Home Search Startseite ..bekomme es nicht bereinigt.. |
||
---|---|---|
#0
| ||
12.07.2004, 09:40
Moderator
Beiträge: 7805 |
||
|
||
12.07.2004, 09:45
Ehrenmitglied
Beiträge: 29434 |
#62
@raman
ist das korrekt ? vrus@rokop-security.de Gruss Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
17.07.2004, 15:01
...neu hier
Beiträge: 2 |
#63
Hallo!
Habe auch das Problem mit dem Home Search Assistant. Zusätzlich hinzu kommen noch Search Extender und Shopping Wizard. Ich habe schon alle Tips ausprobiert,die vorher besprochen wurden. Meine Internetexplorer Startseite lautet jedesmal: res://cwulc.dll/url_error.html Zu sehen ist dann ein sogenanntes Windows Help Center und darunter sind popular websites aufgelistet. Hier meine Log File: Logfile of HijackThis v1.98.0 Scan saved at 15:01:42, on 17.07.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\javaoc.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\Mixer.exe C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe C:\Programme\QuickTime\qttask.exe C:\windows\system32\winexplor.exe C:\WINDOWS\System32\NDrv.exe C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\WINDOWS\sysof32.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchAssistant = , R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = , R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://cwulc.dll/url_error.html#web.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von 1 & 1 Internet AG R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.btx.dtag.de:80;ftp=ftp-proxy.btx.dtag.de:80 R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {A8EAA16E-24CD-ADE3-F174-26ECDFA3DA2F} - C:\WINDOWS\system32\crqm32.dll (file missing) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [WorksFUD] c:\Programme\Microsoft Works\wkfud.exe O4 - HKLM\..\Run: [Microsoft Works Portfolio] c:\Programme\Microsoft Works\WksSb.exe /AllUsers O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay O4 - HKLM\..\Run: [ElbyCheckAnyDVD] "C:\Programme\SlySoft\AnyDVD\ElbyCheck.exe" /L AnyDVD O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [mysoft] C:\windows\system32\winexplor.exe O4 - HKCU\..\Run: [Router-Monitor] C:\Programme\BarrMon\BarrMon.exe "NoSound" O4 - HKCU\..\Run: [SpyKiller] C:\Programme\SpyKiller\spykiller.exe /startup O4 - HKCU\..\Run: [NDrv] C:\WINDOWS\System32\NDrv.exe O4 - Global Startup: D-Link AirPlus.lnk = ? O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL O13 - DefaultPrefix: http://www.microsoit.com/direct.php?url= O13 - WWW Prefix: http://www.microsoit.com/direct.php?url= O14 - IERESET.INF: START_PAGE_URL=http://www.1und1.de/Herzlich_Willkommen/b1/ O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{E928E002-C1C2-4863-B954-679F808C83A9}: NameServer = 192.168.1.3,192.168.1.1 Ich bitte um Hilfe! (Ich bin echt am verzweifeln) Vielen Dank! Gruß Patrick |
|
|
||
17.07.2004, 15:57
Member
Beiträge: 1095 |
#64
@surffreak
geh bitte in den abgesicherten Modus Fixe bitte folgendes in HiJackThis (ankreuzen FixChecked drücken) NICHT DEN INTERNET EXPLORER ÖFFNEN!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! R1 - HKCU\Software\Microsoft\Internet Explorer,SearchAssistant = , R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = , R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://cwulc.dll/url_error.html#web.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {A8EAA16E-24CD-ADE3-F174-26ECDFA3DA2F} - C:\WINDOWS\system32\crqm32.dll (file missing) O4 - HKLM\..\Run: [mysoft] C:\windows\system32\winexplor.exe O13 - DefaultPrefix: http://www.microsoit.com/direct.php?url= O13 - WWW Prefix: http://www.microsoit.com/direct.php?url= Dann neustart machen und nochmal logfile posten. Gruß paff P.S. Schick bitte die Datei C:\windows\system32\winexplor.exe gezippt an virus@protecus.de und mike-hangover@gozomail.com Für bitte Link auf diesen Thread ein __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
17.07.2004, 17:05
...neu hier
Beiträge: 2 |
#65
@paff
Kann dir die Datei morgen erst mailen. Bin im Moment leider nicht zu Hause! Denke mal morgen Mittag gegen 15 Uhr! Ich hoffe ja so, dass mit Hilfe deiner Tips dieses verflu**e Ding endlich weg ist. Gruß surffreak Hier nun die neue Log File nach dem Fixen der aufgelisteten Sachen: Die LogFile ist aus dem "nicht abgesicherten Modus" Logfile of HijackThis v1.98.0 Scan saved at 15:07:16, on 18.07.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\Mixer.exe C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe C:\Programme\QuickTime\qttask.exe C:\WINDOWS\System32\NDrv.exe C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von 1 & 1 Internet AG R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.btx.dtag.de:80;ftp=ftp-proxy.btx.dtag.de:80 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [WorksFUD] c:\Programme\Microsoft Works\wkfud.exe O4 - HKLM\..\Run: [Microsoft Works Portfolio] c:\Programme\Microsoft Works\WksSb.exe /AllUsers O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay O4 - HKLM\..\Run: [ElbyCheckAnyDVD] "C:\Programme\SlySoft\AnyDVD\ElbyCheck.exe" /L AnyDVD O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [sysof32.exe] C:\WINDOWS\sysof32.exe O4 - HKCU\..\Run: [Router-Monitor] C:\Programme\BarrMon\BarrMon.exe "NoSound" O4 - HKCU\..\Run: [SpyKiller] C:\Programme\SpyKiller\spykiller.exe /startup O4 - HKCU\..\Run: [NDrv] C:\WINDOWS\System32\NDrv.exe O4 - Global Startup: D-Link AirPlus.lnk = ? O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL O14 - IERESET.INF: START_PAGE_URL=http://www.1und1.de/Herzlich_Willkommen/b1/ O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{E928E002-C1C2-4863-B954-679F808C83A9}: NameServer = 192.168.1.3,192.168.1.1 Gruß surffreak P.S.: Die Datei winexplor.exe habe ich nicht auf meinem Rechner ?! Dieser Beitrag wurde am 18.07.2004 um 15:12 Uhr von surffreak editiert.
|
|
|
||
18.07.2004, 18:36
Member
Beiträge: 1095 |
#66
@surffreak
FIxe mal noch den Eintrag O4 - HKLM\..\Run: [sysof32.exe] C:\WINDOWS\sysof32.exe Und such die Datei mal, wenn Sie nicht mehr da ist , ist's OK Wenn nicht einfach löschen. Scanne mal zur Sicherheit noch mit Escan http://www.rokop-security.de/board/index.php?showtopic=3867 Schreib mir bitte was er meldet. Update auch deien Virenscanner! Mach ein windowsupdate www.windowsupdate.com Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 18.07.2004 um 18:36 Uhr von paff editiert.
|
|
|
||
20.07.2004, 20:30
...neu hier
Beiträge: 6 |
#67
Hallo Ihr Lieben,
auch ich habe mir diese Home Search Seite eingefangen (und noch mehr?). Kann mir jemand bei der Beseitigung helfen? Habe schon CWShredder, Ad-aware und Spybot ausgeführt aber ohne Ergebnis. Hier mein Logfile: Logfile of HijackThis v1.98.0 Scan saved at 20:23:04, on 20.07.2004 Platform: Windows 2000 SP2 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\System32\SCardSvr.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\Ati2evxx.exe C:\Programme\Network Associates\VirusScan\Avsynmgr.exe C:\WINNT\system32\drivers\KodakCCS.exe C:\MSSQL7\binn\sqlservr.exe C:\Programme\Network Associates\VirusScan\VsStat.exe C:\Programme\Kodak\Kodak EasyShare software\bin\ptssvc.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\Programme\Network Associates\VirusScan\Vshwin32.exe C:\WINNT\System32\ScsiAccess.EXE C:\WINNT\system32\stisvc.exe C:\WINNT\SCARDS32.EXE C:\WINNT\system32\usrbridg.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\System32\mspmspsv.exe C:\WINNT\MS\SMS\CLICOMP\RemCtrl\Wuser32.exe C:\WINNT\system32\d3vu32.exe C:\Programme\Network Associates\VirusScan\Webscanx.exe C:\MSSQL7\binn\sqlagent.exe C:\WINNT\MS\SMS\clicomp\apa\Bin\smsapm32.exe C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe C:\WINNT\Explorer.EXE C:\WINNT\System32\Atiptaxx.exe C:\Programme\DELL\AccessDirect\dadapp.exe C:\WINNT\System32\PRPCUI.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Microsoft Hardware\Mouse\point32.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINNT\System32\spool\DRIVERS\W32X86\hpoopm07.exe C:\WINNT\MS\SMS\CORE\BIN\LAUNCH32.EXE C:\WINNT\system32\crpf.exe C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE C:\WINNT\MS\SMS\CLICOMP\SWDist32\bin\smsmon32.exe C:\Programme\Netscape\Netscape\Netscp.exe C:\Dokumente und Einstellungen\loescher\Desktop\Programme\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\mazwl.dll/sp.html#96676 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://mazwl.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://mazwl.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\mazwl.dll/sp.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\mazwl.dll/sp.html#96676 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://mazwl.dll/index.html#96676 R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {95768546-A94D-F477-941F-4D3B536A7407} - C:\WINNT\mfcif.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [CfgDownload] C:\IXOS-ARCHIVE\bin\CfgDownload.exe O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe O4 - HKLM\..\Run: [DadApp] C:\Programme\DELL\AccessDirect\dadapp.exe O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [SetupType] Portable O4 - HKLM\..\Run: [POINTER] point32.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [HPAIO_PrintFolderMgr] C:\WINNT\System32\spool\DRIVERS\W32X86\hpoopm07.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [SMS Application Launcher] C:\WINNT\MS\SMS\CORE\BIN\LAUNCH32.EXE O4 - HKLM\..\Run: [crpf.exe] C:\WINNT\system32\crpf.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL O16 - DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} (DataDesign DDBAC Plug-In) - https://banking.seb.de/hbci/plugin/AXFOAM.CAB O17 - HKLM\System\CCS\Services\Tcpip\..\{5878220B-480A-4C1A-858A-208642C64352}: NameServer = 192.168.120.252,192.168.120.253 O17 - HKLM\System\CCS\Services\Tcpip\..\{90EC74D8-83DE-41C2-9AAE-FF5B5201A4F9}: NameServer = 217.237.150.97 194.25.2.129 O18 - Protocol: saphtmlp - {D1F8BD1E-7967-11D2-B43A-006094B9EADB} - c:\progra~1\gemein~1\sapsha~1\system\saphtmlp.dll O18 - Protocol: sapr3 - {D1F8BD1E-7967-11D2-B43A-006094B9EADB} - c:\progra~1\gemein~1\sapsha~1\system\saphtmlp.dll O18 - Filter: application/hta - {D962EF38-5FB0-4761-8638-C86F085E25E6} - C:\WINNT\chp.dll O18 - Filter hijack: application/octet-stream - {6585E5B4-4D2A-4A1D-A219-4102C64BA999} - C:\WINNT\chp.dll Vielen Dank für eure Hilfe!! |
|
|
||
20.07.2004, 23:45
Member
Beiträge: 1095 |
#68
@laloe
Hallo und willkommen erstmal So nun zum Problem Geh mal bitte in den abgesicherten Modus von Windows 2000 http://www.bsi.de/av/texte/winsave.htm Fixe bitte folgendes in HiJackThis (ankreuzen FixChecked drücken) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\mazwl.dll/sp.html#96676 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://mazwl.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://mazwl.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\mazwl.dll/sp.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\mazwl.dll/sp.html#96676 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://mazwl.dll/index.html#96676 R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {95768546-A94D-F477-941F-4D3B536A7407} - C:\WINNT\mfcif.dll O18 - Filter: application/hta - {D962EF38-5FB0-4761-8638-C86F085E25E6} - C:\WINNT\chp.dll O18 - Filter hijack: application/octet-stream - {6585E5B4-4D2A-4A1D-A219-4102C64BA999} - C:\WINNT\chp.dll Danach neustart machen und nochmal Logfile posten Besorge dir einen Virenscanner und ein windowsupdate wäre auch gut www.freeav.de www.windowsupdate.com Gruß paff P.S. Link zur chp.dll http://www.computing.net/windowsme/wwwboard/forum/42481.html __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 20.07.2004 um 23:46 Uhr von paff editiert.
|
|
|
||
21.07.2004, 08:47
...neu hier
Beiträge: 6 |
#69
Hallo pfaff
besten Dank für deine Antwort. Also Virsenscanner habe ich runtergeladen (AV) und ausgeführt. Der hat auch einioge Trojaner gefunden. Dann bin ich in den abgesicherten Modus und habe den Virenscanner nochmal ausgeführt und auch Hijackthis und die von die genannten Punkte gefixt. Danach Neustart und hier das Logfile. Die gefixten Dateien sind aber immer noch da. Gruß laloe Logfile of HijackThis v1.98.0 Scan saved at 08:38:34, on 21.07.2004 Platform: Windows 2000 SP2 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\System32\SCardSvr.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\Ati2evxx.exe C:\Programme\Network Associates\VirusScan\Avsynmgr.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINNT\system32\drivers\KodakCCS.exe C:\MSSQL7\binn\sqlservr.exe C:\Programme\Network Associates\VirusScan\VsStat.exe C:\Programme\Kodak\Kodak EasyShare software\bin\ptssvc.exe C:\Programme\Network Associates\VirusScan\Vshwin32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\ScsiAccess.EXE C:\WINNT\system32\stisvc.exe C:\WINNT\SCARDS32.EXE C:\WINNT\system32\usrbridg.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\Programme\Network Associates\VirusScan\Webscanx.exe C:\WINNT\System32\mspmspsv.exe C:\WINNT\MS\SMS\CLICOMP\RemCtrl\Wuser32.exe C:\MSSQL7\binn\sqlagent.exe C:\WINNT\MS\SMS\clicomp\apa\Bin\smsapm32.exe C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe C:\WINNT\Explorer.EXE C:\WINNT\System32\Atiptaxx.exe C:\Programme\DELL\AccessDirect\dadapp.exe C:\WINNT\System32\PRPCUI.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Microsoft Hardware\Mouse\point32.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINNT\System32\spool\DRIVERS\W32X86\hpoopm07.exe C:\WINNT\MS\SMS\CORE\BIN\LAUNCH32.EXE C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE C:\WINNT\MS\SMS\CLICOMP\SWDist32\bin\smsmon32.exe C:\Dokumente und Einstellungen\loescher\Desktop\Programme\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\kvuby.dll/sp.html#96676 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://kvuby.dll/index.html#96676 R3 - Default URLSearchHook is missing O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [CfgDownload] C:\IXOS-ARCHIVE\bin\CfgDownload.exe O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe O4 - HKLM\..\Run: [DadApp] C:\Programme\DELL\AccessDirect\dadapp.exe O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [SetupType] Portable O4 - HKLM\..\Run: [POINTER] point32.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [HPAIO_PrintFolderMgr] C:\WINNT\System32\spool\DRIVERS\W32X86\hpoopm07.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [SMS Application Launcher] C:\WINNT\MS\SMS\CORE\BIN\LAUNCH32.EXE O4 - HKLM\..\Run: [crpf.exe] C:\WINNT\system32\crpf.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL O16 - DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} (DataDesign DDBAC Plug-In) - https://banking.seb.de/hbci/plugin/AXFOAM.CAB O17 - HKLM\System\CCS\Services\Tcpip\..\{5878220B-480A-4C1A-858A-208642C64352}: NameServer = 192.168.120.252,192.168.120.253 O18 - Protocol: saphtmlp - {D1F8BD1E-7967-11D2-B43A-006094B9EADB} - c:\progra~1\gemein~1\sapsha~1\system\saphtmlp.dll O18 - Protocol: sapr3 - {D1F8BD1E-7967-11D2-B43A-006094B9EADB} - c:\progra~1\gemein~1\sapsha~1\system\saphtmlp.dll O18 - Filter hijack: application/octet-stream - {6585E5B4-4D2A-4A1D-A219-4102C64BA999} - C:\WINNT\chp.dll |
|
|
||
21.07.2004, 10:44
Member
Beiträge: 1095 |
#70
@laloe
Ein bißchen augeräumter ist jetzt schon. Schritt 2: Mit EScan downloaden http://www.rokop-security.de/board/index.php?showtopic=3867 Entpacken und Updaten wie beschrieben Geh in den Abgesicherten Modus AB JETZT NICHT MEHR DEN INTERNET EXPLORER ÖFFNEN!!!!!!!!!!!!!! Fixe bitte das in HiJackThis (ankreuzen und FixChecked drücken) Alles mit R0 und R1 O4 - HKLM\..\Run: [crpf.exe] C:\WINNT\system32\crpf.exe O18 - Filter hijack: application/octet-stream - {6585E5B4-4D2A-4A1D-A219-4102C64BA999} - C:\WINNT\chp.dll Starten von ESCAN wie oben beschrieben Dann normal starten und nochmal HiJackThis Logfile posten Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
21.07.2004, 14:31
...neu hier
Beiträge: 6 |
#71
Danke paff,
habe alles wir empfholen ausgeführt. Bei starten im abgesicherten Modus war bei Hijackthis nichts mit R0 oder R1 Hier der neue Logfile: Logfile of HijackThis v1.98.0 Scan saved at 14:22:49, on 21.07.2004 Platform: Windows 2000 SP2 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\System32\SCardSvr.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\Ati2evxx.exe C:\Programme\Network Associates\VirusScan\Avsynmgr.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINNT\system32\drivers\KodakCCS.exe C:\MSSQL7\binn\sqlservr.exe C:\Programme\Network Associates\VirusScan\VsStat.exe C:\Programme\Kodak\Kodak EasyShare software\bin\ptssvc.exe C:\WINNT\system32\regsvc.exe C:\Programme\Network Associates\VirusScan\Vshwin32.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\ScsiAccess.EXE C:\WINNT\system32\stisvc.exe C:\WINNT\SCARDS32.EXE C:\WINNT\system32\usrbridg.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\System32\mspmspsv.exe C:\WINNT\MS\SMS\CLICOMP\RemCtrl\Wuser32.exe C:\Programme\Network Associates\VirusScan\Webscanx.exe C:\MSSQL7\binn\sqlagent.exe C:\WINNT\MS\SMS\clicomp\apa\Bin\smsapm32.exe C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe C:\WINNT\Explorer.EXE C:\WINNT\System32\Atiptaxx.exe C:\Programme\DELL\AccessDirect\dadapp.exe C:\WINNT\System32\PRPCUI.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Microsoft Hardware\Mouse\point32.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINNT\System32\spool\DRIVERS\W32X86\hpoopm07.exe C:\WINNT\MS\SMS\CORE\BIN\LAUNCH32.EXE C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE C:\WINNT\MS\SMS\CLICOMP\SWDist32\bin\smsmon32.exe C:\Dokumente und Einstellungen\loescher\Desktop\Programme\HijackThis.exe C:\WINNT\MS\SMS\clicomp\SWDist32\bin\ODPUSR32.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\kvuby.dll/sp.html#96676 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://kvuby.dll/index.html#96676 R3 - Default URLSearchHook is missing O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [CfgDownload] C:\IXOS-ARCHIVE\bin\CfgDownload.exe O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe O4 - HKLM\..\Run: [DadApp] C:\Programme\DELL\AccessDirect\dadapp.exe O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [POINTER] point32.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [HPAIO_PrintFolderMgr] C:\WINNT\System32\spool\DRIVERS\W32X86\hpoopm07.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [SMS Application Launcher] C:\WINNT\MS\SMS\CORE\BIN\LAUNCH32.EXE O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL O16 - DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} (DataDesign DDBAC Plug-In) - https://banking.seb.de/hbci/plugin/AXFOAM.CAB O17 - HKLM\System\CCS\Services\Tcpip\..\{5878220B-480A-4C1A-858A-208642C64352}: NameServer = 192.168.120.252,192.168.120.253 O18 - Protocol: saphtmlp - {D1F8BD1E-7967-11D2-B43A-006094B9EADB} - c:\progra~1\gemein~1\sapsha~1\system\saphtmlp.dll O18 - Protocol: sapr3 - {D1F8BD1E-7967-11D2-B43A-006094B9EADB} - c:\progra~1\gemein~1\sapsha~1\system\saphtmlp.dll O18 - Filter hijack: application/octet-stream - {6585E5B4-4D2A-4A1D-A219-4102C64BA999} - C:\WINNT\chp.dll Schönen Tag noch Gruß laloe |
|
|
||
21.07.2004, 14:44
Member
Beiträge: 1095 |
#72
@laloe
Fixe bitte das in HiJackThis (ankreuzen und FixChecked drücken) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\kvuby.dll/sp.html#96676 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://kvuby.dll/index.html#96676 R3 - Default URLSearchHook is missing O18 - Filter hijack: application/octet-stream - {6585E5B4-4D2A-4A1D-A219-4102C64BA999} - C:\WINNT\chp.dll Dann neustart machen und nochmal logfile posten Schick bitte diese Datei C:\WINNT\chp.dll gezippt an mike_hangover@gozomail.com (Meine FakeEMail) Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
21.07.2004, 15:17
...neu hier
Beiträge: 6 |
#73
Hallo paff,
jetzt scheint alles weg zu sein!? Allerdings habe ich den IE nicht mehr gestartet (kann ich das wieder tun?). Hier den logfile: Logfile of HijackThis v1.98.0 Scan saved at 15:06:28, on 21.07.2004 Platform: Windows 2000 SP2 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\Ati2evxx.exe C:\Programme\Network Associates\VirusScan\Avsynmgr.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINNT\system32\drivers\KodakCCS.exe C:\MSSQL7\binn\sqlservr.exe C:\Programme\Network Associates\VirusScan\VsStat.exe C:\Programme\Network Associates\VirusScan\Vshwin32.exe C:\Programme\Kodak\Kodak EasyShare software\bin\ptssvc.exe C:\WINNT\system32\regsvc.exe C:\WINNT\System32\SCardSvr.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\ScsiAccess.EXE C:\WINNT\system32\stisvc.exe C:\WINNT\SCARDS32.EXE C:\WINNT\system32\usrbridg.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\System32\mspmspsv.exe C:\WINNT\MS\SMS\CLICOMP\RemCtrl\Wuser32.exe C:\Programme\Network Associates\VirusScan\Webscanx.exe C:\MSSQL7\binn\sqlagent.exe C:\WINNT\MS\SMS\clicomp\apa\Bin\smsapm32.exe C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe C:\WINNT\Explorer.EXE C:\WINNT\System32\Atiptaxx.exe C:\Programme\DELL\AccessDirect\dadapp.exe C:\WINNT\System32\PRPCUI.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Microsoft Hardware\Mouse\point32.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINNT\System32\spool\DRIVERS\W32X86\hpoopm07.exe C:\WINNT\MS\SMS\CORE\BIN\LAUNCH32.EXE C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE C:\WINNT\MS\SMS\CLICOMP\SWDist32\bin\smsmon32.exe C:\Dokumente und Einstellungen\loescher\Desktop\Programme\HijackThis.exe O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [CfgDownload] C:\IXOS-ARCHIVE\bin\CfgDownload.exe O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe O4 - HKLM\..\Run: [DadApp] C:\Programme\DELL\AccessDirect\dadapp.exe O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [POINTER] point32.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [HPAIO_PrintFolderMgr] C:\WINNT\System32\spool\DRIVERS\W32X86\hpoopm07.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [SMS Application Launcher] C:\WINNT\MS\SMS\CORE\BIN\LAUNCH32.EXE O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL O16 - DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} (DataDesign DDBAC Plug-In) - https://banking.seb.de/hbci/plugin/AXFOAM.CAB O17 - HKLM\System\CCS\Services\Tcpip\..\{5878220B-480A-4C1A-858A-208642C64352}: NameServer = 192.168.120.252,192.168.120.253 O18 - Protocol: saphtmlp - {D1F8BD1E-7967-11D2-B43A-006094B9EADB} - c:\progra~1\gemein~1\sapsha~1\system\saphtmlp.dll O18 - Protocol: sapr3 - {D1F8BD1E-7967-11D2-B43A-006094B9EADB} - c:\progra~1\gemein~1\sapsha~1\system\saphtmlp.dll O18 - Filter hijack: application/octet-stream - {6585E5B4-4D2A-4A1D-A219-4102C64BA999} - C:\WINNT\chp.dll Gruß laloe |
|
|
||
21.07.2004, 15:25
Member
Beiträge: 1095 |
#74
@laloe
Hab mir mal die chl.dll angeschaut Suche mal bitte in der Registry nach diesen Strings und schreib auf was da für Einträge stehen. Besonders wichtig "InprocServer32" Registry öffnen (Start/ausführen/regedit) A771FB97-B13E-46E2-973A-1CF0B693D1BC D962EF38-5FB0-4761-8638-C86F085E25E6 6585E5B4-4D2A-4A1D-A219-4102C64BA999 Gruß paff P.S. Den IE kannst du wieder benutzen bzw. schau dir mal www.opera.com an . Ist besser un sicherer __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
21.07.2004, 15:25
Member
Beiträge: 1095 |
#75
@laloe
Hab mir mal die chl.dll angeschaut. Malware ist das auf jedenfall Suche mal bitte in der Registry nach diesen Strings und schreib auf was da für Einträge stehen. Besonders wichtig "InprocServer32" Registry öffnen (Start/ausführen/regedit) A771FB97-B13E-46E2-973A-1CF0B693D1BC D962EF38-5FB0-4761-8638-C86F085E25E6 6585E5B4-4D2A-4A1D-A219-4102C64BA999 Gruß paff P.S. Den IE kannst du wieder benutzen bzw. schau dir mal www.opera.com an . Ist besser un sicherer __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 21.07.2004 um 15:29 Uhr von paff editiert.
|
|
|
||
C:\WINDOWS\msopt.dll
Es waere interessant zu erfahren, ob das ein Hijacker ist oder nicht.
__________
MfG Ralf
SEO-Spam Hunter