hijacklog, kriege startpage nicht weg |
Willkommen, Gast ( Anmelden | Registrierung )
hijacklog, kriege startpage nicht weg |
15.06.2004, 13:03
Beitrag
#1
|
|
Ist neu hier Gruppe: Mitglieder Beiträge: 8 Mitglied seit: 15.06.2004 Mitglieds-Nr.: 999 |
Bei mir wechselt im ie ständig die Startseite. Das erste Browserfenster ist normal, aber jedes weitere öffnet folgende Startseite:
res://biczi.dll/index.html#96676 Ich bin die erste Hilfe Tips durchgegangen und poste jetzt das HiJackThis-Logfile. Ich hoffe ihr könnt mir weiterhelfen. Vielen Dank im Voraus. Nagg Logfile of HijackThis v1.97.7 Scan saved at 13:50:10, on 15.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe F:\PROGRA~1\Grisoft\AVG6\avgserv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\mfcqu.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe F:\PROGRA~1\Grisoft\AVG6\avgcc32.exe C:\WINDOWS\mfcuf32.exe F:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\Programme\Internet Explorer\iexplore.exe D:\applications\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\biczi.dll/sp.html#96676 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://biczi.dll/index.html#96676 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://biczi.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\biczi.dll/sp.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://biczi.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\biczi.dll/sp.html#96676 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.ch/ O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {BA8BD793-5432-6734-8550-4EDA48470E4D} - C:\WINDOWS\syszh.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [AVG_CC] F:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP O4 - HKLM\..\Run: [mfcuf32.exe] C:\WINDOWS\mfcuf32.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = F:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: Recherchieren (HKLM) O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwa...director/sw.cab O16 - DPF: {35F59C80-C1F2-4EEA-9981-686C7D5A9277} (VacPro.emsat_ver3) - http://www.advnt01.com/dialer/emsat_ver3.CAB O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/200401...meInstaller.exe O16 - DPF: {73F0FD85-BD47-4A95-86D1-DE38860462C1} (PremiumHTML Class) - http://213.254.243.5/data/dialercab/IberoDialerHTML.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab O16 - DPF: {8699D723-6DC6-47D3-B55C-489BA006B917} - http://217.6.60.101/mullekken/webinstall.cab O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} - http://www.mt-download.com/MediaTicketsInstaller.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/...B?38114.5828125 O16 - DPF: {BB86B550-9B1A-4666-824C-E78F0CD0CC4C} (ShortCut Class) - http://www.topsite.co.kr/topsite.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwa...ash/swflash.cab O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://utu.popcap.com/games/popcaploader_v5.cab O16 - DPF: {E0CE16CB-741C-4B24-8D04-A817856E07F4} - http://cabs.roings.com/cabs/sweetb.cab |
|
|
15.06.2004, 13:35
Beitrag
#2
|
|
Triumphator Gruppe: Freunde Beiträge: 2.099 Mitglied seit: 12.05.2004 Wohnort: Oberscheidweiler Mitglieds-Nr.: 812 Betriebssystem: Windows7 Virenscanner: KIS11 Firewall: KIS11 |
hallo..
folgendes fixen: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\biczi.dll/sp.html#96676 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://biczi.dll/index.html#96676 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://biczi.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\biczi.dll/sp.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://biczi.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\biczi.dll/sp.html#96676 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.ch/ Und die beiden Dateien an virus@rokop-security.de senden: C:\WINDOWS\syszh.dll C:\WINDOWS\mfcuf32.exe Je nachdem was Dir dort gesagt wird mußt du diese Dateien löschen (eventuell im abgesicherten Modus und mit deaktivierter Systemwiederherstellung) Dann solltest du mal die 016 Einträge durchgehen und überprüfen, ob du das auch alles wissentlich installiert hast. Ansonsten fixen was dir unbekannt vorkommt! Grüße Christian |
|
|
15.06.2004, 13:42
Beitrag
#3
|
|
Orakel-Profi Gruppe: Freunde Beiträge: 5.200 Mitglied seit: 07.12.2003 Wohnort: Weiden (Oberpfalz) Mitglieds-Nr.: 256 Betriebssystem: Linux Mint 17.1 |
Ich würde gleich mal alle O16er-Einträge löschen, das was wichtig ist, wird dann eh nachinstalliert. Da tummeln sich eindeutig zu viele Dialer rum...
-------------------- Grüße, Jörg
|
|
|
15.06.2004, 15:38
Beitrag
#4
|
|
Orakel-Profi Gruppe: Freunde Beiträge: 5.200 Mitglied seit: 07.12.2003 Wohnort: Weiden (Oberpfalz) Mitglieds-Nr.: 256 Betriebssystem: Linux Mint 17.1 |
Beide Dateien sind TrojanDownloader und werden von Kaspersky demnächst erkannt.
-------------------- Grüße, Jörg
|
|
|
15.06.2004, 16:26
Beitrag
#5
|
|
Threadersteller Ist neu hier Gruppe: Mitglieder Beiträge: 8 Mitglied seit: 15.06.2004 Mitglieds-Nr.: 999 |
Danke für die Mühe!
Ich habe wie angegeben gefixt, auch gleich sämtliche 016er Einträge. Die zwei Dateien habe ich mit deaktivierter Systemwiederherstellung gelöscht. Die zwei Dateien sind nicht mehr aufgetaucht nach dem Neustart. Das startpage Problem bleibt aber bestehen. Die Seite hat nen anderen Namen, sieht aber sonst gleich aus. Ich poste nocheinmal das Logfile. Grüsse, Nagg Logfile of HijackThis v1.97.7 Scan saved at 17:22:04, on 15.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe F:\PROGRA~1\Grisoft\AVG6\avgserv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\mfcqu.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\QuickTime\qttask.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe F:\PROGRA~1\Grisoft\AVG6\avgcc32.exe F:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe D:\applications\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\vijxg.dll/sp.html#96676 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://vijxg.dll/index.html#96676 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://vijxg.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\vijxg.dll/sp.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://vijxg.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\vijxg.dll/sp.html#96676 O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {2FEADC72-1B9D-0091-9E66-846197ADA43C} - C:\WINDOWS\apipp.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [AVG_CC] F:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = F:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: Recherchieren (HKLM) |
|
|
15.06.2004, 16:33
Beitrag
#6
|
|
AV-Spezialist Gruppe: Mitarbeiter Beiträge: 2.935 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 |
Na, das scheint "lustig" zu werden.
Schick mal C:\WINDOWS\mfcqu.exe C:\WINDOWS\apipp.dll C:\WINDOWS\vijxg.dll an virus@rokop-security.de BTW: Welche Seite wird eigentlich angezeigt? Ich meine eher den Inhalt als C:\WINDOWS\vijxg.dll/sp.html -------------------- MfG Ralf
|
|
|
15.06.2004, 17:12
Beitrag
#7
|
|
Threadersteller Ist neu hier Gruppe: Mitglieder Beiträge: 8 Mitglied seit: 15.06.2004 Mitglieds-Nr.: 999 |
OK, ich habe die Dateien gemailt.
Die Seite trägt den Namen Home Search, und zeigt eine Liste zu jensten Themen. Die reichen von Education, Shopping, Business, Finances, Entertainment, Sport, Shopping, Casino, Travel, Computer, sogar Spyware removal (ist wohl etwas zynisch), usw. Sie sieht echt gleich aus wie die erste Seite, die Adresse ist ja auch sehr ähnlich. Nochmals vielen Dank Gruss, Nagg |
|
|
15.06.2004, 17:19
Beitrag
#8
|
|
Orakel-Profi Gruppe: Freunde Beiträge: 5.200 Mitglied seit: 07.12.2003 Wohnort: Weiden (Oberpfalz) Mitglieds-Nr.: 256 Betriebssystem: Linux Mint 17.1 |
apipp.dll ist (byte-)identisch mit syszh.dll.
vijxg.dll identifiziert als TrojanDownloader.Win32.WinShow.u mfcqu.exe scheint selbst keine Schadensroutinen zu haben, kann aber durchaus eine "Hilfsdatei" sein (die andere schädliche Dateien installiert). Da keine File-Informationen integriert sind, würde ich diese Datei ebenfalls entsorgen (vorher sicherheitshalber Backup in passwortgeschütztem Archiv). -------------------- Grüße, Jörg
|
|
|
15.06.2004, 17:37
Beitrag
#9
|
|
Triumphator Gruppe: Freunde Beiträge: 2.099 Mitglied seit: 12.05.2004 Wohnort: Oberscheidweiler Mitglieds-Nr.: 812 Betriebssystem: Windows7 Virenscanner: KIS11 Firewall: KIS11 |
Hallo...
beim Durchlesen fällt mir auf, daß die Datei: C:\WINDOWS\biczi.dll auch noch gelöscht werden müßte, oder (Siehe erstes LOG)?? Grüße Christian |
|
|
15.06.2004, 18:41
Beitrag
#10
|
|
Threadersteller Ist neu hier Gruppe: Mitglieder Beiträge: 8 Mitglied seit: 15.06.2004 Mitglieds-Nr.: 999 |
habe alle diese files gelöscht, es wird aber immer interessanter. Die gleiche startpage ist wieder da, wieder unter einem anderen Namen:
res://kkjqt.dll/index.html#96676 ich poste nocheinmal das Logfle. Danke, für die unermüdliche hilfe Gruss, Nagg Logfile of HijackThis v1.97.7 Scan saved at 19:39:51, on 15.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe F:\PROGRA~1\Grisoft\AVG6\avgserv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\javahl.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\QuickTime\qttask.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe F:\PROGRA~1\Grisoft\AVG6\avgcc32.exe C:\WINDOWS\system32\netyj.exe F:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe D:\applications\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\kkjqt.dll/sp.html#96676 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://kkjqt.dll/index.html#96676 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://kkjqt.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\kkjqt.dll/sp.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://kkjqt.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\kkjqt.dll/sp.html#96676 O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {2940FBDF-1F31-B348-ECE6-49CB795A24D6} - C:\WINDOWS\system32\addls32.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [AVG_CC] F:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP O4 - HKLM\..\Run: [netyj.exe] C:\WINDOWS\system32\netyj.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = F:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: Recherchieren (HKLM) |
|
|
15.06.2004, 18:54
Beitrag
#11
|
|
Triumphator Gruppe: Freunde Beiträge: 2.099 Mitglied seit: 12.05.2004 Wohnort: Oberscheidweiler Mitglieds-Nr.: 812 Betriebssystem: Windows7 Virenscanner: KIS11 Firewall: KIS11 |
na das kann ja heiter werden.....
folgendes fixen: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\kkjqt.dll/sp.html#96676 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://kkjqt.dll/index.html#96676 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://kkjqt.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\kkjqt.dll/sp.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://kkjqt.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\kkjqt.dll/sp.html#96676 Und folgende Dateien an virus@rokop-security.de: C:\WINDOWS\system32\netyj.exe C:\WINDOWS\kkjqt.dll C:\WINDOWS\system32\addls32.dll |
|
|
15.06.2004, 18:57
Beitrag
#12
|
|
AV-Spezialist Gruppe: Mitarbeiter Beiträge: 2.935 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 |
Das werden die gleichen Dateien mit anderen Namen sein. Versuchen wir mal was anderes. Poste mal eine Startuplist:
Hijackthis laden und dann config/misc tools/generate Startuplist. Das bitte hier posten. -------------------- MfG Ralf
|
|
|
15.06.2004, 19:29
Beitrag
#13
|
|
Ist neu hier Gruppe: Mitglieder Beiträge: 8 Mitglied seit: 15.05.2004 Mitglieds-Nr.: 824 |
Ich würd mal versuchen ob es hier nicht auch eine verborgenen dll gibt.
http://tools.zerosrealm.com/dllfix.exe Startenn und installieren irgendwo auf C:\ Run start.bat und option 1 wählen In der selben Mappe wird dann 'output.txt' gemacht. Den Inhalt postest du bitte. Gruß, Pieter -------------------- |
|
|
16.06.2004, 08:06
Beitrag
#14
|
|
Threadersteller Ist neu hier Gruppe: Mitglieder Beiträge: 8 Mitglied seit: 15.06.2004 Mitglieds-Nr.: 999 |
Morgen Leute,
Bin gestern abgehauen um Fussball zu glotzen... Bin jetzt wieder dabei und habe all die empfohlenen Schritte durchgeführt. Zuerst die Startuplist: StartupList report, 16.06.2004, 08:51:42 StartupList version: 1.52 Started from : D:\applications\HijackThis.EXE Detected: Windows XP SP1 (WinNT 5.01.2600) Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106) * Using default options ================================================== Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\javahl.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\QuickTime\qttask.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\system32\netyj.exe F:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe F:\PROGRA~1\Grisoft\AVG6\avgserv.exe F:\PROGRA~1\Grisoft\AVG6\AVGCC32.EXE D:\applications\HijackThis.exe -------------------------------------------------- Listing of startup folders: Shell folders Common Startup: [C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart] Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe InterVideo WinCinema Manager.lnk = F:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe -------------------------------------------------- Checking Windows NT UserInit: [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] UserInit = C:\WINDOWS\system32\userinit.exe, -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\Run QuickTime Task = "C:\Programme\QuickTime\qttask.exe" -atboottime TkBellExe = "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot ATIPTA = C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe AVG_CC = F:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP netyj.exe = C:\WINDOWS\system32\netyj.exe -------------------------------------------------- Shell & screensaver key from C:\WINDOWS\SYSTEM.INI: Shell=*INI section not found* SCRNSAVE.EXE=*INI section not found* drivers=*INI section not found* Shell & screensaver key from Registry: Shell=Explorer.exe SCRNSAVE.EXE=C:\WINDOWS\System32\logon.scr drivers=*Registry value not found* Policies Shell key: HKCU\..\Policies: Shell=*Registry key not found* HKLM\..\Policies: Shell=*Registry value not found* -------------------------------------------------- Enumerating Browser Helper Objects: (no name) - F:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (no name) - C:\WINDOWS\system32\addls32.dll - {2940FBDF-1F31-B348-ECE6-49CB795A24D6} -------------------------------------------------- Enumerating ShellServiceObjectDelayLoad items: PostBootReminder: C:\WINDOWS\system32\SHELL32.dll CDBurn: C:\WINDOWS\system32\SHELL32.dll WebCheck: C:\WINDOWS\System32\webcheck.dll SysTray: C:\WINDOWS\System32\stobject.dll -------------------------------------------------- End of report, 3'985 bytes Report generated in 0.031 seconds Command line options: /verbose - to add additional info on each section /complete - to include empty sections and unsuspicious data /full - to include several rarely-important sections /force9x - to include Win9x-only startups even if running on WinNT /forcent - to include WinNT-only startups even if running on Win9x /forceall - to include all Win9x and WinNT startups, regardless of platform /history - to list version history only und dann der output von dllfix: --==***@@@ FIND-ALL' VERSION MODIFIED -6/14 @@@***==-- --==***@@@ ORIGINAL BY FREEATLAST @@@***==-- 16.06.2004 08:55 System Info: Microsoft Windows XP [Version 5.1.2600] C: "" (1CAD:53A7) - FS:NTFS clusters:4k Total: 5 239 468 032 [4.9G] - Free: 1 397 817 344 [1.3G] *IE version and Service packs: 6.0.2800.1106 C:\Programme\Internet Explorer\Iexplore.exe *Notepad version : 5.1.2600.0 C:\WINDOWS\system32\notepad.exe 5.1.2600.0 C:\WINDOWS\notepad.exe *Media Player version : 9.0.0.2980 C:\Programme\Windows Media Player\wmplayer.exe ! REG.EXE VERSION 2.0 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings MinorVersion REG_SZ ;SP1;Q832894;Q330994;Q837009;Q831167; Locked or 'Suspect' file(s) found... These may be other files that Dllfix doesnt target. If not file is listed than Dllfix may not Help. in this case please post the contents of Windows.txt to the appinit entry can be checked. You will find it in the dllfix folder after findall completes. Scanning for main Hijacker: Dllfix must have the Hijackerfiles in system32 to fix properly. If there are no protocal keys text/html and text/plain then dllfix may not work. This fix targets this type Hijack Entry. that keeps reoccuring with different filenames. R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\xxxxxx.dll/sp.html (obfuscated) REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "DeviceNotSelectedTimeout"="15" "GDIProcessHandleQuota"=dword:00002710 "Spooler"="yes" "swapdisk"="" "TransmissionRetryTimeout"="90" "USERProcessHandleQuota"=dword:00002710 REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2940FBDF-1F31-B348-ECE6-49CB795A24D6}] @="" REGEDIT4 [HKEY_CLASSES_ROOT\PROTOCOLS\Filter] [HKEY_CLASSES_ROOT\PROTOCOLS\Filter\application/octet-stream] "CLSID"="{1E66F26B-79EE-11D2-8710-00C04F79ED0D}" [HKEY_CLASSES_ROOT\PROTOCOLS\Filter\application/x-complus] "CLSID"="{1E66F26B-79EE-11D2-8710-00C04F79ED0D}" [HKEY_CLASSES_ROOT\PROTOCOLS\Filter\application/x-msdownload] "CLSID"="{1E66F26B-79EE-11D2-8710-00C04F79ED0D}" [HKEY_CLASSES_ROOT\PROTOCOLS\Filter\Class Install Handler] @="AP Class Install Handler filter" "CLSID"="{32B533BB-EDAE-11d0-BD5A-00AA00B92AF1}" [HKEY_CLASSES_ROOT\PROTOCOLS\Filter\deflate] @="AP Deflate Encoding/Decoding Filter " "CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}" [HKEY_CLASSES_ROOT\PROTOCOLS\Filter\gzip] @="AP GZIP Encoding/Decoding Filter " "CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}" [HKEY_CLASSES_ROOT\PROTOCOLS\Filter\lzdhtml] @="AP lzdhtml encoding/decoding Filter" "CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}" [HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/webviewhtml] @="WebView MIME Filter" "CLSID"="{733AC4CB-F1A4-11d0-B951-00A0C90312E1}" [HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/xml] "CLSID"="{807553E5-5146-11D5-A672-00B0D022E945}" ! REG.EXE VERSION 2.0 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows *Security settings for 'Windows' key: If error than registry may need to be restored from option 4. RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above Copyright © 1999-2001 Frank Heyne Software (http://www.heysoft.de) This program is Freeware, use it on your own risk! Access Control List for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows: (NI) ALLOW Read VORDEFINIERT\Benutzer (IO) ALLOW Read VORDEFINIERT\Benutzer (NI) ALLOW Read VORDEFINIERT\Hauptbenutzer (IO) ALLOW Read VORDEFINIERT\Hauptbenutzer (NI) ALLOW Full access VORDEFINIERT\Administratoren (IO) ALLOW Full access VORDEFINIERT\Administratoren (NI) ALLOW Full access NT-AUTORITŽT\SYSTEM (IO) ALLOW Full access NT-AUTORITŽT\SYSTEM (NI) ALLOW Full access VORDEFINIERT\Administratoren (IO) ALLOW Full access ERSTELLER-BESITZER Effective permissions for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows: Read VORDEFINIERT\Benutzer Read VORDEFINIERT\Hauptbenutzer Full access VORDEFINIERT\Administratoren Full access NT-AUTORITŽT\SYSTEM Danke, und nen schönen Tag... Nagg |
|
|
16.06.2004, 11:57
Beitrag
#15
|
|
AV-Spezialist Gruppe: Mitarbeiter Beiträge: 2.935 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 |
Starte deinen Rechner mal im abgesicherten Modus. Starte dort msconfig(ueber Start/ausfuehren). Gehe auf den Reiter Dienste und hake dort "alle microsoftdienste ausblenden" an und suche nach einen Eintrag "network security service" und deaktiviere ihn. Dann starte noch hijackthis und fixe diese Eintraege:
netyj.exe = C:\WINDOWS\system32\netyj.exe (no name) - C:\WINDOWS\system32\addls32.dll - {2940FBDF-1F31-B348-ECE6-49CB795A24D6} und die entsprechenden "R" Eintraege. loesche die obigen Dateien(auch die DLL aus den "R" Eintraegen) und suche zu guter letzt noch verweise auf die "netyj.exe" in der Registrierung und loesche die Eintraege/Schluessel( Ein paar unter CLSID). Starte dann neu und poste ein aktuelles log. -------------------- MfG Ralf
|
|
|
16.06.2004, 15:54
Beitrag
#16
|
|
Threadersteller Ist neu hier Gruppe: Mitglieder Beiträge: 8 Mitglied seit: 15.06.2004 Mitglieds-Nr.: 999 |
ich habe unterdessen ein anderes Problem. Wenn ich in den abgesicherten Modus starten will kommt nur ein flimmern und die Meldung "video mode not supported".
Ich hatte kürzlich mal Stress mit dem Grafikkartentreiber und musste dann die Grafikkarte ersetzen. Ich versuche erst dieses Problem zu lösen und mache danach die nächsten Schritte. Danke an alle Nagg |
|
|
17.06.2004, 10:07
Beitrag
#17
|
|
Threadersteller Ist neu hier Gruppe: Mitglieder Beiträge: 8 Mitglied seit: 15.06.2004 Mitglieds-Nr.: 999 |
ich kriege diese startpage nicht weg! ich all die letzten schritte durchgegangen, aber es nützt nichts. unterdessen kriege ich bei sucheingaben in google popups mit meiner suchangabe in seiten wie: http://search-to-find.com, oder lookfor.cc.
dies scheint ein sehr hartnäckiger fall zu sein. ich poste noch einmal das logfile. Gruss, Nagg Logfile of HijackThis v1.97.7 Scan saved at 10:54:21, on 17.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe F:\PROGRA~1\Grisoft\AVG6\avgserv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\QuickTime\qttask.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe F:\PROGRA~1\Grisoft\AVG6\avgcc32.exe C:\WINDOWS\system32\addpw32.exe F:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\WINDOWS\netua.exe F:\Programme\Virus\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\ttkis.dll/sp.html#96676 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://ttkis.dll/index.html#96676 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://ttkis.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\ttkis.dll/sp.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://ttkis.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\ttkis.dll/sp.html#96676 O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {0A8E24F7-CE32-202B-2C0C-B9CAC3C8D011} - C:\WINDOWS\system32\addpw32.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [AVG_CC] F:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKLM\..\Run: [addpw32.exe] C:\WINDOWS\system32\addpw32.exe O4 - HKLM\..\RunOnce: [winhz32.exe] C:\WINDOWS\winhz32.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = F:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: Recherchieren (HKLM) O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/...8154.2822337963 |
|
|
17.06.2004, 10:16
Beitrag
#18
|
|
Orakel-Profi Gruppe: Freunde Beiträge: 5.200 Mitglied seit: 07.12.2003 Wohnort: Weiden (Oberpfalz) Mitglieds-Nr.: 256 Betriebssystem: Linux Mint 17.1 |
Schau Dir mal bitte diesen (englischsprachigen) Link an: Wilders
Anstatt usufr.dll liegt bei Dir die ttkis.dll vor; unter O2 steht bei Dir auch nicht die sysrm.dll, sondern die addpw32.dll und statt sysmc32.exe hast Du die addpw32.exe (und wohl auch winhz32.exe; jeweils unter O4). Befolge also bitte den unter dem Link aufgeführten Lösungsweg und ersetze die dort genannten Dateinamen mit den bei Dir vorhandenen Namen. -------------------- Grüße, Jörg
|
|
|
17.06.2004, 11:39
Beitrag
#19
|
|
AV-Spezialist Gruppe: Mitarbeiter Beiträge: 2.935 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 |
Du solltest nóch zu guter letzt diesen Scanner herunterladen, mit Hilfe von Winzip oder Winrar den Inhalt der mwav.exe in das Verzeichniss c:\bases (wichtig!) entpacken und dort dann die Datei kavupd.exe ausfuehren. Das laedt dir die neusten Virensignaturen. Dann kannst du mit msavscan.com deinen Rechner mal komplett scannen.
Es sollte naemlich noch zumindest ein trojandownloader in deinem Windows(oder system32) Ordner uebrig geblieben sein. Nachtrag: Link vergessen! http://www.mwti.net/antivirus/free_utilities.asp Der Beitrag wurde von raman bearbeitet: 17.06.2004, 11:50 -------------------- MfG Ralf
|
|
|
17.06.2004, 14:51
Beitrag
#20
|
|
Threadersteller Ist neu hier Gruppe: Mitglieder Beiträge: 8 Mitglied seit: 15.06.2004 Mitglieds-Nr.: 999 |
es sieht so aus als wäre das Problem gelöst. Der link zu wilders war nützlich, habe dort überUmwege ne Lösung gekriegt. Der scanner hat übrigens noch einiges an TrojanerDownloadern gefunden
Vielen Dank an alle für die grossartige Hilfe. Gruss, Nagg |
|
|
Vereinfachte Darstellung | Aktuelles Datum: 25.06.2024, 17:18 |