Home » Spyware & Browser Hijacker Support Forum » CoolWebSearch!! Ich kriegs nicht weg!!! » Themenansicht

CoolWebSearch!! Ich kriegs nicht weg!!!
#0
07.07.2004, 18:06
dreiD
Member

Themenstarter
Avatar dreiD

Beiträge: 278
#91 Hatte ich schon probiert! Klappt trotzdem nicht! Das kann doch nicht sein!
__________
"Welch dreiste Epoche, in der es leichter ist Atome zu spalten,als Vorurteile!"
[Albert Einstein]
Seitenanfang Seitenende
08.07.2004, 11:39
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#92 Das verstehe ich auch nicht.

Schreib mal an die Leute von Antivirus ein Mail und frage nach (Link-Kontakt)
http://www.free-av.de/

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 08.07.2004 um 11:40 Uhr von Sabina editiert.
Seitenanfang Seitenende
08.07.2004, 15:39
rwischt
...neu hier

Beiträge: 7
#93 Hossa !

ich habe das gleiche problem wie schon ein paar leute vor mir.

hoffe mir kann geholfen werden !

ich poste mal das log:

Logfile of HijackThis v1.98.0
Scan saved at 15:38:26, on 08.07.2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\Programme\WinRamTurbo XP\WinRamTurboXP.exe
C:\Programme\PTBSync\PTBSync.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Dokumente und Einstellungen\user\Anwendungsdaten\Plaxo\1.4.2.25\InstallStub.exe
C:\WINNT\system32\ctfmon.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Okidata\OKI LPR Utility\okilpr.exe
C:\Programme\Nokia\PC Suite für den Nokia 9210i Communicator\ECTaskScheduler.exe
C:\PROGRA~1\Nokia\PCSUIT~1\BROADC~1.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
C:\Dokumente und Einstellungen\user\Eigene Dateien\DOMINIK_ARNOLD\technomage\DIENSTAG_25\dayafter\CONTEST\MITTWOCH23\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O1 - Hosts: 213.159.117.235 auto.search.msn.com
O2 - BHO: (no name) - DISABLED:{04079851-5845-4dea-848C-3ECD647AA554} - (no file)
O2 - BHO: (no name) - DISABLED:{0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: C:\WINNT\lbbho.dll - {218A5C7C-6434-405B-A988-2DA2DB89FE4F} - C:\WINNT\lbbho.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\winnt\downloaded program files\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\winnt\downloaded program files\googletoolbar2.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [WinRamTurbo] C:\Programme\WinRamTurbo XP\WinRamTurboXP.exe
O4 - HKLM\..\Run: [PTBSync] C:\Programme\PTBSync\PTBSync.exe /Start
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Breg] DISABLED:"C:\Program Files\Common Files\Java\breg.exe"
O4 - HKLM\..\Run: [BTV] C:\Program Files\BTV\btv.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKCU\..\Run: [PlaxoUpdate] C:\Dokumente und Einstellungen\user\Anwendungsdaten\Plaxo\1.4.2.25\InstallStub.exe -a
O4 - HKCU\..\Run: [system] C:\WINNT\system32\winlog32.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: OKI LPR Utility.lnk = C:\Programme\Okidata\OKI LPR Utility\okilpr.exe
O4 - Global Startup: PC Suite für den Nokia 9210i Communicator Aufgabenplaner.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://c:\winnt\downloaded program files\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\winnt\downloaded program files\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\winnt\downloaded program files\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
O8 - Extra context menu item: Si&milar Pages - res://c:\winnt\downloaded program files\GoogleToolbar1.dll/cmsimilar.html
O16 - DPF: {05317530-B882-449D-9421-18D94FA3ED34} (OSInfo Control) - http://www.sis.com/support/chipdetect/OSInfo.cab
O16 - DPF: {10003000-1000-0400-1000-000000000000} - ms-its:mhtml:file://c:\\MAIN.MHT!http://zloeboogle.biz/dial.chm?wmid=3304::/x.exe
O16 - DPF: {16095503-786F-4097-AED6-5D567A26D760} (SiS_OCX Control) - http://www.sis.com/support/chipdetect/SiSAutodetectNT.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-9.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F795473A-9A01-4A0A-9D69-14820A12BCE2}: NameServer = 213.187.64.1
O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F81-00104B107C96}
O18 - Protocol: start - {53B95211-7D77-11D2-9F81-00104B107C96} - C:\WINNT\system32FFFFFFFF.dll

mfg
Seitenanfang Seitenende
08.07.2004, 16:32
paff
Member

Beiträge: 1095
#94 @rwischt

Lade dir diesen scanner mwav.exe
http://www.rokop-security.de/board/index.php?showtopic=3867

Update deine Virenscanner

Geh in Safemode von Win 2000
http://www.bsi.de/av/texte/winsave.htm

Fixe dies in HiJackThis
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O1 - Hosts: 213.159.117.235 auto.search.msn.com
O2 - BHO: (no name) - DISABLED:{04079851-5845-4dea-848C-3ECD647AA554} - (no file)
O2 - BHO: (no name) - DISABLED:{0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - (no file)
O2 - BHO: C:\WINNT\lbbho.dll - {218A5C7C-6434-405B-A988-2DA2DB89FE4F} - C:\WINNT\lbbho.dll (file missing)
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O4 - HKLM\..\Run: [BTV] C:\Program Files\BTV\btv.exe
O4 - HKCU\..\Run: [PlaxoUpdate] C:\Dokumente und
Einstellungen\user\Anwendungsdaten\Plaxo\1.4.2.25\InstallStub.exe -a
O4 - HKCU\..\Run: [system] C:\WINNT\system32\winlog32.exe
O4 - Global Startup: PC Suite für den Nokia 9210i Communicator Aufgabenplaner.lnk = ?
O16 - DPF: {10003000-1000-0400-1000-000000000000} - ms-its:mhtml:file://c:\\MAIN.MHT!http://zloeboogle.biz/dial.chm?wmid=3304::/x.exe
O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F81-00104B107C96}
O18 - Protocol: start - {53B95211-7D77-11D2-9F81-00104B107C96} - C:\WINNT\system32FFFFFFFF.dll

starte mwav.exe Fullscan

starte virenscanner ganze Platte scannen

In dieser Zeit niemals den Internet Explorer starten WICHTIG!!!!!!!!!!!!!!!

Normal starten und nochmal Logfile posten

Gruß paff
Du mußt dein Windows updaten www.windowsupdate.com
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Dieser Beitrag wurde am 08.07.2004 um 16:40 Uhr von paff editiert.
Seitenanfang Seitenende
08.07.2004, 16:41
rwischt
...neu hier

Beiträge: 7
#95 Danke erstmal !

doofe frage aber was heißt fixe ? = löschen


der rest is soweit klar !


mfg
Seitenanfang Seitenende
08.07.2004, 16:47
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#96 rwischt

Fixe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O1 - Hosts: 213.159.117.235 auto.search.msn.com
O2 - BHO: (no name) - DISABLED:{04079851-5845-4dea-848C-3ECD647AA554} - (no file)
O2 - BHO: (no name) - DISABLED:{0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - (no file)
O2 - BHO: C:\WINNT\lbbho.dll - {218A5C7C-6434-405B-A988-2DA2DB89FE4F} - C:\WINNT\lbbho.dll (file missing)
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)

O4 - HKCU\..\Run: [system] C:\WINNT\system32\winlog32.exe
O4 - HKLM\..\Run: [Breg] DISABLED:"C:\Program Files\Common Files\Java\breg.exe"
O4 - HKLM\..\Run: [BTV] C:\Program Files\BTV\btv.exe...Dialer !
O16 - DPF: {10003000-1000-0400-1000-000000000000} - ms-its:mhtml:file://c:\\MAIN.MHT!http://zloeboogle.biz/dial.chm?wmid=3304::/x.exe
O18 - Protocol: start - {53B95211-7D77-11D2-9F81-00104B107C96} - C:\WINNT\system32FFFFFFFF.dll


neustarten
Gehe in den abgesicherten Modus
http://www.bsi.de/av/texte/winsave.htm


Konfiguriere den Antivirus:
Einstellungen : (Suchen: ALLE DATEIN, Reperatur: OHNE RÜCKFRAGEN, Löschen bei fehlgeschlagener Reperatur: LÖSCHEN OHNE RÜCKFRAGEN, Unerwünschte Programme: ALLE ausser spiele, Heuristik: Win32 Heuristik Priorität hoch)

#Gehe in den abgesicherten Modus...F8 druecken, wenn der Comp. hochfaehrt
#scanne mit dem Antivirus (Vollsann)


Gehe in die Registry
Start<Ausguehren<regedit und loesche
CLSID\{53B95211-7D77-11D2-9F81-00104B107C96}\InprocServer32
Wert => C:\WINNT\system32\msxword.dll

unter diesem Schluessel:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Wert => C:\WINNT\system32\msxword.dll
schliesse die Registry

#Loesche
C:\WINNT\system32\msxword.dll

#gehe in
C:\WINDOWS\SYSTEM32\DRIVERS\ETC
oeffne mit dem Notepad
und loesche alles, nur dass 127.0.0.1 Lokalhost beibt !

normal neustarten

Lade das Tool
http://www.wilderssecurity.com/showpost.php?p=199716&postcount=27
Klicke die einzelnen Prozesse an , bist du die Dll gefunden hast.
Dann klicke die dll an und es erscheint ein kleines Fenster...<unload<
#Loesche
C:\WINNT\system32FFFFFFFF.dll
C:\WINNT\lbbho.dll


#Lade mwav.exe
http://www.mwti.net/antivirus/free_utilities.asp
#Lade den Stinger
http://vil.nai.com/vil/stinger/
#Lade AdAware free...updaten vor dem Scannen !!! und Spybot von dieser Site
http://www.rokop-security.de/main/article.php?sid=703
#lade Spysweeper free
http://www.spysweeper.com/
#Lade SP
http://www.rokop-security.de/main/article.php?sid=746
Lade ClearProg und loesche die TemporaryInternetFiles und die Cookies
http://www.clearprog.de/

Dann stelle unter <InternetOptionen eine neue Startseite ein< und poste das Log noch mal.
Sabina
;)


Entferne den Dialer manuell:
http://www.pestpatrol.com/PestInfo/b/btv_dialer.asp
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 08.07.2004 um 16:59 Uhr von Sabina editiert.
Seitenanfang Seitenende
08.07.2004, 16:48
paff
Member

Beiträge: 1095
#97

Zitat

rwischt postete

doofe frage aber was heißt fixe ? = löschen
mfg
Fixen heißt : In HiJackThis Eintrag ankreuzen und dann "Fix Checked" drücken

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
08.07.2004, 16:49
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#98 Paff,
Da haben wir die Arbeit fast gleichzeitig gemacht.... ;)
Gruss
Sabina
;)
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 08.07.2004 um 17:49 Uhr von Sabina editiert.
Seitenanfang Seitenende
08.07.2004, 18:41
rwischt
...neu hier

Beiträge: 7
#99 Hi !

danke erstmal für eure doppelte arbeit habe jetzt erstmal die lösung von "paff"
ausgeführt.

sieht so aus als wenn es funktioniert !

hier das neue logfile:

Logfile of HijackThis v1.98.0
Scan saved at 18:39:07, on 08.07.2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\Programme\WinRamTurbo XP\WinRamTurboXP.exe
C:\Programme\PTBSync\PTBSync.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\ctfmon.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Okidata\OKI LPR Utility\okilpr.exe
C:\Programme\Nokia\PC Suite für den Nokia 9210i Communicator\ECTaskScheduler.exe
C:\PROGRA~1\Nokia\PCSUIT~1\BROADC~1.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\user\Eigene Dateien\DOMINIK_ARNOLD\technomage\DIENSTAG_25\dayafter\CONTEST\MITTWOCH23\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.achtermai.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\winnt\downloaded program files\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\winnt\downloaded program files\googletoolbar2.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [WinRamTurbo] C:\Programme\WinRamTurbo XP\WinRamTurboXP.exe
O4 - HKLM\..\Run: [PTBSync] C:\Programme\PTBSync\PTBSync.exe /Start
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [mwavscan] "C:\Dokumente und Einstellungen\user\Eigene Dateien\DOMINIK_ARNOLD\technomage\DIENSTAG_25\dayafter\CONTEST\mwavscan.com" /s
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: OKI LPR Utility.lnk = C:\Programme\Okidata\OKI LPR Utility\okilpr.exe
O4 - Global Startup: PC Suite für den Nokia 9210i Communicator Aufgabenplaner.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://c:\winnt\downloaded program files\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\winnt\downloaded program files\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\winnt\downloaded program files\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
O8 - Extra context menu item: Si&milar Pages - res://c:\winnt\downloaded program files\GoogleToolbar1.dll/cmsimilar.html
O16 - DPF: {05317530-B882-449D-9421-18D94FA3ED34} (OSInfo Control) - http://www.sis.com/support/chipdetect/OSInfo.cab
O16 - DPF: {16095503-786F-4097-AED6-5D567A26D760} (SiS_OCX Control) - http://www.sis.com/support/chipdetect/SiSAutodetectNT.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-9.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F795473A-9A01-4A0A-9D69-14820A12BCE2}: NameServer = 213.187.64.1
O18 - Protocol: start - {53B95211-7D77-11D2-9F81-00104B107C96} - C:\WINNT\system32FFFFFFFF.dll

vielen vielen dank !
Seitenanfang Seitenende
08.07.2004, 18:52
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#100 Fixe

O18 - Protocol: start - {53B95211-7D77-11D2-9F81-00104B107C96} - C:\WINNT\system32FFFFFFFF.dll

neustarten

##gehe in
C:\WINDOWS\SYSTEM32\DRIVERS\ETC
oeffne mit dem Notepad
und loesche alles, nur dass 127.0.0.1 Lokalhost beibt !

#Loesche
C:\WINNT\system32FFFFFFFF.dll


dieser Eintrag darf dann nicht mehr im Log erscheinen.
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 08.07.2004 um 18:54 Uhr von Sabina editiert.
Seitenanfang Seitenende
08.07.2004, 19:03
raman
Moderator

Beiträge: 7805
#101 SChicke die Datei vorher bitte an virus@protecus.de , oder teste sie mal hier:
http://www.kaspersky.com/scanforvirus
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
08.07.2004, 19:25
rwischt
...neu hier

Beiträge: 7
#102 HI !

neues logfile:

Logfile of HijackThis v1.98.0
Scan saved at 19:21:54, on 08.07.2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\Programme\WinRamTurbo XP\WinRamTurboXP.exe
C:\Programme\PTBSync\PTBSync.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\ctfmon.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Okidata\OKI LPR Utility\okilpr.exe
C:\Programme\Nokia\PC Suite für den Nokia 9210i Communicator\ECTaskScheduler.exe
C:\PROGRA~1\Nokia\PCSUIT~1\BROADC~1.EXE
C:\Dokumente und Einstellungen\user\Eigene Dateien\DOMINIK_ARNOLD\technomage\DIENSTAG_25\dayafter\CONTEST\MITTWOCH23\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.achtermai.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\winnt\downloaded program files\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\winnt\downloaded program files\googletoolbar2.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [WinRamTurbo] C:\Programme\WinRamTurbo XP\WinRamTurboXP.exe
O4 - HKLM\..\Run: [PTBSync] C:\Programme\PTBSync\PTBSync.exe /Start
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [mwavscan] "C:\Dokumente und Einstellungen\user\Eigene Dateien\DOMINIK_ARNOLD\technomage\DIENSTAG_25\dayafter\CONTEST\mwavscan.com" /s
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: OKI LPR Utility.lnk = C:\Programme\Okidata\OKI LPR Utility\okilpr.exe
O4 - Global Startup: PC Suite für den Nokia 9210i Communicator Aufgabenplaner.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://c:\winnt\downloaded program files\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\winnt\downloaded program files\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\winnt\downloaded program files\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
O8 - Extra context menu item: Si&milar Pages - res://c:\winnt\downloaded program files\GoogleToolbar1.dll/cmsimilar.html
O16 - DPF: {05317530-B882-449D-9421-18D94FA3ED34} (OSInfo Control) - http://www.sis.com/support/chipdetect/OSInfo.cab
O16 - DPF: {16095503-786F-4097-AED6-5D567A26D760} (SiS_OCX Control) - http://www.sis.com/support/chipdetect/SiSAutodetectNT.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-9.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F795473A-9A01-4A0A-9D69-14820A12BCE2}: NameServer = 213.187.64.1
O18 - Protocol: start - {53B95211-7D77-11D2-9F81-00104B107C96} - C:\WINNT\system32FFFFFFFF.dll

es löscht den letzten eintrag nicht !

die system32FFFFFFFF.dll ist aber gelöscht.

???
Seitenanfang Seitenende
08.07.2004, 19:29
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#103 1)SChicke die Datei vorher bitte an virus@protecus.de , oder teste sie mal hier:
http://www.kaspersky.com/scanforvirus
Schreibe, was Kaspersky zu der dll gemeint hat ,)
Je nachdem, wenn Kaspersky die dll als <bad< einstuft::::

Fixe
O18 - Protocol: start - {53B95211-7D77-11D2-9F81-00104B107C96} - C:\WINNT\system32FFFFFFFF.dll

neustarten und in den abgesicherten Modus gehen
http://www.bsi.de/av/texte/winsave.htm

Loesche die dll

neustarten

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 08.07.2004 um 19:32 Uhr von Sabina editiert.
Seitenanfang Seitenende
08.07.2004, 19:36
rwischt
...neu hier

Beiträge: 7
#104 ???

die dll. ist gelöscht zumindestens sehe ich sie im ordner wnnt.... nicht mehr und denoch wird sie durch hijack erkannt ?!?!?

mfg
Seitenanfang Seitenende
08.07.2004, 20:31
raman
Moderator

Beiträge: 7805
#105 Hast du "alle Datien und Ordner anzeigen" aktiviert?
http://www.pctip.ch/helpdesk/kummerkasten/archiv/div/20766.asp
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: