Wieder einmal "greatsearch.biz"

Knackman · 21.05.2004, 14:33

Hallo!

Ich hab mir auch so ein "Ding" eingefangen und hab schon alles mögliche ausprobiert, größten teils hier aus dem Forum, hat aber alles nichts gebracht. Deshalb wollte ich mal mein letztes Hijackthis-Logfile schicken.

Logfile of HijackThis v1.97.7
Scan saved at 15:28:41, on 21.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
D:\Programme\Norton Internet Security\NISUM.EXE
D:\Programme\Norton Internet Security\ccPxySvc.exe
D:\Programme\CPUCooL\CooLSrv.exe
D:\WINDOWS\System32\CTsvcCDA.exe
D:\Programme\Norton AntiVirus\navapsvc.exe
D:\WINDOWS\System32\nvsvc32.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\MsPMSPSv.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
D:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
D:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
D:\WINDOWS\System32\CTHELPER.EXE
D:\WINDOWS\System32\RUNDLL32.EXE
D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\WINDOWS\System32\ctfmon.exe
D:\Programme\Microsoft Office\Office\OSA.EXE
D:\Programme\1&1 Internet\Profi-Dialer\ProfiDialer.exe
D:\Programme\Internet Explorer\iexplore.exe
D:\Dokumente und Einstellungen\CHEF\Eigene Dateien\HijackThis.exe
D:\Dokumente und Einstellungen\CHEF\Eigene Dateien\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://greatsearch.biz/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://greatsearch.biz/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://greatsearch.biz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://greatsearch.biz/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Knackman´s-World
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://greatsearch.biz/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://greatsearch.biz/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - F:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - F:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ccApp] "D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "D:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [CTSysVol] D:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] D:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SBDrvDet] REM D:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] D:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [augmsg] REM augmsg.exe
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] REM "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AceGain LiveUpdate] REM F:\Programme\AceGain\LiveUpdate\LiveUpdate.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TkBellExe] "D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Services Process] D:\WINDOWS\system32\config\services.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] REM "D:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [RemoteCenter] REM F:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
O4 - Startup: Office-Start.lnk = D:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Digimax Viewer 2.0.lnk = ?
O8 - Extra context menu item: Alles mit FlashGet laden - F:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - F:\Programme\FlashGet\jc_link.htm
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/SU/ocx/12119/CTSUEng.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/02f0da35...dxIE601_de.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/SU/ocx/12119/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8DED2658-358E-4100-92F0-837FB58DEBBA}: NameServer = 217.237.149.225 194.25.2.129
O17 - HKLM\System\CCS\Services\Tcpip\..\{E5A54ED9-2296-4373-AE55-C80BFE11E455}: NameServer = 10.10.0.1

Vielen Dank im voraus. Ein Gutes Forum habt ihr hier.
MfG Knackman

Olo · 21.05.2004, 14:57

HI Knackman

<blockquote>Zitat:<hr /> Ich hab mir auch so ein "Ding" eingefangen und hab schon alles mögliche ausprobiert, größten teils hier aus dem Forum, hat aber alles nichts gebracht. Deshalb wollte ich mal mein letztes Hijackthis-Logfile schicken. [/QUOTE]wär ganz gut zu wissne was du alles schon ausprobiert hast....
es gibt hier im forum einen thread auf der ersten seite sogar der sich mit diesem Problem beschäftigt und auch eine Lösung parat hat:
http://www.trojaner-board.de/forum/u...c;f=6;t=005397

besonders der Post von Andres Ebert sollte dich intressiern

<blockquote>Zitat:<hr /> O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/02f0da35...dxIE601_de.cab [/QUOTE]das hier kannst dann auch fixen mit HjT

mfg
Thomas

Knackman · 21.05.2004, 15:35

Mit NAV 2004, Ad-Aware, spybot S&D und CWS-Shredder mehrmals gescannt und die Einträge bei HijackThis wo Greatsearch drin vorkommt schon öffters gefixt.

Lutz · 21.05.2004, 15:39

Hallo Knackman und Willkommen im Board,

geh mal bitte auf diese Seite http://www.trojaner-info.de/anleitun...llow_page.html und lade den Prozess-Viewer von zerosrealm.com herunter. Führe dann bitte Punkt 3 aus und poste hier das Ergebnis. Vielleicht sehen wir dann mehr...

Knackman · 21.05.2004, 16:37

Hab Schritt 3 ausgeführt.
Hier ist das Ergebnis:

Module information for 'Explorer.EXE'
MODULE BASE SIZE PATH
Explorer.EXE 1000000 1015808 D:\WINDOWS\Explorer.EXE 6.00.2800.1106 (xpsp1.020828-1920) Windows Explorer
ntdll.dll 77f40000 712704 D:\WINDOWS\System32\ntdll.dll 5.1.2600.1217 (xpsp2.030429-2131) DLL für NT-Layer
kernel32.dll 77e40000 1015808 D:\WINDOWS\system32\kernel32.dll 5.1.2600.1106 (xpsp1.020828-1920) Client-DLL für Windows NT-Basis-API
msvcrt.dll 77be0000 339968 D:\WINDOWS\system32\msvcrt.dll 7.0.2600.1106 (xpsp1.020828-1920) Windows NT CRT DLL
ADVAPI32.dll 77da0000 638976 D:\WINDOWS\system32\ADVAPI32.dll 5.1.2600.1106 (xpsp1.020828-1920) Erweitertes Windows 32 Base-API
RPCRT4.dll 78000000 548864 D:\WINDOWS\system32\RPCRT4.dll 5.1.2600.1254 (xpsp2.030801-1834) Remote Procedure Call Runtime
GDI32.dll 7e180000 266240 D:\WINDOWS\system32\GDI32.dll 5.1.2600.1346 (xpsp2.040109-1800) GDI Client DLL
USER32.dll 77d10000 573440 D:\WINDOWS\system32\USER32.dll 5.1.2600.1255 (xpsp2.030804-1745) Client-DLL für Windows XP USER-API
SHLWAPI.dll 70a70000 413696 D:\WINDOWS\system32\SHLWAPI.dll 6.00.2800.1400 Shell Light-weight Utility Library
SHELL32.dll 773a0000 8372224 D:\WINDOWS\system32\SHELL32.dll 6.00.2800.1233 (xpsp2.030604-1804) Allgemeine Windows-Shell-DLL
ole32.dll 7ccc0000 1183744 D:\WINDOWS\system32\ole32.dll 5.1.2600.1263 (xpsp2.030819-2129) Microsoft OLE für Windows
OLEAUT32.dll 770f0000 569344 D:\WINDOWS\system32\OLEAUT32.dll 3.50.5016.0 Microsoft OLE 3.50 for Windows NT(TM) and Windows 95(TM) Operating Systems
BROWSEUI.dll 71500000 1036288 D:\WINDOWS\System32\BROWSEUI.dll 6.00.2800.1400 Shell Browser UI-Bibliothek
SHDOCVW.dll 71700000 1347584 D:\WINDOWS\System32\SHDOCVW.dll 6.00.2800.1400 Bibliothek für Shell-Dokumente und -Steuerelemente
UxTheme.dll 5b0f0000 212992 D:\WINDOWS\System32\UxTheme.dll 6.00.2800.1106 (xpsp1.020828-1920) Microsoft UxTheme-Bibliothek
comctl32.dll 78090000 933888 D:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.10.0_x-ww_f7fb5805\comctl32.dll 6.0 (xpsp1.020828-1920) User Experience Controls Library
comctl32.dll 77310000 569344 D:\WINDOWS\system32\comctl32.dll 5.82 (xpsp1.020828-1920) Common Controls Library
appHelp.dll 75ee0000 126976 D:\WINDOWS\system32\appHelp.dll 5.1.2600.1106 (xpsp1.020828-1920) Application Compatibility Client Library
CLBCATQ.DLL 76f90000 491520 D:\WINDOWS\System32\CLBCATQ.DLL 2001.12.4414.42
COMRes.dll 77010000 864256 D:\WINDOWS\System32\COMRes.dll 2001.12.4414.42
VERSION.dll 77bd0000 28672 D:\WINDOWS\system32\VERSION.dll 5.1.2600.0 (xpclient.010817-1148) Version Checking and File Installation Libraries
cscui.dll 765c0000 327680 D:\WINDOWS\System32\cscui.dll 5.1.2600.1106 (xpsp1.020828-1920) Clientseitige Cachebenutzeroberfläche
CSCDLL.dll 765a0000 110592 D:\WINDOWS\System32\CSCDLL.dll 5.1.2600.0 (xpclient.010817-1148) Offlinenetzwerk-Agent
themeui.dll 5b9b0000 466944 D:\WINDOWS\System32\themeui.dll 6.00.2800.1106 (xpsp1.020828-1920) Windows-Design-API
Secur32.dll 76f50000 65536 D:\WINDOWS\System32\Secur32.dll 5.1.2600.1106 (xpsp1.020828-1920) Security Support Provider Interface
MSIMG32.dll 76320000 20480 D:\WINDOWS\System32\MSIMG32.dll 5.1.2600.1106 (xpsp1.020828-1920) GDIEXT Client DLL
USERENV.dll 75a10000 684032 D:\WINDOWS\system32\USERENV.dll 5.1.2600.1106 (xpsp1.020828-1920) Userenv
msutb.dll 60010000 196608 D:\WINDOWS\System32\msutb.dll 5.1.2600.1106 (xpsp1.020828-1920) MSUTB-Server-DLL
MSCTF.dll 746a0000 278528 D:\WINDOWS\System32\MSCTF.dll 5.1.2600.1106 (xpsp1.020828-1920) MSCTF-Server-DLL
netapi32.dll 71ba0000 319488 D:\WINDOWS\System32\netapi32.dll 5.1.2600.1343 (xpsp2.040109-1800) Net Win32 API DLL
urlmon.dll 1a400000 499712 D:\WINDOWS\system32\urlmon.dll 6.00.2800.1400 OLE32-Erweiterung für Win32
LINKINFO.dll 76930000 28672 D:\WINDOWS\System32\LINKINFO.dll 5.1.2600.0 (xpclient.010817-1148) Windows Volume Tracking
ntshrui.dll 76940000 151552 D:\WINDOWS\System32\ntshrui.dll 5.1.2600.1106 (xpsp1.020828-1920) Shellerweiterungen für Freigaben
ATL.DLL 76ad0000 86016 D:\WINDOWS\System32\ATL.DLL 3.00.9435 ATL Module for Windows NT (Unicode)
stobject.dll 74a80000 131072 D:\WINDOWS\System32\stobject.dll 5.1.2600.1106 (xpsp1.020828-1920) Systray-Shell-Serviceobjekt
BatMeter.dll 74a70000 36864 D:\WINDOWS\System32\BatMeter.dll 6.00.2600.0000 (xpclient.010817-1148) Batteriemesshilfs-DLL
POWRPROF.dll 74a50000 28672 D:\WINDOWS\System32\POWRPROF.dll 6.00.2600.0000 (xpclient.010817-1148) Power Profile Helper DLL
SETUPAPI.dll 76620000 950272 D:\WINDOWS\System32\SETUPAPI.dll 5.1.2600.1106 (xpsp1.020828-1920) Windows Setup-API
WTSAPI32.dll 76f10000 32768 D:\WINDOWS\System32\WTSAPI32.dll 5.1.2600.1106 (xpsp1.020828-1920) Windows Terminal Server SDK APIs
WINSTA.dll 76300000 61440 D:\WINDOWS\System32\WINSTA.dll 5.1.2600.1106 (xpsp1.020828-1920) Winstation Library
NETSHELL.dll 75c90000 1662976 D:\WINDOWS\system32\NETSHELL.dll 5.1.2600.1106 (xpsp1.020828-1920) Shell für Netzwerkverbindungen
credui.dll 76bc0000 188416 D:\WINDOWS\system32\credui.dll 5.1.2600.1106 (xpsp1.020828-1920) Benutzerschnittstelle für Anmeldeinformationsverwaltung
WS2_32.dll 71a10000 86016 D:\WINDOWS\system32\WS2_32.dll 5.1.2600.0 (xpclient.010817-1148) Windows Socket 2.0 32-Bit DLL
WS2HELP.dll 71a00000 32768 D:\WINDOWS\system32\WS2HELP.dll 5.1.2600.0 (xpclient.010817-1148) Windows Socket 2.0 Helper für Windows NT
iphlpapi.dll 76d20000 94208 D:\WINDOWS\system32\iphlpapi.dll 5.1.2600.2 (xpsp1.020828-1920) IP-Hilfs-API
webcheck.dll 74ab0000 274432 D:\WINDOWS\System32\webcheck.dll 6.00.2800.1106 (xpsp1.020828-1920) Websiteüberwachung
krnldbge.dll 10000000 20480 D:\WINDOWS\system32\config\krnldbge.dll
system32.dll f10000 32768 D:\WINDOWS\system32\system32.dll
comdlg32.dll 76350000 286720 D:\WINDOWS\system32\comdlg32.dll 6.00.2800.1106 (xpsp1.020828-1920) DLL für gemeinsame Dialoge
WINTRUST.dll 76bf0000 176128 D:\WINDOWS\System32\WINTRUST.dll 5.131.2600.0 (xpclient.010817-1148) Microsoft Vertrauensverifizierungs-APIs
CRYPT32.dll 76260000 561152 D:\WINDOWS\system32\CRYPT32.dll 5.131.2600.1123 (xpsp2.020921-0842) Krypto-API32
MSASN1.dll 76240000 65536 D:\WINDOWS\system32\MSASN1.dll 5.1.2600.1362 (xpsp2.040109-1800) ASN.1 Runtime APIs
IMAGEHLP.dll 76c50000 139264 D:\WINDOWS\system32\IMAGEHLP.dll 5.1.2600.1106 (xpsp1.020828-1920) Windows NT Image Helper
rsaenh.dll ffd0000 143360 D:\WINDOWS\System32\rsaenh.dll 5.1.2600.1029 (xpsp1.020426-1800) Microsoft Base Cryptographic Provider
printui.dll 74b00000 544768 D:\WINDOWS\System32\printui.dll 5.1.2600.1106 (xpsp1.020828-1920) DLL für die Druckerbenutzeroberfläche
WINSPOOL.DRV 72f70000 143360 D:\WINDOWS\System32\WINSPOOL.DRV 5.1.2600.1106 (xpsp1.020828-1920) Windows-Spoolertreiber
ACTIVEDS.dll 76e00000 192512 D:\WINDOWS\System32\ACTIVEDS.dll 5.1.2600.0 (xpclient.010817-1148) ADs Router-Ebene-DLL
adsldpc.dll 76dd0000 151552 D:\WINDOWS\System32\adsldpc.dll 5.1.2600.1106 (xpsp1.020828-1920) DLL für ADs LDAP Provider C
WLDAP32.dll 76f20000 184320 D:\WINDOWS\system32\WLDAP32.dll 5.1.2600.1106 (xpsp1.020828-1920) Win32 LDAP-API-DLL
CFGMGR32.dll 74a60000 28672 D:\WINDOWS\System32\CFGMGR32.dll 5.1.2600.0 (xpclient.010817-1148) Configuration Manager Forwarder DLL
MPR.dll 71a80000 69632 D:\WINDOWS\system32\MPR.dll 5.1.2600.0 (xpclient.010817-1148) Router-DLL für Mehrfachanbieter
WINMM.dll 76af0000 184320 D:\WINDOWS\System32\WINMM.dll 5.1.2600.1106 (xpsp1.020828-1920) MCI API-DLL
ctagent.dll 1790000 65536 D:\WINDOWS\System32\ctagent.dll 1, 0, 0, 8 ctagent
msi.dll 18e0000 2101248 D:\WINDOWS\System32\msi.dll 2.0.2600.1106 Windows Installer
WININET.dll 63000000 618496 D:\WINDOWS\system32\WININET.dll 6.00.2800.1400 Interneterweiterungen für Win32
rarext.dll 1b00000 167936 D:\Programme\WinRAR\rarext.dll
NavShExt.dll 1890000 114688 D:\Programme\Norton AntiVirus\NavShExt.dll 9.05.15 Norton AntiVirusNAVShellExt Module
ccTrust.dll 1b30000 106496 D:\WINDOWS\System32\ccTrust.dll 1.0.9.002 Common Client ccTrust
MSVCP60.dll 76020000 397312 D:\WINDOWS\System32\MSVCP60.dll 6.00.8972.0 Microsoft (R) C++ Runtime Library
mydocs.dll 723a0000 102400 D:\WINDOWS\System32\mydocs.dll 6.00.2600.0000 (xpclient.010817-1148) Benutzeroberfläche des Verzeichnisses "Eigene Dateien"
wdmaud.drv 72c90000 36864 D:\WINDOWS\System32\wdmaud.drv 5.1.2600.0 (XPClient.010817-1148) WDM Audio driver mapper
msacm32.drv 72c80000 32768 D:\WINDOWS\System32\msacm32.drv 5.1.2600.0 (xpclient.010817-1148) Microsoft Soundmapper
MSACM32.dll 77bb0000 81920 D:\WINDOWS\System32\MSACM32.dll 5.1.2600.0 (xpclient.010817-1148) Microsoft ACM-Audiofilter
midimap.dll 77ba0000 28672 D:\WINDOWS\System32\midimap.dll 5.1.2600.0 (xpclient.010817-1148) Microsoft MIDI-Mapper
drprov.dll 75f00000 24576 D:\WINDOWS\System32\drprov.dll 5.1.2600.0 (xpclient.010817-1148) Microsoft Terminal Server Network Provider
ntlanman.dll 71b90000 53248 D:\WINDOWS\System32\ntlanman.dll 5.1.2600.1106 (xpsp1.020828-1920) Microsoft(R) LAN-Manager
NETUI0.dll 71c50000 90112 D:\WINDOWS\System32\NETUI0.dll 5.1.2600.0 (xpclient.010817-1148) NT-LM-Benutzerschnittstellen-Standardcode - GUI-Klassen
NETUI1.dll 71c10000 245760 D:\WINDOWS\System32\NETUI1.dll 5.1.2600.0 (xpclient.010817-1148) NT LM UI Common Code - Networking classes
NETRAP.dll 71c00000 24576 D:\WINDOWS\System32\NETRAP.dll 5.1.2600.0 (xpclient.010817-1148) Net Remote Admin Protocol DLL
SAMLIB.dll 71b70000 69632 D:\WINDOWS\System32\SAMLIB.dll 5.1.2600.1106 (xpsp1.020828-1920) SAM Library DLL
davclnt.dll 75f10000 36864 D:\WINDOWS\System32\davclnt.dll 5.1.2600.0 (xpclient.010817-1148) Client-DLL für Web DAV
SXS.DLL 75e30000 688128 D:\WINDOWS\System32\SXS.DLL 5.1.2600.1106 (xpsp1.020828-1920) Fusion 2.5
shdoclc.dll 76110000 581632 D:\WINDOWS\System32\shdoclc.dll 6.00.2600.0000 (xpclient.010817-1148) Bibliothek für Shell-Dokumente und -Steuerelemente
browselc.dll 723c0000 77824 D:\WINDOWS\System32\browselc.dll 6.00.2800.1106 (xpsp1.020828-1920) Shell Browser UI-Bbibliothek
DUSER.dll 6c670000 278528 D:\WINDOWS\System32\DUSER.dll 5.1.2600.1106 (xpsp1.020828-1920) Windows DirectUser Engine
RASAPI32.DLL 76ea0000 225280 D:\WINDOWS\System32\RASAPI32.DLL 5.1.2600.1106 (xpsp1.020828-1920) RAS-API
rasman.dll 76e50000 69632 D:\WINDOWS\System32\rasman.dll 5.1.2600.1106 (xpsp1.020828-1920) Remote Access Connection Manager
TAPI32.dll 76e70000 176128 D:\WINDOWS\System32\TAPI32.dll 5.1.2600.1106 (xpsp1.020828-1920) Microsoft® Windows(TM) Telefonie-API-Client-DLL
rtutils.dll 76e40000 53248 D:\WINDOWS\System32\rtutils.dll 5.1.2600.0 (xpclient.010817-1148) Routing Utilities
cryptnet.dll 73cc0000 65536 D:\WINDOWS\System32\cryptnet.dll 5.131.2600.0 (xpclient.010817-1148) Crypto Network Related API
wsock32.dll 71a30000 36864 D:\WINDOWS\System32\wsock32.dll 5.1.2600.0 (xpclient.010817-1148) Windows Socket-32-Bit-DLL
NTMARTA.DLL 76ca0000 126976 D:\WINDOWS\System32\NTMARTA.DLL 5.1.2600.1106 (xpsp1.020828-1920) Windows NT MARTA-Anbieter
RASDLG.dll 754d0000 675840 D:\WINDOWS\System32\RASDLG.dll 5.1.2600.1106 (xpsp1.020828-1920) API für allgemeine RAS-Dialoge
MPRAPI.dll 76d00000 90112 D:\WINDOWS\System32\MPRAPI.dll 5.1.2600.0 (xpclient.010817-1148) Windows NT MP Router Administration DLL
ACTXPRXY.DLL 71cc0000 110592 D:\WINDOWS\System32\ACTXPRXY.DLL 6.00.2600.0000 (XPClient.010817-1148) ActiveX Interface Marshaling Library
asfsipc.dll 70f00000 28672 D:\WINDOWS\System32\asfsipc.dll 1.1.00.3917 ASFSipc Object
MSISIP.DLL 609f0000 53248 D:\WINDOWS\System32\MSISIP.DLL 2.0.2600.0 MSI Signature SIP Provider
wshext.dll 2ce0000 65536 D:\WINDOWS\System32\wshext.dll 5.6.0.6626 Microsoft (r) Shell Extension for Windows Script Host
wshDE.DLL 2db0000 57344 D:\WINDOWS\System32\wshDE.DLL 5.6.0.6626 Internationale Ressourcen für Microsoft (r) Windows Script Host
ScrTrust.dll 2dc0000 53248 D:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\ScrTrust.dll 1, 1, 0, 126 ScriptBlocking Trust Verifier

Lutz · 21.05.2004, 19:23

Ich vermute, hier ist der 'Bösewicht':
<blockquote>Zitat:<hr />system32.dll f10000 32768 D:\WINDOWS\system32\system32.dll[/QUOTE]Überprüfe die Datei bitte online bei Kaspersky -> http://www.kaspersky.com/de/scanforvirus.html

Wenn diese Datei als Trojaner erkannt wird, boote Deinen Rechner im abesicherten Modus neu -> http://www.trojaner-board.de/63335-w...s-starten.html

Fixe mit HijackThis alle R0 und R1-Einträge und lösche die Datei D:\WINDOWS\system32\system32.dll

Wenn diese Datei nicht als der Übeltäter erkannt wird, musst Du das 'Kaspersky-Spielchen' mit allen im vorherigen Log genannten DLLs machen, bis Du den Übeltäter erwischt hast. Am sinnigsten ist es, wenn Du mit den jüngsten Dateien anfängst. Siehe auch hier: http://www.trojaner-board.de/forum/u...c;f=6;t=005401

Knackman · 21.05.2004, 19:56

Die Datei "system32.dll" und eine Datei "krnldbge.dll" wurden von kaspersky als Virus erkannt. Die hab ich jetzt gelöscht und es scheint wieder I.O. zu sein.

Ich bedanke mich erst mal bei diesem Forum für die Hilfe.

MfG Knackman

Hab noch einige gefunden:
svchost.exe
services.exe
mstasks1.exe
system.exe
appsys.exe

Die dateien hören sich alle sehr wichtig an, sind sie aber nicht

[ 21. Mai 2004, 21:22: Beitrag editiert von: Knackman ]

Lutz · 21.05.2004, 21:15

<blockquote>Zitat:<hr />
Hab noch einige gefunden:
svchost.exe
services.exe
mstasks1.exe
system.exe
appsys.exe

Die dateien hören sich alle sehr wichtig an, sind sie aber nicht[/QUOTE]Namen sind im Grunde 'Schall und Rauch'!
Wichtig ist zum Beispiel, wo die einzelnen Dateien sich befinden.
Was meinst Du mit 'gefunden'? Hat Kaspersky die Dateien als 'infiziert' gemeldet?

Ratloser Rudi · 21.05.2004, 22:05

Ich habe die Dateien system.exe und mstasks1.exe auch auf meinem System gehabt (uzw. im WINNT-Ordner). Kaspersky hat sie beide als Trojaner ausgewiesen. Dagegen ist mastasks.exe eine ganz reguläre Datei. Tückisch!

Knackman · 22.05.2004, 19:59

Ich hab die Dateien in

\WINDOWS
\WINDOWS\System32 und
\WINDOWS\System32\config gefunden.

Erst hab ich in NAV in der Protokoll nach dem letzetn Zugriff auf meinen Rechner geschaut. Dann hab ich alle Dateien die zur dieser Zeit geändert wurden rausgesucht und mit Kaspersky geprüft und die Infizierten gelöscht. Danach hab ich HijackThis durchlaufen lassen und alles was mit greatsearch.biz vorhanden war gefixt. Den Rechner neu gestartet und Spybot durchlaufen lassen. Spybot hat auch noch einige Kleinigkeiten gefunden die ich gelöscht habe.
Jetz funktioniert der IE wieder.
Ich hatte vorher auch noch das "eScan AntiVirus Toolkit Utility" im abgesicherten Modus laufen lassen und es hat auch einiges gefunden, was nichts mit Greatsearch zu tun hat.

Das war eigentlich alles was ich gemacht habe.

MfG Knackman

Lutz · 23.05.2004, 09:14

<blockquote>Zitat:<hr />
Das war eigentlich alles was ich gemacht habe.[/QUOTE]Dann würde ich von hier aus sagen, Du hast alles richtig gemacht! [img]graemlins/daumenhoch.gif[/img]

Mit meiner Nachfrage wollte ich bloß sicherstellen, wie Du die Dateien 'gefunden' hast. Wenn Du jetzt keine Probleme -insbesondere Browserumleitungen- mehr hast, sollte alles wieder ok sein.

Beachte aber, dass der InternetExplorer weiterhin anfällig gegen solche Hijacker-Attacken ist. Eine erneute Infektion mit "greatsearch.biz" oder einem anderen Hijack ist jederzeit möglich. Daher mein Rat, schaue dich nach einem anderen Browser um. Z. B. Mozilla, Firefox oder Opera...

Andy28 · 23.05.2004, 18:08

Noch mal danke Lutz!

hatte das selbe Problem und es gerade behoben.

Komisch das Norton sowas nicht findet.

Ich muß mir den neuesten Sicherheitspatch besorgen........bis ein anderes mal

Knackman · 23.05.2004, 20:33

<blockquote>Zitat:<hr />Original erstellt von Lutz (DerBilk):

Zitat:

Beachte aber, dass der InternetExplorer weiterhin anfällig gegen solche Hijacker-Attacken ist. Eine erneute Infektion mit "greatsearch.biz" oder einem anderen Hijack ist jederzeit möglich. Daher mein Rat, schaue dich nach einem anderen Browser um. Z. B. Mozilla, Firefox oder Opera...

Zitat:

Werd ich tun.
Ist halt nur Mist, das es Programme gibt die den IE auf dem Rechner voraus setzen.

MfG Knackman

Olo · 23.05.2004, 22:35

<blockquote>Zitat:<hr /> Ist halt nur Mist, das es Programme gibt die den IE auf dem Rechner voraus setzen. [/QUOTE]afaik ist es unmöglich den IE von eienm rechner mit windows zu entfernen
jedenfalls vollständig
aber benutzen muss ma ihn ja nicht unbedingt

nachtrag:

<blockquote>Zitat:<hr /> Ich muß mir den neuesten Sicherheitspatch besorgen........bis ein anderes mal [/QUOTE]der hilft auch nur gegen die sachen die bereits bekannt sind
und selbst da gibts welche die noch nicht gefixt werden koennen bzw noch nicht gewurden :\
allerdings bleibt abzuwarten wie lange es dauert das hijacker u.ä auch andere browser als den IE richtig befaellt :\

mmk · 24.05.2004, 18:22

<blockquote>Zitat:<hr />Original erstellt von Andy28:
Komisch das Norton sowas nicht findet.[/QUOTE]Nein, nicht komisch, sondern durchaus zu erklären:
http://oschad.de/wiki/index.php/Virenscanner

Wieder einmal "greatsearch.biz"

Plagegeister aller Art und deren Bekämpfung: Wieder einmal "greatsearch.biz"