2 kleine Fragen zu Hijackthis-log

#0
23.04.2004, 10:12
...neu hier

Beiträge: 2
#1 Moin Leutz,

hab des meiste aus meinem log entschlüsselt, sind aber 2 Fragen übrig geblieben:

R3 - URLSearchHook: (no name) _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - (no file)

und

O4 - HKLM\..\Run: [nmpch] C:\WINNT\nmpch.exe
O4 - HKLM\..\Run: [ynip] C:\WINNT\ynip.exe

Ok oder net ok?

MfG
silo2001

Nachtrag:
Is wohl schwerwiegender als ich dachte, habe oben genannte sachen gefixt und nach einem Neustart wieder diese blöde Startseite und n paar neue Sachen kamen auch noch hinzu, hier mal des komplette log:
Alles was im alten Log net da war is jetzt rot:

Logfile of HijackThis v1.97.7
Scan saved at 10:57:50, on 23.04.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Symantec_Client_Security\Symantec Client Firewall\NISUM.EXE
C:\Programme\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\Programme\Symantec_Client_Security\Symantec Client Firewall\SymPxSvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\svchost.exe
C:\Programme\Symantec_Client_Security\Symantec Client Firewall\NISSERV.EXE
C:\WINNT\system32\atiptaxx.exe
C:\Programme\Creative\Audio2K\PROGRAM\CTMIX32.EXE
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\PROGRA~1\SYMANT~1\SYMANT~2\IAMAPP.EXE
C:\WINNT\System32\SlpV24s.exe Neu
C:\Programme\180Solutions\msbb.exe Neu
C:\Programme\ClockSync\Sync.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Administrator\Desktop\Hijack This\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.couldnotfind.com/search_page.html?&account_id=138442 Neu
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.couldnotfind.com/search_page.html?&account_id=138442 Neu
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_page.html?&account_id=138442 Neu
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://riviera.cc (obfuscated) Neu
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://opti.riviera.cc (obfuscated) Neu
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://opti.riviera.cc (obfuscated) Neu
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://opti.riviera.cc (obfuscated) Neu
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://riviera.cc (obfuscated) Neu
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://riviera.cc (obfuscated) Neu
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) Neu
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {F7F808F0-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINNT\nem214.dll Neu
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\Programme\ISTbar\istbar.dll Neu
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [CreativeMixer] C:\Programme\Creative\Audio2K\PROGRAM\CTMIX32.EXE /t
O4 - HKLM\..\Run: [JobHisInit] C:\Programme\RMClient\JobHisInit.exe Neu
O4 - HKLM\..\Run: [MplSetUp] C:\Programme\RMClient\MplSetUp.exe Neu
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [iamapp] C:\PROGRA~1\SYMANT~1\SYMANT~2\IAMAPP.EXE
O4 - HKLM\..\Run: [sys] regedit -s sysdll.reg
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe Neu
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe" Neu
O4 - HKLM\..\Run: [msbb] c:\programme\180solutions\msbb.exe
O4 - HKLM\..\Run: [tsh] C:\WINNT\tsh.exe Neu
O4 - HKLM\..\Run: [Power Scan] C:\Programme\Power Scan\powerscan.exe Neu
O4 - HKCU\..\Run: [ClockSync] C:\Programme\ClockSync\Sync.exe Neu
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
Dieser Beitrag wurde am 23.04.2004 um 11:07 Uhr von silo2001 editiert.
Seitenanfang Seitenende
23.04.2004, 11:25
Moderator
Avatar joschi

Beiträge: 6466
#2 Schon mit adaware und Spybot gescannt ?
Verdächtige Dateien mal bei http://www.kaspersky.com/remoteviruschk.html
scannen.
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
23.04.2004, 11:32
...neu hier

Themenstarter

Beiträge: 2
#3 Jo, Spyware hab ich durchlaufen lassen, hat auch die Sachen die unter Neu stehen entfernt und den kaspersky.com link auch schon probiert,allerdings sind die Dateien nicht da wenn ich nachsehe (Einstellungen:Versteckte Dateien anzeigen und Systemdateien nicht ausblenden)
Norton will nix finden...

Update:
Dieses Sche*** Norton...findet nix und hab jetzt AntiVir6 druf da klingelt es fast im Sekundentakt
Danach noch Ad-aware Spyware und Hijack und wenn es denn net wech is muß ich wohl den Rechner neu aufsetzen ;)

Danke für die schnelle Hilfe

MfG
silo2001
Dieser Beitrag wurde am 23.04.2004 um 11:59 Uhr von silo2001 editiert.
Seitenanfang Seitenende
23.04.2004, 11:56
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 1. Gehe in den abgesicherten Modus (vorher die Wiederherstellung deaktivieren)

Mache den Scann mit HijackThis im abgesicherten Modus und fixe:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.couldnotfind.com/search_page.html?&account_id=138442 Neu
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.couldnotfind.com/search_page.html?&account_id=138442 Neu
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_page.html?&account_id=138442 Neu
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://riviera.cc (obfuscated) Neu
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://opti.riviera.cc (obfuscated) Neu
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://opti.riviera.cc (obfuscated) Neu
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://opti.riviera.cc (obfuscated) Neu
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://riviera.cc (obfuscated) Neu
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://riviera.cc (obfuscated) Neu
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) Neu
O2 - BHO: (no name) - {F7F808F0-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINNT\nem214.dll Neu
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe" Neu
O4 - HKLM\..\Run: [sys] regedit -s sysdll.reg

O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\Programme\ISTbar\istbar.dll Neu

O4 - HKLM\..\Run: [JobHisInit] C:\Programme\RMClient\JobHisInit.exe Neu
O4 - HKLM\..\Run: [MplSetUp] C:\Programme\RMClient\MplSetUp.exe Neu


O4 - HKLM\..\Run: [sys] regedit -s sysdll.reg
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe Neu
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe" Neu

O4 - HKLM\..\Run: [tsh] C:\WINNT\tsh.exe Neu
O4 - HKLM\..\Run: [Power Scan] C:\Programme\Power Scan\powerscan.exe Neu
O4 - HKCU\..\Run: [ClockSync] C:\Programme\ClockSync\Sync.exe Neu

------------------------------------------------------------------------
Manuelle Entfernung von;)FALLS ES MIT DEM FIXEN ALLEIN NICHT WEGGEHT.)

O2 - BHO: (no name) - {F7F808F0-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINNT\nem214.dll

Gehen Sie auf «Start / Ausführen» und tippen Sie «regedit» ein. Nach dem Klick auf OK erscheint der Registrierungseditor. Klicken Sie sich jetzt im linken Fenster über die Pluszeichen bis zum Schlüssel

'HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run'
# In the right pane, delete the value called 'Internet Optimizer', if it exists.
# Delete 'HKEY_LOCAL_MACHINE \ SOFTWARE \ Classes \ CLSID \ {F7F808F0-6F7D-442C-93E3-4A4827C2E4C8}', if it exists.
# Delete 'HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Browser Helper Objects \ {F7F808F0-6F7D-442C-93E3-4A4827C2E4C8}', if it exists.
# Exit the registry editor.
# Restart your computer.
# Delete the following files and directories:
C:\Program Files\Internet Optimizer\
%WinDir%\iopti130.dll
%WinDir%\nem207.dll
%WinDir%\nem212.dll
%WinDir%\nem214.dll
%WinDir%\wsem210.dll
%WinDir%\wsem216.dll
Note: %WinDir% is a variable (?). By default, this is C:\Windows (Windows 95/98/Me/XP) or C:\WINNT (Windows NT/2000).
# Start Microsoft Internet Explorer.
# In Internet Explorer, click Tools -> Internet Options.
# Click the Programs tab -> Reset Web Settings.


Manuelle Entfernung (falls das Fixen mit dem HijackThis nicht klappt)

O4 - HKLM\..\Run: [sys] regedit -s sysdll.reg

REG-Dateien können per Aufruf Änderungen in der Windows-Registry vornehmen. Im Fall der «Sysdll.reg» besteht die Änderung wohl aus dem Überschreiben der Startseite. Damit die Startseite jedoch wirklich bei jedem Start wieder überschrieben wird, muss die «Sysdll.reg» beim Start kurz ausgeführt werden. Dazu hat das Installationsprogramm für den Schädling zusätzlich einen Eintrag im Autostart-Schlüssel der Registry versteckt, welche die Datei aufruft. Wenn Sie nun die Datei löschen, kommt eine Fehlermeldung, weil Windows die Datei, die es ausführen soll, nicht findet.
Um die Plage loszuwerden, müssen Sie sowohl die «Sysdll.reg», als auch den Autostart-Eintrag entfernen.

So löschen Sie den Autostart-Eintrag:
Gehen Sie auf «Start / Ausführen» und tippen Sie «regedit» ein. Nach dem Klick auf OK erscheint der Registrierungseditor. Klicken Sie sich jetzt im linken Fenster über die Pluszeichen bis zum Schlüssel «HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run». Nun sollten Sie rechts eine Liste von Einträgen sehen. Löschen Sie den Eintrag «sys»=«regedit -s sysdll.reg» per Rechtsklick und schliessen Sie den Registrierungseditor.

--------------------------------------------------------------------------
Lade den CWShredder...scannen...fix...im abgesicherten Modus.

Lade den ClearProg....saeubere den Browser und stelle dann unter Internetoptionen die Startpage neu ein.

http://www.clearprog.de/
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 23.04.2004 um 14:25 Uhr von Sabina editiert.
Seitenanfang Seitenende
23.04.2004, 12:14
Moderator

Beiträge: 7804
#5 Bitte keine Links geben, auf denen es nur alte Versionen von CWS (oder anderer sicherheitsrelevanter Software) gibt posten. Bitte nur die CWS Homepage, da kann man sich dann seinen Mirror heraussuchen: http://www.spywareinfo.com/~merijn/
__________
MfG Ralf
SEO-Spam Hunter
Dieser Beitrag wurde am 23.04.2004 um 12:15 Uhr von raman editiert.
Seitenanfang Seitenende
23.04.2004, 12:19
Moderator

Beiträge: 7804
#6 Kleiner Nachtrag/info: Wer CWS und Hijackthis nuetzlich findet, darf natuerlich auch eine Kleinigkeit spenden!;) http://www.spywareinfo.com/~merijn/donate.html
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
23.04.2004, 14:02
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#7 O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\Programme\ISTbar\istbar.dll Neu

Manuelles entfernen (in Englisch)
http://www.doxdesk.com/parasite/ISTbar.html

Ad-Aware reflist 20.04.2003 and Spybot S&D update 2003-04-24 kann as beseitigen...ISTbar/AUpdate.
(Im abgesicherten Modus scannen)


-------------------------------------------------------------------------
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe Neu

(im abgesicherten Modus)
manuelle Entfernung:
http://www.symantec.de/avcenter/venc/data/pf/adware.istbar.html
-------------------------------------------------------------------------

O4 - HKLM\..\Run: [tsh] C:\WINNT\tsh.exe Neu
O4 - HKLM\..\Run: [Power Scan] C:\Programme\Power Scan\powerscan.exe Neu

<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<

Dein Comp. ist dermassen "verseucht", dass ich eine Neuinstallation empfehle....

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 23.04.2004 um 14:28 Uhr von Sabina editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: