Home » Spyware & Browser Hijacker Support Forum » Ntsearch Problem - Fragen & HijackThis Logs » hier rein! » Themenansicht

Ntsearch Problem - Fragen & HijackThis Logs » hier rein!

Thema ist geschlossen!
Thema ist geschlossen!
#0
20.01.2004, 12:38
raman
Moderator

Beiträge: 7805
#181 Hallo Hansi25

So, nach kurzem Suchen dieses gefunden, falls du die dort angegebenen Dateien finden solltest, schicke sie bitte an virus@protecus.de:

Here is how to fix it.

Go to start>Run and type regedit, Press enter.

Navigate to:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

Look in the right pane for this entry:
DDE Control Module
Right click on it and choose delete.
Reboot.

Delete the file:
C:\WINDOWS\SYSTEM\mtwirl32.dll

Also...

A couple of other files to look for:

mtwcnl32.dll <--- if you find this one, could you submit it to this address please. Include this topic's url to the body of the email. Thank you.
y.exe
x.exe

See if that takes care of it.

Wenn das nicht hilft, braeuchte ich eine Startupliste. Ich hoffe Hijackthis fuegt dieses Reg. Schluessel bald mit im Log mit auf. CWshredder wird ihn wohl bald entfernen koennen, wenn er es nicht schon kann( update auf 1.45)
__________
MfG Ralf
SEO-Spam Hunter
Dieser Beitrag wurde am 20.01.2004 um 12:45 Uhr von raman editiert.
Seitenanfang Seitenende
20.01.2004, 13:58
Hansi25
Member

Beiträge: 18
#182 hi,

@RAMAN

also folgendes ich habe in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

folgendes:

network.connectontray regsz {7007ACCF-3202-11D1-AAD2-00805FC1270E}

systray regsz {35CEC8A3-2BE6-11D2-8773-92E220524153}

webcheck regsz {E6FB5E20-DE35-11CF-9C87-00AA005127ED}

ob daran jetzt was faul ist weiss ich nicht dde control module hab ich dort nicht sitzen!

mtwirl32.dll und die mtwcnl32.dll habe ich im winnt\system32\ ordner liegen soll ich die nun auch ohne das der dde control module schlüssel vorhanden ist löschen??? und vorallem soll ich sie euch vorher schicken an die angegebene email adresse???


gruß mit der bitte um antwort ;)
Seitenanfang Seitenende
20.01.2004, 14:07
raman
Moderator

Beiträge: 7805
#183 Da gehen wir mal etwas vorsichtiger vor. Starte deinen Rechner im abgesicherten Modus, benenne die Dateien um( lld anstatt dll oder so) und lasse die neuste cwshredder Version deinen Rechner pruefen/reinigen. Dann starte deinen Rechner neu und schaue ob er nun weg ist.

Du kannst ja mal selber sehen, ob du in der Registrierung irgendwo diese beiden Dateinamen finden kannst.


Es waere sehr nett, wenn du die die beiden Dateien an virus@protecus.de schicken koenntest.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
20.01.2004, 14:11
Hansi25
Member

Beiträge: 18
#184

Zitat

raman postete
Da gehen wir mal etwas vorsichtiger vor. Starte deinen Rechner im abgesicherten Modus, benenne die Dateien um( lld anstatt dll oder so) und lasse die neuste cwshredder Version deinen Rechner pruefen/reinigen. Dann starte deinen Rechner neu und schaue ob er nun weg ist.

Du kannst ja mal selber sehen, ob du in der Registrierung irgendwo diese beiden Dateinamen finden kannst.


Es waere sehr nett, wenn du die die beiden Dateien an virus@protecus.de schicken koenntest.
na klar schick ich die euch aber ne frage hat es vielleicht mehr sinn das ich bis heute nacht warte bis das gemülle wieder auftaucht und dann cwshredder suchen lasse? weil wenn ich jetzt suchen lasse findet auch die neue cwshredder version nichts und sagt das alles clean ist - oder soll ich die 2 dll gleich umbenennen und evtl gleich schauen ob das gemülle dadurch net mehr auftaucht heute nacht - weiss net welche vorgehensweise bei so nem befall am sinnvollsten ist ;)

thx
Dieser Beitrag wurde am 20.01.2004 um 14:13 Uhr von Hansi25 editiert.
Seitenanfang Seitenende
20.01.2004, 14:16
raman
Moderator

Beiträge: 7805
#185 Mache es wie ich es geschrieben habe, benenne die Dateien um und starte neu. Wenn wiedererwartend etwas nicht funktionieren sollte, kannst du sie "zurueckbenennen" und wenn es den erwuenschten effekt bringt, bist du den CWS los!;).

Wie bereits gesagt, durchsuche deine Registrierung mal nach diesen beiden Dll Dateien und schreibe wo sie sich "eingenistet" haben.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
20.01.2004, 14:54
Hansi25
Member

Beiträge: 18
#186 habe die beiden dll´s an die rokop email adresse versendet hier nun die registry einträge wo die dll´s drin sind - werde nun mal in abgesicherten gehen und sie umbenennen.

die mtwirl32.dll sitzt in folgenden registry einträgen:

HKEY_CLASSES_ROOT\CLSID\{3F143C3A-1457-6CCA-03A7-7AA23B61E40F}\InProcServer32

HKEY_CURRENT_USER\Software\Classes\CLSID\{3F143C3A-1457-6CCA-03A7-7AA23B61E40F}\InProcServer32

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}\FilesNamedMRU (gehe davon aus das ist nur der "suchen" registry key)

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\dll

HKEY_USERS\S-1-5-21-746137067-1383384898-1957994488-1000\Software\Classes\CLSID\{3F143C3A-1457-6CCA-03A7-7AA23B61E40F}\InProcServer32

HKEY_USERS\S-1-5-21-746137067-1383384898-1957994488-1000\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}\FilesNamedMRU

HKEY_USERS\S-1-5-21-746137067-1383384898-1957994488-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*

HKEY_USERS\S-1-5-21-746137067-1383384898-1957994488-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\dll

HKEY_USERS\S-1-5-21-746137067-1383384898-1957994488-1000_Classes\CLSID\{3F143C3A-1457-6CCA-03A7-7AA23B61E40F}\InProcServer32


die mtwcnl32.dll sitzt in folgenden registry einträgen:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}\FilesNamedMRU

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\dll

HKEY_USERS\S-1-5-21-746137067-1383384898-1957994488-1000\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}\FilesNamedMRU

HKEY_USERS\S-1-5-21-746137067-1383384898-1957994488-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*

HKEY_USERS\S-1-5-21-746137067-1383384898-1957994488-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\dll

thx @ raman
Seitenanfang Seitenende
20.01.2004, 17:16
Tommy100
...neu hier

Beiträge: 5
#187

Zitat

raman postete
Diese Dateien schicke mal an virus@protecus.de :

C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\System32\PRISMSTA.EXE
Beide Dateien sollen laut Rokop-Security ungefährlich sein, PRISMSTA.EXE soll etwas mit nem Funknetzwerk zu tun haben, ich denke mal, das könnte ein Überrest von den deinstallierten Programm für Funktastatur, -maus und -fernbedienung sein.

Die andere Datei habe ich bei mir zu "Medion HomeCinema XL II" zugehörig gefunden, das Programm ist auch in der Taskleiste zu sehen....und soll ebenfalls ungefährlich sein.

Danke erst mal für die Hilfe, ich hoffe, mein PC wird weiterhin so sauber bleiben, wie er ist.

Gruß Tommy
Seitenanfang Seitenende
20.01.2004, 23:07
janitschar
...neu hier

Beiträge: 3
#188 Raman hilf mir auch mal bitte! Was muss ich hier löschen ich hab das selbe problem!!

Logfile of HijackThis v1.97.7
Scan saved at 02:22:23, on 20.01.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\svchost.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\BRMFRSMG.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Common Files\slmss\slmss.exe
C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
D:\Esel2000\Esel2000.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Program Files\webHancer\Programs\whSurvey.exe
C:\Programme\Sqwire\uc.exe
C:\Programme\Sqwire\cc.exe
C:\WINDOWS\System32\wininit32.exe
C:\WINDOWS\sp.exe
C:\WINDOWS\System32\RUNDLL32.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Selim\LOKALE~1\Temp\Rar$EX00.202\HijackThis.exe
C:\DOKUME~1\Selim\LOKALE~1\Temp\Rar$EX00.396\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://81.211.105.9/search.php?v=1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://81.211.105.9/index.php?v=1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://81.211.105.9/index.php?v=1
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.sqwire.com/searchpage.php?aid=3303
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.websearch.com/ie.aspx?tb_id=76
R3 - URLSearchHook: XTSearchHook Class - {6E6DD93E-1FC3-4F43-8AFB-1B7B90C9D3EB} - C:\Programme\Sqwire\s.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {2662BDD7-05D6-408F-B241-FF98FACE6054} - C:\Programme\Sqwire\u.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Search Toolbar - {57E69D5A-6539-4d7d-9637-775DE8A385B4} - C:\Programme\Sqwire\t.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Microsoft Inet Xp..] teekids.exe
O4 - HKLM\..\Run: [Srng] C:\Programme\Srng\Srng.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [slmss] C:\Programme\Common Files\slmss\slmss.exe
O4 - HKLM\..\Run: [ClrSchLoader] C:\Programme\ClearSearch\Loader.exe
O4 - HKLM\..\Run: [UpdateStats] C:\Programme\Media\Media\UpdateStats.exe
O4 - HKLM\..\Run: [Mwsvm] C:\WINDOWS\mwsvm.exe
O4 - HKLM\..\Run: [CloneCDTray] C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [Esel2000] D:\Esel2000\Esel2000.exe -t
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup
O4 - HKLM\..\Run: [stcloader] C:\WINDOWS\System32\stcloader.exe
O4 - HKLM\..\Run: [webHancer Survey Companion] "C:\Program Files\webHancer\Programs\whSurvey.exe"
O4 - HKLM\..\Run: [SQUpdatesChecker] C:\Programme\Sqwire\uc.exe
O4 - HKLM\..\Run: [SQConfigChecker] C:\Programme\Sqwire\cc.exe
O4 - HKLM\..\Run: [SysInit] wininit32.exe -drivers
O4 - HKLM\..\RunServices: [SysInit] wininit32.exe -drivers
O4 - HKCU\..\Run: [sp] C:\WINDOWS\sp.exe
O4 - HKCU\..\Run: [SysInit] wininit32.exe -drivers
O4 - HKLM\..\RunOnce: [tlc] C:\WINDOWS\update12.js
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Quicken 2003 Zahlungserinnerung.lnk = E:\Programme\Quicken2003\billmind.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: MynetMiniSohbet - http://irc.mynet.com/java/smallcr.cab
O16 - DPF: MynetSohbet - http://irc.mynet.com/java/cr.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {0DF86CB3-1923-11D5-B470-0050BA1B3C6F} (JpegServerPushControl Class) - http://217.6.17.16/ConvisionVideo.cab
O16 - DPF: {13197ACE-6851-45C3-A7FF-C281324D5489} - http://www.2nd-thought.com/files/install022.exe
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://imgfarm.com/images/nocache/funwebproducts/SmileyCentralInitialSetup1.0.0.5.cab
O16 - DPF: {26E8361F-BCE7-4F75-A347-98C88B418322} - http://dst.trafficsyndicate.com/Dnl/T_76/QDow.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {3C5BA506-6C30-4738-9CED-797ACADEA8DC} (Loader Class) - http://www.sqwire.com/toolbar/SQLoader3303.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20030625/qtinstall.info.apple.com/abarth/de/win/QuickTimeInstaller.exe
O16 - DPF: {6EB5B540-1E74-4D91-A7F0-5B758D333702} (nCaseInstaller Class) - http://bis.180solutions.com/activexinstallers/Installer/nCaseInstaller.cab
O16 - DPF: {93829908-07C2-44A2-95DB-F78F201A9B48} - http://adblock.linkz.com/APHelper.dll
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37874.2977199074
O16 - DPF: {A1DC3241-B122-195F-B21A-000000000000} - http://ilsearch.com/download/free_plugin.exe
O16 - DPF: {CA034DCC-A580-4333-B52F-15F98C42E04C} (Downloader Class) - https://www.stopzilla.com/_download/Auto_Installer/dwnldr.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - https://de.jackpotcity.microgaming.com/de.jackpotcity/FlashAX.cab
O16 - DPF: {F57D17AE-CE37-4BC8-B232-EA57747BE5E7} - http://66.230.146.53/EPlugin.cab
O16 - DPF: {FC3A74E5-F281-4F10-AE1E-733078684F3C} (Downloader Class) - http://www.2020search.com/toolbar/2020Search.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CB3CAA8B-8F6D-43F2-B504-CE354792F01B}: NameServer = 194.8.194.60 213.168.112.60
Seitenanfang Seitenende
20.01.2004, 23:28
Rokop
Member

Beiträge: 54
#189 Sorry, aber so was hab ich noch nicht gesehen.
Die aufgeführten Sachen fixen und zusätzlich alle Win-Updates installieren, Adaware und Spybot drüberlaufen lassen und ein gescheites AV Programm installieren und regelmäßig updaten!!!!!!!!!!!!!!!!!!!!!!!

alle fettgedruckten Sachen bitte an virus@protecus.de senden !

C:\WINDOWS\sp.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://81.211.105.9/search.php?v=1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://81.211.105.9/index.php?v=1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://81.211.105.9/index.php?v=1
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.sqwire.com/searchpage.php?aid=3303
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.websearch.com/ie.aspx?tb_id=76
R3 - URLSearchHook: XTSearchHook Class - {6E6DD93E-1FC3-4F43-8AFB-1B7B90C9D3EB} - C:\Programme\Sqwire\s.dll
O2 - BHO: (no name) - {2662BDD7-05D6-408F-B241-FF98FACE6054} - C:\Programme\Sqwire\u.dll
O3 - Toolbar: &Search Toolbar - {57E69D5A-6539-4d7d-9637-775DE8A385B4} - C:\Programme\Sqwire\t.dll

O4 - HKLM\..\Run: [Microsoft Inet Xp..] teekids.exe (Blaster Wurm !)

O4 - HKLM\..\Run: [slmss] C:\Programme\Common Files\slmss\slmss.exe

O4 - HKLM\..\Run: [ClrSchLoader] C:\Programme\ClearSearch\Loader.exe

O4 - HKLM\..\Run: [Mwsvm] C:\WINDOWS\mwsvm.exe

O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup

O4 - HKLM\..\Run: [webHancer Survey Companion] "C:\Program Files\webHancer\Programs\whSurvey.exe"

O4 - HKLM\..\Run: [SQUpdatesChecker] C:\Programme\Sqwire\uc.exe
O4 - HKLM\..\Run: [SQConfigChecker] C:\Programme\Sqwire\cc.exe

O4 - HKCU\..\Run: [sp] C:\WINDOWS\sp.exe

O4 - HKLM\..\RunOnce: [tlc] C:\WINDOWS\update12.js

O16 - DPF: {0DF86CB3-1923-11D5-B470-0050BA1B3C6F} (JpegServerPushControl Class) - http://217.6.17.16/ConvisionVideo.cab
O16 - DPF: {13197ACE-6851-45C3-A7FF-C281324D5489} - http://www.2nd-thought.com/files/install022.exe

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://imgfarm.com/images/nocache/funwebproducts/SmileyCentralInitialSetup1.0.0.5.cab
O16 - DPF: {26E8361F-BCE7-4F75-A347-98C88B418322} - http://dst.trafficsyndicate.com/Dnl/T_76/QDow.cab

O16 - DPF: {3C5BA506-6C30-4738-9CED-797ACADEA8DC} (Loader Class) - http://www.sqwire.com/toolbar/SQLoader3303.cab

O16 - DPF: {6EB5B540-1E74-4D91-A7F0-5B758D333702} (nCaseInstaller Class) - http://bis.180solutions.com/activexinstallers/Installer/nCaseInstaller.cab
O16 - DPF: {93829908-07C2-44A2-95DB-F78F201A9B48} - http://adblock.linkz.com/APHelper.dll

O16 - DPF: {A1DC3241-B122-195F-B21A-000000000000} - http://ilsearch.com/download/free_plugin.exe
O16 - DPF: {CA034DCC-A580-4333-B52F-15F98C42E04C} (Downloader Class) - https://www.stopzilla.com/_download/Auto_Installer/dwnldr.cab

O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - https://de.jackpotcity.microgaming.com/de.jackpotcity/FlashAX.cab
O16 - DPF: {F57D17AE-CE37-4BC8-B232-EA57747BE5E7} - http://66.230.146.53/EPlugin.cab

O16 - DPF: {FC3A74E5-F281-4F10-AE1E-733078684F3C} (Downloader Class) - http://www.2020search.com/toolbar/2020Search.cab
__________
(-- Rokop --)
www.rokop-security.de
Dieser Beitrag wurde am 20.01.2004 um 23:29 Uhr von Rokop editiert.
Seitenanfang Seitenende
26.01.2004, 15:29
Poetix
...neu hier

Beiträge: 3
#190 Hi ;)

Ihr seid ja echt gut drauf !!! Was kann hier denn weg??

Logfile of HijackThis v1.97.7
Scan saved at 15:21:25, on 26.01.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\NavNT\defwatch.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\mgabg.exe
C:\WINNT\System32\PGPsdkServ.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Network Associates\PGP for Windows 2000\PGPservice.exe
C:\WINNT\System32\PDesk.exe
C:\WINNT\rundll16.exe
C:\Programme\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe
C:\Programme\NoAdware\NoAdware.exe
D:\Programme\PLSQL Developer\PLSQLDev.exe
C:\WINNT\explorer.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\WinZip\winzip32.exe
C:\DOKUME~1\RICHTE~1.STE\LOKALE~1\Temp\HijackThis.exe
C:\Programme\UltraEdit\UEDIT32.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://ie.marketdart.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.marketdart.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.marketdart.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.marketdart.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_page.html?&account_id=132564
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.popnav.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.marketdart.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.marketdart.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ie.marketdart.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ie.marketdart.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = file:///C:/Programme/MS-Connect/Portal/portal.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {00000EF1-0786-4633-87C6-1AA7A44296DA} - C:\WINNT\system32\n3tpa1p.dll
O2 - BHO: MyWay Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - C:\Programme\MyWay\SrchAstt\1.bin\MYSRCHAS.DLL
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: DefaultSearch.SeekSeek - {5074851C-F67A-488E-A9C9-C244573F4068} - C:\WINNT\ieasst.dll
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\RoboForm.dll
O2 - BHO: (no name) - {80672997-D58C-4190-9843-C6C61AF8FE97} - C:\WINNT\rundll16.dll
O2 - BHO: (no name) - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINNT\wsem216.dll
O2 - BHO: (no name) - {F7F808F0-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINNT\nem214.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: (no name) - {69550BE2-9A78-11D2-BA91-00600827878D} - (no file)
O3 - Toolbar: (no name) - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - (no file)
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\RoboForm.dll
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINNT\System32\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [Rundll16] C:\WINNT\rundll16.exe
O4 - HKLM\..\Run: [freesurfer] D:\Programme\Free Surfer\fs20.exe
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [Power Scan] C:\Programme\Power Scan\powerscan.exe
O4 - HKLM\..\Run: [vptray] C:\Programme\NavNT\vptray.exe
O4 - HKCU\..\Run: [RoboForm] "C:\Programme\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe"
O4 - HKCU\..\Run: [NoAdware] "C:\Programme\NoAdware\NoAdware.exe" /s
O4 - HKCU\..\Run: [Mozilla Quick Launch] "D:\Programme\Netscape\Netscape\Netscp.exe" -turbo
O4 - HKCU\..\Run: [TuneUp MemOptimizer] D:\Programme\TuneUp Utilities\MemOptimizer.exe autostart
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: RF - &Formular speichern - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: RF - &Menü anpassen - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: RF - Formular ausf&üllen - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Ausfüllen (HKLM)
O9 - Extra 'Tools' menuitem: RF - Formular ausf&üllen (HKLM)
O9 - Extra button: Speichern (HKLM)
O9 - Extra 'Tools' menuitem: RF - &Formular speichern (HKLM)
O9 - Extra button: RoboForm (HKLM)
O9 - Extra 'Tools' menuitem: RF - RoboForm-Symbolleis&te (HKLM)
O9 - Extra button: Free Surfer (HKLM)
O9 - Extra 'Tools' menuitem: Free Surfer (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: PackageHtmlCab - http://acces.blonde.com/package/PackageHtmlCab.CAB
O16 - DPF: {00000000-ABBA-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://dialer.memberarea.tv/IEloader.cab
O16 - DPF: {018B7EC3-EECA-11D3-8E71-0000E82C6C0D} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v3.0/0006.cab
O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} (Loader Class) - http://connect.online-dialer.com/MaConnect.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {26E8361F-BCE7-4F75-A347-98C88B418322} - http://dst.trafficsyndicate.com/Dnl/T_76/QDow.cab
O16 - DPF: {2CAB81F6-1CBB-49FD-809E-B2D37D0CFFED} (IEFeature Class) - http://www.popmonster.com/control/src/iefeatures.ocx
O16 - DPF: {486E48B5-ABF2-42BB-A327-2679DF3FB822} - http://akamai.downloadv3.com/binaries/IA/ia.cab
O16 - DPF: {556DDE35-E955-11D0-A707-000000521958} - http://www.marketdart.com/promo/200211aer/md_er_200211aer.cab
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - http://god.t-online.de/download/ExentCtl.ocx
O16 - DPF: {6EB5B540-1E74-4D91-A7F0-5B758D333702} (nCaseInstaller Class) - http://bis.180solutions.com/activexinstallers/Installer/nCaseInstaller.cab
O16 - DPF: {7DBFDA8E-D33B-11D4-9269-00600868E56E} (WWWInstall Class) - http://go.securelive.com/speed/uk/WebInstall.dll
O16 - DPF: {A16E6189-A1DD-4696-9806-0324C145D794} (KeyActivex Control) - http://www.jraun.com/activex/src/KeyActivex.ocx
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {AD7FAFB0-16D6-40C3-AF27-585D6E6453FD} - http://dload.ipbill.com/del/loader.cab
O16 - DPF: {CAFEEFAC-0014-0001-0000-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1) -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.stardialer.de/StarInstall.ocx
O16 - DPF: {E8EDB60C-951E-4130-93DC-FAF1AD25F8E7} -
O16 - DPF: {FC87A650-207D-4392-A6A1-82ADBC56FA64} (MultiDist) - http://xbs.mtree.com/mt/dialers/fc/MultiDistFC.CAB
Seitenanfang Seitenende
26.01.2004, 15:52
raman
Moderator

Beiträge: 7805
#191 Folgendes sollte raus:

alles was mit "R" anfaengt
O2 - BHO: (no name) - {00000EF1-0786-4633-87C6-1AA7A44296DA} - C:\WINNT\system32\n3tpa1p.dll
O2 - BHO: MyWay Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - C:\Programme\MyWay\SrchAstt\1.bin\MYSRCHAS.DLL
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLLO2 - BHO: DefaultSearch.SeekSeek - {5074851C-F67A-488E-A9C9-C244573F4068} - C:\WINNT\ieasst.dll
O2 - BHO: (no name) - {80672997-D58C-4190-9843-C6C61AF8FE97} - C:\WINNT\rundll16.dll
O2 - BHO: (no name) - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINNT\wsem216.dll
O2 - BHO: (no name) - {F7F808F0-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINNT\nem214.dll
O3 - Toolbar: (no name) - {69550BE2-9A78-11D2-BA91-00600827878D} - (no file)
O3 - Toolbar: (no name) - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - (no file)
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O4 - HKLM\..\Run: [Rundll16] C:\WINNT\rundll16.exe
O4 - HKCU\..\Run: [NoAdware] "C:\Programme\NoAdware\NoAdware.exe" /s
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O16 - DPF: PackageHtmlCab - http://acces.blonde.com/package/PackageHtmlCab.CAB
O16 - DPF: {00000000-ABBA-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://dialer.memberarea.tv/IEloader.cab
O16 - DPF: {018B7EC3-EECA-11D3-8E71-0000E82C6C0D} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v3.0/0006.cab
O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} (Loader Class) - http://connect.online-dialer.com/MaConnect.cab
O16 - DPF: {26E8361F-BCE7-4F75-A347-98C88B418322} - http://dst.trafficsyndicate.com/Dnl/T_76/QDow.cab
O16 - DPF: {2CAB81F6-1CBB-49FD-809E-B2D37D0CFFED} (IEFeature Class) - http://www.popmonster.com/control/src/iefeatures.ocx
O16 - DPF: {486E48B5-ABF2-42BB-A327-2679DF3FB822} - http://akamai.downloadv3.com/binaries/IA/ia.cab
O16 - DPF: {556DDE35-E955-11D0-A707-000000521958} - http://www.marketdart.com/promo/200211aer/md_er_200211aer.cab
O16 - DPF: {6EB5B540-1E74-4D91-A7F0-5B758D333702} (nCaseInstaller Class) - http://bis.180solutions.com/activexinstallers/Installer/nCaseInstaller.cab
O16 - DPF: {7DBFDA8E-D33B-11D4-9269-00600868E56E} (WWWInstall Class) - http://go.securelive.com/speed/uk/WebInstall.dll
O16 - DPF: {A16E6189-A1DD-4696-9806-0324C145D794} (KeyActivex Control) - http://www.jraun.com/activex/src/KeyActivex.ocx
O16 - DPF: {AD7FAFB0-16D6-40C3-AF27-585D6E6453FD} - http://dload.ipbill.com/del/loader.cab
O16 - DPF: {CAFEEFAC-0014-0001-0000-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1) -
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.stardialer.de/StarInstall.ocx
O16 - DPF: {E8EDB60C-951E-4130-93DC-FAF1AD25F8E7} -
O16 - DPF: {FC87A650-207D-4392-A6A1-82ADBC56FA64} (MultiDist) - http://xbs.mtree.com/mt/dialers/fc/MultiDistFC.CAB

Vorher alle unnoetigen Programme schliessen und danach neu starten.

Schicke diese Datei bitte an virus@protecus.de :

C:\WINNT\rundll16.exe

Danach die Datei bitte loeschen.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
26.01.2004, 16:00
Poetix
...neu hier

Beiträge: 3
#192 Oh Gott... wie bekomm ich denn das alles weg????

Und die rundll16.exe soll ich an virus@protecus.de mailen? Oki .. dann mach ich mich mal an die Arbeit ;)
Seitenanfang Seitenende
26.01.2004, 16:04
Hansi25
Member

Beiträge: 18
#193 na mit hijackthis bekommst es weg... so wie du das log erstellt hast... dann markierst die beiträge bzw setzt nen haken davor und drückst auf "clean" oder wie auch immer der button heisst und die rundll16.exe kannst ja umbennen und erstmal sichern zur not bevor du löscht wenn du dir unsicher bist.. ;)
Seitenanfang Seitenende
26.01.2004, 16:08
Poetix
...neu hier

Beiträge: 3
#194 Clean hab ich nicht ... nur "fix checked"
Der Rest sind nur InfoButton ;)


rundll16.exe ist zu Euch unterwegs ;)
Dieser Beitrag wurde am 26.01.2004 um 16:25 Uhr von Poetix editiert.
Seitenanfang Seitenende
26.01.2004, 21:21
jaylennox
...neu hier

Beiträge: 6
#195 Hallo Raman....schonmal danke für die Hilfe bisher auch wenn dies mein erster Post ist das Forum hat mir schon durchaus weitergeholfen.

Ich hatte/habe?? das NTSearch problem auch....habe alle Schritte durchgenommen bis auf das Windowsupdate weil die da eine Komplette Datensicherung wollen (ist die wirklich nötig??) und ich bei XP noch nicht so gut bescheid weiß wie man die am besten macht.

Wäre nett wenn Du nochmal einen blick auf meinen LOG werfen könntest weiß nämlich nicht ob da alles raus ist. Hab auch mit SPy Bot 115 !! einträge löschen können, aber man weiß ja nie....

(PS wie bekomme ich den MS Messenger weg der nerft mich immer!!)

danke schonmal gruß jaylennox


Logfile of HijackThis v1.97.7
Scan saved at 21:14:45, on 26.01.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\RVS\WCOM\SYSTEM\RVSINST.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Outlook Express\MSIMN.EXE
C:\Programme\Messenger\msmsgs.exe
D:\Download\Progs\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
O2 - BHO: (no name) - {029CA12C-89C1-46a7-A3C7-82F2F98635CB} - C:\PROGRAMME\KONTIKI\BIN\BH309190.DLL
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
O8 - Extra context menu item: Get It With Kontiki - res://C:\PROGRAMME\KONTIKI\BIN\BH309190.DLL/201
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {36C66BBD-E667-4DAD-9682-58050E7C9FDC} (CDKey Class) - http://www.cdkeybonus.com/cdkey/ITCDKey.cab
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.140/code/PWActiveXImgCtl.CAB
O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D0597723-78A6-4E25-A060-89EC11AE25EE}: NameServer = 212.7.148.65 212.7.148.97
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: