HijackThis Log Tutorial

mmk

</font><blockquote>Zitat:</font><hr />Original erstellt von hanna_s:
[...]den trojaner hab ich jetzt glaub ich weg, aber ich hab immer noch probleme. [img]redface.gif[/img] </font>[/QUOTE]Welche Trojaner? Welches AntiViren-Programm gab welche Meldung aus?

</font><blockquote>Zitat:</font><hr />und zwar will der internet expl. immer wieder auf die seite h**p://www.blazefind.com</font>[/QUOTE]Der Internet Explorer ist kein ausreichend sicherer Browser, und sollte daher durch eine sicherere Alternative ausgetauscht werden.

</font><blockquote>Zitat:</font><hr />hab jetzt mal was rumgestöbert und dies lo erstellt, poste ich mal hier, ok?</font>[/QUOTE]Sicher.

Das Folgende ist Adware, also Systemballastm der unbedingt gelöscht werden sollte (dazu im Laufe des Postings mehr):

C:\DOKUME~1\THORST~1\LOKALE~1\Temp\msbb.exe
C:\Programme\Bargain Buddy\bin2\bargains.exe
C:\PROGRA~1\COMMON~2\ADDRES~1\winnet.exe
C:\PROGRA~1\COMMON~2\ADDRES~1\comwiz.exe


Vor folgenden Einträgen solltest du in HijackThis ein Häkchen setzen und dann "Fix checked" klicken. Der IE muss dabei geschlossen sein.

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.blazefind.com/search.php?search=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.blazefind.com
R1 - HKLM\Software\Microsoft\Internet
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.blazefind.com/search_page.php
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.blazefind.com
O2 - BHO: BabeIE - {00000000-0000-0000-0000-000000000000} - C:\PROGRA~1\COMMON~2\ADDRES~1\cnbabe.dll
O2 - BHO: (no name) - {000006B1-19B5-414A-849F-2A3C64AE6939} - C:\WINDOWS\bi.dll
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: (no name) - {71ED4FBA-4024-4bbe-91DC-9704C93F453E} - c:\progra~1\iesearchbar\iesearchbar.dll
O2 - BHO: (no name) - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - C:\WINDOWS\Downloaded Program Files\bridge.dll
O2 - BHO: Url Catcher - {CE31A1F7-3D90-4874-8FBE-A5D97F8BC8F1} - C:\PROGRA~1\BARGAI~1\bin2\apuc.dll
O3 - Toolbar: IE Search Bar - {71ED4FBA-4024-4bbe-91DC-9704C93F453E} - c:\progra~1\iesearchbar\iesearchbar.dll
O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\Downloaded Program Files\bridge.dll",Load
O4 - HKLM\..\Run: [Bargains] C:\Programme\Bargain Buddy\bin2\bargains.exe
O4 - HKLM\..\Run: [winnet] C:\PROGRA~1\COMMON~2\ADDRES~1\winnet.exe
O4 - HKLM\..\Run: [BEIL] C:\WINDOWS\BEIL.exe
O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} (Loader Class) - http://connect.online-dialer.com/MaConnect.cab
O16 - DPF: {03C543A1-C090-418F-A1D0-FB96380D601D} (preload control) - http://216.82.66.200/build/preload.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/19fbdabe5ec87ec97c21/netzip/RdxIE601_de.cab
O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} (brdg Class) - http://www2.flingstone.com/cab/2000XP/bridge.cab
O16 - DPF: {F5192746-22D6-41BD-9D2D-1E75D14FBD3C} (ddm_download.ddm_control) - http://download.rfwnad.com/cab/crack.CAB

Dann die Systemwiederherstellung in XP deaktivieren, System neu starten. Abschließend Spybot S&D von http://security.kolla.de laden, installieren, updaten, scannen lassen, Malware-Reste entfernen. Systemwiederherstellung reaktivieren und System neu starten.

Den Browser wechseln (der IE ist, wie gesagt, zu unsicher):

- http://mozilla.kairo.at
- http://firebird-browser.de
- http://opera7.de


Edit, wichtig! Unbedingt den Hinweis von spacelord bzgl. web3000 beachten (das ist die msbb.exe und auf sie verweisende Einträge). Ebenso deinstallieren wie NewDotNet.

[ 26. Januar 2004, 16:27: Beitrag editiert von: mmk ]