Trojaner-Board - hijach log+problem

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - hijach log+problem (https://www.trojaner-board.de/680-hijach-log-problem.html)

Logfile of HijackThis v1.97.7
Scan saved at 22:31:15, on 08.06.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\svchost.exe
D:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\frsfqqr.exe
C:\WINDOWS\wdskctl.exe
C:\WINDOWS\System32\RUNDLL32.exe
C:\WINDOWS\System32\cmanageo.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\taskmgr.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\mIRC\mirc.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\mshta.exe
C:\WINDOWS\system32\ntvdm.exe
C:\WINDOWS\SYSTEM32\CS4P028.EXE
C:\WINDOWS\System32\mshta.exe
C:\WINDOWS\system32\ntvdm.exe
C:\PROGRA~1\INTERN~1\iexplore.exe
C:\WINDOWS\SYSTEM32\CS4P028.EXE
C:\Programme\WinRAR\WinRAR.exe
D:\D-o-w-l-o-a-d-s\system\startseite problem\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://server224.smartbotpro.net/7search/?new-hkcu
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://default-homepage-network.com/start.cgi?new-hkcu
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default-homepage-network.com/start.cgi?new-hklm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://server224.smartbotpro.net/7search/?new-hklm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R3 - URLSearchHook: (no name) - {707E6F76-9FFB-4920-A976-EA101271BC25} - C:\Programme\TV Media\TvmBho.dll
O2 - BHO: IE Agent - {00000000-0000-0000-0000-000000000221} - C:\PROGRA~1\Lycos\IEagent\CSIE.DLL
O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - (no file)
O2 - BHO: (no name) - {0019C3E2-DD48-4A6D-ABCD-8D32436323D9} - C:\WINDOWS\bxxs5.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {4E7BD74F-2B8D-469E-92C6-CE7EB590A94D} - C:\Programme\Srng\2020Search2.dll
O2 - BHO: (no name) - {D537A3D0-8C07-4D62-953F-162207F5090D} - C:\WINDOWS\system32\regsvrac32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {6EF3AE25-5A7D-40C2-9B44-9ED0068621C0} - (no file)
O3 - Toolbar: 2020SEARCH2 - {4E7BD74F-2B8D-469E-92C6-CE7EB590A94D} - C:\Programme\Srng\2020Search2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [stcloader] C:\WINDOWS\System32\stcloader.exe
O4 - HKLM\..\Run: [srmfbsiw] C:\WINDOWS\System32\frsfqqr.exe
O4 - HKLM\..\Run: [bxxs5] RunDLL32.EXE C:\WINDOWS\bxxs5.dll,DllRun
O4 - HKLM\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe
O4 - HKLM\..\Run: [Srng] C:\Programme\Srng\Srng.exe
O4 - HKLM\..\Run: [wdskctl] C:\WINDOWS\wdskctl.exe
O4 - HKLM\..\Run: [stcinstaller] c:\installer\id53.exe
O4 - HKLM\..\Run: [cmanageo] C:\WINDOWS\System32\cmanageo.exe
O4 - HKCU\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe
O4 - HKLM\..\RunOnce: [ll6czf8.exe] C:\WINDOWS\System32\ll6czf8.exe
O4 - HKCU\..\RunOnce: [ll6czf8.exe] C:\WINDOWS\System32\ll6czf8.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{270A67CA-84FF-4B82-AA26-CAB59D0F0E60}: NameServer = 217.237.151.225 194.25.2.129

meine startseite setllt sich immer um, der ie explorer öfnet sich von alleine wann er will, irgendwelche dls werden gestartet

Wieder mal so ein typischer Fall fürs plattmachen :\

halte über 50 % von dem log für "fragwürdig"

</font><blockquote>Zitat:</font><hr />(22:56:02) <olo`afk> O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - (no file)
(22:56:10) <olo`afk> O2 - BHO: (no name) - {0019C3E2-DD48-4A6D-ABCD-8D32436323D9} - C:\WINDOWS\bxxs5.dll
(22:56:20) <olo`afk> O2 - BHO: (no name) - {4E7BD74F-2B8D-469E-92C6-CE7EB590A94D} - C:\Programme\Srng\2020Search2.dll
(22:56:32) <olo`afk> O2 - BHO: (no name) - {D537A3D0-8C07-4D62-953F-162207F5090D} - C:\WINDOWS\system32\regsvrac32.dll
(22:56:53) <olo`afk> O3 - Toolbar: (no name) - {6EF3AE25-5A7D-40C2-9B44-9ED0068621C0} - (no file)
(22:56:53) <olo`afk> O3 - Toolbar: 2020SEARCH2 - {4E7BD74F-2B8D-469E-92C6-CE7EB590A94D} - C:\Programme\Srng\2020Search2.dll
(22:57:09) <olo`afk> O4 - HKLM\..\Run: [bxxs5] RunDLL32.EXE C:\WINDOWS\bxxs5.dll,DllRun
(22:57:18) <olo`afk> O4 - HKLM\..\Run: [Srng] C:\Programme\Srng\Srng.exe
(22:57:42) <olo`afk> O4 - HKLM\..\Run: [wdskctl] C:\WINDOWS\wdskctl.ex
(22:57:49) <olo`afk> O4 - HKLM\..\Run: [stcinstaller] c:\installer\id53.exe
(22:57:58) <olo`afk> O4 - HKLM\..\RunOnce: [ll6czf8.exe] C:\WINDOWS\System32\ll6czf8.exe
(22:57:58) <olo`afk> O4 - HKCU\..\RunOnce: [ll6czf8.exe] C:\WINDOWS\System32\ll6czf8.exe </font>[/QUOTE]usw usw usw

cws-schredder
adaware
sb s&d
updaten laufne lassen
neu scannen

mfg Olo

hallo.. erstmal alle r0, r1 und r3 einträge mit hijackthis fixen.. dann sind da einige fragwürdige o4 einträge vorhanden.. wie du zu so vielen fragwürdigen einträgen kommst, weiss ich allerdings nicht..

O4 - HKLM\..\Run: [stcloader] C:\WINDOWS\System32\stcloader.exe
O4 - HKLM\..\Run: [srmfbsiw] C:\WINDOWS\System32\frsfqqr.exe
O4 - HKLM\..\Run: [bxxs5] RunDLL32.EXE C:\WINDOWS\bxxs5.dll,DllRun
O4 - HKLM\..\Run: [Srng] C:\Programme\Srng\Srng.exe
O4 - HKLM\..\Run: [wdskctl] C:\WINDOWS\wdskctl.exe
O4 - HKLM\..\Run: [stcinstaller] c:\installer\id53.exe
O4 - HKLM\..\Run: [cmanageo] C:\WINDOWS\System32\cmanageo.exe
O4 - HKLM\..\RunOnce: [ll6czf8.exe] C:\WINDOWS\System32\ll6czf8.exe
O4 - HKCU\..\RunOnce: [ll6czf8.exe] C:\WINDOWS\System32\ll6czf8.exe

diese würd ich fixen.. könnte allerdings auch was dfabei sein, dass von dir beabsichtigt installiert wurde..

bei dir im log ist fast alles bedrohlich.. auch einige der o2 und o3 einträge.. von den o2 einträgen würd ich alle außer den von lycos und acrobat reader fixen und von den o3 einträgen alle, den der radiop eintrag ist auch überflüssig..

neptune

@ neptune

lass ihn doch erst mal alle scans machen und n neues log posten ;)

imho sind da ein paar bekanntere sachen dabei
danach kann man den rest noch manuel entfernen

oh ganz vergessen hier auch zu schreiben:
auf jeden fall widnows und IE updaten und wenn moeglich browser wecheseln
gibt genug bessere alternativen

PS: dem ganzen ging ein gespraech im IRC vor deshalb mein knapper post oben