Werde Hijacker (durch tasker32.exe ?) nicht los, Hilfe

#1 Liebes Forum, heute hat sich eine Datei namens tasker32.exe in meinem System implementiert, u.a. im Zusammenhang mit einem Folder MSAssiatant
in der Registry zu finden. Die Folgen entnehmen Sie bitte dem beigefügten Logfile (Highjackthis). Ich kann die Registry-Einträge, welche zu löschen wären (also alles im Zshg. mit searchdom.net) nicht löschen, tauchen sofort wieder auf. Wer weiß Rat, jede seriöse Hilfe willkommen. Danke und Gruss, STeffelbub

Und hier ist der lofile

Logfile of HijackThis v1.99.0
Scan saved at 20:42:44, on 23.01.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\regsvc.exe
C:\WINDOWS\system32\MSTask.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\stisvc.exe
C:\WINDOWS\System32\WBEM\WinMgmt.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\anvshell.exe
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
E:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
E:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\internat.exe
C:\Programme\iPod\bin\iPodService.exe
E:\Programme\Sony Corporation\Image Transfer\SonyTray.exe
C:\WINDOWS\System32\msdtc.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
F:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/service/redir/ie_suche.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchdom.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchdom.net/?re= (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.searchdom.net/?re= (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [WMBoot] E:\Programme\Logitech\WingMan Profiler\ChekList.exe -L:H:\WS\DEU\Setup.exe -CD -CL4 -LP:" reboot"
O4 - HKLM\..\Run: [iTunesHelper] E:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [RemoteControl] E:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Image Transfer.lnk = E:\Programme\Sony Corporation\Image Transfer\SonyTray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O13 - DefaultPrefix: http://%77%77%77%2E%73%65%61%72%63%68%64%6F%6D%2E%6E%65%74/?re=
O13 - WWW Prefix: http://%77%77%77%2E%73%65%61%72%63%68%64%6F%6D%2E%6E%65%74/?re=
O17 - HKLM\System\CCS\Services\Tcpip\..\{4F0170A7-FD64-4EE3-B80C-50AB1BBB79E5}: NameServer = 192.168.121.252,192.168.121.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{82989F00-6A64-48F9-BB3A-37EB68D19F97}: NameServer = 217.237.151.225 217.237.150.225
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: %NVSVC.name% - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

#2 Hallo@Steffelbub

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchdom.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchdom.net/?re= (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.searchdom.net/?re= (obfuscated)
O13 - DefaultPrefix: http://%77%77%77%2E%73%65%61%72%63%68%64%6F%6D%2E%6E%65%74/?re=
O13 - WWW Prefix: http://%77%77%77%2E%73%65%61%72%63%68%64%6F%6D%2E%6E%65%74/?re=

PC neustarten

Hier das Reg-File, das die Standardwerte unter "DefaultPrefix" und "Prefixes" wieder herstellt.
defaultprefix.reg downloaden.
http://www.wintotal.de/Tipps/Eintrag.php?TID=434

#eScan-Erkennungstool[/u]
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp

erstelle den Ordner c:\bases
escan in diesen ordner
entpacke das *zip file mwav.zip
die Datei in den Ordner c:\bases (wichtig!) entpacken und danach kavupd.exe (Update- in DOS) ausführen

gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

Loeschen temporaere Dateien --> loesche die Dateien in den Ordnern, nicht die ordner selbst
C:\WINDOWS\Temp\
C:\Temp\
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\
C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temporary Internet Files\Content.IE5 [loesche nicht die index.dat)

Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen :
Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory
-->und "Scan " klicken.

mache bitte folgendes:
nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du infected ein



jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
und ganz unten steht die zusammenfassung, diese auch hier posten

danach den kompletten Pfad der Malware in die Killbox kopieren , PC neustarten--> wird so geloescht

KillBox
http://www.bleepingcomputer.com/files/killbox.php
<Delete File on Reboot

und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

-------------------------------------------------------------------------------------

CWShredder 2.12 [2004-12-13]
http://www.majorgeeks.com/download3019.html

#Ad-aware SE Personal 1.05 Updated
http://fileforum.betanews.com/detail/965718306/1
laden--> updaten-->scannen--PC neustarten--> noch mal scannen--> poste das Log vom Scann

#ClaerProg..lade die neuste Version <1.4.0 Final
http://www.clearprog.de/downloads.php
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)
- die eingetragenen URLs

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

+ poste das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Vielen Dank schon einmal vorab für die Anleitung, Sabina.

Zwei Fragen noch: 1. Was hat es denn mit der tasker32.exe (wurde unmittelbar, bevor der hijacker griff, installiert bzw. hat sich in system32 installiert und ist in der registry u.a. unter einem Ordner MSAssiatant - man beachte die Schreibweise - mit tasker.exe -uninstall aufgeführt, auf sich? Ich finde weder den Namen tasker32.exe im Internet noch MSAssiatant.
2. Richtig? Ich muss das Programm Schritt für Schritt abarbeiten?
Werde ich dann heute abend mal mit anfangen.

Vielleicht können Sie mir ja etwas zu der tasker32.exe sagen, auf jeden Fall finde ich es großartig, welche Mühe Sie sich bei der Problemlösung gemacht haben. Nochmals herzlichen Dank also, Gruss, Steffelbub

#4 Hallo@Steffelbub

O4 - HKLM\..\Run: [Microsoft Task Scheduler] C:\windows\system32\tasker32.exe
O4 - HKLM\..\RunServices: [Microsoft Task Scheduler] C:\windows\system32\tasker32.exe
---------------------------------------------------------------------------------------
Gehe in die Registry
Start<Ausfuehren<regedit

Bearbeiten--> suchen-->

MSAssiatant
Microsoft Task Scheduler
tasker32

loesche alles, was du findest mit rechtsklick
---

KillBox
http://www.bleepingcomputer.com/files/killbox.php
<Delete File on Reboot

kopiere rein:

C:\windows\system32\tasker32.exe

und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "yes"

PC neustarten

Ordner MSAssiatant <---loeschen , mit allem, was drin ist

Loeschen temporaere Dateien --> loesche die Dateien in den Ordnern, nicht die ordner selbst

C:\WINDOWS\Temp\
C:\Temp\
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\<----alles loeschen, was du findest

und arbeite alles andere ab.
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hallo Sabina,
nur zur Info: Der Ordner MSAssiatant taucht nur in
der registry auf - bzw. ich kann ihn nur dort finden.
Und wenn ich tasker32.exe umbenenne (in system32),
dann fährt der Rechner nicht mehr hoch. Habe also ein
wenig Angst vor dem Schritt (killbox).
Ich vermute fast, dass sich tasker32.exe (eine kleine exe datei,
etwa 8.000 kb, als Logo eine DosBox) geöffnet hat, in der registry
einen Ordner MSAssiatant geschaffen hat usw. Von dort wird wahr-
scheinlich der Rest der registry bzgl. http: etc "verwaltet" und ein
Löschen verhindert.
Im Autostart oder bei den Prozessen taucht das nicht auf, ziemlich
fies also. Gruss, Steffelbub

#6 es ist ein Backdoor

mache folgendes:

#Kaspersky-Online-einzelne Dateien ueberpruefen
http://www.kaspersky.com/remoteviruschk.html

C:\windows\system32\tasker32.exe

Jotti's malware scan 2.4 - einzelne "exe" ueberpruefen
http://virusscan.jotti.dhs.org/

C:\windows\system32\tasker32.exe
-----------------------------------------------------------
poste mir das Ergebnis (komplett)
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Vielen Dank für die Hilfe an Sabina! Obwohl ich kein Fachmann sondern eher ein Laie bin, glaube ich dank meiner Ignoranz das Problem gelöst zu haben – und zwar wie folgt:
Windows 2000 im abgesicherten Modus starten, nach dem Hochfahren in den Taskmanager gehen und den Prozess „tasker32.exe“ beenden. Beim normalen Bootvorgang ist der nämlich als debugger von explorer.exe im Taskmanager nicht zu sehen. Anschließend in der registry (regedit) alle „tasker32.exe“-Einträge löschen, vor allen Dingen den in HKLM\Software\Microsoft\WindNT\Current Version\Image File Execution\Options\explorer.exe. Dieser Eintrag ist nämlich hauptverantwortlich dafür, dass die „searchdom.net“-Einträge immer wiederkehren nach dem Löschen durch Spyware-Programme. Danach lässt man hijackthis laufen, fixed die Searchdom.net-Einträge (alle fünf bei mir) und startet den Rechner neu. Ach so, nicht vergessen, die tasker32.exe-Datei in Windows\system32 zu löschen oder umzubenennen.
Ich schätze mal, dass die tasker32.exe identisch ist mit der wininit16.exe-Datei, über die ich in anderen Foren gelesen habe.
Hoffe, das hilft allen Searchdom.net-Geschädigten der letzten Tage weiter, würde mich freuen. Gruss, Steffelbub

#8 schade, dass du nicht mit Jotti's malware scan 2.4 der Malware "eine Bezeichnung" gegeben hast.
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Hallo Sabina,
will ich gern noch machen, ich habe die Datei ja noch auf meinem
Rechner (umbenannt). Wie gesagt, bin nicht "very familiar" mit
solchen Sachen. Wie mache ich das also ("einen Namen geben").
Gruss, Steffelbub

#10 du solltest die exe von Jotti's malware scan 2.4 ueberpruefen lassen, dann haette ich alle Daten erfahren , also , Name, wo sie sich in der Registry eintraegt, welche Virenscanner sie erkennen usw.

vielleicht kannst du sie noch ueberpruefen lassen

#Kaspersky-Online-einzelne Dateien ueberpruefen
http://www.kaspersky.com/remoteviruschk.html
C:\windows\system32\tasker32.exe

Jotti's malware scan 2.4 - einzelne "exe" ueberpruefen
http://virusscan.jotti.dhs.org/
C:\windows\system32\tasker32.exe

im Text wird zu
Recht darauf hingewiesen, daß dieser Test keine 100%ige Garantie
gibt, da es immer wieder passieren kann, daß neue malware noch
nicht erkannt wird und fälschlicherweise als OK bezeichnet wird
* auf Durchsuchen klicken und die zu untersuchende Datei öffnen
- jede Datei (max 10MB) einzeln scannen, keine Archive scannen!
* auf Submit klicken - unterhalb des Textblocks wird jetzt der
Status angezeigt, zunächst uploading file, please wait = Datei wird
hochgeladen, bitte warten , danach inconclusive (scan still in
progress) = Scan noch nicht abgeschlossen und letztendlich das
Ergebnis des Scans, das laut Statistik (weiter unten auf der Seite)
zu etwa 99% akkurat ist...
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Kaspersky hat nix gefunden, bei Jotti´s Malware kam folgendes Ergebnis.
Trotzdem: tasker32.exe (von mir umbenannt in tasker42.exe) war dafür verantwortlich!
Service load: 0% 100%

File: tasker42.exe
Status: POSSIBLY INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) (Note: this file was only flagged as malware by heuristic detection(s). This might be a false positive. Therefore, results of this scan will not be stored in the database)
Packers detected: FSG

AntiVir No viruses found (0.61 seconds taken)
Avast No viruses found (4.90 seconds taken)
BitDefender No viruses found (2.13 seconds taken)
ClamAV No viruses found (1.62 seconds taken)
Dr.Web No viruses found (0.49 seconds taken)
F-Prot Antivirus No viruses found (0.10 seconds taken)
Kaspersky Anti-Virus No viruses found (0.72 seconds taken)
mks_vir No viruses found (0.34 seconds taken)
NOD32 probably unknown NewHeur_PE (probable variant) (0.80 seconds taken
Norman Virus Control No viruses found (0.92 seconds taken)
Gruss, Steffelbub

#12 o.k. danke,

NOD32 probably unknown NewHeur_PE (probable variant) (0.80 seconds taken)
hat reagiert

#Download NOD32 Antivirus System
http://www.nod32.de/download/download.php
__________
MfG Sabina

rund um die PC-Sicherheit

#13 Hallo Sabina, Hallo Steffelbub

auch ich hab mir heute den tasker32 eingefangen. Habe es dank Zone-Alarm schnell gemerkt und das Forum hier gefunden. Hat mich dann nur 1h gekostet und dank euch bin ich das Ding wieder los.

Frage : Wie kann man sich nachhaltig vor dem Hijacker schützen, nervt ja ein bisschen . Wisst ihr, über welche Mechanismen man sich den einfängt ? Und warum hat mein Firefox nicht durch eine Änderung der Default Website reagiert, sondern nur der IE6 ?

Grüsse
p

#14 Guten Morgen,

mein T-Online-IExplorer-Browser wurde auch nicht umgelenkt, erst im
abgesicherten Modus konnte man dann im default die searchdom.net-Seite sehen (und natürlich in der registry). Keine Ahnung, warum das so ist,
Hauptsache, das Mistviech ist nicht mehr auf meinem Rechner.
Gruss, Steffelbub