hijack

[deadman]

seit heute habe ich ein hijack drauf, nur alle mir bekannten tools zum entfernen haben fehlgeschlagen, der hijack macht ein backup und kommt immer wieder. was kann ich noch tun?

hier mal die logfile von hijackthis:

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\soundman.exe
C:\Programme\Winamp3\winampa.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\internat.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\Programme\Telekom\Eumex 704PC DSL\Capictrl.exe
C:\Programme\Telekom\Eumex 704PC DSL\HNetCtrl.exe
C:\WINNT\system.exe
C:\WINNT\system.exe
C:\WINNT\system.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINNT\system.exe
C:\WINNT\system.exe
C:\WINNT\explorer.exe
C:\WINNT\regedit.exe
C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://cashsearch.biz/redir.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://cashsearch.biz/redir.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://cashsearch.biz/redir.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://cashsearch.biz/redir.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://cashsearch.biz/redir.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://cashsearch.biz/redir.php
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinUpdate] C:\windows\pturk.exe
O4 - HKLM\..\Run: [WinUpdatea] C:\windows\hta1.hta
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [3t0ohwfia9] C:\Programme\Symantec\mdmitt3va9.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: CAPIControl.lnk = C:\Programme\Telekom\Eumex 704PC DSL\Capictrl.exe
O4 - Global Startup: HomeNet Control.lnk = C:\Programme\Telekom\Eumex 704PC DSL\HNetCtrl.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/ ... mv9VCM.CAB
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/ ... scan53.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/sh ... wflash.cab

[chameleonbeatz]

hier mein Log .. ich habe auch Probleme und eigentlich dachte ich dass sp.exe das Problem ist aber das kann ich nicht mal löschen.

Logfile of HijackThis v1.97.7
Scan saved at 19:03:31, on 26.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\program files\altnet\points manager\points manager.exe
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AIM95\aim.exe
C:\Programme\Messenger\msmsgs.exe
C:\sp.exe
C:\Programme\Ulead Systems\Ulead PhotoImpact\ABMTSR.EXE
C:\Programme\AOL 9.0\aoltray.exe
C:\PROGRA~2\Altnet\DOWNLO~1\asm.exe
C:\Programme\AOL 9.0\waol.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\WINDOWS\slrundll.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Gemeinsame Dateien\eAcceleration\eanthology.exe
C:\PROGRA~1\ACCELE~1\ANTI-V~1\DEFSCA~1.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
O2 - BHO: (no name) - {000006B1-19B5-414A-849F-2A3C64AE6939} - C:\WINDOWS\bi.dll
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [AltnetPointsManager] c:\program files\altnet\points manager\points manager.exe -s
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [Belt] C:\WINDOWS\Belt.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [USSShReg] C:\PROGRA~1\ULEADS~1\ULEADP~1\SSaver\Ussshreg.exe /r
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PSDrvCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [EanthologyApp] "C:\Programme\Gemeinsame Dateien\eAcceleration\eanthology.exe" /b Startup
O4 - HKLM\..\Run: [WebScan] C:\PROGRA~1\ACCELE~1\ANTI-V~1\DEFSCA~1.EXE -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [AIM] C:\Programme\AIM95\aim.exe -cnetwait.odl
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [sp] C:\sp.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Album Fast Start.lnk = C:\Programme\Ulead Systems\Ulead PhotoImpact\ABMTSR.EXE
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: AOL Instant Messenger (TM) (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Real.com (HKLM)
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {10000000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://www.ntsearch.com/popengine/POP.CHM::/sp.exe
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {30000273-8230-4DD4-BE4F-6889D1E74167} - http://download.abetterinternet.com/dow ... /flash.cab
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shoc ... wflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B4E63525-10CC-43B6-942F-4FF3D5C015FC}: NameServer = 195.93.68.134

[mbmt]

hallo deadman
was hast du denn für tools ausprobiert???
hast du das schon von symantec probiert:
http://securityresponse.symantec.com/av ... Gaobot.exe

[deadman]

bisher habe ich add-ware. cw-shredder und hijackthis ausprobiert. es wurde auch jedesmal gelöscht nur kam es nach etwa 5 sekunden wieder.

[deadman]

hier ein auszug aus einem anderen forum:

Hallo Leute,

so ich hab den chashsearch.biz-Mist nach einigem rumprobieren wieder von meinem Rechner runter
(mögen den cashsearch-Jungs die Server für immer abrauchen).

Mit folgenden Schritten konnte ich den Schmarotzer entfernen :

1. System im abgesicherten Modus starten, hijackthis.exe ausführen und alles mit cashsearch und mstasks makieren und löschen.
2. Nun die Dateien C:\windows\mstasks.exe und mstasks1.exe löschen.
3. Normal neustarten.
4. Nun hier http://members.shaw.ca/techcd/VB_Projects den File den Hostfilereader.exe downloaden, ausführen und die Schalfläche "Reset Default" klickern und danach OK und Exit.
5. Editor öffnen und folgenden Text einfügen :

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"System"=-
[-HKEY_CLASSES_ROOT\CLSID\{061646A1-DC57-487D-B023-A938198C174E}]
[-HKEY_CLASSES_ROOT\CLSID\{4E8A9E72-8942-40EF-88DF-A559152F6B41}]
[-HKEY_CLASSES_ROOT\CLSID\{6E94CEC3-0C84-4310-AE20-CD4090178388}]


6. Speichern unter "clear.reg" (dazu Dateityp : alle Dateien auswählen)
7. Doppelklick auf den so neu erzeugten File und der Abfrage "zur Registry hinzufügen" zustimmen.
8. Neustart
9. Diesen File c:\windows\system32\system32.dll finden und löschen.
10. Neustart und alles ist wieder gut.

Bei Fragen helfe ich gern per eMail weiter.

Gruss

Galen

scheint zu funktionieren, aufjedenfall ist der hijack bis jetzt nicht wieder aufgetaucht.

[Nikita]

@chameleonbeaz


1. Deaktiviere die Wiederherstellung (kannst du nach der Reinigung wieder aktivieren)
http://service1.symantec.com/SUPPORT/IN ... 7105707924
----------------------------------------------------------------------------------------------------------------
Lade folgendes:

#Antivr. (einstellen<alle Dateien scannen)
http://www.free-av.com/

#mwav.exe
http://www.mwti.net/antivirus/free_utilities.asp

http://www.trojaner-info.de/anleitungen ... blank.html
#AdAware(free)...updaten !, Spybot, Cwshredder, Sphjfix.exe
----------------------------------------------------------------------------------------------------------------------------
dann gehe in den abgesicherten Modus(F8 beim Hochfahren druecken)

Dann scannst du den HijackThis und hakst an, was ich poste, dann <fix<

O2 - BHO: (no name) - {000006B1-19B5-414A-849F-2A3C64AE6939} - C:\WINDOWS\bi.dll
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DL

O4 - HKLM\..\Run: [Belt] C:\WINDOWS\Belt.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [USSShReg] C:\PROGRA~1\ULEADS~1\ULEADP~1\SSaver\Ussshreg.exe /r
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PSDrvCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [EanthologyApp] "C:\Programme\Gemeinsame Dateien\eAcceleration\eanthology.exe" /b Startup
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [AltnetPointsManager] c:\program files\altnet\points manager\points manager.exe -s
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [WebScan] C:\PROGRA~1\ACCELE~1\ANTI-V~1\DEFSCA~1.EXE -k
O4 - HKCU\..\Run: [sp] C:\sp.exe
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O16 - DPF: {10000000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://www.ntsearch.com/popengine/POP.CHM::/sp.exe
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {30000273-8230-4DD4-BE4F-6889D1E74167} - http://download.abetterinternet.com/dow ... /flash.cab


dann scannst du mit den oben geposteten Tools(AdAware, Cwhredder, Sphjfix.exe und mwav.exe (alle Dateien scannen), lezteres loesche alles manuell, was das Tool nicht automatisch loescht.

und machst auch einen Vollscann mit Antivir,
------------------------------------------------------------------------------------------------------------------------------------------------
Dann neustarten


Lade dieses Removal: und scanne damit
http://www.rokop-security.de/main/downl ... tit&lid=55


Lade Webwasher
http://www.zdnet.de/downloads/programs/ ... is-wc.html
und loescht die TemporaryInternetFiles unter InternetOptionen und stellst dort auch die Startseite nach Wunsch neu ein.
---------------------------------------------------------------------------------------------------------------------------------------------
Dann
hier http://members.shaw.ca/techcd/VB_Projects den File den Hostfilereader.exe downloaden, ausführen und die Schalfläche "Reset Default" klickern und danach OK und Exit.
5. Editor öffnen und folgenden Text einfügen :

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"System"=-
[-HKEY_CLASSES_ROOT\CLSID\{000006B1-19B5-414A-849F-2A3C64AE6939}

6. Speichern unter "clear.reg" (dazu Dateityp : alle Dateien auswählen)
7. Doppelklick auf den so neu erzeugten File und der Abfrage "zur Registry hinzufügen" zustimmen.
8. Neustart
9. Diesen File C:\WINDOWS\bi.dll finden und löschen.(falls sie noch da ist)
10. Neustart

-------------------------------------------------------------------------------------------------------------------------------------

Lade den Firefox als Zweitbrowser(HIijackerfrei)
http://firebird.stw.uni-duisburg.de/windows.php

Onlinescann
http://www.pestscan.com/Scan.asp

Dann poste das gereinigt Log noch einmal.
Dein Computer ist voellig verseucht, aber du kannst es ja versuchen, ihn zu reinigen)
MfG
Nikita

[Nikita]

@deadman

Fixe bitte folgendes und scanne dann im abgesicherten Modus mit dem Antivirus.

O4 - HKLM\..\Run: [WinUpdate] C:\windows\pturk.exe
O4 - HKLM\..\Run: [WinUpdatea] C:\windows\hta1.ht
O4 - HKLM\..\Run: [3t0ohwfia9] C:\Programme\Symantec\mdmitt3va9.exe


Lade auch die mwav.exe, scanne alle Dateien und loesche manuell, was das Tool nicht loescht.
http://www.soft411.com/company/MicroWor ... oolkit.htm


diese drei exe muessen in Windows und in der Registry geloescht werden !!!!!
MfG
Nikita

[deadman]

die datein sind au gelöscht, nur spinnt nun mein pc rum.
der explorer hängt sich ständig auf und beim reset läd er dann erst gar nicht den explorer sonder erst bei einem weiterem neustart.

[Nikita]

@deadman

Fuehre bitte alle Scanns im abgesicherten Modus noch einmal durch (ohne Internetverbindung)
dazu drueckst du F8 beim Hochfahren

Poste bitte dein aktuelles Log
MfG
Nikita

[deadman]

also der tool the cleaner hat heute nochmal 8 trojaner gefunden und entfernt.

[Nikita]

@daedman
Darf ich fragen, warum du mir so einen Schmuddel-Link schickst ?
Das ist nicht sehr nett von dir.
Ich bin somit an der Virenbereinigung deines Comps. nicht mehr interessiert.
Nikita

[deadman]

also nach der löschung von den trojanern scheint der pc endlich wieder stabil zu laufen, allerdings spinnt nun der ie etwas.
andauernd sind die optionen von ihm verstellt und ich bin noch nicht dahinter gekommen wieso.
aber erstmal danke an alle die mir geholfen haben.

@nikita: ich habe dir gar nix geschickt.

[Nikita]

Ich bin nicht blind....Das gehoert sich nicht in so einem Forum, denke ich mal.
Hier posten auch Kinder ......
Wenn du dich auf solchen Seiten rumdrueckst, brauchst du dich ja nicht wundern, dass dein Comp. mit Trojanern und anderem Dreck verseucht ist.


@nikita: ich habe dir gar nix geschickt.
_________________
#http://www.bildervo...............

Nikita

[deadman]

oh man bist du empfindlich!!

[deadman]

wie es aussieht liegt mein problem nun bei der gelöschten system32.dll. seit die weg ist spinnt mein system. kann ich mir einfach eine besorgen und drauf machen?