Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Home search assistenrt Problem (https://www.trojaner-board.de/15130-home-search-assistenrt-problem.html)

jacky2 09.03.2005 12:46
Home search assistenrt Problem
 
Hallo!
Ich habe das problem das sich bei mir vor einiger zeit
home search assistent sowie die programme shopping wizard und search extender installiert hat.
versuche die programme zu deinstallieren klappten nicht.
mittlerweile erscheint beim öffnen des internet explorers immer die
quick web search seite und ich kann nicht mehr meinen explorer sowie arbeitsplatz öffnen.

wäre sehr nett wenn ihr meinen logfile mal checken könntet.
danke schon mal im vorraus.

Logfile of HijackThis v1.99.0
Scan saved at 12:37:45, on 09.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\P2P Networking\P2P Networking.exe
C:\Programme\Common files\SearchUpgrader\SearchUpgrader.exe
C:\program files\altnet\points manager\points manager.exe
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis1.exe
C:\WINDOWS\system32\appsm32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Date Manager\DateManager.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\PROGRA~2\Altnet\DOWNLO~1\asm.exe
C:\WINDOWS\system32\apifj32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\FRITZ!DSL\FritzDSL.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Timo\LOKALE~1\Temp\Rar$EX00.404\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ewdyn.dll/sp.html#68250
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ewdyn.dll/sp.html#68250
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\ewdyn.dll/sp.html#68250
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ewdyn.dll/sp.html#68250
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ewdyn.dll/sp.html#68250
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ewdyn.dll/sp.html#68250
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://register.ubi.com/pandora
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5F56761A-21EA-97B6-474D-E9630FC57B28} - C:\WINDOWS\system32\addjv32.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\system32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [SearchUpgrader] C:\Programme\Common files\SearchUpgrader\SearchUpgrader.exe
O4 - HKLM\..\Run: [AltnetPointsManager] c:\program files\altnet\points manager\points manager.exe -s
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [pdfFactory Pro Dispatcher v1] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis1.exe
O4 - HKLM\..\Run: [tibs3] C:\WINDOWS\system32\tibs3.exe
O4 - HKLM\..\Run: [appsm32.exe] C:\WINDOWS\system32\appsm32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Date Manager.lnk = C:\Programme\Date Manager\DateManager.exe
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.static.topconverting.com
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.static.topconverting.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: 206.161.125.149 (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\..\{2797F0D9-502E-4043-8ABB-FF918BDAB177}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{2797F0D9-502E-4043-8ABB-FF918BDAB177}: NameServer = 192.168.122.252,192.168.122.253
O21 - SSODL: hvryiSh - {8C459990-26EF-333A-A6AB-18208FB8CF9A} - C:\WINDOWS\system32\btpacn.dll
O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Macromedia Licensing Service - Unknown - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Workstation NetLogon Service - Unknown - C:\WINDOWS\system32\apifj32.exe

chaosman 09.03.2005 23:55
@jacky2
diese datei auf diskette sichern, als beweismittel gegen hohe telefonrechnungen
C:\WINDOWS\system32\tibs3.exe

die O15 einträge bekommst du hiermit weg
http://www.trojaner-board.de/showpos...6&postcount=31
führe das posting vom Lutz durch

wechsle danach in den abgesicherten modus und fixe mit HJT
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ewdyn.dll/sp.html#68250
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ewdyn.dll/sp.html#68250
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\ewdyn.dll/sp.html#68250
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ewdyn.dll/sp.html#68250
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ewdyn.dll/sp.html#68250
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ewdyn.dll/sp.html#68250
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {5F56761A-21EA-97B6-474D-E9630FC57B28} - C:\WINDOWS\system32\addjv32.dll
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\system32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [SearchUpgrader] C:\Programme\Common files\SearchUpgrader\SearchUpgrader.exe
O4 - HKLM\..\Run: [AltnetPointsManager] c:\program files\altnet\points manager\points manager.exe -s
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [tibs3] C:\WINDOWS\system32\tibs3.exe
O4 - HKLM\..\Run: [appsm32.exe] C:\WINDOWS\system32\appsm32.exe
O4 - Global Startup: Date Manager.lnk = C:\Programme\Date Manager\DateManager.exe
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.static.topconverting.com
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.static.topconverting.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: 206.161.125.149 (HKLM)
O23 - Service: Workstation NetLogon Service - Unknown - C:\WINDOWS\system32\apifj32.exe

lösche danach manuell
C:\WINDOWS\system32\P2P Networking\P2P Networking.exe
C:\Programme\Common files\SearchUpgrader\SearchUpgrader.exe
C:\program files\altnet\points manager\points manager.exe
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\WINDOWS\system32\appsm32.exe
:\Programme\Date Manager\DateManager.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\WINDOWS\system32\apifj32.exe
C:\WINDOWS\system32\tibs3.exe
C:\PROGRA~2\Altnet\DOWNLO~1\asm.exe

neu booten, neues HJT logfile posten
eventuell mal dein surfverhalten überdenken ;)
chaosman

jacky2 10.03.2005 15:10
Hallo chaosman!!!
erstmal vielen vielen lieben dank für deine scnellen tipps!!!!!!!!!!!
hab alles so durchgeführt,nur die datei

C:\WINDOWS\system32\tibs3.exe
hab ich nicht gefunden.konnte sie somit nicht speichern und löschen.
ansonsten scheint aber wieder alees ok zu sein.kann arbeitsplatz und explorer wider öffnen und die search startseite ist auch weg. :daumenhoc :daumenhoc
in der systemsteuerung sind die programme noch aufgelistet,allerdings ohne dateigrösse.

hier das neue logfile:
Logfile of HijackThis v1.99.0
Scan saved at 15:05:00, on 10.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis1.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\FRITZ!DSL\FritzDSL.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Timo\LOKALE~1\Temp\Rar$EX00.995\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://register.ubi.com/pandora
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [pdfFactory Pro Dispatcher v1] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis1.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{2797F0D9-502E-4043-8ABB-FF918BDAB177}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{2797F0D9-502E-4043-8ABB-FF918BDAB177}: NameServer = 192.168.122.252,192.168.122.253
O21 - SSODL: hvryiSh - {8C459990-26EF-333A-A6AB-18208FB8CF9A} - C:\WINDOWS\system32\btpacn.dll
O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Macromedia Licensing Service - Unknown - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe

danke nochmal

hugHefner 10.03.2005 16:58
Hi, ich hab deine log gecheckt, alles ok, aber er sagt das:

O21 - SSODL: hvryiSh - {8C459990-26EF-333A-A6AB-18208FB8CF9A} - C:\WINDOWS\system32\btpacn.dll

onnötig ist bzw. er kennt die datei net...

kann es sein das du weder einen bekannten oder gar keinen antivirenschutz hast und keine firewall?

noch was, du hast die alte version von hijack ;)

jacky2 10.03.2005 17:24
hi!
danke fürs checken!
soll ich denn hierfür jetz noch irgendwas machen?:

O21 - SSODL: hvryiSh - {8C459990-26EF-333A-A6AB-18208FB8CF9A} - C:\WINDOWS\system32\btpacn.dll

mit dem anti viren schutz kann gut sein.
wollte deshalb hier auch nochmal nachfragen welchen ich da am besten nehmen soll und wo ich den finde.

dartus 10.03.2005 21:08
Hallo jacky2,

lass diese Datei:

C:\WINDOWS\system32\btpacn.dll

hier online scannen: http://virusscan.jotti.org

Bitte teile das Ergebnis mit, sind etwa 15 Zeilen.

dartus

jacky2 10.03.2005 22:09
Hallo dartus!
wollte den virenscan durchführen.
aber sobald ich auf submit klicke zeigt der internet explorer mir:"seite kann nicht angezeigt werden" und wenn ich dasselbe mit firefox mache passiert gar nichts.

chaosman 10.03.2005 22:54
@jacky2
Im Windows-Explorer:
Im Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren
+
Im Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren
Zitat Haui45

schicke beide dateien an malwareupload.com
poste das ergebnis

chaosman

jacky2 11.03.2005 00:49
Hallo chaosman!
habe die schritte im windows explorer durchgeführt.
danach wollte ich die datei:

C:\WINDOWS\system32\btpacn.dll
bei malwareupload hochladen.
ist aber wieder dasselbe problem wie bei virusscan.
Internet explorer zeigt wieder "seite kann nicht angezeigt werden"
sobald ich auf hochladen klicke.irgendwie können die die datei nich scannen. :(

danke für eure hilfe
jacky

jacky2 13.03.2005 01:14
keine weitere idee?
hab nämlich keine ahnung ob die datei mir noch weiteren schaden zufügen könnte??

dartus 13.03.2005 01:33
Hallo jacky2,

pack die Datei, verseh das ganze mit einem Passwort und schick es dann mit Angabe des Passwortes und verweis auf diesem Thread an:

partytime-germany.ice@web.de <--Email-Adresse (Mitbetreiber von malwareupload)

dartus


Alle Zeitangaben in WEZ +1. Es ist jetzt 09:27 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131