Hallo liebes Notfallteam...
wäre euch riesig dankbar wenn ihr diesen log mal anschauen könnt
und mir sagt was ich löschen kann!
habe das ganze programm mir Ad-aware, Spybot...durch und bin am anschlag!
ich krieg folgende startseite nicht raus: res://zasnf.dll/index.html#28129
habe leider keinen Beitrag dazu im forum gefunden
hier der log:
Logfile of HijackThis v1.98.0
Scan saved at 22:09:25, on 29.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\WINDOWS\system32\HPConfig.exe
C:\Programme\HPQ\Notebook Utilities\HPWirelessMgr.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\carpserv.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~2\HPQ\ONE-TO~1\OneTouch.EXE
C:\Programme\BroadJump\Client Foundation\CFD.exe
C:\PROGRA~2\NORTON~1\navapw32.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ntmc32.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\M-Audio Audiophile USB\Dmn\ma003dmn.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\sdkhv.exe
C:\Dokumente und Einstellungen\Soulfood\Desktop\hjt.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\zasnf.dll/sp.html#28129
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://zasnf.dll/index.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://zasnf.dll/index.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\zasnf.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\zasnf.dll/sp.html#28129
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://zasnf.dll/index.html#28129
R3 - Default URLSearchHook is missing
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {5DD9363D-9344-7F98-092E-C89C21F50B8A} - C:\WINDOWS\system32\atlpn.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Desktop Zoom] C:\Programme\HPQ\Desktop Zoom\hpwinadj.exe -s
O4 - HKLM\..\Run: [PreloadApp] c:\hp\drivers\printers\photosmart\hphprld.exe c:\hp\drivers\printers\photosmart\setup.exe -d
O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\..\Run: [TV Now] C:\Programme\HPQ\Notebook Utilities\TvNow.exe /RK
O4 - HKLM\..\Run: [Display Settings] C:\Programme\HPQ\Notebook Utilities\hptasks.exe /s
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [QT4HPOT] C:\PROGRA~2\HPQ\ONE-TO~1\OneTouch.EXE
O4 - HKLM\..\Run: [BJCFD] C:\Programme\BroadJump\Client Foundation\CFD.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~2\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ntmc32.exe] C:\WINDOWS\system32\ntmc32.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [RealUpdater] C:\WINDOWS\System32\realupd.exe
O4 - Global Startup: MA003DMN.LNK = C:\Programme\M-Audio Audiophile USB\Dmn\ma003dmn.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O16 - DPF: ConferenceRoom Java Client - http://irc1.bluewin.ch/java/cr.cab
danke für eure hilfe!!!
Also was auf jeden Fall raus sollte:
Das sollte auch unbedingt raus:
O2 - BHO: (no name) - {5DD9363D-9344-7F98-092E-C89C21F50B8A} - C:\WINDOWS\system32\atlpn.dll
O4 - HKLM\..\Run: [ntmc32.exe] C:\WINDOWS\system32\ntmc32.exe
O4 - HKCU\..\Run: [RealUpdater] C:\WINDOWS\System32\realupd.exe
Sieht nach einem Trojaner und Wurm aus.....
erst mal vielen dank für die prompte Hilfe!!!
schaue mir das heute abend an und poste wieder!
gruss ?uestion
Hallo zusammen!
vielen dank für eure erste analyse...
habe die besagten punkte gefixt und euren cleaner "sphjfix" mit der desinfizierung gestartet, der findet jedoch keine infizierung auch nach dem neustart sowie der CWShredder, der mir angibt das system sei clean....
das problem ist jedoch immer noch vorhanden, nur zeigt sich jetzt die Addresse der Startseite wie folgt: res://lhfoo.dll/index.html#28129
Design jedoch noch dasselbe (Home Search, wahrscheinlich gleicher verursacher)
ich denke ihr kennt das Problem bereits!
könntet ihr mir bitte bitte nochmals unter die Arme greiffen??
hier noch der neue log nach der ganzen Prozedur:
Logfile of HijackThis v1.98.0
Scan saved at 20:24:31, on 30.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\WINDOWS\system32\HPConfig.exe
C:\Programme\HPQ\Notebook Utilities\HPWirelessMgr.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\sdkhv.exe
C:\WINDOWS\System32\carpserv.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~2\HPQ\ONE-TO~1\OneTouch.EXE
C:\Programme\BroadJump\Client Foundation\CFD.exe
C:\PROGRA~2\NORTON~1\navapw32.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ntmc32.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\M-Audio Audiophile USB\Dmn\ma003dmn.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Soulfood\Desktop\hjt.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\lhfoo.dll/sp.html#28129
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://lhfoo.dll/index.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://lhfoo.dll/index.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\lhfoo.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\lhfoo.dll/sp.html#28129
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://lhfoo.dll/index.html#28129
R3 - Default URLSearchHook is missing
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {7897E57C-2EB1-E8C5-4D9C-C227B55C1142} - C:\WINDOWS\system32\mskw32.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Desktop Zoom] C:\Programme\HPQ\Desktop Zoom\hpwinadj.exe -s
O4 - HKLM\..\Run: [PreloadApp] c:\hp\drivers\printers\photosmart\hphprld.exe c:\hp\drivers\printers\photosmart\setup.exe -d
O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\..\Run: [TV Now] C:\Programme\HPQ\Notebook Utilities\TvNow.exe /RK
O4 - HKLM\..\Run: [Display Settings] C:\Programme\HPQ\Notebook Utilities\hptasks.exe /s
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [QT4HPOT] C:\PROGRA~2\HPQ\ONE-TO~1\OneTouch.EXE
O4 - HKLM\..\Run: [BJCFD] C:\Programme\BroadJump\Client Foundation\CFD.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~2\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ntmc32.exe] C:\WINDOWS\system32\ntmc32.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: MA003DMN.LNK = C:\Programme\M-Audio Audiophile USB\Dmn\ma003dmn.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O16 - DPF: ConferenceRoom Java Client - http://irc1.bluewin.ch/java/cr.cab
Okay noch ein Versuch.
Diese Prozesse beenden:
ich bins nochmal...
wollte hier nochmals meine jetzige lage posten...
habe wieder die besagten positionen gefixt, diesmal mit einer merklichen verbesserung,
meine gewünschte startseite bleibt bestehen und keine unerwünschten pop-ups, dieser Zustand bleibt aber nur bestehen solange ich meinen PC nicht neu starte, sonst falle ich wieder zurück in die alte Misere!!!
aber wie ja von Bo Derek geschrieben (an dieser Stelle nochmals vielen Dank für seine Hilfe und rasche Antwort) anschliessend den Browser wechseln!
die Lösung funktioniert, habe aber trotzdem eine Frage (bin kein experte in sachen PC-Kenntnisse) :
ist nun meine Infizierung auf meinem PC grundsätzlich immer noch vorhanden (in dem Sinn gewissermassen auch mein Problem) aber ich kann es halt umgehen oder ausweichen in dem ich meinen internet Browser wechsle (firefox/opera...), da ja dann die infizierung einfach nicht zum zug kommen kann???
oder sehe ich das falsch???
gruss ?uestion
Mach das fixen bitte im abgesicherten Modus (F8 beim booten)
und loesche noch unbedingt alle Temp Ordner und den IE Cache!
Suche auch nach der Sp.html und loesche diese....dann ist endgueltig Ruhe!
ja ja sieht gut aus....
hab das jetzt ausprobiert was remover geschrieben hat und bisher scheint alles in Ordnung zu sein!!!
hab 2mal neu gebootet und alles bleibt wies sein soll, keine pop-ups, keine veränderung der Startseite! danke danke danke danke danke für eure hilfe!
ich hatte zwar die Sp.html nicht gefunden, aber wenn ich sie nicht finde werde ich sie auch kaum zu löschen brauchen!
sollte sich doch noch was tun melde ich mich!
vorerst gebe ich ab und nochmals besten dank!!!!
gruss ?uestion
Unterstützt von Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)