CoolWebSearch!! Ich kriegs nicht weg!!!

#106 @rwischt

Such mal bitte nach
system32FFFFFFFF.dll

direkt in der registry
Start/ausführen/regedit

Schreib mal auf welche Einträge du findest

Gruß paff
@raman
Mich beschleicht so langsam das Gefühl das der HiJAckThis v1.98.0
ein bißchen buggy ist. Kann das sein oder werden die HiJacker cleverer?
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#107 Also die 1.98 *ist* etwas buggy, aber nicht so extrem, wie du es befuerchtest. Ein paar bugs wurden ja schon behoben ("F0" und "F2"), aber sie eigt manchmal Dateien mit (file missing) an, die nicht fehlen, bzw an anderer Stelle als vorhanden angezeigt werden. Auch hat es Probleme mit manchen INI Dateien, wenn nicht ein bestimmter Standardwert gefunden wird, bzw diese INI 0 Bytes hat. Aber diesen "O18" Eintrag wird es wohl geben. Bei der Datei muessen wir halt abwarten.

Uebrigens ja, Hijacker(programmierer) sind leider sehr erfinderisch....
__________
MfG Ralf
SEO-Spam Hunter

#108 hi !

ich habe zwar nicht in ansätzen eine ahnung was ich hier mache aber ich hoffe das das so richtig richtig ist !

die datei wird trotz ordnerfreigabe nicht angezeigt ist die überhaupt noch da ?



HKEY_CLASSES_ROOT\CLSID\{53B95211-7D77-11D2-9F81-00104B107C96}\InprocServer32

HKEY_CLASSES_ROOT\TypeLib\{53B95204-7D77-11D2-9F81-00104B107C96}
\1.0\0\win32

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{53B95211-7D77-11D2-9F81-00104B107C96}\InprocServer32

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{53B95204-7D77-11D2-9F81-00104B107C96}\1.0\0\win32

mfg

#109

Zitat

rwischt postete

es löscht den letzten eintrag nicht !

die system32FFFFFFFF.dll ist aber gelöscht.

???

Saudumme frage
1. Hast du die Datei jetzt gelöscht, oder war Sie nicht mehr da

2. Vielleicht steht die Datei auch im windows/system32 und heißt ffffffff.dll

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#110 Es ist moeglich, das sie weg ist. Hast du schon mal die Windowssuche genutzt? Dabei unter weitere Optionen die ersten drei Optionen anhaken und im Winnt Ordner nach system32 suchen.
__________
MfG Ralf
SEO-Spam Hunter

#111 @rwischt

Such mal nach einer Datei
msxslab.dll

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#112 hi !

bei der suche wird weder die eine noch die andere datei gefunden.

nur der ordner system32

hier nochmal das aktuelle logfile:

Logfile of HijackThis v1.98.0
Scan saved at 21:24:45, on 08.07.2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\Programme\WinRamTurbo XP\WinRamTurboXP.exe
C:\Programme\PTBSync\PTBSync.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\ctfmon.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Okidata\OKI LPR Utility\okilpr.exe
C:\Programme\Nokia\PC Suite für den Nokia 9210i Communicator\ECTaskScheduler.exe
C:\PROGRA~1\Nokia\PCSUIT~1\BROADC~1.EXE
C:\Dokumente und Einstellungen\user\Anwendungsdaten\Plaxo\1.4.2.25\InstallStub.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
C:\Dokumente und Einstellungen\user\Eigene Dateien\DOMINIK_ARNOLD\technomage\DIENSTAG_25\dayafter\CONTEST\MITTWOCH23\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.achtermai.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\winnt\downloaded program files\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\winnt\downloaded program files\googletoolbar2.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [WinRamTurbo] C:\Programme\WinRamTurbo XP\WinRamTurboXP.exe
O4 - HKLM\..\Run: [PTBSync] C:\Programme\PTBSync\PTBSync.exe /Start
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [mwavscan] "C:\Dokumente und Einstellungen\user\Eigene Dateien\DOMINIK_ARNOLD\technomage\DIENSTAG_25\dayafter\CONTEST\mwavscan.com" /s
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [PlaxoUpdate] C:\Dokumente und Einstellungen\user\Anwendungsdaten\Plaxo\1.4.2.25\InstallStub.exe -a
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: OKI LPR Utility.lnk = C:\Programme\Okidata\OKI LPR Utility\okilpr.exe
O4 - Global Startup: PC Suite für den Nokia 9210i Communicator Aufgabenplaner.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://c:\winnt\downloaded program files\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\winnt\downloaded program files\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\winnt\downloaded program files\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
O8 - Extra context menu item: Si&milar Pages - res://c:\winnt\downloaded program files\GoogleToolbar1.dll/cmsimilar.html
O16 - DPF: {05317530-B882-449D-9421-18D94FA3ED34} (OSInfo Control) - http://www.sis.com/support/chipdetect/OSInfo.cab
O16 - DPF: {16095503-786F-4097-AED6-5D567A26D760} (SiS_OCX Control) - http://www.sis.com/support/chipdetect/SiSAutodetectNT.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-9.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F795473A-9A01-4A0A-9D69-14820A12BCE2}: NameServer = 213.187.64.1
O18 - Protocol: start - {53B95211-7D77-11D2-9F81-00104B107C96} - C:\WINNT\system32FFFFFFFF.dll

und wie gesagt der IE funktioniert bis jetzt ohne zwischenfälle !

mfg

#113

Zitat

rwischt postete
und wie gesagt der IE funktioniert bis jetzt ohne zwischenfälle !
mfg

Hast du mal einen Neustart gemacht

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#114 Dann gehe einfach hin und loesche diesen Eintraege in der Registrierung per Hand:

HKEY_CLASSES_ROOT\CLSID\{53B95211-7D77-11D2-9F81-00104B107C96}
HKEY_CLASSES_ROOT\TypeLib\{53B95204-7D77-11D2-9F81-00104B107C96}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{53B95211-7D77-11D2-9F81-00104B107C96}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{53B95204-7D77-11D2-9F81-00104B107C96}

Dann sind die Eintraege im Hijackthis log verschwunden. Auch solltest du dein Windows aktualisieren.

Alles auf eigene Gefahr! Wenn du es dir nicht traust, lasse es und loesche nur die direkten Eintraege, in denen der Dateiname vor kommt.
__________
MfG Ralf
SEO-Spam Hunter

#115

Zitat

raman postete
Dann gehe einfach hin und loesche diesen Eintraege in der Registrierung per Hand:

HKEY_CLASSES_ROOT\CLSID\{53B95211-7D77-11D2-9F81-00104B107C96}
HKEY_CLASSES_ROOT\TypeLib\{53B95204-7D77-11D2-9F81-00104B107C96}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{53B95211-7D77-11D2-9F81-00104B107C96}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{53B95204-7D77-11D2-9F81-00104B107C96}

Dann sind die Eintraege im Hijackthis log verschwunden. Auch solltest du dein Windows aktualisieren.

Alles auf eigene Gefahr! Wenn du es dir nicht traust, lasse es und loesche nur die direkten Eintraege, in denen der Dateiname vor kommt.

Wollt ich auch vorschlagen
Aber interessanter wäre es , die Einträge jeweils einzeln zu löschen und zu schauen wann der EIntrag in HiJackThis weg ist.

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#116 Ich hab mal ne andere Frage, da ich ja Hijacker-frei bin!!!! Juhu!!!!!!
Irgendwo hab ich gelesen, wie man folgendes Phänomen lösen kann,habs aber vergessen! Und zwar: warum zeigt mein Temperorary Internet Files Ordner knapp 200 MB an Daten an??? Ich seh da nichts und versteckt sind die Dinger auch nicht!!!


Schöne Nacht noch!!n ;-)
__________
"Welch dreiste Epoche, in der es leichter ist Atome zu spalten,als Vorurteile!"
[Albert Einstein]

#117 @dreiD

Einfach im IE auf Extras gehen, dann Internetoptionen
dann "Dateien löschen".

Das für alle Benutzer auf dem Rechner machen.

Dann kannst du unter Einstellung , mal diemax Größe der temp-Internetfiles auf 30-40 MB reduzieren.
Reicht völlig

Zitat

da ich ja Hijacker-frei bin!!!! Juhu!!!!!!

SO nun der beste Tip von allen
Vergiß den IE nimm Opera oder Firefox als Browser
Dann hättest Du nie ein HiJacker gehab.

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#118 @dreiD

http://www.clearprog.de/
http://www.shtools.de/downloads.php


Du kannst ClearProg laden
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies (mit Ausschlußmöglichkeit beim IE)
- Verlauf
- Temporäre Internetfiles (Cache)
- die eingetragenen URLs
- Autovervollständigen-Einträge in Web-Formularen des IE (bisher nur Win9x/ME)
- Download-Listen des Netscape/Opera


MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#119 @paff

So wie du es gesagt hast,hatte ich es versucht,hatte nicht geklappt!
Brauche, wie Sabina es gepostet hatte,Clearprog!!

Und mein Browser ist schon lange Firefox! ;-) Ich hasse den IE!!!!
Hätte ich das früher nur beherzigt! Naja,trotzdem Danke!

@sabina

Meinst du es gibt ne Möglichkeit Flashget,meinen Lieblings-Downloadmanager,in Firefox zu integrieren?? Habs schon mit einem Plug-In versucht,hat nicht geklappt und ansonsten weiss auch niemand Bescheid!
__________
"Welch dreiste Epoche, in der es leichter ist Atome zu spalten,als Vorurteile!"
[Albert Einstein]

#120 dreiD
Suche ...*googeln*, eine Site mit Plug/Ins fuer den Firefox .
Vielleicht findest du einen fuer Flashget, der sich integrieren laesst.
Den du probiert hast, war vielleicht fuer Mozilla und hat deshalb nicht funktioniert.
Oder du surfst mit dem Mozilla,
http://mozilla.kairo.at/
es muss ja nicht unbedingt der Firefox sein...oder mit Opera, je nachdem, wo sich ein Plug/In intergrieren laesst.

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit