Hallo,

hier also der gewünschte Log:

Logfile of HijackThis v1.99.1
Scan saved at 13:44:09, on 07.06.2005
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\CTSvcCDA.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\Programme\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\TEMP\FNFAE1.EXE
C:\WINNT\Explorer.EXE
C:\Programme\Trend Micro\OfficeScan Client\PCCNTMON.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\workx\Active Web Reader\Active Web Reader.exe
C:\Programme\Hardcopy\hardcopy.exe
C:\WINNT\TransparentW.exe
C:\Programme\**********************************
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
c:\programme\internet explorer\iexplore.exe
C:\PROGRA~1\WinZip\winzip32.exe
C:\DOKUME~1\k2201\LOKALE~1\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchcentral.cc/search.php?v=4&aff=4788
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://laserplus.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.msn.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: AutoDiscovery Class - {CAB710D6-532E-4B68-97AE-398477FA5524} - D:\workx\Active Web Reader\IERSSFeedDiscovery.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Disc Detector] C:\Programme\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Active Web Reader] D:\workx\Active Web Reader\Active Web Reader.exe -background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Hardcopy.LNK = C:\Programme\Hardcopy\hardcopy.exe
O4 - Startup: Verknüpfung mit TransparentW.exe.lnk = C:\WINNT\TransparentW.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O16 - DPF: {127698E4-E730-4E5C-A2B1-21490A70C8A1} (CEnroll Class) - https://www.trustcenter.de/activex/xenroll.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = *****************
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = *****************
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = *****************
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINNT\System32\CTSvcCDA.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\PROGRAMME\FRITZ!\de_serv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: OfficeScanNT Personal Firewall (OfcPfwSvc) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe

In diesem Beispiel heißt die Datei um die es sich dreht: FNFAE1.EXE

Gruß, Sledge
_____________
Anm.
Aktive Links editiert!
Mit Hilfe des Editieren Buttons kannst du auch noch nachträglich dein Beiträge bearbeiten.


LG Cidre
S-Mod TB

Ups, sorry, ich dachte, ich hätte den Haken bezüglich der Links gesetzt
Ich hoffe, ihr vergebt einem Newbie

Gruß, Sledge

Hallo,

zumindest war oder ist noch immer ein Browser Hijacker auf deinem System aktiv.
Lade und scanne mit eScan AntiVirus im abgesicherten Modus und poste uns die Virus Log Information.
Lösche danach mit den beschriebenen Möglichkeiten die verbliebene Malware und auch die FNFAE1.EXE.

Warum wurde das SP4 nicht installiert?

moin hab mich grad frisch registriert denn ich habe dieses phenomän bei nem user im verlag auch... weis jemand um welchen worm troj malware etc das ist, ist der neu oder wird der nur nicht erkannt ??

Thx...

PS.: wenn man ihn löscht kommt er wieder unter einem anderen namen, kein autostart etc...

total shice

Sorry,

moin ich muss unbedingt pushen... da ich nicht weiss ob ich neu installieren soll, oder ob es reicht mit einem speziellen tool das ganze anzugehen...

keiner ne idee oder n tipp... oder weiss es vielleicht doch jemand was das fürn teil is ?

Thx

Servus Momsy,

ist auf dem betroffenen System zufällig der Office Scan von Trendmicro installiert? Mit dem Tool Anti-Spy.Info konnte ich mittlerweile herausfinden, dass diese Datei von einer Hauptdatei des Office-Scan gestartet wird. Wenn ich zeitlich dazu komme, werde ich mal noch TrendMicro direkt befragen, ob dem so ist.

Greez, Sledge

Servus Sledge, toll das doch nochmal leben hier rein kommt

also Trendmicro Office scan läuft tatsächlich! der sollte auch Up To Date sein und ich habe wie gesagt mit allen möglichen Tools den rechner gescannt und diese Datei im Temp ist die einzige die mir suspekt ist!

VErwendete Tools:
Adware
SpySubtract
CWS-Shredder

wie gesagt, die datei heisst immer anderst und wird nach löschen und einem neustart wieder gestartet... ich weiss nicht weiter..

Für hilfe bin ich (und andere denke ich auch) dankbar

Ciao Momsy