Hilfe bei Schädlingsbefall -ARCHIV-

IPS.Blue · 10.10.2004

@Hood: der router war nicht ganz aktuell, und auch die dns hosts waren nicht überall eingetragen... ich beobachte es mal die nächsten tage... bis her hatte ich nur vorhin um 11 nen disc, naja mal sehen :/

@ Ronschk: ad-aware gibts hier:
http://www.soft-ware.net/system/dateien/antivirus/p00643.asp

ist ähnlich wie hijackthis und spybot search & destroy... sucht halt nach spyware, trojanern und co.

und dem windows update isses egal was du aufm desktop hast :P

wenn du zu wenig platz hast, lösch mal die temporären internet dateien oder den temp ordner im windows verzeichnis...

Ronschk · 10.10.2004

den produkt key muss man eingeben wenn man windows aktivieren muss ne? mein alter hat nämlich net gefunzt und dann hab ich bei MS angerufen.... die haben mir dann nen neuen gegeben.... oder siehste irgentwodrann das der auch illegal/gesperrt/etc ist?
dann noch: Bei mir ändert sich zusehend der speicher von C....
vor ein paar tagen war er auf über 500MB... wie gesagt ist der dann bis gestern (ka seit wann) auf 180MB geschrumpft.. ,dann heute auf 560KB, dann nach paar min auf 432KB, dann isser auf 650 KB gestiegen, dann auf 68KB geschrupft und jetzt isser bei
64KB.........!!!!
Wie kann das sein? Neu installen will ich eigentlich nicht wegen windows xp neukaufen und das is bissel zu teuer -.-''

könnteste mir denn den "andern Weg" per e-mail schicken?

oder icq oda so......
naja ann auch verstehen wenne langsam kein bock mehr hast ^^
naja trotzdem THX für hilfe

P.S. hab ma ein bissel rumgeforscht..... und hab gelesen das es normal ist dass S&D nur sehr kurz zum überprüfen braucht... aber bei mir sind es nur 5 sek ..... bei meinen freunden dauert es glaub ich so ca. 5-10 min..... warum? hab auchschon überall probiert was umzustelen aber nix gefunden.... auch schon auf der hompage geguckt....

Edit: @Isp.Blue thx das mit dem adware werd ich mir gleich ma angucken... aber die temp. Internetfiles hab ich letztns erst glösch... (2 tagen) und hab auch heute nochma ein blick drauf geworfen und die sind insgesammt vielleicht 1 MB groß..... aber trotzdem thx

IPS.Blue · 10.10.2004

wieviel ram hast du? vielleicht vergrößert sich die auslagerungs datei...

kannst ja mal gucken wie groß diese beiden dateien sind:

PAGEFILE.SYS = Auslagerungsdatei

hiberfil.sys = Ruhezustand Auslagerungsdatei <- die kannste deaktivieren wenn du das nicht brauchst und dringend platz brauchst...

wie groß ist deine c partition eigentlich?

Ronschk · 10.10.2004

ähmm ich mein 512.... aba habs vergessen

wo kann ich das nochma nachgucken?
Pagefile.sys is 384MB groß
und
hiberfil.sys is 254MB groß
öhmm is eher ein älterer pc deswegen nur 2,41 gb groß...
hab ja erwähnt das sich die anzahlt des speicherplatzes der druaf is imer ändert... is im mom bei 0,000000000%

[For]Hood2 · 10.10.2004

Ronksch poste nochmal einen aktuellen Hjackthis du scheinst schon wieder was zu haben, Bitte stelle die Windows Firewall an.

Netzwerkverbindung mit rechter Maustaste anklicken, eigenschaften, erweitert, Firewall aktivieren.
Dann poste einen HIjackThis log

in der zwischenzeit gehst mit dem Internet explorer auf windowsupdate.com und machst alle kritischen updates

medleyy · 10.10.2004

was macht man eigentlich wenn man nix drauf hat unter spybot, ad-aware
aber tzoudem zeigt der mir reg. einträge an z.b vom IE , irgendwelche links von MS seiten , also die update seiten

nicht löschen ?

selbe mit spybot , der findet zwar nix aber ich hab da immer ne

DOS+
wo auch reg. einträge sind die was mit meiner sicherheitseinstellung von IE was am hut haben nicht löschen oder ?

weil die waren schon da als der pc neu wa

mfg

[For]Hood2 · 10.10.2004

wen du den Thread gelesen hättest, würdest Du wissen das die DSO Anzeige von Spybot ein Fehler im Programm ist, der mit der nächsten Version behoben wird. Ignorieren oder supportforum von Spybot aufsuchen. Selbst ist der Mann/die Frau

das sind wahrscheinlich temporäre Dateien oder die downgeloadeten Files welche für das Windowsupdate benötigt werden. Ansonsten machste einen Screenshot, weil ich aus:

was macht man eigentlich wenn man nix drauf hat unter spybot, ad-aware
aber trotzdem zeigt der mir reg. einträge an z.b vom IE , irgendwelche links von MS seiten , also die update seiten

einfach nicht schlau werden:/

Ronschk · 11.10.2004

Ähm die Windows firewall hatte ich schon die ganze zeit an....
Hier Hijack..... denke is alles ok...:
Logfile of HijackThis v1.98.2
Scan saved at 16:45:47, on 11.10.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\system32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\system32\spoolsv.exe
C:\WINDOWS.0\Explorer.EXE
C:\WINDOWS.0\Mixer.exe
D:\Programme\AVPersonal\AVGNT.EXE
E:\Kolsgis\shit\ICQLite\ICQLite.exe
D:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS.0\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
D:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Internet Explorer\iexplore.exe
D:\Programme\Hjt\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybotsearch&Destroy\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS.0\System32\msdxm.ocx
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [ICQ Lite] E:\Kolsgis\shit\ICQLite\ICQLite.exe -minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS.0\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybotsearch&Destroy\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] E:\Kolsgis\shit\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Kolsgis\shit\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Kolsgis\shit\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS.0\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS.0\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{2D85127A-BBB3-45A3-98B9-08474AA2EFDB}: NameServer = 192.168.150.10
O17 - HKLM\System\CCS\Services\Tcpip\..\{9CB444D0-D8EF-45ED-B569-005A9E7E8CCE}: NameServer = 217.237.150.97 217.237.149.161
O17 - HKLM\System\CS1\Services\Tcpip\..\{2D85127A-BBB3-45A3-98B9-08474AA2EFDB}: NameServer = 192.168.150.10
O17 - HKLM\System\CS2\Services\Tcpip\..\{2D85127A-BBB3-45A3-98B9-08474AA2EFDB}: NameServer = 192.168.150.10

Hmm nochma zu den win updates: als ich vor ein paar mpnaten windows neu insalled hab hat der alte produktkey nicht mehr gefunzt... da hab ich bei dieser Mircosoft service stelle angerufen und die haben mir nen neuen gegeben..... hab eve bissel illegales zeuch aufm rechner aber das is ja egal... oda? würde sonst sehr gern updaten bin mir aber sehr unsicher ob die mich dann nicht
fi**en und herausfinden das was nicht in ordnung is...
naja thx auf jedenfall für die hilfe

[For]Hood2 · 11.10.2004

hm ich sehe nix, verstehe nur nicht warum dein HD platz immer weniger wird :confused:

gehe mal auf start/programme/zubehör/systemprogramme und führ mal die Datenträgerbereinigung für c: und D: aus.

evt solltest Du wirklich deine wichtigen Daten auf eine CD brennen und XP neuinstallieren. benutz dafür den "neuen" Key. Mach beide HD-partitionen dabei formatieren. Bei kleinen HDs solltest du besser nur eine Partition einrichten. Ich weiss ist eine Heidenarbeit, ich mach das jeden Tag min2-3 mal

Ronschk · 11.10.2004

öhmm der platz wird ja nicht nur kleiner... manchma wächst der auch wieder so um 100KB... -.-
werde dann ma datenträger bereinigen... das mit formatieren weiß ich nicht so recht... wie du sihest is das ein sehr alter pc und desswegen hatte ich kein bock noch nen brenneer einzubauen... naja ma sehen was sich da machen lässt.....
das problem dabei ist ja das ich in den letzten 5-7 Tagen bestimmt 12ma antivir durchlaufen lassen hab 7 mal S&D und ka wie offt den pc mit hijack überprüft... nichts wurde irgentwobei gefunden..... wenn ich jetzt den ganzen scheiß neu installe kommt das eve wieder und ich bin voll gefi**t
außer es liegt an win. updates.... [?]

P.S. HD=?
Haupt Datein?
Haupt Datenträger?

IPS.Blue · 12.10.2004

hard disc :P
und du hast nicht zufällig ein programm laufen was daten herunter lädt? ansonsten finde mal heraus welcher ordner genau "wächst"...

IPS.Blue · 12.10.2004

so jetzt nochmal was zu meinen mass-discs:

30.09.04 20:30
01.10.04 19.30
03.10.04 21:47
04.10.04 09:53
04.10.04 13:44
05.10.04 02:10
05.10.04 15:28 http disc
05.10.04 15:29 total disc
05.10.04 14:34
06.10.04 03:55
06.10.04 02:05
06.10.04 07:37
06.10.04 09:42
06.10.04 16:57 (3000+, 2000, 1700+)
07.10.04 14:39
07.10.04 21:32
08.10.04 00:34
08.10.04 03:12
08.10.04 04:33
08.10.04 10:59
08.10.04 18:41
08.10.04 19:41
09.10.04 05:50
-- Router Firmware + DNS Hosts --
09.10.04 22:54
10.10.04 13:30
10.10.04 19:39
11.10.04 12:35
-- Erhöhung der maximalen Verbindungen von 10 (XP SP 2) auf 100 --
12.10.04 seit fast einem tag kein disc mehr

könnte die von sp 2 auf 10 heruntergesetzte maximal verbindungsanzahl der grund für erhöhte disconnects gewesen sein? und wie läuft das eigentlich mit dem 24 stunden disconnect von der telekom wenn man einen router hat?

Ronschk · 12.10.2004

ne ein prog hab ich nicht drauf... und wenn würde es nicht irgentwas auf C spiechern da C ja sowieso nur 2,41 gb groß is.... das komische ist ja auch das nicht nur speicher wegkommt sondern auch ab undzu wiederkommt

hab ma datenträger bereinigt... das einzige was ich da rausholen kann sind vielleicht 300kb.... und die ,,isst" bein pc dann ja sowieso wieder ^^

ok werds dann jetzt ma überprüfen....

[For]Hood2 · 12.10.2004

Ronschk tu Dir selbst einen gefallen und mach Deinen PC platt, eine Partition und Win neuinstallieren, vor dem ersten Internetgang Firewall U N B E D I N G T einschalten, DIRECKT SP2 drauf oder SP1 und alle security packs. Dan bekomsmt du auch keine Fehlermeldung von SC/BW das auf C: (Fehler 112 ) kein Platz mehr ist...

@ipsblue: Naja denkbar wäre das schon, das der Router damit ein Problem hat, wenn Windows die "halben" connection verwirft, er diese aber noch als aktiv hat. Das schöne an dem wilden rumstochern ist das man meist lösungen findet, wenn noch einer oder zwei stochern

Bei solchen Sachen ist das Rad erfunden worden

Sodom&Gomorrha · 12.10.2004

Gerade ist ein neuer Patch verfügbar geworden unter Windows Update. Ein kumulativer Patch für den IE ... wundert mich nicht. Hab mir die 2,9 MB gezogen und eines der Löcher im Schweizer Käse stopfen :8[:

Hoffe, daß man auch diesen Bild-Exploit unter Windows damit behoben hat (?), auch wenn ich Firefox benutze.
Btw, ist es für einen User nicht praktischer, wenn er gleich SP2 auf einer slipstreamed CD mit eingearbeitet hat ?

Vielleicht gehen bei den Massenleechern dann die ganzen Filesharingprogs bzw. der AVGuard von AntiVir von Anfang an richtig ...

Mein AVGuard ging nicht, bis zu einem Update des Hauptpgramms - funzt nun alles unter SP2 bei mir :hammer:

IPS.Blue · 13.10.2004

hab mir gleich ne slipstream sp 2 cd gemacht :P

@hood: also das scheints echt gewesen zu sein, 10 ist schon arg wenig ^^

endlich ist der dreck vorbei, danke für die hilfe ;D

Dr. Picasso · 15.10.2004

Rechner von nem Freund:
tausend popups im IE
keine win updates
keine antivirus software

nachdem ich mal einiges schonmal gekillt hab, hier ein log:

Code:

Logfile of HijackThis v1.97.7
Scan saved at 21:26:06, on 15.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\slserv.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\ibskopog.exe
C:\WINDOWS\System32\services\msxmidi.exe
C:\Program Files\Windows SyncroAd\SyncroAd.exe
C:\Program Files\Windows SyncroAd\WinSync.exe
C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154card\Installer\WINXP\DTCARD11GMonitor.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\mozilla.org\Mozilla\mozilla.exe
C:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = [url]http://searchmiracle.com/sp.php[/url]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = [url]http://searchmiracle.com/sp.php[/url]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = [url]http://searchmiracle.com/sp.php[/url]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [url]http://www.coolsearch.biz/[/url]
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = [url]http://searchmiracle.com/sp.php[/url]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [url]http://lookfor.cc?pin=29126[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = [url]http://lookfor.cc/sp.php?pin=29126[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [url]http://lookfor.cc/sp.php?pin=29126[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [url]http://lookfor.cc?pin=29126[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [url]http://lookfor.cc/sp.php?pin=29126[/url]
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = [url]http://www.iquicksearch.net/search.htm[/url]
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = [url]http://red.clientapps.yahoo.com/customi....tp[/url]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = [url]http://searchmyrequest.com/hp.php[/url]
F1 - win.ini: run=C:\WINDOWS\System32\services\msxmidi.exe
O2 - BHO: (no name) - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINDOWS\EliteToolBar\EliteToolBar version 53.dll
O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\system32\services\2.01.00.dll
O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINDOWS\EliteToolBar\EliteToolBar version 53.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [zlivevqolnjyd] C:\WINDOWS\System32\ibskopog.exe
O4 - HKLM\..\Run: [xpsystem] C:\WINDOWS\System32\services\msxmidi.exe
O4 - HKLM\..\Run: [Sys29] C:\windows\system32\winegv32.exe
O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe
O4 - HKCU\..\Run: [xpsystem] C:\WINDOWS\System32\services\msxmidi.exe
O4 - Global Startup: T-COM WLAN Manager T-Sinus 154card.lnk = C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154card\Installer\WINXP\DTCARD11GMonitor.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Recherchieren (HKLM)
O15 - Trusted Zone: [url]http://v5.windowsupdate.microsoft.com[/url]
O16 - DPF: v2cab - [url]http://searchmiracle.com/cab/v2cab.cab[/url]
O16 - DPF: v3cab - [url]http://searchmiracle.com/cab/v3cab.cab[/url]
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - [url]http://public.windupdates.com/get_fil....ebf1261[/url]
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - [url]http://download.microsoft.com/downloa....VCM.CAB[/url]
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} - [url]http://www.mt-download.com/MediaTicketsInstaller.cab[/url]
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - [url]http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab[/url]
O17 - HKLM\System\CCS\Services\Tcpip\..\{360B46C8-477F-481D-BCE1-D8B4867F348B}: NameServer = 192.168.69.254
O17 - HKLM\System\CS1\Services\Tcpip\..\{360B46C8-477F-481D-BCE1-D8B4867F348B}: NameServer = 192.168.69.254
O17 - HKLM\System\CS2\Services\Tcpip\..\{360B46C8-477F-481D-BCE1-D8B4867F348B}: NameServer = 192.168.69.254

dann folgendes problem:
man kann keine win updates ausführen, d.h. IE kommt nicht über das "die aktuelle version bla wird gesucht..." hinaus
es kommt dann nur irgendwann ne fehlermeldung dass mans später versuchen soll -.-

[For]Hood2 · 15.10.2004

ein Pferd würde ich erschiessen, gib mir ein paar minuten da ist ne mege scheisse drauf unteranderem coolwebsearch

Dr. Picasso · 15.10.2004

ich bin da und lösch es, sobald ich weiß, was "es" ist

edit: und wieso kann ich die win updates nicht ausführen? also er macht dann einfach "fertig" wenn er nach den verfügbaren updates suchen sollte

[For]Hood2 · 16.10.2004

copy und paste dir das in eine neue .txt Datei auf deinen Desktop
oder druck es dir aus.

ok download:
http://securityresponse.symantec.com/avcenter/venc/data/backdoor.agent.b.removal.tool.html
Adaware und installiere, updaten und laufen lassen

boote in den abgesicherten Modus
stellte sicher diese Prozesse NICHT laufen. (Taskmanager)
C:\WINDOWS\System32\ibskopog.exe
C:\WINDOWS\System32\services\msxmidi.exe
C:\Program Files\Windows SyncroAd\SyncroAd.exe
C:\Program Files\Windows SyncroAd\WinSync.exe

lasse das symantec tool laufen und gib mir bescheid wenn er was findet

dann fixe folgendes mit Hijack:
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchmiracle.com/sp.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.coolsearch.biz/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchmiracle.com/sp.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://lookfor.cc?pin=29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://lookfor.cc/sp.php?pin=29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://lookfor.cc/sp.php?pin=29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://lookfor.cc?pin=29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://lookfor.cc/sp.php?pin=29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.iquicksearch.net/search.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customi....tp
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about :blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://searchmyrequest.com/hp.php
F1 - win.ini: run=C:\WINDOWS\System32\services\msxmidi.exe
O2 - BHO: (no name) - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINDOWS\EliteToolBar\EliteToolBar version 53.dll
O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\system32\services\2.01.00.dll
O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINDOWS\EliteToolBar\EliteToolBar version 53.dll

O4 - HKLM\..\Run: [zlivevqolnjyd] C:\WINDOWS\System32\ibskopog.exe
O4 - HKLM\..\Run: [xpsystem] C:\WINDOWS\System32\services\msxmidi.exe
O4 - HKLM\..\Run: [Sys29] C:\windows\system32\winegv32.exe
O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe
O4 - HKCU\..\Run: [xpsystem] C:\WINDOWS\System32\services\msxmidi.exe

O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm

O16 - DPF: v2cab - http://searchmiracle.com/cab/v2cab.cab
O16 - DPF: v3cab - http://searchmiracle.com/cab/v3cab.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fil....ebf1261
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} - http://www.mt-download.com/MediaTicketsInstaller.cab

schliesse alle Internet Explorer UND Explorer Windows dann FIX checked

dann gehst du in die Systemsteuerung/software und fallls vorhanden deinstallier
Elitebar
Webrebates
Windows SyncroAd

Dann explorer öffnen und über extras/ordneroptionen stell sicher das bei "Alle Dateien anzeigen" der haken gesetzt ist und bei "bekannte Erweiterungen ausblenden" der haken NICHT gesetzt ist.
Sowie der Hacken Geschützte Systemdateien aublenden NICHT gesetzt ist.

Dann suchst folgende Ordner/Dateien und löscht sie:
C:\WINDOWS\System32\ibskopog.exe diese Datei kenne ich und Google auch nicht, wenn Du sie nicht kennst weg damit

C:\WINDOWS\System32\services\msxmidi.exe ist ein Virus
C:\Program Files\Windows SyncroAd\SyncroAd.exe ist ein Trojaner

C:\WINDOWS\EliteToolBar kompletten ordner löschen

C:\WINDOWS\system32\services\2.01.00.dll auf jedenfall löschen
C:\Program Files\Windows SyncroAd Ordner
dann neustarten und gehe hier http://housecall.trendmicro.com/housecall/start_corp.asp hin und mach einen Online virenscan . Berichte wenn er was gefunden hat

dann machst Du einen neuen HijackThis und postet ihn hier

Dr. Picasso · 16.10.2004

ok das symantec teil sucht grade ...

beim starten stand was wie "bitte nix starten bis neustart erfolgt ist" ...
dann wieder abgesicherter modus, und hijackthis usen? oder ohne neustart?

und soll ich dann gleich erstmal schreiben was der symantec gefunden hat?

(btw ich poste hier mit meinem pc, der kaputte steht daneben und rechnet ... ^^)

Jesus0815 · 16.10.2004

folende tools ersparen dir in zukunft trojaner/viren:

- AVGuard: http://www.free-av.com/

- Sygate Personal Firewall: http://smb.sygate.com/products/spf/spf_ov.htm

- Lavasoft AdAware: http://www.lavasoft.de/

ansonsten stimme ich hood zu

MFG

Dr. Picasso · 16.10.2004

C:\Program Files\Windows SyncroAd\SyncroAd.exe ist ein Trojaner
gibts nicht, nur eine .txt in dem ordner ...

C:\WINDOWS\system32\services\2.01.00.dll auf jedenfall löschen
gibts auch nicht

neustart läuft

Dr. Picasso · 16.10.2004

so das system scheint nun sauber zu sein

auch windowsupdate funktioniert nun endlich

hier der neue hijacklog

Code:

Logfile of HijackThis v1.97.7
Scan saved at 01:28:55, on 16.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\slserv.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154card\Installer\WINXP\DTCARD11GMonitor.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\mozilla.org\Mozilla\mozilla.exe
C:\HijackThis.exe

R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - Global Startup: T-COM WLAN Manager T-Sinus 154card.lnk = C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154card\Installer\WINXP\DTCARD11GMonitor.exe
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Recherchieren (HKLM)
O15 - Trusted Zone: [url]http://v5.windowsupdate.microsoft.com[/url]
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - [url]http://download.microsoft.com/downloa....VCM.CAB[/url]
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - [url]http://v5.windowsupdate.microsoft.com/v5consu....1976234[/url]
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - [url]http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab[/url]
O17 - HKLM\System\CCS\Services\Tcpip\..\{360B46C8-477F-481D-BCE1-D8B4867F348B}: NameServer = 192.168.69.254
O17 - HKLM\System\CS1\Services\Tcpip\..\{360B46C8-477F-481D-BCE1-D8B4867F348B}: NameServer = 192.168.69.254
O17 - HKLM\System\CS2\Services\Tcpip\..\{360B46C8-477F-481D-BCE1-D8B4867F348B}: NameServer = 192.168.69.254

[For]Hood2 · 16.10.2004

hat der symantec irgendwas gefunden, ist wichtig zu wissen!
download und ausführen zum schluss
http://www.downloads.subratam.org/CWShredder.exe

Ansonsten sieht es gut aus. tschuldige hab vergessen zu schreiben das nach dem symantec durchgang ein erneuter reboot in den abgesicherten Modus zu erfolgen hat.

Für die Zukunft:
Download und install:
Spywareblaster
How to use Spybot to remove Spyware
IE/Spyad
http://www.windowsupdate.com

Wenn sich die Startseite in 26Stunden nicht verändert haben wir ihn erwischt

Dr. Picasso · 16.10.2004

symantec hat nix gefunden
antivir, adaware, spybot, spywareblaster hat gestern auch nix mehr gefunden

den shredder da werd ich gleich mal saugen, und auch die ganzen antivir proggs mal durchjagen ...

edit: weder shredder, noch die anderen proggs ham was gefunden
das system scheint sauber zu sein

big thx schonmal :top2:

[For]Hood2 · 16.10.2004

nicht das ich mich nicht freuen würde, aber es würde mich mehr beruhigen wenn Norton was gefunden hätte... :bored:

Achte mal bitte drauf wenn sich die Startseite doch verändert müssen wir mit schweren Geschütz auffahren

btw. Spywareblaster schützt VOR Infectionen, nicht sucht nach welchen!

Dr. Picasso · 16.10.2004

rechner ist wieder beim freund ...

rechner ist jetzt etwa 24h clean

wann kann ich sicher sein dass alles ok is? wenn sich in den nächsten tagen nix mehr tut?

[For]Hood2 · 16.10.2004

Der CWS Hijacker mit der hidden.dll hat eine Zeitspanne von 5 minuten bis 26Stunden bis er wieder dein System "infiziert" (In Wahrheit ist es die ganze Zeit über befallen:/)
Meist ist er allerdings nach einem Neustart wieder da. Er ist so das übelste was im Reich der Viren/Würmer/Werbetrojaner was es so gibt. Zum enfernen...

kokett · 16.10.2004

Hi,

würdest du dir auch mal meine log datei kurz anschauen?
ich bin mir net sicher, bei einem eintrag. das DAP zeugs im
internetexplorer (den ich eh net nutze) ist download accelerator, ich nutze nur das programm + firefox, daher is es mir egal ob da zusätzliche buttons im IE sind.
ansonsten bin ich mir hierbei:
O4 - HKLM\..\Run: [HGTXPEI] C:\WINDOWS\system32\FirstReboot.exe
unschlüssig

Logfile of HijackThis v1.97.7
Scan saved at 17:54:44, on 16.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\CACHEM~1\CachemanXP.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\cFos\cFosDNT.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
D:\PROGRA~1\DAP\DAP.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\Explorer.EXE
D:\miranda\miranda32.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Overnet\overnet.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\DOKUMENTE UND EINSTELLUNGEN\SKY\DESKTOP\HijackThis.exe

O2 - BHO: (no name) - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - D:\programme\DAP\DAPBHO.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - D:\programme\DAP\DAPIEBar.dll
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [cFosDNT] C:\Programme\cFos\cFosDNT.exe
O4 - HKLM\..\Run: [HGTXPEI] C:\WINDOWS\system32\FirstReboot.exe
O4 - HKLM\..\Run: [SoundFusion] RunDll32 hercplgs.cpl,BootEntryPoint
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [DownloadAccelerator] D:\PROGRA~1\DAP\DAP.EXE /STARTUP
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Download with &DAP - D:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - D:\PROGRA~1\DAP\dapextie2.htm
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Run DAP (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\..\{8DB44B9D-4223-4D2A-A747-71AF43E37033}: NameServer = 217.237.151.161 217.237.151.33

[For]Hood2 · 16.10.2004

C:\WINDOWS\system32\FirstReboot.exe kommt von deiner Herkules Soundkarte

O2 - BHO: (no name) - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - D:\programme\DAP\DAPBHO.dll
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - D:\programme\DAP\DAPIEBar.dll
O8 - Extra context menu item: &Download with &DAP - D:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - D:\PROGRA~1\DAP\dapextie2.htm
O9 - Extra button: Run DAP (HKLM)

Allerdings wenn Du den IE nicht nutzt brauchst Du die auch nicht fixen...

Warum nimmst Du keinen sauberen Donwnloadmanager?

kokett · 17.10.2004

ah ok, danke.

bin für vorschläge offen was download manager betrifft. =)
mich hat das nur nie gestört, da ich eh nie den IE nutze und es
das system ja auch nicht ausbremst, oder?
ich brauch den download manager eh nur wenn ich von
daprogger.mine.nu was ziehe (is ne dvd cover seite mit custom covern)
da die seite langsam ist und ich ohne download manager die cover nicht
ziehen kann.

edit: der DAP ist wohl auch sauber, man kann in den optionen alle
Toolbars, symbole etc. im browser ausschalten, also er entfernt die dann.

[For]Hood2 · 17.10.2004

naja leechget, netants kommen beide ohne werbung

[For]Hood2 · 22.10.2004

Warum der User kein Internet Explorer mehr benutzen möchte

Sodom&Gomorrha · 22.10.2004

Original geschrieben von [For]Hood
Warum der User kein Internet Explorer mehr benutzen möchte

http://home.no.net/syjyfhpc/spyware1.jpg

Hmmm ... ich hab von 2000 bis 2001 mit Windows 98 SE ohne Firewall und Antivirenprogramm (flamt mich ruhig, ich habe erst seitdem einen Rechner und jeder fängt klein an :8[) und hatte mir eigentlich nie was eingefangen.

Vielleicht waren damals noch Würmer selten bzw. waren Internetwürmer, Spyware und irgendwelchen Desktopelemente und Toolbars noch weniger verbreitet als heute.

Das Bild da sieht ja übel aus - der Marktanteil vom IE schrumpft langsam. ActiveX, Sicherheitslücken und Co. braucht man nicht unbedingt (außer ActiveX für's Windowsupdate). Daß es auch ohne geht, zeigen eben Alternativen wie der feurige (schlanke) Fuchs oder die ressourcenfressende Suite von Mozilla.

[For]Hood2 · 22.10.2004

vor 4,5 jahren gabs noch nicht mal Email viren in nennenswerter anzahl....

Bis "I love you" das Medium Email als Verbreitungweg populär machte, das war im Juli 2000. Spyware fing auch erst an einzelne PC zu befallen.

Da war es noch leicht ohne Firewall und antivirus aus zu kommen. ist es heute auch noch :evil:

Ronschk · 23.10.2004

soo hab mich jetzt ma hingesetzt und angefangen pc zu formatieren (alle partitionen)...
woher bekomme ich sp1 bzw sp2? runterladen? oder muss ich irgentwo kaufen?
und was soll ich nach dem formatieren alles sofor machen?
dachte da an:
1.S&D saugen installen
2.Antivir saugen installen
3.Hijack saugen insatllen
4. automatische firewall anmachen und[?]/oder[?] neue firewall saugen... aber wenn ja welche und woher?

sooo weiter wüsste ich eigentlich net was ich machen könnte sollt.... deswegen wart ich erstma noch mit dem vollständigen formatieren bis ich es weiß...

thx schonma im voraus

ach ja und habe noch ein prob... wollte altes S&D deninstallieren.... habs auch getan... der hat aber alles bis auf
SDHelper.dll
weggemacht..... die datein bekomm ich nicht weg ... hab auch neu gestartet weiß aber nicht was ich ´machen soll... -.- formatieren geht deswegen auch nicht

edit: hat sich mit S&D erledigt.... aus iregenteinem grund hat es nach 1.30 stunden nicht-da-sein gefunzt -.-

[For]Hood2 · 23.10.2004

naja ich würde mr SP2 jetzt noch saugen, auf ne CD brennen und dann Xp neuinstallieren, SP2 installiern, dann Treiber, dann Spywareblaster, dann Spybot S&D, dann Antivirus, rest Programme, dann mit eingeschalteter Firewall ins Netz und Windows/officeupdate durch führen, Antivirus updaten

Ronschk · 24.10.2004

na toll hab jetzt formatiert wegen speicher problem... hab jetzt auch antivir gesaugt und auch s&d..... dann kam nach ner zeit: zu wenig speicherplatz auf c... obwohl vorher noch 830 mb frei waren.. hab dann ma geguckt woher diese datein kommen... im temp ordner (lokale einstellungen) waren 10.600 DATEIEN!!!!
wie kann das sein? die kommen doch durch das internet oda? wenn ja wie können so viele in so einer kruzen zeit kommen?? ich war vielelicht wegen den dls und so 20 min im internet.. naja hb diese pplöden datein ma gelöscht...... fragt sich in welcher zeit sie wiederkommen.... könnte das an antivir oder s&d liegen???
thx

[For]Hood2 · 24.10.2004

kann mal einer der mods das sinnlose Post über diesem entfernen.

@Ronschk: Du hast also C: formatiert oder hast Du beide partitionen wie empfohlen platt gemacht und zu einer vereinigt?

Hattest Du die Windows Interne Firewall an?

Hast Du schon Sp2 drauf?
nein diese Dateien sind nicht von Spybot und auch nicht von Antivir

mach mal ein Hjackthis log

Hilfe bei Schädlingsbefall -ARCHIV-

[For]Hood2

Guest

medleyy

Guest

[For]Hood2

Guest

[For]Hood2

Guest

[For]Hood2

Guest

[For]Hood2

Guest

[For]Hood2

Guest

Jesus0815

Guest

[For]Hood2

Guest

[For]Hood2

Guest

[For]Hood2

Guest

kokett

Guest

[For]Hood2

Guest

kokett

Guest

[For]Hood2

Guest

[For]Hood2

Guest

[For]Hood2

Guest

[For]Hood2

Guest

[For]Hood2

Guest