Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Hartnäckiger Browser Hijack (https://www.trojaner-board.de/6946-hartnaeckiger-browser-hijack.html)

Pikerpredator 17.08.2004 14:21

Hartnäckiger Browser Hijack
 
Hallo,
habe einen Hijacker (IE) den ich weder mit Ad Aware, Hijack this oder Spybot wegbekomme. Die Tools finden zwar immer etwas können es aber nicht beseitigen.
Es startet im IE die Site http://www.windowws.cc/hp.htm?id=9 und die wiederum geht auf http://296f8.ilxt.info/index.php?aid=20009.
Während dem Surfen ist das System relativ stabil, nur im Ebay wird nach 3 bis 5 Klicks die http://296f8.ilxt.info/index.php?aid=20009 geöffnet.
Bin mittlerweilen auf Mozilla umgestiegen, da ist alles ok.
Wer kann mir helfen den wieder los zu bekommen???

Hier mein Log File:

Logfile of HijackThis v1.98.2
Scan saved at 15:09:12, on 17.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\CtrlVol.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\McAfee\QuickClean\Plguni.exe
C:\Programme\HP\HP Software Update\HPWuSchd.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\HP\Digital Imaging\HP Print Screen\PrnSys.exe
C:\Programme\DATA BECKER\XP optimal einstellen 2.0\xpoerunt.exe
C:\Programme\DATA BECKER\XP optimal einstellen 2.0\adblock.exe
C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\DT\DT 11Mbps Wireless USB Device\Installer\WINXP\DTUSBMonitor.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\DATA BECKER\USB SyncDeluxe\SyncDeluxeCore.exe
C:\Programme\Outlook Express\msimn.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\unzipped\mozilla-win32-1.8a2-deAT\mozilla\mozilla.exe
C:\Programme\hijackthis1982[1]\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://super-spider.com/sp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://super-spider.com/sp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://super-spider.com/sp.htm?id=9
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.windowws.cc/hp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://super-spider.com/sp.htm?id=9
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\nume1dvb3xifmz.dll
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [SetIcon] C:\Program Files\SMSC\Seticon.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [Imonitor] "C:\Programme\McAfee\QuickClean\Plguni.exe" /START
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [DB_AFD] C:\Programme\DATA BECKER\XP optimal einstellen 2.0\DBAFD.EXE
O4 - HKLM\..\Run: [DATA BECKER USB SyncDeluxe] C:\Programme\DATA BECKER\USB SyncDeluxe\SyncDeluxe.exe /TIMERPROCESS
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PrnSys Executable] C:\Programme\HP\Digital Imaging\HP Print Screen\PrnSys.exe
O4 - HKLM\..\Run: [romahere] C:\WINDOWS\System32\matrixhere.exe
O4 - HKLM\..\Run: [pnpsvc_lock] C:\WINDOWS\System32\8189182.exe
O4 - HKCU\..\Run: [XPoe-Runtime] C:\Programme\DATA BECKER\XP optimal einstellen 2.0\xpoerunt.exe
O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [romahere] C:\WINDOWS\System32\matrixhere.exe
O4 - HKCU\..\Run: [uninstal] regsvr32 /u /s image.dll
O4 - Global Startup: Corel Family & Friends Erinnerungsfunktionen.LNK = C:\Programme\Corel\Print House Magic\cffrem.exe
O4 - Global Startup: DT 11Mbps WLAN USB Station.lnk = C:\Programme\DT\DT 11Mbps Wireless USB Device\Installer\WINXP\DTUSBMonitor.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: Preispiraten 2.01b - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten 2.0b\preispiraten2.exe
O20 - AppInit_DLLs: 6swr30x19r0f.tlb

:snyper:

Shadowdance 17.08.2004 15:07

Hallo Pikerpredator,

lade Dir eScan laut Anweisung runter, update ihn online und scanne das System Deines Computers offline im abgesicherten Modus: http://www.trojaner-board.de/showthread.php?t=6083
Poste danach nochmal ein neues logfile bitte.

SD

Pikerpredator 17.08.2004 16:51

Habe den escan laufen lassen. Der hijacker ist immer noch da.

Hier das neue Log File:
Logfile of HijackThis v1.98.2
Scan saved at 17:46:34, on 17.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\CtrlVol.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\McAfee\QuickClean\Plguni.exe
C:\Programme\HP\HP Software Update\HPWuSchd.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\HP\Digital Imaging\HP Print Screen\PrnSys.exe
C:\Programme\DATA BECKER\XP optimal einstellen 2.0\xpoerunt.exe
C:\Programme\DATA BECKER\XP optimal einstellen 2.0\adblock.exe
C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\DT\DT 11Mbps Wireless USB Device\Installer\WINXP\DTUSBMonitor.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\hijackthis1982[1]\HijackThis.exe
C:\Programme\DATA BECKER\USB SyncDeluxe\SyncDeluxeCore.exe
C:\WINDOWS\System32\HPZipm12.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.windowws.cc/hp.htm?id=9
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\dwi24izxr2gfn.dll
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [Imonitor] "C:\Programme\McAfee\QuickClean\Plguni.exe" /START
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [DB_AFD] C:\Programme\DATA BECKER\XP optimal einstellen 2.0\DBAFD.EXE
O4 - HKLM\..\Run: [DATA BECKER USB SyncDeluxe] C:\Programme\DATA BECKER\USB SyncDeluxe\SyncDeluxe.exe /TIMERPROCESS
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PrnSys Executable] C:\Programme\HP\Digital Imaging\HP Print Screen\PrnSys.exe
O4 - HKLM\..\Run: [pnpsvc_lock] C:\WINDOWS\System32\1568401.exe
O4 - HKLM\..\Run: [romahere] C:\WINDOWS\System32\matrixhere.exe
O4 - HKCU\..\Run: [XPoe-Runtime] C:\Programme\DATA BECKER\XP optimal einstellen 2.0\xpoerunt.exe
O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [uninstal] regsvr32 /u /s image.dll
O4 - HKCU\..\Run: [romahere] C:\WINDOWS\System32\matrixhere.exe
O4 - Global Startup: Corel Family & Friends Erinnerungsfunktionen.LNK = C:\Programme\Corel\Print House Magic\cffrem.exe
O4 - Global Startup: DT 11Mbps WLAN USB Station.lnk = C:\Programme\DT\DT 11Mbps Wireless USB Device\Installer\WINXP\DTUSBMonitor.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: Preispiraten 2.01b - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten 2.0b\preispiraten2.exe
O15 - Trusted Zone: *.greg-search.com
O20 - AppInit_DLLs: 6swr30x19r0f.tlb

Rene-gad 17.08.2004 17:19

Hallo,
Zitat:

Zitat von Pikerpredator
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\CtrlVol.exe
C:\Programme\Launch Manager\Wbutton.exe

Ich vermute, dass dieses Programm nicht unbedingt installiert werden muss.
Zitat:

C:\WINDOWS\System32\HPZipm12.exe
Diese Datei mit http://www.kaspersky.com/de/remoteviruschk.html prüfen. Kann sein , die ist von HP, aber sicher ist sicher
Zitat:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.windowws.cc/hp.htm?id=9
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\dwi24izxr2gfn.dll
O4 - HKLM\..\Run: [pnpsvc_lock] C:\WINDOWS\System32\1568401.exe
O4 - HKCU\..\Run: [uninstal] regsvr32 /u /s image.dll
O4 - HKCU\..\Run: [romahere] C:\WINDOWS\System32\matrixhere.exe
O15 - Trusted Zone: *.greg-search.com
O20 - AppInit_DLLs: 6swr30x19r0f.tlb
Sofort fixen
Zitat:

O4 - HKLM\..\Run: [romahere] C:\WINDOWS\System32\matrixhere.exe
Ist ein Trojaner http://www.sophos.de/virusinfo/analy...ojsmallju.html
Sofort fixen

Das einzige Richtige in deinem Fall ist das Neuaufsetzen des Systems.

Pikerpredator 17.08.2004 18:56

Nach dem manuellen löschen von C:\WINDOWS\System32\matrixhere.exe
scheint das Problem behoben zu sein.
Vielen Dank für die Hilfe.

Pikerpredator

pFreak 12.09.2004 16:46

ich habe dasselbe problem, kann nur übere geschickte links mich im inet fortbewegen, nur das pro ist ich versteh nicht viel von PC´s...
hijack hat bei mir nicht wirklich was ergeben..
sauge grade escan runter, brauche dank isdn noch ca 45min.
ich finde bei mir keine datei names matrixhere.exe, ich weiß also nicht wie ichs sonst beheben soll.. :heulen:
vielleicht hat ja einer von euch ideen, danke im vorraus,
pFreak

Cidre 12.09.2004 16:53

Poste doch mal das Log-File von HJT, damit wir nicht ins Blaue raten müssen. ;)

pFreak 12.09.2004 16:58

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Microsoft Hardware\Keyboard\type32.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\PROGRA~1\ARCOR-~1\aob.exe
C:\PROGRA~1\ARCOR-~1\ac_dial.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Spielstände\Schule\Html-Informatik\Programme\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://super-spider.com/sp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = res://C:\WINDOWS\system32\shdocpe.dll/asst.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\mujth.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mujth.dll/sp.html#29126
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.windowws.cc/hp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\mujth.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\mujth.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mujth.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\mujth.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\mujth.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Arcor
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = res://C:\WINDOWS\system32\shdocpe.dll/asst.html
F1 - win.ini: run=C:\WINDOWS\System32\services\wmplayer.exe
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\0bffw3w0zs4dj.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [winupd] C:\WINDOWS\System32\winupd.exe
O4 - HKLM\..\Run: [crje.exe] C:\WINDOWS\crje.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [YAW starten] "C:\Programme\YAW 3.5\yawguard.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ 4 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.arcor.de
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!http://69.50.179.52/winsearchie32.ch...searchie32.exe
O16 - DPF: {11111111-1111-1111-1111-111111111123} - ms-its:mhtml:file://c:\nosuch.mht!http://www.ruworld.com/mx/chm/files.chm::/file.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{55081A55-6143-4121-98E2-694061FF6FF5}: NameServer = 145.253.2.81 195.50.140.250
O17 - HKLM\System\CCS\Services\Tcpip\..\{C6A43C13-303C-4513-A673-FD5A33900B08}: NameServer = 192.168.120.252,192.168.120.253

*Christian* 12.09.2004 17:11

Lösche den Ordner GMT; C:\Programme\Gemeinsame Dateien\GMT\GMT.exe

Fixe mit HijackThis dies:

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://super-spider.com/sp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = res://C:\WINDOWS\system32\shdocpe.dll/asst.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\mujth.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mujth.dll/sp.html#29126
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.windowws.cc/hp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\mujth.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\mujth.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mujth.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\mujth.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\mujth.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Arcor
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = res://C:\WINDOWS\system32\shdocpe.dll/asst.html
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\0bffw3w0zs4dj.dll
O4 - HKLM\..\Run: [winupd] C:\WINDOWS\System32\winupd.exe
O4 - HKLM\..\Run: [crje.exe] C:\WINDOWS\crje.exe
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!http://69.50.179.52/winsearchie32.c...nsearchie32.exe
O16 - DPF: {11111111-1111-1111-1111-111111111123} - ms-its:mhtml:file://c:\nosuch.mht!http://www.ruworld.com/mx/chm/files.chm::/file.exe

Lösche nun die Datei C:\WINDOWS\System32\0bffw3w0zs4dj.dll

Anschließend lass mal eScan drüberlaufen.

MountainKing 12.09.2004 17:15

Ist das Log komplett bzw. aus dem normalen Modus? Es fehlt auch die Info über das Betriebssystem.
`
Anhand der Startliste tauchen Trojaner auf:

F1 - win.ini: run=C:\WINDOWS\System32\services\wmplayer.exe
O4 - HKLM\..\Run: [winupd] C:\WINDOWS\System32\winupd.exe
O4 - HKLM\..\Run: [crje.exe] C:\WINDOWS\crje.exe

Allerdings nicht bei den Prozessen, hm. Falls diese Prozesse laufen, gilt für dich leider dasselbe, was Rene-gade empfohlen hat: Neuinstallation.


1.) Neu formatieren und installieren (Anleitung: http://8ung.at/chemikers-home/SETUP.html)
2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto

ins Netz gehen
3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren

(http://www.computerhilfe-euskirchen....xp/tipp16.html)
4.) Ebenfalls VOR dem Onlinegehen unnötige Dienste deaktivieren siehe www.dingens.org
5.) Danach zuerst www.windowsupdate.com besuchen (dies wöchentlich wiederholen) und alle

Updates installieren oder alternativ vorher noch Service Pack 2 downloaden oder von CD installieren
6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera,

Firefox oder Mozilla umsteigen
7.) Browser und Emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail)

sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Java-Script, Active-X, VBS)
8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen

Programme herunterladen und vorher überprüfen, ob sie Spyware oder Adware enthalten können

(http://virgolamobile.50megs.com/spyware/spyware.htm http://www.spywareguide.com/spywarelist.html),

besondere Vorsicht ist bei allen erotischen und Warez-Seiten geboten
9) ein Antivirenprogramm schadet auch nichts (Antivir ist kostenlos und halbwegs brauchbar

www.free-av.de ), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen
10) Nicht gleich alle Programme, die früher installiert waren, sofort erneut aufs System lassen,

sondern zuerst informieren, ob sie Spy/Adware enthalten (siehe 8.)
11) Bei Infektion mit Trojanern/Keyloggern: keine alten Passworte wiederverwenden, sondern alle neu

anlegen

pFreak 12.09.2004 17:50

ich hab alles befoglt wie christian sagte, doch als ich escan staretn wollt im abgesicherten tat sich nix, und im norm modus hab ich mir gedacht es zu probieren, wars weg, einfach weg, es waren nur noch ein paar viel backup dateieb da..
was nun?

edit: diese programme laufen z.Z. nicht..


Alle Zeitangaben in WEZ +1. Es ist jetzt 10:50 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19