CoolWebSites und SP.html---Hilfe gesucht

#0
14.06.2004, 13:17
...neu hier

Beiträge: 2
#1 Mein IE spinnt total, andauernd wird die Startseite etc. verändert.

Ad-aware findet zwar Malware (CoolWebSites), entfernt diese auch. Nur ist die kurze Zeitspäter wieder vorhanden. Ad-watch meldet unregistrierten Registry-Zugriff, doch selbst das "blocken" hilft nichts.

Spybot findet einen Web-Dialer und 5 Exploits, löscht diese auch, nur beim nächsten Scanlauf sind alle wieder da.

CWShredder findet nichts!

Alle Programme auf dem neusten Stand.

Log von Hijack:
Logfile of HijackThis v1.97.7
Scan saved at 13:14:11, on 14.06.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\taskswitch.exe
C:\WINDOWS\System32\fast.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\Logitech\iTouch\kbdtray.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\Fast.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Joachim\Eigene Dateien\zips\hjt.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Joachim\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Joachim\LOKALE~1\Temp\sp.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Joachim\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Joachim\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Joachim\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Joachim\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {D9E730CA-7350-4961-A2B8-EDD4086CC3B1} - C:\WINDOWS\System32\imlan.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [BackgroundSwitcher] C:\WINDOWS\System32\bgswitch.exe
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe
O4 - HKLM\..\Run: [FastUser] C:\WINDOWS\System32\fast.exe
O4 - HKLM\..\Run: [AudioHQ] C:\Programme\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [AutoEA] C:\Programme\Creative\SBLive\AudioHQ\ahqrun.exe "C:\Programme\Creative\SBLive\AudioHQ\AHQ\CTAutoEA.ahq" 0
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Recherche-Assistent (HKLM)
O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O12 - Plugin for .wav: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {02BCC737-B171-4746-94C9-0D8A0B2C0089} (Microsoft Office Template and Media Control) - http://office.microsoft.com/templates/ieawsdc.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{089364A4-F80F-485C-9B75-5EECC8D2FFD2}: NameServer = 81.173.194.68 194.8.194.60
O17 - HKLM\System\CS1\Services\Tcpip\..\{089364A4-F80F-485C-9B75-5EECC8D2FFD2}: NameServer = 81.173.194.68 194.8.194.60

Die ersten Einträge kann ich ändern wie wich will, es kommt immer wieder.
Selbst die Datei SP.html auf die verwiesen wird, legt sich bei getrennter Internetverbindung immer wieder neu an.

Hat einer einen Tip für mich?
Seitenanfang Seitenende
14.06.2004, 13:38
Member

Beiträge: 1095
#2 @Paladin

Überprüfe diese 3 Dateien
O4 - HKLM\..\Run: [BackgroundSwitcher] C:\WINDOWS\System32\bgswitch.exe
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe
O4 - HKLM\..\Run: [FastUser] C:\WINDOWS\System32\fast.exe
hier
http://www.kaspersky.com/de/remoteviruschk.html


Überprüfe ob du die neueste Version von CWShredder hast
http://www.spywareinfo.com/~merijn/downloads.html
Die mwav.exe runterladen
http://www.snapfiles.com/get/mwav.gif.html

Geh bitte in den abgesicherten Modus von XP
http://www.bsi.de/av/texte/winsave.htm

Wenn die obengenannten Dateien Malware sind fixe die EInträge in HiJackthis
+
alle R0&R1 Einträge
O2 - BHO: (no name) - {D9E730CA-7350-4961-A2B8-EDD4086CC3B1} - C:\WINDOWS\System32\imlan.dll

Nochmal mit CWShredder scannen
mit mwav.exe scannen

Dann neustart machen

Nochmal logfile posten

Gruß paff
P.S.
Das sollte erstmal helfen. Nur mußt du so schnell wie möglich dein Windows updaten, sonst dauert nicht lange und der selbe "Dreck" ist wieder drauf.
www.windowsupdate.com
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Dieser Beitrag wurde am 14.06.2004 um 13:45 Uhr von paff editiert.
Seitenanfang Seitenende
14.06.2004, 16:01
...neu hier

Themenstarter

Beiträge: 2
#3 Okay,schönen Dank auch für eure Hilfe.

hab alles durchgeführt, aber hatte immer noch dasselbe Ergebnis.

Nachdem ich jetzt die imlan.dll gelöscht habe, stimmt alles wieder.
Seitenanfang Seitenende
14.06.2004, 16:35
Member

Beiträge: 1095
#4

Zitat

Paladin postete
Okay,schönen Dank auch für eure Hilfe.

hab alles durchgeführt, aber hatte immer noch dasselbe Ergebnis.

Nachdem ich jetzt die imlan.dll gelöscht habe, stimmt alles wieder.
@Paladin
Hast du die imlan.dll gelöscht oder nur den Eintrag in HiJackThis gefixt.

Wenn du die imlan.dll gelöscht hast such mal bitte in der Registry nach der Datei und sag uns welche Einträge du gefunden hast.

Wäre wichtig!
Wir wollen schließlich anderen, die das selbe Problem haben, helfen.

Wichtig wäre auch, die Datei imlan.dll an virus@protecus.de zu schicken.

Gruß paff
P.S.
Was ist mit denen hier?
O4 - HKLM\..\Run: [BackgroundSwitcher] C:\WINDOWS\System32\bgswitch.exe
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe
O4 - HKLM\..\Run: [FastUser] C:\WINDOWS\System32\fast.exe
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Dieser Beitrag wurde am 14.06.2004 um 16:38 Uhr von paff editiert.
Seitenanfang Seitenende
14.06.2004, 17:25
Moderator

Beiträge: 7805
#5 CoolSwitch und FastUser kommen von MS Powertoys und BackgroundSwitcher wohl auch.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende