Adware Away findet HomeOldSp Hijacker, was nun

#0
10.07.2004, 02:52
Member

Beiträge: 36
#1 Hallo,

ich habe Probleme mit dem Internet Explorer und Programmen, die den IE nutzen. Gibt es jemand in diesem Forum, der mir vielleicht weiterhelfen könnte?

Ich habe als Laie mit wenig Ahnung folgende Schritte schon gemacht, alle im abgesicherten Mode:

Laufenlassen von SPYBOT und Ad-AWARE und Isolierung der vorgeschlagenen Files

Laufenlassen von cwshredder - der findet nichts

Laufenlassen von Adware Away- der findet 2 Dinge:
1) HOME OLD SP Hijacker
2) MyWay SpeedBar.
Mit Adware Away kann ich aber die zugehörigen Einträge nicht löschen, weil ich keinen Registrierungscode habe.

Laufenlassen von HijacThis lifert den LOG-FILE unten.

Wie könnte ich nun weiterkommen?

Vielen Dank schon einmal im Voraus für jede Hilfe!!!

schmuseking

Logfile of HijackThis v1.98.0
Scan saved at 02:01:29, on 10.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Papa\LOKALE~1\Temp\Rar$EX00.009\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\njqyl.dll/sp.html#37049
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://njqyl.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://njqyl.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\njqyl.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\njqyl.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://njqyl.dll/index.html#37049
R3 - Default URLSearchHook is missing
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Ahead\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {793213B8-A74C-2C0F-94D1-DD4AC65FBE45} - C:\WINDOWS\system32\mfcdy32.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [nttw.exe] C:\WINDOWS\system32\nttw.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "D:\Programme\WinOnCD\DirectCD\DirectCD.exe"
O4 - HKLM\..\RunOnce: [apiex32.exe] C:\WINDOWS\apiex32.exe
O4 - HKLM\..\RunOnce: [atlki.exe] C:\WINDOWS\atlki.exe
O4 - HKLM\..\RunOnce: [javanw32.exe] C:\WINDOWS\javanw32.exe
O4 - HKLM\..\RunOnce: [apicc32.exe] C:\WINDOWS\apicc32.exe
O4 - HKLM\..\RunOnce: [addmp.exe] C:\WINDOWS\addmp.exe
O4 - HKLM\..\RunOnce: [netiy32.exe] C:\WINDOWS\system32\netiy32.exe
O4 - HKLM\..\RunOnce: [atlve32.exe] C:\WINDOWS\atlve32.exe
O4 - HKLM\..\RunOnce: [ipov32.exe] C:\WINDOWS\system32\ipov32.exe
O4 - HKLM\..\RunOnce: [winng.exe] C:\WINDOWS\system32\winng.exe
O4 - HKLM\..\RunOnce: [iptv32.exe] C:\WINDOWS\system32\iptv32.exe
O4 - HKLM\..\RunOnce: [crvr.exe] C:\WINDOWS\system32\crvr.exe
O4 - HKLM\..\RunOnce: [msxe32.exe] C:\WINDOWS\system32\msxe32.exe
O4 - HKLM\..\RunOnce: [apppy.exe] C:\WINDOWS\system32\apppy.exe
O4 - HKLM\..\RunOnce: [sdkqs.exe] C:\WINDOWS\system32\sdkqs.exe
O4 - HKLM\..\RunOnce: [javaqn32.exe] C:\WINDOWS\system32\javaqn32.exe
O4 - HKLM\..\RunOnce: [winbp32.exe] C:\WINDOWS\system32\winbp32.exe
O4 - HKLM\..\RunOnce: [netwd.exe] C:\WINDOWS\system32\netwd.exe
O4 - HKLM\..\RunOnce: [ieaj32.exe] C:\WINDOWS\system32\ieaj32.exe
O4 - HKLM\..\RunOnce: [msux.exe] C:\WINDOWS\system32\msux.exe
O4 - HKLM\..\RunOnce: [javaad32.exe] C:\WINDOWS\system32\javaad32.exe
O4 - HKLM\..\RunOnce: [msky.exe] C:\WINDOWS\system32\msky.exe
O4 - HKLM\..\RunOnce: [netvd.exe] C:\WINDOWS\netvd.exe
O4 - HKLM\..\RunOnce: [msjs32.exe] C:\WINDOWS\system32\msjs32.exe
O4 - HKLM\..\RunOnce: [msnn.exe] C:\WINDOWS\msnn.exe
O4 - HKLM\..\RunOnce: [sdkvx32.exe] C:\WINDOWS\system32\sdkvx32.exe
O4 - HKLM\..\RunOnce: [sysmq32.exe] C:\WINDOWS\sysmq32.exe
O4 - HKLM\..\RunOnce: [sdkzp.exe] C:\WINDOWS\system32\sdkzp.exe
O4 - HKLM\..\RunOnce: [javafm32.exe] C:\WINDOWS\system32\javafm32.exe
O4 - HKLM\..\RunOnce: [iekt32.exe] C:\WINDOWS\system32\iekt32.exe
O4 - HKLM\..\RunOnce: [ipvh32.exe] C:\WINDOWS\ipvh32.exe
O4 - HKLM\..\RunOnce: [crnq.exe] C:\WINDOWS\system32\crnq.exe
O4 - HKLM\..\RunOnce: [apipz32.exe] C:\WINDOWS\apipz32.exe
O4 - HKLM\..\RunOnce: [atliz.exe] C:\WINDOWS\atliz.exe
O4 - HKLM\..\RunOnce: [javayz32.exe] C:\WINDOWS\system32\javayz32.exe
O4 - HKLM\..\RunOnce: [iebs32.exe] C:\WINDOWS\system32\iebs32.exe
O4 - HKLM\..\RunOnce: [javarh32.exe] C:\WINDOWS\javarh32.exe
O4 - HKLM\..\RunOnce: [ipkv.exe] C:\WINDOWS\ipkv.exe
O4 - HKLM\..\RunOnce: [winwp.exe] C:\WINDOWS\winwp.exe
O4 - HKLM\..\RunOnce: [netzw.exe] C:\WINDOWS\netzw.exe
O4 - HKLM\..\RunOnce: [atlxs.exe] C:\WINDOWS\system32\atlxs.exe
O4 - HKLM\..\RunOnce: [sdkai32.exe] C:\WINDOWS\system32\sdkai32.exe
O4 - HKLM\..\RunOnce: [winfo.exe] C:\WINDOWS\winfo.exe
O4 - HKLM\..\RunOnce: [ieek32.exe] C:\WINDOWS\system32\ieek32.exe
O4 - HKLM\..\RunOnce: [netti.exe] C:\WINDOWS\system32\netti.exe
O4 - HKLM\..\RunOnce: [iexh.exe] C:\WINDOWS\system32\iexh.exe
O4 - HKLM\..\RunOnce: [sysmg32.exe] C:\WINDOWS\sysmg32.exe
O4 - HKLM\..\RunOnce: [winsp32.exe] C:\WINDOWS\winsp32.exe
O4 - HKLM\..\RunOnce: [sysii.exe] C:\WINDOWS\system32\sysii.exe
O4 - HKLM\..\RunOnce: [nths32.exe] C:\WINDOWS\system32\nths32.exe
O4 - HKLM\..\RunOnce: [mfcrh32.exe] C:\WINDOWS\mfcrh32.exe
O4 - HKLM\..\RunOnce: [appkh32.exe] C:\WINDOWS\appkh32.exe
O4 - HKLM\..\RunOnce: [sdkcl.exe] C:\WINDOWS\system32\sdkcl.exe
O4 - HKLM\..\RunOnce: [sysay.exe] C:\WINDOWS\system32\sysay.exe
O4 - HKLM\..\RunOnce: [mfcrl32.exe] C:\WINDOWS\system32\mfcrl32.exe
O4 - HKLM\..\RunOnce: [crfd.exe] C:\WINDOWS\system32\crfd.exe
O4 - HKLM\..\RunOnce: [netge.exe] C:\WINDOWS\system32\netge.exe
O4 - HKLM\..\RunOnce: [mfcvs32.exe] C:\WINDOWS\system32\mfcvs32.exe
O4 - HKLM\..\RunOnce: [javahc32.exe] C:\WINDOWS\system32\javahc32.exe
O4 - HKLM\..\RunOnce: [ipuu32.exe] C:\WINDOWS\system32\ipuu32.exe
O4 - HKCU\..\Run: [Mozilla Quick Launch] "d:\PROGRAMME\NETSCAPE\Netscape\Netscp.exe" -turbo
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: enhanced keyboard driver.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = D:\Office 2000\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Blubster Support - file://C:\Programme\BlubsterSupport\System\Temp\blubstershop_script0.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D67AC55A-B750-41A4-BEE6-020E017A7996} (IEPlugIn Class) - http://www.popfile.de/myplaylist/pc/partner/sugababes/MY-PLAYLIST-WEBINSTALLER_loader.exe
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - (no file)

So, das war's.
Seitenanfang Seitenende
10.07.2004, 03:15
Member

Beiträge: 1095
#2 @schmuseking Hi und willkomen am/im Board

DU hast dir einiges an Malware eingefangen

Also fangen wir mal an


1. Lösche die temporären Internetfiles
IE öffnen/Extras/Internetoptionen/Dateien löschen

2. Lösche alles im Papierkorb

3. Alle Dateien und Ordner in den "C:\Dokumente und Einstellungen\<Benutzername>\Lokale Einstellungen\Temp" Ordnern löschen.


4. Lade dir bitte hier die mwav.exe und update Sie
http://www.rokop-security.de/board/index.php?showtopic=3867
Druck mal die Anleitung aus, die brauchst du später.

5. Update deinen Normalen Virenscanner

6. Dann gehe in den Abgesicherten Modus von XP
http://www.bsi.de/av/texte/winsave.htm

AB JETZT NICHT MEHR DEN INTERNET EXPLORER ÖFFNEN

7. Starte HiJackThis und fixe folgendes (ankreuzen und Fix Checked drücken)
NICHT ERSCHRECKEN das sind wirklich viele

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\njqyl.dll/sp.html#37049
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://njqyl.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://njqyl.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\njqyl.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\njqyl.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://njqyl.dll/index.html#37049
O2 - BHO: (no name) - {793213B8-A74C-2C0F-94D1-DD4AC65FBE45} - C:\WINDOWS\system32\mfcdy32.dll
O4 - HKLM\..\Run: [nttw.exe] C:\WINDOWS\system32\nttw.exe
O4 - HKLM\..\RunOnce: [apiex32.exe] C:\WINDOWS\apiex32.exe
O4 - HKLM\..\RunOnce: [atlki.exe] C:\WINDOWS\atlki.exe
O4 - HKLM\..\RunOnce: [javanw32.exe] C:\WINDOWS\javanw32.exe
O4 - HKLM\..\RunOnce: [apicc32.exe] C:\WINDOWS\apicc32.exe
O4 - HKLM\..\RunOnce: [addmp.exe] C:\WINDOWS\addmp.exe
O4 - HKLM\..\RunOnce: [netiy32.exe] C:\WINDOWS\system32\netiy32.exe
O4 - HKLM\..\RunOnce: [atlve32.exe] C:\WINDOWS\atlve32.exe
O4 - HKLM\..\RunOnce: [ipov32.exe] C:\WINDOWS\system32\ipov32.exe
O4 - HKLM\..\RunOnce: [winng.exe] C:\WINDOWS\system32\winng.exe
O4 - HKLM\..\RunOnce: [iptv32.exe] C:\WINDOWS\system32\iptv32.exe
O4 - HKLM\..\RunOnce: [crvr.exe] C:\WINDOWS\system32\crvr.exe
O4 - HKLM\..\RunOnce: [msxe32.exe] C:\WINDOWS\system32\msxe32.exe
O4 - HKLM\..\RunOnce: [apppy.exe] C:\WINDOWS\system32\apppy.exe
O4 - HKLM\..\RunOnce: [sdkqs.exe] C:\WINDOWS\system32\sdkqs.exe
O4 - HKLM\..\RunOnce: [javaqn32.exe] C:\WINDOWS\system32\javaqn32.exe
O4 - HKLM\..\RunOnce: [winbp32.exe] C:\WINDOWS\system32\winbp32.exe
O4 - HKLM\..\RunOnce: [netwd.exe] C:\WINDOWS\system32\netwd.exe
O4 - HKLM\..\RunOnce: [ieaj32.exe] C:\WINDOWS\system32\ieaj32.exe
O4 - HKLM\..\RunOnce: [msux.exe] C:\WINDOWS\system32\msux.exe
O4 - HKLM\..\RunOnce: [javaad32.exe] C:\WINDOWS\system32\javaad32.exe
O4 - HKLM\..\RunOnce: [msky.exe] C:\WINDOWS\system32\msky.exe
O4 - HKLM\..\RunOnce: [netvd.exe] C:\WINDOWS\netvd.exe
O4 - HKLM\..\RunOnce: [msjs32.exe] C:\WINDOWS\system32\msjs32.exe
O4 - HKLM\..\RunOnce: [msnn.exe] C:\WINDOWS\msnn.exe
O4 - HKLM\..\RunOnce: [sdkvx32.exe] C:\WINDOWS\system32\sdkvx32.exe
O4 - HKLM\..\RunOnce: [sysmq32.exe] C:\WINDOWS\sysmq32.exe
O4 - HKLM\..\RunOnce: [sdkzp.exe] C:\WINDOWS\system32\sdkzp.exe
O4 - HKLM\..\RunOnce: [javafm32.exe] C:\WINDOWS\system32\javafm32.exe
O4 - HKLM\..\RunOnce: [iekt32.exe] C:\WINDOWS\system32\iekt32.exe
O4 - HKLM\..\RunOnce: [ipvh32.exe] C:\WINDOWS\ipvh32.exe
O4 - HKLM\..\RunOnce: [crnq.exe] C:\WINDOWS\system32\crnq.exe
O4 - HKLM\..\RunOnce: [apipz32.exe] C:\WINDOWS\apipz32.exe
O4 - HKLM\..\RunOnce: [atliz.exe] C:\WINDOWS\atliz.exe
O4 - HKLM\..\RunOnce: [javayz32.exe] C:\WINDOWS\system32\javayz32.exe
O4 - HKLM\..\RunOnce: [iebs32.exe] C:\WINDOWS\system32\iebs32.exe
O4 - HKLM\..\RunOnce: [javarh32.exe] C:\WINDOWS\javarh32.exe
O4 - HKLM\..\RunOnce: [ipkv.exe] C:\WINDOWS\ipkv.exe
O4 - HKLM\..\RunOnce: [winwp.exe] C:\WINDOWS\winwp.exe
O4 - HKLM\..\RunOnce: [netzw.exe] C:\WINDOWS\netzw.exe
O4 - HKLM\..\RunOnce: [atlxs.exe] C:\WINDOWS\system32\atlxs.exe
O4 - HKLM\..\RunOnce: [sdkai32.exe] C:\WINDOWS\system32\sdkai32.exe
O4 - HKLM\..\RunOnce: [winfo.exe] C:\WINDOWS\winfo.exe
O4 - HKLM\..\RunOnce: [ieek32.exe] C:\WINDOWS\system32\ieek32.exe
O4 - HKLM\..\RunOnce: [netti.exe] C:\WINDOWS\system32\netti.exe
O4 - HKLM\..\RunOnce: [iexh.exe] C:\WINDOWS\system32\iexh.exe
O4 - HKLM\..\RunOnce: [sysmg32.exe] C:\WINDOWS\sysmg32.exe
O4 - HKLM\..\RunOnce: [winsp32.exe] C:\WINDOWS\winsp32.exe
O4 - HKLM\..\RunOnce: [sysii.exe] C:\WINDOWS\system32\sysii.exe
O4 - HKLM\..\RunOnce: [nths32.exe] C:\WINDOWS\system32\nths32.exe
O4 - HKLM\..\RunOnce: [mfcrh32.exe] C:\WINDOWS\mfcrh32.exe
O4 - HKLM\..\RunOnce: [appkh32.exe] C:\WINDOWS\appkh32.exe
O4 - HKLM\..\RunOnce: [sdkcl.exe] C:\WINDOWS\system32\sdkcl.exe
O4 - HKLM\..\RunOnce: [sysay.exe] C:\WINDOWS\system32\sysay.exe
O4 - HKLM\..\RunOnce: [mfcrl32.exe] C:\WINDOWS\system32\mfcrl32.exe
O4 - HKLM\..\RunOnce: [crfd.exe] C:\WINDOWS\system32\crfd.exe
O4 - HKLM\..\RunOnce: [netge.exe] C:\WINDOWS\system32\netge.exe
O4 - HKLM\..\RunOnce: [mfcvs32.exe] C:\WINDOWS\system32\mfcvs32.exe
O4 - HKLM\..\RunOnce: [javahc32.exe] C:\WINDOWS\system32\javahc32.exe
O4 - HKLM\..\RunOnce: [ipuu32.exe] C:\WINDOWS\system32\ipuu32.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - (no file)

8. mwav.exe starten und nach obiger Anweisung scannen lassen

9. Mit deinem normalen Virenscanner ganze Platte scannen

10. Normal neustarten und Logfile posten

11.Unter Start - Ausführen services.msc eingeben.
In dem Fenster, das sich öffnet einen Dienst suchen namens
"Network Security Service".
Wenn dieser EIntrag da ist, diesen Eintrag doppelklicken und in dem Eigenschaftenfenster den Beenden Button anklicken und dann den Starttyp auf Deaktiviert setzen.
Außerdem den Pfad zur EXE-Datei posten

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
10.07.2004, 18:47
Member

Themenstarter

Beiträge: 36
#3 Ja, Paff,

herzlichen Dank,

ich habe soweit alles verstanden, was zu machen ist, bis auf zwei Aktionen:

10. Normal neustarten und Logfile posten:

Wie bzw. wo erhalte ich den Logfile, den ich anschließend einstellen soll?

Am Ende von 11.:
Außerdem den Pfad zur EXE-Datei posten:

Wie kriege ich den Pfad heraus?

Vielen Dank und liebe Grüße

von Schmuseking
Dieser Beitrag wurde am 10.07.2004 um 18:48 Uhr von schmuseking editiert.
Seitenanfang Seitenende
11.07.2004, 18:51
Member

Beiträge: 1095
#4

Zitat

schmuseking postete
Ja, Paff,

herzlichen Dank,

ich habe soweit alles verstanden, was zu machen ist, bis auf zwei Aktionen:

10. Normal neustarten und Logfile posten:

Wie bzw. wo erhalte ich den Logfile, den ich anschließend einstellen soll?
Einfach nochmal das HiJackThis logfile erstellen und hier posten

Zitat

Am Ende von 11.:
Außerdem den Pfad zur EXE-Datei posten:

Wie kriege ich den Pfad heraus?

Vielen Dank und liebe Grüße

von Schmuseking
Einfach machen wie beschrieben und wenn dort der Dienst existiert dann doppelklicken. Auf dieser dann geöffneten Eigenschaftsseite ist dann ein Feld dort steht: Pfad zur exe-Datei . Einfach dies mal posten

Mach einfach mal , dann siehts du's schon ;)

Gruß paff

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Dieser Beitrag wurde am 11.07.2004 um 18:52 Uhr von paff editiert.
Seitenanfang Seitenende
12.07.2004, 01:26
Member

Themenstarter

Beiträge: 36
#5 Hallo Pfaff, vielen Dank für die weiteren Erläuterungen zu den Punkten 10. und 11.

Ich habe nun alle Schritte wie vorgeschlagen durchgeführt,

es gab allerdings teilweise beim O4..RunOnce andere Bezeichnungen, ich habe sie dann alle gelöscht, auch gab es noch einen zusätzlichen Eintrag unter O4...run, den ich mit gelöscht habe.

mwav.exe hat richtig zugelangt und 389 infizierte Files gelöscht, die hatte Norton Antivirus alle nicht gefunden!!

Der Boot-Vorgang ging jetzt schon wieder viel schneller als vorher.

Ich möchte noch über eine Meldung berichten, die ich während des HiJackThis-Laufes jedesmal bekomme, und das ist:

An unexpected error has occurred at procedure: modRegistry_IniGetString(sFile=C:\WINDOWS\control.ini, sSection=don't load, sValue=inetcpl.cpl)
Error #5 - Invalid procedure call or argument

Please email me at merijn@spywareinfo.com, reporting the following:
* What you were doing when the error occurred
* How you can reproduce the error
* A complete HijackThis scan log, if possible

Windows version: Windows NT 5.01.2600
MSIE version: 6.0.2800.1106
HijackThis version: 1.98.0

This message has been copied to your clipboard.

Nun sieht der HijackThis LOGFILE so aus, wie unten angegeben.

Im "Network Security Service" habe ich den Starttyp auf deaktiviert gesetzt, und als Pfad zur EXE-Datei wird angezeigt:
C:\WINDOWS\ipkv.exe /s
Ich habe allerdings keinen Button BEENDEN gefunden, den ich ja eigentlich anklicken sollte.

Logfile of HijackThis v1.98.0
Scan saved at 01:11:49, on 12.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
D:\PROGRA~1\NORTON~1\NORTON~2\GHOSTS~2.EXE
C:\WINDOWS\System32\inetsrv\inetinfo.exe
D:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
D:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
D:\Programme\WinOnCD\DirectCD\DirectCD.exe
D:\PROGRAMME\NETSCAPE\Netscape\Netscp.exe
D:\Programme\EnhanceKeyboard\kb_2k.exe
D:\Programme\Opera7\Opera.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\Papa\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R3 - Default URLSearchHook is missing
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Ahead\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [AdaptecDirectCD] "D:\Programme\WinOnCD\DirectCD\DirectCD.exe"
O4 - HKCU\..\Run: [Mozilla Quick Launch] "d:\PROGRAMME\NETSCAPE\Netscape\Netscp.exe" -turbo
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: enhanced keyboard driver.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = D:\Office 2000\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Blubster Support - file://C:\Programme\BlubsterSupport\System\Temp\blubstershop_script0.htm
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D67AC55A-B750-41A4-BEE6-020E017A7996} (IEPlugIn Class) - http://www.popfile.de/myplaylist/pc/partner/sugababes/MY-PLAYLIST-WEBINSTALLER_loader.exe
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - (no file)

So, das wärs, und ich würde mich sehr freuen über eine Einschätzung, wie es jetzt mit meinem System aussieht, und über alle Hinweise, was ich nun weiter noch machen könnte oder sollte.

Wäre es evl. angebracht, jetzt den Internet-Explorer neu zu installieren?

Viele Grüße an alle Forumsteilnehmer von

Schmuseking
Seitenanfang Seitenende
12.07.2004, 09:14
Member

Beiträge: 1095
#6 @schmuseking

Das Logfile sieht jetzt gut aus.
Da du den Trojaner drauf hattest, wäre es angebracht wichtige Kennwörter zu ändern. Z.B. das für den Internetzugang und die wichtigsten Mailpasswörter.

IE neu installieren bringt eigentlich nicht. Da du, wie ich sehe, den Opera benutzt ist das schon ein guter Schritt.
Probier einfach alle 2 Wochen dein windows mit www.windowsupdate.com auf dem laufenden zu halten.
Schmeiß den Norton runter und installier dir www.freeav.de(AntiVir) .
Das ist für Privateanwender umsonst. Wichtig auch hier ALLE 2WOCHEN updaten.

Gruß Paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
13.07.2004, 01:00
Member

Themenstarter

Beiträge: 36
#7 Hallo Paff,

vielen Dank für die erneute Prüfung des LOGFILES und die weiteren Hinweise.

Ich bin sehr froh, dass ich mit dem Rechner wieder gut arbeiten kann.

Ich habe jetzt noch 2 Fragen zur zukünftigen Prävention:

1) Ich hatte früher mit WINDOWS ME als Firewall ZONEALARM installiert,
und ich hatte den Hinweis erhalten, dass dies für XP wegen der darin enthaltenen Firewall nicht mehr nötig wäre.
Jetzt habe ich so meine Zweifel an der Richtigkeit dieses Hinweises. Bringt mir der ZONEALARM nicht auch bei XP mehr Sicherheit gegen Trojaner bzw. Hijacker?

2) Offensichtlich konnte ja Norton Antivirus mich nicht vor den Trojanern und dem Hijacker schützen. Bietet mir hierfür den Antivir den benötigten Schutz, oder empfiehlt sich als Schutz vor Trojanern und Hijackern noch zusätzlich ein anderes Programm?

Für entsprechende Hinweise wäre ich sehr dankbar.

Viele liebe Grüße


Schmuseking
Seitenanfang Seitenende
13.07.2004, 01:54
Member

Beiträge: 1095
#8

Zitat

schmuseking postete
Hallo Paff,

1) Jetzt habe ich so meine Zweifel an der Richtigkeit dieses Hinweises. Bringt mir der ZONEALARM nicht auch bei XP mehr Sicherheit gegen Trojaner bzw. Hijacker?
Hab ich grad vorhin was schönes gelesen
http://www.firewallleaktester.com/tests.htm

Die XP-Firewall hat keine einzigen Test gestanden. Der Test ist nicht repräsentiv, aber er zeigt die Richtung an. ;)
Zonealarm ist wahrscheinlich wesentlich besser.


Zitat

2) Offensichtlich konnte ja Norton Antivirus mich nicht vor den Trojanern und dem Hijacker schützen. Bietet mir hierfür den Antivir den benötigten Schutz, oder empfiehlt sich als Schutz vor Trojanern und Hijackern noch zusätzlich ein anderes Programm?
Das ganze steht und fällt mit deiner Updatespanne. Je öfter man updated desto größer ist die Chance das man im richtigen Moment den richtigen Scanner mit den richtigen Updates hat. Antivir dürfte aber besser sein als Norton. Von Norton hört man nur schlechtes. Es wiegt einen in Sicherheit und eigentlich hat man nichts bis sehr wenig. Und das kostet auch noch was.

Windowsupdate sind wichtig. Vorallem in diesem speziellen Fall

Und nun noch das Wichtigste
BENUTZT NICHT DEN INTERNET EXPLORER.
Das ist das gefährlichste.
Opera, firefox, mozilla sind alle tolle Alternativen und umsonst ;)

Gruß paff
P.S. Frag ruhig weiter ;)
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Dieser Beitrag wurde am 13.07.2004 um 01:58 Uhr von paff editiert.
Seitenanfang Seitenende
29.12.2004, 00:55
Member

Themenstarter

Beiträge: 36
#9 Hallo liebe Forumsteilnehmer,

seit dem Entfernen des Browser Hijackers und der Trojaner im Juli habe ich zwar nicht mehr die damaligen Probleme (automatische Übernahme der Startseite vom Internet Explorer und Programmabbrüche bei anderen Programmen), aber mein Rechner ist teilweise deutlich langsamer geworden, z.B. beim Seitenaufbau im Opera und auch bei der Benutzung des Windows Explorers.

Ich benutze regelmäßig Antivir (in der ebenfalls regelmäßig aktualisierten Version), und habe auch AntiVir Guard aktiviert, ab und zu wurde mal ein Trojaner gefunden und dann sofort eliminiert.

Meine Festplatte räume ich auch ziemlich regelmäßig auf, und außerdem habe ich TuneUp Utilities 2004 vorgestern laufen lassen.

Trotzdem kommt mir alles noch sehr verzögert vor, und deshalb poste ich unten den vor wenigen Miunten erstellten LOG-File vom HijackThis.

Ich vermute, dass wieder alle O4-Dateien im abgesicherten Modus von XP gefixt werden müssten, oder?
Aber welche Datein wären sonst noch zu fixen, oder was könnte/sollte ich sonst noch machen?

Vielen Dank für alle kompetenten Hinweise,

von Schmuseking.

Logfile of HijackThis v1.98.0
Scan saved at 00:42:17, on 29.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
D:\Programme\AVPersonal\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
D:\PROGRA~1\NORTON~1\NORTON~2\GHOSTS~2.EXE
C:\WINDOWS\System32\inetsrv\inetinfo.exe
D:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
D:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
D:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
D:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\svchost.exe
D:\PROGRAMME\NETSCAPE\Netscape\Netscp.exe
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
D:\Programme\EnhanceKeyboard\kb_2k.exe
C:\Programme\Messenger\msmsgs.exe
C:\DOKUME~1\Papa\LOKALE~1\Temp\~AceTemp\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - Default URLSearchHook is missing
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Ahead\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [QD FastAndSafe] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [Mozilla Quick Launch] "d:\PROGRAMME\NETSCAPE\Netscape\Netscp.exe" -turbo
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: enhanced keyboard driver.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = D:\Office 2000\Office\OSA9.EXE
O4 - Global Startup: Mountit.lnk = D:\Programme\WinOnCD\MountIt.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Blubster Support - file://C:\Programme\BlubsterSupport\System\Temp\blubstershop_script0.htm
O16 - DPF: {01FE8D0A-51AD-459B-B62B-85E135128B32} (DD_v4.DDv4) - http://www.drivershq.com/DD_v4.CAB
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-17.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/activedata/SymAData.cab
O16 - DPF: {D67AC55A-B750-41A4-BEE6-020E017A7996} (IEPlugIn Class) - http://www.popfile.de/myplaylist/pc/partner/sugababes/MY-PLAYLIST-WEBINSTALLER_loader.exe
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/techsupp/activedata/ActiveData.cab
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: