errorplace.com, advnt05.com - ich werd die beiden nicht los!

[giuseppe]

Hi!
Irgendwas stimmt nicht mit meinem hobel: Der explorer startet nicht mehr wie gewohnt (stellt nicht mehr automatisch die verbindung zum internet her) und stattdessen erscheint in der adresszeile www.errorplace.com...
Oft können bestimmte seiten nicht angezeigt werden.
Und immer wieder geht ein kleines fensterchen auf, mit der adresse advnt05.com/popsend.asp=31186 - microsoft internet explorer. Und trotz google toolbar popupblocker gehen irgendwelche fenster auf. und wenn eine adresse falsch ist oder nicht gefunden wird, geht statt wie bisher nicht mehr msn-search auf sondern irgendeine blöde suchseite.
Bin ziemlich sauer und hoffe, hier möglichst detaillierte hilfe-anleitung (deppensicher wenn möglich ) zu finden.
Hab was von hijack.exe in diesem zusammenhang gehört, schon downgeloadet. Soll ich das log-file hier rein stellen? wenn ja: soll ich hijack sofort nach einem reboot starten oder vorher ein bisserl rumsörfen?
DANKE DANKE DANKE schon mal im voraus!
jo

[giuseppe]

Hab das system schon x-mal mit ad-aware und a2square gescannt. Es werden immer weider unzählige dateien und so´n zeug gefunden die ich schön brav lösche, die beim nächsten scann aber wider da sind (z.B. roings,...)
stinger und norten virus-scan nutzen auch nix.
Ich bin am ende meines anfängerlateins *heul*

[Nikita]

Lade das HijackThis, scanne, save und kopiere das Log ins Forum.
So kann ich dir helfen.
Gruss
Nikita

Downloadlinks:

http://www.downloads.subratam.org/hijackthis.zip
http://www.spywareinfo.com/~merijn/files/hijackthis.zip

[giuseppe]

Hi, Nikita!
Voerst danke für deine Antwort.
Ich hab in der zwischenzeit schon einiges verändert auf meinem rechner (mozilla, adware, kerio,..) und gesäubert, würde mich aber freuen, zu lesen, was du zu meinem nun wesentlich aufgeräumteren log meinst:

Logfile of HijackThis v1.98.2
Scan saved at 10:15:42, on 12.08.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\atiptaxx.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\WINDOWS\System32\qttask.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\PhilipsRemote.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\MOZILL~1.7-D\MOZILLA\MOZILLA.EXE
C:\Programme\Clicktionary\Cleverlearn Clicktionary.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Roxio\GoBack\GBPoll.exe
C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_director.exe
C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\Programme\Kerio\Personal Firewall\persfw.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
F:\software\programme+tools\anti-spy,ad-aware\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.net/de/dienst/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.gmx.at/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: (no name) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [POINTER] C:\Programme\Microsoft Hardware\Mouse\point32.exe
O4 - HKLM\..\Run: [QuickTime Task] C:\WINDOWS\System32\qttask.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [PhilipsRemote] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\PhilipsRemote.exe
O4 - HKLM\..\Run: [mmtask] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\PROGRA~1\MOZILL~1.7-D\MOZILLA\MOZILLA.EXE" -turbo
O4 - Startup: GMX Clicktionary 2.8.lnk = C:\Programme\Clicktionary\Cleverlearn Clicktionary.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {B942A249-D1E7-4C11-98AE-FCB76B08747F} (RealArcadeRdxIE Class) - http://games-dl.real.com/gameconsole/Bu ... eRdxIE.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{73BB3593-FA36-4BB3-91AF-EB5C24A1BB23}: NameServer = 195.58.160.2,195.58.161.3
O17 - HKLM\System\CCS\Services\Tcpip\..\{78473724-E598-4953-A1CA-4DD5FC51CB18}: NameServer = 195.58.160.2 195.58.161.3

lG, jo

[Nikita]

scanne mit dem HijackThis, dann hake an, was ich poste und <fix<

O3 - Toolbar: (no name) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - (no file)
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab

neustarten


Lade eScan (entpacke in C:\bases
http://www.mwti.net/antivirus/free_utilities.asp
Nun suchst du eine "kavupd.exe" und anklicken.
<Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt(dauert ein bisschen)

Gehe in den abgesicherten Modus
http://www.bsi.de/av/texte/winsave.htm

<den Scanner mit der "mwav.exe starten. Alle Häkchen setzen und "Scan clean" klicken.
Danach die Virus Log Information posten. (falls was gefunden wird)

#Lade ClearProg
http://www.clearprog.de/
Loesche:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)


mfg
Nikita

[giuseppe]

hi, nikita!
Alsdann: im prinzip is alles ok. Was aber auffällt: beim scan mit adaware und a2square werden trotz aller vorkehrungen und säuberungen immer noch (und immer wieder) dateien und reg-keys von 180solutions und roings gefunden. Ich kombiniere: irgendwo sitzt noch so eine zecke fest, die ihren müll absondert...
Darüberhinaus is ein neues problem aufgetaucht: der pc hängt sich auf wenn er in den standbymodus zu wechseln versucht (im stadium , wo "windows wird heruntrgefahren" angezeigt wird.
Vielleicht kannst du mir noch dabei helfen. Anbei noch die neueste hjt-log:

Logfile of HijackThis v1.98.2
Scan saved at 20:54:35, on 18.08.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\atiptaxx.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\WINDOWS\System32\qttask.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Roxio\GoBack\GBPoll.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\PhilipsRemote.exe
C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Kerio\Personal Firewall\persfw.exe
C:\PROGRA~1\MOZILL~1.7-D\MOZILLA\MOZILLA.EXE
C:\Programme\Clicktionary\Cleverlearn Clicktionary.exe
C:\Programme\SpywareGuard\sgmain.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_director.exe
C:\Programme\SpywareGuard\sgbhp.exe
F:\software\programme+tools\anti-spy,ad-aware\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.net/de/dienst/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.gmx.at/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programme\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [POINTER] C:\Programme\Microsoft Hardware\Mouse\point32.exe
O4 - HKLM\..\Run: [QuickTime Task] C:\WINDOWS\System32\qttask.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [PhilipsRemote] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\PhilipsRemote.exe
O4 - HKLM\..\Run: [mmtask] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\PROGRA~1\MOZILL~1.7-D\MOZILLA\MOZILLA.EXE" -turbo
O4 - Startup: GMX Clicktionary 2.8.lnk = C:\Programme\Clicktionary\Cleverlearn Clicktionary.exe
O4 - Startup: SpywareGuard.lnk = C:\Programme\SpywareGuard\sgmain.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {B942A249-D1E7-4C11-98AE-FCB76B08747F} (RealArcadeRdxIE Class) - http://games-dl.real.com/gameconsole/Bu ... eRdxIE.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{73BB3593-FA36-4BB3-91AF-EB5C24A1BB23}: NameServer = 195.58.160.2,195.58.161.3
O17 - HKLM\System\CCS\Services\Tcpip\..\{78473724-E598-4953-A1CA-4DD5FC51CB18}: NameServer = 195.58.160.2 195.58.161.3

thx, jo

[Nikita]

Hallo @Guiseppe
Morgen schau ich es mir noch mal an...heute ist es zu spaet.
Gruss
Nikita

[giuseppe]

Oki! Bloß keine eile. Wir wolln die sache ja cool angehen.
lG, giu

[Nikita]

<nCase/Inst is an ActiveX drive-by installer control that loads nCase/msbb.
<nCase (also spelled nCASE or n-CASE, randomly) is adware from 180Solutions.
http://www.doxdesk.com/parasite/nCase.html
http://sarc.com/avcenter/venc/data/pf/adware.ncase.html

GEHE IN DEN ABGESICHERTEN MODUS:

#deinstalliere
Add/Remove Programs< n-Case<

#Gehe in die Registry:
Start<Ausfuehren<regedit
(loesche auf der rechten Seite)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\nCASE, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\msbb HKEY_CURRENT_USER\Software\180solutions.

neustarten

#oeffne die < Downloaded Program Files folder< inside the Windows folder, Rechtsclick auf : 'nCaseInstaller Class' und loeschen.

#loesche:
Msbb.exe
dnxf.exe
delmsbb.exe

ncmyb.dll......das kannst du mit <LSPfix loeschen:
--die <ncmyb.dll)<ueberschreibt die < wsock32.dll system file<
http://www.spychecker.com/program/lspfix.html
#mit diesem Tool kann man diese dll loeschen, , die< zu nCase< gehoert(ncmyb.dll)

# and may transmit lists of URLs you visit.
Click 'Programs' and click 'reset web settings'.

http://www.clearprog.de/
Loesche mit ClearProg:
-Cookies (mit Ausschlußmöglichkeit beim IE)
- Verlauf
- Temporäre Internetfiles (Cache)
- die eingetragenen URLs (schreib dir vorher die wichtigsten Adressen raus)

scanne dann noch mal mit Spybot im abgesicherten Modus.
http://www.safer-networking.org/de/download/index.html

mfg
Nikita

[Nikita]

Roings.com

Gehe in die Registry
Start<Ausfuehren<regedit

loesche:
HKEY_CLASSES_ROOT\clsid\{f2863ede-7980-443a-aea2-0f46076d590f}
HKEY_CLASSES_ROOT\software\microsoft\windows\currentversion\explorer\browser helper objects\{f2863ede-7980-443a-aea2-0f46076d590f}
HKEY_LOCAL_MACHINE\clsid\{f2863ede-7980-443a-aea2-0f46076d590f}
HKEY_LOCAL_MACHINE\software\classes\clsid\{f2863ede-7980-443a-aea2-0f46076d590f}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{f2863ede-7980-443a-aea2-0f46076d590f}
HKEY_LOCAL_MACHINE\software\roimoi

NEUSTARTEN

#Lade
DiamondCS APM: Advanced Process Manipulation
http://www.diamondcs.com.au/index.php?page=apm

klicke die Explorerprozesse an, bis du <wat.dll< gefunden hast
klicke auf <unload<

mit der Suchfunktion von Windows:
(alle Dateien sichtbar, einstellen)

loesche:
\system\wat.dll
\system32\wat.dll
unstall.exe

#scanne mit Spysweeper
http://www.spysweeper.com/


mfg
Nikita

[giuseppe]

hab gar nix mehr gefunden von all dem zeugs, außer einen mir verdächtig erscheinenden ordner:
HKEY_CURRENT_USER\Software\msbb
weg damit?

[GrayGhost]

Hallo,
lies den Artikel mal durch:

http://www.100partnerprogramme.de/forum ... stcount=58

[Nikita]

HKEY_CURRENT_USER\Software\msbb
weg damit!!!!!!!!!
neustarten

dann die msbb.exe suchen und loesche.

Nikita

[giuseppe]

adaware scan result:

0 new objects found

danke, nikita, hast mir sehr geholfen!