21.8.2007

Hallo

Wenn ich auf eine von Google rausgesuchte Seite will und den Link dazu klicke,
komme ich auf eine andere, fremde Seite!
Jetzt habe ich in einen anderen Forum folgenden Beitrag gefunden, er schrieb:




So, dank HijackThis und Wühlen in Google habe ich mein Problem
zumindest gefunden. Ich habe mir ein Malware-BHO mit dem Namen
"extmgr32.dll" eingefangen gehabt. Nach dem Entfernen via HiJackThis
und einem Reboot des Systems funktioniert nun auch wieder die Suche
via Google mit dem IE ohne Probleme.
Der HJT-Logfile wies auf folgende DLL hin:
O2 - BHO: (no name) - {41EA2977-FBC4-4614-90F6-367CD95ABB47} - C:
\WINDOWS\system32\extmgr32.dll
Eine Beschreibung findet sich hier:
http://www.castlecops.com/tk30431-Shockwave_Flash_Object.html


Nachdem ich dies las, lud ich mir HijackThis und stellte den damit erstellten
"logfile" in eine automatische Prüfengine, welche unter "http://www.hijackthis.de/de#anl" erreichbar ist.
Auch bei mir zeigte die Engine den Fehler:

O2 - BHO: (no name) - {41EA2977-FBC4-4614-90F6-367CD95ABB47} - C:
\WINDOWS\system32\extmgr32.dll

an.

So, wo finde ich jetzt diesen o.g. Eintrag in der Regestrie, damit ich ihn dort löschen kann?
Wenn ich regedit in Ausführen eintippe, kommen nur die HKEY´s, keine O2 - BHO´s.

vielen Dank


p.s. HDD terminieren mog ich net

Hallo

erstelle bitte ein neues HijackThis Log
nach Anleitung, benenne aber die Hijackthis.exe um in z.B. ABC.exe und bitte editiere alle Links (z.B. http -> hxxp) sowie persönlichen Einträge wie realname usw.

MFG

21.8.2007

Hallo nochdigger, danke für die schnelle Antwort

Ich hab jetzt, mit Hilfe der Suchfunktion im Registrierungs Editor den Pfad gefunden.
Es gibt unter diesen Key: {9770D4B6-2731-4360-99A3-2B8E9413E9AA} einen Unterordner
namens iexplore, darin sind 3 Werte mit den Namen Count Time und Type.
Soll ich einfach alles löschen und wenn ja nach welcher Reihenfolge.
Soll ich das Programm selber "C:\WINDOWS\system32\hnetcfgd.dll" zuerst löschen, oder
nach der Regestrieeintraglöschung?


Vielleicht gibt es noch weitere Probleme in meinen System, bzw mit dem aktuellen Problem,
dafür stelle ich hier, den angeforderten logfile ein:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 04:24:09, on 21.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Filzip\filzip.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\DOKUME~1\user\LOKALE~1\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: XBTP01710 - {0BC9322A-B2CF-4ea5-9716-70399CFFBBC4} - C:\PROGRA~1\SOFTOM~1\TOOLBA~1\INSTAL~1\{8F250~1\1\toolbar.dll
O2 - BHO: XBTP01710 - {135775DC-A05A-40bf-83AB-0C6FDFE8250A} - C:\PROGRA~1\SOFTOM~1\TOOLBA~1\INSTAL~1\{8F250~1\5\toolbar.dll
O2 - BHO: XBTP01710 - {181207EF-A139-49cf-B694-65F5A4B19E6E} - C:\PROGRA~1\SOFTOM~1\TOOLBA~1\INSTAL~1\{8F250~1\2\toolbar.dll
O2 - BHO: XBTP01710 - {27B95734-BC23-4257-B39C-76874BE1594C} - C:\PROGRA~1\SOFTOM~1\TOOLBA~1\INSTAL~1\{8F250~1\3\toolbar.dll
O2 - BHO: XBTP01710 - {2DC3B797-870F-422b-B427-48EA635E8F08} - C:\PROGRA~1\SOFTOM~1\TOOLBA~1\INSTAL~1\{8F250~1\6\toolbar.dll
O2 - BHO: XBTP01710 - {74FA8F51-C61B-435c-ABCC-4DF519E454CF} - C:\PROGRA~1\SOFTOM~1\TOOLBA~1\INSTAL~1\{8F250~1\0\toolbar.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {9770D4B6-2731-4360-99A3-2B8E9413E9AA} - C:\WINDOWS\system32\hnetcfgd.dll
O2 - BHO: XBTP01710 - {A71BA033-AB03-4961-9101-C5289CDF02B4} - C:\PROGRA~1\SOFTOM~1\TOOLBA~1\INSTAL~1\{8F250~1\4\toolbar.dll
O2 - BHO: XBTBPos00 - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} - C:\PROGRA~1\SOFTOM~1\TOOLBA~1\bin\toolbarU.dl_
O3 - Toolbar: IE Toolbar - {8F2505E3-85C6-4119-86A2-8A875D411353} - C:\PROGRA~1\SOFTOM~1\TOOLBA~1\installed\{8F2505E3-85C6-4119-86A2-8A875D411353}\6\toolbar.dll
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\\PSDrvCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: - file://C:\Programme\.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

--
End of file - 4220 bytes

Ich habe jetzt versucht die Datei zu löschen was aber nicht geht.
"kann nicht gelöscht werden"

was nun, erst den Regestrieeintrag löschen?

Scan die Datei
C:\WINDOWS\system32\hnetcfgd.dll

bei VirusTotal - Free Online Virus and Malware Scan und poste das Ergebnis hier.
Die Softomate toolbar hast Du Dir installiert?

Bata

@BataAlexander

Hallo



Vielen Dank für den Link.
Ja, ich hab die Softomate Toolbar selber installiert.
- hab den Scan durchgeführt sowie´s ausschaut, ist es kein Virus, sondern Adware.

Bei Wikipedia wird Adware wie folgt definiert:

Als Adware (Kunstwort aus engl. advert, „Werbung“, und Software) bezeichnet man (üblicherweise kostenlose und funktionell uneingeschränkte) Software, die dem Benutzer zusätzlich zur eigentlichen Funktionalität Werbebanner oder Werbe-Pop-ups zeigt bzw. weitere Software installiert, die auf dem System Daten sammelt oder Werbung anzeigt. Diese Werbeeinblendungen lassen sich nur selten durch z. B. Löschung von Registry-Schlüsseln oder andere Eingriffe in die Software vermeinden. Durch Vermarktung dieser Werbeflächen wird die Entwicklung der Software finanziert. Oft gibt es auch eine Option, gegen Bezahlung eine werbefreie Vollversion zu erhalten.
Strittig ist, ob Adware automatisch als Spyware zu bezeichnen ist. Zwar wird von manchen werbefinanzierten Programmen nur wenig Information preisgegeben, alleine die Verbindungsdaten erlauben jedoch bereits vielfältige Rückschlüsse über Nutzungsverhalten und sind aus Datenschutzgründen problematisch.

Demnach ist es wenig erfolgversprechend den Registrierungsschlüssel zu löschen?

Ich habe jetzt zuerst mit dem Programm "AmokDelieDel" die Datei gelöscht, dazu muss man diese jedoch, auf das im Desktop erscheinende Symbol "bei Neustart löschen " schieben.

Dann habe ich den Eintrag aus der Regestrie gelöscht.

Und die Automatischen Windows Updates, welche bei mir absichtlich deaktiviert waren, wieder eingeschaltet.

Wenn das Problem mit dem Googlefenstern noch einmal auftaucht, werd ich wieder hier posten, bis dahin stellt sich nur die Frage ob evtl. noch Spyware oder ein Trojaner aktiv ist?





hier ist das Scan Ergebniss:

(Übrigens AntiVir hat bei mir, wenn ich die besagte Datei mit
dem bei mir, offline installierten AntiVir Freewareprogramm, überprüfe, NICHT angeschlagen.)





AntiVir 7.4.1.63 2007.08.22 ADSPY/Stud.A.43
Avast 4.7.1029.0 2007.08.21 Win32:Trojano-3384
AVG 7.5.0.484 2007.08.22 Adware Generic2.AMI
BitDefender 7.2 2007.08.22 Adware.Stud.Y
ClamAV 0.91 2007.08.22 Trojan.BHO-83
Ewido 4.0 2007.08.22 Adware.Stud
F-Prot 4.3.2.48 2007.08.22 W32/Adware.KBB
Ikarus T3.1.1.12 2007.08.22 not-a-virus:AdWare.Win32.Stud.d
Kaspersky 4.0.2.24 2007.08.22 not-a-virus:AdWare.Win32.Stud.a
NOD32v2 2476 2007.08.22 a variant of Win32/Adware.BHO.AA
Norman 5.80.02 2007.08.22 W32/Stud.AE
Sophos 4.20.0 2007.08.22 MapKon
Symantec 10 2007.08.22 Adware.Webprefix
TheHacker 6.1.8.171 2007.08.21 Adware/Stud.a
VBA32 3.12.2.2 2007.08.22 suspected of Trojan-Downloader.Agent.47
Webwasher-Gateway 6.0.1 2007.08.22 Ad-Spyware.Stud.A.43

weitere Informationen

File size: 35018 bytes
MD5: 669e4a3e4f493fb4706bcf38a4da01fc
SHA1: 138be3078aa3b3d7fdfda5e1514431fd0d32cb07
packers: UPX
packers: UPX
packers: UPX
packers: UPX


- Ich würde gern mal mein System scannen lassen, da AntiVir "free" nicht alles findet,
stellt sich die Frage welches Programm sonst?




p.s.
Gleiches Thema:
http://209.85.135.104/search?q=cache:F25jOkwQFMUJ:www.trojaner-board.de/40536-win32-trojano-3384-hilfe.html+Trojano-3384&hl=de&ct=clnk&cd=3&gl=de

Um Dein System vor zukünfigen Infektionen zu schützen, lies bitte das folgende aufmerksam, Du findest auch einen Link zu Online Scannern.

Das folgende ist eine Sammlung von Tools und Hilfsmitteln. Diese helfen Dir zu verstehen, wie Du infiziert wurdest und wie Du Dich in Zunkunft davor schützen kannst.

Spybot Search & Destroy - Ein gutes Tool, welches bösartige Software sucht und unschädlich macht. Bei der Installation darauf achten den Tea Timer & SD Helper nicht zu aktivieren!

AdAware - Ein weiteres "Multi Tool" welches nach bösen Einträgen sucht und diese beseitigt. AdAware und Spybot Search & Destroy vertragen sich bisher noch sehr gut auf einem System.

Nutze standardmäßig einen alternativen Browser, wie zb Firefox oder Opera
Der Internet Explorer sollte nur für das Windows- Officeupdate benutzt werden.
Eine Alternative zu Outlook ist zb Thunderbird.

Miranda-IM - Die ist ein Malware freier, Open Source Instant Messenger welcher mit den Protokollen von AOL, Yahoo, ICQ, IRC, MSN zusammenarbeitet.

CCleaner Download - ist eine Freeware-Software zur Optimierung und zum Aufräumen von Windows.

Hier findest Du eine Sammlung(Englisch) von falschen Antivirenprogrammen. Diese Liste ist nicht immer upToDate. Bei Unklarheiten im Forum vor einer Installation nachfragen.

Hier findest Du aktuelle Sicherheitsmeldungen.

Überprüfe dein System bei Bedarf mit einem On-Demandscanner um eventuelle Befälle aufzuspüren.

Windows Update - Es ist sehr wichtig sicher zu sein das Internet Explorer und Windows mit allen aktuellen Patches von Microsoft versorgt sind. Um dies zu prüfen öffne den Internet Explorer, wähle Extras und dort Windows Update, und folge den Anweisungen.

Generell gilt: Halte immer alle Anwenung auf einem akutellem Stand!

Bata