Hallo

hijackthis 1.99.1 hat folgendes bei mir enteckt:

Logfile of HijackThis v1.99.1
Scan saved at 13:04:22, on 22.03.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
D:\Software\hijacker ANTI\hijackthis1[1].99.1\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://rl.webtracer.cc/-/?iiehf
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://rl.webtracer.cc/-/?iiehf
O1 - Hosts: 1159680172 auto.search.msn.com
O19 - User stylesheet: C:\WINDOWS\stsheets.dat
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe

Wenn ich versuche "O1 - Hosts: 1159680172 auto.search.msn.com" zu fixen wird dies verweigert und bei den anderen bin ich mir nicht sicher.


spybot findet:

coolwwwsearch --> ist nach dem fixen wieder da
common hijacker (umgeleteter host) --> lässt sich nicht fixen
possible hijacker --> ist nch dem fixen wieder da


cwshredder findet:

cws.bootconf
cws.svchost32

beides ist nach dem removen sofort wieder da.

Ich weiß einfach nicht mehr was ich machen soll.

mfg
sumo

Hi Leute,

ich dreh echt schon am rad und geh gleich amok. Ich hab zwar ferien aber einen arsch voll zu tun und kann nicht weil mich dieser scheiß einfach nicht in ruhe lässt.
Erbamt euch und helft mir.

mfg
sumo

Im abgesicherten Modus folgendes mit HjT fixen:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://rl.webtracer.cc/-/?iiehf
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://rl.webtracer.cc/-/?iiehf

O1 - Hosts: 1159680172 auto.search.msn.com

O19 - User stylesheet: C:\WINDOWS\stsheets.dat

O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll


Lösche manuell:
C:\WINDOWS\System32\vbsys2.dll
C:\WINDOWS\stsheets.dat


Windowsupdate durchführen!

Hi,

habe es gerade mal ausprobiert. Bin in den abgesicherten modus und habe dann die angegebenen dateien mit HijackThis gefixt hat auch funktioniert. Beim manuellen löschen habe ich die windows/stsheets.dat datei aber nicht gefunden und somit auch nicht löschen können.
Habe mich dann schön gefreut, weil beim erneutem scannen (hijackthis) die dateien nicht mehr gefunden wurden. Die systemwiederherstellung hatte ich im abgesichrten modus ausgemacht.

Nach dem erneuten hochfahren jedoch hat spybot wieder alle drei dateien gefunden und auch HijackThis wieder bis auf die datei O21.

logfile:

Logfile of HijackThis v1.99.1
Scan saved at 23:30:55, on 22.03.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
D:\Software\hijacker ANTI\hijackthis1[1].99.1\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://rl.webtracer.cc/-/?iiehf
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://rl.webtracer.cc/-/?iiehf
O1 - Hosts: 1159680172 auto.search.msn.com
O19 - User stylesheet: C:\WINDOWS\stsheets.dat
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe


Danke für die Mühe hat aber leider nix gebracht. Vielleicht hat jemand noch einen anderen Vorschlag wäre sehr verbunden.
Also die datei windows/stsheets.dat habe ich gerade auch nochmal gesucht aber nix zu finden????

mfg
Sumo

Sind die Ordneroptionen wie folgt gesetzt?
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren
+
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren
Wenn nein, alle Schritte wiederholen.


Alternativ bitte folgendes durchführen:
Scanne dein System bitte mit eScan im abgesicherten Modus (Anleitung bitte genau befolgen!) und poste was gefunden wird.

haui45 bin fast sorgenfrei-
hab alles gemacht wie ihr beschrieben -
se/dll ist wohl wegg
hab aber noch eine frage
spyboot war auch leer
aber eine meldung kamm
xuron55 installdollars
Bitte nur ein kleiner tipp