here4search Problem nicht lösbar mit Cwshredder. Was nun? |
||
---|---|---|
#0
| ||
18.07.2004, 18:04
...neu hier
Beiträge: 4 |
||
|
||
18.07.2004, 18:33
Moderator
Beiträge: 7805 |
#2
Fix das bitte:
O2 - BHO: (no name) - {A9A674BF-771F-42E5-A440-D20DDA85A862} - C:\WINDOWS\SYSTEM\H8JTRNN9ZJRKA.DLL O4 - HKCU\..\Run: [uninstal] regsvr32 /u /s image.dll O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office neu\Office\OSA9.EXE starte neu und schicke bitte diese Dateien an virus@protecus.de: C:\WINDOWS\SYSTEM\H8JTRNN9ZJRKA.DLL c:\windows\image.dll oder C:\WINDOWS\SYSTEM\image.dll __________ MfG Ralf SEO-Spam Hunter |
|
|
||
19.07.2004, 09:18
...neu hier
Themenstarter Beiträge: 4 |
#3
Hallo Raman, hab die Sachen jetzt gefixt und soeben die Dateien verschickt.
War das alles, was ich machen soll? Ist das Problem jetzt gelös Korrektur, ist leider nicht gegangen, da der Server einen Wurm im Anhang gefunden hat. Was soll ich jetzt machen? MFG Peter Dieser Beitrag wurde am 19.07.2004 um 09:26 Uhr von Peter2507 editiert.
|
|
|
||
19.07.2004, 09:25
Member
Beiträge: 1095 |
#4
@Peter
Poste bitte nochmal das HiJackThis Logfile, damit man sieht ob alles weg ist Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
19.07.2004, 09:31
...neu hier
Themenstarter Beiträge: 4 |
#5
Hier ist es, sag warum, soll ich diese DAteien verschicken, und muss ich die nicht löschen?
Wenn ich meinen Browswer jetzt öffne, steht in der leiste: C:\\Windows\system\hputi Ist das irgenwie relevant? Logfile of HijackThis v1.98.0 Scan saved at 09:33:11, on 07.06.04 Platform: Windows 98 Gold (Win9x 4.10.1998) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\PTSNOOP.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE C:\WINDOWS\SYSTEM\PSTORES.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\UNZIPPED\HIJACKTHIS\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://solongas.com/sp.htm?id=9 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://solongas.com/sp.htm?id=9 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://solongas.com/sp.htm?id=9 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://solongas.com/hp.htm?id=9 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://home.netscape.com/home/winsearch200.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://solongas.com/sp.htm?id=9 R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://keyword.netscape.com/keyword/%s R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von MCNON F1 - win.ini: load=ptsnoop.exe O2 - BHO: (no name) - {A9A674BF-771F-42E5-A440-D20DDA85A862} - C:\WINDOWS\SYSTEM\H8JTRNN9ZJRKA.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [PowerVR] pvrinit.exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - Startup: Crystal 3D Audio Control.lnk = C:\WINDOWS\CWB3DSND.EXE O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll O12 - Plugin for .mov: C:\PROGRAMME\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\NPQTW32.DLL Dieser Beitrag wurde am 19.07.2004 um 09:46 Uhr von Peter2507 editiert.
|
|
|
||
19.07.2004, 10:25
Member
Beiträge: 441 |
#6
@ Peter2507
Zitat Hier ist es, sag warum, soll ich diese DAteien verschicken, und muss ich die nicht löschen?Damit Rokop Security dann die infizierten Dateien an die AntiViren Hersteller weiterleiten kann. Löschen solltest du sie auch, sofern du sie nicht ausgeschnitten hast. Aber mich beunruhigt eher diese Eintrag: F1 - win.ini: load=ptsnoop.exe Info: http://www.sophos.de/virusinfo/analyses/trojptsnoop.html sowie die Alexa Einträge: O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm Daher meine Empfehlung: Setze dein System neu auf, da es nicht mehr vertrauenswürdig ist! http://www.mathematik.uni-marburg.de/~wetzmj/index.php?viewPage=sec-compromise.html http://schad.dyndns.org/index.php/Kompromittierung Du hast einen aktiven Ptsnoop/Backdoor Trojaner, dies sollte Grund genug sein. Ps Zitat Wenn ich meinen Browswer jetzt öffne, steht in der leiste: C:\\Windows\system\hputiDas ist derBrowser Hijacker CWS.Hputi (hijacks to solongas.com and hp.uti, uses filename sysstartup.exe) __________ Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen. Neuaufsetzen des Systems/Absicherung! HJT Anleitung Dieser Beitrag wurde am 19.07.2004 um 10:26 Uhr von Cidre editiert.
|
|
|
||
19.07.2004, 12:13
Member
Beiträge: 1095 |
#7
@Peter
Ich hab noch einen übersehen Überprüfe mal bitte die Datei powrprof.dll (liegt in c:\windows oder c:\windows\system) bei einem Onlinescan http://www.kaspersky.com/de/remoteviruschk.html Wenn virolent dann bitte diese 2 Einträge fixen O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme Link für powrprof.dll http://www.sophos.com/virusinfo/analyses/w32inmotecda.html DU SOLLEST DIR UNBEDINGT EINEN VIRENSCANNER RUNTERLADEN UND DIE GANZE FESTPLATTE SCANNEN www.freeav.de ist kostenlos für Privatanwender. Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
19.07.2004, 15:03
...neu hier
Themenstarter Beiträge: 4 |
#8
Ok, das hört sich ja nicht sehr nett an. Die Problematik ist, daß ich das System nicht neu aufsetzen kann, da etliche Programme für die Arbeit meiner Mutter drauf sind, die nur sehr schwer(wenn überhaupt) erhältlich sind. Die DAtei hab ich online gecheckt, da ist nix. Ist mein Hijacker jetzt schon weg oder muss ich noch was machen? Wenn ja was - und kann man den aktiven Trojaner nicht eliminieren?
Weiters kann ich die beiden Dateien, die ich an Rokop Sec. schicken soll, nicht schicken, da der Server dies verweigert. Also, wie du siehst, steck ich in der Klemme. |
|
|
||
Heute hat sich eben dieser hijacker bei mir eingenistet. Ich würde mich freuen, wenn ihr mir helfen könnt. Das Problem ist nur, ich kenn mich nicht so gut mit PCs und so aus, also könntet ihr mir das ein bißchen genauer ( als bei den anderen mit diesem Problem)erklären, was ich genau mit welchem Programm usw. machen muss. Ich dank euch schon mal im voraus und hier ist mein log:
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\PTSNOOP.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\UNZIPPED\HIJACKTHIS\HIJACKTHIS.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://solongas.com/hp.htm?id=632
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://home.netscape.com/home/winsearch200.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://keyword.netscape.com/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von MCNON
F1 - win.ini: load=ptsnoop.exe
O2 - BHO: (no name) - {A9A674BF-771F-42E5-A440-D20DDA85A862} - C:\WINDOWS\SYSTEM\H8JTRNN9ZJRKA.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [PowerVR] pvrinit.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKCU\..\Run: [uninstal] regsvr32 /u /s image.dll
O4 - Startup: Crystal 3D Audio Control.lnk = C:\WINDOWS\CWB3DSND.EXE
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office neu\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O12 - Plugin for .mov: C:\PROGRAMME\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\NPQTW32.DLL
Bitte, bitte helft mir, das ist nämlich der PC von meiner Mutter und die braucht den zum Arbeiten.
Danke euch