- #1
I
IchausE
Guest
Hallo Virenkenner,
hab mir wieder einen Hijacker eingefangen und zwar einen der ganz besonderen Härte !! Habe schon alles versucht mit CWSHredder und HijackThis, aber immer wieder ist die Startseite im Explorer geändert!!
Das Protokoll sieht so aus
Logfile of HijackThis v1.98.0
Scan saved at 23:43:07, on 15.07.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\syswg32.exe
C:\WINNT\Explorer.EXE
C:\WINNT\anvshell.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\WINNT\winiz32.exe
C:\WINNT\system32\qmhgnmsd.exe
C:\Programme\Bargain Buddy\bin\bargains.exe
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\paat.exe
C:\WINNT\system32\ribnzus.exe
C:\Programme\CASIO\Photo Loader\Plauto.exe
C:\Programme\Corel\Graphics9\Register\Remind32.exe
E:\Programme\HijackThis.exe
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,
O2 - BHO: TwaintecObj Class - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINNT\twaintec.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {60E45899-6847-1231-1A42-11A72846F61C} - C:\WINNT\system32\apito.dll
O2 - BHO: brdg Class - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - C:\WINNT\Downloaded Program Files\bridge.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [LiveNote] livenote.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [winiz32.exe] C:\WINNT\winiz32.exe
O4 - HKLM\..\Run: [RunDLL] rundll32.exe C:\WINNT\Downloaded Program Files\bridge.dll,Load
O4 - HKLM\..\Run: [pqtrmtw] C:\WINNT\system32\qmhgnmsd.exe
O4 - HKLM\..\Run: [Bargains] C:\Programme\Bargain Buddy\bin\bargains.exe
O4 - HKCU\..\Run: [Rctw] C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\paat.exe
O4 - HKCU\..\Run: [Kgeya] C:\WINNT\system32\ribnzus.exe
O4 - Startup: Corel Registration.lnk = C:\Programme\Corel\Graphics9\Register\Remind32.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra->Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-9.cab
O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} (brdg Class) - http:xxstatic.flingstone.com/cab/2000XP/CDTInc/bridge.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1E347511-8FDC-4255-B8A6-7E91653FBB60}: NameServer = 192.168.2.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{1E347511-8FDC-4255-B8A6-7E91653FBB60}: NameServer = 192.168.2.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{1E347511-8FDC-4255-B8A6-7E91653FBB60}: NameServer = 192.168.2.1
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINNT\msopt.dll
Hoffe mir kann jemand helfen, danke schon mal im vorraus!!
Gruß Thorsten
hab mir wieder einen Hijacker eingefangen und zwar einen der ganz besonderen Härte !! Habe schon alles versucht mit CWSHredder und HijackThis, aber immer wieder ist die Startseite im Explorer geändert!!
Das Protokoll sieht so aus
Logfile of HijackThis v1.98.0
Scan saved at 23:43:07, on 15.07.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\syswg32.exe
C:\WINNT\Explorer.EXE
C:\WINNT\anvshell.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\WINNT\winiz32.exe
C:\WINNT\system32\qmhgnmsd.exe
C:\Programme\Bargain Buddy\bin\bargains.exe
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\paat.exe
C:\WINNT\system32\ribnzus.exe
C:\Programme\CASIO\Photo Loader\Plauto.exe
C:\Programme\Corel\Graphics9\Register\Remind32.exe
E:\Programme\HijackThis.exe
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,
O2 - BHO: TwaintecObj Class - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINNT\twaintec.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {60E45899-6847-1231-1A42-11A72846F61C} - C:\WINNT\system32\apito.dll
O2 - BHO: brdg Class - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - C:\WINNT\Downloaded Program Files\bridge.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [LiveNote] livenote.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [winiz32.exe] C:\WINNT\winiz32.exe
O4 - HKLM\..\Run: [RunDLL] rundll32.exe C:\WINNT\Downloaded Program Files\bridge.dll,Load
O4 - HKLM\..\Run: [pqtrmtw] C:\WINNT\system32\qmhgnmsd.exe
O4 - HKLM\..\Run: [Bargains] C:\Programme\Bargain Buddy\bin\bargains.exe
O4 - HKCU\..\Run: [Rctw] C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\paat.exe
O4 - HKCU\..\Run: [Kgeya] C:\WINNT\system32\ribnzus.exe
O4 - Startup: Corel Registration.lnk = C:\Programme\Corel\Graphics9\Register\Remind32.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra->Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-9.cab
O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} (brdg Class) - http:xxstatic.flingstone.com/cab/2000XP/CDTInc/bridge.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1E347511-8FDC-4255-B8A6-7E91653FBB60}: NameServer = 192.168.2.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{1E347511-8FDC-4255-B8A6-7E91653FBB60}: NameServer = 192.168.2.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{1E347511-8FDC-4255-B8A6-7E91653FBB60}: NameServer = 192.168.2.1
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINNT\msopt.dll
Hoffe mir kann jemand helfen, danke schon mal im vorraus!!
Gruß Thorsten