Druckversion des Themas

Hier klicken um das Topic im Orginalformat anzusehen

Rokop Security _ HijackThis-Logs _ hijacklog

Geschrieben von: nagg 15.06.2004, 13:03

Bei mir wechselt im ie ständig die Startseite. Das erste Browserfenster ist normal, aber jedes weitere öffnet folgende Startseite:

res://biczi.dll/index.html#96676

Ich bin die erste Hilfe Tips durchgegangen und poste jetzt das HiJackThis-Logfile. Ich hoffe ihr könnt mir weiterhelfen. Vielen Dank im Voraus.

Nagg

Logfile of HijackThis v1.97.7
Scan saved at 13:50:10, on 15.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
F:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\mfcqu.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
F:\PROGRA~1\Grisoft\AVG6\avgcc32.exe
C:\WINDOWS\mfcuf32.exe
F:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\applications\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\biczi.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://biczi.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://biczi.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\biczi.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://biczi.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\biczi.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.ch/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {BA8BD793-5432-6734-8550-4EDA48470E4D} - C:\WINDOWS\syszh.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVG_CC] F:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [mfcuf32.exe] C:\WINDOWS\mfcuf32.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = F:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Recherchieren (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {35F59C80-C1F2-4EEA-9981-686C7D5A9277} (VacPro.emsat_ver3) - http://www.advnt01.com/dialer/emsat_ver3.CAB
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040105/qtinstall.info.apple.com/mickey/de/win/QuickTimeInstaller.exe
O16 - DPF: {73F0FD85-BD47-4A95-86D1-DE38860462C1} (PremiumHTML Class) - http://213.254.243.5/data/dialercab/IberoDialerHTML.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab
O16 - DPF: {8699D723-6DC6-47D3-B55C-489BA006B917} - http://217.6.60.101/mullekken/webinstall.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38114.5828125
O16 - DPF: {BB86B550-9B1A-4666-824C-E78F0CD0CC4C} (ShortCut Class) - http://www.topsite.co.kr/topsite.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://utu.popcap.com/games/popcaploader_v5.cab
O16 - DPF: {E0CE16CB-741C-4B24-8D04-A817856E07F4} - http://cabs.roings.com/cabs/sweetb.cab

Geschrieben von: christian4u2 15.06.2004, 13:35

hallo..
folgendes fixen:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\biczi.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://biczi.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://biczi.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\biczi.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://biczi.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\biczi.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.ch/

Und die beiden Dateien an virus@rokop-security.de senden:
C:\WINDOWS\syszh.dll
C:\WINDOWS\mfcuf32.exe

Je nachdem was Dir dort gesagt wird mußt du diese Dateien löschen (eventuell im abgesicherten Modus und mit deaktivierter Systemwiederherstellung)

Dann solltest du mal die 016 Einträge durchgehen und überprüfen, ob du das auch alles wissentlich installiert hast. Ansonsten fixen was dir unbekannt vorkommt!

Grüße Christian

Geschrieben von: Joerg 15.06.2004, 13:42

Ich würde gleich mal alle O16er-Einträge löschen, das was wichtig ist, wird dann eh nachinstalliert. Da tummeln sich eindeutig zu viele Dialer rum...

Geschrieben von: Joerg 15.06.2004, 15:38

Beide Dateien sind TrojanDownloader und werden von Kaspersky demnächst erkannt.

Geschrieben von: nagg 15.06.2004, 16:26

Danke für die Mühe!

Ich habe wie angegeben gefixt, auch gleich sämtliche 016er Einträge. Die zwei Dateien habe ich mit deaktivierter Systemwiederherstellung gelöscht. Die zwei Dateien sind nicht mehr aufgetaucht nach dem Neustart. Das startpage Problem bleibt aber bestehen. Die Seite hat nen anderen Namen, sieht aber sonst gleich aus. Ich poste nocheinmal das Logfile.

Grüsse, Nagg

Logfile of HijackThis v1.97.7
Scan saved at 17:22:04, on 15.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
F:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\mfcqu.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
F:\PROGRA~1\Grisoft\AVG6\avgcc32.exe
F:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
D:\applications\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\vijxg.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://vijxg.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://vijxg.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\vijxg.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://vijxg.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\vijxg.dll/sp.html#96676
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2FEADC72-1B9D-0091-9E66-846197ADA43C} - C:\WINDOWS\apipp.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVG_CC] F:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = F:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Recherchieren (HKLM)

Geschrieben von: raman 15.06.2004, 16:33

Na, das scheint "lustig" zu werden. sad.gif

Schick mal
C:\WINDOWS\mfcqu.exe
C:\WINDOWS\apipp.dll
C:\WINDOWS\vijxg.dll
an virus@rokop-security.de

BTW: Welche Seite wird eigentlich angezeigt? Ich meine eher den Inhalt als C:\WINDOWS\vijxg.dll/sp.html

Geschrieben von: nagg 15.06.2004, 17:12

OK, ich habe die Dateien gemailt.

Die Seite trägt den Namen Home Search, und zeigt eine Liste zu jensten Themen. Die reichen von Education, Shopping, Business, Finances, Entertainment, Sport, Shopping, Casino, Travel, Computer, sogar Spyware removal (ist wohl etwas zynisch), usw.

Sie sieht echt gleich aus wie die erste Seite, die Adresse ist ja auch sehr ähnlich.

Nochmals vielen Dank

Gruss, Nagg

Geschrieben von: Joerg 15.06.2004, 17:19

apipp.dll ist (byte-)identisch mit syszh.dll.
vijxg.dll identifiziert als TrojanDownloader.Win32.WinShow.u
mfcqu.exe scheint selbst keine Schadensroutinen zu haben, kann aber durchaus eine "Hilfsdatei" sein (die andere schädliche Dateien installiert). Da keine File-Informationen integriert sind, würde ich diese Datei ebenfalls entsorgen (vorher sicherheitshalber Backup in passwortgeschütztem Archiv).

Geschrieben von: christian4u2 15.06.2004, 17:37

Hallo...
beim Durchlesen fällt mir auf, daß die Datei:
C:\WINDOWS\biczi.dll
auch noch gelöscht werden müßte, oder (Siehe erstes LOG)??

Grüße Christian

Geschrieben von: nagg 15.06.2004, 18:41

habe alle diese files gelöscht, es wird aber immer interessanter. Die gleiche startpage ist wieder da, wieder unter einem anderen Namen:

res://kkjqt.dll/index.html#96676

ich poste nocheinmal das Logfle. Danke, für die unermüdliche hilfe

Gruss, Nagg

Logfile of HijackThis v1.97.7
Scan saved at 19:39:51, on 15.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
F:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\javahl.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
F:\PROGRA~1\Grisoft\AVG6\avgcc32.exe
C:\WINDOWS\system32\netyj.exe
F:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\applications\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\kkjqt.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://kkjqt.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://kkjqt.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\kkjqt.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://kkjqt.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\kkjqt.dll/sp.html#96676
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2940FBDF-1F31-B348-ECE6-49CB795A24D6} - C:\WINDOWS\system32\addls32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVG_CC] F:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [netyj.exe] C:\WINDOWS\system32\netyj.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = F:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Recherchieren (HKLM)

Geschrieben von: christian4u2 15.06.2004, 18:54

na das kann ja heiter werden.....

folgendes fixen:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\kkjqt.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://kkjqt.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://kkjqt.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\kkjqt.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://kkjqt.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\kkjqt.dll/sp.html#96676

Und folgende Dateien an virus@rokop-security.de:
C:\WINDOWS\system32\netyj.exe
C:\WINDOWS\kkjqt.dll
C:\WINDOWS\system32\addls32.dll

Geschrieben von: raman 15.06.2004, 18:57

Das werden die gleichen Dateien mit anderen Namen sein. Versuchen wir mal was anderes. Poste mal eine Startuplist:
Hijackthis laden und dann config/misc tools/generate Startuplist. Das bitte hier posten.

Geschrieben von: Metallica 15.06.2004, 19:29

Ich würd mal versuchen ob es hier nicht auch eine verborgenen dll gibt.

http://tools.zerosrealm.com/dllfix.exe

Startenn und installieren irgendwo auf C:\

Run start.bat und option 1 wählen In der selben Mappe wird dann 'output.txt' gemacht.
Den Inhalt postest du bitte.

Gruß,

Pieter

Geschrieben von: nagg 16.06.2004, 08:06

Morgen Leute,

Bin gestern abgehauen um Fussball zu glotzen...
Bin jetzt wieder dabei und habe all die empfohlenen Schritte durchgeführt.

Zuerst die Startuplist:

StartupList report, 16.06.2004, 08:51:42
StartupList version: 1.52
Started from : D:\applications\HijackThis.EXE
Detected: Windows XP SP1 (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)
* Using default options
==================================================

Running processes:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\javahl.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\netyj.exe
F:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
F:\PROGRA~1\Grisoft\AVG6\avgserv.exe
F:\PROGRA~1\Grisoft\AVG6\AVGCC32.EXE
D:\applications\HijackThis.exe

--------------------------------------------------

Listing of startup folders:

Shell folders Common Startup:
[C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart]
Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
InterVideo WinCinema Manager.lnk = F:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

QuickTime Task = "C:\Programme\QuickTime\qttask.exe" -atboottime
TkBellExe = "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
ATIPTA = C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
AVG_CC = F:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
netyj.exe = C:\WINDOWS\system32\netyj.exe

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=C:\WINDOWS\System32\logon.scr
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry key not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------


Enumerating Browser Helper Objects:

(no name) - F:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
(no name) - C:\WINDOWS\system32\addls32.dll - {2940FBDF-1F31-B348-ECE6-49CB795A24D6}

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
CDBurn: C:\WINDOWS\system32\SHELL32.dll
WebCheck: C:\WINDOWS\System32\webcheck.dll
SysTray: C:\WINDOWS\System32\stobject.dll

--------------------------------------------------
End of report, 3'985 bytes
Report generated in 0.031 seconds

Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only




und dann der output von dllfix:


--==***@@@ FIND-ALL' VERSION MODIFIED -6/14 @@@***==--
--==***@@@ ORIGINAL BY FREEATLAST @@@***==--

16.06.2004
08:55

System Info:

Microsoft Windows XP [Version 5.1.2600]
C: "" (1CAD:53A7) - FS:NTFS clusters:4k
Total: 5 239 468 032 [4.9G] - Free: 1 397 817 344 [1.3G]


*IE version and Service packs:
6.0.2800.1106 C:\Programme\Internet Explorer\Iexplore.exe
*Notepad version :
5.1.2600.0 C:\WINDOWS\system32\notepad.exe
5.1.2600.0 C:\WINDOWS\notepad.exe
*Media Player version :
9.0.0.2980 C:\Programme\Windows Media Player\wmplayer.exe

! REG.EXE VERSION 2.0

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings
MinorVersion REG_SZ ;SP1;Q832894;Q330994;Q837009;Q831167;



Locked or 'Suspect' file(s) found...
These may be other files that Dllfix doesnt target.
If not file is listed than Dllfix may not Help.
in this case please post the contents of Windows.txt to the appinit
entry can be checked. You will find it in the dllfix folder after findall completes.


Scanning for main Hijacker:


Dllfix must have the Hijackerfiles in system32 to fix properly.
If there are no protocal keys text/html and text/plain
then dllfix may not work. This fix targets this type Hijack Entry.
that keeps reoccuring with different filenames.
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page
= res://C:\WINDOWS\System32\xxxxxx.dll/sp.html (obfuscated)
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2940FBDF-1F31-B348-ECE6-49CB795A24D6}]
@=""

REGEDIT4

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter]

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\application/octet-stream]
"CLSID"="{1E66F26B-79EE-11D2-8710-00C04F79ED0D}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\application/x-complus]
"CLSID"="{1E66F26B-79EE-11D2-8710-00C04F79ED0D}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\application/x-msdownload]
"CLSID"="{1E66F26B-79EE-11D2-8710-00C04F79ED0D}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\Class Install Handler]
@="AP Class Install Handler filter"
"CLSID"="{32B533BB-EDAE-11d0-BD5A-00AA00B92AF1}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\deflate]
@="AP Deflate Encoding/Decoding Filter "
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\gzip]
@="AP GZIP Encoding/Decoding Filter "
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\lzdhtml]
@="AP lzdhtml encoding/decoding Filter"
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/webviewhtml]
@="WebView MIME Filter"
"CLSID"="{733AC4CB-F1A4-11d0-B951-00A0C90312E1}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/xml]
"CLSID"="{807553E5-5146-11D5-A672-00B0D022E945}"


! REG.EXE VERSION 2.0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

*Security settings for 'Windows' key:

If error than registry may need to be restored from option 4.

RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright © 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!

Access Control List for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
(NI) ALLOW Read VORDEFINIERT\Benutzer
(IO) ALLOW Read VORDEFINIERT\Benutzer
(NI) ALLOW Read VORDEFINIERT\Hauptbenutzer
(IO) ALLOW Read VORDEFINIERT\Hauptbenutzer
(NI) ALLOW Full access VORDEFINIERT\Administratoren
(IO) ALLOW Full access VORDEFINIERT\Administratoren
(NI) ALLOW Full access NT-AUTORITŽT\SYSTEM
(IO) ALLOW Full access NT-AUTORITŽT\SYSTEM
(NI) ALLOW Full access VORDEFINIERT\Administratoren
(IO) ALLOW Full access ERSTELLER-BESITZER

Effective permissions for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
Read VORDEFINIERT\Benutzer
Read VORDEFINIERT\Hauptbenutzer
Full access VORDEFINIERT\Administratoren
Full access NT-AUTORITŽT\SYSTEM




Danke, und nen schönen Tag...

Nagg

Geschrieben von: raman 16.06.2004, 11:57

Starte deinen Rechner mal im abgesicherten Modus. Starte dort msconfig(ueber Start/ausfuehren). Gehe auf den Reiter Dienste und hake dort "alle microsoftdienste ausblenden" an und suche nach einen Eintrag "network security service" und deaktiviere ihn. Dann starte noch hijackthis und fixe diese Eintraege:

netyj.exe = C:\WINDOWS\system32\netyj.exe
(no name) - C:\WINDOWS\system32\addls32.dll - {2940FBDF-1F31-B348-ECE6-49CB795A24D6}
und die entsprechenden "R" Eintraege.

loesche die obigen Dateien(auch die DLL aus den "R" Eintraegen) und suche zu guter letzt noch verweise auf die "netyj.exe" in der Registrierung und loesche die Eintraege/Schluessel( Ein paar unter CLSID). Starte dann neu und poste ein aktuelles log.

Geschrieben von: nagg 16.06.2004, 15:54

ich habe unterdessen ein anderes Problem. Wenn ich in den abgesicherten Modus starten will kommt nur ein flimmern und die Meldung "video mode not supported".
Ich hatte kürzlich mal Stress mit dem Grafikkartentreiber und musste dann die Grafikkarte ersetzen. Ich versuche erst dieses Problem zu lösen und mache danach die nächsten Schritte.

Danke an alle

Nagg

Geschrieben von: nagg 17.06.2004, 10:07

ich kriege diese startpage nicht weg! ich all die letzten schritte durchgegangen, aber es nützt nichts. unterdessen kriege ich bei sucheingaben in google popups mit meiner suchangabe in seiten wie: http://search-to-find.com, oder lookfor.cc.

dies scheint ein sehr hartnäckiger fall zu sein. ich poste noch einmal das logfile.

Gruss, Nagg

Logfile of HijackThis v1.97.7
Scan saved at 10:54:21, on 17.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
F:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
F:\PROGRA~1\Grisoft\AVG6\avgcc32.exe
C:\WINDOWS\system32\addpw32.exe
F:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\WINDOWS\netua.exe
F:\Programme\Virus\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\ttkis.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://ttkis.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://ttkis.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\ttkis.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://ttkis.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\ttkis.dll/sp.html#96676
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0A8E24F7-CE32-202B-2C0C-B9CAC3C8D011} - C:\WINDOWS\system32\addpw32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVG_CC] F:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [addpw32.exe] C:\WINDOWS\system32\addpw32.exe
O4 - HKLM\..\RunOnce: [winhz32.exe] C:\WINDOWS\winhz32.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = F:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Recherchieren (HKLM)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38154.2822337963

Geschrieben von: Joerg 17.06.2004, 10:16

Schau Dir mal bitte diesen (englischsprachigen) Link an: http://www.wilderssecurity.com/showthread.php?t=28658&page=2&pp=25

Anstatt usufr.dll liegt bei Dir die ttkis.dll vor; unter O2 steht bei Dir auch nicht die sysrm.dll, sondern die addpw32.dll und statt sysmc32.exe hast Du die addpw32.exe (und wohl auch winhz32.exe; jeweils unter O4).

Befolge also bitte den unter dem Link aufgeführten Lösungsweg und ersetze die dort genannten Dateinamen mit den bei Dir vorhandenen Namen.

Geschrieben von: raman 17.06.2004, 11:39

Du solltest nóch zu guter letzt diesen Scanner herunterladen, mit Hilfe von Winzip oder Winrar den Inhalt der mwav.exe in das Verzeichniss c:\bases (wichtig!) entpacken und dort dann die Datei kavupd.exe ausfuehren. Das laedt dir die neusten Virensignaturen. Dann kannst du mit msavscan.com deinen Rechner mal komplett scannen.
Es sollte naemlich noch zumindest ein trojandownloader in deinem Windows(oder system32) Ordner uebrig geblieben sein.

Nachtrag: Link vergessen! wink.gif
http://www.mwti.net/antivirus/free_utilities.asp

Geschrieben von: nagg 17.06.2004, 14:51

es sieht so aus als wäre das Problem gelöst. Der link zu wilders war nützlich, habe dort überUmwege ne Lösung gekriegt. Der scanner hat übrigens noch einiges an TrojanerDownloadern gefunden


Vielen Dank an alle für die grossartige Hilfe.

Gruss, Nagg

Geschrieben von: DerBilk 17.06.2004, 18:37

QUOTE(raman @ 17. June 2004, 12:38)
... mit Hilfe von Winzip oder Winrar den Inhalt der mwav.exe in das Verzeichniss c:\bases (wichtig!) entpacken und dort dann die Datei kavupd.exe ausfuehren. Das laedt dir die neusten Virensignaturen...

Hi raman,

wieder was gelernt... thumbup.gif

Geschrieben von: Remover 02.07.2004, 10:43

hmmm, habe das eben gemacht aber das Datum blieb gleich (20.06.)!
Dabei habe ich sogar extra c:\bases als Verzeichnis genommen.
Kann man da sonst noch was verkehrt bei machen?

So bin ich vorgegangen:
1 Mwav.exe entpackt nach c:\bases
2 Starten von kavupdate (laedt signaturen runter und zum schluss disconnect und done)
3 starten von mwav aus c:\bases
Resultat: Immer noch altes Datum

Uebrigens startet das Ding mal auf ein System mit Kaspersky 5.0
dann habt ihr immer das aktuelle Datum, egal wie alt Mwav ist.
Der scheint sich da einfach die Signaturen zu krallen, was meines
erachtens nicht gerade gut ist, das ich so nie weiss wie alt
das Teil wirklich ist und wenn man es dann kopiert und mitnimmt
auf ein System wo kein Kaspersky laeuft, startet das womoeglich
gar nicht mehr oder hat signatures von vor 1-2 Monaten.

Geschrieben von: DerBilk 02.07.2004, 11:00

QUOTE(Remover @ 2. July 2004, 11:42)
So bin ich vorgegangen:
1 Mwav.exe entpackt nach c:\bases
2 Starten von kavupdate (laedt signaturen runter und zum schluss disconnect und done)
3 starten von mwav aus c:\bases
Resultat: Immer noch altes Datum

Vielleicht war es nur ein Tippfehler, aber Du musst die mwavscan.com starten.

Ansonsten ist die von Dir beschriebene Vorgehensweise, so wie ich es auch 'immer' mache. Gerade eben hat es noch funktioniert. Def-Datum: 2004/07/02 und Signaturen: 96184

Das Problem mit der 5er-Version kann ich jetzt nicht nachvollziehen, da ich hier noch die 4.5er habe..

Geschrieben von: Remover 02.07.2004, 18:18

@Derbilk

Ja die habe ich gestartet...naja vielleicht ist doch irgendwas schief gelaufen.
Werde das ganze nochmal probieren....haette ja sein koennen das
irgendwo doch noch etwas kompiliert werden muss, nach dem Download.
Dies ist aber scheinbar nicht der fall.

Unterstützt von Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)