"Search for..." Startseite kommt immer wieder!Thema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
08.06.2004, 17:18
Member
Beiträge: 1095 |
||
|
||
08.06.2004, 18:08
...neu hier
Beiträge: 3 |
#17
@paff
danke Paff ihr scheint hier wirklich großartige Arbeit zu leisten in der ffolge noch das neue Logfile Logfile of HijackThis v1.97.7 Scan saved at 18:09:12, on 08.06.2004 Platform: Windows 2000 SP2 (WinNT 5.00.2195) MSIE: Internet Explorer v5.51 SP2 (5.51.4807.2300) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe C:\Programme\NavNT\defwatch.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\cba\pds.exe C:\Programme\Danware Data\NetOp Remote Control\HOST\NHOSTSVC.EXE C:\Programme\NavNT\rtvscan.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\cba\xfr.exe C:\WINNT\system32\MsgSys.EXE C:\WINNT\Explorer.EXE C:\Programme\NavNT\vptray.exe C:\Programme\Roxio\WinOnCD 5 PE\DirectCD\DirectCD.exe C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe C:\Programme\Gemeinsame Dateien\XCPCSync\Translators\LtNts4\NtsAgnt.exe C:\Programme\Gemeinsame Dateien\XCPCSync\Translators\MSWinCE2\AutoDetect.exe C:\Programme\Gemeinsame Dateien\XCPCMenu.exe C:\WINNT\system32\internat.exe C:\Programme\Netropa\Multimedia Keyboard\mmusbkb2.exe C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE C:\Programme\Netropa\Multimedia Keyboard\TrayMon.exe C:\Programme\Netropa\Onscreen Display\OSD.exe C:\Programme\Microsoft Office\Office\1031\msoffice.exe C:\download\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = konzern.porr.at R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.at R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von A. PORR AG R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O1 - Hosts: 195.51.208.3 porrwien01 #pre O2 - BHO: (no name) - {0000607D-D204-42C7-8E46-216055BF9918} - (no file) O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [vptray] C:\Programme\NavNT\vptray.exe O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\WinOnCD 5 PE\DirectCD\DirectCD.exe" O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe O4 - HKLM\..\Run: [XTNDConnect PC - LtNts4] C:\Programme\Gemeinsame Dateien\XCPCSync\Translators\LtNts4\NtsAgnt.exe O4 - HKLM\..\Run: [XTNDConnect PC - PocketPC] C:\Programme\Gemeinsame Dateien\XCPCSync\Translators\PocketPC\AutoDetect.exe O4 - HKLM\..\Run: [XTNDConnect PC - MSWinCE2] C:\Programme\Gemeinsame Dateien\XCPCSync\Translators\MSWinCE2\AutoDetect.exe O4 - HKLM\..\Run: [XTNDConnect PC] C:\Programme\Gemeinsame Dateien\XCPCMenu.exe O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: Mobilen Favoriten erstellen (HKLM) O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... (HKLM) O14 - IERESET.INF: START_PAGE_URL=http://porrinfoat O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{4C452793-2DE3-418F-B01D-AE41BFF515D2}: NameServer = 195.3.96.67,195.3.96.68 |
|
|
||
08.06.2004, 19:34
...neu hier
Beiträge: 4 |
#18
Hallo Ihr da draußen,
ich bin ja so stolz auf mich (naja, auf Euch - ne, auf paff natürlich!). Ich bin einfach mit dem Spybot und dem CWShredder drüber gefahren - wie ja schon öfters gepostet und vom Paff empfohlen (aber man hört ja nicht) - obwohl nichts gefunden wurde ist diese "search for" Seite weg. DANKE! DANKE! Erst jetzt sah ich Deinen Reparaturvorschlag (Paff), den ich jetzt gottseidank nicht mehr brauche. Vielleicht hast Du noch nen Tip, wo ich Infos bekomme bezüglich Windows XP/ohne SP 1 und Microsoft Java VM resp. Java Sun 1.4.2_04 Kompatibilität - das einzige Problem, das mich noch nervt. Jedenfalls herzlichsten Dank. Liebe Grüße aus Österreich. Logfile of HijackThis v1.97.7 Scan saved at 19:11:57, on 08.06.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\system32\logonui.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Softwin\BitDefender Free Edition\bdmcon.exe C:\Programme\HistoryKill\histkill.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe C:\Programme\HistoryKill\hkPopupKiller.exe C:\Dokumente und Einstellungen\KS\Eigene Dateien\Software\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Inode R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\System32\pmxinit.exe O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [BDMCon] C:\Programme\Softwin\BitDefender Free Edition\\bdmcon.exe O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender Free Edition\\bdnagent.exe O4 - HKCU\..\Run: [HistoryKill] C:\Programme\HistoryKill\histkill.exe /startup O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/148119a2571ca3/housecall.antivirus.com/housecall/xscan53.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/get/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{08F94938-06B5-40F2-8A67-ED67AAB23905}: NameServer = 195.58.160.2 195.58.161.3 O17 - HKLM\System\CS1\Services\Tcpip\..\{08F94938-06B5-40F2-8A67-ED67AAB23905}: NameServer = 195.58.160.2 195.58.161.3 O17 - HKLM\System\CS2\Services\Tcpip\..\{08F94938-06B5-40F2-8A67-ED67AAB23905}: NameServer = 195.58.160.2 195.58.161.3 |
|
|
||
08.06.2004, 22:45
Member
Beiträge: 1095 |
#19
@rotary
Warum willst du kein SP1 aufspielen? Wäre wichtig, sonst kommt das ganze Zeug immerwieder. Es gibt Methoden auch auf ein "Freies" XP ein SP1 aufzuspielen. Das bald erscheinende SP2 wird für alle zugänglich sein. Fixe bite noch das R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank @bagu6 Log sieht gut aus Leg die aber bitte den IE 6.0 SP1 zu sonst wird irgendwann wieder kritisch oder anderer Browser __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 09.06.2004 um 08:52 Uhr von paff editiert.
|
|
|
||
09.06.2004, 08:44
...neu hier
Beiträge: 4 |
#20
Danke Paff - es klappte alles wunderbar. Microsoft hat was gegen mein XP, deshalb hab ich noch kein SP1. Ich werd' mal schaun, obs da andere Möglichkeiten gibt. lg rotary
|
|
|
||
09.06.2004, 13:10
Member
Beiträge: 11 |
#21
Servus an alle Mitleidenden und Lösungsfinder ;-)
Habe das selbe Problem wie eigentlich alle hier, nur das ich scho alle versucht habe . Ich habe CWShredder, Ad-Aware, HijackThis, APM, WinWasher und SpHjfix.exe probiert und trotzdem kommt immer wieder dieser 'Spaß' auf meinen PC! Hier mein Log: Logfile of HijackThis v1.97.7 Scan saved at 13:10:39, on 09.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\System32\brsvc01a.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\brss01a.exe C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartService.exe C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe C:\PROGRA~1\NORTON~2\NORTON~2\NPROTECT.EXE C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe C:\PROGRA~1\NORTON~2\NORTON~2\SPEEDD~1\NOPDB.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Tech\Wheel Mouse\5.2\MOUSE32A.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Programme\AntiSpy-Ad-Ware\PestPatrol\PPMemCheck.exe C:\Programme\AntiSpy-Ad-Ware\Lavasoft\Ad-aware 6\Ad-watch.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\AntiSpy-Ad-Ware\HijackThis.exe R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\lkcp.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\lkcp.dll/sp.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\System\blank.htm R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {5AC629D1-465C-4578-8537-AA1BE16707C9} - (no file) O2 - BHO: (no name) - {BBEE0B83-97F9-458E-B8EF-A3C40D68D7DC} - (no file) O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll O2 - BHO: Guard-IE - {D2F719F3-106A-402B-9996-3A5B12ACA564} - C:\Programme\Failsafe\GuardIE\PnIE.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll O3 - Toolbar: Guard-IE - {37C8204D-97C3-4127-BB28-1BFF3FA2F7DA} - C:\Programme\Failsafe\GuardIE\PnIE.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O4 - HKLM\..\Run: [Anvshell] anvshell.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [LiveNote] livenote.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Tech\Wheel Mouse\5.2\MOUSE32A.EXE O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\AntiSpy-Ad-Ware\PestPatrol\PPMemCheck.exe O4 - HKLM\..\Run: [Ad-watch] C:\Programme\AntiSpy-Ad-Ware\Lavasoft\Ad-aware 6\Ad-watch.exe O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [OpwareSE2] "C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O9 - Extra button: @C:\Programme\Failsafe\GuardIE\PnIE.dll,-100 (HKLM) O9 - Extra 'Tools' menuitem: @C:\Programme\Failsafe\GuardIE\PnIE.dll,-100 (HKLM) O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea.com/downloads/rtpatch/EARTPX.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/300cc39ca8593d5d5016/netzip/RdxIE601_de.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37909.2748611111 O17 - HKLM\System\CCS\Services\Tcpip\..\{9728CEF5-0108-422E-B25F-BF921033419A}: NameServer = 194.25.2.129 Hoffe mir kann da jemand weiterhelfen!? Danke |
|
|
||
09.06.2004, 13:20
Member
Beiträge: 1095 |
#22
@lostprophet
1. Lade dir mal dieses http://tools.zerosrealm.com/downloads/pv.zip entpacken runme.bat starten 6 und return Ergebnis hier posten 2. Suche mal eine Datei namens "system32.dll" auf deinem Rechner Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 09.06.2004 um 13:29 Uhr von paff editiert.
|
|
|
||
09.06.2004, 13:26
Member
Beiträge: 11 |
#23
Ergebnis:
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="" "DeviceNotSelectedTimeout"="15" "GDIProcessHandleQuota"=dword:00002710 "Spooler"="yes" "swapdisk"="" "TransmissionRetryTimeout"="90" "USERProcessHandleQuota"=dword:00002710 ? |
|
|
||
09.06.2004, 13:33
Member
Beiträge: 1095 |
#24
@lostprophet
Teste diese Datei C:\WINDOWS\System32\brss01a.exe mal hier http://www.kaspersky.com/remoteviruschk.html Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
09.06.2004, 13:43
Member
Beiträge: 11 |
#25
You're clean!
Kaspersky Anti-Virus has not detected any viruses at this time in the file you submitted. mh LP |
|
|
||
09.06.2004, 13:49
Member
Beiträge: 18 |
#26
Hi Leute
Habe jetzt auch das Problem mit der Search for als startseite. Habe schon alles Probiert, aber nichts geht. Seit heute öffnet sich auch immer ein Fenster wen ich den Pc starte. Dort steht immer drin das eine Datei mit dem namen Mswavedll nicht gefunden wird und ich soll schauen ob ich den Namen korrekt geschreiben habe oder ich soll sie in der registrie löschen oder so ähnlich. Nur hab ich von diesen sachen überhaupt keine ahnung. Hier noch mein Logfile: Logfile of HijackThis v1.97.7 Scan saved at 13:38:31, on 09.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\crypserv.exe C:\WINDOWS\System32\nvsvc32.exe C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\DelFin\PromulGate\PgMonitr.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\PROGRA~1\Save\Save.exe C:\WINDOWS\System32\LXSUPMON.EXE C:\Programme\Messenger\msmsgs.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\asterios\Eigene Dateien\Programme\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\olpg.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\olpg.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\olpg.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\olpg.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\olpg.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.search-exe.com/nph-search.cgi?tcode=exesrch1&look=stmpl1&fw= R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\olpg.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.search-exe.com/nph-search.cgi?tcode=exesrch1&look=stmpl1&fw= R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.bluewin.ch/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R3 - URLSearchHook: WebSearch Class - {9368D063-44BE-49B9-BD14-BB9663FD38FC} - C:\Programme\se\v11\se.DLL F1 - win.ini: run=c:\windows\system32\mswavedll.exe O2 - BHO: (no name) - {00041A26-7033-432C-94C7-6371DE343822} - C:\Programme\se\v11\se.DLL O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\apps\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {B8E1BB2E-1D5C-45F6-B727-B530B443AEE5} - C:\WINDOWS\System32\olpg.dll O2 - BHO: (no name) - {DE614603-6320-4046-A7A7-6A69CEC26F14} - C:\WINDOWS\mslagent\4b_1,0,0,9_mslagent.dll (file missing) O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\Programme\ISTbar\istbar.dll (file missing) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [PromulGate] "C:\Programme\DelFin\PromulGate\PgMonitr.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [NECStartPage] C:\apps\HomePage\HomePgui.exe O4 - HKLM\..\Run: [WhenUSave] C:\PROGRA~1\Save\Save.exe O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN O4 - HKLM\..\Run: [Search-Exe] "C:\Programme\se\v11\se.EXE" /H O4 - HKLM\..\Run: [BJCFD] C:\Programme\BroadJump\Client Foundation\CFD.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Update Service] C:\PROGRA~1\GEMEIN~1\TEKNUM~1\update.exe /startup O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O9 - Extra button: Packard Bell (HKLM) O9 - Extra button: Locators.com Search Bar (HKLM) O9 - Extra 'Tools' menuitem: Locators.com Search Bar (HKLM) O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM) O12 - Plugin for .au: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll O13 - WWW. Prefix: http:// O16 - DPF: ConferenceRoom Java Client - http://irc1.bluewin.ch/java/cr.cab O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom.de/ieloader.cab O16 - DPF: {093F9CF8-0DE1-491C-95D5-5EC257BD4CA3} - http://akamai.downloadv3.com/binaries/IA/dtc32_EN_XP.cab O16 - DPF: {2048B51E-8D74-4762-82CE-B48CF545EEEA} (CAX Object) - http://dl.dialerssolution.com/cax.cab O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - http://hpt1.bluewin.ch/app/static/activex/msxml4.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38034.2761226852 O16 - DPF: {CEFB7B49-9652-464F-8AFD-A577C0500F39} (EGP2ECOM Class) - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1009_1035_pack_XP.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {DF7A9F1F-E06B-4BE7-A27E-1BE7EA5AFC1C} (Infosistemas Class) - http://www.infodialer3000.com/perfiles2/infosistemas3000.cab O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = mydomain.com O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 69.57.146.14 |
|
|
||
09.06.2004, 14:04
Member
Beiträge: 1095 |
#27
@lostprophet
OK, wir müssen langsm vorgehen und uns rantasten. Lade dir mal die aktuellste Version des CWshredder von hier http://www.spywareinfo.com/~merijn/downloads.html Updaten spybot und adaware Aktualisiere deinen Virenscanner oder lad dir diesen www.antivir.de Lad dir diesen Scanner ftp://ftp.microworldsystems.com/download/tools/mwav.exe Papierkorb leeren Temp-Internetfiles löschen Gehe in den abgesicherten Modus http://www.bsi.de/av/texte/winsave.htm Starte auf keinen Fall den Internetexplorer, der muß zu sein (Wichtig!!!!!!!!) Fixe dies in HiJackThis R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\lkcp.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\lkcp.dll/sp.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\System\blank.htm R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {5AC629D1-465C-4578-8537-AA1BE16707C9} - (no file) O2 - BHO: (no name) - {BBEE0B83-97F9-458E-B8EF-A3C40D68D7DC} - (no file) Alle Programme laufen lassen Adaware , CWShredder,Spybot, mwav.exe (Fullscan), Virenscanner Dann wieder neustart machen Sofort HiJackthis Logfile erstellen Hier posten Nach dem Starten vom IE nochmal Logfile erstellen Schauen ob Unterschiede sind Gruß paff P.S. Drucks dir am besten aus Wei gesagt, während der Aktion am besten IE geschlossen lassen __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
09.06.2004, 14:15
Member
Beiträge: 1095 |
#28
@zorbas
Bitte dies hier durchführen und zwar Wort für Word http://www.rokop-security.de/main/article.php?sid=746 Dann gehe in den abgesicherten Modus http://www.bsi.de/av/texte/winsave.htm Fixe dies in HiJackThis R3 - URLSearchHook: WebSearch Class - {9368D063-44BE-49B9-BD14-BB9663FD38FC} - C:\Programme\se\v11\se.DLL F1 - win.ini: run=c:\windows\system32\mswavedll.exe O2 - BHO: (no name) - {00041A26-7033-432C-94C7-6371DE343822} - C:\Programme\se\v11\se.DLL O2 - BHO: (no name) - {B8E1BB2E-1D5C-45F6-B727-B530B443AEE5} - C:\WINDOWS\System32\olpg.dll O2 - BHO: (no name) - {DE614603-6320-4046-A7A7-6A69CEC26F14} - C:\WINDOWS\mslagent\4b_1,0,0,9_mslagent.dll (file missing) O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\Programme\ISTbar\istbar.dll (file missing) O4 - HKLM\..\Run: [PromulGate] "C:\Programme\DelFin\PromulGate\PgMonitr.exe" O4 - HKLM\..\Run: [NECStartPage] C:\apps\HomePage\HomePgui.exe O4 - HKLM\..\Run: [WhenUSave] C:\PROGRA~1\Save\Save.exe O4 - HKLM\..\Run: [Search-Exe] "C:\Programme\se\v11\se.EXE" /H O4 - HKLM\..\Run: [BJCFD] C:\Programme\BroadJump\Client Foundation\CFD.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Update Service] C:\PROGRA~1\GEMEIN~1\TEKNUM~1\update.exe /startup O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ? O13 - WWW. Prefix: http:// O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom.de/ieloader.cab O16 - DPF: {093F9CF8-0DE1-491C-95D5-5EC257BD4CA3} - http://akamai.downloadv3.com/binaries/IA/dtc32_EN_XP.cab O16 - DPF: {2048B51E-8D74-4762-82CE-B48CF545EEEA} (CAX Object) - http://dl.dialerssolution.com/cax.cab O16 - DPF: {DF7A9F1F-E06B-4BE7-A27E-1BE7EA5AFC1C} (Infosistemas Class) - http://www.infodialer3000.com/perfiles2/infosistemas3000.cab CWShreeder laufen lassen Dann neustart machen Nochmal Logfile psoten Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 09.06.2004 um 14:21 Uhr von paff editiert.
|
|
|
||
09.06.2004, 14:30
Member
Beiträge: 11 |
#29
vor starten des IE
Log: Logfile of HijackThis v1.97.7 Scan saved at 14:31:41, on 09.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\System32\brsvc01a.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\brss01a.exe C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartService.exe C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe C:\PROGRA~1\NORTON~2\NORTON~2\NPROTECT.EXE C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe C:\PROGRA~1\NORTON~2\NORTON~2\SPEEDD~1\NOPDB.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\userinit.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Tech\Wheel Mouse\5.2\MOUSE32A.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Programme\AntiSpy-Ad-Ware\PestPatrol\PPMemCheck.exe C:\Programme\AntiSpy-Ad-Ware\Lavasoft\Ad-aware 6\Ad-watch.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\AntiSpy-Ad-Ware\HijackThis.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Symantec\LiveUpdate\AUpdate.exe O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll O2 - BHO: Guard-IE - {D2F719F3-106A-402B-9996-3A5B12ACA564} - C:\Programme\Failsafe\GuardIE\PnIE.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll O3 - Toolbar: Guard-IE - {37C8204D-97C3-4127-BB28-1BFF3FA2F7DA} - C:\Programme\Failsafe\GuardIE\PnIE.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O4 - HKLM\..\Run: [Anvshell] anvshell.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [LiveNote] livenote.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Tech\Wheel Mouse\5.2\MOUSE32A.EXE O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\AntiSpy-Ad-Ware\PestPatrol\PPMemCheck.exe O4 - HKLM\..\Run: [Ad-watch] C:\Programme\AntiSpy-Ad-Ware\Lavasoft\Ad-aware 6\Ad-watch.exe O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [OpwareSE2] "C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O9 - Extra button: ICQ Lite (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O9 - Extra button: @C:\Programme\Failsafe\GuardIE\PnIE.dll,-100 (HKLM) O9 - Extra 'Tools' menuitem: @C:\Programme\Failsafe\GuardIE\PnIE.dll,-100 (HKLM) O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea.com/downloads/rtpatch/EARTPX.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/300cc39ca8593d5d5016/netzip/RdxIE601_de.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37909.2748611111 O17 - HKLM\System\CCS\Services\Tcpip\..\{9728CEF5-0108-422E-B25F-BF921033419A}: NameServer = 194.25.2.129 |
|
|
||
09.06.2004, 14:39
Member
Beiträge: 1095 |
#30
@LostProphet
Das sieht gut aus Und wie siehts nach dem Starten des IE aus Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
@bagu6
Bitte beide das hier durchführen
http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html
Dann neustart und nochmal Logfile posten
@rotary
Das noch fixen in HiJackThis
2 - BHO: (no name) - {630DDC75-A74B-4B82-938B-1DEFB5B05C38} - C:\WINDOWS\System32\bjfeof.dll
@bagu6
Das noch fixen in HiJackThis
O2 - BHO: (no name) - {016441E9-F4FC-47C9-9E65-C76A94011FC5} - C:\WINNT\system32\fcnln.dll
Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware