"Searchmyrequest" Startseite kommt immer wieder |
||
---|---|---|
#0
| ||
11.06.2004, 09:25
...neu hier
Beiträge: 2 |
||
|
||
11.06.2004, 10:23
Member
Beiträge: 1095 |
#2
@fehe74
Papierkorb leeren Temp Internetfiles löschen Virenscanner updaten Systemwiederherstellung abschalten http://www.bsi.bund.de/av/texte/wiederher.htm Gehe in den Abgesicherten Modus von XP Anleitung : http://www.bsi.de/av/texte/winsave.htm Dann fixe das in HiJackThis R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmyrequest.com/sp.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmyrequest.com/sp.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchmyrequest.com/sp.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchmyrequest.com/hp.php R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchmyrequest.com/sp.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.lycos.de/online/redirect.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Lycos-Online O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx (file missing) O2 - BHO: Elitum EliteBar - {FA6548E9-78F5-4025-9D7B-FC1367789C38} - C:\WINDOWS\EliteBar\EliteBar.dll O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file) O4 - HKLM\..\Run: [DownloadAccelerator] C:\PROGRA~1\DAP\DAP.EXE /STARTUP O4 - HKLM\..\Run: [avserve2.exe] C:\WINDOWS\avserve2.exe O4 - HKLM\..\Run: [win update] wupfyny.exe O4 - HKLM\..\RunServices: [win updates] wugrds.exe O4 - HKLM\..\RunServices: [win update] wupfyny.exe O4 - HKCU\..\Run: [win updates] wugrds.exe O4 - HKCU\..\Run: [win update] wupfyny.exe Virenscanner ganz durchlaufen lassen Dann normal windows starten und dies durchführen http://www.rokop-security.de/main/article.php?sid=703 WICHTIG: ALLE PROGRAMME vor Benutzung updaten Neustart machen und nochmal logfile posten Systemwiederherstellung wieder einschalten http://www.bsi.bund.de/av/texte/wiederher.htm Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 11.06.2004 um 10:25 Uhr von paff editiert.
|
|
|
||
11.06.2004, 10:24
Member
Beiträge: 441 |
#3
Hallo,
da dein System kompromittiert ist, solltest du es besser Neuaufsetzen, da es nicht mehr vertrauenswürdig ist. Aber das ist deine Entscheidung. http://www.mathematik.uni-marburg.de/~wetzmj/index.php?viewPage=sec-compromise.html Diese Einträge fixen: R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmyrequest.com/sp.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmyrequest.com/sp.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchmyrequest.com/sp.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchmyrequest.com/hp.php R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchmyrequest.com/sp.php O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx (file missing) O2 - BHO: Elitum EliteBar - {FA6548E9-78F5-4025-9D7B-FC1367789C38} - C:\WINDOWS\EliteBar\EliteBar.dll O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file) O4 - HKLM\..\Run: [DownloadAccelerator] C:\PROGRA~1\DAP\DAP.EXE /STARTUP O4 - HKLM\..\Run: [avserve2.exe] C:\WINDOWS\avserve2.exe O4 - HKLM\..\Run: [win update] wupfyny.exe O4 - HKLM\..\RunServices: [win updates] wugrds.exe O4 - HKLM\..\RunServices: [win update] wupfyny.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [win updates] wugrds.exe O4 - HKCU\..\Run: [win update] wupfyny.exe Danach installierst du zur Sicherheit Antisasser-EN und scannst dein System. Diese Dateien manuell entfernen: C:\WINDOWS\System32\wupfyny.exe => WORM_RBOT.WU Info: http://uk.trendmicro-europe.com/enterprise/security_info/ve_detail.php?VName=WORM_RBOT.WU C:\WINDOWS\avserve2.exe => Sasser B Info: http://sasser.klaffke.de/ C:\WINDOWS\System32\wugrds.exe => Backdoor.SdBot.kn Info: http://servicenews.symantec.com/cgi-bin/displayArticle.cgi?article=27514&group=symantec.support.generic.virus_corporate.general&tpre=ent& __________ Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen. Neuaufsetzen des Systems/Absicherung! HJT Anleitung Dieser Beitrag wurde am 11.06.2004 um 10:26 Uhr von Cidre editiert.
|
|
|
||
11.06.2004, 10:29
Member
Beiträge: 1095 |
#4
@cidre
Fast gleiche Fixes und fast gleiche Zeit Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
11.06.2004, 10:37
Member
Beiträge: 441 |
#5
@ paff
Hi, da hast du recht. OT: Nachdem du SpHjfix.exe mitprogrammiert hast, gibt es eigentlich schon eine Lösung für diese Einträge: {707E6F76-9FFB-4920-A976-EA101271BC25} - C:\Programme\TV Media\TvmBho.dll HKLM\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe Merci. __________ Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen. Neuaufsetzen des Systems/Absicherung! HJT Anleitung |
|
|
||
11.06.2004, 10:45
Member
Beiträge: 1095 |
#6
@Cidre
Hab das TV Media Zeug zwar schon gesehen , wußte aber nicht das es ein Größeres Problem dastellt. Reicht Fixen alleine nicht Gruß paff P.S. Beim SpHFIx hab ich nicht mitprogrammiert, hab eigentlich immer nur einigermaßen sinnvolle Kommentare (hoffentlich) abgegeben __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
11.06.2004, 20:58
...neu hier
Themenstarter Beiträge: 2 |
#7
Hi,
grosses Kompliment an euch. Bis jetzt funktioniert alles reibungslos. Ihr seid klasse. Vielen Dank. Hier nochmal meine Logfile of HijackThis v1.97.7 Scan saved at 20:50:53, on 11.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\Programme\Trust mouse utility\1.0\mouse32a.exe C:\Programme\Trust keyboard utility\1.0\KbdAp32A.exe C:\Programme\Winamp\winampa.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe C:\Programme\Lycos\lycos.exe C:\Programme\Internet Explorer\iexplore.exe C:\unzipped\hijackthis1977\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.lycos.de/online/redirect.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Lycos-Online O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [FLMTRUSTMOUSE] C:\Programme\Trust mouse utility\1.0\mouse32a.exe O4 - HKLM\..\Run: [FLMTRUSTKB] C:\Programme\Trust keyboard utility\1.0\KbdAp32A.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: Ulead Photo Express SE Calendar Checker.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM) O12 - Plugin for .au: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O14 - IERESET.INF: START_PAGE_URL=http://www.lycos.de/online/redirect.html O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{89A82905-4099-429D-8467-8F3137AC94D0}: NameServer = 62.52.12.147 193.189.244.205 |
|
|
||
11.06.2004, 21:10
Member
Beiträge: 1095 |
#8
@FEHE
Sieht gut aus Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
ich bin kein Fachmann was Computerwissen angeht, deswegen hoffe ich dass mir jemand bei folgendem Problem behilflich sein kann.
Bei Start des IE kommt immer wieder die Startseite von "Searchmyrequest" und Download Accelerator möchte 2 Programme runterladen. Zudem werden einfach Einträge in meinen Favoriten erstellt. Auch Antivir Guard erkennt folgende Trojanische Pferde: TR/StartPage eb.3 und ~eb.2.
Ad-aware, CWS-Shredder, Spyboot, Antivir und Zone Alarm Pro konnten das Problem nicht verhindern bzw. beseitigen. Jetzt seid Ihr meine letzte Hoffnung.
Vielen Dank im voraus.
Sorry, hier noch meine HiJ-log:
Logfile of HijackThis v1.97.7
Scan saved at 09:00:41, on 11.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\DAP\DAP.EXE
C:\Programme\Trust mouse utility\1.0\mouse32a.exe
C:\Programme\Trust keyboard utility\1.0\KbdAp32A.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\wupfyny.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe
C:\Programme\Lycos\lycos.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\unzipped\hijackthis1977\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmyrequest.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmyrequest.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchmyrequest.com/sp.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchmyrequest.com/hp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchmyrequest.com/sp.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.lycos.de/online/redirect.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Lycos-Online
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Elitum EliteBar - {FA6548E9-78F5-4025-9D7B-FC1367789C38} - C:\WINDOWS\EliteBar\EliteBar.dll
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [DownloadAccelerator] C:\PROGRA~1\DAP\DAP.EXE /STARTUP
O4 - HKLM\..\Run: [FLMTRUSTMOUSE] C:\Programme\Trust mouse utility\1.0\mouse32a.exe
O4 - HKLM\..\Run: [FLMTRUSTKB] C:\Programme\Trust keyboard utility\1.0\KbdAp32A.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avserve2.exe] C:\WINDOWS\avserve2.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [win update] wupfyny.exe
O4 - HKLM\..\RunServices: [win updates] wugrds.exe
O4 - HKLM\..\RunServices: [win update] wupfyny.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [win updates] wugrds.exe
O4 - HKCU\..\Run: [win update] wupfyny.exe
O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - Global Startup: Ulead Photo Express SE Calendar Checker.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O12 - Plugin for .au: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.lycos.de/online/redirect.html
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{89A82905-4099-429D-8467-8F3137AC94D0}: NameServer = 62.52.12.147 193.189.244.205