schon wieder CWS - irreparabel?

Begonnen von mani, 28. September 2004, 09:28:18 Uhr

⏪ vorheriges - nächstes ⏩

0 Mitglieder und 1 Gast betrachten dieses Thema.

mani

Seit 2 Wochen kämpfe ich mit CWS - und werde ihn nicht los!
Habe alle Tools durchprobiert, die ich kenne (Spyboot, EdAware, Spy Sweeper, CWShredder, .....)
Warum meine IE-Startadresse immer die URL: 213.159.117.134 und im Hintergrund gleichzeitig die Downloadseite 213.159.117.150 anwählt ist in der Reg - aber ich kann das ändern so oft ich will, schwupp, ist es wieder wie es war!

Mit meiner Logfile kann vielleicht jemand etwas anfangen, das mir wirklich hilft!
C: fixen ist nicht drin, da muss es doch eine andere Lösung geben!



Logfile of HijackThis v1.98.2
Scan saved at 09:08:19, on 28.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\CAPRPCSK.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Virtual TA Client\RccIcon.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Ahead\InCD\InCD.exe
C:\WINDOWS\System32\dktime.exe
C:\Program Files\Windows SyncroAd\SyncroAd.exe
C:\PROGRA~1\PANICW~1\SPAMWA~1\SWasher.exe
C:\PROGRA~1\PANICW~1\POP-UP~2\PSFree.exe
C:\WINDOWS\System32\wind.exe
C:\windows\winln.exe
C:\WINDOWS\System32\dktime.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\Program Files\Windows SyncroAd\WinSync.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE
C:\Programme\ClickOff\Clickoff.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\CAPPSWK.EXE
C:\Programme\Iomega\Iomega Backup\dtsc.exe
C:\Programme\WinZip\WZQKPICK.EXE
E:\KiBackuip\KIBackup.exe
C:\ZW\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchAssistant = ,
R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = ,
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://search.maloletok.net/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://search.maloletok.net/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = C:\WINDOWS\_h.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.vol.at:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = http://192.168.0.1/;<local>
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {0DCD3E55-9258-B090-504F-32DB5E425783} - C:\WINDOWS\System32\optsrzmm.dll
O2 - BHO: (no name) - {3F94D9BD-0424-47F4-B6C8-0FE88452D8D2} - C:\WINDOWS\System32\cldkaa.dll (file missing)
O2 - BHO: (no name) - {A20C9A26-D5A8-B7C1-4CFE-CA6E07A29D11} - C:\WINDOWS\System32\uapzfbxm.dll
O2 - BHO: (no name) - {A5D8AA20-3AFC-40D6-30E2-1FF105F58089} - C:\WINDOWS\System32\jkuzmybx.dll
O2 - BHO: (no name) - {B2EA4F21-758B-0931-754F-F5A70EE8745D} - C:\WINDOWS\System32\wazgprkc.dll
O2 - BHO: (no name) - {B5B35F04-806F-E1CD-EAAF-9BC65FD0E647} - C:\WINDOWS\System32\nssmassm.dll
O2 - BHO: (no name) - {DA2904F7-C950-7DD0-B3F4-A7416A40F3F0} - C:\WINDOWS\System32\xkuuikwb.dll
O2 - BHO: (no name) - {EB72D689-C7E6-A2E6-3161-E115CBB13659} - C:\WINDOWS\System32\zltusoll.dll
O2 - BHO: (no name) - {FC3D3F62-7986-A9D4-6A1E-BF10E6970C7B} - C:\WINDOWS\System32\qgrowiri.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CAPON] C:\WINDOWS\System32\Spool\Drivers\w32x86\3\CAPONN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [RccIcon] C:\Programme\Virtual TA Client\RccIcon
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [DKTime] C:\WINDOWS\System32\dktime.exe
O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe
O4 - HKCU\..\Run: [SpamWasher] "C:\PROGRA~1\PANICW~1\SPAMWA~1\SWasher.exe"
O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\PANICW~1\POP-UP~2\PSFree.exe"
O4 - HKCU\..\Run: [wind.exe] C:\WINDOWS\System32\wind.exe
O4 - HKCU\..\Run: [winltmpv] c:\windows\winln.exe
O4 - HKCU\..\Run: [DKTime] C:\WINDOWS\System32\dktime.exe
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - Startup: enormasoft KIBackup.lnk = E:\KiBackuip\KIBackup.exe
O4 - Global Startup: Canon LBP-800-Statusfenster.LNK = C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE
O4 - Global Startup: ClickOff.lnk = C:\Programme\ClickOff\Clickoff.exe
O4 - Global Startup: Iomega Backup Terminplaner.lnk = C:\Programme\Iomega\Iomega Backup\dtsc.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Bild in &Microsoft PhotoDraw öffnen - res://C:\PROGRA~1\MICROS~2\Office\1031\phdintl.dll/phdContext.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {869EE607-5376-486d-8DAC-EDC8E239AD5F} - (no file)
O9 - Extra button: (no name) - {BE2F2769-8A63-4bc7-8A99-06C2C4AD7B9B} - (no file)
O9 - Extra button: (no name) - {869EE607-5376-486d-8DAC-EDC8E239AD5F} - (no file) (HKCU)
O9 - Extra button: (no name) - {BE2F2769-8A63-4bc7-8A99-06C2C4AD7B9B} - (no file) (HKCU)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.windupdates.com
O19 - User stylesheet:  (file missing)


gandal

Hast Du es schon mal mit neu aufsetzen versucht ?

Bei Dir tummelt sich nicht nur CWS.
wind.exe -> Mailproxy:  http://computercops.biz/startuplist-4656.html


ZitierenO2 - BHO: (no name) - {0DCD3E55-9258-B090-504F-32DB5E425783} - C:\WINDOWS\System32\optsrzmm.dll
O2 - BHO: (no name) - {3F94D9BD-0424-47F4-B6C8-0FE88452D8D2} - C:\WINDOWS\System32\cldkaa.dll (file missing)
O2 - BHO: (no name) - {A20C9A26-D5A8-B7C1-4CFE-CA6E07A29D11} - C:\WINDOWS\System32\uapzfbxm.dll
O2 - BHO: (no name) - {A5D8AA20-3AFC-40D6-30E2-1FF105F58089} - C:\WINDOWS\System32\jkuzmybx.dll
O2 - BHO: (no name) - {B2EA4F21-758B-0931-754F-F5A70EE8745D} - C:\WINDOWS\System32\wazgprkc.dll
O2 - BHO: (no name) - {B5B35F04-806F-E1CD-EAAF-9BC65FD0E647} - C:\WINDOWS\System32\nssmassm.dll
O2 - BHO: (no name) - {DA2904F7-C950-7DD0-B3F4-A7416A40F3F0} - C:\WINDOWS\System32\xkuuikwb.dll
O2 - BHO: (no name) - {EB72D689-C7E6-A2E6-3161-E115CBB13659} - C:\WINDOWS\System32\zltusoll.dll
O2 - BHO: (no name) - {FC3D3F62-7986-A9D4-6A1E-BF10E6970C7B} - C:\WINDOWS\System32\qgrowiri.dll
Der ganze Block ist schon sehr suspekt


Wie alt sind Deine Virendefinitionen ?

Nimm einen anderen BROWSER -> IE ist  :shit:
Arbeite nicht als Computer-Administartor auch wenn dann alles so schön funktioniert.


Schätze mal, die Sachen sind auch in der System-Wiederherstellung.
         
Real Programmers code in binary

TMK

28. September 2004, 13:28:05 Uhr #2 Letzte Bearbeitung: 12. August 2005, 15:39:45 Uhr von TMK
Hi,

lade Dir doch auch mal Regcleaner runter und poste einen Screenshot vom Autostart (Bild 3), siehe Bilder:

http://www.hwe-forum.de/attachments/RegCleaner.exe

Einen Screenshot vom aktuell geöffneten Fenster kannst Du über "Alt+Druck" machen --> ...dann zum Beispiel in "Paint" oder in irgendein anderes Bildbearbeitungsprogramm über "Bearbeiten" einfügen. Anschliessend das Bild als "xxx.jpg" speichern.

Gruß
TMK


P.S.: Möchte das Posting auch noch zukünftig als kleine Anleitung mißbrauchen, deshalb die "4" Screenshots.

mani

Danke für eure Meldungen!
Dass da einiges suspekt ist, war ja auch der Grund, weshalb ich in diesem Forum gepostet habe.
Ich war allerdings auch nicht untätig. Mit etwas Knowhow auch aus anderer Quelle konnte ich einige Probleme schon verbessern - aber CWS bin ich trotzdem nicht los. Die Start-URL kann ich immern noch nicht beeinflussen!

Übrigens- meine Virusdef wird täglich upgedatet - ebenso Spyboot, ect.(sofern es ein Update gibt)

Hier nun meine verbesserte hijackthis-log und die Autostart von RegClean:

Logfile of HijackThis v1.98.2
Scan saved at 08:37:13, on 29.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\CAPRPCSK.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\CAPPSWK.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\WINDOWS\System32\dktime.exe
C:\Program Files\Windows SyncroAd\SyncroAd.exe
C:\PROGRA~1\PANICW~1\SPAMWA~1\SWasher.exe
C:\PROGRA~1\PANICW~1\POP-UP~2\PSFree.exe
C:\windows\winln.exe
C:\WINDOWS\System32\dktime.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\Program Files\Windows SyncroAd\WinSync.exe
C:\Programme\ClickOff\Clickoff.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE
C:\Programme\Iomega\Iomega Backup\dtsc.exe
C:\Programme\WinZip\WZQKPICK.EXE
E:\KiBackuip\KIBackup.exe
C:\ZW\HijackThis.exe
C:\WINDOWS\System32\wuauclt.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchAssistant = ,
R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = ,
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://search.maloletok.net/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://search.maloletok.net/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = C:\WINDOWS\_h.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.vol.at:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = http://192.168.0.1/;<local>
R3 - Default URLSearchHook is missing
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CAPON] C:\WINDOWS\System32\Spool\Drivers\w32x86\3\CAPONN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [DKTime] C:\WINDOWS\System32\dktime.exe
O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe
O4 - HKCU\..\Run: [SpamWasher] "C:\PROGRA~1\PANICW~1\SPAMWA~1\SWasher.exe"
O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\PANICW~1\POP-UP~2\PSFree.exe"
O4 - HKCU\..\Run: [winltmpv] c:\windows\winln.exe
O4 - HKCU\..\Run: [DKTime] C:\WINDOWS\System32\dktime.exe
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - Startup: enormasoft KIBackup.lnk = E:\KiBackuip\KIBackup.exe
O4 - Global Startup: Canon LBP-800-Statusfenster.LNK = C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE
O4 - Global Startup: ClickOff.lnk = C:\Programme\ClickOff\Clickoff.exe
O4 - Global Startup: Iomega Backup Terminplaner.lnk = C:\Programme\Iomega\Iomega Backup\dtsc.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Bild in &Microsoft PhotoDraw öffnen - res://C:\PROGRA~1\MICROS~2\Office\1031\phdintl.dll/phdContext.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {869EE607-5376-486d-8DAC-EDC8E239AD5F} - (no file)
O9 - Extra button: (no name) - {BE2F2769-8A63-4bc7-8A99-06C2C4AD7B9B} - (no file)
O9 - Extra button: (no name) - {869EE607-5376-486d-8DAC-EDC8E239AD5F} - (no file) (HKCU)
O9 - Extra button: (no name) - {BE2F2769-8A63-4bc7-8A99-06C2C4AD7B9B} - (no file) (HKCU)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.windupdates.com
O19 - User stylesheet:  (file missing)


Meine Autostart von RegCleaner:

;  ;  HKEY_CU\Run
AVGCtrl;  C:\Programme\AVPersonal\AVGNT.EXE /min;  HKEY_LM\Run
Canon LBP-800-Statusfenster;  nicht verfügbar;  Start-Menü
Capon;  C:\WINDOWS\System32\Spool\Drivers\w32x86\3\CAPONN.EXE;  HKEY_LM\Run
ClickOff;  nicht verfügbar;  Start-Menü
Desktop;  nicht verfügbar;  Start-Menü
Desktop;  nicht verfügbar;  Start-Menü
DKTime;  C:\WINDOWS\System32\dktime.exe;  HKEY_CU\Run
DKTime;  C:\WINDOWS\System32\dktime.exe;  HKEY_LM\Run
Enormasoft KIBackup;  nicht verfügbar;  Start-Menü
InCD;  C:\Programme\Ahead\InCD\InCD.exe;  HKEY_LM\Run
Iomega Backup Terminplaner;  nicht verfügbar;  Start-Menü
Microsoft Office;  nicht verfügbar;  Start-Menü
Mswspl;  ;  HKEY_LM\Run
NeroCheck;  C:\WINDOWS\System32\NeroCheck.exe;  HKEY_LM\Run
NvCplDaemon;  RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll NvStartup; HKEY_LM\Run
Nwiz;  Nwiz.exe /install;  HKEY_LM\Run
PopUpStopperFreeEdition;  "C:\PROGRA~1\PANICW~1\POP-UP~2\PSFree.exe";  HKEY_CU\Run
SoundMan;  Soundman.exe;  HKEY_LM\Run
SpamWasher;  "C:\PROGRA~1\PANICW~1\SPAMWA~1\SWasher.exe";  HKEY_CU\Run
SpySweeper;  "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0;  HKEY_CU\Run
Windows SyncroAd;  C:\Program Files\Windows SyncroAd\SyncroAd.exe;  HKEY_LM\Run
Winltmpv;  C:\windows\winln.exe;  HKEY_CU\Run
WinZip Quick Pick;  nicht verfügbar;  Start-Menü


gandal

dktime: http://www.sophos.de/virusinfo/analyses/trojdloadercc.html
         
Real Programmers code in binary

mani

Bin ich richtig in der Annahme, dass du mir den Link wegen "dktime.exe" geschickt hast?
Aber irgendwie seltsam - mein Virenscan (Antivir) hat da nicht gebellt!
Habe jedenfalls "dktime.exe" gekillt - wo aber sitzt der Downloader?

TMK

Zitieren;  ;  HKEY_CU\Run
AVGCtrl;  C:\Programme\AVPersonal\AVGNT.EXE /min;  HKEY_LM\Run
Canon LBP-800-Statusfenster;  nicht verfügbar;  Start-Menü
Capon;  C:\WINDOWS\System32\Spool\Drivers\w32x86\3\CAPONN.EXE;  HKEY_LM\Run
ClickOff;  nicht verfügbar;  Start-Menü
Desktop;  nicht verfügbar;  Start-Menü
Desktop;  nicht verfügbar;  Start-Menü
DKTime;  C:\WINDOWS\System32\dktime.exe;  HKEY_CU\Run
DKTime;  C:\WINDOWS\System32\dktime.exe;  HKEY_LM\Run
Enormasoft KIBackup;  nicht verfügbar;  Start-Menü
InCD;  C:\Programme\Ahead\InCD\InCD.exe;  HKEY_LM\Run
Iomega Backup Terminplaner;  nicht verfügbar;  Start-Menü
Microsoft Office;  nicht verfügbar;  Start-Menü
Mswspl;  ;  HKEY_LM\Run
NeroCheck;  C:\WINDOWS\System32\NeroCheck.exe;  HKEY_LM\Run
NvCplDaemon;  RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll NvStartup; HKEY_LM\Run
Nwiz;  Nwiz.exe /install;  HKEY_LM\Run
PopUpStopperFreeEdition;  "C:\PROGRA~1\PANICW~1\POP-UP~2\PSFree.exe";  HKEY_CU\Run
SoundMan;  Soundman.exe;  HKEY_LM\Run
SpamWasher;  "C:\PROGRA~1\PANICW~1\SPAMWA~1\SWasher.exe";  HKEY_CU\Run
SpySweeper;  "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0;  HKEY_CU\Run
Windows SyncroAd;  C:\Program Files\Windows SyncroAd\SyncroAd.exe;  HKEY_LM\Run
Winltmpv;  C:\windows\winln.exe;  HKEY_CU\Run
WinZip Quick Pick;  nicht verfügbar;  Start-Menü

DKTime;  C:\WINDOWS\System32\dktime.exe;
DKTime;  C:\WINDOWS\System32\dktime.exe;
InCD;  C:\Programme\Ahead\InCD\InCD.exe;
NeroCheck;  C:\WINDOWS\System32\NeroCheck.exe;

..würde diese Sachen rausnehmen, und diese Datei "C:\WINDOWS\System32\dktime.exe" auch manuell im "System32"-Ordner noch löschen!

ZitierenO4 - Global Startup: Canon LBP-800-Statusfenster.LNK = C:\WINDOWS\system32\spool\drivers\w32x86\3\CAPPSWK.EXE
O4 - Global Startup: ClickOff.lnk = C:\Programme\ClickOff\Clickoff.exe
O4 - Global Startup: Iomega Backup Terminplaner.lnk = C:\Programme\Iomega\Iomega Backup\dtsc.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE

Diese Dinge sind auch nicht unbedingt von nöten und könnten generell aus dem Autostart entfernt werden, kostet nur Systemressourcen.

Auch mal SpyBot drüberlaufen lassen:
http://www.safer-networking.org/de/index.html

Anonsten wäre wohl auch ein anderer Browser wie beispielsweise Firefox um einiges sicherer:
http://firebird-browser.de/

mani

Danke für die Tipps!
dktime ist bereits weg
IN-CD brauche ich - glaube auch nicht, dass da ein Gauner drin steckt!

Firefox ist echt zu überleben!

All das aber klärt meine Frage noch nicht:
Was steckt hinter der permanenten Änderung der Startadresse - das kann ja nur ein Trojaner sein.
Wo aber versteckt er sich?

TMK

ZitierenInCD;  C:\Programme\Ahead\InCD\InCD.exe;
NeroCheck;  C:\WINDOWS\System32\NeroCheck.exe;

...da steckt bei beiden kein Gauner dahinter, die Einträge sind dennoch nicht wichtig.

mani

Danke!
Bis jetzt habe ich alle Ratschläge befolgt - auch den Browser habe ich gewechselt.
FireFox gefällt mir auf anhieb! Scheint KLASSE zu sein! Danke für den Tipp!


tyco

Folgende Einträge in HijackThis solltest Du fixen:

C:\WINDOWS\System32\dktime.exe

C:\Program Files\Windows SyncroAd\SyncroAd.exe

C:\WINDOWS\System32\dktime.exe

C:\Program Files\Windows SyncroAd\WinSync.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL =
http://search.maloletok.net/index.html

R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL =
http://search.maloletok.net/index.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
http://213.159.117.134/index.php

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
http://213.159.117.134/index.php

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
http://213.159.117.134/index.php

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
http://213.159.117.134/index.php

R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) =
C:\WINDOWS\_h.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
http://213.159.117.134/index.php    

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
http://213.159.117.134/index.php    

R3 - Default URLSearchHook is missing

O4 - HKLM\..\Run: [DKTime] C:\WINDOWS\System32\dktime.exe

O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows
SyncroAd\SyncroAd.exe

O4 - HKCU\..\Run: [DKTime] C:\WINDOWS\System32\dktime.exe

O19 - User stylesheet: (file missing)

Wenn folgende aufgeführte Internet-Seiten nicht wissentlich unter 'Vertrauenswürdige Seiten' hinzugefügt wurden, sollten diese mit HijackThis ebenfalls gefixt werden.

O15 - Trusted Zone: *.clickspring.net

O15 - Trusted Zone: *.mt-download.com

O15 - Trusted Zone: *.my-internet.info

O15 - Trusted Zone: *.searchmiracle.com

O15 - Trusted Zone: *.skoobidoo.com

O15 - Trusted Zone: *.windupdates.com



Bitte keine Supportanfragen per PM stellen.

gandal

Wollte Dir eingentlich noch mehr schreiben, konnte dann aber nicht mehr. Nur noch auf senden geklickt. Sorry, dachte aber besser als gar nix.
War ein bischen knapp.
         
Real Programmers code in binary

mani

 ;D  DANKE!
Ich denke, mit eurer Hilfe bin ich die Plagegeister los!
Zur Zeit ändert sich auch die Adresse der Startseite nicht mehr - es scheint, CWS hat sich verabschiedet!

zur Kontrolle hänge ich nochmals die Log-Datei an, die ziemlich geschrumpft ist und ganz gut aussieht!

Falls ihr da noch was entdeckt, das da nicht hinpasst, dann meldet euch.

Logfile of HijackThis v1.98.2
Scan saved at 08:28:00, on 30.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\CAPRPCSK.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\CAPPSWK.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Ahead\InCD\InCD.exe
C:\PROGRA~1\PANICW~1\SPAMWA~1\SWasher.exe
C:\PROGRA~1\PANICW~1\POP-UP~2\PSFree.exe
C:\windows\winln.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
E:\KiBackuip\KIBackup.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Direktor\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchAssistant = ,
R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = ,
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.vobs.at
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.vobs.at
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.vol.at:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = http://192.168.0.1/;<local>
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CAPON] C:\WINDOWS\System32\Spool\Drivers\w32x86\3\CAPONN.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKCU\..\Run: [SpamWasher] "C:\PROGRA~1\PANICW~1\SPAMWA~1\SWasher.exe"
O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\PANICW~1\POP-UP~2\PSFree.exe"
O4 - HKCU\..\Run: [winltmpv] c:\windows\winln.exe
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - Startup: enormasoft KIBackup.lnk = E:\KiBackuip\KIBackup.exe
O8 - Extra context menu item: Bild in &Microsoft PhotoDraw öffnen - res://C:\PROGRA~1\MICROS~2\Office\1031\phdintl.dll/phdContext.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {869EE607-5376-486d-8DAC-EDC8E239AD5F} - (no file)
O9 - Extra button: (no name) - {BE2F2769-8A63-4bc7-8A99-06C2C4AD7B9B} - (no file)
O9 - Extra button: (no name) - {869EE607-5376-486d-8DAC-EDC8E239AD5F} - (no file) (HKCU)
O9 - Extra button: (no name) - {BE2F2769-8A63-4bc7-8A99-06C2C4AD7B9B} - (no file) (HKCU)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O19 - User stylesheet:  (file missing)