startseite lässt sich nicht ändern |
||
---|---|---|
#0
| ||
09.09.2004, 23:02
...neu hier
Beiträge: 10 |
||
|
||
10.09.2004, 00:25
Ehrenmitglied
Beiträge: 29434 |
#32
Hummer
#Poste das HijackThis ! #FindnFix: http://www10.brinkster.com/expl0iter/freeatlast/FNF/ 1. Entpacken 2. !LOG!.BAT anklicken 3. Log(log.txt) abkopieren und posten mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
11.09.2004, 01:24
...neu hier
Beiträge: 10 |
#33
hallo @ sabina, wie erwartet ist nun wieder ein trojaner (oder auch etwas anderes unerwünschtes, weiss nicht genau) aufgetaucht..hier das log von hijackthis:
Logfile of HijackThis v1.98.2 Scan saved at 01:19:00, on 11.09.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Winamp3\winampa.exe C:\WINDOWS\SOUNDMAN.EXE C:\programme\powerstrip\pstrip.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\D-Tools\daemon.exe C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\WinSweep\WSPopup.Exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Andreas\Eigene Dateien\Hijack This\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O2 - BHO: (no name) - {C5018787-55CF-4B84-91F6-B5E2AFBB715A} - C:\WINDOWS\System32\pbeohl.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &WINSWEEP Toolbar - {E915E62E-41DA-40D0-8106-3438B4D24394} - C:\Programme\WinSweep\SurfBar.dll O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\winampa.exe" O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [PowerStrip] c:\programme\powerstrip\pstrip.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [NAV CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT" O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe" O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKCU\..\Run: [Steam] "c:\programme\valve\steam\steam.exe" -silent O4 - HKCU\..\Run: [WINSWEEP Popupblocker] C:\Programme\WinSweep\WSPopup.Exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O18 - Filter: text/html - {FB4D5C26-A5CF-4F24-AC4C-2B29A8BA3756} - C:\WINDOWS\System32\pbeohl.dll O18 - Filter: text/plain - {FB4D5C26-A5CF-4F24-AC4C-2B29A8BA3756} - C:\WINDOWS\System32\pbeohl.dll und hier das findnfix ergebnis: Sat 11 Sep 04 01:21:44 »»»»»»»»»»»»»»»»»»***LOG!***(*updated *9/1*)»»»»»»»»»»»»»»»» *System: Microsoft Windows XP Home Edition 5.1 Service Pack 1 (Build 2600) *IE version: 6.0.2800.1106 SP1 MS-DOS Version 5.00.500 *command.com test passed! __________________________________ !!*Creating backups...!! (*Backup already exist!) 1:21:44,60 11.09.2004 __________________________________ *Local time: Samstag, 11. September 2004 (11.09.2004) 01:21, Westeuropäische Sommerzeit *Uptime: 01:21:45 up 0 days, 1:10:49 *Path: C:\FINDnFIX ---------------------------------------------------- »»Member of...: ("ADMIN" logon + group match required!) User is a member of group ANDY\Kein. User is a member of group \Jeder. User is a member of group VORDEFINIERT\Administratoren. User is a member of group VORDEFINIERT\Benutzer. User is a member of group \LOKAL. User is a member of group NT-AUTORITÄT\INTERAKTIV. User is a member of group NT-AUTORITÄT\Authentifizierte Benutzer. !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! User: [ANDY\Andreas], is a member of: VORDEFINIERT\Administratoren \Everyone Running in WORKSTATION MODE. SystemDrive is C: SystemRoot is C:\WINDOWS Logon Domain is ANDY Administrator's Name is Andreas Computer Name is ANDY LOGON SERVER is \\ANDY »»»»»»»»»»»»»»»»»»*** Note! ***»»»»»»»»»»»»»»»» The list will produce a small database of files that will match certain criteria. Ex: read only files, s/h files, last modified date. size, etc. The filters provided and registry scan should match the corresponding file(s) listed. »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Unless the file match the entire criteria, it should not be pointed to remove without attempting to confirm it's nature! »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» At times there could be several (legit) files flagged, and/or duplicate culprit file(s)! If in doubt, always search the file(s) and properties according to criteria! The file(s) found should be moved to \FINDnFIX\"junkxxx" Subfolder ______________________________________________________________________________ ***YOU NEED TO DISABLE YOUR ACTIVE ANTI VIRUS PROTECTION TO AVOID CONFLICTS!*** ______________________________________________________________________________ ......Scanning for file(s)... *Note! The list(s) may include legitimate files! »»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»» »»»»» (*1*) »»»»» ......... »»Read access error(s)... C:\WINDOWS\SYSTEM32\HLPPKI.DLL +++ File read error \\?\C:\WINDOWS\System32\HLPPKI.DLL +++ File read error »»»»» (*2*) »»»»»........ HLPPKI.DLL Can't Open! »»»»» (*3*) »»»»»........ C:\WINDOWS\SYSTEM32\ hlppki.dll Sun 25 Jul 2004 15:56:46 A...R 57.344 56,00 K 1 item found: 1 file, 0 directories. Total of file sizes: 57.344 bytes 56,00 K unknown/hidden files... No matches found. »»»»» (*4*) »»»»»......... Sniffing.......... Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15. Sniffed -> C:\WINDOWS\SYSTEM32\HLPPKI.DLL SNiF 1.34 statistics Matching files : 1 Amount in bytes : 57344 Directories searched : 1 Commands executed : 0 Masks sniffed for: *.DLL »»»»»(*5*)»»»»» ¯ Access denied ® ..................... HLPPKI.DLL .....57344 25.07.2004 »»»»»(*6*)»»»»» fgrep: can't open input C:\WINDOWS\SYSTEM32\HLPPKI.DLL »»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»» »»»»»Search by size... *List of files and specs according to 'size' : *Note: Not all files listed here are infected, but *may include* the name and spces of the offending file... ___________________________________________________________________________ Path: C:\WINDOWS\SYSTEM32 Including: *.DLL 288. Hlppki Dll 57,344 . . R . A 7-25-04 3:56 pm ____________________________________________________________________________ *By size and date... C:\WINDOWS\SYSTEM32\ hlppki.dll Sun 25 Jul 2004 15:56:46 A...R 57.344 56,00 K 1 item found: 1 file, 0 directories. Total of file sizes: 57.344 bytes 56,00 K No matches found. No matches found. Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15. Sniffed -> C:\WINDOWS\SYSTEM32\HLPPKI.DLL SNiF 1.34 statistics Matching files : 1 Amount in bytes : 57344 Directories searched : 1 Commands executed : 0 Masks sniffed for: *.DLL Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15. SNiF 1.34 statistics Matching files : 0 Amount in bytes : 0 Directories searched : 1 Commands executed : 0 Masks sniffed for: *.DLL Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15. SNiF 1.34 statistics Matching files : 0 Amount in bytes : 0 Directories searched : 1 Commands executed : 0 Masks sniffed for: *.DLL »»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»» BHO search and other files... fgrep: can't open input C:\WINDOWS\SYSTEM32\HLPPKI.DLL **File C:\WINDOWS\SYSTEM32\PBEOHL.DLL 000020E4: 25 25 25 30 32 78 00 00 . 00 00 00 00 C0 82 05 B3 %%%02x.. ....À‚.³ No matches found. "C:\WINDOWS\system32\" pbeohl.dll 10 Sep 2004 31744 "pbeohl.dll" 1 item found: 1 file, 0 directories. Total of file sizes: 31.744 bytes 31,00 K *sp.html found in temp folder: --a-- - - - - - 7,976 09-09-2004 sp.html File: <C:\DOKUME~1\Andreas\LOKALE~1\Temp\sp.html> CRC-32 : 93866C48 MD5 : CE5B5B5B DFD4A959 9F4A95C7 6FA46BD2 *Filter keys search... HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\text/html CLSID = {FB4D5C26-A5CF-4F24-AC4C-2B29A8BA3756} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\text/plain CLSID = {FB4D5C26-A5CF-4F24-AC4C-2B29A8BA3756} »»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»» »»Size of Windows key: (*Default-450 *No AppInit-398 *fake(infected)-448,504,512...) Size of HKEY_LOCAL_MACHINE\software\microsoft\Windows NT\CurrentVersion\Windows: 448 »»Checking for AppInit_DLLs (empty) value... ________________________________ !"AppInit_DLLs"=""! Value does not match ________________________________ »»Comparing *saved* key with *original*... REGDIFF 2.1 - Freeware written by Gerson Kurz (http://www.p-nand-q.com) Comparing File #1 (Keys1\winkey.reg) with File #2 (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows). Value "AppInit_DLLs" in key "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" has different lengths (1 vs 31) »»Dumping Values........ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs SZ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\DeviceNotSelectedTimeout SZ 15 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\GDIProcessHandleQuota DWORD 00002710 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Spooler SZ yes HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\swapdisk SZ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\TransmissionRetryTimeout SZ 90 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\USERProcessHandleQuota DWORD 00002710 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows AppInit_DLLs = (*** MISSING TRAILING NULL CHARACTER ***) DeviceNotSelectedTimeout = 15 GDIProcessHandleQuota = REG_DWORD 0x00002710 Spooler = yes swapdisk = TransmissionRetryTimeout = 90 USERProcessHandleQuota = REG_DWORD 0x00002710 »»Security settings for 'Windows' key: RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de) This program is Freeware, use it on your own risk! Access Control List for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows: (ID-NI) ALLOW Read VORDEFINIERT\Benutzer (ID-IO) ALLOW Read VORDEFINIERT\Benutzer (ID-NI) ALLOW Full access VORDEFINIERT\Administratoren (ID-IO) ALLOW Full access VORDEFINIERT\Administratoren (ID-NI) ALLOW Full access NT-AUTORITŽT\SYSTEM (ID-IO) ALLOW Full access NT-AUTORITŽT\SYSTEM (ID-IO) ALLOW Full access ERSTELLER-BESITZER Effective permissions for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows: Read VORDEFINIERT\Benutzer Full access VORDEFINIERT\Administratoren Full access NT-AUTORITŽT\SYSTEM »»Performing string scan.... 00001150: vk > f AppInit_DLLs G 00001190: C : \ W I N D O W S \ S y s t e m 3 2 \ h l p p k i . d l l 000011D0: 8? h vk UDeviceNotSelectedTimeout 00001210: 1 5 0 9 0 =t vk ' zGDIProce 00001250:ssHandleQuota" vk Spooler2 y e s _ 00001290: h 0 ` vk 5swapdisk vk 000012D0: . TransmissionRetryTimeout h 0 ` 00001310: vk ' USERProcessHandleQuota 00001350: 00001390: 000013D0: 00001410: 00001450: 00001490: 000014D0: 00001510: 00001550: 00001590: 000015D0: ---------- WIN.TXT fùAppInit_DLLsÖæG¸ÿÿÿC -------------- -------------- $01180: AppInit_DLLs $011F7: UDeviceNotSelectedTimeout $01247: zGDIProcessHandleQuota $012E0: TransmissionRetryTimeout $01330: USERProcessHandleQuota -------------- -------------- C:\WINDOWS\System32\hlppki.dll -------------- -------------- REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="" "DeviceNotSelectedTimeout"="15" "GDIProcessHandleQuota"=dword:00002710 "Spooler"="yes" "swapdisk"="" "TransmissionRetryTimeout"="90" "USERProcessHandleQuota"=dword:00002710 ............. ----------------------- »»»»»»Backups list...»»»»»» 01:22:43 up 0 days, 1:11:46 ----------------------- Sat 11 Sep 04 01:22:43 C:\FINDNFIX\ keyback.hiv Fri 10 Sep 2004 12:30:40 A.... 8.192 8,00 K 1 item found: 1 file, 0 directories. Total of file sizes: 8.192 bytes 8,00 K C:\FINDNFIX\KEYS1\ winkey.reg Fri 10 Sep 2004 12:30:40 A.... 287 0,28 K 1 item found: 1 file, 0 directories. Total of file sizes: 287 bytes 0,28 K *Temp backups... "C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Temp\Backs2\" keyback2.hi_ 10 Sep 2004 8192 "keyback2.hi_" winkey2.re_ 10 Sep 2004 287 "winkey2.re_" 2 items found: 2 files, 0 directories. Total of file sizes: 8.479 bytes 8,28 K -D---- JUNKXXX 00000000 12:30.40 10/09/2004 A----- STARTIT .BAT 00000060 01:21.46 11/09/2004 ________________________________________________________________________________ ***THE FIX IS NOT COMPATIBLE WITH EARLIER;UNPATCHED VERSIONS OF WIN2K'(SP3 and BELLOW)' AND/OR LAX OF SECURITY UPDATES AND SERVICE PACKS FOR ALL PLATFORMS! MINIMAL REQUIREMENTS INCLUDE: _________XP HOME/PRO; SP1; IE6/SP1 _________2K/SP4; IE6/SP1 ________________________________________________________________________________ »»»»»*** www10.brinkster.com/expl0iter/freeatlast/FNF/ ***»»»»» -----END------ Sat 11 Sep 04 01:22:43 danke hummer |
|
|
||
11.09.2004, 12:57
Ehrenmitglied
Beiträge: 29434 |
#34
Hallo @hummer
scanne mit dem HijackThis, hake an, was ich poste und <fix< dann neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {C5018787-55CF-4B84-91F6-B5E2AFBB715A} - C:\WINDOWS\System32\pbeohl.dll O18 - Filter: text/html - {FB4D5C26-A5CF-4F24-AC4C-2B29A8BA3756} - C:\WINDOWS\System32\pbeohl.dll O18 - Filter: text/plain - {FB4D5C26-A5CF-4F24-AC4C-2B29A8BA3756} - C:\WINDOWS\System32\pbeohl.dll neustarten 1.Lade die zip-Datei und oeffne sie,Doppelklick und "yes" zur Registry hinzufuegen, (so werden alle Dateien sichtbar) http://www.davehigham.zen.co.uk/downloads/xphidden.zip 2.Internet Explorer<Menüleiste Extras<Internet Optionen<Allgemein<Verlauf" leeren, Cookies, TemporaryInternetfiles (auch die Offline) loeschen 3.Loesche ALLE Dateien und leere ALLE Ordner: (nicht die Ordner selbst loeschen ! Start --> Ausfuehren --> typ ein: %systemroot%/temp Start --> Ausfuehren --> typ ein: %temp% 4.Gehe in die Registry Start<Ausfuehren<regedit suche den Schluessel:und loesche rechts (!) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="""HLPPKI.DLL" loesche rechts von der Registryfalls es noch da ist) HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\text/html CLSID = {FB4D5C26-A5CF-4F24-AC4C-2B29A8BA3756} schliesse die Registry und starte neu 5.Loesche: C:\WINDOWS\System32\hlppki.dll C:\WINDOWS\System32\pbeohl.dll 6.#Lade den "eScan" http://www.mwti.net/antivirus/free_utilities.asp suche mit der Suchfunktion von Windows eine "kavupd.exe" und anklicken.(kann auch im Temporary-Ordner sein) Start<Ausfuehren< %temp% Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt (dauert ein bisschen) #Gehe unbedingt in den abgesicherten Modus (!) http://www.bsi.de/av/texte/winsave.htm #suche "mwav.exe und starte so den< eScan<. Alle Häkchen setzen und "Clean-Scan" klicken. #Nach dem Scann, gehe wieder in den Normalmodus , scanne noch mal und poste alles, was als <deleted< und <renamed< und <no action taken< gefunden wurde das neue Log vom HijackThis noch mal. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 11.09.2004 um 13:03 Uhr von Sabina editiert.
|
|
|
||
12.09.2004, 17:29
...neu hier
Beiträge: 10 |
#35
hi @ sabina,
habe mal die "system32" durchforstet und leider weder hlppki.dll noch pbeohl.dll gefunden. Auch "AppInit_DLLs"="""HLPPKI.DLL ist in meiner registry nicht vorhanden, oder zumindest ohne die """HLPPKI.DLL. dafuer ist nach dem scan gestern wieder etwas neues drauf hier das log, wenns jetzt nicht mehr klappt werde ich euch nicht mehr nerven und mich damit abfinden Logfile of HijackThis v1.98.2 Scan saved at 17:28:38, on 12.09.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Winamp3\winampa.exe C:\WINDOWS\SOUNDMAN.EXE C:\programme\powerstrip\pstrip.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\WinSweep\WSPopup.Exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Bases\mwav.exe C:\DOKUME~1\Andreas\LOKALE~1\Temp\mwavscan.com C:\DOKUME~1\Andreas\LOKALE~1\Temp\kavss.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Andreas\Eigene Dateien\Hijack This\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O2 - BHO: (no name) - {E128BF17-2D1E-4C54-9A25-FC649F9ED200} - C:\WINDOWS\System32\eionog.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &WINSWEEP Toolbar - {E915E62E-41DA-40D0-8106-3438B4D24394} - C:\Programme\WinSweep\SurfBar.dll O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\winampa.exe" O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [PowerStrip] c:\programme\powerstrip\pstrip.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [NAV CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT" O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe" O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKCU\..\Run: [Steam] "c:\programme\valve\steam\steam.exe" -silent O4 - HKCU\..\Run: [WINSWEEP Popupblocker] C:\Programme\WinSweep\WSPopup.Exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_all.htm O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_link.htm O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O18 - Filter: text/html - {8FD1A4E6-3FBA-4C2F-A471-952A1AAE6CCB} - C:\WINDOWS\System32\eionog.dll O18 - Filter: text/plain - {8FD1A4E6-3FBA-4C2F-A471-952A1AAE6CCB} - C:\WINDOWS\System32\eionog.dll mfg und danke fuer die muehen hummer Dieser Beitrag wurde am 12.09.2004 um 17:30 Uhr von hummer editiert.
|
|
|
||
12.09.2004, 18:05
Moderator
Beiträge: 7805 |
#36
Es waere nett, wenn du kontrollieren koenntest ob eines dieser beiden Cleaner was findet:
ftp://ftp.kaspersky.com/utils/clrav.com http://securityresponse.symantec.com/avcenter/venc/data/backdoor.agent.b.removal.tool.html __________ MfG Ralf SEO-Spam Hunter |
|
|
||
14.09.2004, 12:43
...neu hier
Beiträge: 10 |
#37
so hatte gestern leider keine zeit, hab heute mal beide cleaner laufen lassen .. und das erfolgreich. das removal tool von symantec hat den backdoor.agent.b gefunden und gelöscht
sieht alles sehr sauber aus, werde aber abwarten bevor ich große freudentänze anfange hab mich schon mal zu früh gefreut.. trotzdem einen riesen dank an euch, hätte nicht gedacht das ihr so viel geduld habt. mfg hummer |
|
|
||
14.09.2004, 14:29
Ehrenmitglied
Beiträge: 29434 |
#38
Hallo @Hummer
Poste mal das HijackThis, mit einer Startseite, mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
14.09.2004, 15:37
...neu hier
Beiträge: 4 |
||
|
||
14.09.2004, 16:39
...neu hier
Beiträge: 10 |
#40
hallo sabina & rest, hier das hijackthis log:
Logfile of HijackThis v1.98.2 Scan saved at 16:37:44, on 14.09.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Winamp3\winampa.exe C:\WINDOWS\SOUNDMAN.EXE C:\programme\powerstrip\pstrip.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\WinSweep\WSPopup.Exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Winamp3\studio.exe C:\WINDOWS\System32\svchost.exe C:\Programme\eMule\emule.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Andreas\Eigene Dateien\Hijack This\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &WINSWEEP Toolbar - {E915E62E-41DA-40D0-8106-3438B4D24394} - C:\Programme\WinSweep\SurfBar.dll O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\winampa.exe" O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [PowerStrip] c:\programme\powerstrip\pstrip.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [NAV CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT" O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe" O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKCU\..\Run: [Steam] "c:\programme\valve\steam\steam.exe" -silent O4 - HKCU\..\Run: [WINSWEEP Popupblocker] C:\Programme\WinSweep\WSPopup.Exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_all.htm O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_link.htm O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe gruß, hummer Dieser Beitrag wurde am 14.09.2004 um 16:40 Uhr von hummer editiert.
|
|
|
||
14.09.2004, 17:24
Ehrenmitglied
Beiträge: 29434 |
#41
Hallo @Hummer
es ist alles sauber vielleicht denkst du mal ueber einen Browserwechsel nach, Firefox oder Opera (sind sicherer als der IE) und wenn du noch einmal mit <FindnFix:< scannst, darf das hier nicht mehr erscheinen: C : \ W I N D O W S \ S y s t e m 3 2 \ h l p p k i . d l l Und vergiss nicht, die Wiederherstellung zu deaktivieren, booten und wieder aktivieren. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 14.09.2004 um 17:27 Uhr von Sabina editiert.
|
|
|
||
16.09.2004, 01:19
...neu hier
Beiträge: 10 |
#42
BIS JETZT ALLES CLEAN
THX NOCHMAL VIELEN DANK P.S. FIREFOX IS SCHON SEIT DER ERSTEN EMPFEHLUNG STANDARD BROWSER MFG HUMMER Dieser Beitrag wurde am 16.09.2004 um 01:19 Uhr von hummer editiert.
|
|
|
||
23.09.2004, 10:39
...neu hier
Beiträge: 2 |
#43
hallo zusammen,
da ja jetzt hummer wieder fit ist, kann ich mich ja vielleicht mal eben mit meinem problem melden???!!?! :-) schicke auch einfach meinen hijack. habe das gleiche problem mit der startseite und noch eins, wenn ich den rechner hochfahre, kommt eine fehlermeldung, das sie datei msxmidi.exe nicht vorhanden sei?!?!?! hab da glaub ich mal aufgrund einer meldung von antivir diese datei versucht zu löschen??!?! wenn jemand zeit findet, wäre es sehr cool, wenn ich hilfe kriegen könnte!!!! schöne grüße von der welle....:-) Logfile of HijackThis v1.98.2 Scan saved at 10:31:41, on 23.09.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\usrbridg.exe C:\Programme\Microsoft Hardware\Mouse\point32.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\s-SPhhsy.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Winamp\winampa.exe C:\WINDOWS\system32\sys-s-.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\system32\system_20199.dat D:\Downloads\hijackthis1982\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmyrequest.com/sp.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://69.50.179.61/se.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.179.61/se.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.179.61/se.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.179.61/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://69.50.179.61/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://69.50.179.61/se.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.179.61/se.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.179.61/se.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.179.61/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = http://69.50.179.61/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://69.50.179.61/se.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://69.50.179.61/se.html R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://searchmyrequest.com/hp.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.btx.dtag.de:80;ftp=ftp-proxy.btx.dtag.de:80 R3 - Default URLSearchHook is missing F3 - REG:win.ini: run=C:\WINDOWS\system32\services\msxmidi.exe F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file) O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [POINTER] point32.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb03.exe O4 - HKLM\..\Run: [Windows OLE Automation Server] C:\WINDOWS\system32\ole32aut.vbe O4 - HKLM\..\Run: [s-SPhhsy] C:\WINDOWS\system32\s-SPhhsy.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\twink64.exe internat.dll,LoadKeyboardProfile O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\RunServices: [Windows OLE Automation Server] C:\WINDOWS\system32\ole32aut.vbe O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\AOLSHARE\AOLMIcon.exe O4 - HKCU\..\Run: [5-11-8-3] c:\windows\5-11-8-3.exe -m O4 - HKCU\..\Run: [5-2-134-19] c:\windows\5-2-134-19.exe -m O4 - HKCU\..\Run: [5-1-25-357] c:\windows\5-1-25-357.exe -m O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [SpyKiller] C:\Programme\SpyKiller\spykiller.exe /startup O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet O4 - HKCU\..\Run: [Windows OLE Automation Server] C:\WINDOWS\system32\ole32aut.vbe O4 - HKCU\..\Run: [s-SPhhsy] C:\WINDOWS\system32\s-SPhhsy.exe O4 - HKCU\..\Run: [Windows Update Checker] C:\WINDOWS\system32\sys-s-.exe O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE (file missing) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE (file missing) O9 - Extra button: MedionShop - {543CDDE7-DF47-47DD-9339-0B023AC5DCA8} - http://www.medionshop.de (file missing) (HKCU) O13 - WWW Prefix: O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de O15 - Trusted Zone: *.05p.com O15 - Trusted Zone: *.blazefind.com O15 - Trusted Zone: *.clickspring.net O15 - Trusted Zone: *.flingstone.com O15 - Trusted Zone: *.mt-download.com O15 - Trusted Zone: *.my-internet.info O15 - Trusted Zone: *.scoobidoo.com O15 - Trusted Zone: *.searchbarcash.com O15 - Trusted Zone: *.searchmiracle.com O15 - Trusted Zone: *.skoobidoo.com O15 - Trusted Zone: *.slotch.com O15 - Trusted Zone: *.windupdates.com O15 - Trusted Zone: *.xxxtoolbar.com O18 - Filter: text/plain - {E83E3D42-7300-43BD-B1C9-A5FEFD893C08} - C:\WINDOWS\System32\mdoeica.dll O21 - SSODL: System - {6F17B7FD-C18F-4814-9239-43A0545523F0} - C:\WINDOWS\system32\system32.dll |
|
|
||
23.09.2004, 10:55
Ehrenmitglied
Beiträge: 29434 |
#44
Hallo @re-ef
Fixe mit dem HijackThis: R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmyrequest.com/sp.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://69.50.179.61/se.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.179.61/se.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.179.61/se.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.179.61/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://69.50.179.61/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://69.50.179.61/se.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.179.61/se.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.179.61/se.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.179.61/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = http://69.50.179.61/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://69.50.179.61/se.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://69.50.179.61/se.html R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://searchmyrequest.com/hp.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R3 - Default URLSearchHook is missing F3 - REG:win.ini: run=C:\WINDOWS\system32\services\msxmidi.exe O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file) O4 - HKLM\..\Run: [Windows OLE Automation Server] C:\WINDOWS\system32\ole32aut.vbe O4 - HKLM\..\Run: [s-SPhhsy] C:\WINDOWS\system32\s-SPhhsy.exe O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\twink64.exe internat.dll,LoadKeyboardProfile O4 - HKLM\..\RunServices: [Windows OLE Automation Server] C:\WINDOWS\system32\ole32aut.vbe O4 - HKCU\..\Run: [5-11-8-3] c:\windows\5-11-8-3.exe -m O4 - HKCU\..\Run: [5-2-134-19] c:\windows\5-2-134-19.exe -m O4 - HKCU\..\Run: [5-1-25-357] c:\windows\5-1-25-357.exe -m O4 - HKCU\..\Run: [Windows OLE Automation Server] C:\WINDOWS\system32\ole32aut.vbe O4 - HKCU\..\Run: [s-SPhhsy] C:\WINDOWS\system32\s-SPhhsy.exe O4 - HKCU\..\Run: [Windows Update Checker] C:\WINDOWS\system32\sys-s-.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE (file missing) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE (file missing) O9 - Extra button: MedionShop - {543CDDE7-DF47-47DD-9339-0B023AC5DCA8} - http://www.medionshop.de (file missing) (HKCU) O13 - WWW Prefix: O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de O15 - Trusted Zone: *.05p.com O15 - Trusted Zone: *.blazefind.com O15 - Trusted Zone: *.clickspring.net O15 - Trusted Zone: *.flingstone.com O15 - Trusted Zone: *.mt-download.com O15 - Trusted Zone: *.my-internet.info O15 - Trusted Zone: *.scoobidoo.com O15 - Trusted Zone: *.searchbarcash.com O15 - Trusted Zone: *.searchmiracle.com O15 - Trusted Zone: *.skoobidoo.com O15 - Trusted Zone: *.slotch.com O15 - Trusted Zone: *.windupdates.com O15 - Trusted Zone: *.xxxtoolbar.com O18 - Filter: text/plain - {E83E3D42-7300-43BD-B1C9-A5FEFD893C08} - C:\WINDOWS\System32\mdoeica.dll O21 - SSODL: System - {6F17B7FD-C18F-4814-9239-43A0545523F0} - C:\WINDOWS\system32\system32.dll neustarten #ueberpruefe bitte mit kaspersky diese exe (einzeln) und poste das Ergebnis: C:\WINDOWS\system32\s-SPhhsy.exe C:\WINDOWS\system32\sys-s-.exe c:\windows\5-11-8-3.exe c:\windows\5-2-134-19.exe c:\windows\5-1-25-357.exe http://www.kaspersky.com/remoteviruschk.html #Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK" #Start<Ausfuehren (reinkopieren) regsvr32 /u c:\system32\C:\WINDOWS\system32\system32.dll regsvr32 /u c:\system32\C:\WINDOWS\mdoeica.dll <enter< #PC neustarten #laufwerk C: eine Datenträgerbereinigung vornehmen. Start > Programme > Zubehör > Systemprogramme > Datenträgerbereinigung <Click Temporary Internet Files<o.k #Loeschen: C:\WINDOWS\system32\system32.dll C:\WINDOWS\mdoeica.dll C:\WINDOWS\system32\ole32aut.vbe #Das eScan AV Toolkit (mwav.exe) herunterladen, http://www.rokop-security.de/board/index.php?showtopic=3867 http://www.mwti.net/antivirus/free_utilities.asp die Datei in den Ordner "c:\base" entpacken und danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen. <Abgesicherter Modus http://www.bsi.de/av/texte/winsave.htm und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen : Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives und "Scan clean" klicken. #Wieder in den Normalmodus gehen und noch mal mit Escan scannen. #Poste danach Virus Log Information: was als <deleted< und <renamed< und <no action taken< gefunden wurde und das neue Log vom HijackThis noch mal (und die Infos von Kaspersky) MFG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 23.09.2004 um 11:01 Uhr von Sabina editiert.
|
|
|
||
23.09.2004, 11:22
...neu hier
Beiträge: 2 |
#45
hi, ich glaub es funktioniert wieder alles!!!!!!!!!
schicke dir nochmal die neue hijackthis: Logfile of HijackThis v1.98.2 Scan saved at 16:34:19, on 23.09.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Winamp\winampa.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\usrbridg.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\System32\wuauclt.exe D:\Downloads\hijackthis1982\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.btx.dtag.de:80;ftp=ftp-proxy.btx.dtag.de:80 F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb03.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe (file missing) O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe (file missing) O15 - Trusted Zone: *.windupdates.com O15 - Trusted Zone: *.xxxtoolbar.com O18 - Filter: text/plain - {E83E3D42-7300-43BD-B1C9-A5FEFD893C08} - C:\WINDOWS\System32\mdoeica.dll ich hoffe, das sieht besser aus?? :-) danke für deine hilfe und schöne grüße wieder von der welle re-ef Dieser Beitrag wurde am 23.09.2004 um 16:40 Uhr von re-ef editiert.
|
|
|
||
habe, nachdem ich den trojaner erfolgreich entfernt hatte, mich wohl zu sicher gefühlt..einen tag später war er wieder drauf, hijackthis hat mir wieder alles angezeit...
nachdem ich alles wieder neu gescant hatte -----> sieh an, wieder der nächste. die dll.dateien haben immer andere namen und kommen ständig, also in der regel so nach 1 1/2 tagen wieder. leider habe ich die dll.dateien immer gefixt, habe also keine namen mehr.
wenns nötig ist poste ich die nächsten namen, bin mir sicher, der nächste kommt bestimmt
bitte um hilfe
hummer