HiJack-This-Log Sammelthread

SUID:root

Member of Honour
Aufgrund der steigenden Nachfrage von Auswertungen zu HiJack-This-Logs und dem allgemeinen Zuwachs von befallenen Spyware-Rechnern habe ich mich entschieden, hier einen Sammelthread aufzumachen. Dadurch soll das Board etwas entlastet werden. Viele User sind ja bereits dazu übergegangen, ihre Logs in bestehende Threads einzufügen, deshalb macht es Sinn alle Anfragen zur Auswertung hier zu sammeln.

Bitte postet eure Logs zukünfitg nur noch hier und vermeidet es, wenn möglich, neue Spyware-Threads aufzumachen. Sollte es sich um besonders hartnäckige Spyware handeln, kann natürlich weiterhin im Forum um Rat gefragt werden.
Es wäre von Vorteil, wenn ihr eure Logs ggf. vorher schonmal bei http://www.hijackthis.de/ auswerten lasst (danke für den Hinweis an 2Bios)

Ich habe die ersten Beiträge mal bereits hierhier verschoben. ;)

Gruss

root
 

John

gesperrt
Kein Virus gefunden,

Logfile of HijackThis v1.99.1
Scan saved at 16:01:57, on Fr, 28.07
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\PS Tray Factory\PSTrayFactory.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\UAService7.exe
C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
C:\WINDOWS\System32\vmnat.exe
C:\WINDOWS\System32\vmnetdhcp.exe
D:\Programme\Firefox\firefox.exe
D:\Programme\totalcmd\totalcmd.exe
C:\DOKUME~1\NORBER~1\LOKALE~1\Temp\$wc\ROOTKI~1.EXE
C:\DOKUME~1\NORBER~1\LOKALE~1\Temp\VHO.exe
C:\DOKUME~1\NORBER~1\LOKALE~1\Temp\$wc\HIJACK~1.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http://80.237.140.233:8888
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
O2 - BHO: (no name) - {00000EF1-0786-4633-87C6-1AA7A44296DA} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Web Accelerator Helper - {69A87B7D-DE56-4136-9655-716BA50C19C7} - C:\WINDOWS\Program Files\Google\Web Accelerator\GoogleWebAccToolbar.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\WINDOWS\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O2 - BHO: IE 4.x - 5.x Adware Server - {F36C1198-FC6B-4012-9928-DFA76FB56CC3} - C:\WINDOWS\GAMhelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O3 - Toolbar: Google Web Accelerator - {DB87BFA2-A2E3-451E-8E5A-C89982D87CBF} - C:\WINDOWS\Program Files\Google\Web Accelerator\GoogleWebAccToolbar.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [BootSkin Startup Jobs] "D:\Programme\Bootskin\BootSkin.exe" /StartupJobs
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TrayFactory] D:\Programme\PS Tray Factory\PSTrayFactory.exe /start
O4 - HKLM\..\RunOnce: [TrayFactory] D:\Programme\PS Tray Factory\PSTrayFactory.exe /start
O4 - HKCU\..\Run: [CursorXP] D:\Programme\Win-Tools\Cursor\CursorXP.exe
O4 - Startup: Firefox.lnk = D:\Programme\Firefox\firefox.exe
O4 - Startup: Idigicon Anonysurf.lnk = D:\Programme\Idigicon Anonysurf\SWebPriv.exe
O4 - Startup: NETGEAR WG311v3 Wireless Assistant.lnk = ?
O4 - Startup: Thunderbird.lnk = D:\Programme\Thunderbird\thunderbird.exe
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Hacker\KAVPF.exe
O4 - Global Startup: Run Google Web Accelerator.lnk = C:\WINDOWS\Program Files\Google\Web Accelerator\GoogleWebAccWarden.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/CursorManiaFWBInitialSetup1.0.0.15.cab
O16 - DPF: {8C875948-9C60-4381-9248-0DF180542D53} - http://installs.hotbar.com/installs/hbtools/programs/hbtools.cab
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - T-Online International AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver - HP - C:\WINDOWS\System32\HPHipm09.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\System32\UAService7.exe
O23 - Service: VHO - Sysinternals - www.sysinternals.com - C:\DOKUME~1\NORBER~1\LOKALE~1\Temp\VHO.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - Sysinternals - www.sysinternals.com - (no file)
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\System32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\System32\vmnat.exe
 
M

m1ndless

Guest
Oh man, da liegt aber einiges im argen... :rolleyes:

Fix mal folgende Einträge:

- O16 - DPF: {8C875948-9C60-4381-9248-0DF180542D53} - http://installs.hotbar.com/installs/hbto...ams/hbtools.cab

- O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache...tup1.0.0.15.cab

- O2 - BHO: IE 4.x - 5.x Adware Server - {F36C1198-FC6B-4012-9928-DFA76FB56CC3} - C:\WINDOWS\GAMhelper.dll

- O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)

- O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)

- O2 - BHO: (no name) - {00000EF1-0786-4633-87C6-1AA7A44296DA} - (no file)

Die sind auf jedenfall schädlich bzw unnötig. Und dann haste noch einige Einträge mit denen ich net viel anfangen kann, z.B. Software von Sysinternals (kann man denen trauen?), und was sehr bedenklich ist:

C:\DOKUME~1\NORBER~1\LOKALE~1\Temp\$wc\ROOTKI~1.EXE

Ich vermute mal du hast dir ein Rootkit eingefangen, und damit noch andere schädliche Software. Ich empfehle dir dein System komplett (!) plattzumachen und neu aufzusetzten. Rootkits sind sehr gefährlich, da man sie u.U. nicht mehr aus dem System bekommt.
Btw, ist damit dein System auch komplett komprometiert, d.h. du kannst ihm nicht mehr trauen. Es zeigt kein Virus an, dabei könntest du 1000 Viren haben und würdest nichts sehen!
 

1 0wn3d U!

New member
Darf ich hier auch noch mein Hijackthis log-File posten, damit du es dir mal ansiehts?
Wäre cool wenn du dir die Zeit nehmen würdest m1ndless ;) Auf hijackthis.de kann man es ja auswerten lassen und das habe ich gemacht, aber es hat ein paar Einträge gefunden, mit denen es nichts anfangen kann ^^

Hier die Programme, zu denen es keine Positive oder Negative Resonanz gibt:


C:\Programme\Apoint\HidFind.exe
C:\Programme\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\tosOBEX.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\tosBtProc.exe

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"

O23 - Service: Boonty Games - BOONTY - C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe

O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Programme\Dell\NICCONFIGSVC\NICCONFIGSVC.exe

Nun meine Frage: Schätzt du m1ndless eines dieser Programme als gefährlich ein?

GreetZ
 

John

gesperrt
Original von m1ndless
C:\DOKUME~1\NORBER~1\LOKALE~1\Temp\$wc\ROOTKI~1.EXE

Ich vermute mal du hast dir ein Rootkit eingefangen, und damit noch andere schädliche Software. Ich empfehle dir dein System komplett (!) plattzumachen und neu aufzusetzten. Rootkits sind sehr gefährlich, da man sie u.U. nicht mehr aus dem System bekommt.
Btw, ist damit dein System auch komplett komprometiert, d.h. du kannst ihm nicht mehr trauen. Es zeigt kein Virus an, dabei könntest du 1000 Viren haben und würdest nichts sehen!

Ach du dicke Sch****! Danke für die Hilfe, werd´s mal versuchen...
 
M

m1ndless

Guest
@1 0wn3d U!:

Man kann net wirklich sagen, ob diese Dateien ok sind oder nicht, da man einem Trojaner bzw generell Malware Namen geben kann, wie man Lust und Laune hat. Und auch die Speicherorte sind kein wirklich zuverlässiges Merkmal um zu sehen ob die Datei sauber ist. Daher erfolgen alle Einschätzungen ohne Garantie oder Gewährleistung. ;)

Aber ich fang mal an:

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
---> Is dein NeroMediaBackgroundMonitor, der überwacht ob neue CDs/DVDs eingelegt wurden, usw...

O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Programme\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
---> Is ein Netzwerk-Dienst von Dell der u.a. das Netzwerk überwacht und Eingaben aufzeichnet.

C:\WINDOWS\ehome\mcrdsvc.exe
---> mcrdsvc.exe is normal der MCRD-Gerätedienst von Microsoft, könnte allerdings auch infiziert sein (siehe http://www.file.net/prozess/mcrdsvc.exe.html).

C:\Programme\Apoint\HidFind.exe
---> Scheint auch sauber zu sein.

C:\Programme\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
---> Is ein Netzwerk-Dienst von Dell der u.a. das Netzwerk überwacht und Eingaben aufzeichnet.

C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\tosOBEX.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\tosBtProc.exe
---> Das sind Dateien von deiner Bluetooth-Schnittstelle. Scheinen auch sauber zu sein.


Ich denke, dass alle Dateien in Ordnung sind, aber wie gesagt, ist das keine 100% zuverlässige Einschätzung. Bei einem guten Rootkit würdest du eventuell Malware nicht sehen.
Hast du Probleme mit Windows oder wieso vermutest du, dass da etwas ist?

Btw, schick in Zukunft bitte ne PM, weil das eigentlich nicht in diesen Thread gehört und auch wohl sonst kaum jmd im Board interessiert. ;)

@John:
Ich sehe gerade du verwendest WinXP mit SP1. Ich empfehle dir bei der Neuinstallation gleich mal SP2 mit zu installieren und alle Updates einzuspielen. Denn das bringt weitaus mehr Sicherheit (auch wenn noch einiges im Argen liegt, ist das besser als nichts). ;)

Greetz!
 

tobiwanknobi

New member
moin leute
ich hab auch das problem mit ad.fistadsolution, das ist total nervig
ich hab auch mal ein logfile erstellt, aber ich kenn mich net so gut aus mit dem pc und so
also kann mir jemand sagen, was ich jetzt genau machen muss mit demlöschen und so? danke


Logfile of HijackThis v1.99.1
Scan saved at 11:55:53, on 03.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\rundll32.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Hacker\KAVPF.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Winamp\winamp.exe
D:\Programme\Shareaza\Shareaza.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
D:\Programme\Setups\hijackthis_199\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: URLLink - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet7_22.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [load bind bold each] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\OwnsManagerLoadBind\Newmfcd.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,ClientStartup -s
O4 - HKCU\..\Run: [New Comp] C:\DOKUME~1\Tobias\ANWEND~1\32META~1\balm burn close.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1145803977421
O17 - HKLM\System\CCS\Services\Tcpip\..\{BA72BE11-2C20-4EA6-AB13-EC3B6372683D}: NameServer = 192.168.120.252,192.168.120.253
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
 

lightsaver

Moderator
@tobiwankenobi:

also bei dir liegt einiges im argen!!!


hier erstmal die auflistung:

O2 - BHO: URLLink - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet7_22.dll

O4 - HKLM\..\Run: [load bind bold each] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\OwnsManagerLoadBind\Newmfcd.exe

O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,ClientStartup -s

O4 - HKCU\..\Run: [New Comp] C:\DOKUME~1\Tobias\ANWEND~1\32META~1\balm burn close.exe

O10 - Hijacked Internet access by New.Net


hier eine kurze anleitung was du machen solltest (aber ich würde dir dringend empfehlen, das lieber von jemandem machen zu lassen, der sich mit computern auskennt!)

1. möglichkeit (mit hijackthis)

nach dem scannen hast du die einträge mit kästchen davor. die oben genannten einträge suchen und häkchen vor machen und dann fixen drücken. danach nochmal scannen. sind alle weg dann ist gut, ansonsten kommt hier noch eine anleitung wie du das per hand machen kannst:



du klickst auf start -> ausführen -> msconfig eingeben und enter drücken

dann in den autostart-karteireiter gehen und die oben genannten sachen suchen und den haken entfernen. danach bestätigen. dann musst du den computer neu starten. beim neustart das aufkommende fenster von msconfig mit nem häkchen versehen und dann ok.

so, jetzt löscht du die einzelnen dateien. wo du die findest steht ja auch im eintrag:
C:\Programme\NewDotNet\newdotnet7_22.dll
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\OwnsManagerLoadBind\Newmfcd.exe
C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL
C:\DOKUME~1\Tobias\ANWEND~1\32META~1\balm burn close.exe

also natürlich dann gleich den ganzen ordner newdotnet löschen!!!

danach dann erstmal zum letzten eintrag:

dazu hab ich folgendes gefunden:

Adware / NewDotNet ----> automatische Systemwiederherstellung deaktivieren und nach Neustart mim Removaltool drüber ;) --->http://www.virenschutz.info/virenschutz-downloads-details-60.html

wenn du das erledigt hast dann noch bitte den ie starten und dort auf extras -> addons verwalten...

da bei anzeigen "vom internet explorer verwendete..." auswählen und suchst nochmal nach dem ersten hier genannten problem mit bho.
 

lightsaver

Moderator
Original von tobiwanknobi
O10 - Hijacked Internet access by New.Net

das steht bei mir 5 mal, soll ich auch alle einträge löschen, also alle 5?

na grade die!!!

hab dir extra etwas aus der auswertung zitiert, da du das vermutlich nicht mit hijackthis beheben kannst!

Adware / NewDotNet ----> automatische Systemwiederherstellung deaktivieren und nach Neustart mim Removaltool drüber Augenzwinkern --->http://www.virenschutz.info/virenschutz-...details-60.html
 

SUID:root

Member of Honour
automatische Systemwiederherstellung deaktivieren
Guter Hinweis! Möchte dies auch nochmal hervorheben, denn das ist wichtig! Damit ist die Systemüberwachung der Laufwerke gemeint. Wenn man diese nicht deaktivert, kann es passieren, dass der Virus/die Spyware wiederhergestellt wird! Also: Immer die Systemüberwachung abschalten und nach Desinfektion wieder aktivieren, vorher aber mal neu booten.

Gruss

root
 

anyy

New member
Logfile of HijackThis v1.99.1
Scan saved at 12:18:39, on 04.08.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\rundll32.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\WinPatrol.exe
D:\WINDOWS\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\Windows Media Player\wmplayer.exe
C:\Opera\Opera.exe
D:\Dokumente und Einstellungen\Jo\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [WinPatrol] "c:\WinPatrol.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O20 - Winlogon Notify: RunServices - D:\WINDOWS\system32\kt08l7du1.dll
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - D:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

Die Automatische Auswertung hat das hier angezeigt:
Link
 

SUID:root

Member of Honour
D:\WINDOWS\svchost.exe --> Im Win-Dir gibts keine svchost.exe
Ggf. sogar ein trrojanisches Pferd, was auch erklären würde weshalb sich dauernd neue Seiten öffnen. Vermutlich treibt jemand seinen Spaß mit dir.
Mir fällt auch auf, dass du keinen AV-Scanner laufen hast. Das solltest du mal ändern bzw. mal einen Scan machen. Entweder mal Antivir runterladen oder einen Onlinescan bei Bitdefender.com ausführen.
Natürlich kannst du auch andere Produkte nehmen. ;)

Edit: habe grad deinen Scrennshot gesehen, das sieht allerdings eher nach Adware aus. Wie auch immer, svchost im Windir muss weg. Versuche mal den Task zu beenden und zu löschen.
 

anyy

New member
Ich hab den Onlinescan gemacht. (hat ganz schön lang gedauert)
7mal war Disinfection failed
D:\programm\outlook\outlook.exe
D:\Programme\outlook\v.exe
D:\Programme\outlook\p.zip
D:\Programme\outlook\p.zip=>Setup.exe
D:\programme\winupdates\winupdates.exe
D:\programme\winupdates\a.tmp
D:\programme\winupdates\a.zip=>Setup.exe
:(

Edit: Immerhin ist jetzt svchost ausm Windowsordner raus. Allerdings zeigt der prozessmanager 4 svchosts an 2x den im system32ordner und 2xeinen ohne dateienpfad. Den ohne Dateienpfad kann ich aber nicht beenden. Bei dem im System32 hab ichs noch nicht probiert °_°
 

sheepd

New member
Der im system32-Ordner ist normalerweise auch von Windows.
svchost steht für SerViCeHOST, als Platzhalter für die ganzen Dienste, die du siehst, wenn du rechts auf Arbeitsplatz klickst -> Verwalten -> Dienste.
Der kann auch durchaus mehrmals vorkommen (bei mir läuft er z.B. 4x).
Bei dem ohne Dateipfad bin ich mir nicht sicher, gehe aber mal von aus dass er nicht von Microsoft ist.
 

SUID:root

Member of Honour
Ganz ehrlich: So wie dein System kompromitert zu sein scheint, macht nur ne Neuinstall Sinn. Ich sags nicht gern aber alles andere ist zu unsicher, zumal Bitdefender längst nicht alles gefunden haben muss. Tut mir leid dir keine besseren Nachrichten überbringen zu können. :(
Mach dir nach der Neuinstall auch nen Scanner drauf. Ist wohl besser. ;)

root
 

1 0wn3d U!

New member
Ausserdem läuft keine Personal Firewall! Würde ich dringend installieren!

Ich empfehle dir ZoneAlarm Pro 6.5.....

Es läuft gut, verbraucht nicht allzuviel Speicher und bemerkt alles, was nach verdächtiger Verhaltensweise aussieht. Wenn ich per Touchpad den Winamp öffne, dann kommt soeben eine Warnmeldung, dieses Verhalten seie merkwürdig und so weiter. Ausserdem ist es verdammt lernfähig und unterstützt den DAU so oft es kann. ;) :p :D

(Zerreist mich und hängt mich auf, aber ich denke dass PFW's doch Sinn machen und durchaus eine Daseinsberechtigung haben!)

GreetZ 1 0wn3d U!
 

anyy

New member
Original von 1 0wn3d U!
Ausserdem ist es verdammt lernfähig und unterstützt den DAU so oft es kann. ;) :p :D
Danke....
Aber nein danke. Ich benutze meinen PC hauptsächlich zum spielen. Und da kann ich das überhauptnicht gebrauchen. Ähnliches gilt für Antivir. Wie mich dieses Programm grad aufregt. Es läuft immer im Hintergrund und man kanns nichtmal per Prozessmanager beenden. und es saugt mit 23 von meinen sowieso schon wenigen 256 mb ram. Grrr. Ich warte jetzt darauf, dass mein Onkel online kommt, damit er mir den CD-Key für Windows XP gibt.(so langsam sollte ich mir den mal aufschreiben -.-')
 

STöFF

New member
Habe auch hier das problem mit dem Popup!

Logfile of HijackThis v1.99.1
Scan saved at 23:14:04, on 04.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\ewido anti-spyware 4.0\guard.exe
C:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\LAUNCH~1\LManager.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
C:\Programme\ewido anti-spyware 4.0\ewido.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\STöFF\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IeCatch5 Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [!ewido] "C:\Programme\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Corn Dale] C:\DOKUME~1\STFF~1\ANWEND~1\AXISME~1\program flap.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Send To &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


Die rote Zeile taucht auch nach fixen wieder auf!

Hilfe
 
Oben