rundll32-Fehler, motor-search-startseite und hartnäckige pornolinks |
||
---|---|---|
#0
| ||
23.03.2004, 08:27
...neu hier
Beiträge: 5 |
||
|
||
23.03.2004, 09:01
Member
Beiträge: 1095 |
#2
Hi kraemax
Führe mal folgendes aus http://board.protecus.de/t9373.htm poste dann bitte das HiJackThis LogFile hier Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 23.03.2004 um 09:04 Uhr von paff editiert.
|
|
|
||
23.03.2004, 09:30
...neu hier
Themenstarter Beiträge: 5 |
#3
Alles klar, hab alles durchgeführt und hier ist nun das logfile:
Logfile of HijackThis v1.97.7 Scan saved at 10:26:36, on 22.04.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\WINDOWS\System32\Ati2evxx.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Atguard\iamserv.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\Atguard\iamapp.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\kraemax\Eigene Dateien\My Games\hjt.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.motor-search.info/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.motor-search.info/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.motor-search.info/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.motor-search.info/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.motor-search.info/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.motor-search.info/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.motor-search.info/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.motor-search.info/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.motor-search.info/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.motor-search.info/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.motor-search.info/ R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://my-find.com/index.htm O2 - BHO: MyWay Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - C:\Programme\MyWay\SrchAstt\1.bin\MYSRCHAS.DLL O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file) O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [iamapp] C:\PROGRA~1\Atguard\iamapp.exe O4 - HKLM\..\Run: [MWEO] C:\WINDOWS\MWEO.exe O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\SysUpd.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &AroundWeb Search - res://C:\Programme\AroundWeb\awtoolb.dll/MENUSEARCH.HTM O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM) O9 - Extra button: Mobilen Favoriten erstellen (HKLM) O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... (HKLM) O9 - Extra button: Recherche-Assistent (HKLM) O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{49EA371D-4509-42C0-8B3D-52E3DA6A3258}: NameServer = 217.5.114.141 194.25.2.129 O17 - HKLM\System\CS1\Services\Tcpip\..\{49EA371D-4509-42C0-8B3D-52E3DA6A3258}: NameServer = 217.5.114.141 194.25.2.129 Hoffe, das passt so? |
|
|
||
23.03.2004, 11:19
Member
Beiträge: 1095 |
#4
Hi
FIxe bitte dies Alles mit R0 und R1 03 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file) Überprüfe bitte diese beiden Dateien bei einem Onlinescan z.B. http://www.kaspersky.com/remoteviruschk.html O4 - HKLM\..\Run: [MWEO] C:\WINDOWS\MWEO.exe O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\SysUpd.exe Wenn Virus dann fixen dann mal die P... Links usw. löschen und einen Neustart machen. Dann schauen ob alles klar ist , kannst auch das log nochmal posten Gruß paff P.S. du hast noch die MyWay Toolbar auf dem Rechner. Wenn du die absichtlich benutzt OK, wenn nicht kannst du Sie ganz normal über Systemsteuerung/Programme deinstallieren ! __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 23.03.2004 um 11:27 Uhr von paff editiert.
|
|
|
||
23.03.2004, 13:19
...neu hier
Themenstarter Beiträge: 5 |
#5
Also gut, hab ich alles gemacht. Die beiden Dateien MWEO.exe und SysUpd.exe gibt's allerdings auf meinem System scheinbar nicht, zumindest sind sie weder in dem angegebenen Verzeichnis, noch über das Suchprogramm zu finden. Und diese MyWay Toolbar finde ich zumindest unter Systemsteuerung/Software auch nicht. Das hast Du ja gemeint, oder?
Auf jeden Fall hier nochmal das neue Logfile: Logfile of HijackThis v1.97.7 Scan saved at 14:12:45, on 22.04.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\WINDOWS\System32\Ati2evxx.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Atguard\iamserv.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\Atguard\iamapp.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\kraemax\Eigene Dateien\My Games\hjt.exe O2 - BHO: MyWay Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - C:\Programme\MyWay\SrchAstt\1.bin\MYSRCHAS.DLL O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [iamapp] C:\PROGRA~1\Atguard\iamapp.exe O4 - HKLM\..\Run: [MWEO] C:\WINDOWS\MWEO.exe O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\SysUpd.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &AroundWeb Search - res://C:\Programme\AroundWeb\awtoolb.dll/MENUSEARCH.HTM O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM) O9 - Extra button: Mobilen Favoriten erstellen (HKLM) O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... (HKLM) O9 - Extra button: Recherche-Assistent (HKLM) O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{49EA371D-4509-42C0-8B3D-52E3DA6A3258}: NameServer = 217.5.114.141 194.25.2.129 O17 - HKLM\System\CS1\Services\Tcpip\..\{49EA371D-4509-42C0-8B3D-52E3DA6A3258}: NameServer = 217.5.114.141 194.25.2.129 Kann ich eigentlich in Zukunft auch alles mit R1 und R0 löschen? Ansonsten schon mal vielen Dank!!! |
|
|
||
23.03.2004, 14:36
Member
Beiträge: 1095 |
#6
Öffne mal im Windows Explorer das Menü Extras und dort Ordneroptionen.
Dann auch denn Tab Ansicht. Dort muß das Kreuz bei "Geschützte Systemdateien ausblenden(empfohlen)" weg sein. Mit OK bestätigen. Dann nochmal nach den Dateien suchen C:\WINDOWS\MWEO.exe C:\WINDOWS\SysUpd.exe Wenn die Dateien wirklich nicht mehr da sind, dann kannst du Sie in HiJackThis auf jeden Fall fixen. Wegen der "MyWay" Toolbar! Die müsste dann eigentlich in deine INTERNETEXPLORER als Toolbar zu sehen sein. Wenn nicht, kannst du den Eintrag auch Fixen O2 - BHO: MyWay Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - C:\Programme\MyWay\SrchAstt\1.bin\MYSRCHAS.DLL Gruß Chris P.S. ist das Problem mit den Bookmarks auf dem Desktop jetzt gelöst? __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 23.03.2004 um 14:37 Uhr von paff editiert.
|
|
|
||
23.03.2004, 15:03
...neu hier
Themenstarter Beiträge: 5 |
#7
Alles klar, hab die Dateien nicht gefunden und dann gefixt. Ich glaub jetzt geht's wieder. Danke!!!
|
|
|
||
1.ich bekomme drei Fehlermeldungen:
a) rundll32.exe - Abbild fehlerhaft:
Die Anwendung oder DLL C:\windows\image.dll ist keine gültige windows-Datei. Überprüfen Sie dies mit der Installationsdiskette.
b) Windows Script Host:
Skript: c.\windows\system32\rundll.vbe
Zeile: 109
Zeichen: 1
Fehler: Erlaubnis verweigert
Code: 800A0046
Quelle: Laufzeitfehler in Microsoft VBScript
c) Windows Script Host:
Skript: c.\windows\system32\rundll.vbe
Zeile: 96
Zeichen: 1
Fehler: Erlaubnis verweigert
Code: 800A0046
Quelle: Laufzeitfehler in Microsoft VBScript
2.)Auf meinem Desktop erscheinen zweifelhafte Bookmarks: Viagra Videos, Strip Poker, Sex Drugs, Home Business, Education. Die kann ich jedesmal löschen, nach Neustart sind sie wieder da.
3.) Meine Internetstartseite wird immer auf http://www.motor-search.info/ gesetzt, kann ich auch nicht löschen
4.)Ebenso werden meine Favoriten mit Müll zugeklebt: Weight Loss, Viagra, Casino Online, usw... Kann ich natürlich auch nicht löschen.
Bitte, kann mir jemand helfen? Hab's schon mit der neusten Version von AntiVir Xp versucht, der hat zwar alle möglichen Viren gefunden, aber das Problem bleibt. Hab auch Spybot drüberlaufen lassen, der findet zwar einen "possible hijacker", tötet ihn auf Befehl auch brav, aber nach dem Neustart ist er wieder da.
Also, falls mir jemand helfen kann wäre das super!!!! Danke!