CoolWebSearch!! Ich kriegs nicht weg!!!

#0
18.06.2004, 20:35
Member
Avatar dreiD

Beiträge: 278
#1 Hallo,

ich hab mir leider diesen doofen Trojaner oder was auch immer das is, eingefangen! Meine Startseite ist normalerweise Google, aber seit neustem *heul* steht da nur noch about:blank und so ne blöde englische Suchseite kommt zum Vorschein!! Ich hab zigmal Ad-Aware und Spybot und hijackthis laufen lassen, hab manuell in der Registry rumgemacht und ich krieg das Ding maximal für ein paar Minuten weg!!! ICh hasse diese Malware!!!Könnt ihr mir helfen???


Logfile of HijackThis v1.97.7
Scan saved at 20:22:03, on 18.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Logitech\CamDrvr\LVCOMS.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\Downloaded Program Files\eBayTBar.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\mnmsrvc.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Panda Software\Panda Antivirus Platinum\pavsrv51.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Panda Software\Panda Antivirus Platinum\pavProxy.exe
C:\Programme\FlashGet\JetCar.exe
C:\Dokumente und Einstellungen\TripleD\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\TripleD\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\TripleD\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\TripleD\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\TripleD\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\TripleD\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\TripleD\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {001F2570-5DF5-11d3-B991-00A0C9BB0874} - C:\WINDOWS\Downloaded Program Files\eBayBand.dll
O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~2.DLL (file missing)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {137B2093-E5CE-49F5-806F-54BF5E71E615} - C:\WINDOWS\System32\ibpfl.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: eBay Toolbar - {46AE04C0-BCFA-4728-90E7-00EB4A8B3863} - C:\WINDOWS\Downloaded Program Files\eBayBand.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [SCANINICIO] "C:\Programme\Panda Software\Panda Antivirus Platinum\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\CamDrvr\LVCOMS.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [YAW starten] "C:\Programme\YAW 3.5\yawguard.exe"
O4 - HKLM\..\RunOnce: [!CleanupNetMeetingDispDriver] "C:\WINDOWS\System32\rundll32.exe" msconf.dll,CleanupNetMeetingDispDriver 0
O4 - HKLM\..\RunOnce: [SpyBotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - Global Startup: eBay Toolbar.LNK = ?
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra button: Recherchieren (HKLM)
O9 - Extra button: eBay Toolbar (HKLM)
O9 - Extra 'Tools' menuitem: eBay Toolbar (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {001F2570-5DF5-11D3-B991-00A0C9BB0874} (eBay Helper Object) - http://download.ebay.com/toolbar/de/eBayTBar.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C992C36B-8A98-4EEE-A107-450555911C2D}: NameServer = 62.27.27.62 62.27.53.66

Ich muss doch nicht mein System formatieren??? Bitte nicht, mein System läuft grad so wunderbar einwandfrei und ich hab bestimmt Tage in die Pflege und Optimireung meines Systems investiert!!

Danke schon mal im Voraus!!!!!
__________
"Welch dreiste Epoche, in der es leichter ist Atome zu spalten,als Vorurteile!"
[Albert Einstein]
Dieser Beitrag wurde am 18.06.2004 um 20:39 Uhr von dreiD editiert.
Seitenanfang Seitenende
18.06.2004, 21:26
Moderator

Beiträge: 7805
#2 Versuche es auch mal so:
Lade dir von hier: http://freeatlast.100free.com/index.html die find-all.exe herunter und entpake sie nach c:\ . Dann findest du in c: ein Verzeichniss find-all, dort startest du find-all.cmd und laesst das Programm einfach scannen, danach erscheint das Ergebniss in einem Editorfenster und das postest du genau wie ein Hijackthis log hier rein.
Und teste diese DLL C:\WINDOWS\System32\ibpfl.dll hier: http://www.kaspersky.com/scanforvirus
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
18.06.2004, 21:42
Member

Themenstarter
Avatar dreiD

Beiträge: 278
#3 --==***@@@ 'FIND-ALL' »»*Original*»» VERSION *10.1 -6/10 @@@***==--

»»»»»»Find-All recent updates:»»»»»»
*Size of Windows key
*Winlogon\notify
*UserInit value
*Copy of 'hosts' file and *Loaded Modules (In \FilesList Subfolder)
*Versions of major keys and windows files
*list of active services and drivers (\'FilesList')
*Note:
If using 'Find-All' to clean, be sure to include the link to your
post in the forum!! (I keep recieving files I don't know where they came from...0-0...)
*Note: Reg backup restore will not work if current user
doesn't have 'Admin privileges'! (view »»Group/user section)


Fri Jun 18 21:41:57 2004 -- ++Results:
»»System Info:

Microsoft Windows XP [Version 5.1.2600]
'Find-All' is running from Drive:
C: "TripleD" (28D2:A5C1) - FS:NTFS clusters:4k
Total: 62 816 428 032 [59G] - Free: 54 002 544 640 [50G]


»»IE version and Service packs:
6.0.2800.1106 C:\Programme\Internet Explorer\Iexplore.exe
--a-- W32i APP DEU 6.0.2800.1106 shp 91,136 08-29-2002 iexplore.exe

! REG.EXE VERSION 2.0

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings
MinorVersion REG_SZ ;SP1;Q837009;Q832894;Q831167;

»»Google:

»»UserAgent:
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]


»»Wmplayer version:
8.0.0.4487 C:\Programme\Windows Media Player\wmplayer.exe
--a-- W32i APP ENU 8.0.0.4487 shp 520,192 08-29-2002 wmplayer.exe
6.4.9.1125 C:\Programme\Windows Media Player\mplayer2.exe
--a-- W32i APP ENU 6.4.9.1125 shp 4,639 08-29-2002 mplayer2.exe

»»M$Java version:
5.0.3810.0 C:\WINDOWS\System32\msjava.dll
--a-- W32i DLL ENU 5.0.3810.0 shp 947,472 02-28-2003 msjava.dll

»»NotePad(s) version(s):
5.1.2600.0 C:\WINDOWS\notepad.exe
--a-- W32i APP DEU 5.1.2600.0 shp 67,072 06-18-2004 notepad.exe

»» Regedit* version(s):
5.1.2600.1106 C:\WINDOWS\regedit.exe
--a-- W32i APP DEU 5.1.2600.1106 shp 141,312 08-29-2002 regedit.exe
5.1.2600.0 C:\WINDOWS\System32\regedt32.exe
--a-- W32i APP ENU 5.1.2600.0 shp 3,584 08-18-2001 regedt32.exe


»»PC uptime:
9:41pm up 0 days, 0:24

»»Locked or 'Suspect' file(s) found...
\\?\C:\WINDOWS\System32\WINHO.DLL +++ File read error
\\?\C:\WINDOWS\System32\WINHO.DLL +++ File read error

»»»»»»»»»»»»»»»»»»***Attention!***»»»»»»»»»»»»»»»»
Files listed in this section (in System32) are not always definitive!
Always Double Check and be sure the file pointed doesn't exist!

»»Tasks (services):
0 System Process
4 System
392 smss.exe
728 csrss.exe Title:
752 winlogon.exe Title: NetDDE Agent
816 services.exe Svcs: Eventlog,PlugPlay
828 lsass.exe Svcs: PolicyAgent,ProtectedStorage,SamSs
1052 svchost.exe Svcs: RpcSs
1192 svchost.exe Svcs: AudioSrv,Browser,CryptSvc,Dhcp,dmserver,EventSystem,FastUserSwitchingCompatibility,helpsvc,lanmanserver,
lanmanworkstation,Messenger,Netman,Nla,RasMan,Schedule,seclogon,SENS,SharedAccess,ShellHWDetection,srservice,TapiSrv,TermService,Themes,TrkWks,uploadmg
1336 svchost.exe Svcs: Dnscache
1396 svchost.exe Svcs: LmHosts,RemoteRegistry,SSDPSRV,WebClient
1672 explorer.exe Title: Program Manager
1800 spoolsv.exe Svcs: Spooler
1408 alg.exe Svcs: ALG
1460 CTSVCCDA.EXE Svcs: Creative Service for CDROM Access
1576 mnmsrvc.exe Svcs: mnmsrvc
1664 rundll32.exe Title:
1680 nvsvc32.exe Svcs: NVSvc
440 Pavsrv51.exe Svcs: PAVSRV
496 svchost.exe Svcs: stisvc
568 MsPMSPSv.exe Svcs: WMDM PMSP Service
636 Avengine.exe
1940 apvxdwin.exe Title: Centinel VxD
660 Pavproxy.exe
1600 CTDVDDET.exe Title: CTDVDDET
1988 CTHELPER.EXE Title: CtHelper - Apollo
244 rundll32.exe Title: MediaCenter
240 LVComS.exe Title: LVComSWnd
384 ctfmon.exe Title:
412 rundll32.exe Title: Auf aktuelle Anz. vergrößern
1840 EM_EXEC.EXE Title: Logitech GetMessage Hook
1096 IEXPLORE.EXE Title: CoolWebSearch!! Ich kriegs nicht weg!!! - Security Forum - Microsoft Internet Explorer
2352 JetCar.exe Title:
956 cmd.exe Title: C:\WINDOWS\System32\cmd.exe
3936 ntvdm.exe
3384 tlist.exe
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{00D6A7E7-4A97-456f-848A-3B75BF7554D7}]
@="NavErrRedir Class"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{137B2093-E5CE-49F5-806F-54BF5E71E615}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A5366673-E8CA-11D3-9CD9-0090271D075B}]

REGEDIT4

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter]

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\Class Install Handler]
@="AP Class Install Handler filter"
"CLSID"="{32B533BB-EDAE-11d0-BD5A-00AA00B92AF1}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\deflate]
@="AP Deflate Encoding/Decoding Filter "
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\gzip]
@="AP GZIP Encoding/Decoding Filter "
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\lzdhtml]
@="AP lzdhtml encoding/decoding Filter"
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/html]
"CLSID"="{31946841-D3A6-4714-9C55-EE0429273B78}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/plain]
"CLSID"="{31946841-D3A6-4714-9C55-EE0429273B78}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/webviewhtml]
@="WebView MIME Filter"
"CLSID"="{733AC4CB-F1A4-11d0-B951-00A0C90312E1}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/xml]
"CLSID"="{807553E5-5146-11D5-A672-00B0D022E945}"

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

»»Security settings for 'Windows' key:


RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!

Access Control List for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
(NI) ALLOW Read VORDEFINIERT\Benutzer
(IO) ALLOW Read VORDEFINIERT\Benutzer
(NI) ALLOW Read VORDEFINIERT\Hauptbenutzer
(IO) ALLOW Read VORDEFINIERT\Hauptbenutzer
(NI) ALLOW Full access VORDEFINIERT\Administratoren
(IO) ALLOW Full access VORDEFINIERT\Administratoren
(NI) ALLOW Full access NT-AUTORITŽT\SYSTEM
(IO) ALLOW Full access NT-AUTORITŽT\SYSTEM
(NI) ALLOW Full access VORDEFINIERT\Administratoren
(IO) ALLOW Full access ERSTELLER-BESITZER

Effective permissions for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
Read VORDEFINIERT\Benutzer
Read VORDEFINIERT\Hauptbenutzer
Full access VORDEFINIERT\Administratoren
Full access NT-AUTORITŽT\SYSTEM




»»Size of 'Windows' key: (Default-450;No'AppInit'-398;*Fake-~448+!)
Size of HKEY_LOCAL_MACHINE\software\microsoft\Windows NT\CurrentVersion\Windows: 448

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\win.ini\Windows\SYS:Microsoft\Windows NT\CurrentVersion\Windows : AppInit_DLLs
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\ : AppInit_DLLs

»»Winlogon\notify:

! REG.EXE VERSION 2.0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon
Size of HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify: 5016

»»UserInit value:

! REG.EXE VERSION 2.0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit REG_SZ C:\WINDOWS\system32\userinit.exe,

5.1.2600.1106 C:\WINDOWS\System32\userinit.exe
--a-- W32i APP DEU 5.1.2600.1106 shp 22,528 08-29-2002 userinit.exe

»»Group/user settings:


User: [MONSTAMACHINE\TripleD], is a member of:

VORDEFINIERT\Administratoren
\Everyone

User is a member of group MONSTAMACHINE\Kein.
User is a member of group \Jeder.
User is a member of group VORDEFINIERT\Administratoren.
User is a member of group VORDEFINIERT\Benutzer.
User is a member of group \LOKAL.
User is a member of group NT-AUTORITÄT\INTERAKTIV.
User is a member of group NT-AUTORITÄT\Authentifizierte Benutzer.

»»ACLs list:

»»File(s) in 'junkxxx' folder:

»»Md5sums

»»hosts file:
R C:\WINDOWS\System32\Drivers\etc\hosts
-r--- - - - - - 812 05-25-2004 hosts
------
»»Rehash:

»Strings found:

Fri Jun 18 21:42:07 2004 -- ++Find-All backups:
A C:\FindallwinBackup.hiv
--a-- - - - - - 8,192 06-18-2004 findallwinbackup.hiv
A C:\findallappinit.reg
--a-- - - - - - 632 06-18-2004 findallappinit.reg
A C:\Find-All\Find-All\winBackup.hiv
A C:\Find-All\Find-All\Fileslist\copyhosts.txt
A C:\Find-All\Find-All\Fileslist\drivers.txt
A C:\Find-All\Find-All\Fileslist\modules.txt
A C:\Find-All\Find-All\Fileslist\services.txt
A C:\Find-All\Find-All\Fileslist\windows.txt

***Next Registry run should open this key directly:

! REG.EXE VERSION 2.0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\Regedit
LastKey REG_SZ My Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows


Sodele,bitte schön!! Und der Scanner hat in der DLL keinen Virus entdeckt!! Hoffe, das hilft dir trotzdem weiter!!!
__________
"Welch dreiste Epoche, in der es leichter ist Atome zu spalten,als Vorurteile!"
[Albert Einstein]
Dieser Beitrag wurde am 19.06.2004 um 13:48 Uhr von Laserpointa editiert.
Seitenanfang Seitenende
18.06.2004, 22:02
Moderator

Beiträge: 7805
#4 Dann schicke die DLL bitte an virus@protecus.de

So, dann testen wir mal, wie fit du auf der Doskonsole bist!;)

Alles was jetzt kommt auf eigene Gefahr!
Lade dir mal setacl hier herunter http://prdownloads.sourceforge.net/setacl/setacl-cmdline-2.0.2.0-binary.zip?download
Entpacke das ganze in einen Ordner. Am besten nach c:\temp
Dann gibst du ueber Start/ausfuehren mal CMD ein, drueckst Enter und befindest dich an der Doskonsole. Dort gibst du folgendes ein, am besten via kopieren/einfuegen. Am Ende jeder Zeile bitte Enter druecken:

c:\
cd\temp
SetACL.exe -on C:\WINDOWS\System32\WINHO.DLL -ot file -actn setprot -op "dacl:np;sacl:np" -actn clear -clr "dacl,sacl"
attrib -h -r -s -a C:\WINDOWS\System32\WINHO.DLL
ren C:\WINDOWS\System32\WINHO.DLL C:\WINDOWS\System32\WINHO.vir

Dann starte bitte neu, Fixe alle "R" Eintraege und diesen Eintrag:
O2 - BHO: (no name) - {137B2093-E5CE-49F5-806F-54BF5E71E615} - C:\WINDOWS\System32\ibpfl.dll

und schicke die umbenannte Datei bitte auch an virus@protecus.de.
Suche in der Registrierung nach C:\WINDOWS\System32\WINHO.DLL und C:\WINDOWS\System32\ibpfl.dll und loesche die Verweise auf diese Dateien.
__________
MfG Ralf
SEO-Spam Hunter
Dieser Beitrag wurde am 18.06.2004 um 22:04 Uhr von raman editiert.
Seitenanfang Seitenende
19.06.2004, 10:54
Member

Themenstarter
Avatar dreiD

Beiträge: 278
#5 So, ich mach grad, was du mir gepostet hast! Neue Info zwischen durch:
ich hab 2 Trojaner auf meinem System gefunden und zwar TROJAN.WIN32.HOOKER.b Und TROJANDOWNLOADER.WIN32.SMALL.hr

Welche Datei soll ich dir umbenennen und dir nochmal schicken???
In der Registry gibt es keinen Eintrag der auf die WINHO.dll und ibpfl.dll verweist!!
Da steht nur zweimal der Verweis auf eine nicht vorhandene blank.htm!!! Hatte ich auch schon zigmal gelöscht, schreibt sich genau wie der REst aber auch immer wieder neu in die Regtistry!!!

Oh mann, wer den Scheiss programmiert hat, den würd ich am liebsten mal treffen!! ;-)
__________
"Welch dreiste Epoche, in der es leichter ist Atome zu spalten,als Vorurteile!"
[Albert Einstein]
Dieser Beitrag wurde am 19.06.2004 um 11:08 Uhr von dreiD editiert.
Seitenanfang Seitenende
19.06.2004, 11:10
Moderator

Beiträge: 7805
#6 Wer hat die gefunden? Panda wohl nicht!? Wenn du an die C:\WINDOWS\System32\WINHO.DLL herankommst, bitte her damit!;)
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
19.06.2004, 11:44
Member

Themenstarter
Avatar dreiD

Beiträge: 278
#7 Ne,Panda nicht! Kaspersky!! Und ne WINHO.dll hab ich nicht auf meinem System!! Ich hoffe dir geht dein Latein jetzt nicht aus!oder?? Ich will nicht formatieren!! Wie kann der Schei... so hartnäckig sein!Unglaublich!!!Obwohl mein IE doch alle Sicherheitspatches hat!!Soll ich jetzt lieber auf Mozilla oder so umsteigen??
__________
"Welch dreiste Epoche, in der es leichter ist Atome zu spalten,als Vorurteile!"
[Albert Einstein]
Seitenanfang Seitenende
19.06.2004, 12:57
Moderator

Beiträge: 7805
#8 Nein, die Frage ist den Aufwand, den du bereit bist auf dich zu nehmen!;)
Wenn du das in der Doskonsole gemacht hast, was gab es da denn fuer Rueckmeldungen von den Programmen?

Um die versteckte DLL zu sehen, kannst du auch eine BART WinPE cd erstellen. Zu bekommen ist es hier: http://www.nu2.nu/pebuilder/
ausserdem brauchst du noch eine Winxp SR1 CD dafuer.

Deutsche Anleitung: http://www.patrikhinz.de/ (PEBuilder Doku)
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
19.06.2004, 12:59
Moderator

Beiträge: 7805
#9 Anderer Deutscher Link zu pebuilder:
http://pcfreaks.big-clan.net/bartpe/pebuilder.htm
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
19.06.2004, 13:38
Member

Themenstarter
Avatar dreiD

Beiträge: 278
#10 Klar, bin ich bereit den Aufwand auf mich zu nehmen,will schließlich keinen blöden Trojaner mehr auf meinem Rechner!!! Ausserdem lern ich dann dazu!!! Wird aber etwas Zeit in Anspruch nehmen,möchte mich richtig einarbeiten!!


Dos hat die Datein nicht finden können... stand immer nur, dass diese und jene Datei nicht vorhanden ist!!!

Ok,die PEBuilder CD werd ich mir erstellen, aber woher krieg ich die XP SR1 CD??? Hab mir das doch aus dem Netz gezogen!!

Wie gehts dann weiter???
__________
"Welch dreiste Epoche, in der es leichter ist Atome zu spalten,als Vorurteile!"
[Albert Einstein]
Seitenanfang Seitenende
19.06.2004, 13:44
Moderator

Beiträge: 7805
#11 Na,swas "boeses" macht man aber nicht! ;) Ich weiss nur, du brauchst eine, sonst geht es nicht home oder Professional ist egal.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
19.06.2004, 20:40
Member

Themenstarter
Avatar dreiD

Beiträge: 278
#12 Wieso böse??? Mit Microsoft Update!!! Nicht illegal!!! Oder verwechsel ich hier was?? Ich meinte jetzt das Service Pack 1!! Das gibts doch nur im Internet!!! Oder was meinst du mit SR1 CD?? Die ganz normale Windoof-CD?? Die hab ich!!
__________
"Welch dreiste Epoche, in der es leichter ist Atome zu spalten,als Vorurteile!"
[Albert Einstein]
Seitenanfang Seitenende
19.06.2004, 20:53
Moderator

Beiträge: 7805
#13 ;) Tschuldige, mein (gedanklicher) Fehler.

Wie du dir eine WindowsXP1 CD erstellen kannst, erfaehrst du hier:
http://www.pc-technik.ch/anleitungen.htm
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
19.06.2004, 20:59
Member

Themenstarter
Avatar dreiD

Beiträge: 278
#14 So eine CD hab ich schon!! Ich find sie grad nur nicht!!! Verdammt!!! Ich werd mal suchen gehen!! Ich kann jetzt auch niemanden fragen,keiner zuhause!!!
Aber du kannst mir ja schon mal erklären, was ich dann zu tun hab!! Mit PeBuilder start ich mein Windoof und kann dann die WINHO.dll löschen?? Ist dann das Problem behoben???
__________
"Welch dreiste Epoche, in der es leichter ist Atome zu spalten,als Vorurteile!"
[Albert Einstein]
Seitenanfang Seitenende
19.06.2004, 21:12
Moderator

Beiträge: 7805
#15 Fast, aber du bist die DLL los, die die DLL "droppt" die du imHijackthis unter "O2" findest und deine Startseite veraendert.
Mit PEbuilder erstellst du eine art Mini Windowsxp auf CD. Sollte eigentlich bei keinem (XP/2000)Rechner fehlen.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: