Neuer Trojaner??? TR/Spy.Sysfit |
||
---|---|---|
#0
| ||
10.09.2004, 00:04
...neu hier
Beiträge: 7 |
||
|
||
10.09.2004, 11:51
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo @needhelp
FIXE MIT DEM HIJACKTHIS: O2 - BHO: Replace Search Ctl - {832BEBED-C3DA-4534-A2C2-B2FFF220C820} - C:\WINDOWS\System32\replaceSearch.dll (TrojanDownloader.Win32.Small.hs) (04-Eintrag vorher im Taskmanager deaktivieren) O4 - HKCU\..\Run: [DR_S] C:\Programme\DR_S\DR_S.exe O16 - DPF: {A27AD582-5BE5-4C2D-82F0-48B24FE02040} - http://www.adshooter.com/pop_shooter/install/win2000/SYSsfitb.cab ......................................................................................................... neustarten 1.Gehe in den abgesicherten Modus http://www.bsi.de/av/texte/winsave.htm 2. Gehe in die Registry Start<Ausfuehren<regedit loesche auf der rechten Seite der Registry diesen Eintrag, wenn er noch da ist. HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run\dr_s 3. gib oben links in die Suchfunktion der Registry ein: # dr_s und loesche alles, was noch angezeigt wird. # sfitb too (searchforittoolbar) loesche alles, was du findest 4.Neustarten 5.wieder in den abgesicherten Modus gehen 6.Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK" 7.Loesche: <DR_S.exe <C:\Programme\DR_S\DR_S.exe C:\windows\system32\replaceSearch.dll und benenne um: "replacesearch.dll" zu "replacesearch2.dll und loesche (!) <SYSsfitb.cab (im WinRar-Verzeichnis) 8. neustarten und in den Normalmodus gehen 9.#Loesche ALLE Dateien und leere ALLE Ordner: (nicht die Ordner selbst loeschen !) <Start --> Ausfuehren --> typ ein: %systemroot%/temp <Start --> Ausfuehren --> typ ein: %temp% 11. Mache einen Scann (DOS) >CLRAV> Kaspersky DOS-Scanner http://www.vsantivirus.com/util-clrav.htm 12. Deaktiviere die Wiederherstellung 13. Mache die WindowsUpdates http://v5.windowsupdate.microsoft.com/v5consumer/default.aspx 14. NT- Dienste sicher konfigurieren www.dingens.org 15. Aktualisiere den IE #Internet Explorer 6 Service Pack 1 http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=1E1550CB-5E5D-48F5-B02B-20B602228DE6 16.den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera oder firefox umsteigen http://www.firebird-browser.de/ 17. Mache einen Onlinescann #Trend-Micro (Online) http://de.trendmicro-europe.com/enterprise/products/housecall_pre.php .......................................................................................................... Dann poste das Log noch mal. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 11.09.2004 um 15:32 Uhr von Sabina editiert.
|
|
|
||
11.09.2004, 14:59
...neu hier
Themenstarter Beiträge: 7 |
#3
Hey Sabina, erstmal vielen Dank für deine schnelle Hilfe. Bin aber bei deiner Anleitung auf ein paar Probleme gestoßen und glaube, dass der Trojaner immer noch sein Unwesen bei mir treibt.
Problem #1 (Punkt 3) Zitat 3. gib oben links in die Suchfunktion der Registry ein:-->zu der searchforit toolbar habe ich in der reg. nix finden können. Sie klemmt sich weiterhin auch bei jedem start unter die Adresseleiste im IE. #2 (Punkt 7) Zitat .Loesche:-->die exe konnte ich löschen. Aber die "dll" und die "cab" konnte ich nicht finden. #3 (Punkt 12) -->weiß nicht wo ich die Wiederherstellung deaktivieren kann!? Poste jetzt nochmal mein logfile: Logfile of HijackThis v1.98.2 Scan saved at 14:56:13, on 11.09.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\The Cleaner\tca.exe C:\Programme\The Cleaner\tcm.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\PROGRA~1\CLOCKS~1\Sync.exe C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\WINDOWS\System32\Ati2evxx.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX00.188\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.searchforit.com/searchbar R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchforit.com/searchbar R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchforit.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.searchforit.com/searchbar R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchforit.com/searchbar R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.searchforit.com/searchbar O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: searchforit - {C109664B-CEB1-420b-B353-D55A561536DD} - C:\WINDOWS\System32\SYSsfitb.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [tcactive] C:\Programme\The Cleaner\tca.exe O4 - HKLM\..\Run: [tcmonitor] C:\Programme\The Cleaner\tcm.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [ClockSync] C:\PROGRA~1\CLOCKS~1\Sync.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094643015671 Hoffe du kannst mir weiterhelfen, danke schon mal im Voraus. mfg |
|
|
||
11.09.2004, 15:38
Ehrenmitglied
Beiträge: 29434 |
#4
Hallo @needhelp
Fixe: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.searchforit.com/searchbar R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchforit.com/searchbar R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchforit.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.searchforit.com/searchbar R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchforit.com/searchbar R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.searchforit.com/searchbar O3 - Toolbar: searchforit - {C109664B-CEB1-420b-B353-D55A561536DD} - C:\WINDOWS\System32\SYSsfitb.dll neustarten FindnFix: http://www10.brinkster.com/expl0iter/freeatlast/FNF/ 1. Entpacken 2. !LOG!.BAT anklicken 3. Log(log.txt) abkopieren und posten _________________________________________________________________________________ #Loesche ALLE Dateien und leere ALLE Ordner: (nicht die Ordner selbst loeschen !) 1) Start --> Ausfuehren --> typ ein: %systemroot%/temp 2) Start --> Ausfuehren --> typ ein: %temp% #Internet Explorer<Menüleiste Extras<Internet Optionen<Allgemein<Verlauf" leeren, Cookies, TemporaryInternetfiles (auch Offline) loeschen #Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK" #Start<Ausfuehren< (reinkopieren) regsvr32 /u [systemroot]\SYSsfitb.dll regsvr32 /u C:\WINDOWS\System32\SYSsfitb.dll #neustarten und SYSsfitb.dllloeschen #Lade den "eScan" http://www.mwti.net/antivirus/free_utilities.asp suche mit der Suchfunktion von Windows eine "kavupd.exe" und anklicken.(kann auch im Temporary-Ordner sein) Start<Ausfuehren< %temp% Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt (dauert ein bisschen) #Gehe unbedingt in den abgesicherten Modus (!) http://www.bsi.de/av/texte/winsave.htm #suche "mwav.exe und starte so den< eScan<. Alle Häkchen setzen und "Clean-Scan" klicken. #Nach dem Scann, gehe wieder in den Normalmodus , scanne noch mal und poste alles, was als <deleted< und <renamed< und <no action taken< gefunden wurde das neue Log vom HijackThis noch mal. .......................................................................................................................... #Wiederherstellung deaktivieren http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 Dann stelle eine neue Startseite ein und poste das Log noch mal. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 11.09.2004 um 15:43 Uhr von Sabina editiert.
|
|
|
||
11.09.2004, 16:27
...neu hier
Themenstarter Beiträge: 7 |
#5
Sat 11 Sep 04 16:25:43
»»»»»»»»»»»»»»»»»»***LOG!***(*updated *9/1*)»»»»»»»»»»»»»»»» *System: Microsoft Windows XP Professional 5.1 (Build 2600) *IE version: 6.0.2800.1106 SP1 MS-DOS Version 5.00.500 *command.com test passed! __________________________________ !!*Creating backups...!! The operation completed successfully 16:25:42,95 11.09.2004 __________________________________ *Local time: Samstag, 11. September 2004 (11.09.2004) 16:25, Westeuropäische Sommerzeit *Uptime: 16:25:44 up 0 days, 0:10:30 *Path: C:\FINDnFIX ---------------------------------------------------- »»Member of...: ("ADMIN" logon + group match required!) User is a member of group THILO-PC\Kein. User is a member of group \Jeder. User is a member of group VORDEFINIERT\Administratoren. User is a member of group VORDEFINIERT\Benutzer. User is a member of group \LOKAL. User is a member of group NT-AUTORITÄT\INTERAKTIV. User is a member of group NT-AUTORITÄT\Authentifizierte Benutzer. !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! User: [THILO-PC\Administrator], is a member of: VORDEFINIERT\Administratoren \Everyone Running in WORKSTATION MODE. SystemDrive is C: SystemRoot is C:\WINDOWS Logon Domain is THILO-PC Administrator's Name is Administrator Computer Name is THILO-PC LOGON SERVER is \\THILO-PC »»»»»»»»»»»»»»»»»»*** Note! ***»»»»»»»»»»»»»»»» The list will produce a small database of files that will match certain criteria. Ex: read only files, s/h files, last modified date. size, etc. The filters provided and registry scan should match the corresponding file(s) listed. »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Unless the file match the entire criteria, it should not be pointed to remove without attempting to confirm it's nature! »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» At times there could be several (legit) files flagged, and/or duplicate culprit file(s)! If in doubt, always search the file(s) and properties according to criteria! The file(s) found should be moved to \FINDnFIX\"junkxxx" Subfolder ______________________________________________________________________________ ***YOU NEED TO DISABLE YOUR ACTIVE ANTI VIRUS PROTECTION TO AVOID CONFLICTS!*** ______________________________________________________________________________ ......Scanning for file(s)... *Note! The list(s) may include legitimate files! »»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»» »»»»» (*1*) »»»»» ......... »»Read access error(s)... »»»»» (*2*) »»»»»........ »»»»» (*3*) »»»»»........ No matches found. unknown/hidden files... No matches found. »»»»» (*4*) »»»»»......... Sniffing.......... Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15. SNiF 1.34 statistics Matching files : 0 Amount in bytes : 0 Directories searched : 1 Commands executed : 0 Masks sniffed for: *.DLL »»»»»(*5*)»»»»» »»»»»(*6*)»»»»» »»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»» »»»»»Search by size... *List of files and specs according to 'size' : *Note: Not all files listed here are infected, but *may include* the name and spces of the offending file... ___________________________________________________________________________ Path: C:\WINDOWS\SYSTEM32 Including: *.DLL ____________________________________________________________________________ *By size and date... No matches found. No matches found. No matches found. Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15. SNiF 1.34 statistics Matching files : 0 Amount in bytes : 0 Directories searched : 1 Commands executed : 0 Masks sniffed for: *.DLL Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15. SNiF 1.34 statistics Matching files : 0 Amount in bytes : 0 Directories searched : 1 Commands executed : 0 Masks sniffed for: *.DLL Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15. SNiF 1.34 statistics Matching files : 0 Amount in bytes : 0 Directories searched : 1 Commands executed : 0 Masks sniffed for: *.DLL »»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»» BHO search and other files... No matches found. No matches found. --*sp.html in temp folder was NOT FOUND!-- *Filter keys search... REGDMP: Unable to open key 'HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\text/html' (2) --(*text/html Subkey was NOT FOUND!)-- REGDMP: Unable to open key 'HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\text/plain' (2) --(*text/plain Subkey was NOT FOUND!)-- »»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»» »»Size of Windows key: (*Default-450 *No AppInit-398 *fake(infected)-448,504,512...) Size of HKEY_LOCAL_MACHINE\software\microsoft\Windows NT\CurrentVersion\Windows: 450 »»Checking for AppInit_DLLs (empty) value... ________________________________ !"AppInit_DLLs"=""! Value Matches ________________________________ »»Comparing *saved* key with *original*... REGDIFF 2.1 - Freeware written by Gerson Kurz (http://www.p-nand-q.com) Comparing File #1 (Keys1\winkey.reg) with File #2 (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows). No differences found. »»Dumping Values........ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs SZ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\DeviceNotSelectedTimeout SZ 15 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\GDIProcessHandleQuota DWORD 00002710 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Spooler SZ yes HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\swapdisk SZ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\TransmissionRetryTimeout SZ 90 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\USERProcessHandleQuota DWORD 00002710 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows AppInit_DLLs = DeviceNotSelectedTimeout = 15 GDIProcessHandleQuota = REG_DWORD 0x00002710 Spooler = yes swapdisk = TransmissionRetryTimeout = 90 USERProcessHandleQuota = REG_DWORD 0x00002710 »»Security settings for 'Windows' key: RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de) This program is Freeware, use it on your own risk! Access Control List for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows: (NI) ALLOW Read VORDEFINIERT\Benutzer (IO) ALLOW Read VORDEFINIERT\Benutzer (NI) ALLOW Read VORDEFINIERT\Hauptbenutzer (IO) ALLOW Read VORDEFINIERT\Hauptbenutzer (NI) ALLOW Full access VORDEFINIERT\Administratoren (IO) ALLOW Full access VORDEFINIERT\Administratoren (NI) ALLOW Full access NT-AUTORITŽT\SYSTEM (IO) ALLOW Full access NT-AUTORITŽT\SYSTEM (NI) ALLOW Full access VORDEFINIERT\Administratoren (IO) ALLOW Full access ERSTELLER-BESITZER Effective permissions for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows: Read VORDEFINIERT\Benutzer Read VORDEFINIERT\Hauptbenutzer Full access VORDEFINIERT\Administratoren Full access NT-AUTORITŽT\SYSTEM »»Performing string scan.... 00001150: ? 00001190: vk f AppInit_ 000011D0LLs G vk UDeviceNotSelectedTimeout 00001210: 1 5 _ 9 0 x, vk ' zGDIProce 00001250:ssHandleQuota" vk Spooler2 y e s h 00001290: 0 ` vk =pswapdisk vk 000012D0: R TransmissionRetryTimeout 0 ` 00001310: vk ' USERProcessHandleQuota 00001350: 00001390: 000013D0: 00001410: 00001450: 00001490: 000014D0: 00001510: 00001550: 00001590: 000015D0: ---------- WIN.TXT fùAppInit_DLLsÖæG -------------- -------------- $011C8: AppInit_DLLs $011F7: UDeviceNotSelectedTimeout $01247: zGDIProcessHandleQuota $012E0: TransmissionRetryTimeout $01330: USERProcessHandleQuota -------------- -------------- \WINDOWS\s -------------- -------------- REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="" "DeviceNotSelectedTimeout"="15" "GDIProcessHandleQuota"=dword:00002710 "Spooler"="yes" "swapdisk"="" "TransmissionRetryTimeout"="90" "USERProcessHandleQuota"=dword:00002710 ............. A handle was successfully obtained for the HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows key. This key has 0 subkeys. The AppInitDLLs value exists and reports as 2 bytes, including the 2 for string termination. [AppInitDLLs] Ansi string : "" 0000 00 00 | .. ----------------------- »»»»»»Backups list...»»»»»» 16:26:21 up 0 days, 0:11:08 ----------------------- Sat 11 Sep 04 16:26:21 C:\FINDNFIX\ keyback.hiv Sat 11 Sep 2004 16:25:44 A.... 8.192 8,00 K 1 item found: 1 file, 0 directories. Total of file sizes: 8.192 bytes 8,00 K C:\FINDNFIX\KEYS1\ winkey.reg Sat 11 Sep 2004 16:25:44 A.... 287 0,28 K 1 item found: 1 file, 0 directories. Total of file sizes: 287 bytes 0,28 K *Temp backups... "C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Backs2\" keyback2.hi_ 11 Sep 2004 8192 "keyback2.hi_" winkey2.re_ 11 Sep 2004 287 "winkey2.re_" 2 items found: 2 files, 0 directories. Total of file sizes: 8.479 bytes 8,28 K -D---- JUNKXXX 00000000 16:25.44 11/09/2004 A----- STARTIT .BAT 00000060 16:25.44 11/09/2004 ________________________________________________________________________________ ***THE FIX IS NOT COMPATIBLE WITH EARLIER;UNPATCHED VERSIONS OF WIN2K'(SP3 and BELLOW)' AND/OR LAX OF SECURITY UPDATES AND SERVICE PACKS FOR ALL PLATFORMS! MINIMAL REQUIREMENTS INCLUDE: _________XP HOME/PRO; SP1; IE6/SP1 _________2K/SP4; IE6/SP1 ________________________________________________________________________________ »»»»»*** www10.brinkster.com/expl0iter/freeatlast/FNF/ ***»»»»» -----END------ Sat 11 Sep 04 16:26:22 lg Thilo |
|
|
||
11.09.2004, 16:44
Ehrenmitglied
Beiträge: 29434 |
#6
Hallo @needhelp
Registry: Start<Ausfuehren<regedit #poste bitte, was unter diesen Schluesseln verzeichnet ist. #wenn {C109664B-CEB1-420b-B353-D55A561536DD} ist: bitte alles loeschen !! HKEY_CLASSES_ROOT\Protocols\Filter\text/html CLSID = HKEY_CLASSES_ROOT\Protocols\Filter\text/plain CLSID = HKEY_LOCAL_MACHINE\Software\Classes\ Protocols\Filter\text/html CLSID = HKEY_LOCAL_MACHINE\Software\Classes\ Protocols\Filter\text/plain CLSID = was ist hier verzeichnet ? HKEY_CURRENT_USER\Software\Microsoft\ Internet Explorer\Main Search Bar = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL ................................................................................................... Fixe, was ich gepostet habe, starte neu und arbeite alle weiteren Punkte ab und poste das neue Log vom HijackThis: mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 11.09.2004 um 16:49 Uhr von Sabina editiert.
|
|
|
||
11.09.2004, 18:07
...neu hier
Themenstarter Beiträge: 7 |
#7
Bei mir ist das in der registry ein bisschen anders sortiert, als von dir angegeben.
HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/webviewhtml CLSID = {733AC4CB-F1A4-11d0-B951-00A0C90312E1} HKEY_CLASSES_ROOT\PROTOCOLS\Filter\lzdhtml CLSID = {8f6b0360-b80d-11d0-a9b3-006097942311} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\text/webviewhtml CLSID = {733AC4CB-F1A4-11d0-B951-00A0C90312E1} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\lzdhtml CLSID = {8f6b0360-b80d-11d0-a9b3-006097942311} Und hier mein aktuelles Logfile: Logfile of HijackThis v1.98.2 Scan saved at 18:10:42, on 11.09.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\The Cleaner\tca.exe C:\Programme\The Cleaner\tcm.exe C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\WINDOWS\System32\Ati2evxx.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\wuauclt.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX00.140\HijackThis.exe C:\WINDOWS\System32\wuauclt.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [tcactive] C:\Programme\The Cleaner\tca.exe O4 - HKLM\..\Run: [tcmonitor] C:\Programme\The Cleaner\tcm.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094643015671 mfg thilo Dieser Beitrag wurde am 11.09.2004 um 18:12 Uhr von needhelp editiert.
|
|
|
||
11.09.2004, 22:57
Ehrenmitglied
Beiträge: 29434 |
#8
Hallo @needhelp
Das Log ist sauber Nun gibt es noch einiges zu beachten: # surfe mit Firefox(IE ist zu unsicher) http://www.firebird-browser.de/ #Ueberpruefe, welche Dienste du aus Sicherheitsgruenden deaktivieren kannst Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein. NT- Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org #IE Spyad http://www.pctipp.ch/downloads/dl/27634.asp IE Spyad legt x-verschiedene unseriöse Webseiten direkt in die Eingeschränkte Zone des Internet Explorers. Immer mehr Webseiten wollen Ihnen teuren Software-Schrott unterjubeln. Ob Spyware, Adware, billige Porno-Seiten oder teure Dialer - es gibt nichts, was unseriöse Gestalten nicht zum Kauf anbieten. Und da sie genau wissen, dass Sie nicht auf ihre luschen Angebote reinfallen, versuchen sie es mit Tricks. MFg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 11.09.2004 um 22:58 Uhr von Sabina editiert.
|
|
|
||
Antivir hatte bei mir einen Spy.Sysfit Trojaner gefunden. Habe mit zig-Antispy/Antitrojaner Software eigentlich entfernen können, so dass Antivir den Trojaner nicht mehr meldet. Ich poste hier trotzdem nochmal mein Logfile, da ich mir nicht ganz sicher bin ob mein System wieder absolut sicher ist.
Logfile of HijackThis v1.98.2
Scan saved at 00:03:38, on 10.09.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\The Cleaner\tca.exe
C:\Programme\The Cleaner\tcm.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\DR_S\DR_S.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX00.703\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Replace Search Ctl - {832BEBED-C3DA-4534-A2C2-B2FFF220C820} - C:\WINDOWS\System32\replaceSearch.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [tcactive] C:\Programme\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] C:\Programme\The Cleaner\tcm.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [DR_S] C:\Programme\DR_S\DR_S.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094643015671
O16 - DPF: {A27AD582-5BE5-4C2D-82F0-48B24FE02040} - http://www.adshooter.com/pop_shooter/install/win2000/SYSsfitb.cab
danke