großes problem! ist wer da?

freshsurfer · 08.02.2005, 21:33

hallo
plag mich schon seit 2 tagen mit dem rum... das übliche , beim ie startseite blank und suchseite, hab schon alles mögliche probiert alle möglichen programme aber kommt immer wieder kriegs einfach nicht mehr weg..
wär schön wenn mir jemand nen tipp geben könnte... riesen dank im voraus

Logfile of HijackThis v1.99.0
Scan saved at 21:28:28, on 08.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Dassault Systemes\B10\intel_a\code\bin\CATSysDemon.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\sysyt.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\system32\javapv32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Dokumente und Einstellungen\Walter.HOME\Desktop\Programme\spyware schutz\hijackthis_199\HijackThis.exe
C:\Programme\Outlook Express\msimn.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\npfkf.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\npfkf.dll/sp.html#12345
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\npfkf.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\npfkf.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\npfkf.dll/sp.html#12345
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\npfkf.dll/sp.html#12345
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\npfkf.dll/sp.html#12345
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: (no name) - {B7A98462-DCAE-3EAB-3DD8-2CFD03210DA0} - C:\WINDOWS\system32\ipam.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\ycomp5_5_5_0.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [javapv32.exe] C:\WINDOWS\system32\javapv32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmes0521.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmes0521.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yaho...st20040510.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} (YAddBook Class) - http://us.dl1.yimg.com/download.yaho...tocomplete.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{81E093B2-B775-4543-94A3-673D31C2A734}: NameServer = 213.33.99.70,80.120.17.70
O23 - Service: Backbone Service - Dassault Systemes - C:\Programme\Dassault Systemes\B10\intel_a\code\bin\CATSysDemon.exe
O23 - Service: Macromedia Licensing Service - Unknown - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Network Security Service (NSS) - Unknown - C:\WINDOWS\system32\sysyt.exe

freshsurfer · 08.02.2005, 21:36

egal wie oft ich fixe sie kommen immer wieder? hab sie auch schon händisch im abgesicherten modus gelöscht aber keine chance?!?

chaosman · 08.02.2005, 21:39

@freshsurfer
lasse diese dateien
C:\WINDOWS\system32\sysyt.exe
C:\WINDOWS\system32\javapv32.exe
hier überprüfen
http://virusscan.jotti.org/de
und poste das ergebnis
chaosman

freshsurfer · 08.02.2005, 21:41

werd ich gleich nochmal machen danke
vor allem das zweite hätt ich eh schon mal gelöscht

freshsurfer · 08.02.2005, 21:44

Service load:
0% 100%
File: sysyt.exe
Status:
INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected:
PE-CRYPT.SQR, UPX

AntiVir
TR/StartPage.TJ (1.07 seconds taken)
Avast
No viruses found (4.62 seconds taken)
AVG Antivirus
No viruses found (2.29 seconds taken)
BitDefender
No viruses found (1.02 seconds taken)
ClamAV
No viruses found (1.03 seconds taken)
Dr.Web
BackDoor.Inpru (1.54 seconds taken)
F-Prot Antivirus
No viruses found (0.07 seconds taken)
Fortinet
No viruses found (1.39 seconds taken)
Kaspersky Anti-Virus
Backdoor.Win32.Small.dc (2.04 seconds taken)
mks_vir
No viruses found (1.07 seconds taken)
NOD32
No viruses found (2.16 seconds taken)
Norman Virus Control
No viruses found (3.83 seconds taken)

freshsurfer · 08.02.2005, 21:45

Service load:
0% 100%
File: javapv32.exe
Status:
INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected:
None

AntiVir
No viruses found (1.08 seconds taken)
Avast
No viruses found (3.31 seconds taken)
AVG Antivirus
No viruses found (3.63 seconds taken)
BitDefender
No viruses found (1.33 seconds taken)
ClamAV
No viruses found (1.70 seconds taken)
Dr.Web
No viruses found (1.23 seconds taken)
F-Prot Antivirus
No viruses found (0.17 seconds taken)
Fortinet
No viruses found (1.62 seconds taken)
Kaspersky Anti-Virus
Trojan-Downloader.Win32.Small.ajr (2.76 seconds taken)
mks_vir
Trojan.Downloader.Small.Ajr (0.94 seconds taken)
NOD32
No viruses found (1.60 seconds taken)
Norman Virus Control
No viruses found (4.42 seconds taken)

freshsurfer · 08.02.2005, 21:46

so da sind die beiden ergebnisse .. gehören alle beide weg, ist wohl gescheiter ich lösch die 2 auch im abgesicherten modus oder?

Chris14 · 08.02.2005, 21:47

du hast einen backdoor auf deinem system. dein system ist kompromittiert; es ist nicht mehr vertrauenswürdig. installiere windows neu und beachte diese Anleitung

~edit~ hab mich vom namen backdoor verleiten lassen, ist also falsch ~edit~

chaosman · 08.02.2005, 21:48

@freshsurfer
und der andere datei?
chaosman

freshsurfer · 08.02.2005, 21:48

gibt´s eigentlich ein programm dass diese dateien auch findet?
danke chaosman

freshsurfer · 08.02.2005, 21:50

@chris ... werd ich sowieso machen aber hätt gehofft es ist keiner und ich brauch´s nicht neu aufsetzen

chaosman · 08.02.2005, 21:50

@freshsurfer
wo bleibt der jotti auswertung vom
C:\WINDOWS\system32\javapv32.exe

chaosman

freshsurfer · 08.02.2005, 21:51

hab ich beide gepostet direkt übereinander

chaosman · 08.02.2005, 21:53

@freshsurfer
ich sehe nur eine in der auswertung
der 2e fehlt
poste es bitte
chaosman

freshsurfer · 08.02.2005, 21:53

@chris.. doch kein backdoor?

großes problem! ist wer da?

Log-Analyse und Auswertung: großes problem! ist wer da?