bitte hijack log auswerten Einstellungen

[Andy]

hi, ich hab ein kleines problem mit meinem IE 6.
es stellt sich die startseite easy-search.biz immer wieder von alleine ein.
ausserdem wird eine seite auf der ich bin zu einer XXX seite weitergeleitet unn dann schliesst sich der IE nach einigen sekunden.

zu meinem system:
- ich hab winXP home edition
- norton 2004
- IE 6

adaware und spybot finden nicht's mehr. CWShredder hatt noch an die 20 sachen gefixt. das oben genannte problem existiert aber weiterhin.

unten liste ich mal die log-datei von hijack auf:
Logfile of HijackThis v1.97.7
Scan saved at 13:33:48, on 19.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\CNYHKey.exe
C:\WINDOWS\System32\Prismsta.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\runwin32.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\runwin32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\runwin32.exe
C:\Dokumente und Einstellungen\Math\Desktop\hijack\HijackThis1[1].97.7.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://easy-search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.1.1:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *hot-searches.com*;*lender-search.com*
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {447160CD-ECF5-4EA2-8A8A-1F70CA363F85} - C:\WINDOWS\System32\msibkd.dll (file missing)
O2 - BHO: (no name) - {610AF41E-3B9D-4C3E-8978-CE62A175B0A3} - C:\WINDOWS\msie32.dll
O2 - BHO: (no name) - {6FE578A4-74C9-4F5B-9B4E-34BA0DCEB3D8} - C:\WINDOWS\msie32.dll
O2 - BHO: (no name) - {85CBFDE0-B26B-4EE5-BD3C-4DE111DE763E} - C:\WINDOWS\System32\winnet.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {CF021F40-3E14-23A5-CBA2-717765721306} - C:\WINDOWS\System32\wer1306.dll
O2 - BHO: (no name) - {FCADDC14-BD46-408A-9842-111111111111} - C:\WINDOWS\System32\backup.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [Prism_Utility] Prismsta.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Zone system] C:\WINDOWS\szchost.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [runwin32] C:\WINDOWS\runwin32.exe
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O9 - Extra button: MedionShop (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: Yahoo! Graffiti - http://download.games.yahoo.com/games/clients/y/grt5_x.cab
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://c:\nosuch.mht!http://66.230.167.185/z/tb/chm/cool.chm::/cool.exe
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!http://69.50.173.252/bonus.chm::/winpromo.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php...42c5c6546c7d1fb
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwa...ector/swdir.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/04a30f04300bfb...RdxIE601_de.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/....CAB?38020.7125
O16 - DPF: {AD688740-5246-40C3-1111-53959999940D} - http://xpehbam.biz/a/load.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shock...ash/swflash.cab


hoffentlich könnt ihr mir sagen was nicht hierhin gehört.
schon mal thx im voraus

[Remover]

Abgesicherter Modus gehen (F8 beim booten) und
alle R0,R1,R2, R3 Eintraege fixen.

Ausserdem folgendes:

O2 - BHO: (no name) - {447160CD-ECF5-4EA2-8A8A-1F70CA363F85} - C:\WINDOWS\System32\msibkd.dll (file missing)
O2 - BHO: (no name) - {610AF41E-3B9D-4C3E-8978-CE62A175B0A3} - C:\WINDOWS\msie32.dll
O2 - BHO: (no name) - {6FE578A4-74C9-4F5B-9B4E-34BA0DCEB3D8} - C:\WINDOWS\msie32.dll
O2 - BHO: (no name) - {85CBFDE0-B26B-4EE5-BD3C-4DE111DE763E} - C:\WINDOWS\System32\winnet.dll
O2 - BHO: (no name) - {CF021F40-3E14-23A5-CBA2-717765721306} - C:\WINDOWS\System32\wer1306.dll
O2 - BHO: (no name) - {FCADDC14-BD46-408A-9842-111111111111} - C:\WINDOWS\System32\backup.dll
O4 - HKLM\..\Run: [Zone system] C:\WINDOWS\szchost.exe
O4 - HKCU\..\Run: [runwin32] C:\WINDOWS\runwin32.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com

...und am besten noch alle O16 bis auf die beiden Shockwave Eintraege!

[Voyager]

das auch noch weg
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\CNYHKey.exe

und hier schauen was das für anwendungen sind?!
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\System32\Prismsta.exe

[raman]

Was laesst dich vermuten, das diese Dateien "boese" sind?

[Andy]

@remover:danke für deinen rat, ich hab ihn gestern noch befolgt und es ging problemlos, allerdings hat sich heute runwin32, msie32.dll und ein anderes programm namens dialup.exe wieder gestartet was wiederum zurfolge hatt das sich die startseite verändert. (ich hab jetzt durch googlen herausgefunden dass dialup.exe, runwin32.exe und wininet32.exe zu einem neuen trojaner gehören der die startseite zu easy-search.biz ändert und einige popups startet).
zusätzlich hab ich gestern noch norton anti virus im abgesicherten modus drüberlaufen lassen, welcher nichts gefunden hat.

@bond7: diese dateien sind mir alle bekannt und haben nichts damit zu tun, aber trotzdem danke

[Remover]

Also Andy, dann poste am besten nochmal ein aktuelles Log.
Nimm am besten aber die aktuellste Version 1.98 von HijackThis.
Notfalls einfach per google suchen.

Wir bekommen das schon in Griff....

Waere uebrigens gut, wenn du unbedingt nochmal ein Windows Update machst
um sicher zu gehen das alle Patches drauf sind.

Der Beitrag wurde von Remover bearbeitet: 20.07.2004, 18:20

[Andy]

so hab mein windows geupdatet und ein neuer log gemacht.


Logfile of HijackThis v1.98.0
Scan saved at 22:29:31, on 20.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\CNYHKey.exe
C:\WINDOWS\System32\Prismsta.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\runwin32.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\Math\Desktop\hijackthis\HijackThis.exe
C:\WINDOWS\runwin32.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.1.1:8080
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: - {D0EFFAF9-5EB7-45E4-B643-AC1B6F6DF91B} - C:\WINDOWS\msie32.dll
O2 - BHO: - {EAE4E9F4-FE3C-44F5-8692-763DB748943A} - C:\WINDOWS\msie32.dll
O2 - BHO: - {F1217721-C34A-4D96-9531-E227A89E80BA} - C:\WINDOWS\msie32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [Prism_Utility] Prismsta.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKCU\..\Run: [runwin32] C:\WINDOWS\runwin32.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra button: MedionShop - {07E3F115-C445-480D-94CB-ECA914A353CE} - http://www.medionshop.de/ (file missing) (HKCU)


und noch eine frage, weiss einer was LogWatNt ist? die auswertung auf hijackthis.de meint es wäre gut, aber ich finde nicht heraus was sie macht.
in dem ordner in dem die datei enthalten ist sind noch 20 weiter dateien (.exe, .dll, usw.), die alle um 2003 erstellt wurden, dabei ist der comp erst 1/4 jahr alt.

[Remover]

Lade dir den unten erwahnten Scanner runter und update ihn wie beschrieben....

Dann diese Dateien schnell noch online scannen bei Kaspersky
http://www.kaspersky.com/de/scanforvirus

O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [Prism_Utility] Prismsta.exe
Gegebenfalls dann auch fixen, falls positiv!

Dann Systemwiederherstellung unbedingt DEAKTIVIEREN

Abgesicherter Modus gehen (F8 beim booten) WICHTIG
im Explorer unter Extras Ordneroptionen (Ansicht) den haken bei
Erweiterungen bei bekannten Dateitypen ausblenden und
geschuetzte systemdateien ausblenden rausnehmen.
Sowie den Button bei ALLE Dateien und Ordner anzeigen setzen.

Hijackthis aufrufen und dann folgendes fixen:
(kein Explorer Fenster darf dabei offen sein, alles schliessen ausser Hijackthis)

Alle R - Eintraege
O2 - BHO: - {D0EFFAF9-5EB7-45E4-B643-AC1B6F6DF91B} - C:\WINDOWS\msie32.dll
O2 - BHO: - {EAE4E9F4-FE3C-44F5-8692-763DB748943A} - C:\WINDOWS\msie32.dll
O2 - BHO: - {F1217721-C34A-4D96-9531-E227A89E80BA} - C:\WINDOWS\msie32.dll
O4 - HKCU\..\Run: [runwin32] C:\WINDOWS\runwin32.exe¨
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll

Loesche dann alle Temporaeren Verzeichnisinhalte samt Internet Explorer Cache
auch das Temp in Dokumenten und Einstellungen/Username!!!¨


Scanne dein System am besten nach den Fixen nochmal hiermit (auch im abgesicherte Modus):
http://www.mwti.net/antivirus/free_utilities.asp

Scanner herunterladen, mit Hilfe von Winzip oder Winrar den Inhalt der mwav.exe in das Verzeichniss c:\bases (wichtig!) entpacken und dort dann die Datei kavupd.exe ausfuehren. Das laedt dir die neusten Virensignaturen. Dann im abgesicherten Modus, mit mwavscan.com deinen Rechner komplett scannen

Windows Update machen und alternativen Browser (z.b. Mozilla Firefox) installieren,
wuerde ich dir empfehlen!

Der Beitrag wurde von Remover bearbeitet: 21.07.2004, 06:22

[Andy]

ich bin's ....schon wieder..
wie soll ich es sagen,
- ich habe deine anweisungen genau befolgt aber runwin32, msie32 und dialup.exe tauchen immer wieder in der reg. auf und wenn ich sie nicht umgehend lösche, wird die startseite wieder verändert.
- eScan hat ein paar "trojaner" (wenn es welche waren) und hauptsächlich die backups von norton gefunden und gelöscht.
- die zwei daten CNYHKey.exe und Prismsta.exe kontrollieren die funktastatur/maus bzw. die funknetzwerkkarte
- ich habe jetzt mozilla firefox und den IE parallel auf dem rechner und gehe meist mir mozilla firefox online

[Remover]

Benutze mal dieses Tool und falls etwas gefunden wird,
wiederhole die Schritte die ich dir bereits geschrieben habe:
http://downloads.subratam.org/FINDnFIX.exe

Sonst poste mal das Output.txt hier rein!!

[Andy]

welche datei soll ich denn von dem tool nehmen?

[Remover]

!Log!.bat oder so aehnlich starten...dann ein paar Minuten warten,
dann bekommst du ein output.txt, das hier einfach reinposten.

[Andy]

hier ist das log: ich muss es in zwei teilen posten da es sonst zu viele buchstaben sind
1.Teil:
»»»»»»»»»*** www10.brinkster.com/expl0iter/freeatlast/FNF/ ***»»»»»»»»»
»»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»»»»»»

Microsoft Windows XP [Version 5.1.2600]
»»»IE build and last SP(s)
6.0.2800.1106 SP1-Q330994-Q823353-Q832894
Der Typ des Dateisystems ist NTFS.
C: ist nicht fehlerhaft.

Thu 22 Jul 04 19:33:32
7:33pm up 0 days, 7:36

»»»»»»»»»»»»»»»»»»*** Note! ***»»»»»»»»»»»»»»»»
The list will produce a small database of files that will match certain criteria.
You must know how to ID the file based on the filters provided in
the scan, as not all the files flagged are bad.
Ex: read only files, s/h files, last modified date. size, etc.
The filters provided should help narrow down the list, and hopefully
pinpoint the culprit.
Along with that,registry scan logged at the end should match the
corresponding file(s) listed.
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Unless the file match the entire criteria, it should not be pointed to remove
without attempting to confirm it's nature!
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
At times there could be several (legit) files flagged, and/or duplicate culprit file(s)!
If in doubt, always search the file(s) and properties according to criteria!

The file(s) found should be moved to \FINDnFIX\"junkxxx" Subfolder
»»»»»»»»»»»»»»»»»»***LOG!***(*updated 7/21)»»»»»»»»»»»»»»»»

»»»*»»»*Use at your own risk!»»»*»»»*

Scanning for file(s)...
»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»
»»»»» (*1*) »»»»» .........
»»Locked or 'Suspect' file(s) found...


»»»»» (*2*) »»»»»........
**File C:\FINDnFIX\LIST.TXT

»»»»» (*3*) »»»»»........

No matches found.

unknown/hidden files...

No matches found.

»»»»» (*4*) »»»»».........
Sniffing..........
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.


»»»»»(*5*)»»»»»
**File C:\WINDOWS\SYSTEM32\DLLXXX.TXT

»»»»»(*6*)»»»»»

»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»
»»»»»Search by size...


No matches found.

No matches found.

No matches found.

Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.

Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.

Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.


»»Size of Windows key:
(*Default-450 *No AppInit-398 *fake(infected)-448,504,512...)

Size of HKEY_LOCAL_MACHINE\software\microsoft\Windows NT\CurrentVersion\Windows: 450

»»Dumping Values........
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs SZ
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\DeviceNotSelectedTimeout SZ 15
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\GDIProcessHandleQuota DWORD 00002710
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Spooler SZ yes
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\swapdisk SZ
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\TransmissionRetryTimeout SZ 90
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\USERProcessHandleQuota DWORD 00002710

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
AppInit_DLLs =
DeviceNotSelectedTimeout = 15
GDIProcessHandleQuota = REG_DWORD 0x00002710
Spooler = yes
swapdisk =
TransmissionRetryTimeout = 90
USERProcessHandleQuota = REG_DWORD 0x00002710

»»Security settings for 'Windows' key:


RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright © 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!

Der Beitrag wurde von Andy bearbeitet: 22.07.2004, 18:42

[Andy]

2.Teil:

Access Control List for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
(ID-NI) ALLOW Read VORDEFINIERT\Benutzer
(ID-IO) ALLOW Read VORDEFINIERT\Benutzer
(ID-NI) ALLOW Full access VORDEFINIERT\Administratoren
(ID-IO) ALLOW Full access VORDEFINIERT\Administratoren
(ID-NI) ALLOW Full access NT-AUTORITŽT\SYSTEM
(ID-IO) ALLOW Full access NT-AUTORITŽT\SYSTEM
(ID-IO) ALLOW Full access ERSTELLER-BESITZER

Effective permissions for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
Read VORDEFINIERT\Benutzer
Full access VORDEFINIERT\Administratoren
Full access NT-AUTORITŽT\SYSTEM


»»Member of...: (Admin logon required!)
User is a member of group HOBBYRAUM2\Kein.
User is a member of group \Jeder.
User is a member of group VORDEFINIERT\Administratoren.
User is a member of group VORDEFINIERT\Benutzer.
User is a member of group \LOKAL.
User is a member of group NT-AUTORITÄT\INTERAKTIV.
User is a member of group NT-AUTORITÄT\Authentifizierte Benutzer.


»»»»»»Backups created...»»»»»»
7:34pm up 0 days, 7:36
Thu 22 Jul 04 19:34:28

A C:\FINDnFIX\keyback.hiv
--a-- - - - - - 8,192 07-22-2004 keyback.hiv
A C:\FINDnFIX\keys1\winkey.reg
--a-- - - - - - 287 07-22-2004 winkey.reg
*Temp backups...
.
..
keyback2.hi_
winkey2.re_


C:\FINDNFIX\
JUNKXXX Thu 22 Jul 2004 18:06:46 .D... <Dir>

1 item found: 0 files, 1 directory.

»»Performing string scan....
00001150: vk f AppInit_DLLs G
00001190: h vk UDeviceNotSelectedTimeout 1 5
000011D0: 0 9 0 =t vk ' zGDIProcessHandle
00001210:Quota" vk 8 Spooler2 y e s _ h
00001250: ` vk 5swapdisk vk
00001290: . TransmissionRetryTimeout h `
000012D0: vk ' 9USERProcessHandleQuota
00001310:
00001350:
00001390:
000013D0:
00001410:
00001450:
00001490:
000014D0:
00001510:
00001550:
00001590:
000015D0:

---------- WIN.TXT
fùAppInit_DLLsÖ�æG
--------------
--------------
$01180: AppInit_DLLs
$011AF: UDeviceNotSelectedTimeout
$011FF: zGDIProcessHandleQuota
$01298: TransmissionRetryTimeout
$012E8: USERProcessHandleQuota
--------------
--------------
No strings found.

--------------
--------------
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710

A handle was successfully obtained for the
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows key.
This key has 0 subkeys.
The AppInitDLLs value exists and reports as 2 bytes, including the 2 for string termination.

[AppInitDLLs]
Ansi string : ""
0000 00 00 | ..

[wildthing]

Was laesst dich vermuten, das diese Dateien "boese" sind?

hallo raman,

ich will mich ja nicht einmischen, aber ich hatte genau das gleiche Problem mit der Startseite "easy-search.biz" wie Andy ... vielleicht hilft es, mein Logfile und die Antworten von rokop zu lesen :-)

einfach nur ein Hinweis meinerseits ist :-)

[wildthing]

Was laesst dich vermuten, das diese Dateien "boese" sind?

und zum anderen nicht auf das Thema "was lässt Dich vermuten, dass es .... usw." bezogen war....

einfach nur ein Hinweis ... vielleicht hilft das ja

[Andy]

danke wildthing, genau das gleiche problem hab ich auch. bei mir wird auch immer wieder eine neue verbindung names new dialup connection angelegt.
ich hab genau das gleiche wie du gemacht, nur dass die dateien dialup.exe und runwin32.exe immer wieder auftauchen und dann die neue verbindung und die startseite herstellen.
@wildthing: ging bei dir auch immer ein fenster auf mit "already running !!!!!!" und nur einem OK-button wenn dialup.exe sich noch einmal in die registry schieben wollte?

Der Beitrag wurde von Andy bearbeitet: 22.07.2004, 20:26

[Remover]

@Wildthing

Das haben wir alles hier auch so gemacht, bei dir ist das Problem jetzt geloest oder?

@Andy

In dem Output.txt Log ist nix verdaechtiges zu sehen, keine locked Files usw.
Wenn bei Wildthing das ganze durchs fixen behoben wurde, haette es eigentlich
auch bei dir klappen muessen.
Bist du dir sicher das du die Anweisungen exakt durchgefuehrt hast
oder war dir noch irgendetwas unklar?
Nicht das du es doch in normalen Modus gemacht hast oder irgendeine
Datei vergessen hast, anzuhaken!?

Wie hast du mit Mwav gescannt? (hat das updaten geklappt, achte auf die anzeige
des Datums unten)
Du solltest die Haken bei Memory, Registry , Startup Foldes, ,System Fiolders
und Services, Drive, All Local Drives, Scan All Files setzen.
Dann den button Scan & Clean und das alles aus dem abgesicherten Modus raus.

Sonst wiederhole dir ganzen Schritte nochmals ab Logfile 2!

Der Beitrag wurde von Remover bearbeitet: 23.07.2004, 10:00

[Andy]

ich hab alles wie beschrieben gemacht (updaten;abgesicherter modus und die optionen gewählt wie im faq beschrieben).
ich hab nun nocheinmal adaware laufen lassen und dies hat wieder etwas gefunden und gelöscht - nicht nur cookies,sondern auch 2 reg. dateien und andere daten.
bis jetzt hatte ich keine probleme mehr und runwin32.exe startet sich auch nocht mehr.
da kann ich nur hoffen das es so bleibt. wenns wieder prob macht meld ich mich sofort wieder.
ansonsten wollt ich mich noch bei allen helfern bedanken und ein besonders grosses DANKE gilt dir Remover.... was hätte ich ohne euch nur gemacht

[Remover]

Freut mich das es doch noch geholfen hat.

Wollte gerade schreiben, das in einen andere Board jemand auch das gleiche
Problem hatte und mit derselben Beschreibung von mir, den "Boesewicht" los
geworden ist.

Was auch das immer fuer eine Eintrag noch war.....hauptsache jetzt laeuft es wieder.
Viel Spass noch....und denk dran einen alternativen Browser zu verwenden.