Eintrag in Hijackthis-Log, browser Hijacker Einstellungen

[Baltus]

hallo @,

mein problem ist , das ich mir einen browser hijacker eimgefangen habe. spybot, adaware und cwshredder konnten nicht helfen.

auto.search.msn.com habe ich mit hijackthis gefixt. aber es kommt immer wieder die warnung vom spy sweeper das jemand versucht mich auf eine andere seite umzuleiten. ausserdem finde ich bei jedem scan: cws aboutblank und coolwww

ich habe folgende einträge im Hijack-log:

O18 - Protocol: start - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINNT\system32\FILORUX[.dll
O18 - Filter: text/html - {63B95211-7D77-11D2-9F80-00104B107C96} - C:\WINNT\system32\FILORUX[.dll
O18 - Filter: text/plain - {63B95211-7D77-11D2-9F80-00104B107C96} - C:\WINNT\system32\FILORUX[.dll

den folgenden eintrag habe ich in einem anderen forum gefunden:

O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F81-00104B107C96}.


stimmt ja fast mit meinen einträgen überein.

kann ich die letzten 3 einträge bei mir fixen?

es mag sich etwas holperig anhören, was ich schreibe

, aber bis vor kurzem habe ich noch nicht mal gewusst, das es solche einträge in meinem pc gibt .das klingt nicht nur nach anfänger, es ist leider so!!!!

kann mir jemand einen tipp geben?? aber langsam reden , bin wie gesagt anfänger

danke für eure hilfe

Baltus

[christian4u2]

Am besten Du postest hier dein komplettes Log..
Grüße Christian

[Baltus]

hallo christian,

hier mein komplettes log:

Logfile of HijackThis v1.98.0
Scan saved at 19:41:47, on 10.07.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
D:\Programme\Sygate\SPF\smc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
d:\Programme\AVPersonal\AVGUARD.EXE
d:\Programme\AVPersonal\AVWUPSRV.EXE
D:\Programme\Executive Software\DiskeeperLite\DKService.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
D:\Programme\Trojancheck 6\tcguard.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\PROGRA~1\BILLPS~1\WINPAT~1\WinPatrol.exe
C:\PROGRA~1\SSS\SIMPLESCREENSHOT.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
D:\Programme\AVPersonal\AVGNT.EXE
D:\Programme\The Cleaner\tca.exe
D:\Programme\The Cleaner\tcm.exe
C:\Programme\AIM95\aim.exe
C:\Programme\TuneUp Utilities 2004\MemOptimizer.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
D:\Programme\BHODemon\BHODemon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Administrator.BALTUS\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {2BB4572F-2FB3-4B8B-B5FD-AFC78DCB622B} - (no file)
O2 - BHO: (no name) - {47EC4237-DD97-4A71-99BE-931F9FD8348A} - (no file)
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - d:\Programme\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {4F567297-E5FE-4C4F-951D-2441A64503AB} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Trojancheck 6 Guard] D:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SmcService] D:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [WinPatrol] "C:\PROGRA~1\BILLPS~1\WINPAT~1\WinPatrol.exe"
O4 - HKLM\..\Run: [SimpleScreenshot] C:\PROGRA~1\SSS\SIMPLESCREENSHOT.EXE
O4 - HKLM\..\Run: [AVGCtrl] "d:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [tcactive] d:\Programme\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] d:\Programme\The Cleaner\tcm.exe
O4 - HKCU\..\Run: [AIM] C:\Programme\AIM95\aim.exe -cnetwait.odl
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2004\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - Startup: BHODemon.lnk = D:\Programme\BHODemon\BHODemon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/13dbf0fcac98e1...RdxIE601_de.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4A831C7D-EA71-4101-8BF4-7DC5E4DE9218}: NameServer = 194.25.165.2,194.25.2.129
O18 - Protocol: start - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINNT\system32\FILORUX[.dll
O18 - Filter: text/html - {63B95211-7D77-11D2-9F80-00104B107C96} - C:\WINNT\system32\FILORUX[.dll
O18 - Filter: text/plain - {63B95211-7D77-11D2-9F80-00104B107C96} - C:\WINNT\system32\FILORUX[.dll

oops, das ist mein 2. anlauf das log zu posten. mein pc hat gerade selbstständig einen neustart gemacht.

hoffentlich kannst du oder das forum mir helfen

danke im voraus


Baltus

[Baltus]

mal noch ein paar informationen:

habe bisher immer den IE benutzt, seit einer woche nur noch mozilla-firefox.
ich benutze aber immer noch den OE, und dann kommt immer die meldung von spy-sweeper : auto,search.msn.com 213. usw
die meldung kommt bei mozilla nicht

gruß

Baltus

[raman]

Schick die DAtei einfach mal an virus@rokop-security.de
C:\WINNT\system32\FILORUX[.dll das scheint ein hijacker zu sein. Der wird nur beim IE oder OE aktiv.

[Baltus]

hallo ralf,

würde ich ja gerne hinschicken die datei, bloss......

unter winnt/system32/ steht keine filorux datei!!!

gruß

Baltus

[christian4u2]

Dann gehe mal im Windows Explorer unter Extrtas -->Ortneroptionen-->Ansicht und mache ein Häkchen unter "Versteckte Dateien und Ordner " vor "Alle Dateien und Ornder anzeigen"

[Baltus]

ich finde beim IE unter extras keine ordneroptionen
mein system: win 2000 prof auf nt basis

[christian4u2]

Sagte ich Internet Explorer oder Windows Explorer?????

[Baltus]

na gut..... hast ja recht aber das häckchen stand schon auf alle dateien anzeigen..... mecker doch nicht gleich mit mir

[christian4u2]

Du könntest Dein System auch noch durchsuchen lassen....darauf achten das hinten noch eine eckige Klammer drann hängt...filorux[.dll !
Eventuell kannst du auch in den abgesicherten modus wechseln (F8 gedrückt halten wärend dem Neustart). Vielleicht zeigt sich das Biest dann...

Und nebenbei ich meckere doch nicht mir dir

Der Beitrag wurde von christian4u2 bearbeitet: 11.07.2004, 22:32

[Baltus]

im suchmodus habe ich das gefunden!!!!

ich weiss doch das du nicht gemeckert hast!!!!!

warum kann ich nicht die letzten 3 einträge beim hijack log nicht einfach fixen???

[christian4u2]

Weil damit nicht die Ursache deines Übels bereinigt wird, da die Einträge wahrscheinlich mit dieser dll-Datei generiert werden. Also, nachdem Du sie so schön gefunden hast schicke Sie doch per Mail an virus@rocop-security.de!!
Die analysieren sie und sagen Dir was Du mir ihr anstellen kannst...
Grüße Christian

[Yopie]

...schicke Sie doch per Mail an virus@rocop-security.de!!

Das wird wahrscheinlich nicht ankommen. Nimm lieber virus@rokop-security.de, also mit 'k'.

[christian4u2]

nagut heute mal an diese adresse

[Baltus]

au backe ist das spannend!!! sowas habe ich ja noch nie gemacht!!!!




also

ich habe das doppelt angeklickt... dann stand da "öffnen mit"

da mein notepad nicht funktioniert habe ich es mit dem wordpad geöffnet...
alles markiert und an die genannte adresse geschickt...

habe ich das richtig gemacht???

sorry

[christian4u2]

An Deiner Stelle würde ich mir angewöhnen unbekannte Dateien nicht zu öffnen. Das nächste mal eine neue Mail anfangen und die Datei als Dateianlage an diese Mail anhängen!!
Mal sehen ob sie mit dem was du ihnen geschickt hast etwas anfangen können...

Der Beitrag wurde von christian4u2 bearbeitet: 11.07.2004, 23:16

[Baltus]

hihi christian,

also, habe die datei bei "suchen" mit rechts angeklickt, öffnen mit wordpad, markiert und in die e-mail kopiert und abgeschickt....

ist das ok???

Baltus

[Baltus]

ooops

habe alles nicht sofort lesen können

habe ich was falsches gemacht???

[Joerg]

Ja, die Datei kam leider vollkommen unlesbar bei uns an
Bitte hänge die Datei einfach an die Mail an; im Mail-Programm gibt es dafür eine entsprechende Funktion.