Hallo Hijacker-geschädigte Gemeinde,

Ich hoffe, Ihr könnt mir helfen.

Mein IE startet immer mit enjoysearch.

Meine log-Datei ist angehängt.

Die Einträge in der Registry habe ich schon korrigiert, sind aber nach jedem Systemstart wieder da!


Wäre für Eure Hilfe dankbar!


Markus


Logfile of HijackThis v1.97.7
Scan saved at 20:45:34, on 09.04.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\WT32EXE.EXE
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\RunDll32.exe
C:\WINNT\anvshell.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\Microsoft Hardware\Keyboard\type32.exe
C:\WINNT\system32\tblmouse.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\WINNT\jushed32.exe
C:\WINNT\system32\internat.exe
C:\Programme\TerraTec\DMX 6fire\DMX6Fire.exe
C:\WINNT\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
\Server\Server_D\08 DOWNLOADS u TREIBER\0 Internet HTML\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://DF809JOW4WJ2304LFD0SF9FSD0A2T...BIZ/search.htm (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.enjoysearch.info/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.enjoysearch.info/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.enjoysearch.info/search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.enjoysearch.info/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.enjoysearch.info/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.enjoysearch.info
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.enjoysearch.info/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.enjoysearch.info/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.enjoysearch.info/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.enjoysearch.info
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.enjoysearch.info/search.html
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [C-Media Speaker Configuration] C:\PROGRA~2\C-Media\WIN_ME\Setup.exe /SPEAKER
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [LiveNote] livenote.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [TBLFUNC] tblmouse.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: DMX 6fire 2496 ControlPanel.lnk = C:\Programme\TerraTec\DMX 6fire\DMX6Fire.exe
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: SEARCH (HKLM)
O9 - Extra button: ENTERTAINMENT (HKLM)
O9 - Extra button: PILLS (HKLM)
O9 - Extra button: SECURITY (HKLM)
O9 - Extra button: SEARCH (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab

Hallo Markus ind Willkommen im Board,

welche Einträge (außer R0 - R1) hast Du bereits entfernt und tauchen trotzdem wieder auf?

Diese Einträge:
</font><blockquote>Zitat:</font><hr />O9 - Extra button: SEARCH (HKLM)
O9 - Extra button: ENTERTAINMENT (HKLM)
O9 - Extra button: PILLS (HKLM)
O9 - Extra button: SECURITY (HKLM)
O9 - Extra button: SEARCH (HKLM)</font>[/QUOTE]erscheinen mir zumindest höchst verdächtig!

Edit
Nachtrag entfernt. War kompletter Blödsinn von mir. Sorry!!

Gruß,
Lutz

[ 09. April 2004, 22:45: Beitrag editiert von: Lutz (DerBilk) ]

Habe folgende e-mail erhalten, die ich nicht vorenthalten möchte:


Hi,

I saw your message on trojaner-board.de about default Internet Explorer start page pointing on www.enjoysearch.com. I had exactly the same problem yesterday. I have resolved the problem, I suppose you are interested :

1) Kill process jushed32.exe =&gt; I guess this is the trojan, but no anti-virus could detect it... Why ???

2) Delete file jushed32.exe in c:\windows\system32

3) Replace any registry key containing www.enjoysearch.com by about:blank

4) Install the lastest Microsoft patch relative to MS04-011,MS04-012 and MS04-013 vulnerabilities.

5) Reboot and everything is OK !

However, I did not find how the jushed32.exe is started : no Run registry key, nor startup group... Any idea ?

Please put theses informations on your forum if you find them usefull, it could help some people.

Sylvain (werde@chez.com)


******ADSL Tiscali, le Haut débit au meilleur prix ******
Avec Tiscali, profitez de l'ADSL au meilleur prix partout en France !
Pour profiter de cette offre exceptionnelle, cliquez ici : http://register.tiscali.fr/adsl
Sous réserve d'éligibilité à l'ADSL.


Ich werde das nicht mehr brauchen, da mein Rechner ohnehin ein neues Motherboard bekommt und damit eine Neuinstallation unumgänglich ist. Aber vielleicht interessiert es ja sonst jemanden.


Jedenfalls Danke für Eure Hilfe!

Linzer

Ein neues Motherboard bedingt zwar nicht zwangsläufig eine Neuinstallation, aber wenn eh' schon verseucht, ist es in doppelter Hinsicht die sauberere Methode.
Wie die angeblich Schaddatei denn wirklich gestartet wird, wäre hoch interessant, nur um es herauszufinden müsste man an einer verseuchten Kiste hocken und das will ich mir dann doch nicht antun.

Bitte editiere die fragliche Webadresse in nicht anklickbare Form, z.Bsp in h**p://www.enjoysearch.com