Hallo zusammen,
ich hoffe es nimt sich jemand Zeit für mich und meinem Kampf mit bestsearch.cc/3100/.

habe alles mögliche schon probiert von ad-aware bis hin zu Spybot, auch die automatische auswertung meiner Hijack This logfiles auf der Hijack This seite brachte keinen erfolg.
Hier nun mein aktuelles Logfile

Logfile of HijackThis v1.98.2
Scan saved at 19:28:35, on 04.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Canon\MultiPASS4\MPSERVIC.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\System32\NILaunch.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\fxredir.exe
D:\online\avm\ken\kentbsrv.exe
D:\Tools\Norton\Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
D:\Tools\Norton\Internet Security\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
D:\TEMP\Hijacker\hijackthis1982\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.52/3100/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.52/3100/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.191.52/3100/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.52/3100/sp.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.52/3100/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.191.52/3100/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://69.50.191.52/3100/sp.php
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Tools\Norton\Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Tools\Norton\Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [fxredir] C:\WINDOWS\System32\fxredir.exe
O4 - HKLM\..\Run: [Ad-watch] "D:\Online\Ad-aware 6\Ad-aware 6pro\Ad-watch.exe"
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Net-It Launcher] C:\WINDOWS\System32\NILaunch.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [svchost] C:\WINDOWS\rundll32.exe
O4 - HKLM\..\Run: [URLLSTCK.exe] D:\Tools\Norton\Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [MPTBox] C:\PROGRA~1\Canon\MULTIP~1\mptbox.exe
O4 - HKLM\..\Run: [monitr32] C:\Programme\Canon\MultiPASS4\monitr32.exe
O4 - HKLM\..\Run: [KEN Taskbar Service] "d:\online\avm\ken\kentbsrv.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\PROGRA~1\PESTPA~1\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
O4 - Global Startup: SpySubtract.lnk = C:\Program Files\InterMute\SpySubtract\SpySub.exe
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O13 - WWW Prefix: http://69.50.191.50/?
O17 - HKLM\System\CCS\Services\Tcpip\..\{867019E9-3035-49E0-B483-18E7758BA013}: NameServer = 192.168.0.10

Hallo, bautz,
schaut aber irgendwie nicht gut aus.
Fixe dies im abgesicherten Modus unter deaktivierter Systemwiederherstellung:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.52/3100/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.52/3100/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.191.52/3100/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.52/3100/sp.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.52/3100/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.191.52/3100/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://69.50.191.52/3100/sp.php
O4 - HKLM\..\Run: [svchost] C:\WINDOWS\rundll32.exe
O13 - WWW Prefix: http://69.50.191.50/?

Lösche dann die Datei:
C:\WINDOWS\rundll32.exe

Scanne folgende Dateien online hier
C:\WINDOWS\System32\NILaunch.exe
C:\WINDOWS\System32\fxredir.exe
D:\online\avm\ken\kentbsrv.exe

Außerdem empfehle ich Dir, ebenfalls im abgesicherten Modus einen eScan

Poste dann bitte die Ergebnisse und ein neues HJT-Logfile hier rein.
cacatoa

Hi,
danke erst einmal für Deine Hilfe.
Aber ich kann keine progs starten (exe;com) kommt immer der hinweis Datei nicht gefunden bitte Namen und Pfad überprüfen, aber sind alle da, das einzige was öffnet ist der Arbeitsplatz mit dem ich auch die dateien finde.
Das ganze Problem ist auch im Abgesicherten Modus vohanden.
Ich konnte nicht einmal die Eindräge von HijackThis Fixen.
Kannst Du oder jemand anderes mir Helfen?

Danke bautz

@bautz
gehe auf arbeitsplatz, Extras, Ordneroptionen, Ansicht, häkchen setzen bei "alle dateien und ordner einblenden"
chaosman

Das hab ich doch immer an,

Ich meine die Progs wie z.B. regedit.exe oder explorer.exe sind am richtigem ort das sehe ich im arbeitsplatz wenn ich den etsprechenden Ordnder öffne, aber ich kann sie nicht Öffnen oder Ausführen.

Gruss bautz

@bautz

versuche folgendes: downloade escan
http://www.mwti.net/antivirus/free_utilities.asp
führe es genauso durch wie hier beschrieben wird
http://www.trojaner-board.de/showthread.php?t=8131
escan läuft zwischen 1 - 2 stunden
mache danach in scan mit hijackthis, und poste nur die ergebnisse von escan

chaosman

Habe eScan schon drauf und es schon vorher als eine der erstmaßnahmen durchlaufen lassen aber mit keinem erfolg. jetzt kann ich es nicht mehr starten.
Gruss bautz

Ich habe es geschafft eSan zu starten lasse es jetzt laufen, melde mich morgen mit dem ergebnis.

Danke erstmal für eure Hilfe
bautz

habe eScan drüberlaufen lassen brachte aber nichts, Einträge von cacatoa mit HijackThis gefixt auch die Dateien überprüft nichts
nach dem Neustart im normal Modus is alles wieder da

Logfile of HijackThis v1.98.2
Scan saved at 19:28:35, on 04.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Canon\MultiPASS4\MPSERVIC.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\System32\NILaunch.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\fxredir.exe
D:\online\avm\ken\kentbsrv.exe
D:\Tools\Norton\Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
D:\Tools\Norton\Internet Security\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
D:\TEMP\Hijacker\hijackthis1982\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.52/3100/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.52/3100/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.191.52/3100/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.52/3100/sp.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.52/3100/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.191.52/3100/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://69.50.191.52/3100/sp.php
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Tools\Norton\Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Tools\Norton\Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [fxredir] C:\WINDOWS\System32\fxredir.exe
O4 - HKLM\..\Run: [Ad-watch] "D:\Online\Ad-aware 6\Ad-aware 6pro\Ad-watch.exe"
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Net-It Launcher] C:\WINDOWS\System32\NILaunch.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [svchost] C:\WINDOWS\rundll32.exe
O4 - HKLM\..\Run: [URLLSTCK.exe] D:\Tools\Norton\Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [MPTBox] C:\PROGRA~1\Canon\MULTIP~1\mptbox.exe
O4 - HKLM\..\Run: [monitr32] C:\Programme\Canon\MultiPASS4\monitr32.exe
O4 - HKLM\..\Run: [KEN Taskbar Service] "d:\online\avm\ken\kentbsrv.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\PROGRA~1\PESTPA~1\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
O4 - Global Startup: SpySubtract.lnk = C:\Program Files\InterMute\SpySubtract\SpySub.exe
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O13 - WWW Prefix: http://69.50.191.50/?
O17 - HKLM\System\CCS\Services\Tcpip\..\{867019E9-3035-49E0-B483-18E7758BA013}: NameServer = 192.168.0.10

Vieleicht Könnt Ihr nochmal reinschauen

Danke bautz

Teste C:\WINDOWS\System32\RunDll32.exe mal hier:

http://virusscan.jotti.org/de

Hast du tatsächlich die Einträge nach Deaktivierung der Systemweiderherstellung und Booten in den abgesicherten Modus gefixed?

Ja, das ist ja meim Problem die einträge hat auch die Automatiche Auswertung mir angezeigt.
Könnte es vileicht sein das die daten von einem anderen Rechner im LAN kommen Könten, das wäre doch theoretisch möglich?
Bin jetzt dabei alle Rechner einzeln zu untersuchen, und gegebenfalls zu Fixen oder zu erneuern(neu aufspielen).
Kennst Du ein Paar Schutzprogis, die auch im LAN helfen habe Norten NAV und Isecurity auf allen systemen laufen aber es hat wie mir scheint nichts gebracht.

Mein System : DLink DI 614+ (Router und Gateway) daran 2 PC , dann ein weiterer DI 614+(fungiert als AP und Switch) mit 1 PC über Kabel und Laptop über WLAN. Alle Rechner nutzen den internetzugan über den Gateway.
Vieleicht hat ja jemand einen tip.

danke und Gruß bautz

habe die Lösung (glaube ich)
zu:
"http://69.50.191.52/3100/" = Böse
"http://bestsearch.cc/"

habe etliches ausprobiert
und ich muß sagen
F*ck auf "Norton Internet Security 2005"
ich wahr biß jetzt zufrieden er hat mir auch mal kurz angezeigt
Virus: bla bla bla gelöscht, aber heute mit der oben genannten seite

Spy Sweeper, Hijackthis 1.982 , Voll der Müll zum teil

jetzt habe ich "AntiVir Personal Edition v6.28.00.07" ausprobiert, (avwinsfx.exe) <4.5 MB
und siehe da, geht doch
ScreenShot für den Virus ! !!
Virus: TR/Spy.Bofula

Wichtiger als AV-Programme sind sichere Browser und E-Mail-Clients, z.B. Mozilla, Firefox und Thunderbird oder Opera, und ein gewisses Maß an Vorsicht im Internet:
http://www.mathematik.uni-marburg.de...ompromise.html

Gruß
Yopie

PS:
NeuStart & Alles Ok.
StartSeite = die Richtige

Schaut mal im Ordner
C:\Dokumente und Einstellungen\User-xxx\Lokale Einstellungen\Temp
bei mir lagen da (z.B. .av0) Dateien alle von heute;gestern
über3.280 datein in 755 MB = Wech damit

Ich danke Euch allen für Eure Hilfe, habe mich nach fast einer Woche Kampf mit den Teil entschloßen alles neu zu machen, mein kleines Netz ist jetzt wieder sauber. Ich hoffe es bleibt auch so. Trotzdem Danke füern Euere bemühungen, falls ich mal wieder ein Problem mit Irgendwelchen Vieren, Trojanern oder Hijackeren habe komm ich gerne auf Euch zurück.

Gruß bautz