml.dll" "Thread" wert = "Apartment" wenn ich bei "standard" mir den schlüsselnamen kopiere bekomme ich: "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3050f499-98b5-11cf-bb82-00aa00bdce0b}\InProcServer32" Hilft euch das jetzt weiter? |
|
|
||
05.07.2004, 21:11
Member
Beiträge: 1095 |
#25
@Karnstein
Schick mir bitte die Datei "%SystemRoot%\System32\mshtml.dll" <-> c:\windows\System32\mshtml.dll aber gezippt an mike_hangover@gozomail.com (Meine FakeEmail) + such bitte in der Registry alle EInträge mit "mshtml.dll" Poste diese hier Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
05.07.2004, 21:20
Member
Beiträge: 1095 |
#26
@Karnstein
Check mal bitte das noch HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{63B95211-7D77-11D2-9F80-00104B107C96} Welche Dateien stehen da Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 05.07.2004 um 21:26 Uhr von paff editiert.
|
|
|
||
06.07.2004, 00:38
...neu hier
Beiträge: 8 |
#27
Also...
1. ich habe alles gemacht was Sabina vorgeschlagen hat: - die 4 sachen via hijackthis gekillt, regenerieren sich aber sofort wieder - abgesicherter modus, mit regedit die HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{53B95211-7D77-11D2-9F81-00104B107C96} gekillt, die Werte waren aber nach dem restart wieder da... ich habe es aber richtig verstanden das ich nur den wert und nicht das ganze teil kille, oder? -msxword.dll wurde in der reg nicht gefunden -HKNQTWZ].dll habe ich mit dem als link angebenen prog gekillt, nach dem restart war es aber wieder da. -antivir ist durchgelaufen, ich habe nur den punkt mit der Heuristik nicht gefunden -mwav.exe lief gerade 2h über meine gesammte platte, hat par schöne sachen ausgehoben die meine anti-virus+trojanerprogs nicht gefunden haben. -i-net optionen wurden bearbeitet... - zu dem: Zitat 3. Geh mal zu C:\WINDOWS\SYSTEM32\DRIVERS\ETC\Hostshabe ich auch gemacht, a) leider erst als letzten schritt und b) wenn ich es mit dem editor öffne finde ich den msn.home drin, nach nem umeditieren kann ich die host-datei aber nur noch als .txt abspeichern. aktuelles hijackthislog: Logfile of HijackThis v1.98.0 Scan saved at 00:29:07, on 06.07.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE C:\Programme\QuickTime\qttask.exe C:\Programme\Roxio\WinOnCD\DirectCD\DirectCD.exe C:\Programme\Logitech\iTouch\iTouch.exe C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe C:\PROGRA~1\Grisoft\AVG6\avgserv.exe C:\WINDOWS\System32\drivers\CDAC11BA.EXE C:\WINDOWS\System32\CTsvcCDA.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\MsPMSPSv.exe c:\programme\internet explorer\iexplore.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\regedit.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVGNT.EXE L:\hijackthis_198\HijackThis.exe F0 - system.ini: Shell= F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe, O1 - Hosts: 213.159.117.235 auto.search.msn.com O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\WinOnCD\DirectCD\DirectCD.exe" O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://cs6.chat.sc5.yahoo.com/v45/yacscom.cab O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20020825/qtinstall.info.apple.com/sikes/de/win/QuickTimeInstaller.exe O18 - Protocol: start - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\System32\HKNQTWZ].dll O18 - Filter: text/html - {63B95211-7D77-11D2-9F80-00104B107C96} - C:\WINDOWS\System32\HKNQTWZ].dll O18 - Filter: text/plain - {63B95211-7D77-11D2-9F80-00104B107C96} - C:\WINDOWS\System32\HKNQTWZ].dll @paff: -email ist draussen - mshmtl finde ich in: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AboutURLs res://mshtml.dll/repost.htm res://mshtml.dll/about.moz res://mshtml.dll/blank.htm - HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{63B95211-7D77-11D2-9F80-00104B107C96} habe ich auch gerade gesucht: hat 4 unterebenen mit folgenden dateien: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{63B95211-7D77-11D2-9F80-00104B107C96}\VersionIndependentProgID wert: PopKillerFilter.POPUPKillerFilterPP HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{63B95211-7D77-11D2-9F80-00104B107C96}\TypeLib wert: {63B95211-7D77-11D2-9F80-00104B107C96} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{63B95211-7D77-11D2-9F80-00104B107C96}\Programmable wert: nicht gesetzt HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{63B95211-7D77-11D2-9F80-00104B107C96}\ProgID wert: PopKillerFilter.POPUPKillerFilterPP.1 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{63B95211-7D77-11D2-9F80-00104B107C96}\InprocServer32 wert: C:\WINDOWS\System32\HKNQTWZ].dll wert: Apartment Und auch wenn ich ungerne vor dem teil kapituliere, ich geh nun erst mal pennen, asonsten haut mich morgen mein chef noch. Thx für die hilfe bisher, Nicco |
|
|
||
06.07.2004, 09:24
Member
Beiträge: 1095 |
#28
@karnstein
Also, irgendwo versteckt sich noch eine Datei, die bei Windowsstart oder beim starten des Explorers immer wieder diese Einträge setzt. Die müssen wir finden. Lad dir mal bitte diese Datei http://tools.zerosrealm.com/downloads/pv.zip und entpacke Sie in ein Verzeichnis. Dann die "runme.bat" starten Dann kannst du dir für den Explorer, den Internet Explorer jeweils die DLL's anziegen lassen. Mach dies mal für 1-5 Speichere jeweils die Dateien. Jetzt kannst du die Logfile mal selber durchschauen ob irgendwo eine "ominöse" DLL angezeigt wird, deren Namen so ähnlich wie msxword.dll oder HKNQTWZ].dll ist. Achte auch auf DLL's die hinter der Versionsnummer keine Beschreibung haben. Oder schick mir einfach die 5 Textdateien. Gruß paff P.S. Wenn was unklar ist einfach melden __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
06.07.2004, 09:52
Ehrenmitglied
Beiträge: 29434 |
#29
Karnstein
C:\WINDOWS\regedit.exe nachdem du gemacht hast, was @Paff gepostet hat, ueberpruefe das bitte mit Kaspersky http://www.kaspersky.com/remoteviruschk.html MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 06.07.2004 um 09:53 Uhr von Sabina editiert.
|
|
|
||
06.07.2004, 12:00
Member
Beiträge: 1095 |
#30
Zitat Schau mal bitte in der Registry (Start/ausführen/regedit) Zitat C:\WINDOWS\regedit.exe __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
ich habe Dir und rokop die dll gesendet und bei mir gelöscht. Ich habe mir die dll im Ultra-edit angeschaut und ich glaube sie könnte identisch mit dem aus dem Thread zu sein, aber vielleicht erkennt ihr mehr.
Ich weis auch nicht was für eine Programmiersprache das ist, oder nur Registriebefehle??
Bei mir ist noch alles im grünen Bereich. Achso die Datei ist vom 29.01.2000 ist die schon solange auf meinem PC, oder kann man da eine dll mit altem Datum erzeugen??
danke an alle für die Hilfe, das nerven hat ein Ende!!
gruss
micha