Home » Spyware & Browser Hijacker Support Forum » Browser startet selbständig ! [hijack log + CleanUp4 & datFind.bat log] » Themenansicht

Browser startet selbständig ! [hijack log + CleanUp4 & datFind.bat log]
#0
16.02.2006, 20:36
RefleXor
...neu hier

Beiträge: 2
#1 Aloha leute,

und zwar habe ich das Problem das mein Browser seit gestern einfach neu startet und mir irgendwelche Werbeseiten oder Flashboxen anzeigt, habe mal hijackthis durchlaufen lassen, hier der logfile:

----------------------------------------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 20:30:39, on 16.02.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Teamspeak2_RC2\TeamSpeak.exe
G:\Games\STEAM\steam.exe
g:\games\steam\steamapps\sd.skill@freenet.de\counter-strike\hl.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Dokumente und Einstellungen\reF\Desktop\hijackthis_199\HijackThis.exe

F2 - REG:system.ini: UserInit=userinit.exe,syscom224.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2005\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2005\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2005\\Parser.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {94E84EA2-40FE-4B61-8BED-2255137DFC54} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {94E84EA2-40FE-4B61-8BED-2255137DFC54} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (file missing) (HKCU)
O20 - Winlogon Notify: ShellScrap - C:\WINDOWS\system32\dn4601hse.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: T-DSL SpeedManager (TSMService) - T-Systems International - C:\Programme\T-DSL SpeedManager\TSMSvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

----------------------------------------------------------------------

gruß michael

**UPDATE**

habe das mal mit CleanUP4 gemacht und dieser Datei datFind.bat, das ist das Ergebniss

Verzeichnis von C:\WINDOWS\system32

16.02.2006 17:51 234.272 guard.tmp
16.02.2006 17:50 234.272 krdbr.dll
16.02.2006 17:50 7.566 OODBS.lor
16.02.2006 13:20 234.396 l20u0cd9ef0.dll
15.02.2006 14:23 234.272 dn4601hse.dll
15.02.2006 14:01 2.184 wpa.dbl
24.01.2006 23:39 262.144 wrap_oal.dll
24.01.2006 23:39 86.016 OpenAL32.dll
18.01.2006 13:05 57.344 avsda.dll
05.01.2006 11:24 319.488 lame_enc.dll
05.01.2006 00:36 404.124 perfh009.dat
05.01.2006 00:36 63.364 perfc009.dat
02.01.2006 16:51 4.096 crash
30.12.2005 23:17 147.495 rmoc3260.dll
30.12.2005 23:17 6.656 pndx5016.dll
30.12.2005 23:17 5.632 pndx5032.dll
30.12.2005 23:16 278.528 pncrt.dll
30.12.2005 17:33 45 initdebug.nfo
29.12.2005 18:54 415.470 perfh007.dat
29.12.2005 18:54 961.024 PerfStringBackup.INI
29.12.2005 18:54 74.996 perfc007.dat
28.12.2005 23:52 111.784 FNTCACHE.DAT
26.12.2005 23:08 552 d3d8caps.dat
24.12.2005 11:58 43.520 CmdLineExt03.dll
20.12.2005 21:53 2.016 logxz.txt
20.12.2005 21:35 48 serfer4.ini
20.12.2005 11:17 21.840 SIntfNT.dll
20.12.2005 11:17 17.212 SIntf32.dll
20.12.2005 11:16 12.067 SIntf16.dll
17.12.2005 16:22 2.116.992 TUKernel.exe
16.12.2005 17:35 16.832 amcompat.tlb
16.12.2005 17:35 23.392 nscompat.tlb
15.12.2005 19:30 34.064 lhacm.acm
15.12.2005 16:09 146.650 BuzzingBee.wav
15.12.2005 16:09 940.794 LoopyMusic.wav
14.12.2005 21:38 7.006 jupdate-1.5.0_06-b05.log
14.12.2005 18:13 25.065 wmpscheme.xml
14.12.2005 18:08 532 $winnt$.inf
14.12.2005 18:06 2.951 CONFIG.NT


Verzeichnis von C:\DOKUME~1\reF\LOKALE~1\Temp

16.02.2006 22:05 16.384 Perflib_Perfdata_90c.dat
16.02.2006 22:04 16.384 ~DFA42B.tmp
16.02.2006 22:04 16.384 ~DFA444.tmp
16.02.2006 22:04 16.384 ~DFA412.tmp
16.02.2006 22:04 16.384 ~DFA45D.tmp
16.02.2006 22:03 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}7007.html
16.02.2006 22:02 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}20592.html
16.02.2006 21:59 16.384 ~DFBA9A.tmp
16.02.2006 21:59 16.384 ~DFBA68.tmp
16.02.2006 21:59 16.384 ~DFBA81.tmp
16.02.2006 21:59 16.384 ~DFBA4F.tmp
16.02.2006 21:20 16.384 ~DF797E.tmp
16.02.2006 21:20 16.384 ~DF73E2.tmp
13.02.2006 03:25 137 DFC5A2B2.TMP

Verzeichnis von C:\WINDOWS

16.02.2006 17:50 0 0.log
16.02.2006 17:50 159 wiadebug.log
16.02.2006 17:50 50 wiaservc.log
16.02.2006 17:50 2.048 bootstat.dat
16.02.2006 14:48 32.584 SchedLgU.Txt
15.02.2006 15:15 1.003 win.ini
15.02.2006 15:08 66 dbinside.ini
14.02.2006 21:37 227 system.ini
14.02.2006 15:18 46.132 wmsetup.log
11.02.2006 17:28 116 NeroDigital.ini
10.02.2006 14:33 555.807 setupapi.log
07.02.2006 00:56 32 go
31.01.2006 13:02 175.907 setupact.log
24.01.2006 23:39 350.640 DirectX.log
04.01.2006 19:06 8.888 Windows Update.log
30.12.2005 20:28 60.416 ALCFDRTM.VER
30.12.2005 17:27 279 nsw.log
29.12.2005 21:25 2.337 TGshell.MIF
28.12.2005 15:37 10 WININIT.INI
27.12.2005 18:01 55.629 iis6.log
27.12.2005 18:01 8.831 ntdtcsetup.log
27.12.2005 18:01 12.984 tsoc.log
27.12.2005 18:01 17.469 comsetup.log
27.12.2005 18:01 1.393 imsins.log
27.12.2005 18:01 7.168 KB893803v2.log
27.12.2005 18:01 15.297 ocgen.log
27.12.2005 18:01 1.277 ocmsn.log
27.12.2005 18:01 1.128 msgsocm.log
27.12.2005 18:01 17.719 FaxSetup.log
27.12.2005 18:01 11.896 msmqinst.log
20.12.2005 11:19 32.104 DIIUnin.dat
17.12.2005 18:18 38 drsmartload.dat
17.12.2005 17:59 2.829 DIIUnin.pif
17.12.2005 17:59 102.400 DIIUnin.exe
16.12.2005 17:35 445 wmsetup10.log
16.12.2005 17:35 316.640 WMSysPr9.prx
16.12.2005 17:35 299.552 WMSysPrx.prx
15.12.2005 16:09 60.416 ALCFDRTM.EXE
14.12.2005 21:48 3.721 mozver.dat
14.12.2005 21:23 400 ODBC.INI

Verzeichnis von C:\

16.02.2006 22:09 0 sys.txt
16.02.2006 22:09 5.049 system.txt
16.02.2006 22:09 1.038 systemtemp.txt
16.02.2006 22:06 94.961 system32.txt
16.02.2006 17:50 1.609.801.728 pagefile.sys
14.02.2006 21:37 355 boot.ini
19.12.2005 22:59 34.308 BASSMOD.DLL
17.12.2005 16:22 355 BOOT.BKK
14.12.2005 18:06 0 MSDOS.SYS
14.12.2005 18:06 0 CONFIG.SYS
14.12.2005 18:06 0 IO.SYS
14.12.2005 18:06 0 AUTOEXEC.BAT
18.08.2001 11:00 4.952 bootfont.bin
18.08.2001 11:00 45.124 NTDETECT.COM
18.08.2001 11:00 224.032 ntldr
Dieser Beitrag wurde am 16.02.2006 um 22:16 Uhr von RefleXor editiert.
Seitenanfang Seitenende
17.02.2006, 09:14
cadank
...neu hier

Beiträge: 3
#2 hallo RefleXor

hatte gleiches Problem.
schau mal in diesen Thread
http://board.protecus.de/t20301.htm

Ansonsten kannst Du Deine HijackLog ausch erst mal hier
http://www.hijackthis.de/ selber auswerten.
Seitenanfang Seitenende
17.02.2006, 18:02
RefleXor
...neu hier

Themenstarter

Beiträge: 2
#3 hab ich alles chon gemacht hat nicht geholfen, jetzt hab ich es soweit das er mir bei Spyware Doctor nen Spybot anzeigt den ich aber net mehr löschen kann weil die demo abgelaufen ist und ich keinen key hab ! ich vermute auch das das das ist weswegen er die fenster aufmacht.

So heisst das viech:


VX2.Look2Me (Adware/Look2Me [Panda]
Trojan-Downloader.Win32.Agent.jt [Kaspersky])

Typ: Adware
Downloader
Spyware
Trojan

Gefahrenstufe: Hoch

Autor: NicTech Networks

Beschreibung: VX2.Look2Me is a spyware program that monitors visited Web sites and submits the logged information to a server.
Seitenanfang Seitenende
17.02.2006, 18:44
cadank
...neu hier

Beiträge: 3
#4 RefleXor,

Möchte hier nicht mit gefährlichem Halbwissen rumwerfen. Bei mir war auch der look2me am werkeln. Gebe in der Forensuche mal "look2me" ein, da bekommst Du einige Threads die sich diesem Thema annehmen. Unter anderem auch mit Links zu entsprechender Software um diesen Plagegeist loszuwerden.
Seitenanfang Seitenende
18.02.2006, 15:43
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#5 RefleXor

Gehe in die Registry
Start-->Ausfuehren--> regedit

* HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies\System\DisableTaskMgr --> loeschen oder auf 0 stellen

* HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies\System\DisableRegistryTools --> loeschen oder auf 0 stellen


----------------------------------------------------------------------------------------


öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked"

F2 - REG:system.ini: UserInit=userinit.exe,syscom224.exe
O20 - Winlogon Notify: ShellScrap - C:\WINDOWS\system32\dn4601hse.dll

O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {94E84EA2-40FE-4B61-8BED-2255137DFC54} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {94E84EA2-40FE-4B61-8BED-2255137DFC54} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (file missing) (HKCU)

--------------------------------------------------------------------------

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: .

C:\WINDOWS\system32\guard.tmp
C:\WINDOWS\dbinside.ini
C:\WINDOWS\system32\syscom224.exe
C:\WINDOWS\system32\logxz.txt
C:\WINDOWS\system32\serfer4.ini
C:\WINDOWS\system32\krdbr.dll
C:\WINDOWS\system32\OODBS.lor
C:\WINDOWS\system32\l20u0cd9ef0.dll
C:\WINDOWS\system32\dn4601hse.dll
C:\WINDOWS\drsmartload.dat

PC neustarten

nach dem Neustart suche: C:\!KillBox
und loesche alle dort befindlichen Dateien manuell

L2mfix --> Option 2 abarbeiten--> neustarten--> scannen lassen
http://virus-protect.org/l2mfix.html

Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.

Trialversion Spysweeper
http://virus-protect.org/spysweeper.html

Dann solltest du unbedingt die Windowsupdates machen !!!!!!!!!!!!

---------------------------------------------------------------

Zitat

BackDoor-CWY - syscom224.exe
http://vil.mcafeesecurity.com/vil/content/v_137885.htm
# Password and CD key stealing
# Keystroke logging
# Executing any DOS command
# Enumerate files on the victim hard drive
# Upload/download/execute files on the victim machine

C:\WINDOWS\system32\syscom224.exe --> (BackDoor-CWY)
C:\WINDOWS\system32\logxz.txt --> (contains user keystrokes)
C:\WINDOWS\system32\serfer4.ini --> (IRC server configuration)

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1