Startseite verändert sich dauernd - Hilfe

Krausi · 23.03.2005 12:03

Hi, der Pc meines Chefs hat irgendeine Spyware am Pc, die die Starseite verändert und Popups (im IE) öffnet.
Adaware Spybot und Norton 03 konntens nicht entfernen. Norton hat eine Datie im System32 ordner gefunden, die hab ich gelöscht, hat aber nix gebracht (sdkzy32.dll).
hoffe ihr könnt mir helfen.

Logfile:

Code:

Logfile of HijackThis v1.99.1
Scan saved at 12:21:29, on 22.03.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINNT\mfcfk32.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\Programme\RDS\RsiSvc.exe
C:\Programme\RDS\srscandr.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\Programme\RDS\ddsschednt.exe
C:\WINNT\Explorer.EXE
C:\WINNT\crrg32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINNT\system32\internat.exe
C:\Programme\RDS\dds.exe
C:\Programme\RDS\spooler.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
N:\USER\Michael\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\pcoop.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\pcoop.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\pcoop.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\pcoop.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\pcoop.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\pcoop.dll/sp.html#28129
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\pcoop.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {061C7F00-2C3F-514C-8ED8-121D0ED76539} - C:\WINNT\addkf.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [crrg32.exe] C:\WINNT\crrg32.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Lieferungsdienste starten.lnk = C:\Programme\RDS\DdsLaunch.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O12 - Plugin for .TIF: C:\Programme\Internet Explorer\PLUGINS\npqtplugin5.dll
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall-beta.trendmicro.com/housecall/xscan60.cab
O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINNT\mfcfk32.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Dds Scheduler Deamon (DdsSched) - RICOH Company Ltd. - C:\Programme\RDS\ddsschednt.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: Ridoc Server Information Service (RsiSvc) - RICOH Company Ltd. - C:\Programme\RDS\RsiSvc.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: ScanRouterDriverV2 - Ricoh Co.,Ltd. - C:\Programme\RDS\srscandr.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SOption - RICOH Company Ltd. - C:\Programme\RDS\SOption.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

Thx Krausi

**Speedy** · 23.03.2005 22:43

hi

diese dateien bitte hier zur überprüfung und weiterleitung hochladen, du benötigst nur deine emailadresse, sonst nichts. wenn du in zukunft nachsehen willst, welche datein du hochgeladen hast und welche schädlinge auf deinem rechner ware, dann loggst du dich links ein, dazu benötigst du wiederum deine emailadresse und das passwaort, das dir nach dem ersten einloggen zugesandt wird.

C:\WINNT\mfcfk32.exe
C:\WINNT\crrg32.exe
C:\WINNT\addkf.dll

und im anschluss dieselben dateien hier bei Jotti oder Virustotal überprüfen, ergebnis hier posten.

**Speedy** · 06.04.2005 12:48

hi krausi !

den beitrag für dich wieder geöffnet

Der thread ist leider schon geschlossen, drum muss ich dir so antworten. konnte nicht eher, war im krankenhaus.

poste den link zum thread :http://forum.hijackthis.de/showthre...ighlight=krausi

upgeloaded hab ich sie
und jetzt zu den ergebnissen:

File: addkf.dll
Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected: PE-CRYPT.SQR, UPX
Scanner results
AntiVir Found TR/Dldr.Agent.BC
Avast Found Win32:Trojano-1080
AVG Antivirus Found Downloader.Agent.10.BF
BitDefender Found Trojan.Downloader.Agent.BC
ClamAV Found Trojan.Downloader.Agent-83
Dr.Web Found nothing
F-Prot Antivirus Found W32/Agent.ME@dl
Fortinet Found nothing
Kaspersky Anti-Virus Found Trojan-Downloader.Win32.Agent.bc
mks_vir Found Trojan.Downloader.Agent.Bc
NOD32 Found nothing
Norman Virus Control Found nothing
VBA32 Found nothing

File: crrg32.exe
Status: INFECTED/MALWARE
Packers detected: UPX
Scanner results
AntiVir Found PMS/stroyIn possible malicious software
Avast Found Win32:Trojano-173
AVG Antivirus Found Downloader.Agent.BO
BitDefender Found Trojan.Downloader.Agent.Z
ClamAV Found Trojan.Downloader.Agent.AC
Dr.Web Found Trojan.Feat.2
F-Prot Antivirus Found W32/Agent.II
Fortinet Found W32/Iefeat.Q-tr
Kaspersky Anti-Virus Found Trojan-Downloader.Win32.Agent.bc
mks_vir Found Trojan.Downloader.Feat
NOD32 Found Win32/TrojanDownloader.Agent.BC
Norman Virus Control Found W32/Agent.EM
VBA32 Found TrojanDownloader.Win32.Agent.bc

File: mfcfk32.exe
Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected: PE-CRYPT.SQR, UPX
Scanner results
AntiVir Found TR/Agent.BI
Avast Found Win32:Trojano-1079
AVG Antivirus Found nothing
BitDefender Found Trojan.Agent.BI
ClamAV Found Trojan.Agent-40
Dr.Web Found BackDoor.Netag
F-Prot Antivirus Found W32/Agent.MD
Fortinet Found nothing
Kaspersky Anti-Virus Found Trojan.Win32.Agent.bi
mks_vir Found Trojan.Agent.Bi
NOD32 Found nothing
Norman Virus Control Found nothing
VBA32 Found Trojan.Win32.Agent.bi

danke für deine hilfe!

lg krausi

**krausi** · 06.04.2005 12:55

danke fürs öffnen, hoffentlich kannst mir auch helfen

**Ruby** · 06.04.2005 13:14

Hi krausi,

vergewissere dich, dass du auf deinem Rechner alles siehst: In den Ordneroptionen sollte zuerst das Häkchen entfernt werden bei "geschützte Systemdateien ausblenden" und etwas weiter unten wählt man bei "Versteckte Ordner und Verzeichnisse" den Punkt "Alle Dateien und Ordner anzeigen".

Führe einen mwavscan durch

1) Lege einen Ordner c:\bases an (Einführung in Windows)
2) Download der mwav.exe
3) Entpacke die Datei (mit einem Zip-Programm SIMPLYZIP) !!! Die Datei mwav.exe MUSS in diesen Ordner c:\bases entpackt werden. wenn der Pfad nicht genau so angegeben wird, funktioniert der scanner/updater nicht!
4) Doppelklick auf die Datei kavupd.exe, damit wird der update gestartet.
5) Wechsle in den abgesicherten Modus von Windows
6) Öffne den Explorer, navigiere zum Ordner c:\bases, starte mwavscan.com, schließe den Explorer.
7) Überprüfe die Einstellungen, unter scan option-->memory, startup folders, registry, system folders und services sowie drive (auswahl) und scan all files sollten aktiviert sein, dann den Button *SCAN/CLEAN* drücken.
8) Wenn der Scan beendet ist (dauert ca. 1 Stunde), wechselst du zurück in den normalen Modus.
9) Nun öffnest du mit einem Editor die mwav.log und wählst unter bearbeiten -> suchen, hier gibst du "virus" ein

jede Zeile in der "virus" steht, markieren, und hier einfügen, weitersuchen usw.

(Beispiel: file C:\WINDOWS\sssasasb32.exe infected by "Trojan-Downloader.Win32.Agent.ig" Virus. Action: Action Taken)

Ganz unten steht die Zusammenfassung, diese auch hier posten :

=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
=>Total Number of Disinfected Files:
=>Total Number of Files Renamed:
=>Total Number of Deleted Files:
=>Total Number of Errors:
***** Scanning complete. *****

Poste das Ergebnis des Scan und ein neues HJT-Logfile.

**krausi** · 06.04.2005 13:19

okay, wird gemacht, wird allerdings bis zum Wochenende dauern, weil ich bis dahin nicht in der firma bin.
hoffe du kannst solang warten

thx krausi

**krausi** · 10.04.2005 12:27

hier die ergebnisse von mwavscan:

File C:\WINNT\system32\winof32.dll infected by "Trojan-Downloader.Win32.Agent.bc" Virus. Action Taken: File Deleted.
*** Reg Key Software\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{0BB7B63D-8FA6-6553-5E61-BB865DB321D2} deleted because ImagePath file infected by a Virus
File C:\WINNT\addtw.exe infected by "Trojan.Win32.Agent.bi" Virus. Action Taken: File Deleted.
File C:\WINNT\apijk32.dll infected by "Trojan-Downloader.Win32.Agent.bc" Virus. Action Taken: File Deleted.
File C:\WINNT\appnt32.exe.bak infected by "Trojan-Downloader.Win32.Agent.bq" Virus. Action Taken: File Deleted.
File C:\WINNT\baput.dll tagged as not-a-virus:AdWare.SearchPage. No Action Taken.
File C:\WINNT\d3ph32.exe infected by "Trojan.Win32.Agent.bi" Virus. Action Taken: File Deleted.
File C:\WINNT\eitac.dll tagged as not-a-virus:AdWare.SearchPage. No Action Taken
File C:\WINNT\gbqhm.dll tagged as not-a-virus:AdWare.SearchPage. No Action Taken.
File C:\WINNT\mfcbz.dll infected by "Trojan-Downloader.Win32.Agent.bc" Virus. Action Taken: File Deleted.
File C:\WINNT\mfctl32.exe infected by "Trojan-Downloader.Win32.Agent.bc" Virus. Action Taken: File Deleted
File C:\WINNT\msxmidi.exe.bak infected by "Trojan.Win32.StartPage.tj" Virus. Action Taken: File Deleted.
File C:\WINNT\n_rwofwk.dat infected by "Trojan-Downloader.Win32.Agent.bc" Virus. Action Taken: File Deleted.
File C:\WINNT\qgkfi.dll tagged as not-a-virus:AdWare.SearchPage. No Action Taken.
File C:\WINNT\rpiap.dll tagged as not-a-virus:AdWare.SearchPage. No Action Taken.
File C:\WINNT\winmd32.exe infected by "Trojan.Win32.Agent.bi" Virus. Action Taken: File Deleted.
File C:\WINNT\system32\appbj.exe infected by "Trojan.Win32.Agent.bi" Virus. Action Taken: File Deleted.
File C:\WINNT\system32\iprv32.exe infected by "Trojan-Downloader.Win32.Agent.bq" Virus. Action Taken: File Deleted
File C:\WINNT\system32\netzd32.exe infected by "Trojan.Win32.Agent.bi" Virus. Action Taken: File Deleted
File C:\WINNT\system32\pcoop.dll tagged as not-a-virus:AdWare.SearchPage. No Action Taken.
File C:\WINNT\system32\sdkpv32.exe infected by "Trojan.Win32.Agent.bi" Virus. Action Taken: File Deleted
File C:\WINNT\system32\txnvb.dll tagged as not-a-virus:AdWare.SearchPage. No Action Taken.
File C:\WINNT\system32\winxi32.exe infected by "Trojan.Win32.Agent.bi" Virus. Action Taken: File Deleted.
File C:\WINNT\system32\zjcwu.dll tagged as not-a-virus:AdWare.SearchPage. No Action Taken.
Lokale Einstellungen\Temporary Internet Files\Content.IE5\ATE7E9CD\virus002[1].avc
Sun Apr 10 12:18:03 2005 => Scanning File C:\Dokumente und Einstellungen\Simulak\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ATE7E9CD\virus006[1].avc
Sun Apr 10 12:18:04 2005 => Scanning File C:\Dokumente und Einstellungen\Simulak\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ATE7E9CD\virus010[1].avc
Sun Apr 10 12:18:04 2005 => Scanning File C:\Dokumente und Einstellungen\Simulak\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ATE7E9CD\virus014[1].avc
Sun Apr 10 12:18:04 2005 => Scanning File C:\Dokumente und Einstellungen\Simulak\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ATE7E9CD\virus018[1].avc
\Lokale Einstellungen\Temporary Internet Files\Content.IE5\C9ER4H63\virus004[1].avc
Sun Apr 10 12:18:06 2005 => Scanning File C:\Dokumente und Einstellungen\Simulak\Lokale Einstellungen\Temporary Internet Files\Content.IE5\C9ER4H63\virus008[1].avc
Sun Apr 10 12:18:07 2005 => Scanning File C:\Dokumente und Einstellungen\Simulak\Lokale Einstellungen\Temporary Internet Files\Content.IE5\C9ER4H63\virus012[1].avc
Sun Apr 10 12:18:07 2005 => Scanning File C:\Dokumente und Einstellungen\Simulak\Lokale Einstellungen\Temporary Internet Files\Content.IE5\C9ER4H63\virus016[1].avc
Sun Apr 10 12:18:07 2005 => Scanning File C:\Dokumente und Einstellungen\Simulak\Lokale Einstellungen\Temporary Internet Files\Content.IE5\C9ER4H63\virus020[1].avc
\Lokale Einstellungen\Temporary Internet Files\Content.IE5\M9O1O7K3\virus003[1].avc
Sun Apr 10 12:18:09 2005 => Scanning File C:\Dokumente und Einstellungen\Simulak\Lokale Einstellungen\Temporary Internet Files\Content.IE5\M9O1O7K3\virus007[1].avc
Sun Apr 10 12:18:09 2005 => Scanning File C:\Dokumente und Einstellungen\Simulak\Lokale Einstellungen\Temporary Internet Files\Content.IE5\M9O1O7K3\virus011[1].avc
Sun Apr 10 12:18:09 2005 => Scanning File C:\Dokumente und Einstellungen\Simulak\Lokale Einstellungen\Temporary Internet Files\Content.IE5\M9O1O7K3\virus015[1].avc
Sun Apr 10 12:18:09 2005 => Scanning File C:\Dokumente und Einstellungen\Simulak\Lokale Einstellungen\Temporary Internet Files\Content.IE5\M9O1O7K3\virus019[1].avc
\Lokale Einstellungen\Temporary Internet Files\Content.IE5\QRAVQ38B\virus001[1].avc
Sun Apr 10 12:18:12 2005 => Scanning File C:\Dokumente und Einstellungen\Simulak\Lokale Einstellungen\Temporary Internet Files\Content.IE5\QRAVQ38B\virus005[1].avc
Sun Apr 10 12:18:12 2005 => Scanning File C:\Dokumente und Einstellungen\Simulak\Lokale Einstellungen\Temporary Internet Files\Content.IE5\QRAVQ38B\virus009[1].avc
Sun Apr 10 12:18:13 2005 => Scanning File C:\Dokumente und Einstellungen\Simulak\Lokale Einstellungen\Temporary Internet Files\Content.IE5\QRAVQ38B\virus013[1].avc
Sun Apr 10 12:18:13 2005 => Scanning File C:\Dokumente und Einstellungen\Simulak\Lokale Einstellungen\Temporary Internet Files\Content.IE5\QRAVQ38B\virus017[1].avc
File C:\m00.exe infected by "Trojan.Win32.StartPage.tj" Virus. Action Taken: File Deleted.
File C:\RECYCLER\NPROTECT\00052603.dll tagged as not-a-virus:AdWare.SearchPage. No Action Taken.
File C:\WINNT\baput.dll tagged as not-a-virus:AdWare.SearchPage. No Action Taken.
File C:\WINNT\eitac.dll tagged as not-a-virus:AdWare.SearchPage. No Action Taken
File C:\WINNT\gbqhm.dll tagged as not-a-virus:AdWare.SearchPage. No Action Taken
File C:\WINNT\qgkfi.dll tagged as not-a-virus:AdWare.SearchPage. No Action Taken.File C:\WINNT\rpiap.dll tagged as not-a-virus:AdWare.SearchPage. No Action Taken.
File C:\WINNT\system32\pcoop.dll tagged as not-a-virus:AdWare.SearchPage. No Action Taken.
File C:\WINNT\system32\txnvb.dll tagged as not-a-virus:AdWare.SearchPage. No Action Taken.
File C:\WINNT\system32\zjcwu.dll tagged as not-a-virus:AdWare.SearchPage. No Action Taken.
File D:\VersProgramme\GeneraliEVP\eVP\tomcat\dll\evpKILL.exe tagged as not-a-virus:Tool.Win32.Pcwelt.a. No Action Taken.

Total Number of Files Scanned: 35881
Sun Apr 10 13:10:45 2005 => Total Number of Virus(es) Found: 36
Sun Apr 10 13:10:45 2005 => Total Number of Disinfected Files: 0
Sun Apr 10 13:10:45 2005 => Total Number of Files Renamed: 0
Sun Apr 10 13:10:45 2005 => Total Number of Deleted Files: 18
Sun Apr 10 13:10:45 2005 => Total Number of Errors: 1
Sun Apr 10 13:10:45 2005 => Time Elapsed: 00:56:49
Sun Apr 10 13:10:45 2005 => Virus Database Date: 2005/04/03
Sun Apr 10 13:10:45 2005 => Virus Database Count: 124489

Sun Apr 10 13:10:45 2005 => Scan Completed.

**krausi** · 10.04.2005 12:28

und jetzt hijackthis:

Code:

Logfile of HijackThis v1.99.1
Scan saved at 13:16:59, on 10.04.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\Programme\RDS\RsiSvc.exe
C:\Programme\RDS\srscandr.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\Programme\RDS\ddsschednt.exe
C:\WINNT\system32\RunDll32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINNT\system32\addpl.exe
C:\WINNT\system32\internat.exe
C:\Programme\RDS\dds.exe
C:\WINNT\system32\ntug.exe
C:\Programme\RDS\spooler.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\install\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\cchof.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\cchof.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\cchof.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\cchof.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\cchof.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\cchof.dll/sp.html#28129
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\cchof.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {41BA6A8D-DF9D-C5F5-DB28-B010E519A8C3} - C:\WINNT\nteq.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [addpl.exe] C:\WINNT\system32\addpl.exe
O4 - HKLM\..\RunOnce: [ntug.exe] C:\WINNT\system32\ntug.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Lieferungsdienste starten.lnk = C:\Programme\RDS\DdsLaunch.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O12 - Plugin for .TIF: C:\Programme\Internet Explorer\PLUGINS\npqtplugin5.dll
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall-beta.trendmicro.com/housecall/xscan60.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINNT\mfcfk32.exe (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Dds Scheduler Deamon (DdsSched) - RICOH Company Ltd. - C:\Programme\RDS\ddsschednt.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: Ridoc Server Information Service (RsiSvc) - RICOH Company Ltd. - C:\Programme\RDS\RsiSvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: ScanRouterDriverV2 - Ricoh Co.,Ltd. - C:\Programme\RDS\srscandr.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SOption - RICOH Company Ltd. - C:\Programme\RDS\SOption.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

danke im voraus!

lg krausi

**Ruby** · 10.04.2005 13:22

Hallo Krausi

bitte in der Reihenfolge der STEPS vorgehen!

Vergewissere dich, dass du auf deinem Rechner alles siehst: In den Ordneroptionen zuerst das Häkchen entfernen bei "geschützte Systemdateien ausblenden" und etwas weiter unten wählt man bei "Versteckte Ordner und Verzeichnisse" den Punkt "Alle Dateien und Ordner anzeigen".

STEP 1

lade diese Dateien hoch: Upload malicious software

C:\WINNT\nteq.dll
C:\WINNT\system32\addpl.exe
C:\WINNT\system32\ntug.exe
C:\Programme\RDS\DdsLaunch.exe
C:\Programme\RDS\ddsschednt.exe
C:\Programme\RDS\RsiSvc.exe
C:\Programme\RDS\srscandr.exe
C:\WINNT\system32\addpl.exe
C:\Programme\RDS\dds.exe

Bitte um Rückmeldung, wenn dies geschehen ist!
---------
Drucke diese Anweisung entweder aus oder speichere sie als *.txt-file,
da du gleich im abgesicherten Modus arbeiten wirst.

STEP 2
Denk bitte dran, dass das Programm HijackThis in einem eigenen Ordner laufen muss, um BackUps erstellen zu können. Es sollte so aussehen: C:\Programme\HJT oder C:\HJT.

STEP 3
Reinige dein System nun sehr gründlich, so wie hier beschrieben.
Führe auch und insbesondere die manuellen Tätigkeiten durch, wie beschrieben!

STEP 4
Boote in den abgesicherten Modus.

STEP 5
Schliesse alle Programme einschliesslich Internet Explorer.

STEP 6
Lass Hijackthis laufen, klick scan und setze ein Häkchen neben jeden dieser Einträge.
Drücke dann auf den Fix Button:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\cchof.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\cchof.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\cchof.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\cchof.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\cchof.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\cchof.dll/sp.html#28129
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\cchof.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = localhost
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {41BA6A8D-DF9D-C5F5-DB28-B010E519A8C3} - C:\WINNT\nteq.dll

Beende das Programm HijackThis.

STEP 7

Suche diese Files mit der Windows-Suche und lösche sie:

C:\WINNT\baput.dll
C:\WINNT\eitac.dll
C:\WINNT\gbqhm.dll
C:\WINNT\qgkfi.dll
C:\WINNT\rpiap.dll
C:\WINNT\system32\zjcwu.dll
C:\WINNT\baput.dll
C:\WINNT\eitac.dll
C:\WINNT\gbqhm.dll
C:\WINNT\qgkfi.dll
C:\WINNT\rpiap.dll
C:\WINNT\system32\pcoop.dll
C:\WINNT\system32\txnvb.dll
C:\WINNT\system32\zjcwu.dll
D:\VersProgramme\GeneraliEVP\eVP\tomcat\dll\evpKILL.exe

STEP 8
Boote in den normalen Modus

STEP 9
Beende diesen Prozess im Taskmanager:

evpKILL.exe

Teile uns mit deinem nächsten Posting mit, ob es dir erfolgreich gelungen ist, die Dateien hochzuladen.
Erstelle ein neues HijackThis Logfile und poste es.

Thema: Startseite verändert sich dauernd - Hilfe

Themen-Optionen

Startseite verändert sich dauernd - Hilfe

AW: Startseite verändert sich dauernd - Hilfe

AW: Startseite verändert sich dauernd - Hilfe

AW: Startseite verändert sich dauernd - Hilfe

AW: Startseite verändert sich dauernd - Hilfe

AW: Startseite verändert sich dauernd - Hilfe

AW: Startseite verändert sich dauernd - Hilfe

AW: Startseite verändert sich dauernd - Hilfe

AW: Startseite verändert sich dauernd - Hilfe

Aktive Benutzer

Aktive Benutzer

Ähnliche Themen

coolwebsearch startseite hilfe!

Startseite Probleme TR/StartPage.qr.dll (Hilfe!!!)

Hilfe, meine Startseite spielt verrückt!!!

Hilfe - wie bekomme ich diese Startseite beseitigt http://0ml.net/cat

Hijack Verändert Startseite

Forumregeln