Another about:blank Hijacker
 

Grüßt euch !!

Ich verfolge die Meldungen auf diesem Board schon eine ganze weile und muß sagen : Rrrespekt und sämtliche Hüte vor den Admins und ihren Helfern ab !

Endlich darf ich auch mal eine Meldung hier herreinstellen,da mich ein ziemlich zäher Pursche erwischt hat. Jedesmal wenn ich den IE öffne,dann bekomme ich in der URL about:blank angezeigt und lande bei einer ominösen Suchmachine. Hab das Teil schon seit 2 Wochen drauf,finde aber leider nun erst die Zeit hier was zu posten.

Mein Problem ist,daß ich dieses Ding leider nicht loswerde,denn jedes mal wenn ich Spybot,Kaspersky,Microsoft`s Antispywareteil UND HijackThis rüberrennen lasse (das selbe im abgesichertem Modus) dann bekomme ich das Teil wunderbar angezeigt,kann es auch löschen,doch beim zweiten Scan danach ist es auf wundersame weise wieder da. Hat fast den Anschein,daß meine Registry schreibgeschützt ist ( oder das Programm diese an bestimmter Stelle verändert hat ). Er scheint sich auch irgendwie vor HijackThis zu verstecken,denn die neueren Versionen von Hijack zeigen mir nach einem Scann garnüscht an. Auch E-Scan hat nichts geholfen. Die Beta6 von der ihr sprecht hab ich auch schon rüberrennen lassen,sagt mir aber,daß ich frei von allem bin. Wenn die wüßte..... :)

So,nun kommen noch die Logs und dann raufe ich mir die Haare und harre dem was kömmt.

LOGS:

Logfile of HijackThis v1.99.1
Scan saved at 15:43:58, on 11.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\rpcss_pl.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\Black Duck\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://mysearchpage.biz/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://mysearchpage.biz/search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://mysearchpage.biz/bar.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://mysearchpage.biz/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://mysearchpage.biz/searchassistant.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://mysearchpage.biz/customizesearch.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://mysearchpage.biz/searchassistant.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://mysearchpage.biz/customizesearch.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://mysearchpage.biz/local.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://mysearchpage.biz/local.html
O2 - BHO: (no name) - {0E234239-88FF-11D2-8446-D7234234421F} - C:\WINDOWS\System32\msasmsn7.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [KAVPersonal50] D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Yahoo! Search - file:///C:\Programme\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\OfficeXP\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Programme\Yahoo!\Common/ycdict.htm
O8 - Extra context menu item: Yahoo! &Maps - file:///C:\Programme\Yahoo!\Common/ycdict.htm
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe (file missing)
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/sh...3/mcinsctl.cab
O16 - DPF: {505098FD-5D61-4BC2-9B82-F969D0E932A2} (EGEGAUTH Class) - http://akamai.downloadv3.com/binarie...1034_EN_XP.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1106544256625
O16 - DPF: {9EAC0186-5F5A-4362-B120-15C312CE012D} - http://www.awmdabest.com/cabl/987/tb.cab
O23 - Service: ewido security suite control - ewido networks - d:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: kavsvc - Kaspersky Lab - D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: RPC+ Service Provider (RPCSS+) - Unknown owner - C:\WINDOWS\System32\rpcss_pl.exe

und die Startuplist :

StartupList report, 11.03.2005, 15:51:27
StartupList version: 1.52.2
Started from : C:\Dokumente und Einstellungen\Black Duck\Desktop\hijackthis\HijackThis.EXE
Detected: Windows XP SP1 (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)
* Using default options
* Showing rarely important sections
==================================================

Running processes:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\rpcss_pl.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\Black Duck\Desktop\hijackthis\HijackThis.exe

--------------------------------------------------

Listing of startup folders:

Shell folders Common Startup:
[C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart]
EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

NvCplDaemon = RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
KAVPersonal50 = D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
gcasServ = "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
UpdReg = C:\WINDOWS\UpdReg.EXE

--------------------------------------------------

File association entry for .TXT:
HKEY_CLASSES_ROOT\txtfile\shell\open\command

(Default) = C:\WINDOWS\system32\dllcache\notepad.exe %1

--------------------------------------------------

Enumerating Active Setup stub paths:
HKLM\Software\Microsoft\Active Setup\Installed Components
(* = disabled by HKCU twin)

[>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}]
StubPath = C:\WINDOWS\inf\unregmp2.exe /ShowWMP

[>{26923b43-4d38-484f-9b9e-de460746276c}] *
StubPath = %systemroot%\system32\shmgrate.exe OCInstallUserConfigIE

[>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}] *
StubPath = %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE

[{2C7339CF-2B09-4501-B3F3-F3508C9228ED}] *
StubPath = %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll

[{44BBA840-CC51-11CF-AAFA-00AA00B6015C}] *
StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install

[{7790769C-0471-11d2-AF11-00C04FA35D02}] *
StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install

[{89820200-ECBD-11cf-8B85-00AA005B4340}] *
StubPath = regsvr32.exe /s /n /i:U shell32.dll

[{89820200-ECBD-11cf-8B85-00AA005B4383}] *
StubPath = %SystemRoot%\system32\ie4uinit.exe

[{89B4C1CD-B018-4511-B0A1-5476DBF70820}] *
StubPath = C:\WINDOWS\System32\Rundll32.exe C:\WINDOWS\System32\mscories.dll,Install

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=*Registry value not found*
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry value not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------

Checking for EXPLORER.EXE instances:

C:\WINDOWS\Explorer.exe: PRESENT!

C:\Explorer.exe: not present
C:\WINDOWS\Explorer\Explorer.exe: not present
C:\WINDOWS\System\Explorer.exe: not present
C:\WINDOWS\System32\Explorer.exe: not present
C:\WINDOWS\Command\Explorer.exe: not present
C:\WINDOWS\Fonts\Explorer.exe: not present

--------------------------------------------------

Checking for superhidden extensions:

.lnk: HIDDEN! (arrow overlay: yes)
.pif: HIDDEN! (arrow overlay: yes)
.exe: not hidden
.com: not hidden
.bat: not hidden
.hta: not hidden
.scr: not hidden
.shs: HIDDEN!
.shb: HIDDEN!
.vbs: not hidden
.vbe: not hidden
.wsh: not hidden
.scf: HIDDEN! (arrow overlay: NO!)
.url: HIDDEN! (arrow overlay: yes)
.js: not hidden
.jse: not hidden

--------------------------------------------------

Enumerating Browser Helper Objects:

(no name) - C:\WINDOWS\System32\msasmsn7.dll (file missing) - {0E234239-88FF-11D2-8446-D7234234421F}

--------------------------------------------------

Enumerating Download Program Files:

[QuickTime Object]
InProcServer32 = d:\Programme\QuickTime\QTPlugin.ocx
CODEBASE = http://www.apple.com/qtactivex/qtplugin.cab

[{11111111-1111-1111-1111-111111113457}]
CODEBASE = file://c:\explorer.cab

[YInstStarter Class]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\yinsthelper.dll
CODEBASE = http://download.yahoo.com/dl/yinst/yinst_current.cab

[Office Update Installation Engine]
InProcServer32 = C:\WINDOWS\opuc.dll
CODEBASE = http://office.microsoft.com/officeup...ntent/opuc.cab

[{4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21}]
CODEBASE = http://download.mcafee.com/molbin/sh...3/mcinsctl.cab

[EGEGAUTH Class]
InProcServer32 = C:\WINDOWS\eg_auth_mut03.dll
CODEBASE = http://akamai.downloadv3.com/binarie...1034_EN_XP.cab

[{62475759-9E84-458E-A1AB-5D2C442ADFDE}]
CODEBASE = http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe

[WUWebControl Class]
InProcServer32 = C:\WINDOWS\System32\wuweb.dll
CODEBASE = http://v5.windowsupdate.microsoft.co...?1106544256625

[{9EAC0186-5F5A-4362-B120-15C312CE012D}]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\tb.dll
CODEBASE = http://www.awmdabest.com/cabl/987/tb.cab

[Update Class]
InProcServer32 = C:\WINDOWS\System32\iuctl.dll
CODEBASE = http://v4.windowsupdate.microsoft.co...010.1441898148

[Shockwave Flash Object]
InProcServer32 = C:\WINDOWS\System32\Macromed\Flash\FLASH.OCX
CODEBASE = http://download.macromedia.com/pub/s...sh/swflash.cab

--------------------------------------------------

Enumerating Windows NT/2000/XP services

Umgebung für die AFD-Netzwerkunterstützung: \SystemRoot\System32\drivers\afd.sys (autostart)
Warndienst: %SystemRoot%\System32\svchost.exe -k LocalService (autostart)
Aspi32: System32\drivers\aspi32.sys (autostart)
Windows Audio: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Computerbrowser: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Kryptografiedienste: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
DHCP-Client: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Verwaltung logischer Datenträger: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
DNS-Client: %SystemRoot%\System32\svchost.exe -k NetworkService (autostart)
EIO: \??\C:\WINDOWS\system32\drivers\EIO.sys (autostart)
ElbyCDIO Driver: System32\Drivers\ElbyCDIO.sys (autostart)
Ereignisprotokoll: %SystemRoot%\system32\services.exe (autostart)
ewido security suite control: d:\Programme\ewido\security suite\ewidoctrl.exe (autostart)
Hilfe und Support: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
HID Input Service: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
kavsvc: D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe (autostart)
Server: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Arbeitsstationsdienst: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
TCP/IP-NetBIOS-Hilfsprogramm: %SystemRoot%\System32\svchost.exe -k LocalService (autostart)
NVIDIA Display Driver Service: %SystemRoot%\System32\nvsvc32.exe (autostart)
Plug & Play: %SystemRoot%\system32\services.exe (autostart)
IPSEC-Dienste: %SystemRoot%\System32\lsass.exe (autostart)
Geschützter Speicher: %SystemRoot%\system32\lsass.exe (autostart)
Remote-Registrierung: %SystemRoot%\system32\svchost.exe -k LocalService (autostart)
Remoteprozeduraufruf (RPC): %SystemRoot%\system32\svchost -k rpcss (autostart)
RPC+ Service Provider: C:\WINDOWS\System32\rpcss_pl.exe (autostart)
Sicherheitskontenverwaltung: %SystemRoot%\system32\lsass.exe (autostart)
Taskplaner: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Secdrv: System32\DRIVERS\secdrv.sys (autostart)
Sekundäre Anmeldung: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Systemereignisbenachrichtigung: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
Shellhardwareerkennung: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Druckwarteschlange: %SystemRoot%\system32\spoolsv.exe (autostart)
Systemwiederherstellungsdienst: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Windows-Bilderfassung (WIA): %SystemRoot%\System32\svchost.exe -k imgsvc (autostart)
Designs: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Überwachung verteilter Verknüpfungen (Client): %SystemRoot%\system32\svchost.exe -k netsvcs (autostart)
Upload-Manager: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)
Webclient: %SystemRoot%\System32\svchost.exe -k LocalService (autostart)
Windows-Verwaltungsinstrumentation: %systemroot%\system32\svchost.exe -k netsvcs (autostart)
Konfigurationsfreie drahtlose Verbindung: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart)


--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
WebCheck: C:\WINDOWS\System32\webcheck.dll
SysTray: C:\WINDOWS\System32\stobject.dll

--------------------------------------------------
End of report, 10.595 bytes
Report generated in 0,344 seconds

Dies ist ein kleiner Bonus den mir Hijack beim Start eines Scanns immer ausgibt.Sowohl im normalen Modus und auch im abgesichertem:

An unexpected error has occurred at procedure: modMain_FixUNIXHostsFile()
Error #75 - Fehler beim Zugriff auf Pfad/Datei

HijackThis version: 1.99.1

und als letztes um Kasten hier dicht zu bekommen auch noch das StartDreck.log,wobei man Dreck wohl wörtlich nehmen kann bei meinem Problem.

StartDreck (build 2.1.7 public stable) - 2005-03-11 @ 16:42:43 (GMT +01:00)
Platform: Windows XP (Win NT 5.1.2600 Service Pack 1)
Internet Explorer: 6.0.2800.1106
Logged in as Black Duck at KRISCHAN

»Registry
»Run Keys
»Current User
»Run
»RunOnce
»Default User
»Run
*CTFMON.EXE=C:\WINDOWS\System32\CTFMON.EXE
»RunOnce
»Local Machine
»Run
*NvCplDaemon=RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
*KernelFaultCheck=%systemroot%\system32\dumprep 0 -k
*KAVPersonal50=D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
*gcasServ="C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
*UpdReg=C:\WINDOWS\UpdReg.EXE
+OptionalComponents
+MSFS
*Installed=1
+MAPI
*Installed=1
*NoChange=1
+MAPI
*Installed=1
*NoChange=1
»RunOnce
»RunServices
»RunServicesOnce
»RunOnceEx
»RunServicesOnceEx
»File Associations (CR)
+.bat
*batfile="%1" %*
+.com
*comfile="%1" %*
+.disabled
*SpybotSD.DisabledFile="D:\Programme\Spybot - Search & Destroy\blindman.exe" "%1"
+.exe
*exefile="%1" %*
+.hta
*htafile=C:\WINDOWS\System32\mshta.exe "%1" %*
+.htm
*htmlfile="C:\Programme\Internet Explorer\iexplore.exe" -nohome
+.html
*htmlfile="C:\Programme\Internet Explorer\iexplore.exe" -nohome
+.js
*JSFile=%SystemRoot%\System32\WScript.exe "%1" %*
+.jse
*JSEFile=%SystemRoot%\System32\WScript.exe "%1" %*
+.pif
*piffile="%1" %*
+.reg
*regfile=regedit.exe "%1"
+.scr
*scrfile="%1" /S
+.txt
*txtfile=C:\WINDOWS\system32\dllcache\notepad.exe %1
+.vbs
*VBSFile=%SystemRoot%\System32\WScript.exe "%1" %*
+.vbe
*VBEFile=%SystemRoot%\System32\WScript.exe "%1" %*
+.wsh
*WSHFile=%SystemRoot%\System32\WScript.exe "%1" %*
+.wsf
*WSFFile=%SystemRoot%\System32\WScript.exe "%1" %*
+.lnk
`lnkfile= [key or value does not exist]
»Browser Helper Objects (LM)
*{0E234239-88FF-11D2-8446-D7234234421F}
`InprocServer32=C:\WINDOWS\System32\msasmsn7.dll
»Files
»Autostart Folders
»Current User
»Default User
*C:\WINDOWS\system32\config\systemprofile\Startmenü\Programme\Autostart\desktop.ini
»Local Machine
*C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\EPSON Status Monitor 3 Environment Check 2.lnk
»INI-Files
»WIN.INI\[windows]
*LOAD=
*RUN=
»SYSTEM.INI\[boot]
*SHELL=Explorer.exe
»Text Files
*C:\boot.ini
*C:\msdos.sys
*C:\config.sys
*C:\WINDOWS\System32\config.nt
*C:\WINDOWS\wininit.ini
*C:\WINDOWS\System32\drivers\etc\hosts
»System/Drivers
»Running Processes
+0=<idle>

Wenn Du wirklich schon eine Weile hier mitliest, dann würdest Du den IE nur zum Updaten nutzen und ansonsten möglichst verbannen.

Ansonsten: Poste Logfile HJT und eScan (ok, zumindest HJT ist ja jetzt da. :) )

Gruß :daumenhoc
Yopie

Du liest hier schon länger mit, und trotzdem ist Dein BS nicht up-to-date?

Mmmh... Malware? http://virusscan.jotti.org/
Evtl. vorher den Prozess beenden.

Hast Du das HJT-Log im normalen oder im abgesicherten Modus erstellt? Kommt mir so kurz vor.

Gruß :daumenhoc
Yopie

Grüß dich Yopie !

Nich böse sein,aber mit dem SP2 konnte ich mich noch nicht so richtig anfreunden,da einige in meinem Freundeskreis diverse Probleme mit einigen Programmen unter SP2 hatten.
Ok,beim IE hast mich natürlich voll erwischt,geb ich zu,ich liebäugle aber schon seit längerer Zeit mit dem Feuerfuchs.

Meine Logs wurden allesamt im abgesichertem Modus erstellt,nur bekomme ich immer ein Timeout von dieser Webseite wenn ich den Rest von den Logs posten möchte,doch es geht noch weiter nach "idle".

Die rpcss_pl.exe kam mir auch schon schleierhaft vor,hatte ich schonmal unter google eingegeben und auch hier danach gesucht.

Gruß ,Krisch

Hi Black Duck;

Es waere nett, wenn du folgende Dateien an virus(at)rokop-security.de schicken koenntest:

c:\explorer.cab
C:\WINDOWS\System32\rpcss_pl.exe
C:\WINDOWS\System32\DRIVERS\bootcom.sys

Kleiner Nachtrag:

Wenn du das auch noch finden solltest, schicke es bitte auch. Nur um zu sehen, welche Kaspersky von den Dateien schon gekickt hat.

C:\WINDOWS\System32\perfcl.exe
C:\WINDOWS\System32\msamsn1.dll
C:\WINDOWS\System32\msamsn2.dll
C:\WINDOWS\System32\msamsn3.dll
C:\WINDOWS\System32\msamsn4.dll
C:\WINDOWS\System32\msamsn5.dll
C:\WINDOWS\System32\msamsn6.dll
C:\WINDOWS\System32\msamsn7.dll
C:\WINDOWS\System32\msamsn8.dll
C:\WINDOWS\System32\msamsn9.dll
C:\WINDOWS\System32\msxxabt1.dll
C:\WINDOWS\System32\msxxabt2.dll
C:\WINDOWS\System32\msxxabt3.dll
C:\WINDOWS\System32\msxxabt4.dll
C:\WINDOWS\System32\msxxabt5.dll
C:\WINDOWS\System32\msxxabt6.dll
C:\WINDOWS\System32\msxxabt7.dll
C:\WINDOWS\System32\msxxabt8.dll
C:\WINDOWS\System32\msxxabt9.dll
C:\WINDOWS\System32\wuactl1.exe
C:\WINDOWS\System32\wuactl2.exe
C:\WINDOWS\System32\wuactl3.exe
C:\WINDOWS\System32\wuactl4.exe
C:\WINDOWS\System32\wuactl5.exe
C:\WINDOWS\System32\wuactl6.exe
C:\WINDOWS\System32\wuactl7.exe
C:\WINDOWS\System32\wuactl8.exe
C:\WINDOWS\System32\wuactl9.exe
C:\WINDOWS\System32\wauctlxp1.exe
C:\WINDOWS\System32\wauctlxp2.exe
C:\WINDOWS\System32\wauctlxp3.exe
C:\WINDOWS\System32\wauctlxp4.exe
C:\WINDOWS\System32\wauctlxp5.exe
C:\WINDOWS\System32\wauctlxp6.exe
C:\WINDOWS\System32\wauctlxp7.exe
C:\WINDOWS\System32\wauctlxp8.exe
C:\WINDOWS\System32\wauctlxp9.exe

HI raman,

hab mich nun auf der anderen Seite registriert,aber wo und an wen soll ich die dateien schicken wenn ich danach gescannt habe ?

Gruß & schönen Abend,

Krisch

Nimm virus@rokop-security.de . Den Hijacker den du dir dda eingefangen hast ist etwas schwerer zu entfernen. Auf diversen Engliscsprachigen Seiten gibt es schon Loesungsansaetze dazu.

MERCY !

werde aber morgen damit weitermachen,denn meine Frau zerrt mich hier gerade vom Rechner.

Dank Dir,erstmal !

Moin moin ,

würde ja gerne wie verlangt das EScan Log posten,aber das Teil ist ja hammerartig groß und das obwohl ich nur C gescannt habe.
Ich bezweifle das auch,daß ich das upgeloaded bekomme,bevor ich hier von der Seite ein Timeout bekomme.

Gruß,Krisch

Hallo @Black Duck,

Poste nur die relevanten Infos der Virus Log Information:

Öffne die mwav.log im Ordner C:\bases -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.

Grrüß dich Cidre,

hab mal so suchen lassen wie du vorgabst und bei *tagged* findet er garnichts und bei *infected* springt er nur ganz nach unten wo dann folgendes steht :
Fri Mar 11 20:47:14 2005 => ***** Scanning complete. *****

Fri Mar 11 20:47:14 2005 => Total Files Scanned: 26077
Fri Mar 11 20:47:14 2005 => Total Virus(es) Found: 0
Fri Mar 11 20:47:14 2005 => Total Disinfected Files: 0

Das sind eindeutig zu wenig gescannte Dateien, du musst nach dem Programmstart die Haken richtig setzen.
Führe deshalb eScan AntiVirus nochmals im abgesicherten Modus nach Anleitung aus und poste dann die Infos.

Mahlzeit !!

nun ist EScan endlich durch,war aber nicht so richtig ergiebig:

at Mar 12 11:01:57 2005 => File D:\Programme\Alcohol Soft\Alcohol 120
\Alcohol_1.4.114_Patch.exe tagged as not-a-virus:Tool.Win32.TPE.a. No Action

Sat Mar 12 13:30:45 2005 => ***** Scanning complete. *****

Sat Mar 12 13:30:45 2005 => Total Files Scanned: 72531
Sat Mar 12 13:30:45 2005 => Total Virus(es) Found: 1
Sat Mar 12 13:30:45 2005 => Total Disinfected Files: 0
Sat Mar 12 13:30:45 2005 => Total Files Renamed: 0
Sat Mar 12 13:30:45 2005 => Total Deleted Files: 0
Sat Mar 12 13:30:45 2005 => Total Errors: 74
Sat Mar 12 13:30:45 2005 => Time Elapsed: 03:04:05
Sat Mar 12 13:30:45 2005 => Virus Database Date: 2005/03/07
Sat Mar 12 13:30:45 2005 => Virus Database Count: 120636

Sat Mar 12 13:30:45 2005 => Scan Completed.

bei der rpcss_pl.exe hab ich ein problem,kann sie nicht beenden im Taskmanager,sie startet sowohl im normalen als auch im abgesichertem Modus,läßt sich ergo auch nicht kopieren. Taskmanager sagt ,mir: vorgang konnte nicht beendet werden---> zugriff verweigert,in beiden Modi.
die wauctlxp4.exe ( die bei den Dateien mit aufgelistet wurde) startet ausserdem immer mit Windows mit.
Die anderes Sachen sind in Arbeit und ich werde sie nach Möglichkeit an virus@rokop-security.de schicken,vorausgesetzt ich bekomme zugriff und kann sie kopieren.

Gruß aus Hamburg (mit Schietwetter)

C:\WINDOWS\System32\perfcl.exe nicht vorhanden
C:\WINDOWS\System32\msamsn1.dll nicht vorhanden
C:\WINDOWS\System32\msamsn2.dll nicht vorhanden
C:\WINDOWS\System32\msamsn3.dll nicht vorhanden
C:\WINDOWS\System32\msamsn4.dll nicht vorhanden
C:\WINDOWS\System32\msamsn5.dll nicht vorhanden
C:\WINDOWS\System32\msamsn6.dll kann nicht kopiert werden,zugriff

verweigert
C:\WINDOWS\System32\msamsn7.dll kann nicht kopiert werden,zugriff

verweigert

C:\WINDOWS\System32\msamsn8.dll nicht vorhanden
C:\WINDOWS\System32\msamsn9.dll nicht vorhanden
C:\WINDOWS\System32\msxxabt1.dll nicht vorhanden
C:\WINDOWS\System32\msxxabt2.dll nicht vorhanden
C:\WINDOWS\System32\msxxabt3.dll vorhanden,wurde nach roskop-security

geschickt
C:\WINDOWS\System32\msxxabt4.dll vorhanden,wurde nach roskop-security

geschickt

C:\WINDOWS\System32\msxxabt5.dll nicht vorhanden
C:\WINDOWS\System32\msxxabt6.dll nicht vorhanden
C:\WINDOWS\System32\msxxabt7.dll nicht vorhanden
C:\WINDOWS\System32\msxxabt8.dll nicht vorhanden
C:\WINDOWS\System32\msxxabt9.dll nicht vorhanden
C:\WINDOWS\System32\wuactl1.exe nicht vorhanden
C:\WINDOWS\System32\wuactl2.exe nicht vorhanden
C:\WINDOWS\System32\wuactl3.exe nicht vorhanden
C:\WINDOWS\System32\wuactl4.exe nicht da

C:\WINDOWS\System32\wuactl5.exe nicht vorhanden
C:\WINDOWS\System32\wuactl6.exe nicht vorhanden
C:\WINDOWS\System32\wuactl7.exe nicht vorhanden
C:\WINDOWS\System32\wuactl8.exe nicht vorhanden
C:\WINDOWS\System32\wuactl9.exe nicht vorhanden
C:\WINDOWS\System32\wauctlxp1.exe nicht vorhanden
C:\WINDOWS\System32\wauctlxp2.exe nicht vorhanden
C:\WINDOWS\System32\wauctlxp3.exe nicht vorhanden
C:\WINDOWS\System32\wauctlxp4.exe wurde kopiert
C:\WINDOWS\System32\wauctlxp5.exe nicht vorhanden
C:\WINDOWS\System32\wauctlxp6.exe nicht vorhanden
C:\WINDOWS\System32\wauctlxp7.exe nicht vorhanden
C:\WINDOWS\System32\wauctlxp8.exe nicht vorhanden
C:\WINDOWS\System32\wauctlxp9.exe nicht vorhanden

explorer.cab wird nicht gefunden und an die bootcom.sys komme ich auch nicht ran

Gruß,Krisch

Hm, hier ist noch nichts angekommen: virus@rokop-security.de

Die Dateien kannst du auchim abgesicherten Modus kopieren/packen?

Eine Linux oder Winpe Bootcd hast du nicht zufaellig zur Hand? ;)

Ich muss mir heute abnd mal eine Loesung zurecht suchen.

Hi raman,

die mail ist raus um 17:12 und die dateien als .rar gepackt im anhang.

leider komme ich auch im abgesicherten modus nicht dazu die teile zu kopieren,da sie immer in benutzung sind.

ich seh`s schon kommen.......... bitte plätten sie die windowspartition.

oh nehmt doch bitte rücksicht auf einen alten mann (fast 36) :crazy:

ich danke dir,schonmal für deine bemühngen,auch wenns vielleicht nix bringt.

schönen abend,der Krisch

Ja, irgendwo haengt seit gestern was. Mal schauen, wennich auf den Account wieder was bekomme. :)

Wenn du einigermassen fit in Englisch bist, liess dir das mal durch.
http://www.bleepingcomputer.com/foru...=0&#entry81611

Sodele,erstmal gaaaaanz ruhig...... nur ein büsschen Vorfreude

Wie es aussieht,heißt es endlich Ciao jacker,anstatt immer nur Hi jacker,wie bisher, besonders die 2 files vom http://www.bleepingcomputer.com/for...t=0&#entry81611 haben geholfen,wie es aussieht. da gibts einmal einen restore.key und einmal eine fixrpcss.exe,hat wohl beides angeschlagen wie es (bisher) scheint.
Jedenfalls nimmt ( und behält) er wieder meine Startseite.
Sollte es nicht so bleiben,seit ihr die ersten die es erfahrt,he he ;)

Also alle,die einigermaßen fit sind mit Englisch, und dem about:blank hijacker aufgesessen sind,sollten sich mit diesem Thread beschäftigen,würde ich sagen.

Herzlichen Dank jedenfalls an dieses Board und seine Heinzelmännchen,doch aber speziell an ramar( der mir diesen Thread hat zugänglich gemacht),Cidre und Yopie

Euch noch einen schönen Sonntag und nehmt nie wieder Anhalter mit

Tschüss und danke für den Fisch

Krisch

Servus !

Ok,nach eingehenden Tetsts kann ich sagen,daß wieder alles korrekt und anständig läuft. Meine Registry konnte auch von den letzten Resten des Hijackers geleert werden ( durch löschen der bootcom.sys ).
Kann zwar immernoch keine Windowspatches installieren,doch ich denke ich bekomme das durchs fixen der Kernel-irgendwas datei,denn da beschwert sich der Installer des SP2.
Aber ich denke mal,daß bekomm ich schon auf die Reihe.

Schönen Abend noch und ganz großen Dank. Das ist ein ganz klasse Board hier .
P.S. @raman Mich würde noch interessieren was ihr(du) in meinen eingeschickten Dateien sehen konntet.
Hihi,klingt zwar wie das lesen aus dem gekröse junger Ziegen,würd mich aber dennoch interessieren.

Schönen Gruß, Krisch

Wir ueberpruefen verdaehtige Dateien zunaechst mit mehreren Virenscanner, bei unbekannten Sachen schicken wir es an div. AV-Hersteller und schauen mal grob durch die Datei. Wenn die Sache wirklich wichtig ist, starten wir die Datei schon mal auf einem Testrechner.