ElfeSandy für Shadowman/Chaosman-wieder mal Hijacker Runde 2

ElfeSandy · 22.11.2004, 16:53

Hallo ihr beiden,
habe das aktuelle service pack und hijacker 1.98 installiert, wie "befohlen"

installiert.
Hier nun der file log von soeben:

Logfile of HijackThis v1.98.2
Scan saved at 16:47:23, on 22.11.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\alg.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\scagent.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\EzButton System V2.1\EzButton.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Privat\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.t-online.de/software/ie50/setpxy.pac
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {B86BEFD1-FD7B-BF76-1007-90B9084541C0} - C:\WINDOWS\system32\wingo32.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [javaxc.exe] C:\WINDOWS\system32\javaxc.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [netam.exe] C:\WINDOWS\system32\netam.exe
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [mfciz32.exe] C:\WINDOWS\mfciz32.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: EzButton System.lnk = C:\Programme\EzButton System V2.1\EzButton.exe
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {869EE607-5376-486d-8DAC-EDC8E239AD5F} - (no file)
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {BE2F2769-8A63-4bc7-8A99-06C2C4AD7B9B} - (no file)
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {869EE607-5376-486d-8DAC-EDC8E239AD5F} - (no file) (HKCU)
O9 - Extra button: (no name) - {BE2F2769-8A63-4bc7-8A99-06C2C4AD7B9B} - (no file) (HKCU)
O13 - Gopher Prefix:
O15 - Trusted Zone: http://*.63.219.181.7
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) -
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1101136874267
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/tech...a/SymAData.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/tech...ActiveData.cab
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\msopt.dll (file missing)
O18 - Filter: text/html - {EE7A946E-61FA-4979-87B8-A6C462E6FA62} - C:\WINDOWS\httpfilter.dll

Ist das so o.k.? Könnt ihr danach helfen?

Danke!!!

MountainKing · 22.11.2004, 17:19

Hi Sandy,

ok ist das Log leider nicht und das Service Pack hast du auch nicht installiert, wahrscheinlich hast du nur die Updatesoftware selbst aktualisiert.

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Also nochmal Windowsupdate besuchen und das so lange tun, bis definitiv nichts mehr heruntergeladen wird.

C:\WINDOWS\system32\javaxc.exe
C:\WINDOWS\system32\netam.exe
C:\WINDOWS\mfciz32.exe
C:\WINDOWS\system32\wingo32.dll

hier überprüfen: http://virusscan.jotti.org/de

ElfeSandy · 22.11.2004, 17:23

Hi Mountainking,

tja, dann fang ich noch einmal an.
Hatte Schnellinstallation eingelogt. War das nicht o.k?

so und nun habe ich das phänomen, das beim nächsten updaten der PC sich einfach ausgeschaltet hat. Fuhr wieder von selbst hoch und alles war futsch ( Internet geschlossen, programme zu)

ElfeSandy · 22.11.2004, 21:17

Hi Leute,

nun habe ich es zum 5. mal versucht: sobald ich das Service Pack2 downloaden will, fährt der Laptop runter. Alles futsch!
Krieg es nicht hin.
Service Pack 3 müsste drauf sein. Die Systeminfo ändert sich aber nicht.
Bin im Moment ratlos-muss wohl mal ´nen Experten hier vor Ort fragen.
Wenn ich Luke Filewalker drüber laufen lasse, habe ich nur noch einen Trojaner und den habe ich gelöscht.
von Hijack This habe ich die gleich log wie oben erhalten.

Ich glaube, ich gebe erst mal auf.

Trotzdem Danke für eure Hilfsversuche-da ich aber wohl nicht in der Lage bin, eure "Sprache" zu verstehen, brauche ich wohl doch mehr Hilfe als gedacht.

ElfeSandy

chaosman · 22.11.2004, 21:37

@ElfeSandy
gibst du so schnell schon auf?

lasse die dateien die MountainKing gepostet hat überprüfen.
poste das ergebnis hier im board.

wechsle in den abgesicherten modus und scanne mit Hijackthis, fixe(häkchen setzen und auf Fix Checked klicken) folgende einträge

R3 - Default URLSearchHook is missing
O9 - Extra button: (no name) - {869EE607-5376-486d-8DAC-EDC8E239AD5F} - (no file)
O9 - Extra button: (no name) - {BE2F2769-8A63-4bc7-8A99-06C2C4AD7B9B} - (no file)
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {869EE607-5376-486d-8DAC-EDC8E239AD5F} - (no file) (HKCU)
O9 - Extra button: (no name) - {BE2F2769-8A63-4bc7-8A99-06C2C4AD7B9B} - (no file) (HKCU)
O13 - Gopher Prefix:
O15 - Trusted Zone: http://*.63.219.181.7
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\msopt.dll (file missing)
O18 - Filter: text/html - {EE7A946E-61FA-4979-87B8-A6C462E6FA62} - C:\WINDOWS\httpfilter.dll
diese datei manuell löschen
C:\WINDOWS\httpfilter.dll
neu starten und ein neues logfile posten + die ergebnisse von
http://virusscan.jotti.org/de

chaosman

MountainKing · 22.11.2004, 21:45

Das ligt nicht an deinem fehlenden Verständnis, es ist nur so, dass wir immer nur einen Schritt nach dem anderen machen können und da sich bei dir jedes Mal wieder ein neues Problem auftut, klingt es konfus.

Wichtig ist, dass du die Patches installierst, damit wesentliche Sicherheitslücken geschlossen werden, vielleicht kannst du dir ja das Service pack 2 auf Cd brennen auf einem anderen PC?

ElfeSandy · 23.11.2004, 21:33

Guten Abend Mountainking,

habe versucht, wie du vorgeschlagen hast, das Service Pack 2 von CD auf den Laptop zu übertragen. Geht nicht! Bekomme Meldung, das Fehler festgestellt wurde und das Programm geschlossen wird bzw. ich die Fehlermeldung an Microsoft senden soll.
Habe erst mal nichts gemacht.
Soll ich nun erst mal im abgesicherten Modus HijackThis laufen lassen und log posten?

Wird aber vorraussichtlich erst morgen.....

Gruß ElfeSandy

chaosman · 23.11.2004, 22:20

@ElfeSandy
zur Not geht es auch in abgesicherten modus
chaosman

ElfeSandy · 24.11.2004, 21:24

Guten Abend,

ich habe den neuen CWShredder mal drüber laufen lassen und anschließend HiJack This im abgesicherten Modus .
Hier das Log(heißt es eigentlich das oder der

)

Logfile of HijackThis v1.98.2
Scan saved at 18:53:27, on 24.11.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\Privat\Desktop\Internetprogramme\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.t-online.de/software/ie50/setpxy.pac
R3 - Default URLSearchHook is missing
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [javaxc.exe] C:\WINDOWS\system32\javaxc.exe
O4 - HKLM\..\Run: [dllhostxp.exe] dllhostxp.exe
O4 - HKLM\..\Run: [clfmon.exe] clfmon.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [netam.exe] C:\WINDOWS\system32\netam.exe
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [mfciz32.exe] C:\WINDOWS\mfciz32.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: EzButton System.lnk = C:\Programme\EzButton System V2.1\EzButton.exe
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: SpySubtract.lnk = C:\Meine Downloads\SpySub.exe
O9 - Extra button: (no name) - {869EE607-5376-486d-8DAC-EDC8E239AD5F} - (no file)
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {BE2F2769-8A63-4bc7-8A99-06C2C4AD7B9B} - (no file)
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {869EE607-5376-486d-8DAC-EDC8E239AD5F} - (no file) (HKCU)
O9 - Extra button: (no name) - {BE2F2769-8A63-4bc7-8A99-06C2C4AD7B9B} - (no file) (HKCU)
O13 - Gopher Prefix:
O15 - Trusted Zone: http://*.63.219.181.7
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} -
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1101136874267
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/tech...a/SymAData.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/tech...ActiveData.cab
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - (no file)
O18 - Filter: text/html - {EE7A946E-61FA-4979-87B8-A6C462E6FA62} - C:\WINDOWS\httpfilter.dll

Wie sieht es nun aus? Was kann ich noch machen? Oder habe ich alles "gekillt"?
Grüße
ElfeSandy

Cidre · 24.11.2004, 21:32

MK hatte dies bereits empfohlen, aber darauf hast du nicht reagiert:

Überprüfe mal folgende Dateien bei http://virusscan.jotti.org/de
und poste das Ergebnis:
C:\WINDOWS\system32\javaxc.exe
dllhostxp.exe
clfmon.exe
C:\WINDOWS\system32\netam.exe
C:\WINDOWS\mfciz32.exe

ElfeSandy · 25.11.2004, 14:55

als wenn ich so viel englisch könnte, das ich das verstehe !

Will es mal versuchen und poste dann-
aber bitte nicht lachen, wenn falsch!
Bis gleich

Jotti.dhs.= board is closed! heute 15:15 Uhr

Einen andere Idee?

Cidre · 25.11.2004, 18:41

Der Link funktioniert momentan wieder. Sollte der Link mal wieder down sein, kannst du auch hier die suspekten Dateien überprüfen. http://www.virustotal.com/xhtml/index_en.html

ElfeSandy · 25.11.2004, 21:51

Zitat:

Zitat von Cidre

MK hatte dies bereits empfohlen, aber darauf hast du nicht reagiert:

Überprüfe mal folgende Dateien bei http://virusscan.jotti.org/de
und poste das Ergebnis:
C:\WINDOWS\system32\javaxc.exe
dllhostxp.exe
clfmon.exe
C:\WINDOWS\system32\netam.exe
C:\WINDOWS\mfciz32.exe

Hi Cidre,

Ganz viele Fragezeichen: Kann keine der oben angegeben Datein finden! Haben nun mit 2 "Mann" gesucht - Nichts.
Jotti ist übrigens wieder "Closed" . Virustotal it ja wenigstens zu verstehen, aber unter C:\windows\ etc nichts zu finden?!

Für heute ist wieder mal Schluß- Danke für Eure Hilfe!!!!!

25.11.2004, 18:41	#12
Cidre Administrator, a.D.	ElfeSandy für Shadowman/Chaosman-wieder mal Hijacker Runde 2 Der Link funktioniert momentan wieder. Sollte der Link mal wieder down sein, kannst du auch hier die suspekten Dateien überprüfen. http://www.virustotal.com/xhtml/index_en.html __________________ Gruß, Cidre [B]Neuaufsetzen des Systems/Absicherung - Wie poste ich falsch?

ElfeSandy für Shadowman/Chaosman-wieder mal Hijacker Runde 2

Log-Analyse und Auswertung: ElfeSandy für Shadowman/Chaosman-wieder mal Hijacker Runde 2