Werde Hijacker nicht los ! Neue Namen der Dlls/Exe nach jedem Start |
||
---|---|---|
#0
| ||
16.06.2004, 14:50
...neu hier
Beiträge: 7 |
||
|
||
16.06.2004, 15:16
Member
Beiträge: 1095 |
#2
@r3b
Lade die Datei mwav.exe von hier http://www.mwti.net/antivirus/free_utilities.asp Geh bitte in den abgesicherten Modus Fixe dies in HiJackThis R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\bynxt.dll/sp.html#96676 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://bynxt.dll/index.html#96676 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://bynxt.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\bynxt.dll/sp.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://bynxt.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\bynxt.dll/sp.html#96676 O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll O2 - BHO: (no name) - {1E1674D2-E929-6572-0A8F-011D1685381B} - C:\WINDOWS\system32\mfcgc32.dll O4 - HKLM\..\Run: [kuqyebrqofij] C:\WINDOWS\System32\yyetca.exe O4 - HKLM\..\Run: [sysvg32.exe] C:\WINDOWS\system32\sysvg32.exe mwav.exe starten und FullScan machen Dann normal booten und nochmal logfile posten Die Datei C:\WINDOWS\bynxt.dll bitte gezippt an virus@protecus.de und mike_hangover@gozomail.com schicken Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 16.06.2004 um 15:20 Uhr von paff editiert.
|
|
|
||
16.06.2004, 15:53
...neu hier
Themenstarter Beiträge: 7 |
#3
Chancenlos, habe deine Anweisung befolgt die genannten Dateien im abgesicherten Modus mit AntiHijack gefixt. Dann habe ich mwav.exe drüber laufen lassen dieser hat auch die bynxt.dll gefunden und sofort gelöscht. Das mit dem löschen hat nur teilweise funktioniert, nach dem Neustart gab es keine Anzeichen des Hijackers, kaum war ich aber wieder Online war mein System wieder von diesem befallen. -> bynxt.dll scheint sich nun in kmszv.dll umbenannt zu haben ?!
Logfile of HijackThis v1.97.7 Scan saved at 15:58:37, on 16.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\CTSvcCDA.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\WINDOWS\mfccj32.exe C:\WINDOWS\Explorer.EXE C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe C:\WINDOWS\System32\CTHELPER.EXE C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe C:\Programme\Winamp\winampa.exe C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\WINDOWS\system32\sysvg32.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\system32\notepad.exe C:\Programme\Internet Explorer\iexplore.exe E:\[ Programme ]\Spyware & Hijacker\antihijack.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\kmszv.dll/sp.html#96676 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://kmszv.dll/index.html#96676 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://kmszv.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\kmszv.dll/sp.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://kmszv.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\kmszv.dll/sp.html#96676 O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {1426F8F7-026C-1510-CDFC-CB9062ABBD21} - C:\WINDOWS\system32\netqb32.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [CTStartup] "C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE" /run O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe" O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [sysvg32.exe] C:\WINDOWS\system32\sysvg32.exe O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\RunOnce: [CTStartup] "C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE" /play O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: Recherchieren (HKLM) O9 - Extra button: Add bid (HKCU) O9 - Extra 'Tools' menuitem: Add bid (HKCU) O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38154.0918402778 O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{B24006E2-72F3-450F-AA7C-635547CA2792}: NameServer = 217.237.151.161 194.25.2.129 Dieser Beitrag wurde am 16.06.2004 um 15:57 Uhr von r3b editiert.
|
|
|
||
16.06.2004, 16:08
Member
Beiträge: 1095 |
#4
@r3b
Das hier ist der Bösewicht. O4 - HKLM\..\Run: [sysvg32.exe] C:\WINDOWS\system32\sysvg32.exe Solange die exe läuft läd die aus dem Internet immer den HiAjcker nach Also wieder in Safemode Eintrag fixen +R0&R1 + O2 - BHO: (no name) - {1426F8F7-026C-1510-CDFC-CB9062ABBD21} - C:\WINDOWS\system32\netqb32.dll Dateien suchen und löschen (vorher eine Kopie in ein Zipfile packen) sysvg32.exe yyetca.exe Dann normal Starten und nochmal logfile zipfile an virus@protecus.de und mike_hangover@gozomail.com schicken Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
16.06.2004, 19:29
...neu hier
Themenstarter Beiträge: 7 |
#5
Anweisungen genau befolgt habe aber die netqb32.dll nicht gelöscht sondern nur mit anti hijack gefixt. Hilft trotzdem nichts !
Logfile of HijackThis v1.97.7 Scan saved at 19:30:44, on 16.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\CTSvcCDA.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\WINDOWS\mfccj32.exe C:\WINDOWS\system32\netqb32.exe C:\WINDOWS\Explorer.EXE C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe C:\WINDOWS\System32\CTHELPER.EXE C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe C:\Programme\Winamp\winampa.exe C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\Internet Explorer\iexplore.exe C:\PROGRA~1\MSNGAM~1\zproxy.exe C:\PROGRA~1\MSNGAM~1\zone.exe C:\Programme\Internet Explorer\iexplore.exe E:\[ Programme ]\Spyware & Hijacker\antihijack.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\vbrpp.dll/sp.html#96676 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://vbrpp.dll/index.html#96676 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://vbrpp.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\vbrpp.dll/sp.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://vbrpp.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\vbrpp.dll/sp.html#96676 O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {1426F8F7-026C-1510-CDFC-CB9062ABBD21} - C:\WINDOWS\system32\netqb32.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [CTStartup] "C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE" /run O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe" O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [netqb32.exe] C:\WINDOWS\system32\netqb32.exe O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\RunOnce: [CTStartup] "C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE" /play O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: Recherchieren (HKLM) O9 - Extra button: Add bid (HKCU) O9 - Extra 'Tools' menuitem: Add bid (HKCU) O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38154.0918402778 O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{B24006E2-72F3-450F-AA7C-635547CA2792}: NameServer = 217.237.151.161 194.25.2.129 |
|
|
||
16.06.2004, 21:26
Ehrenmitglied
Beiträge: 6028 |
#6
r3b kannst du mal nachschauen wass die Eigenschaften von
C:\WINDOWS\mfccj32.exe sind __________ MfG Argus |
|
|
||
16.06.2004, 22:39
...neu hier
Themenstarter Beiträge: 7 |
#7
Wie meinst du das Arnold? Also erstellt wurde diese am 11 Juni.
@ paff, soll ich jetzt netqb32.dll auch löschen ? komme leider nicht weiter |
|
|
||
16.06.2004, 22:53
Ehrenmitglied
Beiträge: 6028 |
#8
Meistens kann mann im Netz etwas finden über .exe files aber da ist nichts über mfcc32
__________ MfG Argus |
|
|
||
17.06.2004, 09:52
Member
Beiträge: 1095 |
#9
@r3b
Dieses Hijacker ist wohl etwas hartnäckig und ziemlich neu. Also folgendes Vorgehen. 1. Geh mal zu www.windowsupdate.com und bring dein Windows auf den neusten Stand. 2. lad dir alle Tools aus dieser Anleitung, installieren und updaten http://www.rokop-security.de/main/article.php?sid=703 Also Spybot, CWShredder und Ad-Aware 3. Virenscanner auf neusten Stand bringen oder einen downloaden z.B. www.antivir.de 4. lösche alle Dateien im Papierkorb, alle temporären Internetfiles. AB hier nicht mehr den Internetexplorer öffnen (WICHTIG) 5. Geh in den abgesicherten MODUS 6. Vergleiche dein HiJackThis Logfile das du als letztes gepostet hast mit einem das du nun erstellts. 7. Sollen die 2 Logs gleich sein Fixe dies in HiJackThis, wenn nicht bricht hier ab und poste die 2 LogFiles . R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\vbrpp.dll/sp.html#96676 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://vbrpp.dll/index.html#96676 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://vbrpp.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\vbrpp.dll/sp.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://vbrpp.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\vbrpp.dll/sp.html#96676 O2 - BHO: (no name) - {1426F8F7-026C-1510-CDFC-CB9062ABBD21} - C:\WINDOWS\system32\netqb32.dll O4 - HKLM\..\Run: [netqb32.exe] C:\WINDOWS\system32\netqb32.exe Lösche die Dateien C:\WINDOWS\vbrpp.dll C:\WINDOWS\system32\netqb32.dll C:\WINDOWS\system32\netqb32.exe 8 .Scannen mit mwav.exe und dem Virenscanner jeweils die ganze Platte. mit CWShredder,Spybot und Ad-Aware auch scannen 9. Neustart machen und nochmal Logfile erstellen 10. Internet Explorer öffnen und noch ein Logfile erstellen 11. Internetverbindung erstellen Logfiles posten Ebensfalls betroffene 1. http://209.213.221.238/postp210371.html 2. http://forums.spywareinfo.com/index.php?s=357b1fcf14a3d6fd54c63c3a1830e065&showtopic=7435 3. http://www.trojaner-board.de/forum/ultimatebb.cgi?ubb=get_topic;f=6;t=005578;p= Gruß paff Ein Tip, druck dir das am besten aus oder speichere es in einer Textdatei! -------------------------- Nachtrag: Achtung. Schau mal unter Systemsteuerung/Verwaltung/Dienste ob es einen Dienst namens "Network Security Service" gibt. Wenn ja bitte doppelklicken und auf deaktiviert stellen + Dienst beenden. Link dazu (englisch) http://www.wilderssecurity.com/showthread.php?p=198412#post198412 __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 17.06.2004 um 11:07 Uhr von paff editiert.
|
|
|
||
17.06.2004, 16:02
...neu hier
Themenstarter Beiträge: 7 |
#10
Hallo, Problem gelöst danke nochmals @ paff.
Habe nach eigenem Ermessen noch craz32.exe und mfcif.exe gelöscht. LOG 1: Logfile of HijackThis v1.97.7 Scan saved at 15:35:18, on 17.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE E:\[ Programme ]\Spyware & Hijacker\antihijack.exe C:\WINDOWS\system32\notepad.exe C:\WINDOWS\system32\NOTEPAD.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\vbrpp.dll/sp.html#96676 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://vbrpp.dll/index.html#96676 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://vbrpp.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\vbrpp.dll/sp.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://vbrpp.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\vbrpp.dll/sp.html#96676 O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {1426F8F7-026C-1510-CDFC-CB9062ABBD21} - C:\WINDOWS\system32\netqb32.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [CTStartup] "C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE" /run O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe" O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [netqb32.exe] C:\WINDOWS\system32\netqb32.exe O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKLM\..\RunOnce: [netqi.exe] C:\WINDOWS\netqi.exe O4 - HKLM\..\RunOnce: [craz32.exe] C:\WINDOWS\system32\craz32.exe O4 - HKLM\..\RunOnce: [mfcif.exe] C:\WINDOWS\system32\mfcif.exe O4 - HKCU\..\RunOnce: [CTStartup] "C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE" /play O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: Recherchieren (HKLM) O9 - Extra button: Add bid (HKCU) O9 - Extra 'Tools' menuitem: Add bid (HKCU) O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38154.0918402778 O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab Log 2 Logfile of HijackThis v1.97.7 Scan saved at 15:53:12, on 17.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\CTSvcCDA.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\WINDOWS\netqi.exe C:\WINDOWS\mspk.exe C:\WINDOWS\Explorer.EXE C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe C:\WINDOWS\System32\CTHELPER.EXE C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe C:\Programme\Winamp\winampa.exe C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe C:\WINDOWS\System32\RUNDLL32.EXE E:\[ Programme ]\Spyware & Hijacker\antihijack.exe O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {0F313BDA-32FB-0649-F293-33716F75BAB9} - C:\WINDOWS\mspk.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [CTStartup] "C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE" /run O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe" O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: Recherchieren (HKLM) O9 - Extra button: Add bid (HKCU) O9 - Extra 'Tools' menuitem: Add bid (HKCU) O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38154.0918402778 O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab Log 3: Logfile of HijackThis v1.97.7 Scan saved at 15:54:24, on 17.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\CTSvcCDA.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\WINDOWS\netqi.exe C:\WINDOWS\mspk.exe C:\WINDOWS\Explorer.EXE C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe C:\WINDOWS\System32\CTHELPER.EXE C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe C:\Programme\Winamp\winampa.exe C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\Internet Explorer\iexplore.exe E:\[ Programme ]\Spyware & Hijacker\antihijack.exe O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {0F313BDA-32FB-0649-F293-33716F75BAB9} - C:\WINDOWS\mspk.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [CTStartup] "C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE" /run O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe" O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [mspk.exe] C:\WINDOWS\mspk.exe O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: Recherchieren (HKLM) O9 - Extra button: Add bid (HKCU) O9 - Extra 'Tools' menuitem: Add bid (HKCU) O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38154.0918402778 O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab Edit: ---------------------------------------- -> Hach! Zu früh gefreut er ist wieder da! Dieser Beitrag wurde am 17.06.2004 um 16:26 Uhr von r3b editiert.
|
|
|
||
17.06.2004, 16:52
Member
Beiträge: 1095 |
#11
@r3b
OK es gibt jetzt eine Lösung Der HiJacker besteht aus 4 Teilen 2 dll's + 2 exe'en Leider benennen die sich bei jedem Start um, so ist ein bißchen schwierig Die eine DLL ist unter R0 Die 2.te DLL steht unter O2 BHO Die eine exe stht unter O4 Die 2.te exe trägt sich als Dienst ein . Die sieht man nur in den Tasks In deinem Fall "C:\WINDOWS\netqi.exe" Such mal unter systemsteuerung/Verwaltung/Dienste einen Dienst namens "Network Security Service" oder so ähnlich Poste mal wenn du den gefunden hast oder auch nicht!!!! Gruß paff P.S. Hier 2 ähnliche Fälle http://board.protecus.de/t10731.htm http://www.rokop-security.de/board/index.php?showtopic=3692 __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
17.06.2004, 18:22
...neu hier
Themenstarter Beiträge: 7 |
#12
Also dieser Dienst hat sich eingetragen! ...habe diesen Deaktiviert dann die restlichen Sachen wie in deinem letztem Post beschrieben mit antihijack gefixt und dann gelöscht (Waren diesmal 3 und nicht 4 dll's), und siehe da es läuft !
Also danke nochmals |
|
|
||
17.06.2004, 20:35
Member
Beiträge: 1095 |
#13
@r3b
Gut das es geklappt hat. Als ich dir geraten habe die Logs zu erstellen wußte ich die Lösung des Problems noch nicht. War hoffentlich nicht zu stressig Wenn jetzt alles gut ist, ist ja alles gut Leider gibt es noch Einträge in der Registry, diese können zwar nicht mehr schaden, aber sind unschön. Durchsuch einfach mal die Registry nach den Dateinamen. Wenn möglich poste die EInträge hier. Kannst du wenn möglich bitte die Dateien (gezippt) noch an mich schicken. mike-hangover@gozomail.com Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 17.06.2004 um 20:38 Uhr von paff editiert.
|
|
|
||
18.06.2004, 14:45
...neu hier
Themenstarter Beiträge: 7 |
#14
Hallo paff die dateien habe ich leider nicht mehr. Wurden gelöscht, habe nicht dran gedacht die noch zu zippen! In der registry habe ich keine Einträge mehr gefunden!
|
|
|
||
Logfile of HijackThis v1.97.7
Scan saved at 14:47:35, on 16.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\CTSvcCDA.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\mfccj32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\System32\yyetca.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\WINDOWS\system32\sysvg32.exe
C:\WINDOWS\System32\RUNDLL32.EXE
E:\[ Programme ]\Spyware & Hijacker\antihijack.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\bynxt.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://bynxt.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://bynxt.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\bynxt.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://bynxt.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\bynxt.dll/sp.html#96676O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1E1674D2-E929-6572-0A8F-011D1685381B} - C:\WINDOWS\system32\mfcgc32.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTStartup] "C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE" /run
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [kuqyebrqofij] C:\WINDOWS\System32\yyetca.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [sysvg32.exe] C:\WINDOWS\system32\sysvg32.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Recherchieren (HKLM)
O9 - Extra button: Add bid (HKCU)
O9 - Extra 'Tools' menuitem: Add bid (HKCU)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38154.0918402778
O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B24006E2-72F3-450F-AA7C-635547CA2792}: NameServer = 217.237.151.161 194.25.2.129