Hijacker trotz Vorgehen wie Beschrieben! Z.B. Casinopalazzo.com

#0
17.06.2004, 21:32
...neu hier

Beiträge: 5
#1 Hab ein großes Problem und weiß nicht wie ich es lösen kann. Ständig erscheinen Seiten im Fenster wie z. B. casinopalazzo.com oder Harro.freehompage.com, www.searchbarcash.com (oder ähnliche). Seiten bauen sich wenn überhaupt erst nach Minuten auf. Habe im Forum schon rumgesucht und deshalb letzendlich den Hijack-this report eingefügt. Hab schon versucht mir selbst zu helfen und einige Dinge die ich identifizieren konnte gefixt, also gelöscht. Komm aber nicht weiter und wäre sehr froh wenn mir jemand helfen könnte! Ad-aware, spybot und cwshredder habe ich schon zuvor ausgeführt.



Logfile of HijackThis v1.97.7
Scan saved at 22:05:19, on 17.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\crypserv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\cvmss.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\WINDOWS\System32\wserv32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\scrgrd.exe
C:\WINDOWS\System32\wingrd32.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\svphost.exe
C:\dokume~1\f\anwend~1\svchost.exe
C:\WINDOWS\System32\wkssvr.exe
C:\WINDOWS\System32\windll32.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\InterVideo\WinDVR\WinScheduler.exe
C:\Dokumente und Einstellungen\F\Lokale Einstellungen\Temp\Temporäres Verzeichnis 6 für hijackthis1977.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tagesschau.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [Microsoft Updates] wkssvr.exe
O4 - HKLM\..\Run: [Microsoft Update] wserv32.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Microsoft Restore] scrgrd.exe
O4 - HKLM\..\Run: [winguard] wingrd32.exe
O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\System32\wsqjsbe.exe
O4 - HKLM\..\RunServices: [Microsoft Updates] wkssvr.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wserv32.exe
O4 - HKLM\..\RunServices: [Microsoft Restore] scrgrd.exe
O4 - HKLM\..\RunServices: [winguard] wingrd32.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [svphost.exe] C:\WINDOWS\system32\svphost.exe
O4 - HKCU\..\Run: [System Update4] c:\dokume~1\f\anwend~1\svchost.exe
O4 - HKCU\..\Run: [Microsoft Updates] wkssvr.exe
O4 - HKCU\..\Run: [Microsoft Update] wserv32.exe
O4 - HKCU\..\Run: [Microsoft Restore] scrgrd.exe
O4 - HKCU\..\Run: [windll32.exe] C:\WINDOWS\System32\windll32.exe
O4 - HKCU\..\Run: [winguard] wingrd32.exe
O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: InterVideo WinScheduler.lnk = C:\Programme\InterVideo\WinDVR\WinScheduler.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Preispiraten 2.02 (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.mediamarkt.de



VIELEN DANK SCHON MAL IM VORAUS!!!

Herzlichst, Lofote
Dieser Beitrag wurde am 17.06.2004 um 22:25 Uhr von Lofote editiert.
Seitenanfang Seitenende
17.06.2004, 23:24
Member

Beiträge: 1095
#2 @lofote
Das sieht wild aus ;)

Date den Virenscanner up

Schalte Systemwiederherstellung ab
http://www.bsi.bund.de/av/texte/wiederher.htm

Lösche temporäre Internetfiles

Geh in den Abgesicherten Modus von XP
http://www.bsi.de/av/texte/winsave.htm

Fixe mal die Einträge
O4 - HKLM\..\Run: [Microsoft Updates] wkssvr.exe
O4 - HKLM\..\Run: [Microsoft Update] wserv32.exe
O4 - HKLM\..\Run: [Microsoft Restore] scrgrd.exe
O4 - HKLM\..\Run: [winguard] wingrd32.exe
O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\System32\wsqjsbe.exe
O4 - HKLM\..\RunServices: [Microsoft Updates] wkssvr.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wserv32.exe
O4 - HKLM\..\RunServices: [Microsoft Restore] scrgrd.exe
O4 - HKLM\..\RunServices: [winguard] wingrd32.exe
O4 - HKCU\..\Run: [svphost.exe] C:\WINDOWS\system32\svphost.exe
O4 - HKCU\..\Run: [System Update4] c:\dokume~1\f\anwend~1\svchost.exe
O4 - HKCU\..\Run: [Microsoft Updates] wkssvr.exe
O4 - HKCU\..\Run: [Microsoft Update] wserv32.exe
O4 - HKCU\..\Run: [Microsoft Restore] scrgrd.exe
O4 - HKCU\..\Run: [windll32.exe] C:\WINDOWS\System32\windll32.exe
O4 - HKCU\..\Run: [winguard] wingrd32.exe

Ganze Platte scannen mit Virenscanner

Such die oben genannten Dateien und lösch Sie
Auchte genau auf die Schreibweise

Neustart machen und nochmal Logfile posten

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Dieser Beitrag wurde am 17.06.2004 um 23:25 Uhr von paff editiert.
Seitenanfang Seitenende
18.06.2004, 00:28
...neu hier

Themenstarter

Beiträge: 5
#3 Hallo Paff,

erstmal Danke für Deine rasche Antwort ;)!!

Hab es so ausgeführt wie Du es beschrieben hast und erhalten nun folgende Logfile:



Logfile of HijackThis v1.97.7
Scan saved at 00:31:27, on 18.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\crypserv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\cvmss.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\InterVideo\WinDVR\WinScheduler.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\F\Lokale Einstellungen\Temp\Temporäres Verzeichnis 8 für hijackthis1977.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tagesschau.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: InterVideo WinScheduler.lnk = C:\Programme\InterVideo\WinDVR\WinScheduler.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Preispiraten 2.02 (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.mediamarkt.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{0D373961-EF53-4D20-905D-1BC65F3EFE9A}: NameServer = 62.104.191.241 62.104.196.134

bis demnächst und nochmals danke!!

Herzlichst, Lofote
Seitenanfang Seitenende
18.06.2004, 13:40
Member

Beiträge: 1095
#4 @Lofote

Überprüf mal die Datei noch
C:\WINDOWS\system32\cvmss.exe

hier
http://www.kaspersky.com/de/remoteviruschk.html

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
18.06.2004, 16:03
...neu hier

Themenstarter

Beiträge: 5
#5 Hallo paff,

hab die Datei : C:\WINDOWS\system32\cvmss.exe
überprüft und erhalte folgendes Ergebnis:


Zu überprüfende Datei: cvmss.exe

cvmss.exe - packed with UPX
cvmss.exe Infiziert: DDoS.Win32.Boxed.a


Statistiken:
Bekannte Viren: 91202 Updated: 18-06-2004
Größe der Datei (Kb): 23 Viren-Korpus: 1
Datei: 2 Warnungen: 0
Archive: 0 Verdächtigt: 0


Wahrscheinlich muss ich sie also löschen, oder?? Aber einfach fixen geht ja nicht, da der Eintrag nicht erscheint wenn man hijackthis.exe durchführt, oder??

Was nun?

Dankeschön!

Lofote
Seitenanfang Seitenende
18.06.2004, 16:09
Member

Beiträge: 1095
#6 @lofote

Geh mal in Systemsteuerung/verwaltung/dienste und schau ob dort ein Dienst namens "Network Security" oder so ähnlich eingetragen ist?
Wenn ja doppelklicken und auf deaktiviert stellen

Auf jeden Fall im abgesicherten Modus booten und die Datei einfach löschen.

Auch hier die mwav.exe laden und im abgesicherten Modus scannen
http://www.snapfiles.com/get/mwav.gif.html


Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Dieser Beitrag wurde am 18.06.2004 um 16:11 Uhr von paff editiert.
Seitenanfang Seitenende
18.06.2004, 19:56
...neu hier

Themenstarter

Beiträge: 5
#7 Hallo paff,

tut mir leid, aber ich komm nicht weiter - kenn mich wohl wie du gemerkt hast zu schlecht mit Computern aus...

Habe in Systemsteuerung/verwaltung/dienste keinen Dienst namens "Network Security" oder ähnliches gefunden

Soll ich die Datei: C:\WINDOWS\system32\cvmss.exe löschen?? Das Problem ist, ich finde sie nicht, auch nicht nach Eingabe als Suchbegriff...

Danke für die Geduld


Lofote
Seitenanfang Seitenende
19.06.2004, 08:02
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 Geh mal in den abgesicherten Modus...F8 beim Hochfahren druecken und scanne dort mit der mwav.exe.

http://www.snapfiles.com/get/mwav.gif.html

Falls das Tool die infizierte Datei nicht loescht, gib im abgesicherten Modus noch einmal cvmss.exe in die Suchfunktion ein ...\alle Dateien anzeigen\ einstellen.
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.06.2004, 11:11
...neu hier

Themenstarter

Beiträge: 5
#9 Hallo Sabina,

hab unter www.snapfiles.com/get/mwav.gif.html einen sog. "Spy Sweeper" heruntergeladen und im abgesicherten Modus durchgeführt. Hoffe, Du meintest das... Dabei erhalte ich folgendes Ergebnis:

|··· Samstag, 19 Juni 2004 10:45 ···|
········· End of Session 10:46 ·········


|··· Samstag, 19 Juni 2004 10:48 ···|
10:48 Sweeping memory for active software.
10:48 Memory sweep has completed.
Found: Alexa Toolbar registry trace.
Found: OpenSite registry trace.
Found: SquireSearch registry trace.
10:50 Registry sweep completed.
10:50 Full sweep on all local drives initiated.
10:50 Now sweeping drive C:
Found Adware: TopSearch, version 1
Found Adware: Cydoor Peer-to-Peer Dependency, version 3.2.1
10:57 Full Sweep has completed. Elapsed time 0 hours, 9 minutes, 29 seconds.
Files swept: 29.081
Software Located: 10
Spy Sweeper quarantined registry traces of: Alexa Toolbar
Spy Sweeper quarantined: Cydoor Peer-to-Peer Dependency
Spy Sweeper quarantined registry traces of: OpenSite
Spy Sweeper quarantined registry traces of: OpenSite
Spy Sweeper quarantined registry traces of: OpenSite
Spy Sweeper quarantined registry traces of: OpenSite
Spy Sweeper quarantined registry traces of: OpenSite
Spy Sweeper quarantined registry traces of: SquireSearch
Spy Sweeper quarantined registry traces of: SquireSearch
Spy Sweeper quarantined: TopSearch


Konnte jedoch wieder die Datei "cvmss.exe" nicht finden...

Was kann ich jetzt noch tun???

Vielen Dank + viele Grüße,

Lofote
Seitenanfang Seitenende
19.06.2004, 14:38
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 C:\WINDOWS\system32\cvmss.exe

die exe existiert

Lade bitte mwav.exe.... MicroWorld Anti Virus Toolkit von dieser Site und scanne , am besten im abgesicherten Modus
http://www.mwti.net/antivirus/free_utilities.asp
poste dann das Ergebnis.
Gruss
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 19.06.2004 um 14:39 Uhr von Sabina editiert.
Seitenanfang Seitenende