hallo leute,

habe mir offensichtlich mal wieder einen einen hijacker eingefangen.
ist nicht das erste erste mal, allerdings habe die die mistdinger bisher auch dank eurer tips wie der los gebracht.
problem: auch wenn ich bei

1. deaktivierter systemwiederherstellung
2. virencheck mit gdata im abgesicherten modus
3. scannen und fixen mit HijackThis v.1.99.1 im abgesicherten modus
3. ausführen von cw shredder im abgesicherten modus
4. ausführen spy-bot im abgesicherten modus
5. ausführen clearprog 1.4.0
6. das ganze anschließend noch im normalen modus durchlaufen lasse,

bringe ich die startseite :"search-links-net" nicht weg.

hier das logfile:

Logfile of HijackThis v1.99.1
Scan saved at 23:47:58, on 21.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\Virenschutz\AVKService.exe
C:\Programme\Virenschutz\AVKWCtl.exe
C:\Programme\sicherheit utilities\AVWUPSRV.EXE
C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb03.exe
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\WHEELM~1\wh_exec.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\LeechGet 2004\LeechGet.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\AOL 9.0\waol.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Rü\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search-links.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search-links.net/?my= (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://search-links.net/?my= (obfuscated)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SICHER~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb03.exe
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [WheelMouse] C:\WHEELM~1\wh_exec.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2004\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2004\\Parser.html
O12 - Plugin for .avi: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O13 - DefaultPrefix: http://%73%65%61%72%63%68%2D%6C%69%6...%6E%65%74/?my=
O13 - WWW Prefix: http://%73%65%61%72%63%68%2D%6C%69%6...%6E%65%74/?my=
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.static.topconverting.com
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.static.topconverting.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: 206.161.125.149 (HKLM)
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'https' protocol is in Trusted Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O15 - ProtocolDefaults: 'https' protocol is in Trusted Zone, should be Internet Zone (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\..\{33EF0783-9AB2-4278-8CDD-9B1F313EF127}: NameServer = 205.188.146.145
O17 - HKLM\System\CS2\Services\Tcpip\..\{33EF0783-9AB2-4278-8CDD-9B1F313EF127}: NameServer = 205.188.146.145
O20 - Winlogon Notify: drct16 - drct16.dll (file missing)
O20 - Winlogon Notify: iexplore - Ew5Af.dll (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\sicherheit utilities\AVGUARD.EXE
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\Virenschutz\AVKService.exe
O23 - Service: G DATA Virenschutz Wächter (AVKWCtl) - Unknown owner - C:\Programme\Virenschutz\AVKWCtl.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\sicherheit utilities\AVWUPSRV.EXE
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: McAfee.com Personal Firewall Service (MpfService) - McAfee.com Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe

bin mir ziemlich sicher, daß die Einträge R0, R1, R1, O13, 015 mit dem hijackthis-tool gefixt werden müssen. leider sind die beim nächsten scannen wieder da! die einträge O20 sagen mir gar nichts. soll ich die auch fixen?

habe ja schon einiges mitgemacht mit viren, hijackern etc., aber so was hartnäckiges habe ich noch nicht erwischt!
kann mir da bitte jemand helfen?

Hallo fitze,

führe bitte dies mal aus:
1. Downloade Dir escan und befolge diese Anleitung (Scan im ABGESICHERTEN MODUS dauert etwa eine Stunde),
2. starte nach dem Scan wieder in den normalen Modus,
3. öffne die Datei "mwav.log", klicke auf "bearbeiten" danach auf "suchen"
4. gebe dann "infected" ein,
5. suche weiter bei Treffern, markiere diese und kopiere sie ins Forum,
6. neben den Treffern auch das Gesamtergebnis (befindet sich ganz unter im Logfile) posten.

Beispiel:
Wed Feb 02 19:48:56 2005 => Total Files Scanned:
Wed Feb 02 19:48:56 2005 => Total Virus(es) Found:
.
.
.
.


dartus

@ Fitze

Zitat:

habe mir offensichtlich mal wieder einen einen hijacker eingefangen.

kleine Bemerkung am Rande,
und das wird warscheinlich nicht das letzte mal sein, Grund:

Zitat:

Platform: Windows XP SP1 (WinNT 5.01.2600)

hi dartus,

habe mit escan im abgesicherten modus durchlaufen lassen. erschütternd, was da alles auftaucht...
hier das logfile mit den infected-einträgen.

Tue Mar 22 20:14:20 2005 => File C:\WINDOWS\System32\kb32.exe infected by "Trojan.Win32.StartPage.vo" Virus. Action Taken: No Action Taken.

Tue Mar 22 20:14:31 2005 => File C:\WINDOWS\system32\cTbinet.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.

Tue Mar 22 20:14:31 2005 => File C:\WINDOWS\System32\kb32.exe infected by "Trojan.Win32.StartPage.vo" Virus. Action Taken: No Action Taken.

Tue Mar 22 20:14:50 2005 => File C:\WINDOWS\sehlp.dll infected by "Trojan-Downloader.Win32.Agent.kb" Virus. Action Taken: No Action Taken.

Tue Mar 22 20:16:18 2005 => File C:\WINDOWS\System32\openconf.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: No Action Taken.

Tue Mar 22 20:16:36 2005 => File C:\WINDOWS\System32\spnping.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: No Action Taken.

Tue Mar 22 20:16:53 2005 => File C:\WINDOWS\System32\winlogon32.exe infected by "Trojan-Downloader.Win32.Small.anj" Virus. Action Taken: No Action Taken.

Tue Mar 22 20:26:35 2005 => File C:\Dokumente und Einstellungen\fitze\Eigene Dateien\setx2000.exe infected by "not-a-virus:Porn-Dialer.Win32.Generic" Virus. Action Taken: No Action Taken.

Tue Mar 22 21:05:01 2005 => Scanning Folder: C:\Programme\sicherheit utilities\INFECTED\*.*

Tue Mar 22 21:05:01 2005 => Scanning File C:\Programme\sicherheit utilities\INFECTED\SETUP.EXE.002

Tue Mar 22 21:05:01 2005 => File C:\Programme\sicherheit utilities\INFECTED\SETUP.EXE.002 infected by "Trojan-Downloader.Win32.Small.alx" Virus. Action Taken: No Action Taken.

Tue Mar 22 21:05:01 2005 => Scanning File C:\Programme\sicherheit utilities\INFECTED\SETUP.EXE.004

Tue Mar 22 21:05:01 2005 => File C:\Programme\sicherheit utilities\INFECTED\SETUP.EXE.004 infected by "Trojan-Downloader.Win32.Small.alx" Virus. Action Taken: No Action Taken.

Tue Mar 22 21:05:01 2005 => Scanning File C:\Programme\sicherheit utilities\INFECTED\SETUP.EXE.VIR

Tue Mar 22 21:05:01 2005 => File C:\Programme\sicherheit utilities\INFECTED\SETUP.EXE.VIR infected by "Trojan-Downloader.Win32.Small.alx" Virus. Action Taken: No Action Taken.

Tue Mar 22 21:05:30 2005 => File C:\Programme\TopConverting\arkanoid\arkanoid.exe infected by "not-a-virus:AdWare.WinShow.f" Virus. Action Taken: No Action Taken.

Tue Mar 22 21:07:03 2005 => File C:\WINDOWS\Downloaded Program Files\CONFLICT.1\HDPlugin1019.dll infected by "not-a-virus:AdWare.Gator.1019" Virus. Action Taken: No Action Taken.

Tue Mar 22 21:07:03 2005 => File C:\WINDOWS\Downloaded Program Files\CONFLICT.1\HDPlugin1100.dll infected by "not-a-virus:AdWare.Gator.1101" Virus. Action Taken: No Action Taken.

Tue Mar 22 21:07:04 2005 => File C:\WINDOWS\Downloaded Program Files\HDPlugin1019.dll infected by "not-a-virus:AdWare.Gator.1019" Virus. Action Taken: No Action Taken.

Tue Mar 22 21:07:04 2005 => File C:\WINDOWS\Downloaded Program Files\HDPlugin1100.dll infected by "not-a-virus:AdWare.Gator.1101" Virus. Action Taken: No Action Taken.

Tue Mar 22 21:07:04 2005 => File C:\WINDOWS\Downloaded Program Files\webdlg32.dll infected by "not-a-virus:AdWare.ToolBar.SBSoft.g" Virus. Action Taken: No Action Taken.

Tue Mar 22 21:13:13 2005 => File C:\WINDOWS\sehlp.dll infected by "Trojan-Downloader.Win32.Agent.kb" Virus. Action Taken: No Action Taken.

Tue Mar 22 21:20:08 2005 => File C:\WINDOWS\system32\openconf.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: No Action Taken.

Tue Mar 22 21:20:34 2005 => File C:\WINDOWS\system32\spnping.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: No Action Taken.

Tue Mar 22 21:21:10 2005 => File C:\WINDOWS\system32\winlogon32.exe infected by "Trojan-Downloader.Win32.Small.anj" Virus. Action Taken: No Action Taken.

Tue Mar 22 21:34:00 2005 => File C:\Dokumente und Einstellungen\fitze\Eigene Dateien\setx2000.exe infected by "not-a-virus:Porn-Dialer.Win32.Generic" Virus. Action Taken: No Action Taken.

Tue Mar 22 22:11:01 2005 => Scanning Folder: C:\Programme\sicherheit utilities\INFECTED\*.*

Tue Mar 22 22:11:01 2005 => Scanning File C:\Programme\sicherheit utilities\INFECTED\SETUP.EXE.002

Tue Mar 22 22:11:01 2005 => File C:\Programme\sicherheit utilities\INFECTED\SETUP.EXE.002 infected by "Trojan-Downloader.Win32.Small.alx" Virus. Action Taken: No Action Taken.

Tue Mar 22 22:11:01 2005 => Scanning File C:\Programme\sicherheit utilities\INFECTED\SETUP.EXE.004

Tue Mar 22 22:11:01 2005 => File C:\Programme\sicherheit utilities\INFECTED\SETUP.EXE.004 infected by "Trojan-Downloader.Win32.Small.alx" Virus. Action Taken: No Action Taken.

Tue Mar 22 22:11:01 2005 => Scanning File C:\Programme\sicherheit utilities\INFECTED\SETUP.EXE.VIR

Tue Mar 22 22:11:02 2005 => File C:\Programme\sicherheit utilities\INFECTED\SETUP.EXE.VIR infected by "Trojan-Downloader.Win32.Small.alx" Virus. Action Taken: No Action Taken.

Tue Mar 22 22:11:31 2005 => File C:\Programme\TopConverting\arkanoid\arkanoid.exe infected by "not-a-virus:AdWare.WinShow.f" Virus. Action Taken: No Action Taken.

Tue Mar 22 22:13:02 2005 => File C:\WINDOWS\Downloaded Program Files\CONFLICT.1\HDPlugin1019.dll infected by "not-a-virus:AdWare.Gator.1019" Virus. Action Taken: No Action Taken.

Tue Mar 22 22:13:02 2005 => File C:\WINDOWS\Downloaded Program Files\CONFLICT.1\HDPlugin1100.dll infected by "not-a-virus:AdWare.Gator.1101" Virus. Action Taken: No Action Taken.

Tue Mar 22 22:13:02 2005 => File C:\WINDOWS\Downloaded Program Files\HDPlugin1019.dll infected by "not-a-virus:AdWare.Gator.1019" Virus. Action Taken: No Action Taken.

Tue Mar 22 22:13:02 2005 => File C:\WINDOWS\Downloaded Program Files\HDPlugin1100.dll infected by "not-a-virus:AdWare.Gator.1101" Virus. Action Taken: No Action Taken.

Tue Mar 22 22:13:02 2005 => File C:\WINDOWS\Downloaded Program Files\webdlg32.dll infected by "not-a-virus:AdWare.ToolBar.SBSoft.g" Virus. Action Taken: No Action Taken.

Tue Mar 22 22:19:08 2005 => File C:\WINDOWS\sehlp.dll infected by "Trojan-Downloader.Win32.Agent.kb" Virus. Action Taken: No Action Taken.

Tue Mar 22 22:26:00 2005 => File C:\WINDOWS\system32\openconf.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: No Action Taken.

Tue Mar 22 22:26:25 2005 => File C:\WINDOWS\system32\spnping.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: No Action Taken.

Tue Mar 22 22:27:01 2005 => File C:\WINDOWS\system32\winlogon32.exe infected by "Trojan-Downloader.Win32.Small.anj" Virus. Action Taken: No Action Taken.

Tue Mar 22 22:27:22 2005 => Total Files Scanned: 85136
Tue Mar 22 22:27:22 2005 => Total Virus(es) Found: 35
Tue Mar 22 22:27:22 2005 => Total Disinfected Files: 0

wie geht's jetzt weiter?
gruß
fitze

ich glaub bei mir ist er wegg

Zitat:

Zitat von fitze

habe mir offensichtlich mal wieder einen einen hijacker eingefangen.

Aus Fehlern wird man klug, oder?

Zitat:

Zitat von fitze

C:\Programme\Internet Explorer\iexplore.exe

Anscheinend doch nicht...

Und jetzt erzähl uns nicht, Du hättest noch nie etwas von der Anfälligkeit des Internet Explorers gehört... Das Netz und jeder zweite Thread hier dürfte voll davon sein. Und in jedem zweiten Posting sind Schutzmaßnahmen aufgeführt.

Gruß
Yopie

Hi dartus
nachdem ich spyboot durchgeführt hab sag der mir
effectiveBandtoolbar
und adnn noch dollar55
kann nicht auf ini zugreifen da es von etwas anderem benutzt wird
hast du nen Rat?