www.us als Startseite im IE |
||
|---|---|---|
| #0
| ||
|
23.07.2004, 11:10
...neu hier
Beiträge: 3 |
||
 
|
|
|
|
23.07.2004, 12:06
Member
Beiträge: 1095 |
#2
@ryu
Das heir kannst du glaube ich guten Gewissens fixen O4 - HKCU\..\Run: [MSSVC] "C:\WINDOWS\system32\svcsys.exe" 8192 Dann neustart machen und schauen ob Sie wirklich weg ist. Schick die Datei mal bitte gezippt an virus@protecus.de Ansonsten is natürlich der R0 EIntrag noch Böse Die hier gefallen mir auch nicht O1 - Hosts: 216.40.230.4 desktop.kazaa.com O1 - Hosts: 216.40.230.4 alpha.kazaa.com O1 - Hosts: 216.40.230.4 shop.kazaa.com Poste mal bitte nochmal das Logfile Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 23.07.2004 um 12:09 Uhr von paff editiert.
|
|
|
|
|
|
|
23.07.2004, 12:28
...neu hier
Themenstarter Beiträge: 3 |
#3
@paff
vielen Danke svcsys.exe wars! hier die Antwort von rokop-security.de 469 ms I:\gio\svcsys.exe Virus W32/Malware ( [ General information ] * File length: 14336 bytes. [ Changes to filesystem ] * Deletes file C:\WINDOWS\SYSTEM\svcsys.exe. * Creates file C:\WINDOWS\SYSTEM\svcsys.exe. [ Changes to registry ] * Creates key "HKCU\Software\FastWebTools". * Creates key "HKCU\Software\FastWebTools\Commands". * Creates key "HKCU\Software\FastWebTools\Squad". * Creates key "HKCU\Software\FastWebTools\ETrans". * Creates value "MSSVC"=""C:\WINDOWS\SYSTEM\svcsys.exe" 8192" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Run". * Modifies value "Start Page"="http://wvww.us/" in key "HKCU\Software\Microsoft\Internet Explorer\Main". |
|
|
|
|
|
|
23.07.2004, 12:56
Member
Beiträge: 1095 |
#4
@ryu
Poste bitte nochmal das Logfile. Mal sehen ob alles sauber ist. Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
|
|
|
|
23.07.2004, 13:02
...neu hier
Themenstarter Beiträge: 3 |
#5
na hoffentlich! Jedenfalls kann ich die Startseite wieder verändern und bleibt auch so
Logfile of HijackThis v1.98.0 Scan saved at 13:02:56, on 23.07.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\mnmsrvc.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton Internet Security\NISUM.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\MSTask.exe C:\WINDOWS\system32\stisvc.exe C:\Programme\Norton Internet Security\SymProxySvc.exe C:\WINDOWS\System32\WBEM\WinMgmt.exe C:\WINDOWS\System32\mspmspsv.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Norton Internet Security\NISSERV.EXE C:\WINDOWS\Explorer.EXE C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe C:\Programme\Norton Internet Security\IAMAPP.EXE C:\PROGRA~1\NORTON~1\navapw32.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\anvshell.exe C:\Programme\MusicMatch\MusicMatch Jukebox\mm_tray.exe C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Creative\Shared Files\CAMTRAY.EXE C:\Programme\Motorola\A920 Desktop Suite\ConnMngmntBox.exe C:\Programme\Motorola\A920 Desktop Suite\ECTaskScheduler.exe C:\Programme\Norton Internet Security\ATRACK.EXE C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\Motorola\A920DE~1\Elogerr.exe C:\PROGRA~1\INTUWA~1\Shared\MROUTE~1\mRouterRuntime.exe C:\PROGRA~1\Motorola\A920DE~1\BROADC~1.EXE C:\PROGRA~1\Motorola\A920DE~1\SCRFS.exe C:\Programme\Microsoft Office\Office\OUTLOOK.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\rnathchk.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Skype\Phone\Skype.exe C:\Dokumente und Einstellungen\Administrator\Desktop\Downloads\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.utanet.at R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orf.at/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton Internet Security\IAMAPP.EXE O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [anvshell] anvshell.exe O4 - HKLM\..\Run: [MMTray] C:\Programme\MusicMatch\MusicMatch Jukebox\mm_tray.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Programme\Creative\Shared Files\CAMTRAY.EXE O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook O4 - Global Startup: A920 Connection Manager.lnk = C:\Programme\Motorola\A920 Desktop Suite\ConnMngmntBox.exe O4 - Global Startup: A920 Task Scheduler.lnk = C:\Programme\Motorola\A920 Desktop Suite\ECTaskScheduler.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: Preispiraten AT - {B05C1AA2-A156-4DF6-B065-04B5D5340E87} - C:\Programme\Preispiraten_AT\preispiraten.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O16 - DPF: symsupportutil - https://www-secure.symantec.com/region/de/techsupp/activedata/symsupportutil.CAB O16 - DPF: {4E888414-DB8F-11D1-9CD9-00C04F98436A} (Microsoft.WinRep) - https://webresponse.one.microsoft.com/oas/ActiveX/winrep.cab O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://pub.plan.at/mgaxctrlde.cab O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/region/de/techsupp/activedata/ActiveData.cab O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{E397D4D7-C209-4EEC-B518-64ADD3A19003}: NameServer = 195.70.224.45 213.90.38.3 |
|
|
|
|
|
|
23.07.2004, 13:29
Member
Beiträge: 1095 |
#6
@ryu
Sieht gut aus Gruß paff P.S: EIne Frage diese Musicmatch O4 - HKLM\..\Run: [MMTray] C:\Programme\MusicMatch\MusicMatch Jukebox\mm_tray.exe Was ist das genaubzw. taugt das was. Ich seh das DIng sooft und weiß nicht was es ist  __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 23.07.2004 um 13:36 Uhr von paff editiert.
|
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Seite(n): 1
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
jetzt brauch ich unbedingt Hilfe. Es trägt sich als Startseite immer www.us als startseite ein und ich komme dann auf http://i-search.us/.
Jetzt hab ich aber schon folgende Programme versucht:
-Ad-aware
-spybot-Search & Destroy
-cw shredder
-mwav.exe (jedes Programm hat zwar ein bischen was gefunden aber nix von meinem Probelm
Ja und natürlich hab ich hijackthis laufen lassen und ausgewertet.
Dort steht auch im R0 gleich www.us als startseite -> löschen hilft aber nix, kommt immer wieder.
Der Rest sagt mir nichts und bei den Laufenden Programmen kenn ich C:\WINDOWS\System32\mnmsrvc.exe und C:\WINDOWS\system32\svcsys.exe weiß aber nicht wie ich die wegbekommen falsch böse.
Jedenfalls hier nochmal das log:
Logfile of HijackThis v1.98.0
Scan saved at 10:56:45, on 23.07.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.51 SP2 (5.51.4807.2300)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\mnmsrvc.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\MSTask.exe
C:\WINDOWS\system32\stisvc.exe
C:\Programme\Norton Internet Security\SymProxySvc.exe
C:\WINDOWS\System32\WBEM\WinMgmt.exe
C:\WINDOWS\System32\mspmspsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Norton Internet Security\NISSERV.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Programme\Norton Internet Security\IAMAPP.EXE
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\anvshell.exe
C:\Programme\MusicMatch\MusicMatch Jukebox\mm_tray.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Creative\Shared Files\CAMTRAY.EXE
C:\WINDOWS\system32\svcsys.exe
C:\Programme\Motorola\A920 Desktop Suite\ConnMngmntBox.exe
C:\Programme\Norton Internet Security\ATRACK.EXE
C:\Programme\Motorola\A920 Desktop Suite\ECTaskScheduler.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\Motorola\A920DE~1\Elogerr.exe
C:\PROGRA~1\INTUWA~1\Shared\MROUTE~1\mRouterRuntime.exe
C:\PROGRA~1\Motorola\A920DE~1\BROADC~1.EXE
C:\PROGRA~1\Motorola\A920DE~1\SCRFS.exe
C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Administrator\Desktop\Downloads\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.utanet.at
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://wvww.us/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O1 - Hosts: 216.40.230.4 desktop.kazaa.com
O1 - Hosts: 216.40.230.4 alpha.kazaa.com
O1 - Hosts: 216.40.230.4 shop.kazaa.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton Internet Security\IAMAPP.EXE
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [MMTray] C:\Programme\MusicMatch\MusicMatch Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Programme\Creative\Shared Files\CAMTRAY.EXE
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [MSSVC] "C:\WINDOWS\system32\svcsys.exe" 8192
O4 - Global Startup: A920 Connection Manager.lnk = C:\Programme\Motorola\A920 Desktop Suite\ConnMngmntBox.exe
O4 - Global Startup: A920 Task Scheduler.lnk = C:\Programme\Motorola\A920 Desktop Suite\ECTaskScheduler.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Preispiraten AT - {B05C1AA2-A156-4DF6-B065-04B5D5340E87} - C:\Programme\Preispiraten_AT\preispiraten.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O16 - DPF: symsupportutil - https://www-secure.symantec.com/region/de/techsupp/activedata/symsupportutil.CAB
O16 - DPF: {4E888414-DB8F-11D1-9CD9-00C04F98436A} (Microsoft.WinRep) - https://webresponse.one.microsoft.com/oas/ActiveX/winrep.cab
O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://pub.plan.at/mgaxctrlde.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/region/de/techsupp/activedata/ActiveData.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E397D4D7-C209-4EEC-B518-64ADD3A19003}: NameServer = 195.96.0.4 195.70.224.45
Achja, was mir noch aufgefallen ist.
Startseite ist nur bei meinem User immer die Selbe. Wenn ich unter dem User meiner Freundin einsteige ist alles o.k.
Hoffentlich könnt ihr mir helfen