Morgen
Ja die müsste komplett sein
von ner ignore liste weiß ich nichts...

dann hab ich heute nach dem boten noch mal nen log erstellt..

Logfile of HijackThis v1.97.7
Scan saved at 08:11:44, on 16.04.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\brss01a.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Dokumente und Einstellungen\trainer2\Desktop\spy\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\cngcdla.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\cngcdla.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\cngcdla.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\cngcdla.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\cngcdla.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\cngcdla.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {8BC7053C-386D-4FA9-B709-9F08D512BF4B} - C:\WINDOWS\System32\cngcdla.dll
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot

das da dieses wäre.

Hallo Trainer,


</font><blockquote>Zitat:</font><hr />Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)</font>[/QUOTE]Nur vorsichtshalber gefragt: Es gibt jetzt keine 'wichtigen' Updates von MS, die Dir noch fehlen?

</font><blockquote>Zitat:</font><hr />
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\System32\brss01a.exe
</font>[/QUOTE]Diese Dateien sagen mir so gar nichts (das muss natürlich nichts heißen, ich kenne ja auch nicht alles!) Aber überprüf die beiden doch mal bei Kaspersky http://www.kaspersky.com/de/remoteviruschk.html


</font><blockquote>Zitat:</font><hr />
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\cngcdla.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\cngcdla.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\cngcdla.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\cngcdla.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\cngcdla.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\cngcdla.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

O2 - BHO: (no name) - {8BC7053C-386D-4FA9-B709-9F08D512BF4B} - C:\WINDOWS\System32\cngcdla.dll
</font>[/QUOTE]Muss alles gefixt werden. Aber wie Du schreibst kommen die Einträge immer wieder?!? Wobei der Datei-Name cngcdla.dll neu ist. Diese Datei (sofern vorhanden solltest Du auch mal bei Kaspersky überprüfen.)

Hast Du den Temp-Ordner des IE mal gelöscht??

Du kannst auch mal den SpywareBlaster ausprobieren:
http://www.javacoolsoftware.com/spywareblaster.html

Vielleicht findet der noch etwas...

Gruß,
Lutz

</font><blockquote>Zitat:</font><hr />Original erstellt von TrainerTh:
Morgen
Ja die müsste komplett sein
von ner ignore liste weiß ich nichts...
</font>[/QUOTE]Bei Systemstart wird z.B. entbehrlicher MS-Müll gestartet (von Works und Office) der MUSS Einträge hinterlassen, außer es wird anschließen wieder geschloßen!

Benutzt du irgend so einen Windows-Tuner?

</font><blockquote>Zitat:</font><hr />Original erstellt von TrainerTh:

C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\System32\brss01a.exe
</font>[/QUOTE]Könnte von Brother stammen, Überprüfung bei Kaspersky schadet aber sicher nicht!
Such mal die Dateien, mache rechten Mausklick =&gt; Eigenschaften und lasse dir Hersteller etc.. anzeigen

Hatte mal tuneup drauf, (mist)
Die zwei dateien sin vom Brother drucker,
ich versteh nur nich diese .dll zb..
C:\WINDOWS\System32\cngcdla.dll
hab ich immer wieder drinnen nur jeden tag mit nem anderen namen.

Noch 'ne Nachfrage:

Wenn Du mit HijackThis fixt, sind dann alle Instanzen des IE (und evtl. Outlook), sowie des Explorers geschlossen??

Wenn nein, bitte noch einmal fixen, wobei dann alle anderen Anwendungen geschlossen sein sollten.

Und noch etwas:
Findest Du die Datei C:\WINDOWS\System32\cngcdla.dll bei einer Suche auf deinem Rechner?

Gruß,
Lutz

Ist tuneup GANZ SICHER deinstalliert?

Ist IMHO nämlich ein echter Schrott, statt unerwünschte Programme gleich nicht zu starten, wird damit nach dem Start der Programme diese wieder beendet. Absoluter Schwachsinn

Ja tuneup ist def. weg
und ja die *.dll find ich auch jedesmal im /system32 aber wie gesagt ich lösch die dann von hand und dann kommen sie unter anderen namen wieder [img]graemlins/pfui.gif[/img]

So un das is nun noch nen log
nicht neu gestartet..
nichts installiert oder deinstalled..


Logfile of HijackThis v1.97.7
Scan saved at 12:01:31, on 16.04.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\brss01a.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\ICQLite\ICQLite.exe
C:\xampp\mysql\bin\mysqld.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ntvdm.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\trainer2\Desktop\spy\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\ciljo.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\ciljo.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\ciljo.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\ciljo.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\ciljo.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\ciljo.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {EF209864-99A9-4C19-8811-B7CDCC3E8EF9} - C:\WINDOWS\System32\ciljo.dll

un ne neue *.dll jefunden
ich brech noch ab bei dem scheiss dingen [img]graemlins/heulen.gif[/img]

also ich mein die *.dll´s muessen doch von irgendwem/was was mir das da immer wieder ins sys32 schreibt

Lade mal herunter:
http://www.spywareinfo.com/~merijn/f...tartupList.exe

speichere es zum Beispiel im Ordner c:\antispy

öffne die Eingabeaufforderung und schreibe dort hinein:
c:\antispy\sturtuplist
Entertaste drücken

die in diesem Verzeichnis erstellte Datei Startuplist.txt posten


ganz viele Daten bekommt man so:
c:\antispy\sturtuplist /verbose /full /complete /forceall
Entertaste drücken

wenn du irgendwo eigenen Webspace hast vielleicht eher dort reinstellen, diese Startuplist.txt kann recht sehr(!) länglich werden

Aber poste mal die erste Version, vielleicht sieht man da schon was nettes, Einzelvarianten kann man ja nachfordern

gut gut ich hab das mal getan

StartupList report, 16.04.2004, 12:54:15
StartupList version: 1.52
Started from : c:\antispy\StartupList.EXE
Detected: Windows XP SP1 (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)
* Using default options
==================================================

Running processes:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\brss01a.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\ICQLite\ICQLite.exe
C:\xampp\mysql\bin\mysqld.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ntvdm.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\System32\cmd.exe
C:\xampp\apache\bin\Apache.exe
C:\xampp\apache\bin\Apache.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cmd.exe
c:\antispy\StartupList.exe

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=C:\WINDOWS\System32\logon.scr
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry key not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------


Enumerating Browser Helper Objects:

(no name) - C:\WINDOWS\System32\ciljo.dll (file missing) - {66662E19-2178-479A-9FE2-0AE0E8C526F5}

--------------------------------------------------

Enumerating Task Scheduler jobs:

1-Klick-Wartung.job

--------------------------------------------------

Enumerating Windows NT logon/logoff scripts:
*No scripts set to run*

Windows NT checkdisk command:
BootExecute = autocheck autochk *

Windows NT 'Wininit.ini':
PendingFileRenameOperations: C:\DOKUME~1\trainer2\LOKALE~1\Temp\A~NSISu_.exe&#0124;&#0124;C:\DOKUME~1\trainer2\LOKALE~1\Temp\_iu14D2N.tmp


--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
CDBurn: C:\WINDOWS\system32\SHELL32.dll
WebCheck: C:\WINDOWS\System32\webcheck.dll
SysTray: C:\WINDOWS\System32\stobject.dll

--------------------------------------------------
End of report, 3.387 bytes
Report generated in 0,231 seconds

Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only

ich seh nu nichts bzw versteh dat nich

was ist der 1-Click-Wartung.job ? Was steht da drin!

Der mist kommt doch von Tune-Up oder!

Das hier:
</font><blockquote>Zitat:</font><hr /> Windows NT 'Wininit.ini':
PendingFileRenameOperations: C:\DOKUME~1\trainer2\LOKALE~1\Temp\A~NSISu_.exe&#0124;&#0124;C:\DOKUME~1\trainer2\LOKALE~1\Temp\_iu14D2N.tmp</font>[/QUOTE]solltest Du Dir mal genauer anschauen!

Kannst Du die Dateien umbenennen zum Beispiel in *.OLD
Ich mag mich natürlich irren, aber den Eintrag finde ich schon verdächtig...

Und noch eine Frage:
Der Apache-Webserver läuft bewusst?

Gruß,
Lutz

Diese
Windows NT 'Wininit.ini':
PendingFileRenameOperations: C:\DOKUME~1\trainer2\LOKALE~1\Temp\A~NSISu_.exe&#0124;&#0124;C:\DOKUME~1\trainer2\LOKALE~1\Temp\_iu14D2N.tmp

finde ich überhaupt nich

der apaache is zu dem zeit punkt mit absicht gelaufen

zu
</font><blockquote>Zitat:</font><hr />C:\DOKUME~1\trainer2\LOKALE~1\Temp\A~NSISu_.exe&#0124;&#0124;C:\DOKUME~1\trainer2\LOKALE~1\Temp\_iu14D2N.tmp</font>[/QUOTE]Pfad ist:
C:\Dokumente und Einstellungen\trainer2\Lokale Einstellungen\Temp\...

</font><blockquote>Zitat:</font><hr />Original erstellt von Shadow:
Pfad ist:
C:\Dokumente und Einstellungen\trainer2\Lokale Einstellungen\Temp\... </font>[/QUOTE]Danke für die Übersetzung! [img]graemlins/daumenhoch.gif[/img]
Auch wenn sich im anderen Thread zum gleichen (?) Hijacker ein anderer Trend abzeichnet, finde ich es schon verdächtig, dass ein Aufruf aus der Wininit.ini ins Temp geht...

Lutz