highjacker

Martin123 · 28.07.2004

hallo zusammen,

mein rechner hat sich irgendetwas eingefangen, was er nicht wieder los wird.... also, zunächst erscheint eine seltsame startseiten (websearch oder so) obwohl ich eine andere startseite eingestellt habe. ich habe da schon hghjackthis drüber laufen lassen, aber die startseite erscheint nach wie vor. und setzt mit noch seltsame seiten in den verlauf....

des weiteren findet mein antiviren programm ein trojanisches pferd. (TR/Dldr./will.0) welches der virenscanner aber nicht löschen kann.

und wenn das alles noch nicht genug wäre, pop jedesmal wenn ich ins internet gehe und diese blöde startseite erscheint ein fenster auf, da mich auffordert irgendeine software zu instalieren. ich hoffe ihr könnt mir helfen.

ich hänge mal eben den scan reprot von hikackthis an. vielleicht könnt ihr mir sagen, was ich löschen soll. die ganzen einträge mit webserach habe ich bereits gelöscht, ohne erfolg.

Logfile of HijackThis v1.98.0
Scan saved at 21:50:39, on 26.07.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
D:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
D:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
D:\Programme\ScanSoft\OmniPageSE\opware32.exe
D:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
D:\PROGRA~1\GEMEIN~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe
D:\Programme\AVPersonal\AVGNT.EXE
D:\WINDOWS\System32\ctfmon.exe
D:\Programme\Messenger\msmsgs.exe
D:\Programme\KODAK\Kodak EasyShare software\bin\EasyShare.exe
D:\Programme\KODAK\KODAK Software Updater\7288971\Program\backWeb-7288971.exe
D:\Programme\WinZip\WZQKPICK.EXE
D:\Programme\AVPersonal\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
D:\WINDOWS\system32\drivers\dcfssvc.exe
D:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
D:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
D:\WINDOWS\System32\wuauclt.exe
C:\unzipped\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://weba.directwebsearch.net/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://weba.directwebsearch.net/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://weba.directwebsearch.net/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://weba.directwebsearch.net/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://weba.directwebsearch.net/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://weba.directwebsearch.net/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://weba.directwebsearch.net/search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://gmx.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://weba.directwebsearch.net/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://weba.directwebsearch.net/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://weba.directwebsearch.net/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://weba.directwebsearch.net/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://weba.directwebsearch.net/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://weba.directwebsearch.net/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://weba.directwebsearch.net/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://weba.directwebsearch.net/search.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=D:\WINDOWS\system32\userinit.exe,
O1 - Hosts: 69.31.79.101 auto.search.msn.com
O1 - Hosts: 69.31.79.101 auto.search.msn.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [TkBellExe] D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [HP Software Update] D:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] D:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [DeviceDiscovery] D:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [DownloadWare] D:\Programme\DownloadWare\dw.exe /H
O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Omnipage] D:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [XTNDConnect PC - ErPhn2] D:\PROGRA~1\GEMEIN~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Mirabilis ICQ] D:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [winupd] D:\WINDOWS\System32\winupd.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] D:\Programme\Messenger\msmsgs.exe /background
O4 - Global Startup: Kodak EasyShare Software.lnk = D:\Programme\KODAK\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: KODAK Software Updater.lnk = D:\Programme\KODAK\KODAK Software Updater\7288971\Program\backWeb-7288971.exe
O4 - Global Startup: WinZip Quick Pick.lnk = D:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra->Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
O9 - Extra->Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
O12 - Plugin for .mpeg: D:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {11111111-1111-1111-1111-111111111111} - mhtml:file://C:NXSFT.MHT!http://64.237.41.215:80/iex/ofile.exe?url=http://64.237.41.215:80/dexDE780.exe

hp · 28.07.2004

als erstes die systemwiederherstellung ausschalten, dann in den abgesicherten modus gehn und die kiste mit stinger, spybot, avast, ad-aware, cwshredder mal putzen. die tools gibts im downloadbereich. dann installier unbedingt das sp1 und mach den onlineupdate für deine kiste der ie ist auch noch ungapatched. dann lass nochmal hijackthis laufen und poste das ergebnis nochmal rein, dann sollten einige bösewichte weniger auftauchen und man tut sich einfacher ...

greetz

hugo

Martin123 · 30.07.2004

hy zusammen,

habe alles mal drüberlaufen lassen, muss nur noch den ie aktualisieren.. der scan fil sieht jetzt so aus.

Logfile of HijackThis v1.98.0
Scan saved at 20:24:49, on 30.07.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
D:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
D:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
D:\Programme\ScanSoft\OmniPageSE\opware32.exe
D:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
D:\PROGRA~1\GEMEIN~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe
D:\Programme\AVPersonal\AVGNT.EXE
D:\WINDOWS\System32\ctfmon.exe
D:\Programme\Messenger\msmsgs.exe
D:\Programme\KODAK\Kodak EasyShare software\bin\EasyShare.exe
D:\Programme\KODAK\KODAK Software Updater\7288971\Program\backWeb-7288971.exe
D:\Programme\WinZip\WZQKPICK.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
D:\WINDOWS\system32\drivers\dcfssvc.exe
D:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
D:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
D:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
D:\WINDOWS\msagent\AgentSvr.exe
D:\Programme\Microsoft Office\Office10\WINWORD.EXE
D:\WINDOWS\System32\wuauclt.exe
D:\Programme\AVPersonal\AVGUARD.EXE
D:\Programme\Microsoft Office\Office10\EXCEL.EXE
C:\unzipped\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://gmx.de/
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=D:\WINDOWS\SYSTEM32\Userinit.exe,
O4 - HKLM\..\Run: [TkBellExe] D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [HP Software Update] D:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] D:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [DeviceDiscovery] D:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [DownloadWare] D:\Programme\DownloadWare\dw.exe /H
O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Omnipage] D:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [XTNDConnect PC - ErPhn2] D:\PROGRA~1\GEMEIN~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Mirabilis ICQ] D:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Kodak EasyShare Software.lnk = D:\Programme\KODAK\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: KODAK Software Updater.lnk = D:\Programme\KODAK\KODAK Software Updater\7288971\Program\backWeb-7288971.exe
O4 - Global Startup: WinZip Quick Pick.lnk = D:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra->Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
O9 - Extra->Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
O12 - Plugin for .mpeg: D:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll

Was muss denn da jetzt noch von gelöscht werden?

Grüsse,

Martin

hp · 30.07.2004

D:\Programme\KODAK\KODAK Software Updater\7288971\Program\backWeb-7288971.exe
O4 - Global Startup: KODAK Software Updater.lnk = D:\Programme\KODAK\KODAK Software Updater\7288971\Program\backWeb-7288971.exe

wenn du das prog bewußt installiert hast, dann mußt du das nicht fixen, pestpatrol führt das prog in ihrer datenbank

http://www.pestpatrol.com/PestInfo/b/backweb_lite.asp

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
den fixen

und beim nächsten post alle programme die nicht unbedingt laufen müssen schließen, man tut sich leichter mit dem durchsuchen des logs. du läßt z.b. dein ganzes office mitlaufen, das sind unnötige einträge im log. dann solltest du noch das sp1 einspielen und das system auf den neuesten stand bringen ...

greetz

hugo

PCDpan_fee · 30.07.2004

Martin123 schrieb:
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

alle Updates installiert? ???
aktuell ist 6.0.2800.1106

O4 - HKLM\..\Run: [DownloadWare] D:\Programme\DownloadWare\dw.exe /H

DownloadWare Spyware (MediaLoads)
http://www.spy-bot.net/DownloadWare.asp
unbedingt fixen

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

Sun Java
http://www.wintotal.de/softw/?id=1522
wenn du es deinstalliert hast, kannst du diesen Punkt auch fixen

O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

Sun Java, siehe oben

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm

Alexa
http://www.wintotal.de/Tipps/Eintrag.php?TID=384
würde ich fixen

O9 - Extra->Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm

Alexa, siehe oben

du kannst auch deine Daten hier mal eingeben, damit du weißt, was sie bedeuten:
http://www.wintotal.de/Spyware/

pan_fee

Martin123 · 02.08.2004

Danke euch allen,

ihr seid die besten.

Martin

highjacker

Martin123

hp

Martin123

hp

PCDpan_fee

Martin123

highjacker

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums