Hijack log Download help.asp von 777.sexfiles.nu

von **Molo** am 09.11.2004, 12:26

Hallo,

folgendes Problem:Nach jedem Neustart des Rechners (Win 2000 Pro) erhalte ich beim öffnen des Internetexplorers die Meldung"Download help.asp von 777.sexfiles.nu".Anbei ist die Hijackthislog.Vielleicht kann mir jemand helfen dies zu fixen.

Danke

Molo

Logfile of HijackThis v1.98.2
Scan saved at 11:07:54, on 09.11.2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\Mixer.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\PROGRA~1\GEMEIN~1\ADAPTE~1\CreateCD\CREATE~1.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\WINNT\system32\internat.exe
C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE
C:\Programme\AGFEO\Tk-Suite-Basic-2\tools\ctimon.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\PROGRA~1\Grisoft\AVG6\AVGCC32.EXE
C:\Programme\Tobit InfoCenter\DVWIN32.EXE
C:\PROGRA~1\GEMEIN~1\Logitech\WebColct\WebColct.exe
C:\Dokumente und Einstellungen\Flint.MOLOTOW.000\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://www.coolwwwsearch.com/z/b/x1.cgi?100 (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.molotow.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.coolwwwsearch.com/z/b/x1.cgi?100 (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.coolwwwsearch.com/z/b/x1.cgi?100 (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.coolwwwsearch.com/z/b/x1.cgi?100 (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.coolwwwsearch.com/z/b/x1.cgi?100 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von MOLOTOW
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=192.168.50.1:8080;https=192.168.50.1:8080;ftp=192.168.50.1:1021;socks=192.168.50.1:1080
O1 - Hosts: 1123694712 auto.search.msn.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: T3ToolbarHelper Class - {164E93C4-09BF-4647-9E0B-D5FBB1D35E63} - C:\PROGRA~1\DASRTL~1\DASOER~2.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: DasÖrtliche Such-Leiste - {6E5B18CB-0EB6-4461-88B8-33B4683613D5} - C:\PROGRA~1\DASRTL~1\DASOER~2.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [CreateCD50] C:\PROGRA~1\GEMEIN~1\ADAPTE~1\CreateCD\CREATE~1.EXE -r
O4 - HKLM\..\Run: [TrayX] C:\WINNT\winppr32.exe /sinc
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [ICQ Net] C:\WINNT\winlogon.exe -stealth
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [teenxxx] C:\WINNT\Dialer\pdialer.exe !m
O4 - HKLM\..\Run: [sysPnP] C:\WINNT\System32\bootconf.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [runwinservice] C:\WINNT\system32\host.exe
O4 - Global Startup: db dialog updater.lnk = C:\Programme\db dialog\wiseupdt.EXE
O4 - Global Startup: Symantec Fax Starter Edition-Anschluss.lnk = C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE
O4 - Global Startup: TK-Suite Client.lnk = C:\Programme\AGFEO\Tk-Suite-Basic-2\tools\ctimon.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\programme\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binaries/IA/nethv32_EN.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/0707283c372 ... 601_de.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://192.200.202.47/activex/AxisCamControl.cab
O16 - DPF: {978a4db6-d22a-4d55-b350-dab71097bf69} (Wsd Control) - http://install.sofortzugang.com/dialer/ ... 1047497548
O16 - DPF: {FDC847F8-DA70-4442-8072-FF883F34D14A} - http://toolbar.dasoertliche-marketing.d ... Leiste.cab
O16 - DPF: {FFFB1D8B-88D6-4C91-BB62-378625E8C73E} ({FFFB1D8B-88D6-4C91-BB62-378625E8C73E}) - http://www.popup.to/connect/PremiumConnectLoad.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = molotow.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{74DEC368-FB83-4CEA-A1B4-FC19C3BD822F}: NameServer = 192.168.50.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{AFD98ACE-50E2-4CBD-A77A-87522CC3FC75}: NameServer = 217.5.99.105,194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = molotow.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = molotow.local
O19 - User stylesheet: C:\WINNT\default.css (HKLM)
O21 - SSODL: SystemCheck - {54645654-2225-4455-44A1-9F4543D34544} - C:\WINNT\system32\vbsys.dll

von **Computerdirk** am 09.11.2004, 16:33

Hallöchen,

folgende Einträge solltest du mit HijckThis fixen:

R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://www.coolwwwsearch.com/z/b/x1.cgi?100 (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.coolwwwsearch.com/z/b/x1.cgi?100 (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.coolwwwsearch.com/z/b/x1.cgi?100 (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.coolwwwsearch.com/z/b/x1.cgi?100 (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.coolwwwsearch.com/z/b/x1.cgi?100 (obfuscated)
O1 - Hosts: 1123694712 auto.search.msn.com
O4 - HKLM\..\Run: [TrayX] C:\WINNT\winppr32.exe /sinc
O4 - HKLM\..\Run: [ICQ Net] C:\WINNT\winlogon.exe -stealth
O4 - HKLM\..\Run: [teenxxx] C:\WINNT\Dialer\pdialer.exe !m
O4 - HKLM\..\Run: [sysPnP] C:\WINNT\System32\bootconf.exe
O4 - HKCU\..\Run: [runwinservice] C:\WINNT\system32\host.exe
O4 - Global Startup: db dialog updater.lnk = C:\Programme\db dialog\wiseupdt.EXE
O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binaries/IA/nethv32_EN.cab
O16 - DPF: {978a4db6-d22a-4d55-b350-dab71097bf69} (Wsd Control) - http://install.sofortzugang.com/dialer/ ... 1047497548
O16 - DPF: {FFFB1D8B-88D6-4C91-BB62-378625E8C73E} ({FFFB1D8B-88D6-4C91-BB62-378625E8C73E}) - http://www.popup.to/connect/PremiumConnectLoad.cab
O19 - User stylesheet: C:\WINNT\default.css (HKLM)
O21 - SSODL: SystemCheck - {54645654-2225-4455-44A1-9F4543D34544} - C:\WINNT\system32\vbsys.dll

Verdächtig ist auch der Eintrag:

O3 - Toolbar: DasÖrtliche Such-Leiste - {6E5B18CB-0EB6-4461-88B8-33B4683613D5} - C:\PROGRA~1\DASRTL~1\DASOER~2.DLL

Da mußt du dann selbst entscheiden ob das Programm gewollt ist oder nicht...

von **Molo** am 09.11.2004, 16:37

Hallo,

werde ich gleich ausprobieren.

Vielen Dank schonmal.

Molo

von **Nikita** am 09.11.2004, 19:23

Hallo @Molo

das blosse fixen mit dem hijackthis loescht die viren und dialer und spyware nicht.
das musst du manuell machen.

#Fixe, was oben gepostet wurde...UND PC neustarten

oeffne das hijackthis:

HijackThis<Config<Misc Tools<Delete a file on reboot<
kopiere rein:
C:\WINNT\system32\vbsys.dll
PC neustarten

HijackThis<Config<Misc Tools<Delete a file on reboot<
kopiere rein:
C:\WINNT\winppr32.exe
PC neustarten

HijackThis<Config<Misc Tools<Delete a file on reboot<
kopiere rein:
C:\WINNT\winlogon.exe
PC neustarten

HijackThis<Config<Misc Tools<Delete a file on reboot<
kopiere rein:
C:\WINNT\Dialer\pdialer.exe
PC neustarten

HijackThis<Config<Misc Tools<Delete a file on reboot<
kopiere rein:
C:\WINNT\System32\bootconf.exe
PC neustarten

HijackThis<Config<Misc Tools<Delete a file on reboot<
kopiere rein:
C:\WINNT\system32\host.exe
PC neustarten

HijackThis<Config<Misc Tools<Delete a file on reboot<
kopiere rein:
C:\Programme\db dialog\wiseupdt.EXE
PC neustarten

#oeffne noch mal das HijackThis
Config< Misc Tools < Open Hosts file Manager < Delete line <
loesche alles , lasse nur stehen:
127.1.1.0 localhost
#Original Host Datei

loesche: Hosts: 1123694712 auto.search.msn.com

-------------------------------------------------------------------------------

Internetexplorer reinigen:
1. Klicken Sie in der Menüzeile des Internet Explorers auf Extras und Internet-Optionen.
2. Auf der Registerkarte Allgemein klicken Sie im Bereich Temporäre Internetdateien auf den Button Cookies löschen.
3.Temporaere Internet-Dateien<Dateien loeschen

#Datentraegerbereinigung: und Loeschen der Temporary-Dateien
<Start<Ausfuehren<cleanmgr
#Click:Temporary Internet Files, O.K
#Click:Temporary Files, O.K

#ClaerProg..lade die neuste Version <1.4.0 Final <und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies (mit Ausschlußmöglichkeit beim IE)
- Verlauf
- Temporäre Internetfiles (Cache)
- die eingetragenen URLs
- Autovervollständigen-Einträge in Web-Formularen des IE (bisher nur Win9x/ME)
- Download-Listen des Netscape/Opera
http://www.clearprog.de/downloads.php

#AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!

deaktiviere fuer 15 Tage deinen Virenscanner und lade:
#eScan-Trial
http://www.mwti.net/antivirus/escan/esc ... ivirus.asp (15-Tage- trial-Freeversion)
klicke auf: awn2k3e.exe

Stelle unter <Internetoptionen< eine neue Startseite ein und poste das Log noch mal.

mfg
Nikita

Hijack log Download help.asp von 777.sexfiles.nu

Hijack log Download help.asp von 777.sexfiles.nu

Ähnliche Themen

Wer ist online?