hijacklog

Hallo,

hatte gestern abend über ICQ einen request bekommen zum adden in meine Kontaktliste. In diesem request befand sich ein Link für ein jpg auf das ich klickte. Danach begann der ganze mist.
Es öffnete sich eine ****o Seite nach dem ich die 5 popups weggedrückt hatte öffnete sich ein tool namens Purity Scan. Da es mir schon seltsam erschien benutzte ich es NICHT sondern drückte es nur weg!
Danach löschte ich PurityScan aus dem Startmenu etc.
Jetzt habe ich trotdem nach jedem Neustart in meinem Iexplorer oder FireFox als STARTSEITE http://www.wwwfind.biz ! in den favoriten befindet sich der sogenannte Link unter dem namen FIND ALL HERE und YOUNG ****. Diese lassen sich zwar löschen kommen aber immer wieder rein in die fav.

Was kann ich machen ? Hier ist mein HiJAck.log


Logfile of HijackThis v1.98.0
Scan saved at 11:09:06, on 02.01.2002
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\WINDOWS\System32\EXPLORER.EXE
F:\ICQPlus\VPlus.exe
C:\Dokumente und Einstellungen\scOttie\Anwendungsdaten\naeo.exe
C:\WINDOWS\System32\czooer.exe
C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe
C:\DOKUME~1\scOttie\LOKALE~1\Temp\$$$2.exe
C:\WINDOWS\System32\devldr32.exe
F:\ShortcutsInstaller\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.wwwfind.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.wwwfind.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wwwfind.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.wwwfind.biz
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wwwfind.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.wwwfind.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.wwwfind.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wwwfind.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.wwwfind.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wwwfind.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.wwwfind.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.wwwfind.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.wwwfind.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.wwwfind.biz
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: (no name) - {62F64307-B436-1CB8-D222-17550AA92F6A} - C:\WINDOWS\System32\skdx.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [DMSDOS] C:\WINDOWS\System32\EXPLORER.EXE
O4 - HKLM\..\Run: [Microsoft Internet Explorer] C:\WINDOWS\System32\iexplorer.exe
O4 - HKCU\..\Run: [ICQ Plus] "F:\ICQPlus\VPlus.exe"
O4 - HKCU\..\Run: [Peec] C:\Dokumente und Einstellungen\scOttie\Anwendungsdaten\naeo.exe
O4 - HKCU\..\Run: [Kig] C:\WINDOWS\System32\czooer.exe
O4 - Global Startup: T-COM WLAN Manager T-Sinus 154data.lnk = C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\OfficeXp\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - F:\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - F:\ICQ\ICQ.exe

nachdem ich die R0 und R1 mit hijackthis entfernt habe kommen die nach einem neustart trotzdem wieder sobald ich scanne

 

C:\DOKUME~1\scOttie\LOKALE~1\Temp\$$$2.exe
--> weg damit

C:\WINDOWS\System32\czooer.exe
--> keine Ahnung was das is, kopie machen, original löschen

Hast du schon mal Ad-aware und Spybot S&D scannen lassen?

 

hi doc

ad-aware und spybot hab ich beide schon drüber rennen lassen :/


was mich viel mehr wundert is das die hijackthis R0 und R1 immer wieder kommen ..

 

Is doch klar, es gibt noch ein Programm / Plugin / Registry-Eintrag, der die Einträge bei jedem Start wiederherstellt.

Hast du die 2 Dateien gelöscht?

 

$$$2.exe ging einwandfrei und czooer musst ich erst aus dem task entfernen und dann konnt ich sie im system32 ordner löschen .

 

Prüf mal ob die Einträge jetzt wiederkommen wenn sie gelöscht werden.

Wenn nicht, versuch die czooe.exe im abgesicherten Modus zu löschen.

Was mir noch aufgefallen ist:
C:\WINDOWS\System32\skdx.dll
weißt du woher die kommt? Schau mal in die Eigenschaften der Datei. Wenn das Erstellungsdatum mit dem Datum des ICQ-Vorfalls übereinstimmt, ist die Chance groß, dass die dazu gehört. Dann ebenfalls löschen.

 

n1 doc ich glaub wir haben es jepackt

nachdem ich die cazooer. aus dem taskmanager genommen hatte und dann löschen konnte und wieder rebootet habe und dann gesacannt hatte waren die R01 und R0 einträge weg.

bist mein held ich mich


zu der skdx.dll ... es könnte vom zeitpunkt hinkommen hmmmmm soll ich sie noch löschen ? was meinst du

 

Freut mich dass es soweit geklappt hat.

Wenn die Einträge jetzt wegbleiben und sonst alles wieder normal ist kannst du die Datei auch lassen wo sie ist.

 

@ scott-vincent

Noch ist dein System nicht sauber, deshalb diese Dateien bei http://www.kaspersky.com/de/remoteviruschk.html
überprüfen:
C:\WINDOWS\System32\EXPLORER.EXE
C:\WINDOWS\System32\iexplorer.exe
C:\Dokumente und Einstellungen\scOttie\Anwendungsdaten\naeo.exe

Diese Datei auf jeden Fall fixen und löschen, gehört zum Browser HiJacker:
O2 - BHO: (no name) - {62F64307-B436-1CB8-D222-17550AA92F6A} - C:\WINDOWS\System32\skdx.dll

Teste die Dateien,poste uns das Ergebnis und auch ein neues Log-File.

 

peinlich, das is mir gar net aufgefallen.
Diese Dateien gehören natürlich nicht in den system32 Ordner.

 

@ TheD0CT0R

Kein Problem, dafür sind wir doch eine Community, wenn inzwischen auch klein gewordene.

 

also nachdem ich die O2 - BHO: (no name) - {62F64307-B436-1CB8-D222-17550AA92F6A} - C:\WINDOWS\System32\skdx.dll

mit hijackthis gefixta hatte sieht mein log jetzt so aus :


Logfile of HijackThis v1.98.0
Scan saved at 23:12:05, on 08.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\WINDOWS\System32\iexplorer.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
F:\ICQPlus\VPlus.exe
C:\Dokumente und Einstellungen\scOttie\Anwendungsdaten\naeo.exe
C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe
C:\WINDOWS\System32\devldr32.exe
F:\ShortcutsInstaller\HijackThis.exe
C:\Programme\Mozilla Firefox\firefox.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
F0 - system.ini: Shell=
F2 - REG:system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [Microsoft Internet Explorer] C:\WINDOWS\System32\iexplorer.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [eMusicClient] F:\Winamp\eMusic\eMusicClient.exe
O4 - HKCU\..\Run: [ICQ Plus] "F:\ICQPlus\VPlus.exe"
O4 - HKCU\..\Run: [Peec] C:\Dokumente und Einstellungen\scOttie\Anwendungsdaten\naeo.exe
O4 - HKCU\..\Run: [Kig] C:\WINDOWS\System32\czooer.exe
O4 - Global Startup: T-COM WLAN Manager T-Sinus 154data.lnk = C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\OfficeXp\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - F:\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - F:\ICQ\ICQ.exe

nun hab ich kasper rangelassen und der hat noch was entdeckt

Zu überprüfende Datei: iexplorer.exe
iexplorer.exe - packed with UPX
iexplorer.exe Infiziert: TrojanDownloader.Win32.Small.pn

Statistiken:
Bekannte Viren: 92461 Updated: 08-07-2004
Größe der Datei (Kb): 4 Viren-Korpus: 1
Datei: 2 Warnungen: 0
Archive: 0 Verdächtigt: 0

-------------------------------------------------------------------------------------


zu überprüfende Datei: naeo.exe
naeo.exe - packed with UPX
naeo.exe Infiziert: TrojanDownloader.Win32.PurityScan.e

Statistiken:
Bekannte Viren: 92461 Updated: 08-07-2004
Größe der Datei (Kb): 74 Viren-Korpus: 1
Datei: 2 Warnungen: 0
Archive: 0 Verdächtigt: 0

-----------------------------------------------------------------------------------------

siehe da doch noch trojaner drauf ,, hilllllfe

 

Lade dir hier die mwav.exe runter und entpacke diese in den Ordner C:\bases, danach die kavupd.exe (Online-Update) ausführen.

Diese Prozesse im TaskManager beenden:
C:\WINDOWS\System32\iexplorer.exe
C:\Dokumente und Einstellungen\scOttie\Anwendungsdaten\naeo.exe

Diese Einträge fixen:
O4 - HKLM\..\Run: [Microsoft Internet Explorer] C:\WINDOWS\System32\iexplorer.exe
O4 - HKCU\..\Run: [Peec] C:\Dokumente und Einstellungen\scOttie\Anwendungsdaten\naeo.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O4 - HKCU\..\Run: [Kig] C:\WINDOWS\System32\czooer.exe

Anmelden im abgesicherten Modus und diese Dateien löschen:
C:\WINDOWS\System32\czooer.exe
C:\Dokumente und Einstellungen\scOttie\Anwendungsdaten\naeo.exe
C:\WINDOWS\System32\iexplorer.exe
C:\WINDOWS\System32\EXPLORER.EXE

- Temporäre Internet Files löschen
- mit mwav.exe (den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan clean" klicken.) scannen
- Neustart
- neues Log-File posten

 

wie kann ich windows nochmal im abgesicherten modus starten ?

 

http://www.bsi.de/av/texte/winsave.htm

 

Logfile of HijackThis v1.98.0
Scan saved at 00:59:34, on 09.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
F:\ICQPlus\VPlus.exe
C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe
C:\WINDOWS\System32\devldr32.exe
F:\ShortcutsInstaller\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
F0 - system.ini: Shell=
F2 - REG:system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [eMusicClient] F:\Winamp\eMusic\eMusicClient.exe
O4 - HKLM\..\Run: [Microsoft Internet Explorer] C:\WINDOWS\System32\iexplorer.exe
O4 - HKCU\..\Run: [ICQ Plus] "F:\ICQPlus\VPlus.exe"
O4 - Global Startup: T-COM WLAN Manager T-Sinus 154data.lnk = C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\OfficeXp\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - F:\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - F:\ICQ\ICQ.exe

 

Du hast nicht alle meine Vorschläge befolgt, dieser Eintrag ist immer noch vorhanden:
O4 - HKLM\..\Run: [Microsoft Internet Explorer] C:\WINDOWS\System32\iexplorer.exe

Was ist das für ein Eintrag?
O4 - HKLM\..\Run: [eMusicClient] F:\Winamp\eMusic\eMusicClient.exe

Versuche nochmal alle von mir genannten Punkte abzuarbeiten.

 

hi cidre


die iexplorer exe is drausse der hijacklog war gemacht bevor ich die sachen im gesicherten modus entfernt hatte.

emusic.exe is laut kaspersky sauber, muss sich bei winamp5 mit installiert haben.

Logfile of HijackThis v1.98.0
Scan saved at 19:59:41, on 09.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
F:\ICQPlus\VPlus.exe
C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\devldr32.exe
F:\ShortcutsInstaller\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
F0 - system.ini: Shell=
F2 - REG:system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [eMusicClient] F:\Winamp\eMusic\eMusicClient.exe
O4 - HKCU\..\Run: [ICQ Plus] "F:\ICQPlus\VPlus.exe"
O4 - Global Startup: T-COM WLAN Manager T-Sinus 154data.lnk = C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\OfficeXp\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - F:\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - F:\ICQ\ICQ.exe

 

Sieht sauber aus. :hoch:

 

*LOOOOOOOOOL*

Ja, bist Du ganz sicher!
Bis Du wieder überall draufklickst und alle Anfragen mit JA oder OKAY beantwortest!