smartsearch als Startseite und keine Ahnung von "Hijackthis"

#0
28.06.2004, 20:05
...neu hier

Themenstarter

Beiträge: 4
#16 Vielen Dank es funktioniert zum wieder: die lästige startseite ist weg, aber hier noch mal das Log:

Logfile of HijackThis v1.97.7
Scan saved at 20:03:45, on 28.06.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
G:\Programme\AntiVir XP\AVGUARD.EXE
G:\Programme\AntiVir XP\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\Programme\Browser MOUSE\mouse32a.exe
F:\Battlefield Vietnam\AceGain LiveUpdate\LiveUpdate.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
G:\Programme\Musicmatch Jukebox\mm_tray.exe
G:\Programme\Musicmatch Jukebox\mm_server.exe
G:\Programme\AntiVir XP\AVGNT.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\ahead\InCD\InCD.exe
G:\Programme\CloneCD\CloneCDTray.exe
C:\Program Files\Altnet\Points Manager\Points Manager.exe
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
G:\Programme\Spybot - Search & Destroy\TeaTimer.exe
G:\Programme\Musicmatch Jukebox\MMDiag.exe
F:\Battlefield Vietnam\AceGain LiveUpdate\aceagent.exe
C:\PROGRA~2\Altnet\DOWNLO~1\asm.exe
G:\Trillian\trillian.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Mischi\Desktop\Diverses\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.shdplanet.de.vu/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Browser MOUSE\mouse32a.exe
O4 - HKLM\..\Run: [AceGain LiveUpdate] F:\Battlefield Vietnam\AceGain LiveUpdate\LiveUpdate.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [MMTray] G:\Programme\Musicmatch Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [mm_server] G:\Programme\Musicmatch Jukebox\mm_server.exe
O4 - HKLM\..\Run: [AVGCtrl] G:\Programme\AntiVir XP\AVGNT.EXE /min
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [CloneCDTray] "G:\Programme\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [AltnetPointsManager] C:\Program Files\Altnet\Points Manager\Points Manager.exe -s
O4 - HKLM\..\Run: [KAZAA] G:\Programme\Kazaa\kazaa.exe /SYSTRAY
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] G:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] G:\ICQ\ICQ-Lite\ICQLite.exe -trayboot
O8 - Extra context menu item: Download with Go!Zilla - file://G:\PROGRA~2\GO!ZILLA\download-with-gozilla.html
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {2DAE59A1-B355-4653-8D33-33A3A8F8C078} (MaxisVacationTeleX Control) - http://thesims.ea.com/teleport/vacation/MaxisVacationTeleX.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38117.1866550926
O16 - DPF: {A44B714B-EE0F-453E-9300-A69B321FEF6C} (MaxisSimsFamilyTeleX Control) - http://thesims.ea.com/teleport/families/MaxisSimsFamilyTeleX.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Nochmal vielen Dank...
MfG Tek.Ger
Seitenanfang Seitenende
29.06.2004, 10:18
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#17 Tek.Ger

Lade eine Firewall..Sygate free
http://smb.sygate.com/products/spf_standard.htm

Diminuiere die Autostarteintraege ...es sind viel zu viele.
Deinstalliere den P2P..ist ein Sicherheitsrisiko...

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [CloneCDTray] "G:\Programme\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [AltnetPointsManager] C:\Program Files\Altnet\Points Manager\Points Manager.exe -s
O4 - HKLM\..\Run: [KAZAA] G:\Programme\Kazaa\kazaa.exe /SYSTRAY
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup


MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 29.06.2004 um 10:18 Uhr von Sabina editiert.
Seitenanfang Seitenende
14.09.2004, 23:30
...neu hier

Beiträge: 4
#18 Verehrtes Forum!

leider wurde auch mein notebook von smartsearch befallen, die startseite ist nicht mehr abzuändern, diverse antivirenprogramme konnten nicht helfen...

Vielleicht kann jemand von Euch mein logfile (s.u.) durchsehen und mir sagen welche Schritte ich einleiten muss, um diese widerliche sw wieder loszuwerden!

Ein herzliches Dankeschön im voraus!!!



Logfile of HijackThis v1.98.2
Scan saved at 23:16:35, on 14.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
C:\Programme\Gemeinsame Dateien\Nokia\Tools\NclTray.exe
C:\Programme\Esel2000\Esel2000.exe
C:\Programme\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
C:\PROGRA~1\Nokia\NOKIAP~1\COMPON~1\PHONEB~1\NOKIAV~1.EXE
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Tadellos\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis_198.zip\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.gericom.com
O1 - Hosts: 213.159.117.235 auto.search.msn.com
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\Tools\NclTray.exe
O4 - HKLM\..\Run: [Esel2000] "C:\Programme\Esel2000\Esel2000.exe" -t
O4 - HKCU\..\Run: [InstantTray] C:\Programme\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
O4 - HKCU\..\Run: [IW_Drop_Icon] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe /DropDisc
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [monitor] monitor.exe
O4 - Global Startup: AOL 8.0 Tray-Symbol.lnk = C:\Programme\AOL 8.0\aoltray.exe
O4 - Global Startup: Bootvis.lnk = C:\Dokumente und Einstellungen\All Users\Desktop\Bootvis_Sleep.exe
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Bild in &Microsoft PhotoDraw öffnen - res://C:\PROGRA~1\MICROS~2\Office\1031\phdintl.dll/phdContext.htm
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.gericom.com
O16 - DPF: {AABB591F-CEB3-404A-A979-AA30B16CB914} (IPLabs Image Uploader 2.5) - http://asp05.photoprintit.de/microsite/defaults/activex/ImageUploader2.cab
O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F81-00104B107C96}
O18 - Protocol: start - {53B95211-7D77-11D2-9F81-00104B107C96} - C:\WINDOWS\System32\msxword.dll
Seitenanfang Seitenende
15.09.2004, 00:31
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#19 Hallo @tadelinho

Fixe
O1 - Hosts: 213.159.117.235 auto.search.msn.com
O4 - HKCU\..\Run: [monitor] monitor.exe
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O18 - Protocol: start - {53B95211-7D77-11D2-9F81-00104B107C96} - C:\WINDOWS\System32\msxword.dll

neustarten


#Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"

1.Loesche

<monitor.exe
<C:\WINDOWS\System32\msxword.dll (falls der Explorer abstuerzt beim Loeschen, loesche erst und dann o.k. fuer "der Explorer schliesst wegen Fehler" bestaetigen.

<und leere das Cache von Java

<Leere folgende Ordner:

C:\Dokumente und Einstellungen\Default User\Cookies\*.*
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temp\*.*
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\*.*
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\*.*
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Verlauf\*.*
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Verlauf\History.IE5\*.*

2.gehe in die HOSTS
die Host-Datei: in c:\Windows\System32\drivers\etc\hosts
(oeffne mit Editor) und loesche:
213.159.117.235 auto.search.msn.com

ODER:
Download the Hoster from here: http://members.aol.com/toadbee/hoster.zip
Press 'Restore Original Hosts' and press 'OK'
Exit Program.


3.Das eScan AV Toolkit (mwav.exe) herunterladen, die Datei in den Ordner "c:\bases" (wichtig !) entpacken und danach die "kavupd.exe" (Update) ausführen.
Abgesicherter Modus
http://www.bsi.de/av/texte/winsave.htm
und den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan clean" klicken.
http://www.mwti.net/antivirus/free_utilities.asp

Poste danach Virus Log Information. und das neue Log vom HijackThis posten.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 15.09.2004 um 13:30 Uhr von Sabina editiert.
Seitenanfang Seitenende
15.09.2004, 11:43
...neu hier

Beiträge: 4
#20 Hallo Sabina!

ich kann nur sagen: A B S O L U T P H Ä N O M E N A L !!!!

Vielen Dank für die prompte und durchdachte Hilfe, es hat voll hingehauen! Auf dem anstehenden Oktoberfest werde ich erstmal eine Maß auf Dich trinken...

Hier noch das neue Log von Hijack:

Logfile of HijackThis v1.98.2
Scan saved at 11:39:01, on 15.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
C:\Programme\Gemeinsame Dateien\Nokia\Tools\NclTray.exe
C:\Programme\Esel2000\Esel2000.exe
C:\Programme\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Tadellos\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis_198.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.gericom.com
O1 - Hosts: 213.159.117.235 auto.search.msn.com
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\Tools\NclTray.exe
O4 - HKLM\..\Run: [Esel2000] "C:\Programme\Esel2000\Esel2000.exe" -t
O4 - HKCU\..\Run: [InstantTray] C:\Programme\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
O4 - HKCU\..\Run: [IW_Drop_Icon] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe /DropDisc
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: AOL 8.0 Tray-Symbol.lnk = C:\Programme\AOL 8.0\aoltray.exe
O4 - Global Startup: Bootvis.lnk = C:\Dokumente und Einstellungen\All Users\Desktop\Bootvis_Sleep.exe
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Bild in &Microsoft PhotoDraw öffnen - res://C:\PROGRA~1\MICROS~2\Office\1031\phdintl.dll/phdContext.htm
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.gericom.com
O16 - DPF: {AABB591F-CEB3-404A-A979-AA30B16CB914} (IPLabs Image Uploader 2.5) - http://asp05.photoprintit.de/microsite/defaults/activex/ImageUploader2.cab
O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F81-00104B107C96}
O18 - Protocol: start - {53B95211-7D77-11D2-9F81-00104B107C96} - C:\WINDOWS\System32\msxword.dll (file missing)

Leider schaffe ich es nicht die Virus Log Info einzeln rauszuziehen, ich habe nur die gesamten Infos aus dem Virusscan gespeichert, das sind aber fast 7 MB, deswegen nicht zu posten! Wenn Du mir sagen kannst, wie ich die gefundenen Vireninfos posten kann, tu ich das gerne (waren 12 Stück oder so)

Daweil nochmals vielen Dank!

tadelinho
Seitenanfang Seitenende
15.09.2004, 13:27
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#21 Hallo@tadelinho

Das Log ist noch nicht sauber, der Trojaner <Trojan.Bookmarker.F <ist noch drauf...

Fixe:
O1 - Hosts: 213.159.117.235 auto.search.msn.com
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F81-00104B107C96}
O18 - Protocol: start - {53B95211-7D77-11D2-9F81-00104B107C96} - C:\WINDOWS\System32\msxword.dll (file missing)

neustarten


1.Gehe in die Registry
Start<Ausfuehren<regedit

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{53B95211-7D77-11D2-9F81-00104B107C96}
In dem Schlüssel "InprocServer32" , welche Datei wird dort angegeben!
Ist wahrscheinlich eine Datei namens "msxword.dll"
in dem Fall loesche diesen CLSID-Eintrag

und diese hier;)rechts in der Registry diese Eintraege loeschen:

<HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{53B95211-7D77-11D2-9F81-00104B107C96}
<HKEY_LOCAL_MACHINE\TypeLib\{53B95204-7D77-11D2-9F80-00104B107C96}
<HKEY_CLASSES_ROOT\Interface\{53B95210-7D77-11D2-9F80-00104B107C96}
<HKEY_CLASSES_ROOT\Xmlmimefilter.XMLMimeFilterPP.1
<HKEY_CLASSES_ROOT\CLSID\{53B95211-7D77-11D2-9F80-00104B107C96}
<HKEY_CLASSES_ROOT\PROTOCOLS\Handler\about\"CLSID" = "{53B95211-7D77-11D2-9F80-00104B107C96}"
<HKEY_CLASSES_ROOT\CLSID\{21FFB6C0-0DA1-11D5-A9D5-00500413153C}
<HKEY_LOCAL_MACHINE\SOFTWARE\Gator.com
<HKEY_CLASSES_ROOT\PROTOCOLS\Handlers\start<{53B95211-7D77-11D2-9F80-00104B107C96}
schliesse die Registry und neustarten

2.Loesche;)alles, was du findest;)

<C:\Programme\Gemeinsame Dateien\GMT\GMT.exe (Trojaner)
<C:\Programme\Gemeinsame Dateien\CMESys.exe
<fsg_4201<alphabetic letter>.exe
zum Beispiel: fsg_4201a.exe oder fsg_4201y.exe.
<Hz.exe
<wmscrop.exe.

Start<Ausfuehren< (kopiere rein)
regsvr32 /u [systemroot]\msxword.dll
regsvr32 /u c:\system32\msxword.dll

NEUSTARTEN und <msxword.dll< loeschen
.............................................................................................................

3.HOSTS
die Host-Datei: in c:\Windows\System32\drivers\etc\hosts
Im Normalfall sollte dass hier drin stehen, alles andere loeschen
127.0.0.1 localhost

in dem Ordner ETC finderst du vermutlich 5 Dateien, alle ohne Dateiendung. Die Datei hosts klickst du mit der rechten Maustaste an und wählst Öffnen... Es öffnet sich ein Fenster, dort selektierst du die Option "Programm aus einer Liste auswählen". In der Liste suchst du nach "Editor" und wählst den Eintrag aus. Nun öffnet sich der Texteditor in dem du die Änderungen vornehmen kannst.

loesche:
213.159.117.235.
und schliesse den Editor und <save<

4.Scanne noch mal mit der mwav.exe
(Virenlog aus "Viewer"vom Scanner speichern und dann abkopieren:
was als <deleted< und <renamed< und <no action taken< gefunden wurde und das neue Log vom HijackThis noch mal posten.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 16.09.2004 um 00:31 Uhr von Sabina editiert.
Seitenanfang Seitenende
15.09.2004, 15:46
...neu hier

Beiträge: 4
#22 Hallo @Sabina,

also der mwav.exe scan hat nur noch folgendes gefunden:

File C:\Dokumente und Einstellungen\Tadellos\Eigene Dateien\Allgemeines\DivXPro502GAINBundle.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.


und der neue log von hijack this lautet:

Logfile of HijackThis v1.97.7
Scan saved at 15:45:44, on 15.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
C:\Programme\Gemeinsame Dateien\Nokia\Tools\NclTray.exe
C:\Programme\Esel2000\Esel2000.exe
C:\Programme\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
C:\Programme\Messenger\msmsgs.exe
C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe
C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
C:\DOKUME~1\Tadellos\LOKALE~1\Temp\mwavscan.com
C:\DOKUME~1\Tadellos\LOKALE~1\Temp\kavss.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\AntiVirusToolKits\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.gericom.com
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\Tools\NclTray.exe
O4 - HKLM\..\Run: [Esel2000] "C:\Programme\Esel2000\Esel2000.exe" -t
O4 - HKCU\..\Run: [InstantTray] C:\Programme\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
O4 - HKCU\..\Run: [IW_Drop_Icon] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe /DropDisc
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: AOL 8.0 Tray-Symbol.lnk = C:\Programme\AOL 8.0\aoltray.exe
O4 - Global Startup: Bootvis.lnk = C:\Dokumente und Einstellungen\All Users\Desktop\Bootvis_Sleep.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Bild in &Microsoft PhotoDraw öffnen - res://C:\PROGRA~1\MICROS~2\Office\1031\phdintl.dll/phdContext.htm
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.gericom.com
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38153.624837963
O16 - DPF: {AABB591F-CEB3-404A-A979-AA30B16CB914} (IPLabs Image Uploader 2.5) - http://asp05.photoprintit.de/microsite/defaults/activex/ImageUploader2.cab

Ist der Rechner jetzt wieder sauber?

Vielen Dank für Deine Bemühungen!

Beste Grüsse

tad.
Seitenanfang Seitenende
16.09.2004, 00:35
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#23 Hallo@tadelinho

Das Log ist sauber ;)

#Alternativ/Mail zum Outlook
http://www.alles-und-umsonst.de/kostenlos/email.html
#ALTERNATIVBROWSER : zum IE
<Firefox
http://firebird-browser.de/
<Opera
http://www.opera7.de/

#Wiederherstellung deaktivieren, booten und wieder aktivieren
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

#Aendere eventuell vorhandene nicht verschluesselte Passworte

#Ueberpruefe, welche Dienste du aus Sicherheitsgruenden deaktivieren kannst
Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein.
NT- Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org

Tip:
Fixe
O4 - HKLM\..\Run: [Esel2000] "C:\Programme\Esel2000\Esel2000.exe" -t
und sei vorsichtig, bei weiterer Anwendung

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 16.09.2004 um 00:36 Uhr von Sabina editiert.
Seitenanfang Seitenende
16.09.2004, 09:52
...neu hier

Beiträge: 4
#24 Hello @ Sabina,

da sag ich noch mal vielen herzlichen Dank :-)!

tadlinho
Seitenanfang Seitenende