immer diese spykiller

#0
12.07.2004, 17:15
...neu hier

Beiträge: 3
#1 hallo leute, seit heute morgen nervt mich dieser spykiller, der mir meine IE Startseite auch eine suchseite gesetzt hat und ich trotz aller software tips den sch. nicht loskriege. jetzt also das protokoll mit einem großen hilferuf!!!!
Logfile of HijackThis v1.98.0
Scan saved at 17:28:28, on 12.07.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS
C:\Programme\Sophos SWEEP for NT\SWUPDATE.EXE
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\WINNT\Explorer.EXE
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\WINNT\System32\igfxtray.exe
C:\WINNT\System32\hkcmd.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\Trojancheck 6\tcguard.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
C:\Programme\Softwin\BitDefender Free Edition\bdnagent.exe
C:\WINNT\system32\ctfmon.exe
C:\Programme\Sophos SWEEP for NT\ICMON.EXE
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Eigene Daten\Arndt\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\System32\hkcmd.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender Free Edition\bdnagent.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - Global Startup: InterCheck Monitor.LNK = C:\Programme\Sophos SWEEP for NT\ICMON.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = recht.uni-giessen.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{606E4FA7-2962-4654-9A92-8826593AB027}: NameServer = x.x.x,y.y.y.y Edit by mod/Protecus
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = recht.uni-giessen.de
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = hrz.uni-giessen.de,uni-giessen.de,recht.uni-giessen.de
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = recht.uni-giessen.de
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = hrz.uni-giessen.de,uni-giessen.de,recht.uni-giessen.de
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = hrz.uni-giessen.de,uni-giessen.de,recht.uni-giessen.de

Danke Arni
Seitenanfang Seitenende
12.07.2004, 20:03
Moderator

Beiträge: 7805
#2 Fixe bitte das :

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,

Starte dann neu. Wenn du wieder eine andere Startseite bekommen solltest, poste ein neues Log, ohne vorher zu versuchen den Rechner selber zu reinigen.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
12.07.2004, 23:33
Member

Beiträge: 1095
#3

Zitat

raman postete
Fixe bitte das :
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,
Bist du sicher?
Das wird doch in der Version v.1.98.0 immer angezeigt

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Dieser Beitrag wurde am 12.07.2004 um 23:51 Uhr von paff editiert.
Seitenanfang Seitenende
13.07.2004, 05:33
Moderator

Beiträge: 7805
#4 Einen Versuch ist es immer wert, da ich nicht weiss, welche 1.98 Arni nutzt.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
13.07.2004, 08:52
...neu hier

Themenstarter

Beiträge: 3
#5 sorry, ich bekomme das nicht weg... der mist kommt immer wieder. adaware findet auch immer 8 infizierte objekte HILFEEEEEEEEEEEEe!!!

ogfile of HijackThis v1.98.0
Scan saved at 09:02:38, on 13.07.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS
C:\Programme\Sophos SWEEP for NT\SWUPDATE.EXE
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\WINNT\Explorer.EXE
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\WINNT\System32\igfxtray.exe
C:\WINNT\System32\hkcmd.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\Trojancheck 6\tcguard.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
C:\WINNT\system32\ctfmon.exe
C:\Programme\Sophos SWEEP for NT\ICMON.EXE
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Netscape\Netscape\Netscp.exe
D:\Eigene Daten\Arndt\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINNT\SYSTEM32\Userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {C54C968B-8365-4801-B0C7-DF13EE558BC9} - C:\WINNT\system32\kgf.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\System32\hkcmd.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender Free Edition\bdnagent.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - Global Startup: InterCheck Monitor.LNK = C:\Programme\Sophos SWEEP for NT\ICMON.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = recht.uni-giessen.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{606E4FA7-2962-4654-9A92-8826593AB027}: NameServer = 134.176.2.5,134.176.2.7
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = recht.uni-giessen.de
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = hrz.uni-giessen.de,uni-giessen.de,recht.uni-giessen.de
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = recht.uni-giessen.de
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = hrz.uni-giessen.de,uni-giessen.de,recht.uni-giessen.de
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = hrz.uni-giessen.de,uni-giessen.de,recht.uni-giessen.de
O18 - Filter: text/html - {A9541EAA-A974-4DEC-91B4-AB7F97FA9BF1} - C:\WINNT\system32\kgf.dll
O18 - Filter: text/plain - {A9541EAA-A974-4DEC-91B4-AB7F97FA9BF1} - C:\WINNT\system32\kgf.dll
Seitenanfang Seitenende
13.07.2004, 09:28
Member

Beiträge: 1095
#6 @Arni

1. Lade die EScan und Update wie beschrieben machen
http://www.rokop-security.de/board/index.php?showtopic=3867
Anleitung ausdrucken

2. Lösche alle TempInternetfiles und den Papierkorb
und deaktiviere die Systemwiederherstellung
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

3. Update deinen Virenscanner

4. Geh in Abgesicherten Modus von Win2000
http://www.bsi.de/av/texte/winsave.htm

5. AB Jetzt nicht mehr den Internet Explorer öffnen WICHTIG!!!!!!!!!!!!!!!!

6. Fixe folgendes in HiJackThis
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {C54C968B-8365-4801-B0C7-DF13EE558BC9} - C:\WINNT\system32\kgf.dll
O18 - Filter: text/html - {A9541EAA-A974-4DEC-91B4-AB7F97FA9BF1} - C:\WINNT\system32\kgf.dll
O18 - Filter: text/plain - {A9541EAA-A974-4DEC-91B4-AB7F97FA9BF1} - C:\WINNT\system32\kgf.dll

7. Suche Datei C:\WINDOWS\system32\system32.dll
benenne Datei um in system32.old

8. Starte EScan nach obiger Anleitung

9. Mach Fullscan mit deinem Virenscanner

10. Neustart machen und nochmal Logfile posten
und berichte ob Schritt 7 erfolgreich war

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Dieser Beitrag wurde am 13.07.2004 um 09:32 Uhr von paff editiert.
Seitenanfang Seitenende
13.07.2004, 12:19
...neu hier

Themenstarter

Beiträge: 3
#7 IHR SEID SPITZE!!!! Ssystem läuft wieder! Ich hoffe es bleibt so, wenn nicht, melde ich mich wieder!
DANKE
Arni
Seitenanfang Seitenende
13.07.2004, 12:29
Member

Beiträge: 1095
#8

Zitat

7. Suche Datei C:\WINDOWS\system32\system32.dll
benenne Datei um in system32.old

10. Neustart machen und nochmal Logfile posten
und berichte ob Schritt 7 erfolgreich war
Bitte beantworte das noch
bzw. poste das aktuelle HiJAckThis Logfile

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: