Spyware lässt sich nicht entfernen

#0
27.08.2004, 19:02
...neu hier

Beiträge: 3
#1 Hallo

habe mir mal wieder etwas eingefangen ;) bisher musste ich immer formatieren damit ich den Browser Hijack wegbekommen konnte *grrr*
jetzt bin ich auf dieses forum gestoßen und hoffe das ihr etwas mit meiner logfile anfangen könnt. habe bereits alles an remove programmen ausprobiert so wie es in dem fix thema steht! bis auf 2 files die sich nicht löschen lassen bzw. immer wieder auftauchen, zeigt der Ad-Aware SE Personal nichts mehr an. nur wenn ich den IE wieder benutze kommt wieder die startseite home search und es öffnen sich pop ups, danach sind es wieder mehr files die das anti virus findet.

Logfile of HijackThis v1.97.7
Scan saved at 18:50:50, on 27.08.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\winln32.exe
C:\WINDOWS\Rhododendron.bmp:jprkd
D:\Programme\Winamp\winampa.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Windows Media Player\dlexport.exe
D:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Dokumente und Einstellungen\RepLoiD\Anwendungsdaten\mttd.exe
C:\WINDOWS\System32\vlkgytun.exe
D:\PROGRA~1\ICQ\ICQ.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Tools & Patches\Virus\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ubsvo.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ubsvo.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ubsvo.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ubsvo.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\ubsvo.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ubsvo.dll/sp.html#29126
O2 - BHO: (no name) - {5F557ACC-8504-78AF-2F80-6CEC9B55D9F0} - C:\WINDOWS\system32\ntuw32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinampAgent] d:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] D:\Programme\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [dlexport] C:\Programme\Windows Media Player\dlexport.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [winln32.exe] C:\WINDOWS\winln32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Scar] C:\Dokumente und Einstellungen\RepLoiD\Anwendungsdaten\mttd.exe
O4 - HKCU\..\Run: [Ixe] C:\WINDOWS\System32\vlkgytun.exe
O4 - HKCU\..\RunOnce: [ICQ] D:\PROGRA~1\ICQ\ICQ.exe -trayboot
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchmiracle.com
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=9eafaeb2a8e2a9518112bc6e0cedee1552dd4ecb1dd748bcf1cf4d42ced1394245b14c137e17952f3a6abadc3d36297b2b37:b70ac5aa8ec48e2e58a29296baabe1d6
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093624601936
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EA1BEAAB-2284-4F38-96C5-E839F958406B}: NameServer = 192.168.2.1

Ich bin mir ziemlich sicher, dass (fast) alle pathes was mit dem spybot zu tun haben , bis auf einige autostart programme wie icq. habe letztens selbst versucht alles verdächtige zu löschen, aber danach ging mein internet garnicht mehr!

thx im vorraus

mfg Reploid
Seitenanfang Seitenende
27.08.2004, 19:32
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo @Reploid

scanne mit dem HijackThis, hake das alles an und <fix<, dann neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ubsvo.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ubsvo.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ubsvo.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ubsvo.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\ubsvo.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ubsvo.dll/sp.html#29126
O2 - BHO: (no name) - {5F557ACC-8504-78AF-2F80-6CEC9B55D9F0} - C:\WINDOWS\system32\ntuw32.dll

O4 - HKLM\..\Run: [dlexport] C:\Programme\Windows Media Player\dlexport.exe
O4 - HKLM\..\Run: [winln32.exe] C:\WINDOWS\winln32.exe
O4 - HKCU\..\Run: [Scar] C:\Dokumente und Einstellungen\RepLoiD\Anwendungsdaten\mttd.exe
O4 - HKCU\..\Run: [Ixe] C:\WINDOWS\System32\vlkgytun.exe

O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchmiracle.com
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=9eafaeb2a8e2a9518112bc6e0cedee1552dd4ecb1dd748bcf1cf4d42ced1394245b14c137e17952f3a6abadc3d36297b2b37:b70ac5aa8ec48e2e58a29296baabe1d6

neustarten

#Loesche unter <Internetoptionen< alle TemporaryInternetfiles (auch Offline)
#Loesche ALLE Temporary-Ordner unter
Start<Ausfuehren<%temp% (reinkopieren oder reinschreiben) ;)

# schau dir aber mal mit Kaspersky an, was du da so alles eingefangen hast: (poste dann das Ergebnis )
http://www.kaspersky.com/remoteviruschk.html

C:\WINDOWS\winln32.exe..LOESCHEN (!)
C:\WINDOWS\Rhododendron.bmp:jprkd
C:\Dokumente und Einstellungen\RepLoiD\Anwendungsdaten\mttd.exe
C:\WINDOWS\System32\vlkgytun.exe ..LOESCHEN (!)
C:\Programme\Windows Media Player\dlexport.exe
C:\WINDOWS\system32\ntuw32.dll...LOESCHEN (!)

__________________________________________________________________

#Dann laedst du< eScan<erstelle vorher eine C:\ base und entpacke dort den Scanner
http://www.mwti.net/antivirus/free_utilities.asp
suchst mit der Suchfunktion von Windows eine "kavupd.exe" und anklicken.(kann auch im Temporary-Ordner sein)
Start<Ausfuehren< %temp%

Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt(dauert ein bisschen)

Gehe unbedingt in den abgesicherten Modus (!)
http://www.bsi.de/av/texte/winsave.htm

#suche "mwav.exe und starte so den< eScan<. Alle Häkchen setzen und "Clean-Scan" klicken.

Nach dem Scann, gehe wieder in den Normalmodus , scanne noch mal und:postest du alles, was als <deleted< und <renamed< und <no action taken< gefunden wurde und postest das neue Log vom HijackThis noch mal.(plus Infos von Kaspersky) ...vorher eine neue Startseite einstellen
___________________________________________________________________
#Deaktiviere die Wiederherstellung
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

#Tipp: Lade den<Firefox< als Alternetivbrowser (ist viel sicherer als der IE)
und mache die WindowsUpdates (!!!), falls keine CDkey da ist, lade alles, ausser SP2

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 27.08.2004 um 19:41 Uhr von Sabina editiert.
Seitenanfang Seitenende
27.08.2004, 21:34
...neu hier

Themenstarter

Beiträge: 3
#3 so ein ein bischen länger gedauert, aber ich glaube das problem ist gelöst , obwohl noch einiges bei ad-aware und hijackthis zu finden ist, kommen keine pop-ups mehr und die startseite ist auch wieder richtig ;)

eScan Protokoll ( die sind definitiv clean )

File D:\Tools & Patches\Games\Half-Life\pod25ins.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\System Volume Information\_restore{24BD3009-64A2-47F6-9601-C483B939F48D}\RP24\A0008357.EXE tagged as not-a-virus:RiskWare.mIRC.6.03. No Action Taken.
File D:\Programme\Gamers.IRC\mirc.exe tagged as not-a-virus:RiskWare.mIRC.6.03. No Action Taken.

hijackthis

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\Winamp\winampa.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
D:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
D:\PROGRA~1\ICQ\ICQ.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\RepLoiD\LOKALE~1\Temp\mwavscan.com
C:\DOKUME~1\RepLoiD\LOKALE~1\Temp\kavss.exe
D:\Tools & Patches\Virus\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\catuk.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\catuk.dll/sp.html#29126
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\catuk.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\catuk.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\catuk.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\catuk.dll/sp.html#29126
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinampAgent] d:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] D:\Programme\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [ieto32.exe] C:\WINDOWS\system32\ieto32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ] D:\PROGRA~1\ICQ\ICQ.exe -trayboot
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093624601936
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EA1BEAAB-2284-4F38-96C5-E839F958406B}: NameServer = 192.168.2.1

ad-aware

Started registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

CoolWebSearch Object Recognized!
Type : Regkey
Data :
Category : Data Miner
Comment : CWS.FullSearch
Rootkey : HKEY_LOCAL_MACHINE
Object : system\currentcontrolset\enum\root\legacy_o?*001e*2019*017drt*00f1*00e5*00c8*00b2$*000e*00d3

CoolWebSearch Object Recognized!
Type : Regkey
Data :
Category : Data Miner
Comment : CWS.FullSearch
Rootkey : HKEY_LOCAL_MACHINE
Object : system\controlset001\enum\root\legacy_o?*001e*2019*017drt*00f1*00e5*00c8*00b2$*000e*00d3

Registry Scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 2
Objects found so far: 2

Kaspersky hat nichts gefunden

Hoffentlich bleibt das Viech jetzt deaktiv , ansonsten nochmal Vorschläge machen ^^
Dieser Beitrag wurde am 27.08.2004 um 21:48 Uhr von Reploid editiert.
Seitenanfang Seitenende
27.08.2004, 21:38
...neu hier

Beiträge: 1
#4 ich weiß welchen trojaner ich hab Win32.StartPage.is
aber wie bekomme ich den jetz weg
Seitenanfang Seitenende
28.08.2004, 01:18
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#5 @Reploid

Deaktiviere die Wiederherstellung
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924
(kannst du, wenn alles sauber ist, wieder aktivieren)

Fixe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\catuk.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\catuk.dll/sp.html#29126
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\catuk.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\catuk.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\catuk.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\catuk.dll/sp.html#29126
O4 - HKLM\..\Run: [ieto32.exe] C:\WINDOWS\system32\ieto32.exe

neustarten

#Loesche alle TemporaryInternetfiles unter <Internetoptionen
#Gehe in Start<Ausfuehren<%temp%
und loesche die Temporary-Ordner

Lade Antivirus
http://www.free-av.de/
nach dem Installationsscann konfigurierst du
<Heuristik:mittel
<alle Dateien
<Guard aktivieren

gehe wieder in den abgesicherten Modus (!!!)

1. loesche :C:\WINDOWS\system32\ieto32.exe
2.mache einen Komplettscann mit dem Antivirus
3.scanne noch mal mit mwav.exe
4. Mache UNBEDINGT die WindowsUpdates (falls keine cdkey da ist, alles ausser SP2)
5. Lade den Firefox und surfe nur mit ihm (sicherer als der IE9
http://www.firebird-browser.de/

Dann stelle eine neue Startseite ein und poste das Log noch mal.(mit dem IE)

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 28.08.2004 um 01:28 Uhr von Sabina editiert.
Seitenanfang Seitenende
28.08.2004, 01:22
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6

Zitat

mirx postete
ich weiß welchen trojaner ich hab Win32.StartPage.is
aber wie bekomme ich den jetz weg
Hallo@mirx
Du irrst hier verloren ;) durchs Forum...
Solange wie ich kein Log vom HijackThiis von dir gesehen habe, kann ich keine Tipps geben.
Ansonsten installiere den Antivirus und mache , was ich weiter oben erklaert habe.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 28.08.2004 um 01:23 Uhr von Sabina editiert.
Seitenanfang Seitenende
21.09.2004, 10:04
...neu hier

Beiträge: 3
#7 hi. hab das slebe problem. kann mir dabei auch jemand helfen???

hier meine hijack logfile

Danke im vorraus

Logfile of HijackThis v1.98.2
Scan saved at 09:59:51, on 21.09.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\Programme\Network Associates\VirusScan\Mcshield.exe
C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
E:\Lotus1\Notes\ntmulti.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\QuickTime\qttask.exe
C:\WINNT\system32\internat.exe
C:\Programme\OpenOffice.org1.1.2\program\soffice.exe
C:\Programme\ICQLite\ICQLite.exe
E:\Lotus1\Notes\NLNOTES.EXE
E:\Lotus1\Notes\ntaskldr.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\KAIFRA~1\LOKALE~1\Temp\Rar$EX00.582\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.iwantsearch.com
R3 - URLSearchHook: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - C:\WINNT\Downloaded Program Files\rundlg32.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - C:\WINNT\Downloaded Program Files\rundlg32.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Search Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - C:\WINNT\Downloaded Program Files\rundlg32.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: OpenOffice.org 1.1.2.lnk = C:\Programme\OpenOffice.org1.1.2\program\quickstart.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{A591543C-6D49-464D-97A2-F7575DE31E4B}: NameServer = 192.168.215.200,192.168.213.3
Seitenanfang Seitenende
21.09.2004, 11:07
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 Hallo@TheAnswer

Fixe mit dem HijackThis:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.iwantsearch.com
R3 - URLSearchHook: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - C:\WINNT\Downloaded Program Files\rundlg32.dll
O2 - BHO: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - C:\WINNT\Downloaded Program Files\rundlg32.dll
O3 - Toolbar: Search Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - C:\WINNT\Downloaded Program Files\rundlg32.dll

neustarten

Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"

#Laufwerk C: eine Datenträgerbereinigung vornehmen.
Start > Programme > Zubehör > Systemprogramme > Datenträgerbereinigung (Temporary-Dateien anhaken und loeschen lassen)

#Start< Einstellungen< Systemsteuerung<Internet Optionen
.Internet Explorer<Menüleiste Extras<Internet Optionen<Allgemein<Verlauf" leeren, Cookies, TemporaryInternetfiles (auch Offline) loeschen

#Leere den Ordner:
C:\Documents and Settings\<dein Profile>\Local Settings\Temporary Internet Files\

#Start<Ausfuehren< reinkopieren:
regsvr32 /u c:\system32\rundlg32.dll
"enter" und neustarten

loeschen:
c:\system32\rundlg32.dll
C:\WINNT\Downloaded Program Files\rundlg32.dll
........................................................................................................

#CWShredder 1.59
http://www.chip.de/downloads/c_downloads_11353799.html
WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!.

#AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!.
Files, die Adaware findet, können bedenkenlos gelöscht werden.

#Das eScan AV Toolkit (mwav.exe) herunterladen,
http://www.mwti.net/antivirus/free_utilities.asp
die Datei in den Ordner "c:\base" entpacken und danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen.
und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives und "Scan clean" klicken.
Poste danach Virus Log Information:
was als <deleted< und <renamed< und <no action taken< gefunden wurde

dann poste das HijackThis-Log noch mal.(vorher eine neue Startseite einstellen)
___________________________________________________________________________--

Tipps:
1.Alternativbrowser zum IE
Firefox
http://www.mozilla.org/products/firefox/download.html?http%3A//ftp.mozilla.org/pub/mozilla.org/firefox/releases/0.10/Firefox%20Setup%201.0PR.exe
Opera
http://www.opera7.de/

2.Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein.
Die REGSVC.EXE (Remote Registry Service) ist ein Systemprozess.
Mit dieser kann man von einem anderen Rechner auf die Registry zugreifen und sie bearbeiten.
Wer diesen Dienst nicht nutzt (was wohl für die Meisten zutrifft) kann ihn deaktivieren....Sicherheitsrisiko !!!!!!

--««NT- Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 21.09.2004 um 11:15 Uhr von Sabina editiert.
Seitenanfang Seitenende
21.09.2004, 12:02
...neu hier

Beiträge: 3
#9 hi. hier nochma die log.
scheint aber alles wieder clean zu sein! THX....!

ja, ich weiss, sch*** IE, aber mit dem opera komm ich nich zurecht. den firefox werd ich jetzu ma ausprobiern.

Logfile of HijackThis v1.98.2
Scan saved at 12:01:56, on 21.09.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\Programme\Network Associates\VirusScan\Mcshield.exe
C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
E:\Lotus1\Notes\ntmulti.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\QuickTime\qttask.exe
C:\WINNT\system32\internat.exe
C:\Programme\OpenOffice.org1.1.2\program\soffice.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\KAIFRA~1\LOKALE~1\Temp\Rar$EX00.723\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.golem.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Startup: OpenOffice.org 1.1.2.lnk = C:\Programme\OpenOffice.org1.1.2\program\quickstart.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{A591543C-6D49-464D-97A2-F7575DE31E4B}: NameServer = 192.168.215.200,192.168.213.3
Seitenanfang Seitenende
21.09.2004, 15:48
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 Hallo@TheAnswer
Es ist alles sauber ;)
Surfe nicht mehr mit dem IE, sondern lade Firefox oder Opera.
mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
21.09.2004, 17:52
...neu hier

Beiträge: 3
#11 also nochma 1000 THX to Sabina!!!!!

hab jetz auch den firefox. is bis jetz echt ganz gut...!
Seitenanfang Seitenende
21.09.2004, 19:15
...neu hier

Themenstarter

Beiträge: 3
#12 hi

hab noch mal ne frage bezüglich den Softwareeinträgen in der Systemsteuerung. dort stehen nämlich noch search extender, home search assistent und shopping wizzard , obwohl der pc völlig clean ist.

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\Winamp\winampa.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
D:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
D:\PROGRA~1\ICQ\ICQ.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\rundll32.exe
D:\Tools & Patches\Virus\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinampAgent] d:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] D:\Programme\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ] D:\PROGRA~1\ICQ\ICQ.exe -trayboot
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093624601936
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EA1BEAAB-2284-4F38-96C5-E839F958406B}: NameServer = 192.168.2.1

liegt das an irgentwelchen regedit eintraägen oder muss ich jetzt damit leben? ;) lol

mfg reploid
Seitenanfang Seitenende
22.09.2004, 10:24
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#13 Hallo @Reploid ;)

1.Lade AdAware (free)
http://www.lavasoft.de/support/download/
2.Update AdAware
3.Poste bitte mal das Log Files
http://www.lavasoftsupport.com/index.php?showtopic=40554
..............................................................................................
Tip:
Gehe nicht ohne Virenscanner\Virenguard ins Net
#Antivirus (free)
http://www.free-av.de/

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 22.09.2004 um 10:26 Uhr von Sabina editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
  • »
  • »
  • »
  • »
  • »