Problem mit DSO-Exploit, was macht der

#106 bei dem SpHjFix kommt sofort nach dem starten nicht infiziert und sonst tut sich nix nach dem neustart startet sich das prog auch nich...

#107 @Placebo85
Dann poste doch nochmals ein Log-File, wie ich es schon beschrieben hatte.
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung

#108 Ich war auch "Cool Web Search"-verseucht und kriegte das Schei... fast nicht mehr raus!!!

Ging nur mit AntiVir im abgesicherten Modus wieder raus nach zig Versuchen...

#109 @legato

Suspekt ist , also fixen

O4 - HKCU\..\Run: [WNST] C:\WINDOWS\System32\wnsapisu.exe

neustarten
#Gehe in den abgesicherten Modus...F8 druecken, wenn der Comp. hochfaehrt

Konfiguriere den Antivirus:
Einstellungen : (Suchen: ALLE DATEIN, Reperatur: OHNE RÜCKFRAGEN, Löschen bei fehlgeschlagener Reperatur: LÖSCHEN OHNE RÜCKFRAGEN, Unerwünschte Programme: ALLE ausser spiele, Heuristik: Win32 Heuristik Priorität hoch)

#scanne mit dem Antivirus


MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#110 also ich denke müsste geklappt haben! die such seite is verschwunden und alles andere auch das mwav hat über 60 virengefunden frag mich warum das norton nich gebracht hat!ß is echt komisch nun ja hier mein log und vielen vielen vielen danke

Logfile of HijackThis v1.98.0
Scan saved at 18:13:35, on 04.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
C:\Programme\Logitech\ImageStudio\LogiTray.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Zone Labs\ZoneAlarm\zapro.exe
C:\Dokumente und Einstellungen\Sebastian\Eigene Dateien\HijackThis.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Eigene Dateien\kmd263_de.exe
D:\Eigene Dateien\kmd263_de.exe
C:\WINDOWS\Temp\Altnet\setup.exe
C:\WINDOWS\Temp\Adware\Setup_PerfectNav.exe

F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Programme\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Programme\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Programme\Zone Labs\ZoneAlarm\zapro.exe
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{26995102-B79D-439C-B97B-3863892384ED}: NameServer = 145.253.2.203 145.253.2.81
O17 - HKLM\System\CS1\Services\Tcpip\..\{26995102-B79D-439C-B97B-3863892384ED}: NameServer = 145.253.2.203 145.253.2.81

#111 Placebo85

Fixe noch

O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)

und scanne mit Spysweeper
http://www.spysweeper.com/spyware-remover-download.html

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#112 Vielen Dank Sabina!

Führe Deinen Rat zur Zeit aus.

Gruß Legato

#113

Zitat

Cidre postete
@ freizeit

Diese Einträge fixen:
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/269d9a65679950dbda18/netzip/RdxIE601_de.cab

Sollte es sich um dieses DSO Exploit handeln:
DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-21-1060284298-926492609-839522115-1004\Software\Microsoft\Windows\Curr entVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3


Lösung:
Das Problem ist ein kleiner Fehler (BUG) in Spybot.
Bei den DSO Exploits wird ein Wert überprüft. Stimmt dieser Wert nicht mit einem bestimmten Wert überein, muss er ersetzt werden. Leider wird dieser zurzeit durch einen falschen Wert ersetzt, was dazu führt, dass diese Einträge bei der nächsten Überprüfung erneut gefunden werden.
Das ist nicht weiterhin schlimm für das System, Sie brauchen sich keine Sorgen machen.
Der Bug ist auch schon bereits gefixt, lokalisiert und der Fehler wird bald in einem Update verfügbar sein. Bei den DSO Exploits handelt es sich um Sicherheitslücken im Internet Explorer.

EIN DANKE AN CIDRE!
HAB JETZT NUR NOCH MELDUNGEN VON W32REBOOT,
ABER DASS IST EIN JOKE-VIRUS, SIEHE MC.AFEE.COM!
GRUß freizeit

#114 Hier wäre mal mein Log, der Mist ist nach jedem Scan wieder da, unglaublich!


Logfile of HijackThis v1.98.0
Scan saved at 14:26:55, on 05.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\ASUS\SmartDoctor\SmartDoctor.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\MICROSTAR\Bluetooth Software\BTTray.exe
C:\PROGRA~1\MICROS~3\BLUETO~1\BTSTAC~1.EXE
C:\Programme\Spybot\SpybotSD.exe
C:\PROGRA~1\MICROS~2\OFFICE11\OUTLOOK.EXE
C:\Programme\Internet Explorer\iexplore.exe
D:\AntiSpy\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\wpkwq.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\wpkwq.dll/sp.html#96676
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {248F4AA0-2FBE-AC94-9343-FA3E8832F5B2} - C:\WINDOWS\ntto.dll (file missing)
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HGTXPEI] C:\WINDOWS\System32\FirstReboot.exe
O4 - HKLM\..\Run: [SoundFusion] RunDll32 hercplgs.cpl,BootEntryPoint
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [ASUS SmartDoctor] C:\Programme\ASUS\SmartDoctor\\SmartDoctor.exe /start
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O15 - Trusted Zone: http://www.baphomet.ch
O15 - Trusted Zone: http://www.carstyle.ch
O15 - Trusted Zone: http://www.darkness-inside.ch
O15 - Trusted Zone: http://www.gothicmodels.net
O15 - Trusted Zone: http://www.nightshadow.de
O15 - Trusted Zone: http://www.uboot.com
O16 - DPF: {14F65762-96FB-44B9-8DAC-93845F377A0E} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/de/filesharingctrl.cab
O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab

#115 Hi bei mir auch das bekannte Problem

Hier mein Log :

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\WINDOWS\wo.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\PROGRA~1\DAP\DAP.EXE
C:\Dokumente und Einstellungen\Piepoo & Poopie\Desktop\security\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\PIEPOO~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\PIEPOO~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\PIEPOO~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\PIEPOO~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\PIEPOO~1\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\PIEPOO~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {481A2957-D0DF-487B-9DD4-3EFE91970A55} - C:\WINDOWS\System32\hjedja.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [Windows System Configuration] C:\WINDOWS\wo.exe
O4 - HKLM\..\Run: [Windows DLL Loader] C:\WINDOWS\wo.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{57F828CA-78B1-4081-81B1-E2C996EC97ED}: NameServer = 217.237.151.225 194.25.2.129
O18 - Filter: text/html - {21916CCB-2DA8-4B26-A4D5-9E8F9EAA8D24} - C:\WINDOWS\System32\hjedja.dll
O18 - Filter: text/plain - {21916CCB-2DA8-4B26-A4D5-9E8F9EAA8D24} - C:\WINDOWS\System32\hjedja.dll

Vielen Dank vorab für Hilfe

#116 Hallo,

ich habe jetzt auchsowas. es dauert etwas, dnn kommen zwei Popups, einer wanrt vor einem Virus und eines wanrt vor Spyware. Beide bieten tolle Software an zum cleanen.

Hier mein log:
Logfile of HijackThis v1.98.0
Scan saved at 20:19:32, on 05.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
D:\programme\system\Norton\Internet Security\NISUM.EXE
D:\programme\system\Norton\Internet Security\ccPxySvc.exe
D:\programme\system\Norton\Anti Virus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
D:\Downloads\Neu\Schei...\BHODemon 2.0\BHODemon.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\master\LOKALE~1\Temp\dpib.dat
D:\Downloads\Neu\Schei...\hijackthis\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\diagnose\SPYBOT~1\SDHelper.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\programme\system\Norton\Anti Virus\NavShExt.dll
O2 - BHO: (no name) - {FFFFFEF0-5B30-21D4-945D-000000000000} - D:\PROGRA~1\system\STARDO~1\SDIEInt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\programme\system\Norton\Anti Virus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE
O4 - Startup: BHODemon 2.0.lnk = D:\Downloads\Neu\Schei...\BHODemon 2.0\BHODemon.exe
O8 - Extra context menu item: Download with Star Downloader - D:\programme\system\Star Downloader\sdie.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\programme\ICQLite\ICQLite.exe
O9 - Extra button: Microsoft® JavaScript® Console - {D9F83FCE-B28B-46FB-9915-B4F05B65EB04} - C:\WINDOWS\System32\COMDLG32.OCX (file missing)
O9 - Extra 'Tools' menuitem: JavaScript Console - {D9F83FCE-B28B-46FB-9915-B4F05B65EB04} - C:\WINDOWS\System32\COMDLG32.OCX (file missing)
O9 - Extra button: Microsoft® JavaScript® Console - {D9F83FCE-B28B-46FB-9915-B4F05B65EB04} - C:\WINDOWS\System32\COMDLG32.OCX (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: JavaScript Console - {D9F83FCE-B28B-46FB-9915-B4F05B65EB04} - C:\WINDOWS\System32\COMDLG32.OCX (file missing) (HKCU)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/de/win/QuickTimeInstaller.exe
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/activedata/SymAData.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/techsupp/activedata/ActiveData.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2E63358D-4200-4580-87CF-5721241E9D82}: NameServer = 192.168.1.1



Ich wäre echt froh, wenn mir jemand helfen kann!


EDIT: Ich habe festgestellt, das ich im Windows explorer nichts mehr machen kann. Sobald ich auf einer beliebigen datei einen rechtsklick mache stürzt der Explorer komplett ab.....

#117 @satyr

Ueberpruefe das bitte mit Kaspersky
http://www.kaspersky.com/remoteviruschk.html
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\rundll32.exe

Fixe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\wpkwq.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\wpkwq.dll/sp.html#96676

O2 - BHO: (no name) - {248F4AA0-2FBE-AC94-9343-FA3E8832F5B2} - C:\WINDOWS\ntto.dll (file missing)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

neustarten


Konfiguriere den Antivirus:
Einstellungen : (Suchen: ALLE DATEIN, Reperatur: OHNE RÜCKFRAGEN, Löschen bei fehlgeschlagener Reperatur: LÖSCHEN OHNE RÜCKFRAGEN, Unerwünschte Programme: ALLE ausser spiele, Heuristik: Win32 Heuristik Priorität hoch)

#Gehe in den abgesicherten Modus...F8 druecken, wenn der Comp. hochfaehrt
#scanne mit dem Antivirus

Gehe in die Registry
Start<Ausfuehren<regedit
suche nach Eintraegen, die die Startseite verstellen und loesche auf der rechten Seite der Registry

HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = /sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = /sp.html#96676

schliesse die Registry

Suche und loesche
C:\WINDOWS\ntto.dll
und falls eine von den RUND32.DLL ein Trojaner ist, laut Kaspersky..diesen auch loeschen !
........................................................................................................
#normal neustarten

#Lade mwav.exe ...30 Tage free und scanne <alle Dateien<
http://www.mwti.net/antivirus/free_utilities.asp
#Lade Spysweeper und scanne
http://www.spysweeper.com/

#Lade AdAware free..update und scanne <alle Dateien<
http://www.lavasoft.de/support/download/

#Lade Cwhredder
http://www.chip.de/downloads/c_downloads_11353799.html

#Loesche unter \InternetOptionen \die TemporatryInternetFiles und stelle eine neue Startseite ein und poste das Log noch mal.

MfG
Sabina

Tipp:
surfe nur mit dem Firefox..ist ein bisschen sicherer als der IE
http://www.firebird-browser.de/
__________
MfG Sabina

rund um die PC-Sicherheit

#118 hi, hier mein log:

Logfile of HijackThis v1.97.7
Scan saved at 22:14:18, on 05.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\sstray.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Marc\Eigene Dateien\Software\Security\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.20.37:3128
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [EPSON Stylus C82 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C82 Series" /O6 "USB001" /M "Stylus C82"
O4 - HKLM\..\Run: [PCLEPCI] C:\PROGRA~1\Pinnacle\PPE\ppe.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O8 - Extra context menu item: &Download by NetAnts - C:\PROGRA~1\NetAnts\NAGet.htm
O8 - Extra context menu item: Download &All by NetAnts - C:\PROGRA~1\NetAnts\NAGetAll.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: NetAnts (HKLM)
O9 - Extra 'Tools' menuitem: &NetAnts (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst0309.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-9.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/04b30f271541d00e7a15/netzip/RdxIE601_de.cab
O16 - DPF: {5E943D9C-F8DC-4258-8E3F-A61BB3405A33} - http://www.imagestation.com/common/classes/batchdwnl.cab?version=4,3,2,20802
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab
O16 - DPF: {8714912E-380D-11D5-B8AA-00D0B78F3D48} (Yahoo! Webcam Upload Wrapper) - http://chat.yahoo.com/cab/yuplapp.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38029.3520717593
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

vielen Dank für eure Mühe!!!
DANKE
Nexit

#119 @poopie


Deaktiviere die Wiederherstellung...kannst du nach der Reinigung wieder aktivieren
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

fixe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\PIEPOO~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\PIEPOO~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\PIEPOO~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\PIEPOO~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\PIEPOO~1\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\PIEPOO~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

O2 - BHO: (no name) - {481A2957-D0DF-487B-9DD4-3EFE91970A55} - C:\WINDOWS\System32\hjedja.dll
O4 - HKLM\..\Run: [Windows System Configuration] C:\WINDOWS\wo.exe
O4 - HKLM\..\Run: [Windows DLL Loader] C:\WINDOWS\wo.exe
O18 - Filter: text/html - {21916CCB-2DA8-4B26-A4D5-9E8F9EAA8D24} - C:\WINDOWS\System32\hjedja.dll
O18 - Filter: text/plain - {21916CCB-2DA8-4B26-A4D5-9E8F9EAA8D24} - C:\WINDOWS\System32\hjedja.dll

neustarten


Deaktiviere kurz deinen Virenscanner und lade Antivirus
http://www.free-av.de/
Konfiguriere den Antivirus:
Einstellungen : (Suchen: ALLE DATEIN, Reperatur: OHNE RÜCKFRAGEN, Löschen bei fehlgeschlagener Reperatur: LÖSCHEN OHNE RÜCKFRAGEN, Unerwünschte Programme: ALLE ausser spiele, Heuristik: Win32 Heuristik Priorität hoch)

#Gehe in den abgesicherten Modus...F8 druecken, wenn der Comp. hochfaehrt
#scanne mit dem Antivirus

Gehe in die Registry
Start<Ausfuehren<regedit
suche nach Eintraegen, die die Startseite verstellen und loesche auf der rechten Seite der Registry

HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = sp.html
HKCU\Software\Microsoft\Internet Explorer\Main,Search Page sp.html
HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = sp.html
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page sp.html
HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant\sp.html
HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant\sp.html
HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

loesche auf der rechten Seite diese Eintraege, falls sie noch da sind
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run [Windows System Configuration]
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run [Windows DLL Loader]

schliesse die Registry

#Loesche
C:\WINDOWS\wo.exe
C:\WINDOWS\System32\hjedja.dll

Normal neustarten

#Lade Spysweeper und scanne
http://www.spysweeper.com/

#Lade Cwshredder
http://www.chip.de/downloads/c_downloads_11353799.html

#Loesche unter <InternetOptionen die TemporaryInternetFiles !!!!
und stelle eine neue Startseite ein.

Dann poste das Log noch mal.

Tipp
Surfe mit dem Firefox...ist sicherer
http://www.firebird-browser.de/

MfG
Sabina

__________
MfG Sabina

rund um die PC-Sicherheit

#120 Ich kann es nicht fixen mit dem HiJack, das Schrott-Teil bringt nur ne Fehlermeldung und kann nichts machen.

Adaware und AntiVirus finden keine verseuchten Dateien,
aber der Eintrag zur Suchseite ist immer noch in der Registry und ist auch nach jedem Löschen wieder da, ich kann in der Registry löschen was ich will, wird alles automatisch wieder hergestellt.