Druckversion des Themas

Geschrieben von: Luis Arconada 03.07.2004, 13:14

Hallo zusammen.

Möchte zunächst mitteilen, dass ich kein super-hardcore-pc-spezialist bin, daher bitte nicht sauer sein, wenn ich (für euch) selbst einfachste Dinge nicht verstehe. Obwohl, ganz so blöd bin ich dann doch wieder nicht.
Aber jetzt zu meinem Problem. Ich habe mir einen Hi-jacker gefangen, der sich beim Start von Windows schon durch die Meldung im Windows Explorer anzeigt: der Pfad zu "windows exe" konnte nicht gefunden werden oder existiert nicht

Dann erscheint bei Eingabe der url immer zunächst eine englischsprachige Suchmaschine ( A-search). Erst nach mehrmaliger erneuter Eingabe der eigentlich gewollten Seite erscheint diese dann auch.

Ich habe die erforderlichen Schritte, die auf der rokop-security-seite angegeben sind, bereits durchgeführt. ( Activex-Steuerelemente deaktiviert, Ad-Aware installiert und ausgeführt, SpybotSD installiert und ausgeführt, sowie mit Hilfe von Hi-jack this nach verdächtigen Dateien gesucht)
Hierbei wurden auch verdammt viele Dateien gefunden und bereits gefixt.

Nach Neustart des Computers erscheint die Meldung aber dennoch.

Das erste Problem, dass jetzt auftaucht ist jedoch, dass ich nicht weß, wie ich die gespeicherte Log- Datei in diesen Text einfügen kann. Ist eventuell hier schon Hilfe möglich? Sorry.

Ich bedanke mich bereits im voraus bei allen, die mich bei meinem Problem als relativ unbedarfter user unterstützen mögen.

Michael

Geschrieben von: Joerg 03.07.2004, 13:20

Du öffnest die Logdatei mit notepad. Dann markierst Du den kompletten Text, kopierst ihn in die Zwischenablage (mit der Tastenkombination Strg-C) und fügst den Text dann hier mit der Tastenkombination Strg-V wieder ein.

Geschrieben von: Luis Arconada 03.07.2004, 16:24

So, das werde ich dann mal versuchen.
Und siehe da, es hat sogar geklappt.
Vielen Dank für die erste prompte Hilfe.

Logfile of HijackThis v1.98.0
Scan saved at 13:22:19, on 03.07.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\ATI2EVXX.EXE
C:\WINDOWS\SCARDS32.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS1\TOADIMON.EXE
C:\PROGRAMME\SCANSOFT\OMNIPAGESE\OPWARE32.EXE
C:\PROGRAMME\MICROSOFT MONEY\SYSTEM\REMINDER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE
C:\PROGRAMME\MICROSOFT OFFICE97\OFFICE\OSA.EXE
C:\PROGRAMME\NIKON\NKVIEW6\NKVMON.EXE
C:\PALM\HOTSYNC.EXE
C:\PROGRAMME\FRITZ!\IWATCH.EXE
C:\PROGRAMME\WINZIP\WZQKPICK.EXE
C:\PROGRAMME\DT\DT 11MBPS WIRELESS USB DEVICE\INSTALLER\WINME\DTUSBMONITOR.EXE
C:\PROGRAMME\OUTLOOK EXPRESS\MSIMN.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\REAL\REALDOWNLOAD\REALDOWNLOAD.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\MY DOWNLOAD FILES\HJT.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\RNATHCHK.EXE
C:\WINDOWS\WUAUCLT.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: BrowserHelper Class - {EBCDDA60-2A68-11D3-8A43-0060083CFB9C} - C:\WINDOWS\SYSTEM\NZDD.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRA~1\AVPERS~1\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [ToADiMon.exe] C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [ATIPOLAB] ati2evxx.exe
O4 - HKLM\..\RunServices: [TwkSCardSrv] C:\WINDOWS\SCARDS32.exe search
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKCU\..\Run: [Reminder] C:\Programme\Microsoft Money\System\reminder.exe
O4 - HKCU\..\Run: [YAW starten] "C:\PROGRAMME\YAW 3.5\yawguard.exe"
O4 - HKCU\..\Run: [monitor] Explorer.exe monitor.exe
O4 - Startup: Erinnerungen für Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office97\Office\OSA.EXE
O4 - Startup: NkvMon.exe.lnk = C:\Programme\Nikon\NkView6\NkvMon.exe
O4 - Startup: HotSync Manager.lnk = C:\Palm\hotsync.exe
O4 - Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Startup: RealDownload.lnk = C:\Programme\Real\RealDownload\REALDOWNLOAD.EXE
O4 - Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O4 - Startup: DT 11Mbps WLAN USB Station.lnk = C:\Programme\DT\DT 11Mbps Wireless USB Device\Installer\WINME\DTUSBMonitor.exe
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O13 - DefaultPrefix:
O13 - WWW Prefix:
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O16 - DPF: {48C20DEE-B00A-11D4-9B2F-0060975D990E} (Hi2Lobby Class) - http://212.122.148.211/lobby/atlclient.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v43/yacscom.cab
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.141/code/PWActiveXImgCtl.CAB
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20021126/qtinstall.info.apple.com/dribnif/de/win/QuickTimeInstaller.exe
O16 - DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} (DataDesign DDBAC Plug-In) - https://banking.seb.de/hbci/plugin/AXFOAM.CAB
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-9.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.2.1
O21 - SSODL: AUHook - {BCBCD383-3E06-11D3-91A9-00C04F68105C} - C:\WINDOWS\SYSTEM\AUHOOK.DLL

Geschrieben von: Joerg 03.07.2004, 16:34

Bitte fixen ("fixen" bedeutet: vor den von mir bemängelten Einträgen einen Haken setzen und anschließend auf "Fix checked" klicken):

O2 - BHO: BrowserHelper Class - {EBCDDA60-2A68-11D3-8A43-0060083CFB9C} - C:\WINDOWS\SYSTEM\NZDD.DLL
O4 - HKCU\..\Run: [monitor] Explorer.exe monitor.exe
O16 - DPF: {48C20DEE-B00A-11D4-9B2F-0060975D990E} (Hi2Lobby Class) - http://212.122.148.211/lobby/atlclient.cab
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.141/code/PWActiveXImgCtl.CAB

Schicke dann bitte die Dateien

C:\WINDOWS\WUAUCLT.EXE und C:\WINDOWS\SYSTEM\AUHOOK.DLL an virus@rokop-security.de
(wuauclt.exe könnte ein Trojaner sein!)

Geschrieben von: Luis Arconada 03.07.2004, 17:02

Hallo Jörg.
Den ersten Teil Deiner Anweisungen habe ich erledigt und die entsprechenden Dateien gefixt.
Jetzt soll ich Dir noch die beiden Dateien mailen.
Wie mache ich das denn?
Einzeln markieren, ausschneiden oder kopieren und dann versenden?
Ich möchte jedenfalls verhindern, dass ich mir diesen Sch.... ( Entschuldige bitte, kommt nicht wieder vor) irgendwo hin kopiere und mir den Rechner lahm lege oder sonst was auslöse.
Ich möchte mich noch einmal für meine Unbedarftheit entschuldigen.

Ich muss jetzt allerdings wieder weg und kann Deine weiteren Anweisungen erst wieder morgen früh befolgen.
Einen schönen Abend noch.

Michael

Geschrieben von: Joerg 03.07.2004, 17:13

Es kommt darauf an, ob Du ein Mail-Programm benutzt oder Mails über eine Weboberfläche (z.B. bei GMX oder web.de) verschickst.
Bei einem Mailprogramm reicht es meist aus, im Explorer die betreffende Datei zu suchen, 1mal mit der Maus draufzuklicken und mit gedrückter Maustaste die Datei in das Mail-Programm (und dort in das Fenster, in der Du die Mail schreibst) zu ziehen; dort dann die Maustaste wieder loslassen (nennt sich "Drag and Drop").

Dafür gibts nichts zu entschuldigen, schließlich kann sich ja nicht jeder mit PCs gut auskennen und das Forum ist ja dazu da, Leuten zu helfen

Dir auch einen schönen Abend,
Grüße Jörg

Geschrieben von: Luis Arconada 04.07.2004, 11:58

Hallo Jörg.
Ich habe die gewünschten Dateien gerade an die genannte email-Adresse gesandt und hoffe auf weitere Hilfe.
Übrigens erschien nach nach dem Start des Rechners vorhin die Meldung aus dem Windows Explorer bzgl. des Pfads "windows exe" NICHT mehr.
Auch werden die gewünschten websites so aufgerufen, wie tatsächlich gewünscht.
Die ersten Schritte scheinen schon Wirkung gezeigt zu haben.

Danke.

Geschrieben von: Joerg 04.07.2004, 12:02

Wie ich Dir schon per Mail geschrieben hatte: Die beiden Dateien sind clean
Wenn Du keine weiteren Probleme mit Deinem Rechner mehr hast, so sehe ich derzeit keinen weiteren dringenden Handlungsbedarf. Du kannst Dich aber nach einem neuen Browser umsehen, der nicht so anfällig gegen Browser Hijacker ist wie der IE; Beispiele sind http://www.mozilla.org, http://www.mozilla.org/products/firefox/ und http://www.opera.com.