|
Plagegeister aller Art und deren Bekämpfung: Hartnäckige Hijacker und leider keine AhnungWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
05.12.2004, 15:03 | #1 |
| Hartnäckige Hijacker und leider keine Ahnung Hallo zusammen, Ich habe mir (einen?) ziemlich hartnäckigen Hijacker eingefangen, den ich nicht wider los werde. Habe es mit Ad-Aware und HijachThis versucht und auch schon per Hand (schwitz) einen Eintrag aus meiner Registry enfernt. Mit dem Ergebnis, dass der Mist jedesmal wieder auftaucht. Interessanterweise sind es auffällig oft schwedische Seiten, zu denen er mich schickt und On-line Casinos. Habe schon versucht, im abgesicherten Modus zu putzen. Bin mir aber nicht sicher, alles zu erwischen. Anbei mein HijackThis-Logfile. Bin für jede Hilfe sehr dankbar. Beste Grüße Hagen Logfile of HijackThis v1.97.7 Scan saved at 15:02:25, on 05.12.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\Norton Personal Firewall\NISUM.EXE C:\WINDOWS\System32\alg.exe C:\Programme\Norton Personal Firewall\ccPxySvc.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\wanmpsvc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\SOINTGR.EXE C:\WINDOWS\System32\atiptaxx.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe C:\Programme\AOL 7.0\aoltray.exe C:\Programme\Pinnacle\Studio PCTV\TeleText\WebServer.exe C:\PROGRA~1\Pinnacle\SHARED~1\Filter\Server.exe C:\PROGRA~1\Pinnacle\SHARED~1\Filter\VBI_SE~1.EXE C:\Programme\AOL 7.0\waol.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\System32\odcfg.exe C:\WINDOWS\System32\getdns.exe C:\Dokumente und Einstellungen\Hagen\Eigene Dateien\My eBooks\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/ O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q O4 - Startup: WebServer.lnk = C:\Programme\Pinnacle\Studio PCTV\TeleText\WebServer.exe O4 - Global Startup: AOL 7.0 Tray-Symbol.lnk = C:\Programme\AOL 7.0\aoltray.exe O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://active.macromedia.com/flash2/cabs/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{9CF4F231-FE0B-466A-BBA2-DFCB58DFEBC8}: NameServer = 205.188.146.146 |
05.12.2004, 15:27 | #2 |
Gast | Hartnäckige Hijacker und leider keine Ahnung Verwende die aktuelle Version 1.98.2 und poste ein neues Log.
__________________ |
05.12.2004, 16:38 | #3 |
| Hartnäckige Hijacker und leider keine Ahnung Ok, hier das Log-File der Version 1.98.2
__________________Logfile of HijackThis v1.98.2 Scan saved at 16:36:29, on 05.12.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\Norton Personal Firewall\NISUM.EXE C:\WINDOWS\System32\alg.exe C:\Programme\Norton Personal Firewall\ccPxySvc.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\wanmpsvc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\SOINTGR.EXE C:\WINDOWS\System32\atiptaxx.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\AOL 7.0\aoltray.exe C:\PROGRA~1\Pinnacle\SHARED~1\Filter\Server.exe C:\Programme\AOL 7.0\waol.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\System32\odcfg.exe C:\WINDOWS\System32\getdns.exe C:\WINDOWS\System32\msiexec.exe C:\Dokumente und Einstellungen\Kinder\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis[1].zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wasistwas.de/ O2 - BHO: SuperAdBlockerBHO Class - {00000000-6C30-11D8-9363-000AE6309654} - C:\Programme\SuperAdBlocker.com\Super Ad Blocker\SABBHO.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Super Ad Blocker Toolbar - {B4B3001E-0F56-4E51-8250-BDE11547EC55} - C:\Programme\SuperAdBlocker.com\Super Ad Blocker\sabtb.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Startup: WebServer.lnk = C:\Programme\Pinnacle\Studio PCTV\TeleText\WebServer.exe O4 - Global Startup: AOL 7.0 Tray-Symbol.lnk = C:\Programme\AOL 7.0\aoltray.exe O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll O15 - Trusted Zone: http://*.63.219.181.7 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{9CF4F231-FE0B-466A-BBA2-DFCB58DFEBC8}: NameServer = 205.188.146.145 O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2 (file missing) Gruß Hagen |
05.12.2004, 16:54 | #4 |
| Hartnäckige Hijacker und leider keine Ahnung Bei Dir ist der schon lange (2002) erkannte Easyserv-Backdoortroj. aktiv. Er erlaubt es einem Fremden, die komplette Steurerung über Deinen Rechner zu übernehmen. Dies bedingt, daß Du Dein System neu aufsetzt.. Bitte die Tipps von cidre genau beachten. Du bist nicht mehr Herr im Haus! Beachte dies: Datensicherung und auch das hier einen besseren Rat kann ich Dir hier nicht geben, leider. Mit ein Grund wird wohl sein, daß dein System nicht gepatcht ist... cacatoa
__________________ Der Mensch sollte eine Hundeseele haben |
05.12.2004, 18:17 | #5 |
| Hartnäckige Hijacker und leider keine Ahnung Ok, das klingt nicht gut. Auch wenn Ihr es vielleicht für blöd haltet, aber jetzt doch noch mal eine ganz dumme FRage: Wie groß ist die realistische Bedrohung? Kann mein Rechner zum Beispiel nur nach bloßem Anschalten ohne mich ins Netz gehen? Sendet mein Rechner jetzt den gesamten Inhalt meiner Daten irgendwo hin? Haltet mich bitte nicht für blöd, aber es ist das erste Mal, dass mir sowas passiert und ich will a) die Sache sicher und möglichst ohne schwerwiegende Folgen aus der Welt schaffen und b) nicht durch Panik und unüberlegtes handeln zusätzlichen (vermeidbaren) Schaden anrichten. Gruß Hagen |
05.12.2004, 18:23 | #6 |
| Hartnäckige Hijacker und leider keine Ahnung @Hagen2 Kann mein Rechner zum Beispiel nur nach bloßem Anschalten ohne mich ins Netz gehen? hier ist dein antwort. When it is activated, Backdoor.Easyserv does the following: It listens on port 5558 for a connection. Once connected, the attacker can direct Backdoor.Easyserv to activate an HTTP server that will show the directory structure of any local hard disk. The HTTP server will allow the attacker to connect to the host machine using an Internet browser. Through the browser, the attacker can browse the host computer and download files from it. Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) wie cacatoa schon postete, system marke scheunentor... chaosman
__________________ --> Hartnäckige Hijacker und leider keine Ahnung |
05.12.2004, 18:39 | #7 |
| Hartnäckige Hijacker und leider keine Ahnung Hallo Chaosman, Sorry, wenn ich Dich nerve, dass heiß, ich selbst muß mich aktiv anmelden, dann steht mein Scheunentor offen. Solange ich nicht im Netz bin, kann auch kein anderer rein. Hab ich das richtig verstanden? In das Thema Neuaufsetzen muß ich mich erstmal einlesen, ich hab das noch nie gemacht. Von daher kann ich das nicht von jetzt auf sofort, schlicht, weil ich es noch nie gemacht habe. Wie groß ist die Chance, dass jetzt jemand während der Eingabe etc. Passwörter und so abgreift, gespeichert habe ich die auf meinem Rechner eh nie. Gruß Hagen |
05.12.2004, 18:50 | #8 |
| Hartnäckige Hijacker und leider keine Ahnung @Hagen2 sehe es mal so, wenn du im Inet bist, kann der andere alles sehen und downloaden was sich auf dein rechner befindet. d.h. alles, ob du denkst du hast nichts auf dein rechner, das ist deine sache. ich möchte das nicht. Wie groß ist die Chance, dass jetzt jemand während der Eingabe etc. Passwörter und so abgreift, gespeichert habe ich die auf meinem Rechner eh nie. du meinst einen keylogger. du weißt nie, was jemand anders interessiert, allein schon der misbrauch der mit deine daten getrieben werden kann, müßte eigentlich schon ausreichen umsofort dein rechner vom netz zu nehmen, und neu aufzusetzen hier noch ein paar tips zum neu aufsetzen. lese sie genaustens durch, am besten ausdrücken, und dich daran halten. http://www.trojaner-board.de/showpos...28&postcount=2 falls du danach noch fragen hast, melde dich hier im board chaosman
__________________ Bonus vir semper tiro |
19.12.2004, 18:10 | #9 |
| Hartnäckige Hijacker und leider keine Ahnung Hallo habe auch Probleme mit SOUNMAN.exe und Webrebates Hier mein bisheriger Verlauf: Windows wurde insgesamt langsamer und sogar DVDs werden nicht mehr 100%ig abgespielt ( man merkt ab und zu leichte Verzögerungen ) Adaware und Co. sind alle drübergelaufen. Eintrag in der Registry per Hand im abgesicherten Modus gelöscht. Doch beide Dinger tauchen immer wieder auf. Den Realtektreiber, der sich auch Soundman nennt habe ich auch mal gelöscht. Neustes Windows Update ist installiert. Gelöscht habe ich in der Reg. folgendes, so wie es hier beschrieben wurde : http://www.ikarus-software.at/portal...door.Agobot.KH Allerdings habe ich keinen Eintrag in HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\ soundman = soundman.exe , sondern nur in : HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ soundman = soundman.exe mwavscan zeigt mir komischerweise keienn Virus an und auch Adaware zeigt nicht den Sounman, sondern nur Webrebates. Hier mein aktueller Log von Highj. Logfile of HijackThis v1.97.7 Scan saved at 18:10:31, on 19.12.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe D:\Programme\D-Tools\daemon.exe C:\Programme\MSI\Core Center\CoreCenter.exe D:\Programme2\WinZip\WZQKPICK.EXE C:\WINDOWS\system32\crypserv.exe D:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Ranger\Desktop\Vir\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://windowsupdate.microsoft.com/ O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [CloneCDElbyCDFL] "D:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [AWMON] "C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe" O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] D:\Programme\Corel\Corel Graphics 12\Languages\DE\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=092704 serial=DR12CNC-8322248-NFT lang=DE O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe" O4 - Global Startup: CoreCenter.lnk = C:\Programme\MSI\Core Center\CoreCenter.exe O4 - Global Startup: WinZip Quick Pick.lnk = D:\Programme2\WinZip\WZQKPICK.EXE O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: ICQ (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1096496442453 O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupdate.microsoft.co...8143.417650463 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{3FD577A2-22C5-41D1-9580-7AEC3D1D62F7}: NameServer = 192.168.2.1 Den Pfad : C:\Programme\Web_Rebates\WebRebates0.exe finde ich nicht. Da Soundman auch PW`s auslesen können soll bin ich doch etwas besorgt. Würde mich sehr über Hilfe freuen Gruß Rocco |
19.12.2004, 19:09 | #10 |
| Hartnäckige Hijacker und leider keine Ahnung @ cacatoa, chaosman Mir ist ehrlich gesagt nicht ganz klar, wieso ihr auf die Idee kommt, dass Hagen2 easyserv im System haben soll? Ich sehe im Log kein Anzeichen dafür und es gibt auch keinen Grund für eine Neuinstallation. C:\PROGRA~1\Pinnacle\SHARED~1\Filter\Server.exe Diese Server.exe gehört ganz sicher nicht zu easyserv. @ Hagen 2 Ich hoffe, du hast noch nicht neu installiert (obwohl es natürlich nichts schadet, wenn man das mal gemacht hat). Dein problem können wir aber IMO auch ohne Brecheisen lösen. @ Rocco Wie du schon gemerkt hast, muss soundman.exe nicht automatisch agobot sein, sondern er existiert auch als ganz normaler Bestandteil von Soundkarten. Und so ist es mit ziemlicher Sicherheit auch bei dir, der Registryeintrag gehört dazu: http://www.reger24.de/prozesse/SOUNDMAN.EXE.php ist also völlig in ordnung und muss nicht gelöscht werden, denn der Schädling müsste, wie gesagt unter RunServices laufen. Den webrebates-Eintrag solltest du im abgesicherten Modus fixen, die exe löschen und dann noch mal ein neues Logfile mit der aktuellen version von HJT erstellen und posten. |
19.12.2004, 19:56 | #11 |
| Hartnäckige Hijacker und leider keine Ahnung @ MK Grund war wohl (wenn ich es jetzt nachvollziehe) ein Hinweis in der Auto-Auswertung. Weiß das aber jetzt ehlich gesagt nicht mehr genau...
__________________ Der Mensch sollte eine Hundeseele haben |
19.12.2004, 20:25 | #12 |
| Hartnäckige Hijacker und leider keine Ahnung Deswegen empfehle ich die auch nie. |
19.12.2004, 21:30 | #13 |
| Hartnäckige Hijacker und leider keine Ahnung Besten Dank für die super schnelle Antwort ! Dann brauche ich mir um Soundman wohl keine Sorgen machen. Leider bekomme ich Webrebates aber nicht weg. Habe es im abges. Modus über Ausführen-> Regedit im Run Ordner gelöscht. Aber es kommt wieder ...sozusagen eine Zombie Datei Der Ordner :C:\Programme\Web_Rebates\WebRebates0.exe" existiert nicht und auch mit der Suchfuntion findet der Rechner keinen Ordner/ Datei mit dem Namen Webrebates Hier der neue Logfile: Logfile of HijackThis v1.99.0 Scan saved at 21:28:11, on 19.12.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe C:\WINDOWS\system32\crypserv.exe D:\Programme\D-Tools\daemon.exe C:\Programme\MSI\Core Center\CoreCenter.exe D:\Programme2\WinZip\WZQKPICK.EXE D:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\svchost.exe C:\Dokumente und Einstellungen\Ranger\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [CloneCDElbyCDFL] "D:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [AWMON] "C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe" O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] D:\Programme\Corel\Corel Graphics 12\Languages\DE\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=092704 serial=DR12CNC-8322248-NFT lang=DE O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe" O4 - Global Startup: CoreCenter.lnk = C:\Programme\MSI\Core Center\CoreCenter.exe O4 - Global Startup: WinZip Quick Pick.lnk = D:\Programme2\WinZip\WZQKPICK.EXE O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1096496442453 O17 - HKLM\System\CCS\Services\Tcpip\..\{3FD577A2-22C5-41D1-9580-7AEC3D1D62F7}: NameServer = 192.168.2.1 O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Crypkey License - Unknown - crypserv.exe (file missing) O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - D:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe |
19.12.2004, 21:45 | #14 |
Administrator, a.D. | Hartnäckige Hijacker und leider keine Ahnung Arbeite dich mal hier durch: http://sarc.com/avcenter/venc/data/p...ebrebates.html |
Themen zu Hartnäckige Hijacker und leider keine Ahnung |
abgesicherten modus, ad-aware, antivirus, dateien, einstellungen, explorer, firewall, hilfe, internet, internet explorer, keine ahnung, messenger, microsoft, monitor, nicht sicher, object, programme, registry, seite, seiten, shockwave, software, spyware, spyware doctor, studio, symantec, system, system32, tcpip, windows, windows xp |