Mein Mitbewohner, der noch mit dem IE surft (schnüff), hat glaub ich auch son paar hijacker u.ä. wollte mal frage ob da hopfen und malz schon verloren sind oder ob da noch was geht, weil hab kein bock dem neues system aufzusetzen. naja hier das logfile :

Code: Alles auswählenAufklappen

ATTFilter

Logfile of HijackThis v1.99.0
Scan saved at 21:52:44, on 31.01.2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\LTSMMSG.exe
C:\Programme\RF Wireless Device\cm20.exe
C:\Programme\RF Wireless Device\ktrexe.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\DownloadWare\dw.exe
C:\Program Files\Internet Optimizer\optimize.exe
C:\WINDOWS\System32\sgwrdlk.exe
C:\Programme\NaviSearch\bin\nls.exe
C:\programme\180solutions\msbb.exe
C:\program files\dialers\dluxde\dluxde.exe
C:\Programme\Winamp2.9\Winampa.exe
C:\Program Files\Internet Optimizer\actalert.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\QuickTime\qttask.exe
C:\Program Files\Internet Optimizer\actalert.exe
C:\Program Files\Cpspuq\Hael.exe
C:\Programme\CashBack\bin\cashback.exe
C:\Programme\BullsEye Network\bin\bargains.exe
C:\WINDOWS\System32\SahAgent.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
C:\Programme\Adobe\Photoshop 7.0\Photoshop.exe
C:\PROGRA~1\RECOMM~1\v15\rh.exe
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\Dokumente und Einstellungen\Tomek\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Tomek\LOKALE~1\Temp\sp.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.search-exe.com/nph-search.cgi?tcode=exesrch1&look=stmpl1&fw=
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Tomek\LOKALE~1\Temp\sp.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.search-exe.com/nph-search.cgi?tcode=exesrch1&look=stmpl1&fw=
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.search-exe.com/nph-search.cgi?tcode=exesrch1&look=stmpl1&fw=
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R3 - URLSearchHook: (no name) - _{20EC3D2D-33C1-4C9D-BC37-C2D500688DA2} - (no file)
R3 - URLSearchHook: (no name) - {20EC3D2D-33C1-4C9D-BC37-C2D500688DA2} - C:\Programme\TV Media\TvmBho.dll
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll
O2 - BHO: MxTargetObj Class - {0000607D-D204-42C7-8E46-216055BF9918} - C:\WINDOWS\mxTarget.dll
O2 - BHO: (no name) - {00041A26-7033-432C-94C7-6371DE343822} - (no file)
O2 - BHO: CExtension Object - {0019C3E2-DD48-4A6D-ABCD-8D32436323D9} - C:\WINDOWS\bxxs5.dll
O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\localNRD.dll
O2 - BHO: Recommended Hotfix - {0421701D-CF13-4E70-ADF0-45A953E7CB8B} - C:\Programme\Recommended Hotfix - 421701D\v15\RH.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {80603154-3287-B9A1-1DDE-9E9E0DC73157} - C:\WINDOWS\Fnuxtlyc.dll
O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINDOWS\wsem303.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\System32\nvms.dll
O2 - BHO: (no name) - {B3649768-5A9E-448F-8394-7F1B138795B9} - C:\WINDOWS\System32\pjjola.dll
O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\System32\mscb.dll
O2 - BHO: Url Catcher - {CE31A1F7-3D90-4874-8FBE-A5D97F8BC8F1} - C:\WINDOWS\System32\apuc.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Search - {70998586-CF93-3930-35D3-2C4CEE8B1862} - C:\WINDOWS\Fnuxtlyc.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [Start RF Wireless Mouse] C:\Programme\RF Wireless Device\cm20.exe
O4 - HKLM\..\Run: [Start RF Wireless Keyboard] C:\Programme\RF Wireless Device\ktrexe.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [bxxs5] RunDLL32.EXE C:\WINDOWS\bxxs5.dll,DllRun
O4 - HKLM\..\Run: [DownloadWare] "C:\Programme\DownloadWare\dw.exe" /H
O4 - HKLM\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [qurzqooeobysf] C:\WINDOWS\System32\sgwrdlk.exe
O4 - HKLM\..\Run: [conscorr] C:\WINDOWS\conscorr.exe
O4 - HKLM\..\Run: [NaviSearch] C:\Programme\NaviSearch\bin\nls.exe
O4 - HKLM\..\Run: [msbb] c:\programme\180solutions\msbb.exe
O4 - HKLM\..\Run: [Power Scan] C:\Programme\Power Scan\powerscan.exe
O4 - HKLM\..\Run: [zut] C:\WINDOWS\zut.exe
O4 - HKLM\..\Run: [DLuxde] c:\program files\dialers\dluxde\dluxde.exe /nocomm
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp2.9\Winampa.exe"
O4 - HKLM\..\Run: [Search-Exe] "C:\Programme\se\v11\se.EXE" /H
O4 - HKLM\..\Run: [satmat] C:\WINDOWS\satmat.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Qgygquw] C:\Program Files\Cpspuq\Hael.exe
O4 - HKLM\..\Run: [CashBack] C:\Programme\CashBack\bin\cashback.exe
O4 - HKLM\..\Run: [BullsEye Network] C:\Programme\BullsEye Network\bin\bargains.exe
O4 - HKLM\..\Run: [SAHAgent] C:\WINDOWS\System32\SahAgent.exe
O4 - HKLM\..\Run: [ZFOABOUR] c:\windows\system32\zfoabour.exe /install
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = ?
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540006} (CInstall Class) - http://www.errorguard.com/installation/Install.cab
         

war wohl zu groß für eure datenbank, hier gehts weiter:

Code: Alles auswählenAufklappen

ATTFilter

O17 - HKLM\System\CCS\Services\Tcpip\..\{557B02E0-9763-4EF9-8F0F-44C368959705}: NameServer = 145.253.2.11,145.253.2.75
O18 - Filter: text/html - {E7E14824-0CE2-4CEF-9751-15EA2D7A00A1} - C:\WINDOWS\System32\pjjola.dll
O18 - Filter: text/plain - {E7E14824-0CE2-4CEF-9751-15EA2D7A00A1} - C:\WINDOWS\System32\pjjola.dll
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: ISEXEng - Unknown - C:\WINDOWS\System32\angelex.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe
         

zu diesem log muss ich glaubich net mehr wissen, außer ein escan ergebnis. ich kann mir vorstellen, auf welche seite du mit dem ie gekommen bist; auf ne fakesite von google angezeigt

1.escan
-lade dir escan runter und gehe genau nach dieser anleitung vor (alles im abgesicherten modus ab da bitte)

2.einträge löschen
-fixe mit HijackThis diese einträge:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Tomek\LOKALE~1\Temp\sp.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.search-exe.com/nph-sea...ook=stmpl1&fw=
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Tomek\LOKALE~1\Temp\sp.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.search-exe.com/nph-sea...ook=stmpl1&fw=
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.search-exe.com/nph-sea...ook=stmpl1&fw=
R3 - URLSearchHook: (no name) - _{20EC3D2D-33C1-4C9D-BC37-C2D500688DA2} - (no file)
R3 - URLSearchHook: (no name) - {20EC3D2D-33C1-4C9D-BC37-C2D500688DA2} - C:\Programme\TV Media\TvmBho.dll
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll
O2 - BHO: MxTargetObj Class - {0000607D-D204-42C7-8E46-216055BF9918} - C:\WINDOWS\mxTarget.dll
O2 - BHO: (no name) - {00041A26-7033-432C-94C7-6371DE343822} - (no file)
O2 - BHO: CExtension Object - {0019C3E2-DD48-4A6D-ABCD-8D32436323D9} - C:\WINDOWS\bxxs5.dll
O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\localNRD.dll
O2 - BHO: Recommended Hotfix - {0421701D-CF13-4E70-ADF0-45A953E7CB8B} - C:\Programme\Recommended Hotfix - 421701D\v15\RH.DLL
O2 - BHO: (no name) - {80603154-3287-B9A1-1DDE-9E9E0DC73157} - C:\WINDOWS\Fnuxtlyc.dll
O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINDOWS\wsem303.dll
O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\System32\nvms.dll
O2 - BHO: (no name) - {B3649768-5A9E-448F-8394-7F1B138795B9} - C:\WINDOWS\System32\pjjola.dll
O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\System32\mscb.dll
O2 - BHO: Url Catcher - {CE31A1F7-3D90-4874-8FBE-A5D97F8BC8F1} - C:\WINDOWS\System32\apuc.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll
O3 - Toolbar: Search - {70998586-CF93-3930-35D3-2C4CEE8B1862} - C:\WINDOWS\Fnuxtlyc.dll
O4 - HKLM\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [qurzqooeobysf] C:\WINDOWS\System32\sgwrdlk.exe
O4 - HKLM\..\Run: [conscorr] C:\WINDOWS\conscorr.exe
O4 - HKLM\..\Run: [NaviSearch] C:\Programme\NaviSearch\bin\nls.exe
O4 - HKLM\..\Run: [msbb] c:\programme\180solutions\msbb.exe
O4 - HKLM\..\Run: [Power Scan] C:\Programme\Power Scan\powerscan.exe
O4 - HKLM\..\Run: [zut] C:\WINDOWS\zut.exe
O4 - HKLM\..\Run: [DLuxde] c:\program files\dialers\dluxde\dluxde.exe /nocomm
O4 - HKLM\..\Run: [Search-Exe] "C:\Programme\se\v11\se.EXE" /H
O4 - HKLM\..\Run: [satmat] C:\WINDOWS\satmat.exe
O4 - HKLM\..\Run: [Qgygquw] C:\Program Files\Cpspuq\Hael.exe
O4 - HKLM\..\Run: [CashBack] C:\Programme\CashBack\bin\cashback.exe
O4 - HKLM\..\Run: [BullsEye Network] C:\Programme\BullsEye Network\bin\bargains.exe
O4 - HKLM\..\Run: [SAHAgent] C:\WINDOWS\System32\SahAgent.exe
O4 - HKLM\..\Run: [ZFOABOUR] c:\windows\system32\zfoabour.exe /install
O4 - HKCU\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540006} (CInstall Class) - http://www.errorguard.com/installation/Install.cab
O18 - Filter: text/html - {E7E14824-0CE2-4CEF-9751-15EA2D7A00A1} - C:\WINDOWS\System32\pjjola.dll
O18 - Filter: text/plain - {E7E14824-0CE2-4CEF-9751-15EA2D7A00A1} - C:\WINDOWS\System32\pjjola.dll
O23 - Service: ISEXEng - Unknown - C:\WINDOWS\System32\angelex.exe


-mach auch das was dort steht um die O15-Einträge zu löschen.

3.dateien löschen
-lösche die dateien angelex.exe, SahAgent.exe, zfoabour.exe, pjjola.dll, msbe.dll, mscb.dll und nvms.dll im ordner c:\windows\system32
-lösche die dateien conscorr.exe, zut.exe und bxxs5.dll im ordner c:\windows
-lösche die ordner C:\Programme\CashBack\, C:\Program Files\Cpspuq\, C:\Programme\TV Media\, C:\Programme\NaviSearch\, C:\Programme\se\, c:\programme\180solutions\, C:\Program Files\Internet Optimizer\ und C:\Programme\Recommended Hotfix - 421701D\
-lösche natürlich auch alle von escan beanstandeten dateien (alle infected)
(falls die dateien nicht angezeigt werden gehe so vor:
klicke auf extras, dann auf ordneroptionen
klicke auf ansicht
mach den haken bei "geschützte systemdateien ausblenden" weg
mach nen haken bei "inhalte von systemordnern anzeigen" hin
selektiere "alle dateien und ordner anzeigen")

4.ergebnisse
-gehe wieder in den normalen modus
-öffne die datei mwav.log,klicke auf bearbeiten dann auf suchen
-gebe infected ein
-suche weiter,markiere die treffer und kopiere sie ins forum
-poste ein neues HijackThis log

--------------------------------------------------------------------------
aber und nun kommt mein einwand bei dieser meiner gerade genannten methode...
willst du wirklich so viel aufwand betreiben, die spyware,adware,trojaner und foistware zu entfernen?
es wäre einfacher windows neu zu installieren und diese Anleitung zu beachten, als das oben genannte auszuführen.

super danke für die schnelle antwort, also iss der PC von meinem mitbewohner, er will halt noch seine "Projekte" fertig machen, bevor er Win neumachen will weil er auch noch viele progs benutzt, die er von seiner schule bekommen hat, und an die er jetzt nicht mehr so einfach drannkommt.
So halbwegs funzt der rechner auch noch, es iss eher der IE der total abkackt, aber ich hab ihm Firefox installiert, muss er halt solange mal auf den umsteigen, und dann helf ich ihm mal beim sicheren system aufsetzen

MFG Beatnukem

@ chris
@beatnukem
Der Kollege hat einen Sony Vaio Rechner; die O15 Einträge könnt ihr lassen; ihr könnt sie aber auch ohne die Prozedur in den Internetoptionen löschen.