Hijacker der nicht wegzukriegen ist.

Tallica0815 · 28.11.2004, 17:09

Hallo Leute!

Ich bin absolut verzweifelt, ich habe einen Hijacker, der einfach nicht wegzubekommen ist.

Ich habe es probiert mit:

Adware Away
Ad-Aware
S&D
CW Shredder
Spy Subtract
Hijackthis
Antivir Profesionell

ich bekomme ihn aber immer nur für ein paar sekunden weg, danach ist er wieder da, ich hab mir auch schon angeguckt, was windows beim Systemstart mitstartet, ist aber auch nichts auffälliges dabei.

Vielleicht wird das ganze an der HijackThis log deutlich

Logfile of HijackThis v1.98.2
Scan saved at 17:07:58, on 28.11.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\Programme\Plextor\PlexTool.exe
C:\Programme\SpySubtract\SpySub.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\addkf32.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\addiv32.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Downloads\hijackthis_198\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe

R3 - Default URLSearchHook is missing
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O2 - BHO: (no name) - {BA94C7FC-6F23-61AD-837C-91262653369E} - C:\WINDOWS\netmy32.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ElbyCheckAnyDVD] "C:\Programme\SlySoft\AnyDVD\ElbyCheck.exe" /L AnyDVD
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [addiv32.exe] C:\WINDOWS\system32\addiv32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: PlexTools Professional.lnk = C:\Programme\Plextor\PlexTool.exe
O4 - Global Startup: SpySubtract.lnk = C:\Programme\SpySubtract\SpySub.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O15 - Trusted Zone: *.frame.crazywinnings.com

so und...
R3 - Default URLSearchHook is missing
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O2 - BHO: (no name) - {AA17060B-41AF-88EC-D24D-13F4FB9C2034} - C:\WINDOWS\d3uy.dll
O2 - BHO: (no name) - {BA94C7FC-6F23-61AD-837C-91262653369E} - C:\WINDOWS\netmy32.dll
O15 - Trusted Zone: *.frame.crazywinnings.com
...sind nicht wegzukriegen, weder im normalen Windows noch im abgesicherten Modus.

Hoffe Ihr könnt mir helfen!

MountainKing · 28.11.2004, 17:28

Vor allem anderen muss du erst mal dein System auf den aktuellen Stand bringen:

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Besuche Windowsupdate und installiere ALLE empfohlenen Updates, am besten gleich Service Pack 2.

C:\WINDOWS\netmy32.dll
C:\WINDOWS\system32\addiv32.exe
C:\WINDOWS\addkf32.exe

mal hier testen: http://virusscan.jotti.org/de

Deaaktiviere die Systemwiederherstellung:

http://www.systemwiederherstellung-d...indows-xp.html

starte in den abgesicherten Modus und fixe (außer, die Überprüfung ergibt, dass die Dateien KEINE Schädlinge sind, was ich aber nicht glaube):

R3 - Default URLSearchHook is missing
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O2 - BHO: (no name) - {BA94C7FC-6F23-61AD-837C-91262653369E} - C:\WINDOWS\netmy32.dll
O4 - HKLM\..\Run: [addiv32.exe] C:\WINDOWS\system32\addiv32.exe
O15 - Trusted Zone: *.frame.crazywinnings.com

Boote in den normalen Modus, aktiviere die Systemwiederherstellung und poste ein neues Log.

Passat2002 · 28.11.2004, 17:59

hi

absicht??

Code:

ATTFilter

C:\Programme\Internet Explorer\iexplore.exe
C:\Downloads\hijackthis_198\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe

wenn nicht, einen explorer mit dem taskmanager beenden, nachsehen, ob wieder ein neuer prozess startet, der wiederum in einen iexplore.exe endet

Tallica0815 · 28.11.2004, 18:16

ok, hab alles versucht, aber es lässt sich nichts machen...

C:\WINDOWS\netmy32.dll
C:\WINDOWS\system32\addiv32.exe
C:\WINDOWS\addkf32.exe

obwohl alle dateien angezeigt werden, lässt sich nichts machen, auch im abgesicherten modus existieren die dateien garnicht.....sehr merkwürdig

hier die neue HijackThis datei....owbohl alles im abgesicherten modus entfernt, kommt es sogar im abgesicherten modus sofort wieder, ich verstehs einfach nicht:

Logfile of HijackThis v1.98.2
Scan saved at 18:13:11, on 28.11.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\addiv32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Plextor\PlexTool.exe
C:\Programme\SpySubtract\SpySub.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\addkf32.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Downloads\hijackthis_198\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\pwigg.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\pwigg.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\pwigg.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\pwigg.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\pwigg.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\pwigg.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\pwigg.dll/sp.html#29126
R3 - Default URLSearchHook is missing
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O2 - BHO: (no name) - {B3D73358-31BE-E57F-D1C6-0062ECF101F4} - C:\WINDOWS\sysre32.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ElbyCheckAnyDVD] "C:\Programme\SlySoft\AnyDVD\ElbyCheck.exe" /L AnyDVD
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [addiv32.exe] C:\WINDOWS\system32\addiv32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: PlexTools Professional.lnk = C:\Programme\Plextor\PlexTool.exe
O4 - Global Startup: SpySubtract.lnk = C:\Programme\SpySubtract\SpySub.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O15 - Trusted Zone: *.frame.crazywinnings.com

s&d meldet z.b.:

coolwwsearch.bootconf
coolwwsearch.loadbat
coolwwsearch.msconfd
coolwwsearch.oslogo
coolwwsearch.xmlmimefilter
dso.exploit
common hijacker
igetnet

adaware meldet die 3 teile die hijakcthis unter 01 stellt

aber keines der programme kann die teiel entfernen , es ist einfahc nicht möglich, nichtmals im abgesicherten modus....

das ist schrecklich

Service Pack 2 kann ich leider nicht installieren, da dann eine Software, die ich zum Arbeiten brauche nicht mehr läuft.

Tallica0815 · 28.11.2004, 18:34

hab festgestellt, dass die datei addiv32.dll immer beim systemstart mitgeladen wird und habe das deaktiviert....tja, dann ist beim nächsten neustart ein neuer eintrag damit vorhanden.... ich bekomme das nicht raus, das ist unglaublich

cacatoa · 28.11.2004, 18:44

Du sollst die drei von MountainKing genannten Dateien bei Jotti (das ist der Link, den er dir geschrieben hat) online scannen, und dann das Ergebnis hier rein posten.
(Unter Arbeitsplatz, Extras, Ordneroptionen, Ansicht, hier: das Häkchen wegmachen bei "geschützte Systemdateien ausblenden".
Dann nochmal versuchen. Die Dateien sind da.) Wahrscheinlich ist nur ein Haken bei "alle Dateien anzeigen" da.

Thunderbolt II · 30.11.2004, 15:48

Hallo, habe das gleiche Problem wie Du,

O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
und am Ende immer:

O15 - Trusted Zone: *.frame.crazywinnings.com

Hijackthis funktioniert hier nicht.

Ist schon heftig das selbst die Profis hier nicht weiterwissen. Zum Glück kann ich noch alle Daten auf Cd speichern.

Gibt es bei dir Neuigkeiten? oder hast Du schon Format C?
Gibt es eine Rettung oder haben wir beide verloren?

Gruss aus HH

MountainKing · 30.11.2004, 18:54

Du hast entweder:

a) nicht ALLE relevanten Sicherheitspatches installiert ("weitestgehend" reicht nicht)

b) nicht alles gelöscht

Du hast oben geschrieben, du hättest Viren mit E-Scan gelöscht, dein Log zeigt aber, dass du eine neue Version von E-Scan hast und diese löscht NICHT. Deswegen steht dort auch " No Action Taken". Du hast hier nur die Übersicht der gefundenen Schädlinge, du musst sie per Hand entfernen oder ein anderes Virenprogramm nehmen (am besten eine Demoversion von Kaspersky), die auch tatsächlich diese Viren löscht. Sonst kannst du E-Scan noch x-mal durchlaufen lassen, du wirst immer wieder die Viren sehen.

Hast du die Systemwiederherstellung vor dem Fixen deaktiviert?

Besorge dir www.clearprog.de

Gehe bei HJT im abgeischerten Modus auf config/misc Tools/open hosts file manager und lösche alle Einträge bis auf 127.1.1.0 localhost

Falls das nicht klappt über c:\Windows\System32\drivers\etc\hosts die hosts-datei öffnen und editieren bzw. alles bis auf den obigen Eintrag 127.1.1.0 localhost löschen.
Lösche deine tenporären Files mit clearprog und starte neu.

Tallica0815 · 02.12.2004, 00:00

weitestgehend muss reichen, denn wenn ich sp2 installiere geht cubase sx nicht mehr udn darauf kann ich nicht verzichten.

mit escan ist schon klar, hab die datein im abgesicherten modus bei abgeschalteter systemwiederherstellung von hand gelöscht....die sind auch wirklich komplett alle weg....das problem mit den host files besteht aber noch, clearprog scheint auch nicht wirklich zu helfen.

Hijacker der nicht wegzukriegen ist.

Log-Analyse und Auswertung: Hijacker der nicht wegzukriegen ist.