Hijacker

Gizmo · 01.07.2004, 16:03

Hallo!
Es wäre nett, wenn sich jemand die Mühe machen würde und sich mal mein Log-File ansieht. Danke!!

Logfile of HijackThis v1.97.7
Scan saved at 16:37:07, on 01.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\Programme\Network Associates\VirusScan\Avsynmgr.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Common files\WinTools\WToolsS.exe
C:\Programme\Network Associates\VirusScan\VsStat.exe
C:\Programme\Network Associates\VirusScan\Vshwin32.exe
C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe
C:\Programme\Network Associates\VirusScan\Avconsol.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\dhbrwsr.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\Common files\WinTools\WToolsA.exe
C:\WINDOWS\wdskctl.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\ZyAIR G-200\OdHost.exe
C:\Programme\ZyAIR G-200\WLUSBCfg.exe
C:\Programme\Common files\WinTools\WSup.exe
C:\WINDOWS\dhsvr.exe
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\taskmgr.exe
C:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R3 - URLSearchHook: (no name) - {707E6F76-9FFB-4920-A976-EA101271BC25} - C:\Programme\TV Media\TvmBho.dll
O2 - BHO: (no name) - SOFTWARE - (no file)
O2 - BHO: (no name) - {00000000-0000-0000-0000-000000000221} - C:\PROGRA~1\Lycos\IEagent\CSIE.DLL
O2 - BHO: (no name) - {447160CD-ECF5-4EA2-8A8A-1F70CA363F85} - C:\WINDOWS\System32\msibkd.dll
O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_30.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NavErrRedir Class - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - C:\PROGRA~1\INCRED~1\BHO\INCFIN~1.DLL
O2 - BHO: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\PROGRA~1\COMMON~1\WinTools\WToolsB.dll
O2 - BHO: (no name) - {D848A3CA-0BFB-4DE0-BA9E-A57F0CCA1C13} - C:\WINDOWS\dealhlpr.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Band Class - {D848A3CA-0BFB-4DE0-BA9E-A57F0CCA1C13} - C:\WINDOWS\dealhlpr.dll
O3 - Toolbar: zSearch Bar - {5886A6DC-AAF4-45E9-979A-8E5E6DEE30E7} - C:\Programme\zSearch\zSearch.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [KAZAA] C:\Programme\Kazaa\Kazaa.exe /SYSTRAY
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [DealHelperUpdate] C:\WINDOWS\DHUpdt.exe
O4 - HKLM\..\Run: [DealHelperBrwsr] C:\WINDOWS\dhbrwsr.exe
O4 - HKLM\..\Run: [TimeSyncApp] C:\WINDOWS\TimeSynchronize.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe
O4 - HKLM\..\Run: [zSearch] C:\Programme\zSearch\Zstb.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [WinTools] C:\Programme\Common files\WinTools\WToolsA.exe
O4 - HKLM\..\Run: [wdskctl] C:\WINDOWS\wdskctl.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msmc] C:\WINDOWS\System32\msmc.exe
O4 - HKCU\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe
O4 - HKCU\..\Run: [zSearch] C:\Programme\zSearch\Zstb.exe
O4 - HKLM\..\RunOnce: [TV Media] C:\Programme\TV Media\Tvm.exe
O4 - HKCU\..\RunOnce: [TV Media] C:\Programme\TV Media\Tvm.exe
O4 - Startup: Mobipocket Web Companion.lnk = ?
O4 - Global Startup: ZyAIR G-200 Wireless LAN Utility.lnk = C:\Programme\ZyAIR G-200\Startup.exe
O8 - Extra context menu item: Web Savings - file://C:\Programme\WebSavingsfromEbates\System\Temp\ebateswebsavings_script0.htm
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: AOL Instant Messenger (TM) (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O16 - DPF: Dice Derby by pogo - http://game.pogo.com/applet-5.8.3.20...-ob-assets.cab
O16 - DPF: Fortune Bingo by pogo - http://game.pogo.com/applet-5.8.4.18...-ob-assets.cab
O16 - DPF: Pop Fu by pogo - http://game.pogo.com/applet-5.8.3.20...-ob-assets.cab
O16 - DPF: Squelchies by pogo - http://game.pogo.com/applet-5.8.3.20...-ob-assets.cab
O16 - DPF: {10372968-EEA7-4918-8EA4-9F9CE488AD29} (StarInstall Control) - http://213.76.131.84/install/ibsload.ocx
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...031.4255787037
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} - http://install.serviceurl.de/StarInstall.ocx

mmk · 01.07.2004, 18:32

Zitat:

Zitat von Gizmo

C:\WINDOWS\dhbrwsr.exe
C:\WINDOWS\wdskctl.exe
C:\WINDOWS\dhsvr.exe
C:\WINDOWS\System32\msibkd.dll
C:\WINDOWS\dealhlpr.dll
C:\WINDOWS\System32\msmc.exe

Prüf diese Dateien bitte hier: http://www.kaspersky.com/de/scanforvirus

Poste hier die jeweiligen Ergebnisse.

Gizmo · 01.07.2004, 20:07

Ich hoffe, ich hab alles richtig gemacht:

Zu überprüfende Datei: dhbrwsr.exe

dhbrwsr.exe Ok

Statistiken:
Bekannte Viren: 92210 Updated: 01-07-2004
Größe der Datei (Kb): 92 Viren-Korpus: 0
Datei: 1 Warnungen: 0
Archive: 0 Verdächtigt: 0

Zu überprüfende Datei: wdskctl.exe

wdskctl.exe Ok

Statistiken:
Bekannte Viren: 92210 Updated: 01-07-2004
Größe der Datei (Kb): 84 Viren-Korpus: 0
Datei: 1 Warnungen: 0
Archive: 0 Verdächtigt: 0

Zu überprüfende Datei: dhsvr.exe

dhsvr.exe Ok

Statistiken:
Bekannte Viren: 92210 Updated: 01-07-2004
Größe der Datei (Kb): 176 Viren-Korpus: 0
Datei: 1 Warnungen: 0
Archive: 0 Verdächtigt: 0

Zu überprüfende Datei: msibkd.dll

msibkd.dll - packed with PE_Patch
msibkd.dll - packed with TeLock
msibkd.dll Ok

Statistiken:
Bekannte Viren: 92210 Updated: 01-07-2004
Größe der Datei (Kb): 65 Viren-Korpus: 0
Datei: 3 Warnungen: 0
Archive: 0 Verdächtigt: 0

Zu überprüfende Datei: dealhlpr.dll

dealhlpr.dll Ok

Statistiken:
Bekannte Viren: 92229 Updated: 01-07-2004
Größe der Datei (Kb): 100 Viren-Korpus: 0
Datei: 1 Warnungen: 0
Archive: 0 Verdächtigt: 0

Zu überprüfende Datei: msmc.exe

msmc.exe - packed with PE_Patch
msmc.exe - packed with TeLock
msmc.exe Infiziert: Trojan.Win32.Small.i

Statistiken:
Bekannte Viren: 92229 Updated: 01-07-2004
Größe der Datei (Kb): 46 Viren-Korpus: 1
Datei: 3 Warnungen: 0
Archive: 0 Verdächtigt: 0

01.07.2004, 21:56

Bzgl. Startseitenproblem:

Bitte im abgesicherten Modus fixen:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
O2 - BHO: (no name) - {447160CD-ECF5-4EA2-8A8A-1F70CA363F85} - C:\WINDOWS\System32\msibkd.dll

Gizmo · 02.07.2004, 12:48

@ Christian: leider hab ich deine nachricht zu spät gesehen, hab die datei schon gefixt. sorry.
sieht es jetzt besser aus:

Logfile of HijackThis v1.97.7
Scan saved at 13:40:43, on 02.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\Programme\Network Associates\VirusScan\Avsynmgr.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Common files\WinTools\WToolsS.exe
C:\Programme\Network Associates\VirusScan\VsStat.exe
C:\Programme\Network Associates\VirusScan\Vshwin32.exe
C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe
C:\Programme\Network Associates\VirusScan\Avconsol.exe
C:\Programme\Common files\WinTools\WToolsA.exe
C:\Programme\ZyAIR G-200\OdHost.exe
C:\Programme\ZyAIR G-200\WLUSBCfg.exe
C:\Programme\Common files\WinTools\WSup.exe
C:\Programme\Gemeinsame Dateien\Network Associates\On Demand Scanner\Scan32\SCAN32.EXE
C:\Programme\AOL 9.0a\waol.exe
C:\Programme\AOL 9.0a\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\WINDOWS\System32\taskmgr.exe
C:\HijackThis.exe

R3 - URLSearchHook: (no name) - {707E6F76-9FFB-4920-A976-EA101271BC25} - (no file)
O2 - BHO: (no name) - SOFTWARE - (no file)
O2 - BHO: (no name) - {00000000-0000-0000-0000-000000000221} - C:\PROGRA~1\Lycos\IEagent\CSIE.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NavErrRedir Class - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - C:\PROGRA~1\INCRED~1\BHO\INCFIN~1.DLL
O2 - BHO: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\PROGRA~1\COMMON~1\WinTools\WToolsB.dll
O2 - BHO: (no name) - {D848A3CA-0BFB-4DE0-BA9E-A57F0CCA1C13} - C:\WINDOWS\dealhlpr.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Band Class - {D848A3CA-0BFB-4DE0-BA9E-A57F0CCA1C13} - C:\WINDOWS\dealhlpr.dll
O3 - Toolbar: zSearch Bar - {5886A6DC-AAF4-45E9-979A-8E5E6DEE30E7} - C:\Programme\zSearch\zSearch.dll
O4 - HKLM\..\Run: [WinTools] C:\Programme\Common files\WinTools\WToolsA.exe
O4 - HKLM\..\RunOnce: [TV Media] C:\Programme\TV Media\Tvm.exe
O4 - HKCU\..\RunOnce: [TV Media] C:\Programme\TV Media\Tvm.exe
O4 - Startup: Mobipocket Web Companion.lnk = ?
O4 - Global Startup: ZyAIR G-200 Wireless LAN Utility.lnk = C:\Programme\ZyAIR G-200\Startup.exe
O8 - Extra context menu item: Web Savings - file://C:\Programme\WebSavingsfromEbates\System\Temp\ebateswebsavings_script0.htm
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: AOL Instant Messenger (TM) (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: Dice Derby by pogo - http://game.pogo.com/applet-5.8.3.20...-ob-assets.cab
O16 - DPF: Fortune Bingo by pogo - http://game.pogo.com/applet-5.8.4.18...-ob-assets.cab
O16 - DPF: Pop Fu by pogo - http://game.pogo.com/applet-5.8.3.20...-ob-assets.cab
O16 - DPF: Squelchies by pogo - http://game.pogo.com/applet-5.8.3.20...-ob-assets.cab
O16 - DPF: {10372968-EEA7-4918-8EA4-9F9CE488AD29} (StarInstall Control) - http://213.76.131.84/install/ibsload.ocx
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...031.4255787037
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AA27B2CB-8310-4613-AA72-54EFCB44D450}: NameServer = 195.93.89.134

Radja · 02.07.2004, 14:01

ne sieht nicht wirklich besser aus!

Hattest Du eScan schon laufen? Wenn nicht bitte auf jeden Fall machen. (Wichtig 1. Updaten und 2. im abgesicherten modus bei ausgeschalteter Systemwiderherstellung) Bin ich hier schonmal drauf eingegangen

diese Dateien solltest Du bei Kaspersky prüfen lassen:

Zitat:

C:\Programme\Common files\WinTools\WToolsS.exe
C:\Programme\Common files\WinTools\WToolsA.exe
C:\Programme\Common files\WinTools\WSup.exe
C:\Programme\TV Media\Tvm.exe

sofern Du die oben genannten Dateien nicht kennst und sie nach dem eScan noch da sein sollten bitte Prozess beenden und dateien löschen (im abgesicherten modus)

diese Einträge mit HijackThis fixen:

Zitat:

R3 - URLSearchHook: (no name) - {707E6F76-9FFB-4920-A976-EA101271BC25} - (no file)
O2 - BHO: (no name) - SOFTWARE - (no file)
O2 - BHO: (no name) - {00000000-0000-0000-0000-000000000221} - C:\PROGRA~1\Lycos\IEagent\CSIE.DLL
O2 - BHO: NavErrRedir Class - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - C:\PROGRA~1\INCRED~1\BHO\INCFIN~1.DLL
O2 - BHO: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\PROGRA~1\COMMON~1\WinTools\WToolsB.dll
O2 - BHO: (no name) - {D848A3CA-0BFB-4DE0-BA9E-A57F0CCA1C13} - C:\WINDOWS\dealhlpr.dll
O3 - Toolbar: Band Class - {D848A3CA-0BFB-4DE0-BA9E-A57F0CCA1C13} - C:\WINDOWS\dealhlpr.dll
O3 - Toolbar: zSearch Bar - {5886A6DC-AAF4-45E9-979A-8E5E6DEE30E7} - C:\Programme\zSearch\zSearch.dll

Je nach ergebnis von Kaspersky bzw. eScan(wenn böse fixen!)

Zitat:

O4 - HKLM\..\Run: [WinTools] C:\Programme\Common files\WinTools\WToolsA.exe
O4 - HKLM\..\RunOnce: [TV Media] C:\Programme\TV Media\Tvm.exe
O4 - HKCU\..\RunOnce: [TV Media] C:\Programme\TV Media\Tvm.exe
O4 - Startup: Mobipocket Web Companion.lnk = ?

Wenn Dir game pogo nichts sagt auch diese Einträge fixen:

Zitat:

O16 - DPF: Dice Derby by pogo - http://game.pogo.com/applet-5.8.3.2...g-ob-assets.cab
O16 - DPF: Fortune Bingo by pogo - http://game.pogo.com/applet-5.8.4.1...o-ob-assets.cab
O16 - DPF: Pop Fu by pogo - http://game.pogo.com/applet-5.8.3.2...u-ob-assets.cab
O16 - DPF: Squelchies by pogo - http://game.pogo.com/applet-5.8.3.2...s-ob-assets.cab

Halte ich auch für fraglich (wenn es dir auch so geht fixen!):

Zitat:

O16 - DPF: {10372968-EEA7-4918-8EA4-9F9CE488AD29} (StarInstall Control) - http://213.76.131.84/install/ibsload.ocx

Hijacker

Log-Analyse und Auswertung: Hijacker

Hijacker

Hijacker

Hijacker

Hijacker

Hijacker

Hijacker

Ähnliche Themen: Hijacker