| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: greatsearch.bizWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
21.05.2004, 09:46
| #1 |
| |  greatsearch.biz Ich habe mir greatsearch.biz eingefangen und werde das Ding mit Ad-Aware, CWS, Spybot, AntiVir einfach nicht los. Die bisherigen Beiträge zum Thema hier im Forum waren für mich eher verwirrend. Da ich mich auch scheue, einfach .dll-Dateien zu löschen, von denen ich nicht einigermaßen sicher bin, dass sie mitverantwortlich für das Problem sind, möchte ich Euch noch einmal herzlich bitten, dass Ihr Euch die log-Datei von meinem System mal anseht: ogfile of HijackThis v1.97.7 Scan saved at 09:53:24, on 21.05.2004 Platform: Windows 2000 SP2 (WinNT 5.00.2195) MSIE: Internet Explorer v5.51 SP2 (5.51.4807.2300) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINNT\System32\CTSvcCDA.exe C:\WINNT\System32\svchost.exe C:\WINNT\System32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\Explorer.EXE C:\Programme\Creative\ShareDLL\CtNotify.exe C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe C:\Programme\ahead\InCD\InCD.exe C:\Programme\Creative\ShareDLL\MediaDet.Exe C:\Programme\Real\RealPlayer\RealPlay.exe C:\T-ONLINE\BSW4\ToADiMon.exe C:\WINNT\loadqm.exe C:\Programme\QuickTime\qttask.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINNT\system32\internat.exe C:\Programme\mozilla.org\Mozilla\Mozilla.exe C:\WINNT\system32\RUNDLL32.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe C:\Programme\WinZip\WZQKPICK.EXE C:\WINNT\system32\ntvdm.exe C:\T-ONLINE\BSW4\ToDuCAlC.EXE C:\Dokumente und Einstellungen\Robert1\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://greatsearch.biz/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://greatsearch.biz/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://greatsearch.biz/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://greatsearch.biz/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://greatsearch.biz/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://greatsearch.biz/ O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers O4 - HKLM\..\Run: [Disc Detector] C:\Programme\Creative\ShareDLL\CtNotify.exe O4 - HKLM\..\Run: [Register MediaRing Talk] C:\Programme\MediaRing Talk\register.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe" O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Programme\ahead\InCD\InCD.exe O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\winampa.exe" O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [ToADiMon.exe] C:\T-ONLINE\BSW4\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [LoadQM] loadqm.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [Microsoft Internet Explorer] C:\WINNT\system32\IEXPLORE.EXE O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\mozilla.org\Mozilla\Mozilla.exe" -turbo O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [System Update] C:\WINNT\System\explorer.exe O4 - HKCU\..\Run: [MSMSGS] C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [window.exe] C:\WINNT\System32\window.exe O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O9 - Extra button: Real.com (HKLM) O16 - DPF: HushEncryptionEngine - https://mailserver2.hushmail.com/sha...tionEngine.cab O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab O16 - DPF: {A8658086-E6AC-4957-BC8E-7D54A7E8A78E} (SassCln Object) - http://www.microsoft.com/security/controls/SassCln.CAB O17 - HKLM\System\CCS\Services\Tcpip\..\{3F293CEE-0D0C-40F9-AC08-95F19BC3B854}: NameServer = 217.237.150.225 194.25.2.129 Und diese Datei hier erstellt mir CWS: Windows 2000 (5.00.2195 SP2) Windows dir: C:\WINNT Windows system dir: C:\WINNT\system32 AppData folder: C:\Dokumente und Einstellungen\Robert1\Anwendungsdaten Username: Robert1 Found Hosts file: C:\WINNT\system32\drivers\etc\hosts (24 bytes, R) Shell Registry value: HKLM\..\WinLogon [Shell] Explorer.exe UserInit Registry value: HKLM\..\WinLogon [UserInit] C:\WINNT\system32\userinit.exe, CWS.Oslogo (if value is 2) Registry value: Domains: *.coolwebsearch.com[*] dword:4 CWS.Oslogo (if value is 2) Registry value: Domains: *.coolwwwsearch.com[*] dword:4 CWS.Googlems.2 (if value is 2) Registry value: Domains: *.xxxtoolbar.com[*] dword:4 CWS.Googlems.4 (if value is 2) Registry value: Domains: *.teensguru.com[*] dword:4 Registry value: DefaultPrefix (should be http://) [] http:// Registry value: WWW Prefix (should be http://) [www] http:// Registry value: Mosaic Prefix (should be http://) [mosaic] http:// Registry value: Home Prefix (should be http://) [home] http:// Found Win.ini file: C:\WINNT\win.ini (1569 bytes, A) Found System.ini file: C:\WINNT\system.ini (295 bytes, A) Kann mir bitte jemand helfen? P.S.: Aus Schaden wird man klug. Ich werde ab sofort nur noch Mozilla benutzen. |
|
21.05.2004, 12:14
| #2 |
  | greatsearch.biz Hallo Rudi und Willkommen im Board,
__________________mach bitte folgendes: 1.)Überprüfe die folgenden Dateien online bei Kaspersky -> http://www.kaspersky.com/de/scanforvirus.html </font><blockquote>Zitat:</font><hr />O4 - HKCU\..\Run: [System Update] C:\WINNT\System\explorer.exe O4 - HKCU\..\Run: [window.exe] C:\WINNT\System32\window.exe O4 - HKLM\..\Run: [Microsoft Internet Explorer] C:\WINNT\system32\IEXPLORE.EXE</font>[/QUOTE]Imho haben die Dateien im System(32)-Ordner nichts zu suchen... Wenn Kaspersky etwas findet, lösche die Dateien. 2.) Starte Deinen Rechner im abgesicherten Modus -> http://www.trojaner-board.de/63335-w...s-starten.html 3.) Starte den CWShredder erneut. Diese Mal bitte auf 'Fix ->' klicken und nicht nur auf 'Scan only'. 4.) Starte HijackThis erneut und fixe -sofern noch vorhanden- folgende Einträge: </font><blockquote>Zitat:</font><hr />R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://greatsearch.biz/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://greatsearch.biz/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://greatsearch.biz/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://greatsearch.biz/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = h**p://greatsearch.biz/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = h**p://greatsearch.biz/ </font>[/QUOTE]Starte Deinen Rechner anschließend im 'normalen' Modus und erstelle ein neues Log mit HijackThis. Auf jeden Fall solltest Du mal dein Windwos und Deinen Internet-Explorer aktualisieren ( http://windowsupdate.microsoft.com/ ), auch wenn Du letzteren nicht mehr benutzen willst.
__________________ |
|
21.05.2004, 13:39
| #3 |
| | greatsearch.biz Hallo Lutz,
__________________erst einmal vielen Dank, dass Du Dich meines Problems angenommen hast. Also: Ich habe alles gemacht, was Du mir geraten hast bzw. habe es versucht. Die drei Dateien (explorer.exe, window.exe, iexplore.exe) werden - nachdem ich den Ordner WINNT und den Unterordner "System" bzw. "System32" geöffnet habe - gar nicht angezeigt! Wie komme ich trotzdem daran? Dann weiter: Habe im abgesicherten Modus das System hochgefahren und anschließend mit HijackThis die ganzen "greatsearch.biz" EInträge gefixt. Aber: Nach dem Neustart sind sie alle wieder vorhanden. Hier das neue Log: Logfile of HijackThis v1.97.7 Scan saved at 14:36:09, on 21.05.2004 Platform: Windows 2000 SP2 (WinNT 5.00.2195) MSIE: Internet Explorer v5.51 SP2 (5.51.4807.2300) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINNT\System32\CTSvcCDA.exe C:\WINNT\System32\svchost.exe C:\WINNT\System32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\Explorer.EXE C:\Programme\Creative\ShareDLL\CtNotify.exe C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe C:\Programme\ahead\InCD\InCD.exe C:\Programme\Real\RealPlayer\RealPlay.exe C:\T-ONLINE\BSW4\ToADiMon.exe C:\Programme\Creative\ShareDLL\MediaDet.Exe C:\WINNT\loadqm.exe C:\Programme\QuickTime\qttask.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINNT\system32\internat.exe C:\WINNT\system32\RUNDLL32.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe C:\Programme\WinZip\WZQKPICK.EXE C:\WINNT\system32\ntvdm.exe C:\PROGRA~1\mozilla.org\Mozilla\Mozilla.exe C:\Programme\Windows Media Player\logagent.exe C:\WINNT\msagent\agentsvr.exe C:\T-ONLINE\BSW4\ToDuCAlC.EXE C:\Dokumente und Einstellungen\Robert1\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://greatsearch.biz/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://greatsearch.biz/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://greatsearch.biz/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://greatsearch.biz/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://greatsearch.biz/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://greatsearch.biz/ O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers O4 - HKLM\..\Run: [Disc Detector] C:\Programme\Creative\ShareDLL\CtNotify.exe O4 - HKLM\..\Run: [Register MediaRing Talk] C:\Programme\MediaRing Talk\register.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe" O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Programme\ahead\InCD\InCD.exe O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\winampa.exe" O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [ToADiMon.exe] C:\T-ONLINE\BSW4\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [LoadQM] loadqm.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [Microsoft Internet Explorer] C:\WINNT\system32\IEXPLORE.EXE O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\mozilla.org\Mozilla\Mozilla.exe" -turbo O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [System Update] C:\WINNT\System\explorer.exe O4 - HKCU\..\Run: [MSMSGS] C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [window.exe] C:\WINNT\System32\window.exe O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O9 - Extra button: Real.com (HKLM) O16 - DPF: HushEncryptionEngine - https://mailserver2.hushmail.com/sha...tionEngine.cab O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab O16 - DPF: {A8658086-E6AC-4957-BC8E-7D54A7E8A78E} (SassCln Object) - http://www.microsoft.com/security/controls/SassCln.CAB O17 - HKLM\System\CCS\Services\Tcpip\..\{3F293CEE-0D0C-40F9-AC08-95F19BC3B854}: NameServer = 217.237.150.225 194.25.2.129 Der letzte EIntrag ("CCS") deutet ja wohl auch noch auf dieses verdammte CoolWebsearch hin, oder? Hast Du trotzdem noch eine Idee, was zu tun ist? |
|
21.05.2004, 14:43
| #4 |
 | greatsearch.biz guckst du hier da is das greatsearch.biz problem schon mal beschrieben.. die lösung dazu hat andreas gepostet mit einem link zu einem anderen forum den kann ich auch grad nomam posten hier : http://computercops.biz/modules.php?...topic&p=133970 </font><blockquote>Zitat:</font><hr /> Der letzte EIntrag ("CCS") deutet ja wohl auch noch auf dieses verdammte CoolWebsearch hin, oder? Hast Du trotzdem noch eine Idee, was zu tun ist? </font>[/QUOTE]imho sind das t-online bzw telekom ips also nichts "verdächtiges" es sei denn du bist nicht bei der telekom/t-online </font><blockquote>Zitat:</font><hr />Die drei Dateien (explorer.exe, window.exe, iexplore.exe) werden - nachdem ich den Ordner WINNT und den Unterordner "System" bzw. "System32" geöffnet habe - gar nicht angezeigt! Wie komme ich trotzdem daran? </font>[/QUOTE]explorer öffnen->extras->ordneroptionen->ansicht hier musst du nun 1 option deaktivieren: "Geschützte Systemdateien ausblenden" und etwas weiter unten "Alle Dateien und Ordner anzeigen" aktivieren dann solltest du die dateien sehen und überprüfen können überprüf die dateien dann mal und probier mal den lösungsvorschlag aus der müsste funktionieren. Soweit Thomas
__________________ Die Suchfunktion des Boards |
|
21.05.2004, 15:06
| #5 |
| | greatsearch.biz Alternativ bzw. zusätzlich zum Thomas' Vorschlag kannst Du hier noch das Tool Free eScan Antivirus Toolkit Utility herunterladen und im abgesicherten Modus scannen lassen. Wenn Du Glück hast, findet dieser Scanner etwas... Scheinbar haben wir wieder eine neu 'superstealthe' Variante eines Hijackers.... [img]graemlins/pfui.gif[/img] [img]graemlins/koch.gif[/img] Ich schau mich mal ein bisschen um - kann aber gut sein, dass ich vor Sonntag nichts 'anzubieten' habe, da ich gleich und morgen unterwegs bin...
__________________ Gruß, Lutz *** "Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann) |
|
21.05.2004, 15:40
| #6 |
| | greatsearch.biz Hallo Rudi, noch eine Idee: Geh mal bitte auf diese Seite http://www.trojaner-info.de/anleitun...llow_page.html und lade den Prozess-Viewer von zerosrealm.com herunter. Führe dann bitte Punkt 3 aus und poste hier das Ergebnis. Vielleicht sehen wir dann mehr...
__________________ --> greatsearch.biz |
|
21.05.2004, 17:12
| #7 |
| | greatsearch.biz Vielen Dank für die Tipps. Ich werde das jetzt alles ausprobieren und melde später, ob es geklappt hat... Gruß |
|
21.05.2004, 17:47
| #8 |
| | greatsearch.biz HURRAAAA!!!! Ich habe das Ding gekillt!!! Vielen Dank noch mal an Euch alle. Falls es für andere Nutzer interessant ist, hier noch mal kurz wie ich es gemacht habe: Ich habe in WINNT/system32 die Dateien nach Datum sortiert. Gestern, also am 20.5.04, habe ich mir greatsearch.biz eingefangen. Dann habe ich alle Dateien mit Entstehungsdatum vom 20.05.04 bei Kaspersky prüfen lassen. Die Datei WINNT/system32/system32.dll war laut Kaspersky ein Trojaner! Dann bin ich in den abgesicherten Modus und habe mit HijackThis die greatsearch.biz-Kästchen abgehakt und gefixt und die besagte system32.dll-Datei gelöscht. Dann Neustart und bingo! Alles wieder einwandfrei. Allerdings - eine Merkwürdigkeit bleibt. Ich habe die Option "versteckte Dateien anzeigen" (oder so ähnlich) im Explorer ausgewählt. Und dennoch hat er mir die drei Dateien (explorer.exe, window.exe und EXPLORE.exe) NICHT angezeigt. Komisch... Na ja, jedenfalls ist der Explorer jetzt vom Hijacker befreit. Vielen Dank noch einmal für die Hilfe! |
|
21.05.2004, 19:06
| #9 |
| | greatsearch.biz </font><blockquote>Zitat:</font><hr /> Allerdings - eine Merkwürdigkeit bleibt. Ich habe die Option "versteckte Dateien anzeigen" (oder so ähnlich) im Explorer ausgewählt. Und dennoch hat er mir die drei Dateien (explorer.exe, window.exe und EXPLORE.exe) NICHT angezeigt. Komisch... </font>[/QUOTE]Machst Du bitte noch mal ein Scan mit HijackThis. Lt. Deinem ersten Log waren die 3 Dateien nicht aktiv. So könnte es sein, dass es sich um Überreste in der Registry handelt. Die O4-Einträge sind nämlich Autostartaufrufe aus der Registry. Vergleiche auch hier: http://www.trojaner-board.de/51130-a...ijackthis.html
__________________ Gruß, Lutz *** "Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann) |
|
21.05.2004, 20:40
| #10 |
| | greatsearch.biz OK, hab noch mal den Scan durchgeführt. Hier das Ergebnis: Logfile of HijackThis v1.97.7 Scan saved at 21:37:11, on 21.05.2004 Platform: Windows 2000 SP2 (WinNT 5.00.2195) MSIE: Internet Explorer v5.51 SP2 (5.51.4807.2300) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINNT\System32\CTSvcCDA.exe C:\WINNT\System32\svchost.exe C:\WINNT\System32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\Programme\Creative\ShareDLL\CtNotify.exe C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe C:\Programme\ahead\InCD\InCD.exe C:\Programme\Real\RealPlayer\RealPlay.exe C:\Programme\Creative\ShareDLL\MediaDet.Exe C:\T-ONLINE\BSW4\ToADiMon.exe C:\Programme\QuickTime\qttask.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINNT\system32\internat.exe C:\WINNT\system32\RUNDLL32.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe C:\Programme\WinZip\WZQKPICK.EXE C:\WINNT\system32\ntvdm.exe C:\T-ONLINE\BSW4\ToDuCAlC.EXE C:\PROGRA~1\mozilla.org\Mozilla\Mozilla.exe C:\PROGRA~1\INTERN~1\IEXPLORE.EXE C:\Dokumente und Einstellungen\Robert1\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers O4 - HKLM\..\Run: [Disc Detector] C:\Programme\Creative\ShareDLL\CtNotify.exe O4 - HKLM\..\Run: [Register MediaRing Talk] C:\Programme\MediaRing Talk\register.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe" O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Programme\ahead\InCD\InCD.exe O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\winampa.exe" O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [ToADiMon.exe] C:\T-ONLINE\BSW4\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [LoadQM] loadqm.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [Microsoft Internet Explorer] C:\WINNT\system32\IEXPLORE.EXE O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\mozilla.org\Mozilla\Mozilla.exe" -turbo O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [System Update] C:\WINNT\System\explorer.exe O4 - HKCU\..\Run: [MSMSGS] C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [window.exe] C:\WINNT\System32\window.exe O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O9 - Extra button: Real.com (HKLM) O16 - DPF: HushEncryptionEngine - https://mailserver2.hushmail.com/sha...tionEngine.cab O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...128.4539236111 O16 - DPF: {A8658086-E6AC-4957-BC8E-7D54A7E8A78E} (SassCln Object) - http://www.microsoft.com/security/controls/SassCln.CAB O17 - HKLM\System\CCS\Services\Tcpip\..\{3F293CEE-0D0C-40F9-AC08-95F19BC3B854}: NameServer = 217.237.150.225 194.25.2.129 |
|
21.05.2004, 21:11
| #11 |
| | greatsearch.biz Ich finde die Einträge nach wie vor verdächtig: </font><blockquote>Zitat:</font><hr />O4 - HKLM\..\Run: [Microsoft Internet Explorer] C:\WINNT\system32\IEXPLORE.EXE O4 - HKCU\..\Run: [System Update] C:\WINNT\System\explorer.exe O4 - HKCU\..\Run: [window.exe] C:\WINNT\System32\window.exe</font>[/QUOTE]Da die Dateien nicht in der Liste der ausgeführten Dateien im oberen Teil des Logs enthalten sind, gehe ich davon aus, dass es sich bei den Einträgen um Reste alter 'Infektionen' handelt. Folgendes habe ich auf http://www.sysinfo.org/startuplist.php gefunden: Microsoft Internet Explorer iexplore.exe Downloader trojan. Note! - this is not the valid iexplore.exe as the file is loacted in Program Files\MSIE and not Program Files\Internet Explorer Zu System32\window.exe und System\explorer.exe spuckt Google eine Menge aus, das nichts gutes verheißt. Du kannst ja mal selbst ein bisschen suchen... Ich an Deiner Stelle würde die Einträge mit HijackThis fixen. Anschließend mach mal ein Scan mit Free eScan Antivirus Toolkit Utility. Das Tool habe ich um 16:06 Uhr verlinkt. Vielleicht gibt das noch weitere Aufschlüsse...
__________________ Gruß, Lutz *** "Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann) |
|
21.05.2004, 21:35
| #12 |
| | greatsearch.biz Hallo Lutz, ich hab jetzt die besagten drei Dateien mit HijackThis gefixt. Danach habe ich noch mal den scan gemacht mit Free eScan Antivirus Toolkit Utility. Hier das Ergebnis: Fri May 21 22:31:19 2004 => ***** Scanning Memory Files ***** Fri May 21 22:31:19 2004 => Scanning File C:\WINNT\system32\services.exe Fri May 21 22:31:19 2004 => Scanning File C:\WINNT\system32\lsass.exe Fri May 21 22:31:19 2004 => Scanning File C:\WINNT\system32\svchost.exe Fri May 21 22:31:19 2004 => Scanning File C:\WINNT\system32\spoolsv.exe Fri May 21 22:31:19 2004 => Scanning File C:\Programme\AVPersonal\AVGUARD.EXE Fri May 21 22:31:19 2004 => Scanning File C:\Programme\AVPersonal\AVWUPSRV.EXE Fri May 21 22:31:19 2004 => Scanning File C:\WINNT\System32\CTSvcCDA.exe Fri May 21 22:31:19 2004 => Scanning File C:\WINNT\System32\svchost.exe Fri May 21 22:31:19 2004 => Scanning File C:\WINNT\System32\nvsvc32.exe Fri May 21 22:31:19 2004 => Scanning File C:\WINNT\system32\regsvc.exe Fri May 21 22:31:19 2004 => Scanning File C:\WINNT\system32\MSTask.exe Fri May 21 22:31:19 2004 => Scanning File C:\WINNT\system32\stisvc.exe Fri May 21 22:31:19 2004 => Scanning File C:\WINNT\System32\WBEM\WinMgmt.exe Fri May 21 22:31:19 2004 => Scanning File C:\WINNT\system32\svchost.exe Fri May 21 22:31:19 2004 => Scanning File C:\WINNT\Explorer.EXE Fri May 21 22:31:19 2004 => Scanning File C:\Programme\Creative\ShareDLL\CtNotify.exe Fri May 21 22:31:19 2004 => Scanning File C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe Fri May 21 22:31:20 2004 => Scanning File C:\Programme\ahead\InCD\InCD.exe Fri May 21 22:31:20 2004 => Scanning File C:\Programme\Real\RealPlayer\RealPlay.exe Fri May 21 22:31:20 2004 => Scanning File C:\T-ONLINE\BSW4\ToADiMon.exe Fri May 21 22:31:20 2004 => Scanning File C:\Programme\Creative\ShareDLL\MediaDet.Exe Fri May 21 22:31:20 2004 => Scanning File C:\Programme\QuickTime\qttask.exe Fri May 21 22:31:20 2004 => Scanning File C:\Programme\AVPersonal\AVGNT.EXE Fri May 21 22:31:20 2004 => Scanning File C:\WINNT\system32\internat.exe Fri May 21 22:31:20 2004 => Scanning File C:\WINNT\system32\RUNDLL32.EXE Fri May 21 22:31:20 2004 => Scanning File C:\PROGRA~1\GEMEIN~1\MICROS~1\WORKSS~1\wkcalrem.exe Fri May 21 22:31:20 2004 => Scanning File C:\Programme\WinZip\WZQKPICK.EXE Fri May 21 22:31:20 2004 => Scanning File C:\WINNT\system32\ntvdm.exe Fri May 21 22:31:20 2004 => Scanning File C:\T-ONLINE\BSW4\ToDuCAlC.EXE Fri May 21 22:31:20 2004 => Scanning File C:\PROGRA~1\INTERN~1\IEXPLORE.EXE Fri May 21 22:31:20 2004 => Scanning File C:\DOKUME~1\Robert1\LOKALE~1\Temp\mwavscan.com Fri May 21 22:31:20 2004 => Scanning File C:\DOKUME~1\Robert1\LOKALE~1\Temp\kavss.exe Fri May 21 22:31:20 2004 => Scanning File C:\PROGRA~1\mozilla.org\Mozilla\Mozilla.exe Fri May 21 22:31:20 2004 => ***** Scanning Registry Files ***** Fri May 21 22:31:20 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Fri May 21 22:31:20 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Fri May 21 22:31:21 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce Fri May 21 22:31:21 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx Fri May 21 22:31:21 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices Fri May 21 22:31:21 2004 => Scanning HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Fri May 21 22:31:21 2004 => Scanning HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce Fri May 21 22:31:21 2004 => Scanning HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx Fri May 21 22:31:21 2004 => Scanning HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices Fri May 21 22:31:21 2004 => Scanning HKCR\txtfile\shell\open\command Fri May 21 22:31:21 2004 => Scanning HKCR\comfile\shell\open\command Fri May 21 22:31:21 2004 => Scanning HKCR\exefile\shell\open\command Fri May 21 22:31:21 2004 => Scanning HKCR\dllfile\shell\open\command Fri May 21 22:31:21 2004 => Scanning HKCR\batfile\shell\open\command Fri May 21 22:31:21 2004 => Scanning HKCR\piffile\shell\open\command Fri May 21 22:31:21 2004 => Scanning HKCR\scrfile\shell\open\command Fri May 21 22:31:21 2004 => Scanning HKCR\scrfile\shell\config\command Fri May 21 22:31:21 2004 => Scanning HKCR\regfile\shell\open\command Fri May 21 22:31:21 2004 => ***** Scanning StartUp Folders ***** Fri May 21 22:31:21 2004 => ***** Scanning C:\Dokumente und Einstellungen\Robert1\Startmenü\Programme\Autostart Folder ***** Fri May 21 22:31:21 2004 => Scanning Folder: C:\Dokumente und Einstellungen\Robert1\Startmenü\Programme\Autostart\*.* Fri May 21 22:31:21 2004 => ***** Scanning C:\Dokumente und Einstellungen\All Users.WINNT\Startmenü\Programme\Autostart Folder ***** Fri May 21 22:31:21 2004 => Scanning Folder: C:\Dokumente und Einstellungen\All Users.WINNT\Startmenü\Programme\Autostart\*.* Fri May 21 22:31:21 2004 => ***** Scanning Service Files ***** Fri May 21 22:31:21 2004 => Scanning HKLM\SYSTEM\CurrentControlSet\Services Fri May 21 22:31:21 2004 => ERROR!!! Invalid Entry System32\Drivers\cdenable.sys in SYSTEM\CurrentControlSet\Services\cdenable... Fri May 21 22:31:22 2004 => ERROR!!! Invalid Entry \??\C:\WINNT\system32\iesprt.sys in SYSTEM\CurrentControlSet\Services\iesprt... Fri May 21 22:31:24 2004 => ***** Scanning Important System Files ***** Fri May 21 22:31:25 2004 => ***** Checking for specific ITW Viruses ***** Fri May 21 22:31:25 2004 => Checking for Welchia Virus... Fri May 21 22:31:25 2004 => Checking for LovGate Virus... Fri May 21 22:31:25 2004 => Checking for CodeRed Virus... Fri May 21 22:31:25 2004 => Checking for OpaServ Virus... Fri May 21 22:31:25 2004 => Checking for Sobig.e Virus... Fri May 21 22:31:25 2004 => Checking for Winupie Virus... Fri May 21 22:31:25 2004 => Checking for Swen Virus... Fri May 21 22:31:25 2004 => Checking for JS.Fortnight Virus... Fri May 21 22:31:25 2004 => Checking for Novarg Virus... Fri May 21 22:31:25 2004 => ***** Scanning complete. ***** Fri May 21 22:31:25 2004 => Total Number of Files Scanned: 239 Fri May 21 22:31:25 2004 => Total Number of Virus(es) Found: 0 Fri May 21 22:31:25 2004 => Total Number of Disinfected Files: 0 Fri May 21 22:31:25 2004 => Total Number of Files Renamed: 0 Fri May 21 22:31:25 2004 => Total Number of Deleted Files: 0 Fri May 21 22:31:25 2004 => Total Number of Errors: 2 Fri May 21 22:31:25 2004 => Time Elapsed: 00:00:06 Fri May 21 22:31:25 2004 => Virus Database Date: 2004/05/15 Fri May 21 22:31:25 2004 => Virus Database Count: 92396 Fri May 21 22:31:25 2004 => Scan Completed. |
|
| Themen zu greatsearch.biz |
| ad-aware, adobe, antivir, bho, desktop, drivers, einstellungen, explorer, helfen, hijack, hijackthis, home, internet, internet explorer, launch, log-datei, löschen, meinem, messenger, microsoft, nicht, nvcpl.dll, object, problem, programme, realplayer, registry, registry value, rundll, shockwave, software, system, system32, t-online, tcpip, userinit.exe, windows |
Linear-Darstellung
