hijacklog

belinda · 18.04.2004

moin!
vor einigen tagen meldete mein AV (NAV ---- ja ich weiß:

), dass ich infiziert sei mit W32/Nachi.B. diverse (entfernungs)tools brachten kein ergebnis. ich glaube eher an einen fehlalarm des AV-proggies. da ich nicht gerade eine fachfrau bin, was schädlinge betrifft, möchte ich euch bitten, folgenden hijack-log anzusehen:

Logfile of HijackThis v1.97.7
Scan saved at 08:59:37, on 18.04.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe
C:\Programme\TVgenial\TVgenial.exe
C:\Programme\PopTray\PopTray.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\Programme\Avant Browser\iexplore.exe
D:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.inmatrix.com/zplayer/faq
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: My &Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Tweak UI 1.33 deutsch] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [CloneCDElbyCDFL] C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe /L ElbyCDFL
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\Run: [TVgenial] C:\Programme\TVgenial\TVgenial.exe -d
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - Startup: MyWebSearch Email Plugin.lnk = C:\Programme\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O4 - Startup: PopTray.lnk = C:\Programme\PopTray\PopTray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Programme\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O8 - Extra context menu item: &Search - hxxp:/ /bar.mywebsearch.com/menusearch.html?p=ZS
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - C:\Programme\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Hervorheben - C:\Programme\Avant Browser\Highlight.htm
O8 - Extra context menu item: Suchen - C:\Programme\Avant Browser\Search.htm
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - C:\Programme\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - C:\Programme\Avant Browser\OpenAllLinks.htm
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra->Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra->Tools' menuitem: Yahoo! Messenger (HKLM)
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - hxxp: //ak.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralInitialSetup1.0.0.8.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38093.5582175926
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{051F0CCF-9C3B-4D66-9033-146CA7A3CFF7}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{B78CCCC4-7E75-4327-B3AF-9B30E8456E9A}: NameServer = 212.185.251.136 194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{051F0CCF-9C3B-4D66-9033-146CA7A3CFF7}: NameServer = 192.168.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{051F0CCF-9C3B-4D66-9033-146CA7A3CFF7}: NameServer = 192.168.0.1

thx ;D
belinda

gewisse Links editiert

PCDpan_fee · 18.04.2004

fixen

belinda schrieb:
C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe

myBar Adware (mywebsearch)

C:\Programme\Avant Browser\iexplore.exe

warum ist dein Browser offen?

O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL

MyWebSearch, siehe oben

O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL

MyWebSearch, siehe oben

O3 - Toolbar: My &Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL

MyWebSearch, siehe oben

O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe

MyWebSearch, siehe oben

O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe

MyWebSearch, siehe oben

O4 - Startup: MyWebSearch Email Plugin.lnk = C:\Programme\MyWebSearch\bar\1.bin\MWSOEMON.EXE

MyWebSearch, siehe oben

O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Programme\MyWebSearch\bar\1.bin\MWSOEMON.EXE

MyWebSearch, siehe oben

O8 - Extra context menu item: &Search - hxxp: /bar.mywebsearch.com/menusearch.html?p=ZS

MyWebSearch, siehe oben

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - hxxp: //ak.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralInitialSetup1.0.0.8.cab

fixen

pan_fee

belinda · 18.04.2004

C:\Programme\Avant Browser\iexplore.exe

warum ist dein Browser offen?

sorry, habe nicht gewußt :-[...........ändert sich bei geschlossenen browser eventuell noch was?

auf alle fälle mal: vielen, vielen dank!
belinda

PCDpan_fee · 18.04.2004

belinda schrieb:
sorry, habe nicht gewußt

erst hier mal lesen:
http://www.wintotal.de/Tipps/Eintrag.php?TID=873

schließt man zuerst alle Browserfenster und startet die HijackThis.exe

pan_fee

bl4ckic3 · 18.04.2004

vor einigen tagen meldete mein AV (NAV ---- ja ich weiß: ), dass ich infiziert sei mit W32/Nachi.B. diverse (entfernungs)tools brachten kein ergebnis.

...was auch nicht weiter verwundert, da deinem Rechner ein seit Juli 2003 verfügbarer und gerade erst wieder upgedateter Patch fehlt, der eine Lücke schließen soll, die damals von BLASTER/Lovsan und danach noch von mehreren anderen Würmern, u.a. auch Nachi/Welchia ausgenutzt wurde, wenn der REchner nicht gepatcht war.

hijacklog

belinda

PCDpan_fee

belinda

PCDpan_fee

bl4ckic3

hijacklog

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums