Hilfe hab Home Search drauf

Henyou · 13.01.2005, 19:27

Hallo erstmal ich bin neu hier und kenn mich nicht so aus.
Ich wollt mal fragen ob mir jemand sagen kann
wie ich denn home search hijacker entfernen kann
ich benutze die XP home edition IE 6.0

Hier meine HijackThis log:
Logfile of HijackThis v1.98.2
Scan saved at 19:28:21, on 13.01.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\winoi32.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\winmy32.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Dokumente und Einstellungen\hen305\Desktop\Nicht verwendete Desktopverknüpfungen\HijackThis.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\ICQ\Icq.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Azureus\Azureus.exe
C:\Programme\Java\j2re1.4.2_05\bin\javaw.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\brlga.dll/sp.html#93214
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\brlga.dll/sp.html#93214
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\brlga.dll/sp.html#93214
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\brlga.dll/sp.html#93214
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\brlga.dll/sp.html#93214
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\brlga.dll/sp.html#93214
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\brlga.dll/sp.html#93214
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.t-online.de/software/ie50/setpxy.pac
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.btx.dtag.de:80;ftp=ftp-proxy.btx.dtag.de:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = <local>
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {B1BB6325-7848-55D0-9852-29EFBD58C64C} - C:\WINDOWS\ntrw32.dll
O4 - HKLM\..\Run: [winmy32.exe] C:\WINDOWS\winmy32.exe
O4 - HKCU\..\Run: [AIM] C:\Programme\AIM95\aim.exe -cnetwait.odl
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{6EE8E630-A099-49C5-929A-17C570DD48E6}: NameServer = 195.50.140.252 145.253.2.203

Bräuchte dringendst hilfe.
Dankeschön ^^

Shadowdance · 13.01.2005, 19:43

@ Henyou

==> Platform: Windows XP (WinNT 5.01.2600)/MSIE: Internet Explorer v6.00 (6.00.2600.0000): - ungepatchtes Betriebssystem/ungepatchter Browser: www.windowsupdate.com

==> Logfile of HijackThis v1.98.2: veraltete Version! http://www.trojaner-board.de/51130-a...ijackthis.html

==> Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, fixe mit Hijack This (Häk'chen setzen und auf Fix Checked klicken):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\brlga.dll/sp.html#93214
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\brlga.dll/sp.html#93214

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\brlga.dll/sp.html#93214
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\brlga.dll/sp.html#93214
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\brlga.dll/sp.html#93214
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\brlga.dll/sp.html#93214
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\brlga.dll/sp.html#93214

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = http=proxy.btx.dtag.de:80;ftp=ftp-proxy.btx.dtag.de:80

R3 - Default URLSearchHook is missing

wenn Du diesen Eintrag nicht kennst/brauchst, bitte fixen:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = <local>

boote in den normalen Modus. Aktiviere die Systemwiederherstellung und boote neu.

==> bitte überprüfe mit dem online-scan von Kaspersky:

C:\WINDOWS\winoi32.exe
C:\WINDOWS\winmy32.exe
C:\WINDOWS\ntrw32.dll

Ergebnis?

Henyou · 13.01.2005, 23:23

Vielen dank hat aber leider nicht geklappt
haste noch eine methode oder soll ich dir noch andere angaben geben?
danke nochmals

Haui45 · 13.01.2005, 23:26

Es fehlt das Ergebnis der zu überprüfenden Dateien!
Poste ein neues Logfile (Version 1.99.0 verwenden!)

Henyou · 14.01.2005, 15:21

winoi32.exe infiziert
winmy32.exe infiziert
netcc32.dll war nicht im angegebenen ordner vorhanden
ntrw32.dll infiziert

Logfile of HijackThis v1.99.0
Scan saved at 15:18:43, on 14.01.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\winoi32.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\winmy32.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\ICQ\Icq.exe
C:\Dokumente und Einstellungen\hen305\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\rqvyb.dll/sp.html#93214
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\rqvyb.dll/sp.html#93214
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\rqvyb.dll/sp.html#93214
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\rqvyb.dll/sp.html#93214
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\rqvyb.dll/sp.html#93214
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\rqvyb.dll/sp.html#93214
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\rqvyb.dll/sp.html#93214
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.t-online.de/software/ie50/setpxy.pac
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.btx.dtag.de:80;ftp=ftp-proxy.btx.dtag.de:80
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {316E0DB4-BFD1-4559-E2B8-375C22AA81A5} - C:\WINDOWS\crrg32.dll
O4 - HKLM\..\Run: [winmy32.exe] C:\WINDOWS\winmy32.exe
O4 - HKCU\..\Run: [AIM] C:\Programme\AIM95\aim.exe -cnetwait.odl
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: 206.161.124.130 (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\..\{6EE8E630-A099-49C5-929A-17C570DD48E6}: NameServer = 195.50.140.252 145.253.2.203
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\SYSTEM32\ati2sgag.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Bluetooth Service - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: C-DillaSrv - Unknown - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE (file missing)
O23 - Service: Crypkey License - Unknown - crypserv.exe (file missing)
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: StyleXPService - Unknown - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: Workstation NetLogon Service - Unknown - C:\WINDOWS\winoi32.exe

Haui45 · 14.01.2005, 15:24

Als was wurden die Dateien erkannt? Malware ist nicht gleich Malware!

Henyou · 14.01.2005, 16:08

Zu überprüfende Datei: winoi32.exe

winoi32.exe Infiziert: Backdoor.Win32.Small.dc

Zu überprüfende Datei: winmy32.exe

winmy32.exe Infiziert: Trojan-Downloader.Win32.Agent.ap

die netcc32.dll hab ich scho gelöscht

Shadowdance · 14.01.2005, 17:19

@ Henyou

scanne Deinen Rechner bitte online mit dem Trend Micro house call und teile uns das Ergebnis der Überprüfung mit.

Hilfe hab Home Search drauf

Plagegeister aller Art und deren Bekämpfung: Hilfe hab Home Search drauf