|
Probleme mit Home Search Assistent & Co. Hallo an alle, hab' mir letzte Woche ein paar nervige Trojaner eingefangen, von denen ich einen Teil zum Glück schon losgeworden bin, aber das "nette" Trio Home Search Assistent, Search Extender und Shopping Wizard werde ich einfach nicht los. Kurzzeitig waren sie schon mal aus der Software-Liste raus, aber nach jedem Internet-Besuch sind sie wieder da, meine drei Probleme. Ad-aware und Spybot erkennen sie jedesmal, ich lösche sie, aber beim nächsten Mal sind sie wieder drauf. CWShredder sagt, mein System sei sauber, das kann aber nicht stimmen. Hab' mein aktuelles HijackThis-Logfile angehängt und wäre sehr froh, wenn mir jemand helfen könnte. Ein paar dieser Einträge kommen mir ziemlich suspekt vor, aber ich will mal lieber nicht wild drauflos löschen, soooo viel Ahnung hab' ich dann doch nicht. Vielen Dank schonmal! Logfile of HijackThis v1.98.2 Scan saved at 13:10:59, on 22.09.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\System32\brsvc01a.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\brss01a.exe C:\WINDOWS\System32\NILaunch.exe C:\Programme\Roxio\WinOnCD 5 PE\DirectCD\DirectCD.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\System32\vpc32.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Dokumente und Einstellungen\A\Anwendungsdaten\xz??.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\rnathchk.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\system32\pctspk.exe C:\Programme\Norton AntiVirus\SAVScan.exe C:\WINDOWS\Windows Update.log:xtzrk C:\WINDOWS\netop.exe C:\Dokumente und Einstellungen\A\Lokale Einstellungen\Temp\Temporäres Verzeichnis 10 für hijackthis1982.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\vipup.dll/sp.html#29126 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\vipup.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\vipup.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\vipup.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\vipup.dll/sp.html#29126 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\vipup.dll/sp.html#29126 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = http://localhost; R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {378AE8EE-0426-C141-F3C8-F6BD25766BFA} - C:\WINDOWS\iegh.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [CountrySelection] pctptt.exe O4 - HKLM\..\Run: [Net-It Launcher] C:\WINDOWS\System32\NILaunch.exe O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\WinOnCD 5 PE\DirectCD\DirectCD.exe" O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe O4 - HKLM\..\Run: [netop.exe] C:\WINDOWS\netop.exe O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Sbbd] C:\Dokumente und Einstellungen\A\Anwendungsdaten\xz??.exe O4 - HKCU\..\Run: [Bpwpeyak] C:\WINDOWS\System32\?hkdsk.exe O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O14 - IERESET.INF: START_PAGE_URL=http://www.megware.de O15 - Trusted Zone: *.05p.com O15 - Trusted Zone: *.scoobidoo.com O15 - Trusted Zone: *.searchmiracle.com O17 - HKLM\System\CCS\Services\Tcpip\..\{31F0A51D-D08E-443C-B9E5-DA7C303F05C2}: NameServer = 139.18.25.3 O19 - User stylesheet: (file missing) |
Scanne mal im abgesicherten Modus mit eScan: http://www.trojaner-board.de/showthread.php?t=6083 Anschließend erstelle und poste ein neues HijackThis-Log. |
OK, ist erledigt ... hier mein neues HijackThis-Logfile: Logfile of HijackThis v1.98.2 Scan saved at 22:02:40, on 22.09.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\System32\brsvc01a.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\brss01a.exe C:\WINDOWS\System32\NILaunch.exe C:\Programme\Roxio\WinOnCD 5 PE\DirectCD\DirectCD.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Dokumente und Einstellungen\A\Anwendungsdaten\xz??.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\Windows Update.log:xtzrk C:\WINDOWS\system32\pctspk.exe C:\Programme\Norton AntiVirus\SAVScan.exe C:\WINDOWS\System32\wuauclt.exe C:\Dokumente und Einstellungen\A\Lokale Einstellungen\Temp\Temporäres Verzeichnis 16 für hijackthis1982.zip\HijackThis.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\rnathchk.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\vipup.dll/sp.html#29126 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\vipup.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\vipup.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\vipup.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\vipup.dll/sp.html#29126 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\vipup.dll/sp.html#29126 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = http://localhost; R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {1F9F0150-0C22-FA76-7428-8EB8540D4AA4} - C:\WINDOWS\system32\ieez32.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [CountrySelection] pctptt.exe O4 - HKLM\..\Run: [Net-It Launcher] C:\WINDOWS\System32\NILaunch.exe O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\WinOnCD 5 PE\DirectCD\DirectCD.exe" O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Sbbd] C:\Dokumente und Einstellungen\A\Anwendungsdaten\xz??.exe O14 - IERESET.INF: START_PAGE_URL=http://www.megware.de O17 - HKLM\System\CCS\Services\Tcpip\..\{31F0A51D-D08E-443C-B9E5-DA7C303F05C2}: NameServer = 139.18.25.3 |
Zitat:
Hast du wirklich im abgesicherten Modus gescannt? Normalerweise müsste eScan den TrojanDownloader.Win32.Agent.bq von der Platte gefegt haben! |
ja, ich war ziemlich nachlässig mit dem Updaten ... dafür hab' ich jetzt auch den Salat (obwohl ich kürzlich was Aktuelles bei MS runtergezogen habe, aber der IE muss noch aktualisiert werden. Ist es ratsam, das jetzt zu machen, wo mir diese suspekten Teile auf dem Rechner rumgeistern?). Zumindest bin ich mir relativ sicher, den abgesicherten Modus genutzt zu haben, also beim Hochfahren F8 gedrückt und dann eScan ausgeführt, wie es hier in dem anderen Thread beschrieben war. Der Scan hat mir auch Win32Agent angezeigt und die entsprechenden Dateien gelöscht. Danach hab' ich das HijackThis-Logfile erstellt. ich hab' mir soeben mal das Log von dem gestrigen eScan genauer zu Gemüte geführt und, wie gesagt, den schon erwähnten Win32.Agent (in den Varianten .an, .bq, .bc und .cd - keine Ahnung, ob das wichtig ist) gefunden. Dann waren da noch einige Einträge für Backdoor.Rbot.gen - und alles, was ich von diesen "Backdoor"-Teilen hier im Forum lesen konnte, klang nicht so nett. Ich hoffe, ich hab' alles richtig gemacht, ansonsten bitte ich um weitere Tipps ... Danke Euch erstmal für die Mühe! Grüße, Kermit79 |
Sende diese Dateien: C:\Dokumente und Einstellungen\A\Anwendungsdaten\xz??.exe C:\WINDOWS\system32\ieez32.dll an partytime-germany.ice@web.de Es handelt sich wahrscheinlich hier um neue Malware, die noch nicht erkannt wird. Anschließend lösche die Dateien im abgesicherten Modus. Fixe mit HijackThis dies: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\vipup.dll/sp.html#29126 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\vipup.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\vipup.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\vipup.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\vipup.dll/sp.html#29126 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\vipup.dll/sp.html#29126 R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {1F9F0150-0C22-FA76-7428-8EB8540D4AA4} - C:\WINDOWS\system32\ieez32.dll O4 - HKCU\..\Run: [Sbbd] C:\Dokumente und Einstellungen\A\Anwendungsdaten\xz??.exe Schützen kannst du dich z. B. mit einem anderen Browser: www.firefox-browser.de ist sicher und kostenlos. Siehe auch: www.mozilla.kairo.at www.opera.com |
@ Christian: das würde ich gern, aber die genannten Dateien kann ich an den angegebenen Stellen nicht finden, auch "Suchen" war ergebnislos. Die Einträge habe ich wie beschrieben gefixt, im Moment habe ich auch Ruhe, ich weiß bloß nicht, ob sie trügerisch ist ... Na mal sehen. Vielen Dank und Grüße, Kermit79 |
Hast du in den Ordneroptionen vor "Alle Dateien anzeigen" und "Geschützte Systemdateien anzeigen" ein Häckchen? |
Du hattest Recht, ich hatte "Alle Dateien anzeigen" und "Geschützte Systemdateien verbergen" aktiviert, aus diesem Grunde konnte ich die erste nicht sehen. Jetzt ist sie zwar da, lässt sich aber nicht verschicken. Ist angeblich kein gültiger Dateiname, wenn ich sie als mail-Anhang verpacken will. Nr. 2 ist leider immer noch nicht da, eventuell hab' ich sie mit Ad-aware, Spybot oder eScan schon kleingemacht. |
Zitat:
|
So, jetzt dürfte es geklappt haben, ich habe in einem Aktenkoffer eine Kopie erstellt und diese verschickt. Grüße an alle! |
War ein TrojanDownloader. Poste mal ein neues HijackThis-Log. |
Hab' zwischenzeitlich nochmal ein eScan durchlaufen lassen, der hat schon wieder 15 Einträge zu Win32.Agent gefunden. Nun ja, hier also das aktuelle Logfile: Logfile of HijackThis v1.98.2 Scan saved at 22:08:33, on 24.09.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\System32\brsvc01a.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\brss01a.exe C:\WINDOWS\System32\NILaunch.exe C:\Programme\Roxio\WinOnCD 5 PE\DirectCD\DirectCD.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\system32\pctspk.exe C:\Programme\Norton AntiVirus\SAVScan.exe C:\WINDOWS\System32\wuauclt.exe C:\Dokumente und Einstellungen\A\Lokale Einstellungen\Temp\Temporäres Verzeichnis 26 für hijackthis1982.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\eieor.dll/sp.html#29126 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\eieor.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\eieor.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\eieor.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\eieor.dll/sp.html#29126 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\eieor.dll/sp.html#29126 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = http://localhost; O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [CountrySelection] pctptt.exe O4 - HKLM\..\Run: [Net-It Launcher] C:\WINDOWS\System32\NILaunch.exe O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\WinOnCD 5 PE\DirectCD\DirectCD.exe" O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O14 - IERESET.INF: START_PAGE_URL=http://www.megware.de O17 - HKLM\System\CCS\Services\Tcpip\..\{31F0A51D-D08E-443C-B9E5-DA7C303F05C2}: NameServer = 139.18.25.3 |
Fixe dies: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\eieor.dll/sp.html#29126 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\eieor.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\eieor.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\eieor.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\eieor.dll/sp.html#29126 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\eieor.dll/sp.html#29126 Beobachte dies mal genau. Lass dann ab und an mal wieder mit eScan scannen. |
Zitat:
Wenn du dich weiterhin nur auf deine Scheinsicherheitssoftware verlässt, dann bist du verlassen. Viel Glück beim täglichen Kampf! :headbang: btw: Manche lernen es eben nie! EOD |
´nabend allerseits! hab mal wieder ein Problem mit ominösen Prozessen, bin aber unsicher ob ich was fixen kann!?! Kann mal jemand drüber schaun? Danke im Voraus, :daumenhoc die Micha Logfile of HijackThis v1.98.2 Scan saved at 22:43:01, on 24.09.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\pctspk.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\FreeRAM\FreeRAM.exe C:\Program Files\Windows SyncroAd\WinSync.exe C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE C:\Programme\Dienstprogramm ZyAIR PC-Karte\ZyAIR.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\wanmpsvc.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\micha\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis_198.zip\HijackThis.exe C:\Program Files\Windows SyncroAd\SyncroAd.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nurburgring.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe" O4 - HKLM\..\RunOnce: [djtopr1150.exe] "C:\DOKUME~1\micha\LOKALE~1\Temp\djtopr1150.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [BySoft FreeRAM] C:\Programme\FreeRAM\FreeRAM.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O4 - HKCU\..\Run: [Rdua] C:\Dokumente und Einstellungen\micha\Anwendungsdaten\kgykm?.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: ZyAIR PC-Karte.lnk = C:\Programme\Dienstprogramm ZyAIR PC-Karte\ZyAIR.exe O4 - Global Startup: AOL 8.0 Tray-Symbol.lnk = C:\Programme\AOL 8.0\aoltray.exe O8 - Extra context menu item: &AOL Toolbar-Suche - res://C:\Programme\AOL Toolbar\toolbar.dll/SEARCH.HTML O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...a29296baabe1d6 O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{392F0DAA-AEBB-4484-B015-287E1F763E55}: NameServer = 192.168.1.1 |
Hallo micha6977, mach bitte den eScan entpsrechend Anleitung: Thread-6083 Teile uns das Ergebnis mit, wieviele Viren wurden auf Deinem System gefunden, wie heissen sie. Erstelle ein neues Logfile mit Hijack This und poste es. Gruss Shadowdance |
So, habs nun endlich mal geschafft, weiterzumachen: eScan ergab eine Vilrus Log Information, die ich aber nicht hier reinkopieren kann, ewig lang, und hier mein neues Log: Logfile of HijackThis v1.98.2 Scan saved at 14:17:39, on 26.09.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\pctspk.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Program Files\Windows SyncroAd\SyncroAd.exe C:\Program Files\Windows SyncroAd\WinSync.exe C:\Programme\Web_Rebates\WebRebates0.exe C:\Programme\BullsEye Network\bin\bargains.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\FreeRAM\FreeRAM.exe C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE C:\Dokumente und Einstellungen\micha\Anwendungsdaten\kgykm?.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\wanmpsvc.exe C:\Programme\Dienstprogramm ZyAIR PC-Karte\ZyAIR.exe C:\Programme\Web_Rebates\WebRebates1.exe C:\DOKUME~1\micha\LOKALE~1\Temp\mwavscan.com C:\DOKUME~1\micha\LOKALE~1\Temp\kavss.exe C:\Dokumente und Einstellungen\micha\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis_198.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nurburgring.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe" O4 - HKLM\..\Run: [BullsEye Network] C:\Programme\BullsEye Network\bin\bargains.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [BySoft FreeRAM] C:\Programme\FreeRAM\FreeRAM.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O4 - HKCU\..\Run: [Rdua] C:\Dokumente und Einstellungen\micha\Anwendungsdaten\kgykm?.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: ZyAIR PC-Karte.lnk = C:\Programme\Dienstprogramm ZyAIR PC-Karte\ZyAIR.exe O4 - Global Startup: AOL 8.0 Tray-Symbol.lnk = C:\Programme\AOL 8.0\aoltray.exe O8 - Extra context menu item: &AOL Toolbar-Suche - res://C:\Programme\AOL Toolbar\toolbar.dll/SEARCH.HTML O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...a29296baabe1d6 O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{392F0DAA-AEBB-4484-B015-287E1F763E55}: NameServer = 192.168.1.1 Danke im Voraus, Micha |
Scanne dein System im abgesicherten Modus mit Adware Away und Spybot 1.3 , poste danach ein neues Log-File. |
Adware Away hab ich nicht ganz kapiert, Spybot S&D hat 30 entries gefunden, wurden behoben und hier mal wieder neues Log: Logfile of HijackThis v1.98.2 Scan saved at 15:10:38, on 26.09.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\pctspk.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Program Files\Windows SyncroAd\SyncroAd.exe C:\Program Files\Windows SyncroAd\WinSync.exe C:\Programme\Web_Rebates\WebRebates0.exe C:\Programme\BullsEye Network\bin\bargains.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\FreeRAM\FreeRAM.exe C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\wanmpsvc.exe C:\Programme\Dienstprogramm ZyAIR PC-Karte\ZyAIR.exe C:\Programme\Web_Rebates\WebRebates1.exe C:\DOKUME~1\micha\LOKALE~1\Temp\mwavscan.com C:\DOKUME~1\micha\LOKALE~1\Temp\kavss.exe C:\Dokumente und Einstellungen\micha\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis_198.zip\HijackThis.exe C:\Programme\Internet Explorer\IEXPLORE.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nurburgring.de/ F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe O4 - HKLM\..\Run: [BullsEye Network] C:\Programme\BullsEye Network\bin\bargains.exe O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [BySoft FreeRAM] C:\Programme\FreeRAM\FreeRAM.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O4 - HKCU\..\Run: [Rdua] C:\Dokumente und Einstellungen\micha\Anwendungsdaten\kgykm?.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: ZyAIR PC-Karte.lnk = C:\Programme\Dienstprogramm ZyAIR PC-Karte\ZyAIR.exe O4 - Global Startup: AOL 8.0 Tray-Symbol.lnk = C:\Programme\AOL 8.0\aoltray.exe O8 - Extra context menu item: &AOL Toolbar-Suche - res://C:\Programme\AOL Toolbar\toolbar.dll/SEARCH.HTML O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...a29296baabe1d6 O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} - http://www.mt-download.com/MediaTicketsInstaller.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{392F0DAA-AEBB-4484-B015-287E1F763E55}: NameServer = 192.168.1.1 |
Wechsle in den abgesicherten Modus und fixe diese Einträge: O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe O4 - HKLM\..\Run: [BullsEye Network] C:\Programme\BullsEye Network\bin\bargains.exe O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe" O4 - HKCU\..\Run: [Rdua] C:\Dokumente und Einstellungen\micha\Anwendungsdaten\kgykm?.exe O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_f...8a29296baabe1d6 O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} - http://www.mt-download.com/MediaTicketsInstaller.cab Lösche diese Ordner: C:\Program Files\Windows SyncroAd C:\Programme\Web_Rebates C:\Programme\BullsEye Network Poste nochmal ein neues Log-File. |
Wie kann man die Order löschen? Im Explorer gibts immer ne Fehlermeldung (sorry für meine Unkenntnis) Micha |
Welche Fehlermeldung? Vielleicht nützt es, wenn du den Ordner im abgesicherten Modus löscht? |
Also ich komme irgendwie nicht weiter, meine Prozessliste (Strg+Alt+Entf) geht es drunter und drüber. Wenn ich zb Webrebates0.exe beende, ist sie innerhalb einer zehntelsekunde wieder da, und ich hab keine Ahnung wie ich weiterkomme... Die Micha |
Wenn ich SyncroAd.exe und webrebates0.exe fixe, ist es sofort nach dem nächsten scan wieder da... :heulen: |
Du musst natürlich auch die Dateien löschen .... |
Hab ne Systemwiederherstellung von vor 14 Tagen gemacht, jetzt sollte alles wieder in Ordnug sein, trotzdem danke! :party: |
Hallo ich habe schon seit längeren Home Search und habe garnicht gemerkt das das ein Trojaner ist. Jetzt kriege ich es nicht mehr weg! Ich habe Ad-Aware Norton Antivirus und noch so eins von Kaspersky. Immer wenn ich die ausführe ist das weg aber bei nächsten internetzugriff ist das wieder da. Wie kriege ich das weg? Bitte um Hilfe. Bond999 ---------------------------------------------------------- Schaut mal vorbei: www.Bond999.de.vu |
@Bond999 Poste ein HijackThis-Log: http://filepony.de/download-hijackthis/ |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 02:02 Uhr. |
Copyright ©2000-2025, Trojaner-Board