here4search Problem nicht lösbar mit Cwshredder. Was nun?

#0
18.07.2004, 18:04
...neu hier

Beiträge: 4
#1 Hallo, ich stehe vor einem großen Problem.

Heute hat sich eben dieser hijacker bei mir eingenistet. Ich würde mich freuen, wenn ihr mir helfen könnt. Das Problem ist nur, ich kenn mich nicht so gut mit PCs und so aus, also könntet ihr mir das ein bißchen genauer ( als bei den anderen mit diesem Problem)erklären, was ich genau mit welchem Programm usw. machen muss. Ich dank euch schon mal im voraus und hier ist mein log:

Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\PTSNOOP.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\UNZIPPED\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://solongas.com/hp.htm?id=632
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://home.netscape.com/home/winsearch200.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://keyword.netscape.com/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von MCNON
F1 - win.ini: load=ptsnoop.exe
O2 - BHO: (no name) - {A9A674BF-771F-42E5-A440-D20DDA85A862} - C:\WINDOWS\SYSTEM\H8JTRNN9ZJRKA.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [PowerVR] pvrinit.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKCU\..\Run: [uninstal] regsvr32 /u /s image.dll
O4 - Startup: Crystal 3D Audio Control.lnk = C:\WINDOWS\CWB3DSND.EXE
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office neu\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O12 - Plugin for .mov: C:\PROGRAMME\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\NPQTW32.DLL

Bitte, bitte helft mir, das ist nämlich der PC von meiner Mutter und die braucht den zum Arbeiten.

Danke euch
Seitenanfang Seitenende
18.07.2004, 18:33
Moderator

Beiträge: 7805
#2 Fix das bitte:

O2 - BHO: (no name) - {A9A674BF-771F-42E5-A440-D20DDA85A862} - C:\WINDOWS\SYSTEM\H8JTRNN9ZJRKA.DLL
O4 - HKCU\..\Run: [uninstal] regsvr32 /u /s image.dll
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office neu\Office\OSA9.EXE

starte neu und schicke bitte diese Dateien an virus@protecus.de:

C:\WINDOWS\SYSTEM\H8JTRNN9ZJRKA.DLL
c:\windows\image.dll oder
C:\WINDOWS\SYSTEM\image.dll
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
19.07.2004, 09:18
...neu hier

Themenstarter

Beiträge: 4
#3 Hallo Raman, hab die Sachen jetzt gefixt und soeben die Dateien verschickt.
War das alles, was ich machen soll? Ist das Problem jetzt gelös

Korrektur, ist leider nicht gegangen, da der Server einen Wurm im Anhang gefunden hat. Was soll ich jetzt machen?

MFG Peter
Dieser Beitrag wurde am 19.07.2004 um 09:26 Uhr von Peter2507 editiert.
Seitenanfang Seitenende
19.07.2004, 09:25
Member

Beiträge: 1095
#4 @Peter

Poste bitte nochmal das HiJackThis Logfile, damit man sieht ob alles weg ist ;)

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
19.07.2004, 09:31
...neu hier

Themenstarter

Beiträge: 4
#5 Hier ist es, sag warum, soll ich diese DAteien verschicken, und muss ich die nicht löschen?

Wenn ich meinen Browswer jetzt öffne, steht in der leiste: C:\\Windows\system\hputi

Ist das irgenwie relevant?




Logfile of HijackThis v1.98.0
Scan saved at 09:33:11, on 07.06.04
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\PTSNOOP.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\UNZIPPED\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://solongas.com/sp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://solongas.com/sp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://solongas.com/sp.htm?id=9
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://solongas.com/hp.htm?id=9
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://home.netscape.com/home/winsearch200.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://solongas.com/sp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://keyword.netscape.com/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von MCNON
F1 - win.ini: load=ptsnoop.exe
O2 - BHO: (no name) - {A9A674BF-771F-42E5-A440-D20DDA85A862} - C:\WINDOWS\SYSTEM\H8JTRNN9ZJRKA.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [PowerVR] pvrinit.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - Startup: Crystal 3D Audio Control.lnk = C:\WINDOWS\CWB3DSND.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O12 - Plugin for .mov: C:\PROGRAMME\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\NPQTW32.DLL
Dieser Beitrag wurde am 19.07.2004 um 09:46 Uhr von Peter2507 editiert.
Seitenanfang Seitenende
19.07.2004, 10:25
Member

Beiträge: 441
#6 @ Peter2507

Zitat

Hier ist es, sag warum, soll ich diese DAteien verschicken, und muss ich die nicht löschen?
Damit Rokop Security dann die infizierten Dateien an die AntiViren Hersteller weiterleiten kann.
Löschen solltest du sie auch, sofern du sie nicht ausgeschnitten hast.

Aber mich beunruhigt eher diese Eintrag:
F1 - win.ini: load=ptsnoop.exe
Info: http://www.sophos.de/virusinfo/analyses/trojptsnoop.html

sowie die Alexa Einträge:
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

Daher meine Empfehlung: Setze dein System neu auf, da es nicht mehr vertrauenswürdig ist!
http://www.mathematik.uni-marburg.de/~wetzmj/index.php?viewPage=sec-compromise.html
http://schad.dyndns.org/index.php/Kompromittierung

Du hast einen aktiven Ptsnoop/Backdoor Trojaner, dies sollte Grund genug sein.

Ps

Zitat

Wenn ich meinen Browswer jetzt öffne, steht in der leiste: C:\\Windows\system\hputi
Das ist derBrowser Hijacker CWS.Hputi (hijacks to solongas.com and hp.uti, uses filename sysstartup.exe)
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung
Dieser Beitrag wurde am 19.07.2004 um 10:26 Uhr von Cidre editiert.
Seitenanfang Seitenende
19.07.2004, 12:13
Member

Beiträge: 1095
#7 @Peter

Ich hab noch einen übersehen ;)


Überprüfe mal bitte die Datei powrprof.dll (liegt in c:\windows oder c:\windows\system)
bei einem Onlinescan
http://www.kaspersky.com/de/remoteviruschk.html

Wenn virolent dann bitte diese 2 Einträge fixen
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
Link für powrprof.dll
http://www.sophos.com/virusinfo/analyses/w32inmotecda.html

DU SOLLEST DIR UNBEDINGT EINEN VIRENSCANNER RUNTERLADEN
UND DIE GANZE FESTPLATTE SCANNEN
www.freeav.de ist kostenlos für Privatanwender.

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
19.07.2004, 15:03
...neu hier

Themenstarter

Beiträge: 4
#8 Ok, das hört sich ja nicht sehr nett an. Die Problematik ist, daß ich das System nicht neu aufsetzen kann, da etliche Programme für die Arbeit meiner Mutter drauf sind, die nur sehr schwer(wenn überhaupt) erhältlich sind. Die DAtei hab ich online gecheckt, da ist nix. Ist mein Hijacker jetzt schon weg oder muss ich noch was machen? Wenn ja was - und kann man den aktiven Trojaner nicht eliminieren?

Weiters kann ich die beiden Dateien, die ich an Rokop Sec. schicken soll, nicht schicken, da der Server dies verweigert.

Also, wie du siehst, steck ich in der Klemme.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: