[HaBo]

SUID:root · 28.07.06, 15:57

Aufgrund der steigenden Nachfrage von Auswertungen zu HiJack-This-Logs und dem allgemeinen Zuwachs von befallenen Spyware-Rechnern habe ich mich entschieden, hier einen Sammelthread aufzumachen. Dadurch soll das Board etwas entlastet werden. Viele User sind ja bereits dazu übergegangen, ihre Logs in bestehende Threads einzufügen, deshalb macht es Sinn alle Anfragen zur Auswertung hier zu sammeln.

Bitte postet eure Logs zukünfitg nur noch hier und vermeidet es, wenn möglich, neue Spyware-Threads aufzumachen. Sollte es sich um besonders hartnäckige Spyware handeln, kann natürlich weiterhin im Forum um Rat gefragt werden.
Es wäre von Vorteil, wenn ihr eure Logs ggf. vorher schonmal bei http://www.hijackthis.de/ auswerten lasst (danke für den Hinweis an 2Bios)

Ich habe die ersten Beiträge mal bereits hierhier verschoben. ;)

Gruss

root

John · 28.07.06, 15:57

Kein Virus gefunden,

Logfile of HijackThis v1.99.1
Scan saved at 16:01:57, on Fr, 28.07
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\PS Tray Factory\PSTrayFactory.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\UAService7.exe
C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
C:\WINDOWS\System32\vmnat.exe
C:\WINDOWS\System32\vmnetdhcp.exe
D:\Programme\Firefox\firefox.exe
D:\Programme\totalcmd\totalcmd.exe
C:\DOKUME~1\NORBER~1\LOKALE~1\Temp\$wc\ROOTKI~1.EX E
C:\DOKUME~1\NORBER~1\LOKALE~1\Temp\VHO.exe
C:\DOKUME~1\NORBER~1\LOKALE~1\Temp\$wc\HIJACK~1.EX E

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = http://80.237.140.233:8888
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = local
O2 - BHO: (no name) - {00000EF1-0786-4633-87C6-1AA7A44296DA} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Web Accelerator Helper - {69A87B7D-DE56-4136-9655-716BA50C19C7} - C:\WINDOWS\Program Files\Google\Web Accelerator\GoogleWebAccToolbar.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\WINDOWS\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O2 - BHO: IE 4.x - 5.x Adware Server - {F36C1198-FC6B-4012-9928-DFA76FB56CC3} - C:\WINDOWS\GAMhelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O3 - Toolbar: Google Web Accelerator - {DB87BFA2-A2E3-451E-8E5A-C89982D87CBF} - C:\WINDOWS\Program Files\Google\Web Accelerator\GoogleWebAccToolbar.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [BootSkin Startup Jobs] "D:\Programme\Bootskin\BootSkin.exe" /StartupJobs
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TrayFactory] D:\Programme\PS Tray Factory\PSTrayFactory.exe /start
O4 - HKLM\..\RunOnce: [TrayFactory] D:\Programme\PS Tray Factory\PSTrayFactory.exe /start
O4 - HKCU\..\Run: [CursorXP] D:\Programme\Win-Tools\Cursor\CursorXP.exe
O4 - Startup: Firefox.lnk = D:\Programme\Firefox\firefox.exe
O4 - Startup: Idigicon Anonysurf.lnk = D:\Programme\Idigicon Anonysurf\SWebPriv.exe
O4 - Startup: NETGEAR WG311v3 Wireless Assistant.lnk = ?
O4 - Startup: Thunderbird.lnk = D:\Programme\Thunderbird\thunderbird.exe
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Hacker\KAVPF.exe
O4 - Global Startup: Run Google Web Accelerator.lnk = C:\WINDOWS\Program Files\Google\Web Accelerator\GoogleWebAccWarden.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/noc...up1.0.0.15.cab
O16 - DPF: {8C875948-9C60-4381-9248-0DF180542D53} - http://installs.hotbar.com/installs/...ms/hbtools.cab
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - T-Online International AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver - HP - C:\WINDOWS\System32\HPHipm09.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\System32\UAService7.exe
O23 - Service: VHO - Sysinternals - www.sysinternals.com - C:\DOKUME~1\NORBER~1\LOKALE~1\Temp\VHO.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - Sysinternals - www.sysinternals.com - (no file)
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\System32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\System32\vmnat.exe

Anzeige

- Anzeige -

28.07.06, 18:14

Oh man, da liegt aber einiges im argen...

Fix mal folgende Einträge:

- O16 - DPF: {8C875948-9C60-4381-9248-0DF180542D53} - http://installs.hotbar.com/installs/...ms/hbtools.cab

- O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/noc...up1.0.0.15.cab

- O2 - BHO: IE 4.x - 5.x Adware Server - {F36C1198-FC6B-4012-9928-DFA76FB56CC3} - C:\WINDOWS\GAMhelper.dll

- O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)

- O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)

- O2 - BHO: (no name) - {00000EF1-0786-4633-87C6-1AA7A44296DA} - (no file)

Die sind auf jedenfall schädlich bzw unnötig. Und dann haste noch einige Einträge mit denen ich net viel anfangen kann, z.B. Software von Sysinternals (kann man denen trauen?), und was sehr bedenklich ist:

C:\DOKUME~1\NORBER~1\LOKALE~1\Temp\$wc\ROOTKI~1.EXE

Ich vermute mal du hast dir ein Rootkit eingefangen, und damit noch andere schädliche Software. Ich empfehle dir dein System komplett (!) plattzumachen und neu aufzusetzten. Rootkits sind sehr gefährlich, da man sie u.U. nicht mehr aus dem System bekommt.
Btw, ist damit dein System auch komplett komprometiert, d.h. du kannst ihm nicht mehr trauen. Es zeigt kein Virus an, dabei könntest du 1000 Viren haben und würdest nichts sehen!

1 0wn3d U! · 29.07.06, 14:17

Darf ich hier auch noch mein Hijackthis log-File posten, damit du es dir mal ansiehts?
Wäre cool wenn du dir die Zeit nehmen würdest m1ndless

Auf hijackthis.de kann man es ja auswerten lassen und das habe ich gemacht, aber es hat ein paar Einträge gefunden, mit denen es nichts anfangen kann ^^

Hier die Programme, zu denen es keine Positive oder Negative Resonanz gibt:

C:\Programme\Apoint\HidFind.exe
C:\Programme\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\tosOBEX.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\tosBtProc.exe

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"

O23 - Service: Boonty Games - BOONTY - C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe

O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Programme\Dell\NICCONFIGSVC\NICCONFIGSVC.exe

Nun meine Frage: Schätzt du m1ndless eines dieser Programme als gefährlich ein?

GreetZ

John · 29.07.06, 18:24

Zitat:

Original von m1ndless
C:\DOKUME~1\NORBER~1\LOKALE~1\Temp\$wc\ROOTKI~1.EXE

Ich vermute mal du hast dir ein Rootkit eingefangen, und damit noch andere schädliche Software. Ich empfehle dir dein System komplett (!) plattzumachen und neu aufzusetzten. Rootkits sind sehr gefährlich, da man sie u.U. nicht mehr aus dem System bekommt.
Btw, ist damit dein System auch komplett komprometiert, d.h. du kannst ihm nicht mehr trauen. Es zeigt kein Virus an, dabei könntest du 1000 Viren haben und würdest nichts sehen!

Ach du dicke Sch****! Danke für die Hilfe, werd´s mal versuchen...

29.07.06, 18:29

@1 0wn3d U!:

Man kann net wirklich sagen, ob diese Dateien ok sind oder nicht, da man einem Trojaner bzw generell Malware Namen geben kann, wie man Lust und Laune hat. Und auch die Speicherorte sind kein wirklich zuverlässiges Merkmal um zu sehen ob die Datei sauber ist. Daher erfolgen alle Einschätzungen ohne Garantie oder Gewährleistung.

Aber ich fang mal an:

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
---> Is dein NeroMediaBackgroundMonitor, der überwacht ob neue CDs/DVDs eingelegt wurden, usw...

O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Programme\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
---> Is ein Netzwerk-Dienst von Dell der u.a. das Netzwerk überwacht und Eingaben aufzeichnet.

C:\WINDOWS\ehome\mcrdsvc.exe
---> mcrdsvc.exe is normal der MCRD-Gerätedienst von Microsoft, könnte allerdings auch infiziert sein (siehe http://www.file.net/prozess/mcrdsvc.exe.html).

C:\Programme\Apoint\HidFind.exe
---> Scheint auch sauber zu sein.

C:\Programme\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
---> Is ein Netzwerk-Dienst von Dell der u.a. das Netzwerk überwacht und Eingaben aufzeichnet.

C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\tosOBEX.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\tosBtProc.exe
---> Das sind Dateien von deiner Bluetooth-Schnittstelle. Scheinen auch sauber zu sein.

Ich denke, dass alle Dateien in Ordnung sind, aber wie gesagt, ist das keine 100% zuverlässige Einschätzung. Bei einem guten Rootkit würdest du eventuell Malware nicht sehen.
Hast du Probleme mit Windows oder wieso vermutest du, dass da etwas ist?

Btw, schick in Zukunft bitte ne PM, weil das eigentlich nicht in diesen Thread gehört und auch wohl sonst kaum jmd im Board interessiert.

@John:
Ich sehe gerade du verwendest WinXP mit SP1. Ich empfehle dir bei der Neuinstallation gleich mal SP2 mit zu installieren und alle Updates einzuspielen. Denn das bringt weitaus mehr Sicherheit (auch wenn noch einiges im Argen liegt, ist das besser als nichts).

Greetz!

tobiwanknobi · 03.08.06, 12:02

moin leute
ich hab auch das problem mit ad.fistadsolution, das ist total nervig
ich hab auch mal ein logfile erstellt, aber ich kenn mich net so gut aus mit dem pc und so
also kann mir jemand sagen, was ich jetzt genau machen muss mit demlöschen und so? danke

Logfile of HijackThis v1.99.1
Scan saved at 11:55:53, on 03.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\rundll32.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Hacker\KAVPF.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Winamp\winamp.exe
D:\Programme\Shareaza\Shareaza.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
D:\Programme\Setups\hijackthis_199\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: URLLink - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet7_22.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [load bind bold each] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\OwnsManagerLoadBind\Newmfcd. exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,ClientStartup -s
O4 - HKCU\..\Run: [New Comp] C:\DOKUME~1\Tobias\ANWEND~1\32META~1\balm burn close.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1145803977421
O17 - HKLM\System\CCS\Services\Tcpip\..\{BA72BE11-2C20-4EA6-AB13-EC3B6372683D}: NameServer = 192.168.120.252,192.168.120.253
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

**lightsaver** · 03.08.06, 12:44

@tobiwankenobi:

also bei dir liegt einiges im argen!!!

hier erstmal die auflistung:

O2 - BHO: URLLink - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet7_22.dll

O4 - HKLM\..\Run: [load bind bold each] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\OwnsManagerLoadBind\Newmfcd. exe

O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,ClientStartup -s

O4 - HKCU\..\Run: [New Comp] C:\DOKUME~1\Tobias\ANWEND~1\32META~1\balm burn close.exe

O10 - Hijacked Internet access by New.Net

hier eine kurze anleitung was du machen solltest (aber ich würde dir dringend empfehlen, das lieber von jemandem machen zu lassen, der sich mit computern auskennt!)

1. möglichkeit (mit hijackthis)

nach dem scannen hast du die einträge mit kästchen davor. die oben genannten einträge suchen und häkchen vor machen und dann fixen drücken. danach nochmal scannen. sind alle weg dann ist gut, ansonsten kommt hier noch eine anleitung wie du das per hand machen kannst:

du klickst auf start -> ausführen -> msconfig eingeben und enter drücken

dann in den autostart-karteireiter gehen und die oben genannten sachen suchen und den haken entfernen. danach bestätigen. dann musst du den computer neu starten. beim neustart das aufkommende fenster von msconfig mit nem häkchen versehen und dann ok.

so, jetzt löscht du die einzelnen dateien. wo du die findest steht ja auch im eintrag:
C:\Programme\NewDotNet\newdotnet7_22.dll
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\OwnsManagerLoadBind\Newmfcd. exe
C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL
C:\DOKUME~1\Tobias\ANWEND~1\32META~1\balm burn close.exe

also natürlich dann gleich den ganzen ordner newdotnet löschen!!!

danach dann erstmal zum letzten eintrag:

dazu hab ich folgendes gefunden:

Adware / NewDotNet ----> automatische Systemwiederherstellung deaktivieren und nach Neustart mim Removaltool drüber

--->http://www.virenschutz.info/virensch...etails-60.html

wenn du das erledigt hast dann noch bitte den ie starten und dort auf extras -> addons verwalten...

da bei anzeigen "vom internet explorer verwendete..." auswählen und suchst nochmal nach dem ersten hier genannten problem mit bho.

tobiwanknobi · 03.08.06, 14:36

O10 - Hijacked Internet access by New.Net

das steht bei mir 5 mal, soll ich auch alle einträge löschen, also alle 5?

**lightsaver** · 03.08.06, 18:15

Zitat:

Original von tobiwanknobi
O10 - Hijacked Internet access by New.Net

das steht bei mir 5 mal, soll ich auch alle einträge löschen, also alle 5?

na grade die!!!

hab dir extra etwas aus der auswertung zitiert, da du das vermutlich nicht mit hijackthis beheben kannst!

Adware / NewDotNet ----> automatische Systemwiederherstellung deaktivieren und nach Neustart mim Removaltool drüber Augenzwinkern --->http://www.virenschutz.info/virensch...etails-60.html

SUID:root · 04.08.06, 12:05

Zitat:

automatische Systemwiederherstellung deaktivieren

Guter Hinweis! Möchte dies auch nochmal hervorheben, denn das ist wichtig! Damit ist die Systemüberwachung der Laufwerke gemeint. Wenn man diese nicht deaktivert, kann es passieren, dass der Virus/die Spyware wiederhergestellt wird! Also: Immer die Systemüberwachung abschalten und nach Desinfektion wieder aktivieren, vorher aber mal neu booten.

Gruss

root

anyy · 04.08.06, 12:19

Logfile of HijackThis v1.99.1
Scan saved at 12:18:39, on 04.08.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\rundll32.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\WinPatrol.exe
D:\WINDOWS\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\Windows Media Player\wmplayer.exe
C:\Opera\Opera.exe
D:\Dokumente und Einstellungen\Jo\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [WinPatrol] "c:\WinPatrol.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O20 - Winlogon Notify: RunServices - D:\WINDOWS\system32\kt08l7du1.dll
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - D:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

Die Automatische Auswertung hat das hier angezeigt:
Link

SUID:root · 04.08.06, 13:07

D:\WINDOWS\svchost.exe --> Im Win-Dir gibts keine svchost.exe
Ggf. sogar ein trrojanisches Pferd, was auch erklären würde weshalb sich dauernd neue Seiten öffnen. Vermutlich treibt jemand seinen Spaß mit dir.
Mir fällt auch auf, dass du keinen AV-Scanner laufen hast. Das solltest du mal ändern bzw. mal einen Scan machen. Entweder mal Antivir runterladen oder einen Onlinescan bei Bitdefender.com ausführen.
Natürlich kannst du auch andere Produkte nehmen.

Edit: habe grad deinen Scrennshot gesehen, das sieht allerdings eher nach Adware aus. Wie auch immer, svchost im Windir muss weg. Versuche mal den Task zu beenden und zu löschen.

anyy · 04.08.06, 14:34

Ich hab den Onlinescan gemacht. (hat ganz schön lang gedauert)
7mal war Disinfection failed
D:\programm\outlook\outlook.exe
D:\Programme\outlook\v.exe
D:\Programme\outlook\p.zip
D:\Programme\outlook\p.zip=>Setup.exe
D:\programme\winupdates\winupdates.exe
D:\programme\winupdates\a.tmp
D:\programme\winupdates\a.zip=>Setup.exe

Edit: Immerhin ist jetzt svchost ausm Windowsordner raus. Allerdings zeigt der prozessmanager 4 svchosts an 2x den im system32ordner und 2xeinen ohne dateienpfad. Den ohne Dateienpfad kann ich aber nicht beenden. Bei dem im System32 hab ichs noch nicht probiert °_°

sheepd · 04.08.06, 15:27

Der im system32-Ordner ist normalerweise auch von Windows.
svchost steht für SerViCeHOST, als Platzhalter für die ganzen Dienste, die du siehst, wenn du rechts auf Arbeitsplatz klickst -> Verwalten -> Dienste.
Der kann auch durchaus mehrmals vorkommen (bei mir läuft er z.B. 4x).
Bei dem ohne Dateipfad bin ich mir nicht sicher, gehe aber mal von aus dass er nicht von Microsoft ist.

Anzeige

- Anzeige -

28.07.06, 15:57	#1 (permalink)
SUID:root Member of Honour Registriert seit: 04.09.04 Likes: 0	HiJack-This-Log Sammelthread Anzeige Aufgrund der steigenden Nachfrage von Auswertungen zu HiJack-This-Logs und dem allgemeinen Zuwachs von befallenen Spyware-Rechnern habe ich mich entschieden, hier einen Sammelthread aufzumachen. Dadurch soll das Board etwas entlastet werden. Viele User sind ja bereits dazu übergegangen, ihre Logs in bestehende Threads einzufügen, deshalb macht es Sinn alle Anfragen zur Auswertung hier zu sammeln. Bitte postet eure Logs zukünfitg nur noch hier und vermeidet es, wenn möglich, neue Spyware-Threads aufzumachen. Sollte es sich um besonders hartnäckige Spyware handeln, kann natürlich weiterhin im Forum um Rat gefragt werden. Es wäre von Vorteil, wenn ihr eure Logs ggf. vorher schonmal bei http://www.hijackthis.de/ auswerten lasst (danke für den Hinweis an 2Bios) Ich habe die ersten Beiträge mal bereits hierhier verschoben. ;) Gruss root

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
TR/Hijack.PopCapLoader	vad3r	Virenschutz · Tools & Aggressive Software	1	25.01.05 20:07

28.07.06, 15:57	#2 (permalink)
John gesperrt Registriert seit: 26.07.06 Likes: 0	Kein Virus gefunden, Logfile of HijackThis v1.99.1 Scan saved at 16:01:57, on Fr, 28.07 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe D:\Programme\PS Tray Factory\PSTrayFactory.exe C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\UAService7.exe C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe C:\WINDOWS\System32\vmnat.exe C:\WINDOWS\System32\vmnetdhcp.exe D:\Programme\Firefox\firefox.exe D:\Programme\totalcmd\totalcmd.exe C:\DOKUME~1\NORBER~1\LOKALE~1\Temp\$wc\ROOTKI~1.EX E C:\DOKUME~1\NORBER~1\LOKALE~1\Temp\VHO.exe C:\DOKUME~1\NORBER~1\LOKALE~1\Temp\$wc\HIJACK~1.EX E R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = http://80.237.140.233:8888 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = local O2 - BHO: (no name) - {00000EF1-0786-4633-87C6-1AA7A44296DA} - (no file) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: Google Web Accelerator Helper - {69A87B7D-DE56-4136-9655-716BA50C19C7} - C:\WINDOWS\Program Files\Google\Web Accelerator\GoogleWebAccToolbar.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\WINDOWS\Program Files\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file) O2 - BHO: IE 4.x - 5.x Adware Server - {F36C1198-FC6B-4012-9928-DFA76FB56CC3} - C:\WINDOWS\GAMhelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file) O3 - Toolbar: Google Web Accelerator - {DB87BFA2-A2E3-451E-8E5A-C89982D87CBF} - C:\WINDOWS\Program Files\Google\Web Accelerator\GoogleWebAccToolbar.dll O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Virus Personal\kav.exe" /minimize O4 - HKLM\..\Run: [BootSkin Startup Jobs] "D:\Programme\Bootskin\BootSkin.exe" /StartupJobs O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [TrayFactory] D:\Programme\PS Tray Factory\PSTrayFactory.exe /start O4 - HKLM\..\RunOnce: [TrayFactory] D:\Programme\PS Tray Factory\PSTrayFactory.exe /start O4 - HKCU\..\Run: [CursorXP] D:\Programme\Win-Tools\Cursor\CursorXP.exe O4 - Startup: Firefox.lnk = D:\Programme\Firefox\firefox.exe O4 - Startup: Idigicon Anonysurf.lnk = D:\Programme\Idigicon Anonysurf\SWebPriv.exe O4 - Startup: NETGEAR WG311v3 Wireless Assistant.lnk = ? O4 - Startup: Thunderbird.lnk = D:\Programme\Thunderbird\thunderbird.exe O4 - Global Startup: Kaspersky Anti-Hacker.lnk = C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Hacker\KAVPF.exe O4 - Global Startup: Run Google Web Accelerator.lnk = C:\WINDOWS\Program Files\Google\Web Accelerator\GoogleWebAccWarden.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/noc...up1.0.0.15.cab O16 - DPF: {8C875948-9C60-4381-9248-0DF180542D53} - http://installs.hotbar.com/installs/...ms/hbtools.cab O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Virus Personal\kavsvc.exe O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - T-Online International AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Pml Driver - HP - C:\WINDOWS\System32\HPHipm09.exe O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\System32\UAService7.exe O23 - Service: VHO - Sysinternals - www.sysinternals.com - C:\DOKUME~1\NORBER~1\LOKALE~1\Temp\VHO.exe O23 - Service: VMware Authorization Service (VMAuthdService) - Sysinternals - www.sysinternals.com - (no file) O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\System32\vmnetdhcp.exe O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\System32\vmnat.exe

28.07.06, 18:14	#3 (permalink)
m1ndless Guest Likes:	Oh man, da liegt aber einiges im argen... Fix mal folgende Einträge: - O16 - DPF: {8C875948-9C60-4381-9248-0DF180542D53} - http://installs.hotbar.com/installs/...ms/hbtools.cab - O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/noc...up1.0.0.15.cab - O2 - BHO: IE 4.x - 5.x Adware Server - {F36C1198-FC6B-4012-9928-DFA76FB56CC3} - C:\WINDOWS\GAMhelper.dll - O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file) - O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file) - O2 - BHO: (no name) - {00000EF1-0786-4633-87C6-1AA7A44296DA} - (no file) Die sind auf jedenfall schädlich bzw unnötig. Und dann haste noch einige Einträge mit denen ich net viel anfangen kann, z.B. Software von Sysinternals (kann man denen trauen?), und was sehr bedenklich ist: C:\DOKUME~1\NORBER~1\LOKALE~1\Temp\$wc\ROOTKI~1.EXE Ich vermute mal du hast dir ein Rootkit eingefangen, und damit noch andere schädliche Software. Ich empfehle dir dein System komplett (!) plattzumachen und neu aufzusetzten. Rootkits sind sehr gefährlich, da man sie u.U. nicht mehr aus dem System bekommt. Btw, ist damit dein System auch komplett komprometiert, d.h. du kannst ihm nicht mehr trauen. Es zeigt kein Virus an, dabei könntest du 1000 Viren haben und würdest nichts sehen!

29.07.06, 14:17	#4 (permalink)
1 0wn3d U! Registriert seit: 28.06.06 Likes: 0	Darf ich hier auch noch mein Hijackthis log-File posten, damit du es dir mal ansiehts? Wäre cool wenn du dir die Zeit nehmen würdest m1ndless Auf hijackthis.de kann man es ja auswerten lassen und das habe ich gemacht, aber es hat ein paar Einträge gefunden, mit denen es nichts anfangen kann ^^ Hier die Programme, zu denen es keine Positive oder Negative Resonanz gibt: C:\Programme\Apoint\HidFind.exe C:\Programme\Dell\NICCONFIGSVC\NICCONFIGSVC.exe C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe C:\Programme\Toshiba\Bluetooth Toshiba Stack\tosOBEX.exe C:\WINDOWS\ehome\mcrdsvc.exe C:\Programme\Toshiba\Bluetooth Toshiba Stack\tosBtProc.exe O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O23 - Service: Boonty Games - BOONTY - C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Programme\Dell\NICCONFIGSVC\NICCONFIGSVC.exe Nun meine Frage: Schätzt du m1ndless eines dieser Programme als gefährlich ein? GreetZ

29.07.06, 18:29	#6 (permalink)
m1ndless Guest Likes:	@1 0wn3d U!: Man kann net wirklich sagen, ob diese Dateien ok sind oder nicht, da man einem Trojaner bzw generell Malware Namen geben kann, wie man Lust und Laune hat. Und auch die Speicherorte sind kein wirklich zuverlässiges Merkmal um zu sehen ob die Datei sauber ist. Daher erfolgen alle Einschätzungen ohne Garantie oder Gewährleistung. Aber ich fang mal an: O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" ---> Is dein NeroMediaBackgroundMonitor, der überwacht ob neue CDs/DVDs eingelegt wurden, usw... O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Programme\Dell\NICCONFIGSVC\NICCONFIGSVC.exe ---> Is ein Netzwerk-Dienst von Dell der u.a. das Netzwerk überwacht und Eingaben aufzeichnet. C:\WINDOWS\ehome\mcrdsvc.exe ---> mcrdsvc.exe is normal der MCRD-Gerätedienst von Microsoft, könnte allerdings auch infiziert sein (siehe http://www.file.net/prozess/mcrdsvc.exe.html). C:\Programme\Apoint\HidFind.exe ---> Scheint auch sauber zu sein. C:\Programme\Dell\NICCONFIGSVC\NICCONFIGSVC.exe ---> Is ein Netzwerk-Dienst von Dell der u.a. das Netzwerk überwacht und Eingaben aufzeichnet. C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe C:\Programme\Toshiba\Bluetooth Toshiba Stack\tosOBEX.exe C:\Programme\Toshiba\Bluetooth Toshiba Stack\tosBtProc.exe ---> Das sind Dateien von deiner Bluetooth-Schnittstelle. Scheinen auch sauber zu sein. Ich denke, dass alle Dateien in Ordnung sind, aber wie gesagt, ist das keine 100% zuverlässige Einschätzung. Bei einem guten Rootkit würdest du eventuell Malware nicht sehen. Hast du Probleme mit Windows oder wieso vermutest du, dass da etwas ist? Btw, schick in Zukunft bitte ne PM, weil das eigentlich nicht in diesen Thread gehört und auch wohl sonst kaum jmd im Board interessiert. @John: Ich sehe gerade du verwendest WinXP mit SP1. Ich empfehle dir bei der Neuinstallation gleich mal SP2 mit zu installieren und alle Updates einzuspielen. Denn das bringt weitaus mehr Sicherheit (auch wenn noch einiges im Argen liegt, ist das besser als nichts). Greetz!

03.08.06, 12:02	#7 (permalink)
tobiwanknobi Registriert seit: 03.08.06 Likes: 0	moin leute ich hab auch das problem mit ad.fistadsolution, das ist total nervig ich hab auch mal ein logfile erstellt, aber ich kenn mich net so gut aus mit dem pc und so also kann mir jemand sagen, was ich jetzt genau machen muss mit demlöschen und so? danke Logfile of HijackThis v1.99.1 Scan saved at 11:55:53, on 03.08.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\WINDOWS\system32\rundll32.exe c:\progra~1\intern~1\iexplore.exe C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Hacker\KAVPF.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\system32\oodag.exe C:\WINDOWS\system32\svchost.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\Winamp\winamp.exe D:\Programme\Shareaza\Shareaza.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE D:\Programme\Setups\hijackthis_199\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: URLLink - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet7_22.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Virus Personal\kav.exe" /minimize O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [load bind bold each] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\OwnsManagerLoadBind\Newmfcd. exe O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,ClientStartup -s O4 - HKCU\..\Run: [New Comp] C:\DOKUME~1\Tobias\ANWEND~1\32META~1\balm burn close.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Kaspersky Anti-Hacker.lnk = ? O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1145803977421 O17 - HKLM\System\CCS\Services\Tcpip\..\{BA72BE11-2C20-4EA6-AB13-EC3B6372683D}: NameServer = 192.168.120.252,192.168.120.253 O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Virus Personal\kavsvc.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

03.08.06, 12:44	#8 (permalink)
lightsaver Moderator Registriert seit: 19.06.06 Likes: 52	@tobiwankenobi: also bei dir liegt einiges im argen!!! hier erstmal die auflistung: O2 - BHO: URLLink - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet7_22.dll O4 - HKLM\..\Run: [load bind bold each] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\OwnsManagerLoadBind\Newmfcd. exe O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,ClientStartup -s O4 - HKCU\..\Run: [New Comp] C:\DOKUME~1\Tobias\ANWEND~1\32META~1\balm burn close.exe O10 - Hijacked Internet access by New.Net hier eine kurze anleitung was du machen solltest (aber ich würde dir dringend empfehlen, das lieber von jemandem machen zu lassen, der sich mit computern auskennt!) 1. möglichkeit (mit hijackthis) nach dem scannen hast du die einträge mit kästchen davor. die oben genannten einträge suchen und häkchen vor machen und dann fixen drücken. danach nochmal scannen. sind alle weg dann ist gut, ansonsten kommt hier noch eine anleitung wie du das per hand machen kannst: du klickst auf start -> ausführen -> msconfig eingeben und enter drücken dann in den autostart-karteireiter gehen und die oben genannten sachen suchen und den haken entfernen. danach bestätigen. dann musst du den computer neu starten. beim neustart das aufkommende fenster von msconfig mit nem häkchen versehen und dann ok. so, jetzt löscht du die einzelnen dateien. wo du die findest steht ja auch im eintrag: C:\Programme\NewDotNet\newdotnet7_22.dll C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\OwnsManagerLoadBind\Newmfcd. exe C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL C:\DOKUME~1\Tobias\ANWEND~1\32META~1\balm burn close.exe also natürlich dann gleich den ganzen ordner newdotnet löschen!!! danach dann erstmal zum letzten eintrag: dazu hab ich folgendes gefunden: Adware / NewDotNet ----> automatische Systemwiederherstellung deaktivieren und nach Neustart mim Removaltool drüber --->http://www.virenschutz.info/virensch...etails-60.html wenn du das erledigt hast dann noch bitte den ie starten und dort auf extras -> addons verwalten... da bei anzeigen "vom internet explorer verwendete..." auswählen und suchst nochmal nach dem ersten hier genannten problem mit bho.

03.08.06, 14:36	#9 (permalink)
tobiwanknobi Registriert seit: 03.08.06 Likes: 0	O10 - Hijacked Internet access by New.Net das steht bei mir 5 mal, soll ich auch alle einträge löschen, also alle 5?

04.08.06, 12:19	#12 (permalink)
anyy Registriert seit: 04.08.06 Likes: 0	Logfile of HijackThis v1.99.1 Scan saved at 12:18:39, on 04.08.2006 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\system32\rundll32.exe D:\WINDOWS\system32\spoolsv.exe D:\WINDOWS\Explorer.EXE C:\Programme\ICQLite\ICQLite.exe C:\WinPatrol.exe D:\WINDOWS\svchost.exe D:\WINDOWS\System32\svchost.exe D:\Programme\Windows Media Player\wmplayer.exe C:\Opera\Opera.exe D:\Dokumente und Einstellungen\Jo\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [WinPatrol] "c:\WinPatrol.exe" O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O20 - Winlogon Notify: RunServices - D:\WINDOWS\system32\kt08l7du1.dll O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - D:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe Die Automatische Auswertung hat das hier angezeigt: Link

04.08.06, 13:07	#13 (permalink)
SUID:root Member of Honour Themenstarter Registriert seit: 04.09.04 Likes: 0	D:\WINDOWS\svchost.exe --> Im Win-Dir gibts keine svchost.exe Ggf. sogar ein trrojanisches Pferd, was auch erklären würde weshalb sich dauernd neue Seiten öffnen. Vermutlich treibt jemand seinen Spaß mit dir. Mir fällt auch auf, dass du keinen AV-Scanner laufen hast. Das solltest du mal ändern bzw. mal einen Scan machen. Entweder mal Antivir runterladen oder einen Onlinescan bei Bitdefender.com ausführen. Natürlich kannst du auch andere Produkte nehmen. Edit: habe grad deinen Scrennshot gesehen, das sieht allerdings eher nach Adware aus. Wie auch immer, svchost im Windir muss weg. Versuche mal den Task zu beenden und zu löschen.

04.08.06, 14:34	#14 (permalink)
anyy Registriert seit: 04.08.06 Likes: 0	Ich hab den Onlinescan gemacht. (hat ganz schön lang gedauert) 7mal war Disinfection failed D:\programm\outlook\outlook.exe D:\Programme\outlook\v.exe D:\Programme\outlook\p.zip D:\Programme\outlook\p.zip=>Setup.exe D:\programme\winupdates\winupdates.exe D:\programme\winupdates\a.tmp D:\programme\winupdates\a.zip=>Setup.exe Edit: Immerhin ist jetzt svchost ausm Windowsordner raus. Allerdings zeigt der prozessmanager 4 svchosts an 2x den im system32ordner und 2xeinen ohne dateienpfad. Den ohne Dateienpfad kann ich aber nicht beenden. Bei dem im System32 hab ichs noch nicht probiert °_°

04.08.06, 15:27	#15 (permalink)
sheepd Registriert seit: 15.10.04 Likes: 0	Der im system32-Ordner ist normalerweise auch von Windows. svchost steht für SerViCeHOST, als Platzhalter für die ganzen Dienste, die du siehst, wenn du rechts auf Arbeitsplatz klickst -> Verwalten -> Dienste. Der kann auch durchaus mehrmals vorkommen (bei mir läuft er z.B. 4x). Bei dem ohne Dateipfad bin ich mir nicht sicher, gehe aber mal von aus dass er nicht von Microsoft ist.

[HaBo]

HiJack-This-Log Sammelthread