CoolWebSites und SP.html---Hilfe gesucht |
||
---|---|---|
#0
| ||
14.06.2004, 13:17
...neu hier
Beiträge: 2 |
||
|
||
14.06.2004, 13:38
Member
Beiträge: 1095 |
#2
@Paladin
Überprüfe diese 3 Dateien O4 - HKLM\..\Run: [BackgroundSwitcher] C:\WINDOWS\System32\bgswitch.exe O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe O4 - HKLM\..\Run: [FastUser] C:\WINDOWS\System32\fast.exe hier http://www.kaspersky.com/de/remoteviruschk.html Überprüfe ob du die neueste Version von CWShredder hast http://www.spywareinfo.com/~merijn/downloads.html Die mwav.exe runterladen http://www.snapfiles.com/get/mwav.gif.html Geh bitte in den abgesicherten Modus von XP http://www.bsi.de/av/texte/winsave.htm Wenn die obengenannten Dateien Malware sind fixe die EInträge in HiJackthis + alle R0&R1 Einträge O2 - BHO: (no name) - {D9E730CA-7350-4961-A2B8-EDD4086CC3B1} - C:\WINDOWS\System32\imlan.dll Nochmal mit CWShredder scannen mit mwav.exe scannen Dann neustart machen Nochmal logfile posten Gruß paff P.S. Das sollte erstmal helfen. Nur mußt du so schnell wie möglich dein Windows updaten, sonst dauert nicht lange und der selbe "Dreck" ist wieder drauf. www.windowsupdate.com __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 14.06.2004 um 13:45 Uhr von paff editiert.
|
|
|
||
14.06.2004, 16:01
...neu hier
Themenstarter Beiträge: 2 |
#3
Okay,schönen Dank auch für eure Hilfe.
hab alles durchgeführt, aber hatte immer noch dasselbe Ergebnis. Nachdem ich jetzt die imlan.dll gelöscht habe, stimmt alles wieder. |
|
|
||
14.06.2004, 16:35
Member
Beiträge: 1095 |
#4
Zitat Paladin postete@Paladin Hast du die imlan.dll gelöscht oder nur den Eintrag in HiJackThis gefixt. Wenn du die imlan.dll gelöscht hast such mal bitte in der Registry nach der Datei und sag uns welche Einträge du gefunden hast. Wäre wichtig! Wir wollen schließlich anderen, die das selbe Problem haben, helfen. Wichtig wäre auch, die Datei imlan.dll an virus@protecus.de zu schicken. Gruß paff P.S. Was ist mit denen hier? O4 - HKLM\..\Run: [BackgroundSwitcher] C:\WINDOWS\System32\bgswitch.exe O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe O4 - HKLM\..\Run: [FastUser] C:\WINDOWS\System32\fast.exe __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 14.06.2004 um 16:38 Uhr von paff editiert.
|
|
|
||
14.06.2004, 17:25
Moderator
Beiträge: 7805 |
#5
CoolSwitch und FastUser kommen von MS Powertoys und BackgroundSwitcher wohl auch.
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
Ad-aware findet zwar Malware (CoolWebSites), entfernt diese auch. Nur ist die kurze Zeitspäter wieder vorhanden. Ad-watch meldet unregistrierten Registry-Zugriff, doch selbst das "blocken" hilft nichts.
Spybot findet einen Web-Dialer und 5 Exploits, löscht diese auch, nur beim nächsten Scanlauf sind alle wieder da.
CWShredder findet nichts!
Alle Programme auf dem neusten Stand.
Log von Hijack:
Logfile of HijackThis v1.97.7
Scan saved at 13:14:11, on 14.06.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\taskswitch.exe
C:\WINDOWS\System32\fast.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\Logitech\iTouch\kbdtray.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\Fast.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Joachim\Eigene Dateien\zips\hjt.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Joachim\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Joachim\LOKALE~1\Temp\sp.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Joachim\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Joachim\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Joachim\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Joachim\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {D9E730CA-7350-4961-A2B8-EDD4086CC3B1} - C:\WINDOWS\System32\imlan.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [BackgroundSwitcher] C:\WINDOWS\System32\bgswitch.exe
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe
O4 - HKLM\..\Run: [FastUser] C:\WINDOWS\System32\fast.exe
O4 - HKLM\..\Run: [AudioHQ] C:\Programme\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [AutoEA] C:\Programme\Creative\SBLive\AudioHQ\ahqrun.exe "C:\Programme\Creative\SBLive\AudioHQ\AHQ\CTAutoEA.ahq" 0
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Recherche-Assistent (HKLM)
O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O12 - Plugin for .wav: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {02BCC737-B171-4746-94C9-0D8A0B2C0089} (Microsoft Office Template and Media Control) - http://office.microsoft.com/templates/ieawsdc.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{089364A4-F80F-485C-9B75-5EECC8D2FFD2}: NameServer = 81.173.194.68 194.8.194.60
O17 - HKLM\System\CS1\Services\Tcpip\..\{089364A4-F80F-485C-9B75-5EECC8D2FFD2}: NameServer = 81.173.194.68 194.8.194.60
Die ersten Einträge kann ich ändern wie wich will, es kommt immer wieder.
Selbst die Datei SP.html auf die verwiesen wird, legt sich bei getrennter Internetverbindung immer wieder neu an.
Hat einer einen Tip für mich?