Home » Spyware & Browser Hijacker Support Forum » "search for..." als startseite - wie entfernen? » Themenansicht

"search for..." als startseite - wie entfernen?

Thema ist geschlossen!
Thema ist geschlossen!
#0
29.04.2004, 13:35
pewi
...neu hier

Beiträge: 6
#76 @Sabina,
danke noch einmal für deine Antwort. raman und paff hatten mir schon sehr geholfen. Ich habe alles gefixt, wie angegeben, es waren dann auch alle weg für einige Minuten. Dann hatte ich das selbe Problem mit anderen dll-Dateien. Spybot habe ich schon seit Monaten drauf (hat nichts gefunden).
Bei genauer Recherche und Suche in der Registry bin ich dann auf den Wurm "Agobot" gestoßen, den niemand gefunden hat (auch Norton nicht, den findet wohl nur Sophos!). Mein Mann hat die Festplatte letztendlich formatiert, damit wir sicher sind, das Ding los zu sein. Letztes Jahr hatte ich auch schon ein Problem mit dem Hijacker Coolweb.search. Da war ich das Problem sofort los, nachdem ich alles "Böses" gefixt hatte. Tja, so kanns einem gehen. 100%ige Sicherheit gibt's wohl leider nicht, oder?!

Mfg
pewi
Seitenanfang Seitenende
29.04.2004, 14:01
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#77 PEWI ,

Das <fixen< loescht nicht die Malware, dass muss man dann mit den entsprechenden Tools machen.
Also AdAware, Spybot, Antivirenscanner usw.
Es war wirklich nichts vom Agobot auf dem Rechner zu sehen....wirklich eigenartig.

Man sollte auch dem Norton nicht zu sehr vertrauen, sondern immer auch im zweifelsfall einen Online-Virenscann machen http://housecall.trendmicro.com/
und mit diesem Tool arbeiten
http://www.soft411.com/company/MicroWorld-Technologies-Inc/MicroWorld-Anti-Virus-Toolkit.htm

nach dem Laden <save to disc< die mwav.exe suchen und entpacken.

Wenn Sie den Firefox als Zweitbrowser laden , surfen Sie sicherer.
http://firebird.stw.uni-duisburg.de/windows.php

Der IE muss dennoch immer aktualisiert werden.

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
29.04.2004, 15:16
raman
Moderator

Beiträge: 7805
#78 Ich hoffe ihr habt daraus gelernt und nutzt jetzt einen anderen Browser als den IE und ein anderen Emailclient als OE. ;)

Natuerlich habt ihr euch auch gleich ein Image der Neuinstallation gezogen, damit ihr beim naechsten Neuaufsetzen keine Probleme mehr habt, oder? ;)
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
29.04.2004, 21:16
Fabian78
...neu hier

Beiträge: 7
#79 Hallo,

habe auch das gleiche Problem. Verfolge schon seit einer Woche zahlreiche Foren und habe alle mir bekannten Maßnahmen durchgeführt.
Auch habe ich nahezu alles einmal probiert was hier gepostet wurde. Langsam denke ich ich bin einfach zu blöd oder ich sehe den Wald vor lauter Bäumen nicht mehr.

Achso, dazu ist noch zu sgen das das ganze System schweine langsam läuft.
Ich weiß mir eigentlich nur noch mit einer Neuinstallation und einem anschließenden Umstieg auf Firefox oder ähnliches zu helfen. Vieleicht hat von euch noch jemand eine Idee.

Jetzt habe ich mich dazu entschlossen auch einfach mal mein Logfile zu posten. Ich hoffe ihr könnt mir helfen und ich habe nicht irgendwas übersehen was schon hundertmal gepostet wurde. Vielen Dank im voraus.

Habe also als Startseite "about:blank", aber blank ist die Seite wohl kaum sondern Search for ... Habe mir schon HijackThis, Spybot & Search destroy und Ad-Aware geladen und ausgeführt, leider nur kurzzeitigen Erfolg. Nach kurzer Zeit oder sofort ist es wieder das gleiche Problem.
Dies ist mein jüngstes Logfile nachdem ich CWSShreder ausgeführt habe und er searchx gelöscht hat. Oder muss ich das Logfile posten bevor ich selbst etwas mit Hijackthis fixe?

Logfile of HijackThis v1.97.7
Scan saved at 20:55:45, on 29.04.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\WINDOWS\System32\gearsec.exe
D:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
D:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\SerExt.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\The Cleaner\tca.exe
C:\Programme\The Cleaner\tcm.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
D:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
D:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\WINDOWS\msagent\AgentSvr.exe
D:\Programme\Norton Internet Security\Norton AntiVirus\OPScan.exe
D:\Antispy\hijackthis1977\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll (file missing)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] D:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SerExt] SerExt.exe /unplug
O4 - HKLM\..\Run: [tcactive] C:\Programme\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] C:\Programme\The Cleaner\tcm.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~2\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O15 - Trusted Zone: http://www.aral.de
015 - Trusted Zone: http://portal.d-wars.com
O15 - Trusted Zone: http://www.d-wars.com
O15 - Trusted Zone: http://*.mms.eplus.de
O15 - Trusted Zone: http://mms.eplus.de
O15 - Trusted Zone: www.getgo.de
O15 - Trusted Zone: http://*.windowsupdate.microsoft.com
O15 - Trusted Zone: www*.pitstop2004.de
O15 - Trusted Zone: http://www.si-q.com
O15 - Trusted Zone: http://*.windowsupdate.com
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1408.g.akamai.net/7/1408/9955/20040106/akamai.info.apple.com/iTunes4/WW/win/D019-0123.20040106.vfp5a/iTunesSetup.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B64BC0EA-1D0A-4494-A659-EEBE5FB2839E}: NameServer = 192.168.1.1
Dieser Beitrag wurde am 29.04.2004 um 21:21 Uhr von Fabian78 editiert.
Seitenanfang Seitenende
30.04.2004, 09:07
paff
Member

Beiträge: 1095
#80 Hi Fabian

Lad dir mal das runter
http://tools.zerosrealm.com/downloads/pv.zip
Entpacke die Datei in ein Verzeichnis und start die "runme.bat"

Dann tippe 1 und mit Return bestätigen
Den Inhalt des nun geöffnetetn Fensters bitte posten

Dann noch 6 und mit Return bestätigen
Inhalt ebenfalls posten

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
30.04.2004, 13:23
Fabian78
...neu hier

Beiträge: 7
#81 Hi paff !

Explorer dll`s:

Module information for 'Explorer.EXE'
MODULE BASE SIZE PATH
Explorer.EXE 1000000 1015808 C:\WINDOWS\Explorer.EXE 6.00.2800.1106 (xpsp1.020828-1920) Windows Explorer
ntdll.dll 77f40000 712704 C:\WINDOWS\System32\ntdll.dll 5.1.2600.1217 (xpsp2.030429-2131) DLL für NT-Layer
kernel32.dll 77e40000 1015808 C:\WINDOWS\system32\kernel32.dll 5.1.2600.1106 (xpsp1.020828-1920) Client-DLL für Windows NT-Basis-API
msvcrt.dll 77be0000 339968 C:\WINDOWS\system32\msvcrt.dll 7.0.2600.1106 (xpsp1.020828-1920) Windows NT CRT DLL
ADVAPI32.dll 77da0000 638976 C:\WINDOWS\system32\ADVAPI32.dll 5.1.2600.1106 (xpsp1.020828-1920) Erweitertes Windows 32 Base-API
RPCRT4.dll 78000000 552960 C:\WINDOWS\system32\RPCRT4.dll 5.1.2600.1361 (xpsp2.040109-1800) Remote Procedure Call Runtime
GDI32.dll 7e180000 266240 C:\WINDOWS\system32\GDI32.dll 5.1.2600.1346 (xpsp2.040109-1800) GDI Client DLL
USER32.dll 77d10000 573440 C:\WINDOWS\system32\USER32.dll 5.1.2600.1255 (xpsp2.030804-1745) Client-DLL für Windows XP USER-API
SHLWAPI.dll 70a70000 413696 C:\WINDOWS\system32\SHLWAPI.dll 6.00.2800.1400 Shell Light-weight Utility Library
SHELL32.dll 773a0000 8372224 C:\WINDOWS\system32\SHELL32.dll 6.00.2800.1233 (xpsp2.030604-1804) Allgemeine Windows-Shell-DLL
ole32.dll 7ccc0000 1196032 C:\WINDOWS\system32\ole32.dll 5.1.2600.1362 (xpsp2.040109-1800) Microsoft OLE für Windows
OLEAUT32.dll 770f0000 569344 C:\WINDOWS\system32\OLEAUT32.dll 3.50.5016.0 Microsoft OLE 3.50 for Windows NT(TM) and Windows 95(TM) Operating Systems
BROWSEUI.dll 71500000 1036288 C:\WINDOWS\System32\BROWSEUI.dll 6.00.2800.1400 Shell Browser UI-Bibliothek
SHDOCVW.dll 71700000 1347584 C:\WINDOWS\System32\SHDOCVW.dll 6.00.2800.1400 Bibliothek für Shell-Dokumente und -Steuerelemente
UxTheme.dll 5b0f0000 212992 C:\WINDOWS\System32\UxTheme.dll 6.00.2800.1106 (xpsp1.020828-1920) Microsoft UxTheme-Bibliothek
Secur32.dll 76f50000 65536 C:\WINDOWS\System32\Secur32.dll 5.1.2600.1106 (xpsp1.020828-1920) Security Support Provider Interface
iphlpapi.dll 76d20000 90112 C:\WINDOWS\System32\iphlpapi.dll 5.1.2600.1240 (xpsp2.030618-0119) IP-Hilfs-API
WS2_32.dll 71a10000 81920 C:\WINDOWS\System32\WS2_32.dll 5.1.2600.1240 (xpsp2.030618-0119) Windows Socket 2.0 32-Bit DLL
WS2HELP.dll 71a00000 32768 C:\WINDOWS\System32\WS2HELP.dll 5.1.2600.0 (xpclient.010817-1148) Windows Socket 2.0 Helper für Windows NT
comctl32.dll 78090000 933888 C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.10.0_x-ww_f7fb5805\comctl32.dll 6.0 (xpsp1.020828-1920) User Experience Controls Library
comctl32.dll 77310000 569344 C:\WINDOWS\system32\comctl32.dll 5.82 (xpsp1.020828-1920) Common Controls Library
appHelp.dll 75ee0000 126976 C:\WINDOWS\system32\appHelp.dll 5.1.2600.1106 (xpsp1.020828-1920) Application Compatibility Client Library
CLBCATQ.DLL 7a170000 528384 C:\WINDOWS\System32\CLBCATQ.DLL 2001.12.4414.53
COMRes.dll 77010000 864256 C:\WINDOWS\System32\COMRes.dll 2001.12.4414.42
VERSION.dll 77bd0000 28672 C:\WINDOWS\system32\VERSION.dll 5.1.2600.0 (xpclient.010817-1148) Version Checking and File Installation Libraries
cscui.dll 765c0000 327680 C:\WINDOWS\System32\cscui.dll 5.1.2600.1106 (xpsp1.020828-1920) Clientseitige Cachebenutzeroberfläche
CSCDLL.dll 765a0000 110592 C:\WINDOWS\System32\CSCDLL.dll 5.1.2600.0 (xpclient.010817-1148) Offlinenetzwerk-Agent
themeui.dll 5b9b0000 466944 C:\WINDOWS\System32\themeui.dll 6.00.2800.1106 (xpsp1.020828-1920) Windows-Design-API
MSIMG32.dll 76320000 20480 C:\WINDOWS\System32\MSIMG32.dll 5.1.2600.1106 (xpsp1.020828-1920) GDIEXT Client DLL
USERENV.dll 75a10000 684032 C:\WINDOWS\system32\USERENV.dll 5.1.2600.1106 (xpsp1.020828-1920) Userenv
actxprxy.dll 71cc0000 110592 C:\WINDOWS\System32\actxprxy.dll 6.00.2600.0000 (XPClient.010817-1148) ActiveX Interface Marshaling Library
msutb.dll 60010000 196608 C:\WINDOWS\System32\msutb.dll 5.1.2600.1106 (xpsp1.020828-1920) MSUTB-Server-DLL
MSCTF.dll 746a0000 278528 C:\WINDOWS\System32\MSCTF.dll 5.1.2600.1106 (xpsp1.020828-1920) MSCTF-Server-DLL
netapi32.dll 71ba0000 319488 C:\WINDOWS\System32\netapi32.dll 5.1.2600.1343 (xpsp2.040109-1800) Net Win32 API DLL
SAMLIB.dll 71b70000 69632 C:\WINDOWS\System32\SAMLIB.dll 5.1.2600.1106 (xpsp1.020828-1920) SAM Library DLL
LINKINFO.dll 76930000 28672 C:\WINDOWS\System32\LINKINFO.dll 5.1.2600.0 (xpclient.010817-1148) Windows Volume Tracking
ntshrui.dll 76940000 151552 C:\WINDOWS\System32\ntshrui.dll 5.1.2600.1106 (xpsp1.020828-1920) Shellerweiterungen für Freigaben
ATL.DLL 76ad0000 86016 C:\WINDOWS\System32\ATL.DLL 3.00.9435 ATL Module for Windows NT (Unicode)
msi.dll 15d0000 2101248 C:\WINDOWS\System32\msi.dll 2.0.2600.1106 Windows Installer
SETUPAPI.dll 76620000 950272 C:\WINDOWS\System32\SETUPAPI.dll 5.1.2600.1106 (xpsp1.020828-1920) Windows Setup-API
urlmon.dll 1a400000 499712 C:\WINDOWS\system32\urlmon.dll 6.00.2800.1400 OLE32-Erweiterung für Win32
RASAPI32.dll 76ea0000 225280 C:\WINDOWS\System32\RASAPI32.dll 5.1.2600.1106 (xpsp1.020828-1920) RAS-API
rasman.dll 76e50000 69632 C:\WINDOWS\System32\rasman.dll 5.1.2600.1106 (xpsp1.020828-1920) Remote Access Connection Manager
TAPI32.dll 76e70000 176128 C:\WINDOWS\System32\TAPI32.dll 5.1.2600.1106 (xpsp1.020828-1920) Microsoft® Windows(TM) Telefonie-API-Client-DLL
rtutils.dll 76e40000 53248 C:\WINDOWS\System32\rtutils.dll 5.1.2600.0 (xpclient.010817-1148) Routing Utilities
WINMM.dll 76af0000 184320 C:\WINDOWS\System32\WINMM.dll 5.1.2600.1106 (xpsp1.020828-1920) MCI API-DLL
wininet.dll 63000000 618496 C:\WINDOWS\system32\wininet.dll 6.00.2800.1405 Interneterweiterungen für Win32
CRYPT32.dll 76260000 561152 C:\WINDOWS\system32\CRYPT32.dll 5.131.2600.1123 (xpsp2.020921-0842) Krypto-API32
MSASN1.dll 76240000 65536 C:\WINDOWS\system32\MSASN1.dll 5.1.2600.1362 (xpsp2.040109-1800) ASN.1 Runtime APIs
NETSHELL.dll 75c90000 1662976 C:\WINDOWS\system32\NETSHELL.dll 5.1.2600.1106 (xpsp1.020828-1920) Shell für Netzwerkverbindungen
credui.dll 76bc0000 188416 C:\WINDOWS\system32\credui.dll 5.1.2600.1106 (xpsp1.020828-1920) Benutzerschnittstelle für Anmeldeinformationsverwaltung
WINSTA.dll 76300000 61440 C:\WINDOWS\System32\WINSTA.dll 5.1.2600.1106 (xpsp1.020828-1920) Winstation Library
webcheck.dll 74ab0000 274432 C:\WINDOWS\System32\webcheck.dll 6.00.2800.1106 (xpsp1.020828-1920) Websiteüberwachung
stobject.dll 74a80000 131072 C:\WINDOWS\System32\stobject.dll 5.1.2600.1106 (xpsp1.020828-1920) Systray-Shell-Serviceobjekt
BatMeter.dll 74a70000 36864 C:\WINDOWS\System32\BatMeter.dll 6.00.2600.0000 (xpclient.010817-1148) Batteriemesshilfs-DLL
POWRPROF.dll 74a50000 28672 C:\WINDOWS\System32\POWRPROF.dll 6.00.2600.0000 (xpclient.010817-1148) Power Profile Helper DLL
WTSAPI32.dll 76f10000 32768 C:\WINDOWS\System32\WTSAPI32.dll 5.1.2600.1106 (xpsp1.020828-1920) Windows Terminal Server SDK APIs
WINTRUST.dll 76bf0000 176128 C:\WINDOWS\System32\WINTRUST.dll 5.131.2600.0 (xpclient.010817-1148) Microsoft Vertrauensverifizierungs-APIs
IMAGEHLP.dll 76c50000 139264 C:\WINDOWS\system32\IMAGEHLP.dll 5.1.2600.1106 (xpsp1.020828-1920) Windows NT Image Helper
rsaenh.dll ffd0000 143360 C:\WINDOWS\System32\rsaenh.dll 5.1.2600.1029 (xpsp1.020426-1800) Microsoft Base Cryptographic Provider
printui.dll 74b00000 544768 C:\WINDOWS\System32\printui.dll 5.1.2600.1106 (xpsp1.020828-1920) DLL für die Druckerbenutzeroberfläche
WINSPOOL.DRV 72f70000 143360 C:\WINDOWS\System32\WINSPOOL.DRV 5.1.2600.1106 (xpsp1.020828-1920) Windows-Spoolertreiber
ACTIVEDS.dll 76e00000 192512 C:\WINDOWS\System32\ACTIVEDS.dll 5.1.2600.0 (xpclient.010817-1148) ADs Router-Ebene-DLL
adsldpc.dll 76dd0000 151552 C:\WINDOWS\System32\adsldpc.dll 5.1.2600.1106 (xpsp1.020828-1920) DLL für ADs LDAP Provider C
WLDAP32.dll 76f20000 184320 C:\WINDOWS\system32\WLDAP32.dll 5.1.2600.1106 (xpsp1.020828-1920) Win32 LDAP-API-DLL
CFGMGR32.dll 74a60000 28672 C:\WINDOWS\System32\CFGMGR32.dll 5.1.2600.0 (xpclient.010817-1148) Configuration Manager Forwarder DLL
MPR.dll 71a80000 69632 C:\WINDOWS\system32\MPR.dll 5.1.2600.0 (xpclient.010817-1148) Router-DLL für Mehrfachanbieter
asOEHook.dll 10000000 196608 C:\PROGRA~1\GEMEIN~1\SYMANT~1\ANTISPAM\asOEHook.dll 2004.1.03.7 AntiSpam OE Hook
MSVCR70.dll 7c000000 344064 C:\WINDOWS\System32\MSVCR70.dll 7.00.9466.0 Microsoft® C Runtime Library
drprov.dll 75f00000 24576 C:\WINDOWS\System32\drprov.dll 5.1.2600.0 (xpclient.010817-1148) Microsoft Terminal Server Network Provider
ntlanman.dll 71b90000 53248 C:\WINDOWS\System32\ntlanman.dll 5.1.2600.1106 (xpsp1.020828-1920) Microsoft(R) LAN-Manager
NETUI0.dll 71c50000 90112 C:\WINDOWS\System32\NETUI0.dll 5.1.2600.0 (xpclient.010817-1148) NT-LM-Benutzerschnittstellen-Standardcode - GUI-Klassen
NETUI1.dll 71c10000 245760 C:\WINDOWS\System32\NETUI1.dll 5.1.2600.0 (xpclient.010817-1148) NT LM UI Common Code - Networking classes
NETRAP.dll 71c00000 24576 C:\WINDOWS\System32\NETRAP.dll 5.1.2600.0 (xpclient.010817-1148) Net Remote Admin Protocol DLL
davclnt.dll 75f10000 36864 C:\WINDOWS\System32\davclnt.dll 5.1.2600.0 (xpclient.010817-1148) Client-DLL für Web DAV
SXS.DLL 75e30000 688128 C:\WINDOWS\System32\SXS.DLL 5.1.2600.1106 (xpsp1.020828-1920) Fusion 2.5
shdoclc.dll 76110000 581632 C:\WINDOWS\System32\shdoclc.dll 6.00.2600.0000 (xpclient.010817-1148) Bibliothek für Shell-Dokumente und -Steuerelemente
browselc.dll 723c0000 77824 C:\WINDOWS\System32\browselc.dll 6.00.2800.1106 (xpsp1.020828-1920) Shell Browser UI-Bbibliothek
AcroIEHelper.ocx 1800000 32768 d:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx 1, 0, 0, 1 AcroIEHelper Module
NavShExt.dll 2330000 98304 D:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll 10.00.13 Norton AntiVirusNAVShellExt Module
MSVCP70.dll 7c080000 487424 C:\WINDOWS\System32\MSVCP70.dll 7.00.9466.0 Microsoft® C++ Runtime Library
nep.dll 2350000 45056 C:\WINDOWS\System32\nep.dll
DUSER.dll 6c670000 278528 C:\WINDOWS\System32\DUSER.dll 5.1.2600.1106 (xpsp1.020828-1920) Windows DirectUser Engine
MSGINA.dll 75910000 999424 C:\WINDOWS\System32\MSGINA.dll 5.1.2600.1343 (xpsp2.040109-1800) Windows-Anmeldungs-GINA-DLL
ODBC32.dll 2530000 204800 C:\WINDOWS\System32\ODBC32.dll 3.520.9042.0 Microsoft Data Access - ODBC Driver Manager
comdlg32.dll 76350000 286720 C:\WINDOWS\system32\comdlg32.dll 6.00.2800.1106 (xpsp1.020828-1920) DLL für gemeinsame Dialoge
odbcint.dll 1f850000 98304 C:\WINDOWS\System32\odbcint.dll 3.520.7713.0 Microsoft Data Access - ODBC Ressourcen
wiashext.dll 5a870000 581632 C:\WINDOWS\System32\wiashext.dll 5.1.2600.0 (XPClient.010817-1148) Shellordner-Benutzeroberfläche für Imaging-Geräte
gdiplus.dll 78190000 1708032 C:\WINDOWS\WinSxS\x86_Microsoft.Windows.GdiPlus_6595b64144ccf1df_1.0.10.0_x-ww_712befd8\gdiplus.dll 5.1.3101.0 (xpsp1.020828-1920) Microsoft GDI+
msohev.dll 325c0000 73728 D:\Programme\Microsoft Office\OFFICE11\msohev.dll 11.0.5510 Microsoft Office 2003 component
sti.dll 73b10000 77824 C:\WINDOWS\System32\sti.dll 5.1.2600.1106 (xpsp1.020828-1920) Digitalbildgeräte-Client-DLL
wdmaud.drv 72c90000 36864 C:\WINDOWS\System32\wdmaud.drv 5.1.2600.0 (XPClient.010817-1148) WDM Audio driver mapper
msacm32.drv 72c80000 32768 C:\WINDOWS\System32\msacm32.drv 5.1.2600.0 (xpclient.010817-1148) Microsoft Soundmapper
MSACM32.dll 77bb0000 81920 C:\WINDOWS\System32\MSACM32.dll 5.1.2600.0 (xpclient.010817-1148) Microsoft ACM-Audiofilter
midimap.dll 77ba0000 28672 C:\WINDOWS\System32\midimap.dll 5.1.2600.0 (xpclient.010817-1148) Microsoft MIDI-Mapper
zipfldr.dll 732f0000 339968 C:\WINDOWS\System32\zipfldr.dll 6.00.2800.1126 (xpsp2.020921-0842) ZIP-komprimierte Ordner
asfsipc.dll 70f00000 28672 C:\WINDOWS\System32\asfsipc.dll 1.1.00.3917 ASFSipc Object
MSISIP.DLL 609f0000 53248 C:\WINDOWS\System32\MSISIP.DLL 2.0.2600.0 MSI Signature SIP Provider
wshext.dll 74e20000 65536 C:\WINDOWS\System32\wshext.dll 5.6.0.6626 Microsoft (r) Shell Extension for Windows Script Host
wshDE.DLL 590c0000 57344 C:\WINDOWS\System32\wshDE.DLL 5.6.0.6626 Internationale Ressourcen für Microsoft (r) Windows Script Host
ScrTrust.dll 3f60000 65536 C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\ScrTrust.dll 1, 1, 1, 131 ScriptBlocking Trust Verifier
MCPS.DLL 36d30000 102400 D:\PROGRA~2\MICROS~1\OFFICE11\MCPS.DLL 11.0.5510 Media Catalog Proxy/Stub

Apinit Contents:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710
Seitenanfang Seitenende
30.04.2004, 14:24
paff
Member

Beiträge: 1095
#82 Hi Fabian
Tja, schade oder bzw. gut den ich hab nichts gefunden.


Das einzige auffällige ist die hier
C:\WINDOWS\System32\nep.dll

Schau mal bitte, ob du diese Datei im Windowsexplorer findest
und überprüfe Sie hier
http://www.kaspersky.com/de/remoteviruschk.html

Wen du dabei bist checke auch diese Dateien
C:\WINDOWS\msagent\AgentSvr.exe
SerExt.exe (Leider sieht man den Pfad nicht. Also Windowssuche benutzen)
-------------------------

Nächster Versuch
Öffne bitte die registry aber mit "regedt32"
Und suche diese Schlüssel
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
Markiere "AppInit_DLLs" und Menu Ansicht/Binäre Daten anzeigen

Wenn dort nur 0en stehen ists OK

-------------------------
Noch eine Idee hab ich

Schau mal in der Registry folgendes nach

Jeder Benutzer hat einen Registrierungsbereich namens HKEY_USERS\[Codeziffer des Benutzers]\. Suchen Sie für jeden Benutzer den Eintrag:

HKEY_CURRENT_USER\[Codeziffer]\Software\Microsoft\Windows\
CurrentVersion\Run\AddClass
Wenn es diesen Eintrag gibt ist das verdächtig und wir können den HiJacker
finden.

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
30.04.2004, 15:05
Fabian78
...neu hier

Beiträge: 7
#83 Hi Paff !

Vielen Dank schon einmal für deine Mühe !

[C:\WINDOWS\System32\nep.dll


C:\WINDOWS\msagent\AgentSvr.exe
SerExt.exe

Habe ich hier überprüft. Alle Dateien OK.

http://www.kaspersky.com/de/remoteviruschk.html


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
Markiere "AppInit_DLLs" und Menu Ansicht/Binäre Daten anzeigen

Stehen 4 nullen drin.




HKEY_CURRENT_USER\[Codeziffer]\Software\Microsoft\Windows\
CurrentVersion\Run\AddClass

Diesen Eintrag AddCLass gibt es bei keinem Benutzer.

Vielen Dank für deine Mühe und die tolle und leicht zu verstehende Beschreibung!



_______________________________________________________________

So sieht übrigens mein Hijacker aus !!!bevor!!! ich gefixt habe. Und !!!bevor!!! ich adaware und cwsshredder laufen lassen habe ! Erst ist dann alles gut und nach ein paar minuten oder neustart sieht es ja wieder so aus.


Vieleicht kannst du damit mehr anfangen.



ogfile of HijackThis v1.97.7
Scan saved at 15:06:48, on 30.04.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\WINDOWS\System32\gearsec.exe
D:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\SerExt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\iPod\bin\iPodService.exe
D:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\ACD Systems\ACDSee\6.0\ACDSee6.exe
D:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
D:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\WINDOWS\msagent\AgentSvr.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Programme\Norton Internet Security\Norton AntiVirus\OPScan.exe
D:\Antispy\hijackthis1977\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\nep.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\nep.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\nep.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\nep.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\nep.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\nep.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll (file missing)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {F8680540-77F2-471D-8BB7-948DE4F35105} - C:\WINDOWS\System32\nep.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] D:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SerExt] SerExt.exe /unplug
O4 - HKLM\..\Run: [tcactive] C:\Programme\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] C:\Programme\The Cleaner\tcm.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~2\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O15 - Trusted Zone: http://*.mms.eplus.de
O15 - Trusted Zone: http://mms.eplus.de
O15 - Trusted Zone: http://*.windowsupdate.microsoft.com
015 - Trusted Zone: http://*.trojaner-board.de
O15 - Trusted Zone: http://*.windowsupdate.com
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1408.g.akamai.net/7/1408/9955/20040106/akamai.info.apple.com/iTunes4/WW/win/D019-0123.20040106.vfp5a/iTunesSetup.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B64BC0EA-1D0A-4494-A659-EEBE5FB2839E}: NameServer = 192.168.1.1
Dieser Beitrag wurde am 30.04.2004 um 15:21 Uhr von Fabian78 editiert.
Seitenanfang Seitenende
30.04.2004, 16:20
Dafra
Member
Avatar Dafra

Beiträge: 1122
#84 Fix mal:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\nep.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\nep.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\nep.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\nep.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\nep.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\nep.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll (file missing)
O2 - BHO: (no name) - {F8680540-77F2-471D-8BB7-948DE4F35105} - C:\WINDOWS\System32\nep.dll
O15 - Trusted Zone: http://*.mms.eplus.de
O15 - Trusted Zone: http://mms.eplus.de
O15 - Trusted Zone: http://*.windowsupdate.microsoft.com
015 - Trusted Zone: http://*.trojaner-board.de
O15 - Trusted Zone: http://*.windowsupdate.com

MFG
DAFRA
Dieser Beitrag wurde am 30.04.2004 um 16:20 Uhr von Dafra editiert.
Seitenanfang Seitenende
30.04.2004, 16:30
Fabian78
...neu hier

Beiträge: 7
#85 @Dafra Hab ich gemacht ! Jetzt sieht es wieder so aus und Search for ist immer noch Startseite.

Logfile of HijackThis v1.97.7
Scan saved at 16:31:00, on 30.04.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\WINDOWS\System32\gearsec.exe
D:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\SerExt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\iPod\bin\iPodService.exe
D:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\ACD Systems\ACDSee\6.0\ACDSee6.exe
D:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
D:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\WINDOWS\msagent\AgentSvr.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Programme\Norton Internet Security\Norton AntiVirus\OPScan.exe
D:\Antispy\hijackthis1977\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\nep.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\nep.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\nep.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\nep.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\nep.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\nep.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {21BD7A11-DD15-4515-BA7F-0F41FE04D8E5} - C:\WINDOWS\System32\nep.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] D:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SerExt] SerExt.exe /unplug
O4 - HKLM\..\Run: [tcactive] C:\Programme\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] C:\Programme\The Cleaner\tcm.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~2\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O15 - Trusted Zone: http://*.mms.eplus.de
O15 - Trusted Zone: http://*.windowsupdate.microsoft.com
O15 - Trusted Zone: www*.pitstop2004.de
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1408.g.akamai.net/7/1408/9955/20040106/akamai.info.apple.com/iTunes4/WW/win/D019-0123.20040106.vfp5a/iTunesSetup.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B64BC0EA-1D0A-4494-A659-EEBE5FB2839E}: NameServer = 192.168.1.1
Dieser Beitrag wurde am 30.04.2004 um 16:31 Uhr von Fabian78 editiert.
Seitenanfang Seitenende
30.04.2004, 16:41
raman
Moderator

Beiträge: 7805
#86 Logisch, du bist die eigentliche "Traegerdatei" ja noch nicht los. Dazu brauchst du entweder die Wiederherstellungskonsole von XP( Starte von der WindowsCD, dort sollte sie dir angeboten werden), oder ein Bootmedium, welches ein Betriebsystem startet, mit dem du in der lage bist, auf NTFS Partitionen schreiben kannst. Z.B. Winpe von www.nu2.nu/pebuilder . Von dort aus musst du die Datei C:\WINDOWS\System32\nep.dll
loeschen, bzw verschieben.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
30.04.2004, 17:12
paff
Member

Beiträge: 1095
#87 @fabian
Schau mal bitte was in diesem Eintrag steht
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\\Windows NT\CurrentVersion\Winlogon

In den Eintrag
"UserInit"
"shell"

@raman
Fabian hat die "nep.dll" bei kaspersky getestet. Der sagt OK
Ist entweder zu neu oder wirklich Clean.
Welche Starteinträge um die DLL zu starten gibts noch.

@fabian
Durchsuch mal bitte die Registry nach dem Eintrag "AppInit_Dlls"
den gibt mehrfach

und poste was da drin steht. Bitte jeweils mit "Binäre Daten anzeigen"
Siehe oben

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
30.04.2004, 17:18
Dafra
Member
Avatar Dafra

Beiträge: 1122
#88 @paff
Ich hab bei Google nach nep.dll gesucht und nix gefunden, ich denke aber es ist nix gutes.

@Fabian78
Kannst du mir mal die C:\WINDOWS\System32\nep.dll
schicken....

Spam-Email@gmx.net

MFG
DAFRA
Seitenanfang Seitenende
30.04.2004, 17:28
raman
Moderator

Beiträge: 7805
#89 Ich sollte genauer lesen, beim quereinsteigen!;)

Die Datei die ich meinte, wird von Kaspersky aber ebenfalls als sauber bezeichnet. Lade dir mal von hier http://www10.brinkster.com/expl0iter/freeatlast/PVtool.htm die Datei xfind.zip herunter, entpacke sie und starte die find.bat. Lasse das programm bis zu ende laufen und poste hier dann den Inhalt der erstellten file.txt Datei.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
30.04.2004, 18:32
Fabian78
...neu hier

Beiträge: 7
#90 So Hallo zusammen !

Nachdem ich den Post von Raman gelesen habe habe ich versucht auf dos ebene bzw. mit der Windowswiederherstellungskonsole diese dll zu löschen !

Als er mir dann immer mitteilte mein Administrator Passwort wäre falsch, da bin ich ausgerastet ! :-) Jedenfalls hatte ich dann jetzt nach einer Woche rumprobieren die faxen dicke und habe c formatiert ! Jetzt ist die Kiste gerade wieder lauffähig und ich hab hier reingeschaut !
Vielen vielen Dank nochmal auch für die ganze Hilfe die jetzt noch kam ! Ich gehe aber mal davon aus das das Thema jetzt gegessen ist. Auf die harte Tour ! :-)

habt Ihr noch Tipps für die Zukunft ? Außer vom IE auf Firefox umzusteigen, was ich mir jetzt vorgenommen habe.
Ansonsten dachte ich bisher, ein Router mit Firewall, ne software Firewall Norten Internet Seurity und ADaware wären einigermaßen ausreichend.

Vielen vielen Dank nochmal für eure Hilfe !

Ihr macht hier echt ne super Arbeit !
Dieser Beitrag wurde am 30.04.2004 um 18:39 Uhr von Fabian78 editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: