Hijacker, Bloodhound.exploit .... HILFE BITTE!

Pako69 · 09. November 2004, 07:28:22 Uhr

Hallo!!

AHHHHHHHH UND DAS SELBE NOCHMAL :-( !!! In dem Moment in dem ich dieses Text File gerade eben
gespeichert hatte, bekam ich die Meldung über einen Trojaner namens Bloodhound.Exploit6 im HijackThis.log. Das LogFile ist danach nichtmehr erreichbar und ich war in dem Moment nicht online...was kann das sein??
Ich habe die neusten Virus definitionen und eigentlich mit Norton gestern 3 mal gescannt (auch im abgesicherten) und alles entfernt!
Eigentlich wollte ich hier posten denn ich habe das selbe Problem wie einige andere hier auch und kann diesen schwulen Hijacker einfach nicht entfernen.
Er steht im Hijackthis auf Ignore und wird nichtmehr im LogFile ausgegeben aber trotzdem
wird jedes mal diese Startseite geladen. In einem der Frames steckt ein trojaner deshalb bitte ich euch nicht
auf den Link zu gehen mit den ganzen zahlen :-).

Könnte mir jemand sagen was ich noch tun muss??
Hier ist mein Log:

Logfile of HijackThis v1.97.7
Scan saved at 07:13:12, on 09.11.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\Apache Group\Apache2\bin\Apache.exe
D:\php\mysql-3.23.58\bin\mysqld-nt.exe
D:\Programme\Norton AntiVirus\navapsvc.exe
D:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
D:\WINDOWS\System32\nvsvc32.exe
D:\Programme\Apache Group\Apache2\bin\Apache.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
D:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
D:\Programme\D-Tools\daemon.exe
D:\WINDOWS\System32\systime.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
D:\WINDOWS\System32\systime.exe
D:\WINDOWS\System32\RunDLL32.exe
D:\WINDOWS\System32\rundll32.exe
D:\programme\Apache Group\Apache2\bin\ApacheMonitor.exe
D:\php\mysql-3.23.58\bin\winmysqladmin.exe
D:\programme\internet explorer\IEXPLORE.EXE
D:\programme\Microsoft Office\Office10\OUTLOOK.EXE
D:\Programme\Messenger\msmsgs.exe
D:\Dokumente und Einstellungen\pUsHeR.fi**DICHDULUDER\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_page.html?&account_id=136299
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *hot-searches.com*;*lender-search.com*
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
O1 - Hosts file is located at: D:\WINDOWS\nsdb\hosts
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7B55BB05-0B4D-44fd-81A6-B136188F5DEB} - D:\WINDOWS\questmod.dll (file missing)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {E5A1691B-D188-4419-AD02-90002030B8EE} - D:\Programme\FlashFXP\IEFlash.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [LiveNote] livenote.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CMESys] "D:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [Msrv32] Msrv32.exe
O4 - HKLM\..\Run: [SVCHOST] D:\WINDOWS\svchost.exe 41
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SysTime] D:\WINDOWS\System32\systime.exe
O4 - HKLM\..\Run: [IST Service] D:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [ccApp] "D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] D:\PROGRA~2\NORTON~2\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [SSC_UserPrompt] D:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\RunServices: [Msrv32] Msrv32.exe
O4 - HKCU\..\Run: [Steam] "d:\programme\steam\steam.exe" -silent
O4 - HKCU\..\Run: [MsnMsgr] "D:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SysTime] D:\WINDOWS\System32\systime.exe
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~2\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: AIM (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Real.com (HKLM)
O12 - Plugin for .mpe: D:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.xxxtoolbar.com
O16 - DPF: {07238967-9273-7BCC-FA84-1BE93621F218} - http://213.159.117.150/1/rdgDE333.exe
O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} (DjVuCtl Class) - http://www.djvu.com/plugins/de_DE/DjVuControl_de_DE.cab
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://213.159.117.133/dl/adv65/x.chm::/load.exe
O16 - DPF: {15589FA1-C456-11CE-BF01-00AA0055595A} - http://www.spywarenuker.com/product/camp/SpywareNuker_com/SpywareNukerInstaller.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=714b9e99bb1ec51fadc828f5983e23109b906c2b320d9f1b39ed54699be7e97f4caf42694383070009646062296ff92e68cfba8c:eb8a1fb09d00c5943edceabcca450006
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {1E50B82A-0D78-48B9-97EC-391B2F81CE8A} (IELoaderCtl Class) - http://acxd.freeload.cc/ieloader.cab
O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-intl/de/games4.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38028.4761805556
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {FDC847F8-DA70-4442-8072-FF883F34D14A} - http://toolbar.dasoertliche-marketing.de/toolbar/normal/download/DasOertlicheSuchLeiste.cab

Das ist die Ignore Liste

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
016 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab

American · 09. November 2004, 17:40:22 Uhr

Hallo!

Du solltest deinen Aktionen alle im Abgesichertem Modus machen. Ich vermute das der Virus / Trojaner alle gängigen Programme austrickst. Du könntest es aber mal mit Ad-aware / Spybot - Serach und Destroy versuchen.

Du solltest im Abgsicherten Modus auch mal ein anderes Virenprogramm versuchen. Eventuell mal Escan (Das ist ein Anti Viren programm welches ohne Installation auskommt) http://www.mwti.net/antivirus/free_utilities.asp

Zudem solltest du dein System mit WindowsUpdate auf den neusten Stand bringen.

tyco · 09. November 2004, 17:40:37 Uhr

Es wimmelt ja nur so vor Einträgen die unbedingt gefixt werden müssen. Ausserdem ist Dein HijackThis nicht auf dem aktuellen Stand. Aktuell ist v1.98.2.

FIXEN:

D:\WINDOWS\System32\systime.exe (Trojaner)

D:\WINDOWS\System32\systime.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_page.html?&account_id=136299

O1 - Hosts file is located at: D:\WINDOWS\nsdb\hosts

O2 - BHO: (no name) - {7B55BB05-0B4D-44fd-81A6-B136188F5DEB} - D:\WINDOWS\questmod.dll (file missing)

O4 - HKLM\..\Run: [CMESys] "D:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"

O4 - HKLM\..\Run: [SVCHOST] D:\WINDOWS\svchost.exe 41

O4 - HKLM\..\Run: [SysTime] D:\WINDOWS\System32\systime.exe

O4 - HKLM\..\Run: [IST Service] D:\Programme\ISTsvc\istsvc.exe

O4 - HKCU\..\Run: [SysTime] D:\WINDOWS\System32\systime.exe

Wenn hier aufgeführte Internet-Seiten nicht wissentlich unter 'Vertrauenswürdige Seiten' hinzugefügt wurden, sollten diese mit HijackThis gefixt werden.

O15 - Trusted Zone: *.blazefind.com

O15 - Trusted Zone: *.clickspring.net

O15 - Trusted Zone: *.flingstone.com

O15 - Trusted Zone: *.mt-download.com

O15 - Trusted Zone: *.my-internet.info

O15 - Trusted Zone: *.searchbarcash.com

O15 - Trusted Zone: *.searchmiracle.com

O15 - Trusted Zone: *.skoobidoo.com

O15 - Trusted Zone: *.slotch.com

O15 - Trusted Zone: *.windupdates.com

O15 - Trusted Zone: *.xxxtoolbar.com

Weiter fixen:

O16 - DPF: {07238967-9273-7BCC-FA84-1BE93621F218} - http://213.159.117.150/1/rdgDE333.exe

O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} (DjVuCtl Class) - http://www.djvu.com/plugins/de_DE/DjVuControl_de_DE.cab

O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://213.159.117.133/dl/adv65/x.chm::/load.e xe

O16 - DPF: {15589FA1-C456-11CE-BF01-00AA0055595A} - http://www.spywarenuker.com/product/camp/SpywareNuker_com/SpywareNukerInstaller. exe

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=714b9e99bb1ec51fadc828f5983e2 3109b906c2b320d9f1b39ed54699be7e97f4caf42694383070009646062296ff92e68cfba8c:eb8a 1fb09d00c5943edceabcca450006

O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-intl/de/games4.cab

O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab

Ausserdem solltest Du den Internet Explorer updaten oder besser gleich Mozilla Firefox verwenden.

Pako69 · 09. November 2004, 19:05:49 Uhr

DANKE DANKE DANKE DANKE! @ Tyco!!

Und @ americana. Natürlich habe ich auch abgesichert gescannt. Hatte nichts gebracht.
Firefox habe ich verwendet seitdem ich den Hijacker hatte...irgendwie kommt mir das trotzdem langsamer als inet explorer vor!

Hatte eben auch nochmal gescannt und alles runtergeschmissen.
Dann beim Fixen der Fehler mit Hijack kam sofort wieder die Virus Meldung Bloodhound.Exploit6 im Log File hmmm, ist das evt auch nur ein Fehlalarm??

Freue mich schon auf meine Telefonrechnung und den Stress mit Arcor denn ein dialer hatte sich ein paar male eingewählt :-).

Tschüss
Patrick

tyco · 09. November 2004, 19:15:56 Uhr

Bloodhound.Exploit6 nutzt eine Sicherheitslücke im Internet Explorer. Lösche mal alle temporären Internetseiten.

Mach dann ein Windows Update und meide in nächster Zeit den IE. Dann siehst Du, ob Du ihn wegbekommen hast.

AdAware Spybot S&D kann auch nicht verkehrt sein. Bei Deinem verseuchten HijackThis Logfile finden diese Tools sicherlich auch noch was.

skyline · 09. November 2004, 20:59:31 Uhr

alles was ähnlich klinkt ist schon mal verdächtig
D:\WINDOWS\Explorer.EXE =>Virus
D:\programme\internet explorer\IEXPLORE.EXE
MS-Datei

D:\WINDOWS\System32\RunDLL32.exe
D:\WINDOWS\System32\rundll32.exe
welche jetzt hier zum Virus bzw. Trojaner gehört ??

D:\Programme\Apache Group\Apache2\bin\Apache.exe
D:\php\mysql-3.23.58\bin\mysqld-nt.exe
ist Apache und mysql wissentlich installiert worden.

warscheinlich ist >>format d:<< die letzte Konsequenz.

mfg Skyline

Pako69 · 09. November 2004, 22:48:23 Uhr

grins :-)

Also über die beiden rundl.dll habe ich mich auch schon gewundert. Norton ist irgendwie fürn arsch

Zum glück ist mein notebook sauber obwohl es im Netzwerk hängt.

Und ja. MySql und Apache wurden wissentlich installiert

Nur Windows Unwisentlich, ich glaub ich war damals besoffen.

Nun läuft eigentlich alles ganz gut, glaube ein format ist nichtmehr notwendig. Mal abwarten!

Aber was ist mit dem 2 rundl.dll?

?

Tschüss
Patrick

American · 09. November 2004, 23:07:23 Uhr

Du könntest einen online Scan mal machen, um zu schauen oib da noch etwas ist -> www.housecall.de

tyco · 09. November 2004, 23:08:15 Uhr

Zitat von: Pako69 am 09. November 2004, 22:48:23 Uhr
Norton ist irgendwie fürn Ar**h

Du sagst es. Ich habe hier vier Rechner die 24/7 am Netz hängen. Und mit AntiVir, Spybot S&D, AdAware, SpyWareblaster und im Notfall HijackThis habe ich alle Rechner clean halten können oder wieder clean gemacht. Alles Freeware und kostenlos.

Norton hat nur Probleme erzeugt!

Pako69 · 10. November 2004, 07:13:54 Uhr

naja ich stelle mir das wie einen kreislauf vor.....norton ist eben der verbreiteste virenscanner -> die virenmacher schauen explizit darauf das sie norton austricksen können -> die leute fluchen über norton weils manchmal nicht viel bringt.

Sagen wirs mal so. ich hatte jetzt 5 Jahre lang dsl mit flat und mein rechner lief ebenfalls 24/7 und das notebook auch ab und zu noch. Norton hat IMMER alles sauber gehalten...nur norton.

Nur jetzt ohne dsl geht das irgendwie ganz fix und der rechner ist voller dialer und dann kommt der rest :-)

Tschüss
Patrick

TMK · 10. November 2004, 16:03:34 Uhr

Hast das SP2 für WinXP auch schon drauf?!

American · 10. November 2004, 16:23:05 Uhr

Zur Norton diskussion micshe ich mich mal nicht ein, kennt man ja

Das einzige, jedesmal wenn ich meinen Beitrag hier editiert hatte, schlkug Norton bei mir an ( 2 mal ) das im HG eine Seite sich Laden wollte und diese wurde Isoliert. Das ganze war aber immer nur beim edit und das auch nur hier im Beitrag. Vermute das liegt am LogFile.

Pako69 · 10. November 2004, 18:52:17 Uhr

Das würde erklären weshalb er beim Speichern des log files bei mir alarm geschlagen hat.

Vermutlich spricht er auf die reg keys an.

Nein SP2 habe ich nicht drauf......

TMK · 10. November 2004, 19:44:00 Uhr

Solltest aus Sicherheitsgründen unbedingt machen.

Pako69 · 11. November 2004, 18:37:56 Uhr

ok...sagen wir mal so...ein freund von mir hat windows nicht gekauft. möchte aber windows SP installieren und das tut nicht. Was muss er machen außer sich WinXP Prof zu kaufen?

gandal · 12. November 2004, 08:38:03 Uhr

Ich schätze mal. daß Du hier auf Deine Frage keine Antwort bekommst, welche Dein Problem löst.

American · 12. November 2004, 08:42:16 Uhr

So siehts aus. Du hast mom nicht das Recht Sicherheitsupdates zu bekommen. kauf Dir Windows XP und Du hast das recht.

mfg
American

shalala · 23. Februar 2005, 13:45:09 Uhr

Habe ein ähnliches Problem. Habe diesen Sch... bloodhound.exploit.... drauf und bekomme das Teil nicht weg. Habe Winxp ohne sp2, hier das logfile von HijackThis: (Vielen Dank schon mal für die Hilfe!!!!!)

Logfile of HijackThis v1.99.0
Scan saved at 10:53:14, on 23.02.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\Explorer.EXE
C:\WINNT\XPsys.exe
C:\WINNT\winhost.exe
C:\WINNT\winhost.exe
C:\WINNT\winhost.exe
C:\WINNT\winhost.exe
C:\WINNT\winhost.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\WINNT\System32\ezSP_Px.exe
G:\PSADMM\DMM\bin\AutoLaunch.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\WINNT\System32\Drivers\SAP\FD.exe
C:\WINNT\System32\Drivers\SAP\FD_Hide.exe
C:\WINNT\System32\ctfmon.exe
C:\Dokumente und Einstellungen\schule\Anwendungsdaten\acsn.exe
C:\PROGRA~1\GEMEIN~1\PHILIP~1\USBCON~1.EXE
C:\WINNT\System32\dlgfrf.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINNT\System32\wuauclt.exe
C:\Dokumente und Einstellungen\schule\Desktop\hijackthis\HijackThis.exe

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINNT\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [/AutoLaunch] G:\PSADMM\DMM\bin\AutoLaunch.exe
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [FD_SAP] C:\WINNT\System32\Drivers\SAP\FD.exe
O4 - HKLM\..\Run: [FD_HIDE] C:\WINNT\System32\Drivers\SAP\FD_Hide.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINNT\System32\ctfmon.exe
O4 - HKCU\..\Run: [Opel] C:\Dokumente und Einstellungen\schule\Anwendungsdaten\acsn.exe
O4 - HKCU\..\Run: [Xsnytsjt] C:\WINNT\System32\dlgfrf.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O21 - SSODL: eplrr - {7A6B2A12-C172-40DB-A8B4-2A72B7C3D3A4} - C:\WINNT\System32\eplrr3.dll
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe

TMK · 23. Februar 2005, 16:59:28 Uhr

Hast auch mal SpyBot und CWShredder über das System laufen lassen:

http://www.hardwareecke.de/berichte/sicherheit/viren_trojaner_hijacker_schutz_beseitigung_2.php

Mit Hijackthis solltest auf jedenfall die folgenden Einträge löschen:

C:\WINNT\winhost.exe (alle 5)

...und falls du nicht genau weißt, was die folgenden Einträge machen, würde ich die eventuell auch löschen:

C:\WINNT\XPsys.exe
C:\WINNT\System32\Drivers\SAP\FD_Hide.exe
C:\Dokumente und Einstellungen\schule\Anwendungsdaten\acsn.exe
C:\PROGRA~1\GEMEIN~1\PHILIP~1\USBCON~1.EXE
C:\WINNT\System32\dlgfrf.exe
O4 - HKLM\..\Run: [FD_SAP] C:\WINNT\System32\Drivers\SAP\FD.exe
O4 - HKLM\..\Run: [FD_HIDE] C:\WINNT\System32\Drivers\SAP\FD_Hide.exe
O4 - HKCU\..\Run: [Opel] C:\Dokumente und Einstellungen\schule\Anwendungsdaten\acsn.exe
O4 - HKCU\..\Run: [Xsnytsjt] C:\WINNT\System32\dlgfrf.exe
O21 - SSODL: eplrr - {7A6B2A12-C172-40DB-A8B4-2A72B7C3D3A4} - C:\WINNT\System32\eplrr3.dll

Blutengel · 24. Februar 2005, 11:13:43 Uhr

Hallo zusammen,

ich habe leider das gleiche Problem.

Spybot sagt, das System wäre sauber.

Mit dem Logfile von Hijackthis kann ich leider nichts anfangen.

Es wäre ganz toll von euch, wenn sich jemand die Mühe machen könnte, mir zu sagen, welche Einträge ich fixen soll.

Herzlichen Dank für eure Hilfe vorab und liebe Grüße

Marion

LogFile:

Logfile of HijackThis v1.99.1
Scan saved at 10:56:41, on 24.02.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Internet Security\ISSVC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\PestPatrol\PPMemCheck.exe
C:\Programme\PestPatrol\CookiePatrol.exe
C:\Programme\Tweak-XP Pro\AdBlocker.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Tweak-XP Pro\popup.exe
C:\WINDOWS\twain_32\ScanWiz5\SDII.exe
C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
C:\Programme\Microsoft Office\Office10\msoffice.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NSMdtr.exe
C:\WINDOWS\System32\cidaemon.exe
D:\Downloads\Incoming\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\DOKUME~1\MARION~1\LOKALE~1\Temp\mwavscan.com
C:\DOKUME~1\MARION~1\LOKALE~1\Temp\kavss.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.xxx
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [PSDrvCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKCU\..\Run: [BlockAds] "C:\Programme\Tweak-XP Pro\AdBlocker.exe"
O4 - HKCU\..\Run: [Tweak-XP Pro] "C:\Programme\Tweak-XP Pro\Tweak-xp.exe" -ex
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [Pop-Up-Blocker] "C:\Programme\Tweak-XP Pro\popup.exe"
O4 - Startup: Ad-Watch SE Professional.lnk = C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Microtek Scanner Finder.lnk = C:\WINDOWS\twain_32\ScanWiz5\SDII.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O17 - HKLM\System\CCS\Services\Tcpip\..\{75361DB4-E7FB-491A-8539-152958381BB4}: NameServer = 217.237.150.33 217.237.151.161
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PsShutdown (PsShutdownSvc) - Unknown owner - C:\WINDOWS\System32\PSSDNSVC.EXE
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

Hijacker, Bloodhound.exploit .... HILFE BITTE!

09. November 2004, 17:40:22 Uhr #1 Letzte Bearbeitung: 09. November 2004, 17:43:58 Uhr von American

09. November 2004, 17:40:37 Uhr #2

09. November 2004, 19:05:49 Uhr #3

09. November 2004, 19:15:56 Uhr #4

09. November 2004, 20:59:31 Uhr #5

09. November 2004, 22:48:23 Uhr #6

09. November 2004, 23:07:23 Uhr #7

09. November 2004, 23:08:15 Uhr #8

10. November 2004, 07:13:54 Uhr #9

10. November 2004, 16:03:34 Uhr #10

10. November 2004, 16:23:05 Uhr #11

10. November 2004, 18:52:17 Uhr #12

10. November 2004, 19:44:00 Uhr #13

11. November 2004, 18:37:56 Uhr #14

12. November 2004, 08:38:03 Uhr #15

12. November 2004, 08:42:16 Uhr #16

shalala

23. Februar 2005, 13:45:09 Uhr #17

23. Februar 2005, 16:59:28 Uhr #18

24. Februar 2005, 11:13:43 Uhr #19 Letzte Bearbeitung: 24. Februar 2005, 11:19:53 Uhr von Blutengel