begin2search.com-bar\bxxs5.dll \"toolbar.desktoptraffic

von **haligh** am 21.09.2004, 10:39

he ihr!
ich habe ein wirklich nerviges problem und wie man schon am titel meines topics erkennen kann, denke ich, dass es an einer symbolleiste von begin2search.com liegt. ich hab keine ahnung woher ich dieses ding habe, jedenfalls kriege ich es nicht weg.
zu allem überfluss erscheint jedesmal, wenn ich ein neues explorerfenster aufmache, der antivirguard zwei mal oder bis ich diese symbolleiste wieder zumache.
hijackthis scheint bei mir nicht zu funktionieren.

habe es schon zweimal runtergeladen, aber immer wenn ich es laufen lassen will, kommt ein fehlerfenster....

wäre wirklich für eure hilfe dankbar!

von **Gabi** am 21.09.2004, 10:44

Hallo,

welches Fenster erscheint denn beim HijacksThis?

Gruß Gabi

von **Nikita** am 21.09.2004, 12:06

Hallo@haligh

http://www.hijackthis.de/index.php
Lade das HijackThis (ganz oben auf der Site, Direktdownload), scanne, save und kopiere das Log ins Forum.

mfg
Nikita

von **haligh** am 21.09.2004, 12:56

jetzt ging es, danke für den link.

Logfile of HijackThis v1.98.2
Scan saved at 12:52:10, on 21.09.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
D:\Programme\AVPersonal\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\tcpsvcs.exe
C:\DOKUME~1\MELANI~1\LOKALE~1\TEMP\_VWUPSRV.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\starter.exe
C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_S4I0C2.EXE
D:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\D-Link\D-Link DSL-260I USB ADSL Modem\dslmon.exe
C:\WINNT\system32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINNT\system32\ntvdm.exe
D:\T-ONLINE\BSW3\ToDuCAlC.EXE
d:\Programme\BitTornado\btdownloadgui.exe
D:\Programme\Microsoft Office\Office10\WINWORD.EXE
D:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Melanie Vogel\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.begin2search.com/googlesidesearch.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.begin2search.com/googlesidesearch.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.begin2search.com/googlesidesearch.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://freemail.web.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://freemail.web.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.begin2search.com/googlesidesearch.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.begin2search.com/googlesidesearch.html
R3 - URLSearchHook: (no name) - {FC2874C5-7433-2670-3224-DB0CDE381F68} - C:\WINNT\Wixthino.dll
O1 - Hosts: 216.130.185.143 websearch.com
O1 - Hosts: 216.130.185.143 websearch.com
O1 - Hosts: 216.130.185.143 websearch.com
O1 - Hosts: 216.130.185.143 www.websearch.com
O1 - Hosts: 216.130.185.143 websearch.com
O1 - Hosts: 216.130.185.143 www.websearch.com
O1 - Hosts: 216.130.185.143 websearch.com
O1 - Hosts: 216.130.185.143 www.websearch.com
O2 - BHO: ohb - {4D568F0F-8AC9-40AB-88B7-415134C78777} - C:\WINNT\system32\winb2s32.dll
O2 - BHO: Redirect Class - {9516919A-9D32-4B17-BD14-2CE488599F65} - C:\Programme\EE\EEF.dll
O2 - BHO: (no name) - {E8489E30-1D53-6305-042B-1BC626442B55} - C:\WINNT\Wixthino.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll (file missing)
O3 - Toolbar: Search - {7F91A20A-FB2B-73A6-E05B-D31D6471AD5C} - C:\WINNT\Wixthino.dll
O3 - Toolbar: Begin2Search.com Bar - {52FE5233-367C-4EFB-BDD7-0BE4D212C107} - C:\WINNT\system32\winb2s32.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [Microsoft Update 32] explore32.exe
O4 - HKLM\..\Run: [P2P Networking] C:\WINNT\system32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [KAZAA] d:\Programme\Kazaa\kazaa.exe /SYSTRAY
O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_S4I0C2.EXE /P23 "EPSON Stylus C64 Series" /O5 "LPT1:" /M "Stylus C64"
O4 - HKLM\..\Run: [ICQ Lite] d:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe"
O4 - HKLM\..\Run: [ee.exe] C:\Programme\EE\ee.exe
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [Microsoft Update 32] explore32.exe
O4 - HKCU\..\Run: [MyDailyHoroscope] C:\PROGRA~1\MYDAIL~1\MYDAIL~1.EXE
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: DSLMON.lnk = C:\Programme\D-Link\D-Link DSL-260I USB ADSL Modem\dslmon.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe
O16 - DPF: v2cab - http://searchmiracle.com/cab/v2cab.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file. ... e7747ca5cd
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{D8C5DF2F-F600-43C0-A3F4-71CF1593E293}: NameServer = 217.237.150.33 217.237.151.161

von **Nikita** am 21.09.2004, 13:24

Hallo @haligh

Begin2Search bar, iLookup variant

Gehe in die Registry
Start<Ausfuehren<regedit

Loesche RECHTS in der Registry folgendes (wenn es da ist)

HKEY_CLASSES_ROOT\clsid\{4D568F0F-8AC9-40AB-88B7-415134C78777}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4D568F0F-8AC9-40AB-88B7-415134C78777}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar {52FE5233-367C-4EFB-BDD7-0BE4D212C107}

<HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs C:\WINNT\System32\winb2s32.dll

<HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs
C:\WINNT\System32\dsktrf.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{07E9CDF4-20D2-46B1-B681-663968F527CE}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{09C14745-90FD-42D1-9276-4924D7DBC274}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4D568F0F-8AC9-40AB-88B7-415134C78777}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{52FE5233-367C-4EFB-BDD7-0BE4D212C107}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7C5E5671-7A1D-4AE8-91F0-496ADF2825F7}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winb2s.amo.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winb2s.amo
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winb2s.dbi.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winb2s.dbi
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winb2s.iiittt.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winb2s.iiittt
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winb2s.momo.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winb2s.momo
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winb2s.ohb.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winb2s.ohb
HKEY_LOCAL_MACHINE\SOFTWARE\Enconfidence\AL
HKEY_LOCAL_MACHINE\SOFTWARE\Enconfidence\ChannelManager
HKEY_LOCAL_MACHINE\SOFTWARE\Enconfidence\Directory
HKEY_LOCAL_MACHINE\SOFTWARE\Enconfidence\MyDailyHoroscope
HKEY_LOCAL_MACHINE\SOFTWARE\Enconfidence\Offline
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{07E9CDF4-20D2-46B1-B681-663968F527CE}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/System32/winb2s32.dll
HKEY_CURRENT_USER\Software\aaa_soft
HKEY_CLASSES_ROOT\clsid\{08227B4B-54FE-4C4D-809F-BCA46292FC5B}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{08227B4B-54FE-4C4D-809F-BCA46292FC5B}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{CB5B2BC6-F957-4D8A-BE67-83F3EC58BA01} - C:\WINDOWS\system32\dsktrf.dll
____________________________________________________________________
1.Deaktivieren Wiederherstellung
http://service1.symantec.com/SUPPORT/IN ... 7105707924

scanne noch einmal mit dem HijackThis, hake an, was ich poste und<fix<, dann neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.begin2search.com/googlesidesearch.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.begin2search.com/googlesidesearch.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.begin2search.com/googlesidesearch.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.begin2search.com/googlesidesearch.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.begin2search.com/googlesidesearch.html
R3 - URLSearchHook: (no name) - {FC2874C5-7433-2670-3224-DB0CDE381F68} - C:\WINNT\Wixthino.dll
O1 - Hosts: 216.130.185.143 websearch.com
O1 - Hosts: 216.130.185.143 websearch.com
O1 - Hosts: 216.130.185.143 websearch.com
O1 - Hosts: 216.130.185.143 www.websearch.com
O1 - Hosts: 216.130.185.143 websearch.com
O1 - Hosts: 216.130.185.143 www.websearch.com
O1 - Hosts: 216.130.185.143 websearch.com
O1 - Hosts: 216.130.185.143 www.websearch.com
O2 - BHO: ohb - {4D568F0F-8AC9-40AB-88B7-415134C78777} - C:\WINNT\system32\winb2s32.dll
O2 - BHO: Redirect Class - {9516919A-9D32-4B17-BD14-2CE488599F65} - C:\Programme\EE\EEF.dll
O2 - BHO: (no name) - {E8489E30-1D53-6305-042B-1BC626442B55} - C:\WINNT\Wixthino.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll (file missing)
O3 - Toolbar: Search - {7F91A20A-FB2B-73A6-E05B-D31D6471AD5C} - C:\WINNT\Wixthino.dll
O3 - Toolbar: Begin2Search.com Bar - {52FE5233-367C-4EFB-BDD7-0BE4D212C107} - C:\WINNT\system32\winb2s32.dll
O4 - HKLM\..\Run: [Microsoft Update 32] explore32.exe
O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe"
O4 - HKLM\..\Run: [ee.exe] C:\Programme\EE\ee.exe
O4 - HKLM\..\RunServices: [Microsoft Update 32] explore32.exe

O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O16 - DPF: v2cab - http://searchmiracle.com/cab/v2cab.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file. ... a5cd7f1365

neustarten

#Start<Ausfuehren<cmd
reinkopieren:
regsvr32 /u c:\system32\dsktrf.dll
<enter<

versuche das auch mit folgenden :
regsvr32 /u c:\system32\adpop.dll
regsvr32 /u c:\system32\ineb.dll
regsvr32 /u c:\system32\gws.dll
regsvr32 /u c:\system32\chgrgs.dll
regsvr32 /u c:\system32\abeb.dll
regsvr32 /u c:\system32\bmeb.dll
regsvr32 /u c:\system32\sbus.dll
regsvr32 /u c:\system32\drbr.dll

KillBox
geh auf Delete File on Reboot und klick auf das rote Kreuz,
wenn gefragt wird, ob reboot-> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"
http://www.bleepingcomputer.com/files/killbox.php

Begin2Search bar, iLookup variant
C:\WINNT\system32\dsktrf.dll
C:\WINNT\System32\winb2s32.dll
C:\WINNT\system32\reg6523.exe
C:\WINNT\system32\b2s_cache

C:\Programme\EE\ee.exe
C:\WINNT\system32\explore32.exe
C:\WINNT\Wixthino.dll
C:\Programme\Web_Rebates\WebRebates0.exe

C:\WINNT\system32\adpop.dll
C:\WINNT\system32\ineb.dll
C:\WINNT\system32\gws.dll
C:\WINNT\system32\chgrgs.dll
C:\WINNT\system32\abeb.dll
C:\WINNT\system32\bmeb.dll
C:\WINNT\system32\sbus.dll
C:\WINNT\system32\drbr.dll

PC neustarten

1.#Hoster-Tool : http://members.aol.com/toadbee/hoster.zip
Press 'Restore Original Hosts' and press 'OK'
Exit Program.

Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

2.Das eScan AV Toolkit (mwav.exe) herunterladen,
#eScan-Erkennungstool
http://www.rokop-security.de/board/inde ... topic=3867

#wieder in den Normalmodus gehen und noch mal mit mwav.exe scannen.

#Poste danach Virus Log Information:(aus Log-Viewer abkopieren)
was als <deleted< und <renamed< und <no action taken< gefunden wurde und das neue Log vom HijackThis noch mal posten

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

mfg
Nikita

von **haligh** am 21.09.2004, 21:11

habe es mal mit dem reparieren versucht.

bin ein wenig im stress, konnte gerade nicht alle daten finde, die er gelöscht, bzw. bei denen er den namen verändert hat...

Temp\backups\backup-20040921-140306-390.dll infected by "not-a-virus:AdvWare.Beginto.a" Virus.
File C:\WINNT\system32\mnyz.exe infected by "TrojanDownloader.Win32.Small.qd" Virus. Action Taken: File Deleted.
File C:\WINNT\system32\istinstall_adlogix.exe infected by "TrojanDownloader.Win32.IstBar.er" Virus. Action Taken: File Deleted.
File C:\WINNT\preInsln.exe infected by "not-a-virus:AdvWare.BiSpy.o" Virus. Action Taken: File Renamed.
File C:\WINNT\localNRD.dll infected by "not-a-virus:AdvWare.BiSpy.n" Virus. Action Taken: File Renamed.

Logfile of HijackThis v1.98.2
Scan saved at 19:51:11, on 21.09.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
D:\Programme\AVPersonal\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\tcpsvcs.exe
C:\DOKUME~1\MELANI~1\LOKALE~1\TEMP\_VWUPSRV.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\starter.exe
C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_S4I0C2.EXE
D:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\D-Link\D-Link DSL-260I USB ADSL Modem\dslmon.exe
C:\WINNT\system32\wuauclt.exe
C:\WINNT\system32\ntvdm.exe
D:\T-ONLINE\BSW3\ToDuCAlC.EXE
D:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Melanie Vogel\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://freemail.web.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dl ... ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dl ... r=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dl ... r=iesearch
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_S4I0C2.EXE /P23 "EPSON Stylus C64 Series" /O5 "LPT1:" /M "Stylus C64"
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
O4 - Global Startup: DSLMON.lnk = C:\Programme\D-Link\D-Link DSL-260I USB ADSL Modem\dslmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -

ein großes danke für die hilfe!

von **Nikita** am 22.09.2004, 01:20

Hallo @haligh

Das Log ist sauber

Nun gibt es noch folgendes zu tun:

#AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!.
Files, die Adaware findet, können bedenkenlos gelöscht werden.

#Alternativbrowser zum IE
Firefox
http://www.mozilla-europe.org/de/
Installation+Konfiguration Firefox
http://www.pcwelt.de/know-how/software/ ... ndex1.html

#.Wiederherstellung deaktivieren, booten und wieder aktivieren
http://service1.symantec.com/SUPPORT/IN ... 7105707924

#NT- Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org
Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein.

Die REGSVC.EXE (Remote Registry Service) ist ein Systemprozess.
Mit dieser kann man von einem anderen Rechner auf die Registry zugreifen und sie bearbeiten.
Wer diesen Dienst nicht nutzt (was wohl für die Meisten zutrifft) kann ihn deaktivieren....Sicherheitsrisiko !!!!!!
Start<Systemsteuerung<Verwaltung<Dienste

mfg
Nikita

von **haligh** am 22.09.2004, 23:54

hab das jetzt alles gemacht und mein pc ist wieder ganz brav

nochmal vielen, vielen dank an dich

von **Hungriger_Hugo** am 23.09.2004, 15:10

Hallo,

hab das gleiche Problem

. Wollte fragen, ob Du Dir folgenden Logfile auch anschauen würdest. Hab da keine Ahnung von.
Wär echt nett, ich krieg das Ding nicht runter.

Gruss,
Christian

Logfile of HijackThis v1.98.2
Scan saved at 15:09:16, on 23.09.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton Personal Firewall\NISUM.EXE
C:\Programme\Norton Personal Firewall\ccPxySvc.exe
C:\WINNT\System32\svchost.exe
C:\Programme\F-Secure\Anti-Virus\fsgk32st.exe
C:\Programme\F-Secure\Anti-Virus\FSGK32.EXE
C:\Programme\F-Secure\Anti-Virus\fssm32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Programme\F-Secure\Common\FSMA32.EXE
C:\Programme\F-Secure\Common\FSMB32.EXE
C:\Programme\F-Secure\Common\FCH32.EXE
C:\Programme\F-Secure\Common\FAMEH32.EXE
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\F-Secure\Common\FSM32.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\PROGRA~1\MYDAIL~1\MYDAIL~1.EXE
C:\Programme\F-Secure\Common\FNRB32.EXE
C:\Programme\F-Secure\Common\FIH32.EXE
C:\Programme\F-Secure\Anti-Virus\fsav32.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINNT\system32\tftp.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Christian1\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.begin2search.com/googlesidesearch.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.begin2search.com/googlesidesearch.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.begin2search.com/googlesidesearch.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.e30.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.begin2search.com/googlesidesearch.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.begin2search.com/googlesidesearch.html
O1 - Hosts: 216.130.185.143 websearch.com
O1 - Hosts: 216.130.185.143 www.adwave.com
O1 - Hosts: 216.130.185.143 adwave.com
O1 - Hosts: 216.130.185.143 www.xzoomy.com
O1 - Hosts: 216.130.185.143 xzoomy.com
O1 - Hosts: 216.130.185.143 www.advnt01.com
O1 - Hosts: 216.130.185.143 advnt01.com
O1 - Hosts: 216.130.185.143 websearch.com
O1 - Hosts: 216.130.185.143 www.adwave.com
O1 - Hosts: 216.130.185.143 adwave.com
O1 - Hosts: 216.130.185.143 www.xzoomy.com
O1 - Hosts: 216.130.185.143 xzoomy.com
O1 - Hosts: 216.130.185.143 www.advnt01.com
O1 - Hosts: 216.130.185.143 advnt01.com
O1 - Hosts: 216.130.185.143 websearch.com
O1 - Hosts: 216.130.185.143 www.adwave.com
O1 - Hosts: 216.130.185.143 adwave.com
O1 - Hosts: 216.130.185.143 www.xzoomy.com
O1 - Hosts: 216.130.185.143 xzoomy.com
O1 - Hosts: 216.130.185.143 www.advnt01.com
O1 - Hosts: 216.130.185.143 advnt01.com
O2 - BHO: CExtension Object - {0019C3E2-DD48-4A6D-ABCD-8D32436323D9} - C:\WINNT\bxxs5.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: ohb - {4D568F0F-8AC9-40AB-88B7-415134C78777} - C:\WINNT\SYSTEM32\winb2s32.dll
O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINNT\system32\nvms.dll
O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINNT\system32\mscb.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINNT\system32\msbe.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: (no name) - {52FE5233-367C-4EFB-BDD7-0BE4D212C107} - C:\WINNT\SYSTEM32\winb2s32.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [bxxs5] RunDLL32.EXE C:\WINNT\bxxs5.dll,DllRun
O4 - HKCU\..\Run: [MyDailyHoroscope] C:\PROGRA~1\MYDAIL~1\MYDAIL~1.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {27FA5271-12D2-43E3-9424-365A43236EE7} (PIXACO upload plugin) - http://express.bilderservice.de/static/ ... upload.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E4D98005-CF1D-49F4-9D99-1E877F6D9ACD}: NameServer = 217.237.150.141 217.237.150.97

von **Nikita** am 23.09.2004, 15:28

Hi @Hungriger_Hugo

Scanne mit dem HijackThis, dann hake an, was ich poste und <fix<
Danach sofort neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.begin2search.com/googlesidesearch.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.begin2search.com/googlesidesearch.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.begin2search.com/googlesidesearch.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.begin2search.com/googlesidesearch.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.begin2search.com/googlesidesearch.html
O1 - Hosts: 216.130.185.143 websearch.com
O1 - Hosts: 216.130.185.143 www.adwave.com
O1 - Hosts: 216.130.185.143 adwave.com
O1 - Hosts: 216.130.185.143 www.xzoomy.com
O1 - Hosts: 216.130.185.143 xzoomy.com
O1 - Hosts: 216.130.185.143 www.advnt01.com
O1 - Hosts: 216.130.185.143 advnt01.com
O1 - Hosts: 216.130.185.143 websearch.com
O1 - Hosts: 216.130.185.143 www.adwave.com
O1 - Hosts: 216.130.185.143 adwave.com
O1 - Hosts: 216.130.185.143 www.xzoomy.com
O1 - Hosts: 216.130.185.143 xzoomy.com
O1 - Hosts: 216.130.185.143 www.advnt01.com
O1 - Hosts: 216.130.185.143 advnt01.com
O1 - Hosts: 216.130.185.143 websearch.com
O1 - Hosts: 216.130.185.143 www.adwave.com
O1 - Hosts: 216.130.185.143 adwave.com
O1 - Hosts: 216.130.185.143 www.xzoomy.com
O1 - Hosts: 216.130.185.143 xzoomy.com
O1 - Hosts: 216.130.185.143 www.advnt01.com
O1 - Hosts: 216.130.185.143 advnt01.com
O2 - BHO: CExtension Object - {0019C3E2-DD48-4A6D-ABCD-8D32436323D9} - C:\WINNT\bxxs5.dll
O2 - BHO: ohb - {4D568F0F-8AC9-40AB-88B7-415134C78777} - C:\WINNT\SYSTEM32\winb2s32.dll
O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINNT\system32\nvms.dll
O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINNT\system32\mscb.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINNT\system32\msbe.dll
O3 - Toolbar: (no name) - {52FE5233-367C-4EFB-BDD7-0BE4D212C107} - C:\WINNT\SYSTEM32\winb2s32.dll
O4 - HKLM\..\Run: [bxxs5] RunDLL32.EXE C:\WINNT\bxxs5.dll,DllRun

neustarten

#Hoster-Tool : http://members.aol.com/toadbee/hoster.zip
Press 'Restore Original Hosts' and press 'OK'
Exit Program.

#Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"

#Internet Explorer<Menüleiste Extras<Internet Optionen<Allgemein<Verlauf" leeren, Cookies, TemporaryInternetfiles (auch Offline) loeschen

#CWShredder 1.59
http://www.chip.de/downloads/c_downloads_11353799.html
WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!.

1.Start<Ausfuehren<cmd
in das DOS-Fenster reinkopieren
regsvr32 /u C:\WINNT\system32\msbe.dll
<enter<

2.Start<Ausfuehren<cmd
in das DOS-Fenster reinkopieren
regsvr32 /u C:\WINNT\system32\nvms.dll
<enter<

3.Start<Ausfuehren<cmd
in das DOS-Fenster reinkopieren
regsvr32 /u C:\WINNT\bxxs5.dll
<enter<

4.Start<Ausfuehren<cmd
in das DOS-Fenster reinkopieren
regsvr32 /uC:\WINNT\SYSTEM32\winb2s32.dll
<enter<

#NEUSTARTEN

Loeschen:
<C:\WINNT\system32\msbe.dll
<C:\WINNT\system32\nvms.dll
<C:\WINNT\bxxs5.dll
<C:\WINNT\SYSTEM32\winb2s32.dll

#Start<Ausfuehren<cmd
1. reinkopieren: cleanmgr
2. Click Temporary Internet Files, O.K

#AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!.
Files, die Adaware findet, können bedenkenlos gelöscht werden.

#Spysweeper
http://www.spysweeper.com/

#poste das neue Log vom HijackThis noch mal

mfg
Nikita
_________________________________________________________________
File Name: bxxs5.dll
Description: IE Browser Helper Object of adware BookedSpace that is used to display popup advertisements.
Security Issues: May download and install third-party software as directed by its controlling server.
BookedSpace/Remanent is silently installed by MThree MP3 to WAV converter. BookedSpace/BS2, BS3 and BXXS5 are silently installed by versions of FreeWire and FreeMP3Player.
http://allentech.net/parasite/BookedSpace.html

von **Hungriger_Hugo** am 23.09.2004, 17:00

Hallo,

das ging ja schnell mit der Antwort. Tausend Dank erstmal für die erstklassige Hilfe!!! Ohne Dich hätte ich den PC wohl neu machen müssen.
Läuft bisher alles wieder wie vorher.
Hier trotzdem nochmal der neue logfile von HijackThis:

Logfile of HijackThis v1.98.2
Scan saved at 16:58:26, on 23.09.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton Personal Firewall\NISUM.EXE
C:\Programme\Norton Personal Firewall\ccPxySvc.exe
C:\WINNT\System32\svchost.exe
C:\Programme\F-Secure\Anti-Virus\fsgk32st.exe
C:\Programme\F-Secure\Anti-Virus\FSGK32.EXE
C:\Programme\F-Secure\Anti-Virus\fssm32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Programme\F-Secure\Common\FSMA32.EXE
C:\Programme\F-Secure\Common\FSMB32.EXE
C:\Programme\F-Secure\Common\FCH32.EXE
C:\Programme\F-Secure\Common\FAMEH32.EXE
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\F-Secure\Common\FSM32.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\F-Secure\Common\FNRB32.EXE
C:\Programme\F-Secure\Common\FIH32.EXE
C:\Programme\F-Secure\Anti-Virus\fsav32.exe
C:\Dokumente und Einstellungen\Christian1\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.e30.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.begin2search.com/googlesidesearch.html
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\RunServices: [WindowsRegKeys update] winsysi.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\MICROS~1\Office10\EXCEL.EXE/3000
O16 - DPF: {27FA5271-12D2-43E3-9424-365A43236EE7} (PIXACO upload plugin) - http://express.bilderservice.de/static/ ... upload.cab

von **Nikita** am 23.09.2004, 17:30

Hallo @Hungriger_Hugo

Alles noch verseucht....Vielleicht machst du doch besser alles platt...du hast dir einen Backdoor eingefangen..
#Backdoor Functionality
http://www.trojaner-board.de/showpost.p ... ostcount=9
#Wenn ein System kompromittiert wurde, ist das System nicht mehr vertrauenswürdig
http://oschad.de/wiki/index.php/Kompromittierung

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.begin2search.com/googlesidesearch.html
O4 - HKLM\..\RunServices: [WindowsRegKeys update] winsysi.exe

neustarten

deaktiviere die Wiederherstellung
«XP
http://service1.symantec.com/SUPPORT/IN ... 7105707924

Das eScan AV Toolkit (mwav.exe) herunterladen,
#eScan-Erkennungstool
http://www.rokop-security.de/board/inde ... topic=3867

<Gehe wieder in den Normalmodus und scanne noch mal.

<Poste danach Virus Log Information: (aus Viewer abkopieren)
was als <deleted< und <renamed< und <no action taken< gefunden wurde und das neue Log vom HijackThis noch mal posten.
...........................................................................................................
#Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein.

Die REGSVC.EXE (Remote Registry Service) ist ein Systemprozess.
Mit dieser kann man von einem anderen Rechner auf die Registry zugreifen und sie bearbeiten.
Wer diesen Dienst nicht nutzt (was wohl für die Meisten zutrifft) kann ihn deaktivieren....Sicherheitsrisiko !!!!!!
Start<Systemsteuerung<Verwaltung<Dienste

#Windows-Dienste abschalten"!
http://www.dingens.org/
http://www.ntsvcfg.de/kss_xp/kss_xp.html#smb

mfg
Nikita

von **Hungriger_Hugo** am 24.09.2004, 20:25

Hi Nikita,

hat ein bisschen gedauert, hier der Log von dem Antivirus und ein neuer HijackThis Log.

Antivirus Logfile:
Thu Sep 23 18:02:39 2004 => File C:\WINNT\system32\449166.exe infected by "not-a-virus:AdvWare.Beginto.a" Virus. Action Taken: File Renamed
Thu Sep 23 18:02:40 2004 => File C:\WINNT\system32\abetterinternet.exe infected by "not-a-virus:AdvWare.BetterInternet" Virus. Action Taken: File Renamed
Thu Sep 23 18:02:50 2004 => File C:\WINNT\system32\ATI2VID.0XE infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed
Thu Sep 23 18:02:52 2004 => File C:\WINNT\system32\ATIPHEXX.0XE infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed
Thu Sep 23 18:03:22 2004 => File C:\WINNT\system32\EXPLORE32.0XE infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed
Thu Sep 23 18:03:52 2004 => File C:\WINNT\system32\MSCONFG.0XE infected by "Backdoor.SdBot.jg" Virus. Action Taken: File Renamed
Thu Sep 23 18:03:56 2004 => File C:\WINNT\system32\MSLTI32.0XE infected by "Backdoor.SdBot.ma" Virus. Action Taken: File Renamed
Thu Sep 23 18:04:06 2004 => File C:\WINNT\system32\newdevin.exe infected by "not-a-virus:AdvWare.BookedSpace.c" Virus. Action Taken: File Renamed
Thu Sep 23 18:04:16 2004 => File C:\WINNT\system32\PDSched.exe infected by "Backdoor.SdBot.jt" Virus. Action Taken: File Renamed
Thu Sep 23 18:04:50 2004 => File C:\WINNT\system32\WINREGS32.0XE infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed
Thu Sep 23 18:04:51 2004 => File C:\WINNT\system32\WINSYSI.0XE infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed
Thu Sep 23 18:04:57 2004 => File C:\WINNT\system32\ZONEALARM.0XE infected by "Backdoor.Rbot.gen" Virus. Action Taken: File Renamed
Thu Sep 23 18:05:52 2004 => File C:\Dokumente und Einstellungen\Christian1\Desktop\backups\backup-20040923-160816-990.dll infected by "not-a-virus:AdvWare.Beginto.a" Virus. Action Taken: File Renamed
Thu Sep 23 18:06:06 2004 => File C:\Dokumente und Einstellungen\Christian1\Lokale Einstellungen\Temp\II22.exe infected by "not-a-virus:AdvWare.BetterInternet" Virus. Action Taken: File Renamed
Thu Sep 23 18:06:08 2004 => File C:\Dokumente und Einstellungen\Christian1\Lokale Einstellungen\Temp\nsq12C.tmp\new_net.exe infected by "not-a-virus:AdvWare.NewDotNet" Virus. Action Taken: File Renamed
Thu Sep 23 18:06:08 2004 => File C:\Dokumente und Einstellungen\Christian1\Lokale Einstellungen\Temp\nsq12C.tmp\ol-setup5.exe infected by "Backdoor.Win32.Blarul.d" Virus. Action Taken: File Renamed
Thu Sep 23 18:06:09 2004 => File C:\Dokumente und Einstellungen\Christian1\Lokale Einstellungen\Temp\nsq12C.tmp\webhancer.exe infected by "not-a-virus:AdvWare.WebHancer" Virus. Action Taken: File Renamed
Thu Sep 23 18:18:27 2004 => File D:\Fester\Neuer Ordner\eDonkey61.exe infected by "not-a-virus:AdvWare.EZula.j" Virus. Action Taken: File Renamed

File D:\Christian\Programme und Serials\FlashXP\ffxp14.zip tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\Christian\Programme und Serials\FlashXP\Setup.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Thu Sep 23 18:47:30 2004 => Total Number of Files Scanned: 72350
Thu Sep 23 18:47:30 2004 => Total Number of Virus(es) Found: 20
Thu Sep 23 18:47:30 2004 => Total Number of Disinfected Files: 0
Thu Sep 23 18:47:30 2004 => Total Number of Files Renamed: 18

Logfile of HijackThis v1.98.2
Scan saved at 20:21:54, on 24.09.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton Personal Firewall\NISUM.EXE
C:\Programme\Norton Personal Firewall\ccPxySvc.exe
C:\WINNT\System32\svchost.exe
C:\Programme\F-Secure\Anti-Virus\fsgk32st.exe
C:\Programme\F-Secure\Anti-Virus\FSGK32.EXE
C:\Programme\F-Secure\Anti-Virus\fssm32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Programme\F-Secure\Common\FSMA32.EXE
C:\Programme\F-Secure\Common\FSMB32.EXE
C:\Programme\F-Secure\Common\FCH32.EXE
C:\Programme\F-Secure\Common\FAMEH32.EXE
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Programme\F-Secure\Common\FNRB32.EXE
C:\Programme\F-Secure\Common\FIH32.EXE
C:\Programme\F-Secure\Anti-Virus\fsav32.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\F-Secure\Common\FSM32.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Dokumente und Einstellungen\Christian1\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.e30.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\MICROS~1\Office10\EXCEL.EXE/3000
O16 - DPF: {27FA5271-12D2-43E3-9424-365A43236EE7} (PIXACO upload plugin) - http://express.bilderservice.de/static/ ... upload.cab

von **Nikita** am 24.09.2004, 23:31

Hallo @Hungriger_Hugo

Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"

Loesche alle <reanamed-files manuell:

C:\WINNT\system32\449166.exe
C:\WINNT\system32\abetterinternet.exe
C:\WINNT\system32\ATI2VID.0XE
C:\WINNT\system32\ATIPHEXX.0XE
C:\WINNT\system32\EXPLORE32.0XE
C:\WINNT\system32\MSCONFG.0XE
C:\WINNT\system32\MSLTI32.0XE
C:\WINNT\system32\newdevin.exe
C:\WINNT\system32\PDSched.exe
C:\WINNT\system32\WINREGS32.0XE
C:\WINNT\system32\WINSYSI.0XE
C:\WINNT\system32\ZONEALARM.0XE
C:\Dokumente und Einstellungen\Christian1\Desktop\backups\backup-20040923-160816-990.dll
C:\Dokumente und Einstellungen\Christian1\Lokale Einstellungen\Temp\II22.exe
C:\Dokumente und Einstellungen\Christian1\Lokale Einstellungen\Temp\nsq12C.tmp\new_net.exe
C:\Dokumente und Einstellungen\Christian1\Lokale Einstellungen\Temp\nsq12C.tmp\ol-setup5.exe
C:\Dokumente und Einstellungen\Christian1\Lokale Einstellungen\Temp\nsq12C.tmp\webhancer.exe
D:\Fester\Neuer Ordner\eDonkey61.exe

Dann scanne noch mal mit <eScan< im Normalmodus, bis alles clean bleibt.

Vergiss nicht, die Wiederherstellung zu aktivieren und wenn alles sauber ist, wieder aktivieren.
Deaktivieren Wiederherstellung
XP
http://service1.symantec.com/SUPPORT/IN ... 7105707924

.............................................................................................................................................................
RegSupreme:
http://www.computerbase.de/downloads/so ... egsupreme/
Die Sprache kann man im Programm unter Language auf deutsch problemlos umstellen, das Programm muss danach NICHT neu gestartet werden, die sprache wird sofort umgestellt.
Dieses Programm erstellt als erstes eine Sicherungsdatei eurer Registry, diese kann natürlich ne weile dauern. Wenn ihr aufgefordert werdet, einer Datei einen Namen zu vergeben, dann macht ihr das bitte. Nützlich und sinnvoll haben sich bezeichnungen wie: regback_jeweiliges datum u.ä. um die backup datei jederzeit wieder verwenden kann.

mfg
Nikita

von **lonie** am 25.09.2004, 16:43

Hallo,
nachdem ich seit 2 Tagen mit einer ähnlichen Symptomatik (begin2search.com-bar...) hier vor dem Rechner sitzte, hab ich nun versucht mit Hilfe der ganzen Beiträge hier weiterzukommen. Allerdings komme ich nicht weiter... Ist jemand bereit, sich meinen log mal anzuschauen???
Nachdem mein IE immernoch nicht funktioniert, bin ich nun mit mozilla online. Allerdings denke ich, dass da noch Spuren der Verseuchung sind, sonst würde der IE doch gehen, oder?
Für ne Unterstützung wäre ich echt dankbar!

Logfile of HijackThis v1.97.7
Scan saved at 16:42:58, on 25.09.2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
G:\WINNT\System32\smss.exe
G:\WINNT\system32\winlogon.exe
G:\WINNT\system32\services.exe
G:\WINNT\system32\lsass.exe
G:\WINNT\system32\svchost.exe
G:\WINNT\System32\svchost.exe
G:\WINNT\system32\spoolsv.exe
G:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
G:\Programme\Norton AntiVirus\navapsvc.exe
G:\Programme\Norton Internet Security\NISUM.EXE
G:\WINNT\System32\nvsvc32.exe
G:\WINNT\system32\regsvc.exe
G:\WINNT\system32\MSTask.exe
G:\WINNT\system32\stisvc.exe
G:\Programme\Norton Internet Security\SymProxySvc.exe
G:\WINNT\System32\WBEM\WinMgmt.exe
G:\WINNT\Explorer.EXE
G:\WINNT\System32\MsPMSPSv.exe
G:\WINNT\system32\svchost.exe
G:\Programme\Norton Internet Security\NISSERV.EXE
G:\WINNT\System32\RunDll32.exe
G:\WINNT\System32\spool\drivers\w32x86\3\hpztsb04.exe
G:\WINNT\htpatch.exe
G:\Programme\Norton Internet Security\IAMAPP.EXE
G:\PROGRA~1\NORTON~1\navapw32.exe
G:\Programme\QuickTime\qttask.exe
G:\WINNT\System32\RUNDLL32.EXE
G:\WINNT\System32\ctfmon.exe
G:\WINNT\DvzCommon\DvzMsgr.exe
G:\Programme\Analog Devices\Teledat 300 USB Treiber\dslmon.exe
G:\Programme\Palm\HOTSYNC.EXE
G:\Programme\Mozilla Firefox\firefox.exe
G:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
G:\Programme\Microsoft Office\Office10\WINWORD.EXE
G:\Dokumente und Einstellungen\Administrator\Eigene Dateien\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - G:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - G:\WINNT\System32\nvms.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - G:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {CE188402-6EE7-4022-8868-AB25173A3E14} - G:\WINNT\System32\mscb.dll
O2 - BHO: (no name) - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - G:\WINNT\System32\msbe.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - G:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - G:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Begin2Search.com Bar - {52FE5233-367C-4EFB-BDD7-0BE4D212C107} - G:\WINNT\SYSTEM32\winb2s32.dll (file missing)
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] G:\WINNT\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [HTpatch] G:\WINNT\htpatch.exe
O4 - HKLM\..\Run: [iamapp] G:\Programme\Norton Internet Security\IAMAPP.EXE
O4 - HKLM\..\Run: [NAV Agent] G:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE G:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "G:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [bxxs5] RunDLL32.EXE G:\WINNT\bxxs5.dll,DllRun
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE G:\WINNT\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] G:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - Startup: HotSync Manager.lnk = G:\Programme\Palm\HOTSYNC.EXE
O4 - Global Startup: DataViz Messenger.lnk = G:\WINNT\DvzCommon\DvzMsgr.exe
O4 - Global Startup: DSLMON.lnk = G:\Programme\Analog Devices\Teledat 300 USB Treiber\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = G:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://G:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shoc ... tor/sw.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/C ... 0517939815
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shoc ... wflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1582F4C6-0A1B-490D-93FF-97BF27B7F037}: NameServer = 217.237.150.33 217.237.151.161

begin2search.com-bar\bxxs5.dll \"toolbar.desktoptraffic

begin2search.com-bar\bxxs5.dll \"toolbar.desktoptraffic

Ähnliche Themen

Wer ist online?