Hijacker geht nicht weg. Hilfe!

Darkfighter · 12.04.2005, 17:20

Hallo

Hab das Logfile auf hijackthis.de auswerten lassen, hab alles gefixt, aber der Hijacker kommt immer wieder.
Hat jemand ne Ahnung was da los sein könnte.

Danke schonmal im Vorraus

Hier mein Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 17:52:29, on 12.04.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\mgabg.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\atlbh32.exe
C:\WINNT\system32\PDesk\PDesk.exe
C:\WINNT\SOUNDMAN.EXE
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINNT\system32\appxw.exe
C:\Programme\GIANT Company Software\GIANT AntiSpyware\gcasServ.exe
C:\Programme\GIANT Company Software\GIANT AntiSpyware\gcasDtServ.exe
C:\WINNT\system32\wisptis.exe
C:\Programme\T-Online\T-Online_Software_5\eMail\Mail.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\kernel.exe
C:\DOKUME~1\JWOERN\LOKALE~1\Temp\HIJACK~1.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\xowec.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\xowec.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\xowec.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\xowec.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\xowec.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\xowec.dll/sp.html#12345
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\xowec.dll/sp.html#12345
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {678A2654-BD6F-35D0-C799-629F772DB27C} - C:\WINNT\ipcn32.dll
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINNT\system32\PDesk\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\GIANT Company Software\GIANT AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [appxw.exe] C:\WINNT\system32\appxw.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O17 - HKLM\System\CCS\Services\Tcpip\..\{708014F1-A783-4C14-B778-DFC0612EB41C}: NameServer = 217.237.151.161,217.237.151.33
O23 - Service: Network Security Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINNT\crce.exe (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINNT\system32\mgabg.exe

Rene-gad · 12.04.2005, 17:24

@Darkfighter
Mach bitte Folgendes:
1.Temporary Internet Files -Ordner leeren:
Start/Einstellungen/Systemsteuerung/Internetoptionen/Dateien löschen/Alle Offlineinhalte löschen...
2. Papierkorb leeren.
3. Infected-Ordner vom Antivirus-Programm und, ggf. Spybot Search & Destroy, Ad-Aware und Co. , leeren.
4. eScan nach der Anleitung im abgesicherten Modus laufen lassen.
Ergebnisse ggf. mit Vireninfos inkl. Pfäde hier posten.

Lutz · 12.04.2005, 17:31

Hallo Darkfighter,

das folgende wird Dein Problem sehr wahrscheinlich nicht vollständig lösen, aber aufgrund der folgenden Einträge habe ich eine Bitte an Dich:

Zitat:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\xowec.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\xowec.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\xowec.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\xowec.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\xowec.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\xowec.dll/sp.html#12345
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\xowec.dll/sp.html#12345

Lade Dir bitte diesen Cleaner herunter, starte ihn und poste das damit erstelte Logfile (SPSeHjFix.log). Mich interessiert, was der Cleaner hierzu 'sagt'.

Danke!

Darkfighter · 13.04.2005, 15:26

Hier ist das Logfile

(12.4.05 20:44:05) SPSeHjFix started v1.1.2
(12.4.05 20:44:05) OS: Win2000 Service Pack 4 (5.0.2195)
(12.4.05 20:44:05) Language: deutsch
(12.4.05 20:44:05) Win-Path: C:\WINNT
(12.4.05 20:44:05) System-Path: C:\WINNT\system32
(12.4.05 20:44:05) Temp-Path: C:\DOKUME~1\JWOERN\LOKALE~1\Temp\

(13.4.05 07:19:15) SPSeHjFix started v1.1.2
(13.4.05 07:19:15) OS: Win2000 Service Pack 4 (5.0.2195)
(13.4.05 07:19:15) Language: deutsch
(13.4.05 07:19:15) Win-Path: C:\WINNT
(13.4.05 07:19:15) System-Path: C:\WINNT\system32
(13.4.05 07:19:15) Temp-Path: C:\DOKUME~1\JWOERN\LOKALE~1\Temp\
(13.4.05 07:19:19) Disinfection started
(13.4.05 07:19:19) Bad-Dll(IEP): c:\winnt\system32\xowec.dll
(13.4.05 07:19:19) UBF: 7 - UBB: 1 - UBR: 6
(13.4.05 07:19:19) UBF: 7 - UBB: 1 - UBR: 6
(13.4.05 07:19:19) Bad IE-pages:
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Bar: res://c:\winnt\system32\xowec.dll/sp.html#12345
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Page: res://c:\winnt\system32\xowec.dll/sp.html#12345
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank
deleted: HKCU\Software\Microsoft\Internet Explorer\Search, SearchAssistant: res://c:\winnt\system32\xowec.dll/sp.html#12345
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Bar: res://c:\winnt\system32\xowec.dll/sp.html#12345
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Page: res://c:\winnt\system32\xowec.dll/sp.html#12345
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Default_Page_URL: about:blank
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Default_Search_URL: res://c:\winnt\system32\xowec.dll/sp.html#12345
deleted: HKLM\Software\Microsoft\Internet Explorer\Search, SearchAssistant: res://c:\winnt\system32\xowec.dll/sp.html#12345
(13.4.05 07:19:19) Stealth-String not found
(13.4.05 07:19:19) No locked Files to delete. End without Reboot
(13.4.05 07:19:23) Disinfection started
(13.4.05 07:19:23) Bad-Dll(IEP): c:\winnt\system32\xowec.dll
(13.4.05 07:19:23) UBF: 7 - UBB: 1 - UBR: 6
(13.4.05 07:19:23) UBF: 7 - UBB: 1 - UBR: 6
(13.4.05 07:19:23) Bad IE-pages: (none)
(13.4.05 07:19:23) Stealth-String not found
(13.4.05 07:19:23) No locked Files to delete. End without Reboot

(13.4.05 16:22:37) SPSeHjFix started v1.1.2
(13.4.05 16:22:37) OS: Win2000 Service Pack 4 (5.0.2195)
(13.4.05 16:22:37) Language: deutsch
(13.4.05 16:22:37) Win-Path: C:\WINNT
(13.4.05 16:22:37) System-Path: C:\WINNT\system32
(13.4.05 16:22:37) Temp-Path: C:\DOKUME~1\JWOERN\LOKALE~1\Temp\
(13.4.05 16:22:38) Disinfection started
(13.4.05 16:22:38) Bad-Dll(IEP): (not found)
(13.4.05 16:22:38) Bad-Dll(IEP) in BHO: (not found)
(13.4.05 16:22:38) UBF: 7 - UBB: 1 - UBR: 6
(13.4.05 16:22:38) UBF: 7 - UBB: 1 - UBR: 6
(13.4.05 16:22:38) Bad IE-pages: (none)
(13.4.05 16:22:38) Stealth-String not found
(13.4.05 16:22:38) Not infected->END

Hijacker geht nicht weg. Hilfe!

Log-Analyse und Auswertung: Hijacker geht nicht weg. Hilfe!