![]() |
Hi! Ich bin neu hier und auf der Suche nach einer Lsung auf die Seite gestoen, deren Mitglieder ja hier offensichtlich doch so ziemlich den Plan haben. Vorweg: Ich habe die Suchfunktion bereits benutzt, finde jedoch nicht die fr mich richtigen Informationen. Gerade eben wollte ich die sehr ausfhrlich und verstndlich geschriebene Anleitung zur Entfernung des m. E. grassierenden Trojaners "CoolWebSearch" durcharbeiten - bleibe jedoch bereits bei Schritt 4 mit der Suche nach 61c00000 61440" hngen, da diese Datei nicht gefunden wird. Nun hab ich gerade eben nochmal ein Browserfenster aufgemacht: die Startseite lautet "allaboutsearching.com". Hat das damit auch etwas zu tun oder ist das ein vllig anderes Problem? Weiterhin habe ich festgestellt, dass die Prozessorauslastung deutlich hher ist, als normal. Hngt das damit zusammen`? Beim Prfen mittels Norton werden die Dateien "bi.dll" (2x) und "biprep.exe" (1x) gefunden, welche ich jedoch nicht entfernen/lschen kann. Wre echt klasse, wenn sich einer der "Checker" hier mal meines Problems annehmen knnte - wieder merke ich, dass ich von PC nahezu keine Ahnung habe! Doch - ein bisschen... aber eben nicht genug. Bin mir sicher, dass ich aus meinem Bekanntenkreis dann den ein oder anderen Problemfall guten Gewissens hierher empfehlen kann... Kompliment an die Macher! Herzlichen Gru - Kruzifix EDIT: Hab grad bemerkt, dass ich das LogFile von HiJackThis nicht gepostet habe... dort finde ich auch einen entsprechenden Eintrag mit dieser Startseite... aber wie gehe ich weiter vor? Logfile of HijackThis v1.97.7 Scan saved at 21:31:59, on 07.05.2004 Platform: Windows XP SP2, v.2096 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2096) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\ntvdm.exe C:\WINDOWS\htpatch.exe C:\PROGRA~1\SURFWA~1\EQ CHIN.exe C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe D:\NORTON~1\NORTON~4\GHOSTS~2.EXE D:\NORTON SYSTEM-WORKS 2004\Norton Antivirus\navapsvc.exe D:\NORTON~1\NORTON~2\NPROTECT.EXE C:\WINDOWS\System32\nvsvc32.exe D:\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe D:\TDSL-SPEED-MANAGER\tsmsvc.exe D:\NORTON SYSTEM-WORKS 2004\Norton Antivirus\SAVScan.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\explorer.exe G:\AusFreshDownloads\Unsortiert\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.de R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://allaboutsearching.com/passthr..._PVER}&ar=home F1 - win.ini: run=C:\WINDOWS\miro\COMMON\PINBOARD.EXE O1 - Hosts: LHLHHHHH*H*HHHHHHHHHHHHHvHvHHHHHHHHH HHHHH*H*HHHHHHHHHHHHHHHHHHHHHHH O1 - Hosts: HHH*H*HHHHHHHHHHHHHHHHHHHHHHH O1 - Hosts: NHH O1 - Hosts: www.look2me1.com O1 - Hosts: A[x[ www.look2me2.com O1 - Hosts: C[x[ www.look2me3.com O1 - Hosts: E[x[ www.look2me4.com O1 - Hosts: www.look2me5.com O1 - Hosts: L[L[[[[[*[*[[[[[ [ [[[[[[[[[[[[[[[[[ [[[[[*[*[[[[[[[[[[[[[[[[[[[[[[[ O1 - Hosts: [[[*[*[[[[[[[[[[[[[[[[[[[[[[[ O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [T-DSL SpeedMgr] "D:\TDSL-S~1\SpeedMgr.exe" O4 - HKLM\..\Run: [MATH REMOTE] C:\PROGRA~1\SURFWA~1\EQ CHIN.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [BlockAds] "D:\TWEAK-XP-DEMO UpdateTo Full\AdBlocker.exe" O4 - Global Startup: ZoneAlarm Pro.lnk = D:\ZONE-ALARM-PRO\ZoneAlarm\zapro.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MSOFFI~1\Office10\EXCEL.EXE/3000 O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: WebSpeech (HKLM) O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) (HKLM) O9 - Extra button: ICQ Lite (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O9 - Extra button: Yahoo! Messenger (HKLM) O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM) O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst0309.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/02e29a43...dxIE601_de.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupdate.microsoft.co...043.3895138889 O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab O16 - DPF: {DDFFA75A-E81D-4454-89FC-B9FD0631E726} - http://www.bundleware.com/activeX/DS3/DS3.cab O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?316 O17 - HKLM\System\CCS\Services\Tcpip\..\{DA34D3EF-2205-4E26-AF3E-0D28A4324A18}: NameServer = 83.120.6.30 217.9.110.242 [ 07. Mai 2004, 21:35: Beitrag editiert von: Kruzifix ] |
Mich wrde mal interessieren, was das ist: </font><blockquote>Zitat:</font><hr /> O4 - HKLM\..\Run: [MATH REMOTE] C:\PROGRA~1\SURFWA~1\EQ CHIN.exe </font>[/QUOTE]Ausserdem wrde ich mir die (Programm-)Eigenschaften der Datei "C:\WINDOWS\system32\wuauclt.exe" ansehen, ob es sich wirklich um den Microsoft Auto Update Client handelt. @Olo Was strt Dich an "NeroCheck.exe"? [ 08. Mai 2004, 01:25: Beitrag editiert von: Virenscanner ] |
Wow - htte auf keinen Fall so schnell mit einer Antwort gerechnet... doch nun muss ich leider zur Frhschicht und kann mich dem Problem erst heute Nachmittag widmen... vorab schonmal ein einfaches, aber lautes DANKE! ------------------------------------------------- "... kann alles raus ..." ------------------------------------------------- Sorry, wenn ich mich jetzt als computerdoofi oute: einfach lschen? Wie und wo? Mit Hilfe von HiJackThis? Im abgesicherten Modus? Ich nehme an, solche Anfngerfragen nerven... aber ich hoffe, man hat im Hinterkopf, dass jeder mal Anfnger war. ------------------------------------------------- "... dann die registry danach durchsuchen und mgliche eintrge entfernen ( vorher sichern!)..." ------------------------------------------------- da such ich doch ewig, oder? gibts da irgendwie ne einfachere lsung... oder sucht die normale windows-suchfunktion auch in der registry? ------------------------------------------------- "...sonst kann ich dir noch raten die hier oft angesprochenen tools wie adaware/spybot usw zu installieren upzudaten und laufen zu lassen. am ende dann nochmal ein aktuelles log posten..." ------------------------------------------------- hab ich beide in aktueller version drauf - haben mir nur bei DIESEM problem nicht weitergeholfen. irgendwie scheint das teil sich ziemlich festgesetzt zu haben... ------------------------------------------------- "...gute nacht thomas" ------------------------------------------------- Tja, da bleibt mir nichts anderes brig, als GUTEN MORGEN und DANKE zu sagen. Erstmal. So, wie ich mich kenne, melde ich mich bestimmt bald wieder, weil ich irgendwas nicht auf die Reihe kriege... Herzlichen Gru - Roland |
Also die Sache mit dem yellow-page und coolwebsearch sieht glaub ich anders aus Naja ich hab hier erstma n paar Sachen die solltest du sowieso machen Am ende dann nochmal n neues log posten dann kann jemand andres ma drber schaun der sich grad mit diesem einen beschftigt </font><blockquote>Zitat:</font><hr />0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://allaboutsearching.com/passthr..._PVER}&ar=home F1 - win.ini: run=C:\WINDOWS\miro\COMMON\PINBOARD.EXE O1 - Hosts: LHLH?H?H?H?H H HHHHHHHHHHHHHvHvHHHHHHHHH ?H?H?H?H?H H HHHHHHHHHHHHHHHHHHHHHHH O1 - Hosts: ?H?H?H H HHHHHHHHHHHHHHHHHHHHHHH O1 - Hosts: NH?H O1 - Hosts: www.look2me1.com O1 - Hosts: A[x[ www.look2me2.com O1 - Hosts: C[x[ www.look2me3.com O1 - Hosts: E[x[ www.look2me4.com O1 - Hosts: www.look2me5.com O1 - Hosts: L[L[?[?[?[?[ [ [[[[[ ?[ ?[[[[[[[[[[[[[[[[[ ?[?[?[?[?[ [ [[[[[[[[[[[[[[[[[[[[[[[ O1 - Hosts: ?[?[?[ [ [[[[[[[[[[[[[[[[[?[?[[[[[ </font>[/QUOTE]kann alles raus ( also im abgesicherten modus) C:\WINDOWS\miro\COMMON\PINBOARD.EXE den Pfad solltest du mal berprfen also was da noch alles drin ist. gehrt sich er nicht ins windows verzeichnis </font><blockquote>Zitat:</font><hr /> O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst0309.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/02e29a43...dxIE601_de.cab O16 - DPF: {DDFFA75A-E81D-4454-89FC-B9FD0631E726} - http://www.bundleware.com/activeX/DS3/DS3.cab O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?316 </font>[/QUOTE]sofern die nicht gewollt sind auch fixen ( wieder im abgesichtern modus) </font><blockquote>Zitat:</font><hr /> O17 - HKLM\System\CCS\Services\Tcpip\..\{DA34D3EF-2205-4E26-AF3E-0D28A4324A18}: NameServer = 83.120.6.30 217.9.110.242 </font>[/QUOTE]bei dem bin ich mir nicht sicher kann wahrscheinlich auch raus... </font><blockquote>Zitat:</font><hr />Beim Prfen mittels Norton werden die Dateien "bi.dll" (2x) und "biprep.exe" (1x) gefunden, welche ich jedoch nicht entfernen/lschen kann. </font>[/QUOTE]die beiden files nochmal seperat mit einem scanner berprfen dann die registry danach durchsuchen und mgliche eintrge entfernen ( vorher sichern!) sonst kann ich dir noch raten die hier oft angesprochenen tools wie adaware/spybot usw zu installieren upzudaten und laufen zu lassen. am ende dann nochmal ein aktuelles log posten nachtrag : O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe bitte auch fixen gute nacht thomas [ 08. Mai 2004, 00:26: Beitrag editiert von: Olo ] |
</font><blockquote>Zitat:</font><hr /> @Olo Was strt Dich an "NeroCheck.exe"? </font>[/QUOTE]hmm hab mich da wohl vertan. </font><blockquote>Zitat:</font><hr /> Sorry, wenn ich mich jetzt als computerdoofi oute: einfach lschen? Wie und wo? Mit Hilfe von HiJackThis? Im abgesicherten Modus? </font>[/QUOTE]Also ersteinmal den PC im abgesicherten Modus hochfahren ( beim starten f8 drcken und dann dort abgesicherten modus auswhlen) Einfach lschen mit HJT? ja im grunde schon nur solltest du vorher schauen ob die eintrge auf irgendwelche dateien verweisen die musst du dann danach noch per hand entfernen wenn sich eine der dateien nicht lschen lsst dann mal per strg+alt+entf im taskmanager schauen ob sie unter den prozessen auftaucht, wenn ja beenden dann msste man sie entfernen knnen </font><blockquote>Zitat:</font><hr /> da such ich doch ewig, oder? gibts da irgendwie ne einfachere lsung... oder sucht die normale windows-suchfunktion auch in der registry? </font>[/QUOTE]mehr oder weniger ja. erstmal registry ffnen ( start->ausfhren->regedit) jetzt siehst du ein fenster hnlich dem explorer hier kannst du auch mit strg+f die suchfunktion aufrufen und damit wie gewohnt nach den bestimmten dateien suchen. sobald du was gefunden hast exportiere erst einmal den eintrag (registrierung->registrierungsdatei exportieren) damit du sie nachher falls ntig wieder herstellen kannst. dann die eintrge lschen. </font><blockquote>Zitat:</font><hr /> Mich wrde mal interessieren, was das ist: Zitat: O4 - HKLM\..\Run: [MATH REMOTE] C:\PROGRA~1\SURFWA~1\EQ CHIN.exe </font>[/QUOTE]nichts was da hingehrt denke ich habs gestern nacht bersehen </font><blockquote>Zitat:</font><hr /> Ich nehme an, solche Anfngerfragen nerven... aber ich hoffe, man hat im Hinterkopf, dass jeder mal Anfnger war. </font>[/QUOTE]Ich wei nicht wies den anderen geht aber ich gehre meiner meinung nach selbst noch zu den Anfngern hier.. bin ja erst seit 2 wochen registriert hier im Board.. Aber ich muss sagen das du dir schon viel mhe mit dem Problem gemacht hast und dich auch schon hier im Board umgeschaut hast (siehe HJT log), was viele andere nicht machen. und ich muss sagen das strt einen natrlich umso mehr wenn sich jemand nur mit "hilfe ich glaub ich habn virus was muss ich tun???????" meldet, im gegensatz zu deinem post hier ;) da ist man gleich viel bereiter zu helfen [img]smile.gif[/img] |
Servus, Thomas! Erstmal vielen Dank fr das Kompliment - aber das rhrt einfach daher, dass ich mit meinem anderen Hobby auch relativ viel in einem Forum unterwegs bin und dort schon zu den lteren Hasen zhle. Ich kann das sehr gut nachvollziehen und bemhe mich deswegen halt einfach ein bisschen. Ist ja auch nicht schwer... Zum Thema zurck: Bin grad leider auf Arbeit und kann mich somit nicht um "mein" Problem daheim kmmern... Ich hoffe, ich kriege das die nchsten Tage noch auf die Reihe - denn ab Mittwoch bin ich erstmal fr ein paar wenige Tage in sdlicheren Gefilden und lasse den PC einfach PC sein... Der Strand ist da durchaus interessanter... ;) Ich werde mich auf jeden Fall wieder melden... Herzlichen Dank schonmal. Ich habe ja noch die Illussion, dass sich das Problem vielleicht in den paar Tagen meiner Abwesenheit von alleine lst. Wre doch "kuhl".... ;) Und wenn ich dann wieder da bin, habe ich ja genug zu lesen... Servus! Finde brigens Dein Statemant zum Schluss "...hat noch niemandem..." klasse! |
So, nun bin ich mit nem Sonnenbrand wieder zurck und mchte mitteilen, dass es geklappt hat!!! Herzlichsten Dank! Ist ein echt gutes Forum hier. Doch um die Freude nicht zu gro werden zu lassen, gleich zum nchsten Problem. Seit ich diesen Hijacker drauf hatte und ihn, wie oben erwhnt, erfolgreich verbannen konnte, luft mein Rechner auch im Leerlauf sehr hoch und bei bereits zwei geffneten Programmen auf 100%. Woran kann das denn liegen? Da macht es gar keinen Spa, die Urlaubsbilder zu bearbeiten... *grummel* Bringt es was, wenn ich hier die laufenden Prozesse mal poste? Kann das etwas mit dem vorherigen Problem zu tun haben? Ich hab keinen Bock, "C" platt zu machen.... Herzlichen Gru - Roland EDIT: Mit WinTop hab ich es bereits versucht... aber ich kann das Prog wegen folgender Meldung nicht starten! "Der Prozedureinsprungpunkt 'GetPrecessFlags' wurde in der DLL 'KERNEL32.dll' nicht gefunden." Oh Mann, das nervt mich was. Und ich euch damit wahrscheinlich auch... [ 17. Mai 2004, 02:05: Beitrag editiert von: Kruzifix ] |
Alle Zeitangaben in WEZ +1. Es ist jetzt 16:18 Uhr. |
Copyright ©2000-2025, Trojaner-Board