Rokop Security

Willkommen, Gast ( Anmelden | Registrierung )

2 Seiten V   1 2 >  
Reply to this topicStart new topic
> hijacklog, kriege startpage nicht weg
nagg
Beitrag 15.06.2004, 13:03
Beitrag #1



Ist neu hier


Gruppe: Mitglieder
Beiträge: 8
Mitglied seit: 15.06.2004
Mitglieds-Nr.: 999



Bei mir wechselt im ie ständig die Startseite. Das erste Browserfenster ist normal, aber jedes weitere öffnet folgende Startseite:

res://biczi.dll/index.html#96676

Ich bin die erste Hilfe Tips durchgegangen und poste jetzt das HiJackThis-Logfile. Ich hoffe ihr könnt mir weiterhelfen. Vielen Dank im Voraus.

Nagg

Logfile of HijackThis v1.97.7
Scan saved at 13:50:10, on 15.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
F:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\mfcqu.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
F:\PROGRA~1\Grisoft\AVG6\avgcc32.exe
C:\WINDOWS\mfcuf32.exe
F:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\applications\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\biczi.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://biczi.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://biczi.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\biczi.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://biczi.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\biczi.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.ch/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {BA8BD793-5432-6734-8550-4EDA48470E4D} - C:\WINDOWS\syszh.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVG_CC] F:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [mfcuf32.exe] C:\WINDOWS\mfcuf32.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = F:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Recherchieren (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwa...director/sw.cab
O16 - DPF: {35F59C80-C1F2-4EEA-9981-686C7D5A9277} (VacPro.emsat_ver3) - http://www.advnt01.com/dialer/emsat_ver3.CAB
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/200401...meInstaller.exe
O16 - DPF: {73F0FD85-BD47-4A95-86D1-DE38860462C1} (PremiumHTML Class) - http://213.254.243.5/data/dialercab/IberoDialerHTML.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab
O16 - DPF: {8699D723-6DC6-47D3-B55C-489BA006B917} - http://217.6.60.101/mullekken/webinstall.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/...B?38114.5828125
O16 - DPF: {BB86B550-9B1A-4666-824C-E78F0CD0CC4C} (ShortCut Class) - http://www.topsite.co.kr/topsite.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwa...ash/swflash.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://utu.popcap.com/games/popcaploader_v5.cab
O16 - DPF: {E0CE16CB-741C-4B24-8D04-A817856E07F4} - http://cabs.roings.com/cabs/sweetb.cab
Go to the top of the page
 
+Quote Post
christian4u2
Beitrag 15.06.2004, 13:35
Beitrag #2



Triumphator
Gruppensymbol

Gruppe: Freunde
Beiträge: 2.099
Mitglied seit: 12.05.2004
Wohnort: Oberscheidweiler
Mitglieds-Nr.: 812

Betriebssystem:
Windows7
Virenscanner:
KIS11
Firewall:
KIS11



hallo..
folgendes fixen:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\biczi.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://biczi.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://biczi.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\biczi.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://biczi.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\biczi.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.ch/

Und die beiden Dateien an virus@rokop-security.de senden:
C:\WINDOWS\syszh.dll
C:\WINDOWS\mfcuf32.exe

Je nachdem was Dir dort gesagt wird mußt du diese Dateien löschen (eventuell im abgesicherten Modus und mit deaktivierter Systemwiederherstellung)

Dann solltest du mal die 016 Einträge durchgehen und überprüfen, ob du das auch alles wissentlich installiert hast. Ansonsten fixen was dir unbekannt vorkommt!

Grüße Christian
Go to the top of the page
 
+Quote Post
Joerg
Beitrag 15.06.2004, 13:42
Beitrag #3



Orakel-Profi
Gruppensymbol

Gruppe: Freunde
Beiträge: 5.200
Mitglied seit: 07.12.2003
Wohnort: Weiden (Oberpfalz)
Mitglieds-Nr.: 256

Betriebssystem:
Linux Mint 17.1



Ich würde gleich mal alle O16er-Einträge löschen, das was wichtig ist, wird dann eh nachinstalliert. Da tummeln sich eindeutig zu viele Dialer rum...


--------------------
Grüße, Jörg
Go to the top of the page
 
+Quote Post
Joerg
Beitrag 15.06.2004, 15:38
Beitrag #4



Orakel-Profi
Gruppensymbol

Gruppe: Freunde
Beiträge: 5.200
Mitglied seit: 07.12.2003
Wohnort: Weiden (Oberpfalz)
Mitglieds-Nr.: 256

Betriebssystem:
Linux Mint 17.1



Beide Dateien sind TrojanDownloader und werden von Kaspersky demnächst erkannt.


--------------------
Grüße, Jörg
Go to the top of the page
 
+Quote Post
nagg
Beitrag 15.06.2004, 16:26
Beitrag #5


Threadersteller

Ist neu hier


Gruppe: Mitglieder
Beiträge: 8
Mitglied seit: 15.06.2004
Mitglieds-Nr.: 999



Danke für die Mühe!

Ich habe wie angegeben gefixt, auch gleich sämtliche 016er Einträge. Die zwei Dateien habe ich mit deaktivierter Systemwiederherstellung gelöscht. Die zwei Dateien sind nicht mehr aufgetaucht nach dem Neustart. Das startpage Problem bleibt aber bestehen. Die Seite hat nen anderen Namen, sieht aber sonst gleich aus. Ich poste nocheinmal das Logfile.

Grüsse, Nagg

Logfile of HijackThis v1.97.7
Scan saved at 17:22:04, on 15.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
F:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\mfcqu.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
F:\PROGRA~1\Grisoft\AVG6\avgcc32.exe
F:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
D:\applications\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\vijxg.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://vijxg.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://vijxg.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\vijxg.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://vijxg.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\vijxg.dll/sp.html#96676
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2FEADC72-1B9D-0091-9E66-846197ADA43C} - C:\WINDOWS\apipp.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVG_CC] F:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = F:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Recherchieren (HKLM)
Go to the top of the page
 
+Quote Post
raman
Beitrag 15.06.2004, 16:33
Beitrag #6



AV-Spezialist
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 2.932
Mitglied seit: 27.04.2003
Wohnort: Nordhorn
Mitglieds-Nr.: 59



Na, das scheint "lustig" zu werden. sad.gif

Schick mal
C:\WINDOWS\mfcqu.exe
C:\WINDOWS\apipp.dll
C:\WINDOWS\vijxg.dll
an virus@rokop-security.de

BTW: Welche Seite wird eigentlich angezeigt? Ich meine eher den Inhalt als C:\WINDOWS\vijxg.dll/sp.html


--------------------
MfG Ralf
Go to the top of the page
 
+Quote Post
nagg
Beitrag 15.06.2004, 17:12
Beitrag #7


Threadersteller

Ist neu hier


Gruppe: Mitglieder
Beiträge: 8
Mitglied seit: 15.06.2004
Mitglieds-Nr.: 999



OK, ich habe die Dateien gemailt.

Die Seite trägt den Namen Home Search, und zeigt eine Liste zu jensten Themen. Die reichen von Education, Shopping, Business, Finances, Entertainment, Sport, Shopping, Casino, Travel, Computer, sogar Spyware removal (ist wohl etwas zynisch), usw.

Sie sieht echt gleich aus wie die erste Seite, die Adresse ist ja auch sehr ähnlich.

Nochmals vielen Dank

Gruss, Nagg
Go to the top of the page
 
+Quote Post
Joerg
Beitrag 15.06.2004, 17:19
Beitrag #8



Orakel-Profi
Gruppensymbol

Gruppe: Freunde
Beiträge: 5.200
Mitglied seit: 07.12.2003
Wohnort: Weiden (Oberpfalz)
Mitglieds-Nr.: 256

Betriebssystem:
Linux Mint 17.1



apipp.dll ist (byte-)identisch mit syszh.dll.
vijxg.dll identifiziert als TrojanDownloader.Win32.WinShow.u
mfcqu.exe scheint selbst keine Schadensroutinen zu haben, kann aber durchaus eine "Hilfsdatei" sein (die andere schädliche Dateien installiert). Da keine File-Informationen integriert sind, würde ich diese Datei ebenfalls entsorgen (vorher sicherheitshalber Backup in passwortgeschütztem Archiv).


--------------------
Grüße, Jörg
Go to the top of the page
 
+Quote Post
christian4u2
Beitrag 15.06.2004, 17:37
Beitrag #9



Triumphator
Gruppensymbol

Gruppe: Freunde
Beiträge: 2.099
Mitglied seit: 12.05.2004
Wohnort: Oberscheidweiler
Mitglieds-Nr.: 812

Betriebssystem:
Windows7
Virenscanner:
KIS11
Firewall:
KIS11



Hallo...
beim Durchlesen fällt mir auf, daß die Datei:
C:\WINDOWS\biczi.dll
auch noch gelöscht werden müßte, oder (Siehe erstes LOG)??

Grüße Christian
Go to the top of the page
 
+Quote Post
nagg
Beitrag 15.06.2004, 18:41
Beitrag #10


Threadersteller

Ist neu hier


Gruppe: Mitglieder
Beiträge: 8
Mitglied seit: 15.06.2004
Mitglieds-Nr.: 999



habe alle diese files gelöscht, es wird aber immer interessanter. Die gleiche startpage ist wieder da, wieder unter einem anderen Namen:

res://kkjqt.dll/index.html#96676

ich poste nocheinmal das Logfle. Danke, für die unermüdliche hilfe

Gruss, Nagg

Logfile of HijackThis v1.97.7
Scan saved at 19:39:51, on 15.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
F:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\javahl.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
F:\PROGRA~1\Grisoft\AVG6\avgcc32.exe
C:\WINDOWS\system32\netyj.exe
F:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\applications\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\kkjqt.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://kkjqt.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://kkjqt.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\kkjqt.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://kkjqt.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\kkjqt.dll/sp.html#96676
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2940FBDF-1F31-B348-ECE6-49CB795A24D6} - C:\WINDOWS\system32\addls32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVG_CC] F:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [netyj.exe] C:\WINDOWS\system32\netyj.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = F:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Recherchieren (HKLM)
Go to the top of the page
 
+Quote Post
christian4u2
Beitrag 15.06.2004, 18:54
Beitrag #11



Triumphator
Gruppensymbol

Gruppe: Freunde
Beiträge: 2.099
Mitglied seit: 12.05.2004
Wohnort: Oberscheidweiler
Mitglieds-Nr.: 812

Betriebssystem:
Windows7
Virenscanner:
KIS11
Firewall:
KIS11



na das kann ja heiter werden.....

folgendes fixen:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\kkjqt.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://kkjqt.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://kkjqt.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\kkjqt.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://kkjqt.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\kkjqt.dll/sp.html#96676

Und folgende Dateien an virus@rokop-security.de:
C:\WINDOWS\system32\netyj.exe
C:\WINDOWS\kkjqt.dll
C:\WINDOWS\system32\addls32.dll
Go to the top of the page
 
+Quote Post
raman
Beitrag 15.06.2004, 18:57
Beitrag #12



AV-Spezialist
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 2.932
Mitglied seit: 27.04.2003
Wohnort: Nordhorn
Mitglieds-Nr.: 59



Das werden die gleichen Dateien mit anderen Namen sein. Versuchen wir mal was anderes. Poste mal eine Startuplist:
Hijackthis laden und dann config/misc tools/generate Startuplist. Das bitte hier posten.


--------------------
MfG Ralf
Go to the top of the page
 
+Quote Post
Metallica
Beitrag 15.06.2004, 19:29
Beitrag #13



Ist neu hier


Gruppe: Mitglieder
Beiträge: 8
Mitglied seit: 15.05.2004
Mitglieds-Nr.: 824



Ich würd mal versuchen ob es hier nicht auch eine verborgenen dll gibt.

http://tools.zerosrealm.com/dllfix.exe

Startenn und installieren irgendwo auf C:\

Run start.bat und option 1 wählen In der selben Mappe wird dann 'output.txt' gemacht.
Den Inhalt postest du bitte.

Gruß,

Pieter


--------------------
Go to the top of the page
 
+Quote Post
nagg
Beitrag 16.06.2004, 08:06
Beitrag #14


Threadersteller

Ist neu hier


Gruppe: Mitglieder
Beiträge: 8
Mitglied seit: 15.06.2004
Mitglieds-Nr.: 999



Morgen Leute,

Bin gestern abgehauen um Fussball zu glotzen...
Bin jetzt wieder dabei und habe all die empfohlenen Schritte durchgeführt.

Zuerst die Startuplist:

StartupList report, 16.06.2004, 08:51:42
StartupList version: 1.52
Started from : D:\applications\HijackThis.EXE
Detected: Windows XP SP1 (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)
* Using default options
==================================================

Running processes:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\javahl.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\netyj.exe
F:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
F:\PROGRA~1\Grisoft\AVG6\avgserv.exe
F:\PROGRA~1\Grisoft\AVG6\AVGCC32.EXE
D:\applications\HijackThis.exe

--------------------------------------------------

Listing of startup folders:

Shell folders Common Startup:
[C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart]
Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
InterVideo WinCinema Manager.lnk = F:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

QuickTime Task = "C:\Programme\QuickTime\qttask.exe" -atboottime
TkBellExe = "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
ATIPTA = C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
AVG_CC = F:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
netyj.exe = C:\WINDOWS\system32\netyj.exe

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=C:\WINDOWS\System32\logon.scr
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry key not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------


Enumerating Browser Helper Objects:

(no name) - F:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
(no name) - C:\WINDOWS\system32\addls32.dll - {2940FBDF-1F31-B348-ECE6-49CB795A24D6}

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
CDBurn: C:\WINDOWS\system32\SHELL32.dll
WebCheck: C:\WINDOWS\System32\webcheck.dll
SysTray: C:\WINDOWS\System32\stobject.dll

--------------------------------------------------
End of report, 3'985 bytes
Report generated in 0.031 seconds

Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only




und dann der output von dllfix:


--==***@@@ FIND-ALL' VERSION MODIFIED -6/14 @@@***==--
--==***@@@ ORIGINAL BY FREEATLAST @@@***==--

16.06.2004
08:55

System Info:

Microsoft Windows XP [Version 5.1.2600]
C: "" (1CAD:53A7) - FS:NTFS clusters:4k
Total: 5 239 468 032 [4.9G] - Free: 1 397 817 344 [1.3G]


*IE version and Service packs:
6.0.2800.1106 C:\Programme\Internet Explorer\Iexplore.exe
*Notepad version :
5.1.2600.0 C:\WINDOWS\system32\notepad.exe
5.1.2600.0 C:\WINDOWS\notepad.exe
*Media Player version :
9.0.0.2980 C:\Programme\Windows Media Player\wmplayer.exe

! REG.EXE VERSION 2.0

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings
MinorVersion REG_SZ ;SP1;Q832894;Q330994;Q837009;Q831167;



Locked or 'Suspect' file(s) found...
These may be other files that Dllfix doesnt target.
If not file is listed than Dllfix may not Help.
in this case please post the contents of Windows.txt to the appinit
entry can be checked. You will find it in the dllfix folder after findall completes.


Scanning for main Hijacker:


Dllfix must have the Hijackerfiles in system32 to fix properly.
If there are no protocal keys text/html and text/plain
then dllfix may not work. This fix targets this type Hijack Entry.
that keeps reoccuring with different filenames.
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page
= res://C:\WINDOWS\System32\xxxxxx.dll/sp.html (obfuscated)
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2940FBDF-1F31-B348-ECE6-49CB795A24D6}]
@=""

REGEDIT4

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter]

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\application/octet-stream]
"CLSID"="{1E66F26B-79EE-11D2-8710-00C04F79ED0D}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\application/x-complus]
"CLSID"="{1E66F26B-79EE-11D2-8710-00C04F79ED0D}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\application/x-msdownload]
"CLSID"="{1E66F26B-79EE-11D2-8710-00C04F79ED0D}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\Class Install Handler]
@="AP Class Install Handler filter"
"CLSID"="{32B533BB-EDAE-11d0-BD5A-00AA00B92AF1}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\deflate]
@="AP Deflate Encoding/Decoding Filter "
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\gzip]
@="AP GZIP Encoding/Decoding Filter "
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\lzdhtml]
@="AP lzdhtml encoding/decoding Filter"
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/webviewhtml]
@="WebView MIME Filter"
"CLSID"="{733AC4CB-F1A4-11d0-B951-00A0C90312E1}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/xml]
"CLSID"="{807553E5-5146-11D5-A672-00B0D022E945}"


! REG.EXE VERSION 2.0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

*Security settings for 'Windows' key:

If error than registry may need to be restored from option 4.

RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright © 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!

Access Control List for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
(NI) ALLOW Read VORDEFINIERT\Benutzer
(IO) ALLOW Read VORDEFINIERT\Benutzer
(NI) ALLOW Read VORDEFINIERT\Hauptbenutzer
(IO) ALLOW Read VORDEFINIERT\Hauptbenutzer
(NI) ALLOW Full access VORDEFINIERT\Administratoren
(IO) ALLOW Full access VORDEFINIERT\Administratoren
(NI) ALLOW Full access NT-AUTORITŽT\SYSTEM
(IO) ALLOW Full access NT-AUTORITŽT\SYSTEM
(NI) ALLOW Full access VORDEFINIERT\Administratoren
(IO) ALLOW Full access ERSTELLER-BESITZER

Effective permissions for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
Read VORDEFINIERT\Benutzer
Read VORDEFINIERT\Hauptbenutzer
Full access VORDEFINIERT\Administratoren
Full access NT-AUTORITŽT\SYSTEM




Danke, und nen schönen Tag...

Nagg
Go to the top of the page
 
+Quote Post
raman
Beitrag 16.06.2004, 11:57
Beitrag #15



AV-Spezialist
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 2.932
Mitglied seit: 27.04.2003
Wohnort: Nordhorn
Mitglieds-Nr.: 59



Starte deinen Rechner mal im abgesicherten Modus. Starte dort msconfig(ueber Start/ausfuehren). Gehe auf den Reiter Dienste und hake dort "alle microsoftdienste ausblenden" an und suche nach einen Eintrag "network security service" und deaktiviere ihn. Dann starte noch hijackthis und fixe diese Eintraege:

netyj.exe = C:\WINDOWS\system32\netyj.exe
(no name) - C:\WINDOWS\system32\addls32.dll - {2940FBDF-1F31-B348-ECE6-49CB795A24D6}
und die entsprechenden "R" Eintraege.

loesche die obigen Dateien(auch die DLL aus den "R" Eintraegen) und suche zu guter letzt noch verweise auf die "netyj.exe" in der Registrierung und loesche die Eintraege/Schluessel( Ein paar unter CLSID). Starte dann neu und poste ein aktuelles log.


--------------------
MfG Ralf
Go to the top of the page
 
+Quote Post
nagg
Beitrag 16.06.2004, 15:54
Beitrag #16


Threadersteller

Ist neu hier


Gruppe: Mitglieder
Beiträge: 8
Mitglied seit: 15.06.2004
Mitglieds-Nr.: 999



ich habe unterdessen ein anderes Problem. Wenn ich in den abgesicherten Modus starten will kommt nur ein flimmern und die Meldung "video mode not supported".
Ich hatte kürzlich mal Stress mit dem Grafikkartentreiber und musste dann die Grafikkarte ersetzen. Ich versuche erst dieses Problem zu lösen und mache danach die nächsten Schritte.

Danke an alle

Nagg
Go to the top of the page
 
+Quote Post
nagg
Beitrag 17.06.2004, 10:07
Beitrag #17


Threadersteller

Ist neu hier


Gruppe: Mitglieder
Beiträge: 8
Mitglied seit: 15.06.2004
Mitglieds-Nr.: 999



ich kriege diese startpage nicht weg! ich all die letzten schritte durchgegangen, aber es nützt nichts. unterdessen kriege ich bei sucheingaben in google popups mit meiner suchangabe in seiten wie: http://search-to-find.com, oder lookfor.cc.

dies scheint ein sehr hartnäckiger fall zu sein. ich poste noch einmal das logfile.

Gruss, Nagg

Logfile of HijackThis v1.97.7
Scan saved at 10:54:21, on 17.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
F:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
F:\PROGRA~1\Grisoft\AVG6\avgcc32.exe
C:\WINDOWS\system32\addpw32.exe
F:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\WINDOWS\netua.exe
F:\Programme\Virus\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\ttkis.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://ttkis.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://ttkis.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\ttkis.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://ttkis.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\ttkis.dll/sp.html#96676
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0A8E24F7-CE32-202B-2C0C-B9CAC3C8D011} - C:\WINDOWS\system32\addpw32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVG_CC] F:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [addpw32.exe] C:\WINDOWS\system32\addpw32.exe
O4 - HKLM\..\RunOnce: [winhz32.exe] C:\WINDOWS\winhz32.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = F:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Recherchieren (HKLM)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/...8154.2822337963
Go to the top of the page
 
+Quote Post
Joerg
Beitrag 17.06.2004, 10:16
Beitrag #18



Orakel-Profi
Gruppensymbol

Gruppe: Freunde
Beiträge: 5.200
Mitglied seit: 07.12.2003
Wohnort: Weiden (Oberpfalz)
Mitglieds-Nr.: 256

Betriebssystem:
Linux Mint 17.1



Schau Dir mal bitte diesen (englischsprachigen) Link an: Wilders

Anstatt usufr.dll liegt bei Dir die ttkis.dll vor; unter O2 steht bei Dir auch nicht die sysrm.dll, sondern die addpw32.dll und statt sysmc32.exe hast Du die addpw32.exe (und wohl auch winhz32.exe; jeweils unter O4).

Befolge also bitte den unter dem Link aufgeführten Lösungsweg und ersetze die dort genannten Dateinamen mit den bei Dir vorhandenen Namen.


--------------------
Grüße, Jörg
Go to the top of the page
 
+Quote Post
raman
Beitrag 17.06.2004, 11:39
Beitrag #19



AV-Spezialist
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 2.932
Mitglied seit: 27.04.2003
Wohnort: Nordhorn
Mitglieds-Nr.: 59



Du solltest nóch zu guter letzt diesen Scanner herunterladen, mit Hilfe von Winzip oder Winrar den Inhalt der mwav.exe in das Verzeichniss c:\bases (wichtig!) entpacken und dort dann die Datei kavupd.exe ausfuehren. Das laedt dir die neusten Virensignaturen. Dann kannst du mit msavscan.com deinen Rechner mal komplett scannen.
Es sollte naemlich noch zumindest ein trojandownloader in deinem Windows(oder system32) Ordner uebrig geblieben sein.

Nachtrag: Link vergessen! wink.gif
http://www.mwti.net/antivirus/free_utilities.asp

Der Beitrag wurde von raman bearbeitet: 17.06.2004, 11:50


--------------------
MfG Ralf
Go to the top of the page
 
+Quote Post
nagg
Beitrag 17.06.2004, 14:51
Beitrag #20


Threadersteller

Ist neu hier


Gruppe: Mitglieder
Beiträge: 8
Mitglied seit: 15.06.2004
Mitglieds-Nr.: 999



es sieht so aus als wäre das Problem gelöst. Der link zu wilders war nützlich, habe dort überUmwege ne Lösung gekriegt. Der scanner hat übrigens noch einiges an TrojanerDownloadern gefunden


Vielen Dank an alle für die grossartige Hilfe.

Gruss, Nagg
Go to the top of the page
 
+Quote Post

2 Seiten V   1 2 >
Reply to this topicStart new topic
1 Besucher lesen dieses Thema (Gäste: 1 | Anonyme Besucher: 0)
0 Mitglieder:

 



Vereinfachte Darstellung Aktuelles Datum: 29.03.2024, 10:07
Impressum