Startseite verstellt sich immer auf http://cadabra.biz/

#16 N'abend... hattest mich ja nochmal via eMail um mein aktuelles Log-File gebeten:
_________________________________

Logfile of HijackThis v1.97.7
Scan saved at 01:41:19, on 25.05.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\STARTER.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAMME\ANTIVIR\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\ARCORDSL\ARCORDSL.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\ICQ\ICQ.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
D:\SICHERUNG STAND MäRZ 04\VOLKER\SONSTIGES\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Arcor
O3 - Toolbar: AroundWeb - {0E1230F8-EA50-42A9-983C-D22ABC2EEB4C} - C:\PROGRAMME\AROUNDWEB\AWTOOLB.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\NDetect.exe
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\ANTIVIR\AVGCTRL.EXE /min
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O8 - Extra context menu item: &AroundWeb Search - res://C:\PROGRAMME\AROUNDWEB\AWTOOLB.DLL/MENUSEARCH.HTM
O9 - Extra button: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab27571.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab27571.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB

#17 @Volkerracho
Fixe bitte
O8 - Extra context menu item: &AroundWeb Search - res://C:\PROGRAMME\AROUNDWEB\AWTOOLB.DLL/MENUSEARCH.HTM
O3 - Toolbar: AroundWeb - {0E1230F8-EA50-42A9-983C-D22ABC2EEB4C} - C:\PROGRAMME\AROUNDWEB\AWTOOLB.DLL

neustarten

manuelle Entfernunf der Spyware
http://www.pestpatrol.com/PestInfo/a/aroundweb.asp
oder einen Onlinescann mit PestPatrol machen.
http://www.pestscan.com/Scan.asp

Firefox als Zweitbrowser (Hijackerfrei)
http://firebird.stw.uni-duisburg.de/windows.php

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#18 Hallo Sabrina, Paff und alle fleissigen Boardbewohner,

erstmal ein Lob an dieses tolle und sehr lehrreiche Board !!!

Mein Problem ist folgendes: Ich hatte (ähnlich wie ner_rouge) eine msits.exe auf dem Computer, welche ständig versuchte auf das Internet zuzugreifen und mir komische .dat Dateinen auf den Desctop setzte.
Ich habe dann msits.exe mit Hilfe der Sygate Firewall entfernt (Appplication, C:\Windows\Downloaded Program Files\msits.exe has been terminated)

Nachdem ich dann das System mit den neusten Versionen von Ad-Aware 6.0, Spybot - Search & Destroy( welches DSO Exploit entfernen konnte), a² free, f-prot, AntiVir V.6, und Winsweep3 gescannt / bereinigt habe, habe ich nun den CWShredder und HijackThis v1.97.7 laufen lassen. Zusätzlich habe ich mir jetzt auf Sabrinas Emphelung Firefox installiert !

Ich hoffe, daß ich jetzt alles entfernen habe, bin mir aber nicht sicher. Ich wäre sehr dankbar wenn jemand mal über den Logfile von HijackThis drüber gucken könnte !

Hier der Logfile:
_______________________________

Logfile of HijackThis v1.97.7
Scan saved at 15:55:01, on 04.06.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MDM.EXE
C:\PROGRAMME\SYGATE\SPF\SMC.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\SPAMPAL\SPAMPAL.EXE
C:\PROGRAMME\WINSWEEP\WSMONITOR.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\WINSWEEP\WSPOPUP.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: &WINSWEEP Toolbar - {E915E62E-41DA-40D0-8106-3438B4D24394} - C:\PROGRAMME\WINSWEEP\SURFBAR.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\SYGATE\SPF\SMC.EXE -startgui
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM\..\RunServices: [SmcService] C:\PROGRAMME\SYGATE\SPF\SMC.EXE
O4 - HKCU\..\Run: [WINSWEEP] C:\Programme\WinSweep\WinSweep.Exe /AUTO
O4 - HKCU\..\Run: [WINSWEEP Popupblocker] C:\Programme\WinSweep\WSPopup.Exe
O4 - Startup: SpamPal for Windows.lnk = C:\Programme\SpamPal\spampal.exe
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?37992.8413425926
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {74F5614A-8A8C-43B4-8CC2-4B4EFAF4A6C5} (TSCCInstall Class) - http://www.teo-win.net/demos/tsccinst.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040105/qtinstall.info.apple.com/mickey/de/win/QuickTimeInstaller.exe
_____________________________[/i]

#19

Zitat

Dafra postete
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun

Das gehört Zu Windows 98
Bitte nicht fixen
Wenn Sie im Windows Verzeichnis liegt ist Sie OK

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#20 Vielen Dank erstmal für die Hilfe, es ist jedoch zu spät, ich habe die betreffende Zeile leider schon gefixt

Kann ich das "fixen" wieder rückgängig machen, und wenn ja, wie, und ist sonst alles in Ordnung mit dem Logfile ?


Vielen Dank nochmal und schonmal,

--
Winfried98

*******
NACHTRAG: Ich konnte mir selber helfen und den Eintrag mit der Backup Funktion von HijackThis wieder herstellen.
Besten Dank und nochmal ein dickes Lob an dieses tolle Board
*******