O15 - Trusted IP range: 206.161.125.149

#0
23.12.2004, 19:52
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#1 Logfile of HijackThis v1.99.0
Scan saved at 23:44:06, on 22.12.2004
Platform: Windows ME (Win9x 4.90.3000A)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCSETMGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\ADVTOOLS\NPROTECT.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\WEBDE\SMARTSURFER2.3\SMARTSURFER.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\WINWORD.EXE
C:\WINDOWS\TEMP\TD_0011.DIR\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.net/de/
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\ADVTOOLS\ADVCHK.EXE
O4 - HKLM\..\Run: [NPROTECT] C:\PROGRA~1\NORTON~1\ADVTOOLS\NPROTECT.EXE
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe"
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [NPROTECT] C:\PROGRA~1\NORTON~1\ADVTOOLS\NPROTECT.EXE
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O12 - Plugin for .pdb: C:\PROGRA~1\INTERN~1\PLUGINS\npchime.dll
O12 - Plugin for .xyz: C:\PROGRA~1\INTERN~1\PLUGINS\npchime.dll
O12 - Plugin for .mol: C:\PROGRA~1\INTERN~1\PLUGINS\npchime.dll
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: (HKLM)

Könntest du den File kurz durchchecken? Ist er mit Ausnahme von 015 ok??

O 15 bekomme ich leider nicht weg. Möglicherweise sind diese Einträge identisch mit den 2 Einträgen (logfiles) des Spydoctors (slotchbar und eUniverse?).

Wäre super-nett, wenn du eine laienmäßige Erklärung abgeben könntest?
Danke im Voraus, Simonis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.12.2004, 19:55
Ehrenmitglied
Themenstarter
Avatar Sabina

Beiträge: 29434
#2 Hallo@Simonis

Das sieht nach einem Startseitentrojaner aus (der wahrscheinlich noch aktiv ist ? )

Lade
#Antivirus (free)
http://www.free-av.de/
[X] Speicher
[X] Bootsektor Suchlaufwerke
[ ] Unbekannte Bootsektoren melden
[X] Alle Dateien
[ ] Programmdateien

scanne und poste mir das Scan-Log.

Dann gehe in die Registry
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\
loesche komplett:
206.161.125.149
(HKLM)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
31.12.2004, 17:15
...neu hier

Beiträge: 4
#3 Hallo Sabina,

zunächst einmale vielen Dank für deine Antwort. Ich habe den Antivirus (free)
http://www.free-av.de/ heruntergeladen. Über die Suche-Funktion wurden mir 2 Dateien mit dem Namen "Registry" angzeigt (Symbol wie ein "S"), die ich sogleich öffnete. Daraufhin hat der Norton in beiden Fällen Alarm geschlagen, in dem er die geöffneten Registry-Dateien als "bösartige Skripte" identifizierte. Diese habe ich inaktiviert (oder gelöscht).

Das neue Problem:
Der Computer braucht ewig zum hochfahren und stürzt, wenn er überhaupt ins Internet gelangt, nach kurzer Zeit ab. Woran könnte dies liegen? An der Norton-Desinfektion der Reg-Dateien oder weil mein PC mit nun 2 Antiviren-Programmen überlastet ist?

Ich bin momentan nicht am eigenen PC und kann das Problem nicht vor nächster Woche angehen. Es wäre aber sehr nett von dir, falls du eine Lösung hast, diese mir zukommen lassen könntest.

Danke, Simonis
Seitenanfang Seitenende
01.01.2005, 00:52
Ehrenmitglied
Themenstarter
Avatar Sabina

Beiträge: 29434
#4 Hallo@simonis

Ja, das liegt an den 2 Antivirenprogrammen. Deinstalliere den Antivirus wieder ..
lade das tool escan (keine Konflikte mit dem Symantec)
---------------------------------------------------------------------------------------------
«Windows Me
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807134146924

#eScan-Erkennungstool
ftp://mwti.matrix.lv/download/tools/
erstelle den Ordner c:\bases
mwav.exe runterladen, die Datei in den Ordner c:\bases (wichtig!) entpacken und danach kavupd.exe (Update- in DOS) ausführen

gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

loeschen temporaere Dateien
C:\WINDOWS\Temp\
C:\Temp\
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\

und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen :
Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory
-->und "Scan " klicken.

Registry:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\
loesche:
206.161.125.149
(HKLM)

und poste das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 01.01.2005 um 01:57 Uhr von Sabina editiert.
Seitenanfang Seitenende