hallo zusammen,
nachfolgend seht ihr mein logfile, mit der bitte um kommentierung.
ich habe folgende programme auf meinem rechner ausgführt: e-scan,spyboot, add-aware, cw-shredder und natürlich hijackthis. sobald ich die oberen threads (bis r3) lösche ist der IE bei erstenmal hochfahren ok, beim zweiten mal wird wieder die startseite geändert und es gibt popups. ich weiss jetzt wirklich nicht mehr weiter..
danke im vorraus
sandra

Logfile of HijackThis v1.98.2
Scan saved at 18:12:31, on 28.08.2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000)

Running processes:
F:\WINNT\System32\smss.exe
F:\WINNT\system32\winlogon.exe
F:\WINNT\system32\services.exe
F:\WINNT\system32\lsass.exe
F:\WINNT\system32\svchost.exe
F:\WINNT\system32\spoolsv.exe
F:\Programme\Network Associates\VirusScan\Avsynmgr.exe
F:\WINNT\System32\drivers\CDAC11BA.EXE
F:\WINNT\System32\CTSvcCDA.exe
F:\WINNT\System32\svchost.exe
F:\WINNT\System32\mgabg.exe
F:\WINNT\~GLC0001.TMP:sssim
F:\WINNT\system32\regsvc.exe
F:\WINNT\System32\SCardSvr.exe
F:\WINNT\system32\MSTask.exe
F:\WINNT\System32\WBEM\WinMgmt.exe
F:\Programme\TightVNC\WinVNC.exe
F:\WINNT\System32\mspmspsv.exe
F:\WINNT\system32\svchost.exe
F:\Programme\Network Associates\VirusScan\VsStat.exe
F:\Programme\Network Associates\VirusScan\Vshwin32.exe
F:\Programme\Network Associates\VirusScan\Avconsol.exe
F:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe
F:\WINNT\Explorer.EXE
F:\WINNT\System32\PDesk.exe
F:\Programme\Creative\Audio2K\PROGRAM\CTMIX32.EXE
F:\WINNT\system32\netjd.exe
F:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
F:\Programme\FinePixViewer\QuickDCF.exe
F:\Programme\iFinger\iFinger.exe
F:\Programme\AGFEO\ISDN Guard\agfguard.exe
F:\WINNT\System32\taskmgr.exe
F:\Programme\Opera\opera.exe
F:\Dokumente und Einstellungen\volker\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://F:\WINNT\tshol.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://F:\WINNT\tshol.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://F:\WINNT\tshol.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://F:\WINNT\tshol.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://F:\WINNT\tshol.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://F:\WINNT\tshol.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://F:\WINNT\tshol.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://F:\WINNT\tshol.dll/index.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://F:\WINNT\tshol.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://F:\WINNT\tshol.dll/sp.html#96676
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {F3C72A45-674D-5938-949B-9CC0A7147CE6} - F:\WINNT\system32\sdkpi32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Matrox Powerdesk] F:\WINNT\System32\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [CreativeMixer] F:\Programme\Creative\Audio2K\PROGRAM\CTMIX32.EXE /t
O4 - HKLM\..\Run: [EM_EXEC] F:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [NeroCheck] F:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Progra~1\REGSHAVE\REGSHAVE.EXE /autorun
O4 - HKLM\..\Run: [WinVNC] "F:\Programme\TightVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [netjd.exe] F:\WINNT\system32\netjd.exe
O4 - Global Startup: Acrobat Assistant.lnk = F:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Exif Launcher.lnk = F:\Programme\FinePixViewer\QuickDCF.exe
O4 - Global Startup: iFinger.lnk = F:\Programme\iFinger\iFinger.exe
O4 - Global Startup: ISDN Guard.lnk = F:\Programme\AGFEO\ISDN Guard\agfguard.exe
O4 - Global Startup: Microsoft Office.lnk = F:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: iFinger - {936E5D60-596C-11D3-BB96-00600816DF55} - F:\WINNT\System32\SHDOCVW.DLL












hallo zusammen,
nachfolgend seht ihr mein logfile, mit der bitte um kommentierung.
ich habe folgende programme auf meinem rechner ausgführt: e-scan,spyboot, add-aware, cw-shredder und natürlich hijackthis. sobald ich die oberen threads (bis r3) lösche ist der IE bei erstenmal hochfahren ok, beim zweiten mal wird wieder die startseite geändert und es gibt popups. ich weiss jetzt wirklich nicht mehr weiter..
danke im vorraus
sandra

Hallo,

diesen Prozess im TaskManager beenden:
F:\WINNT\system32\netjd.exe

Fixe diese Einträge:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://F:\WINNT\tshol.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://F:\WINNT\tshol.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://F:\WINNT\tshol.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://F:\WINNT\tshol.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://F:\WINNT\tshol.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://F:\WINNT\tshol.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://F:\WINNT\tshol.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://F:\WINNT\tshol.dll/index.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://F:\WINNT\tshol.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://F:\WINNT\tshol.dll/sp.html#96676
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {F3C72A45-674D-5938-949B-9CC0A7147CE6} - F:\WINNT\system32\sdkpi32.dll
O4 - HKLM\..\Run: [netjd.exe] F:\WINNT\system32\netjd.exe

Wechsle in den abgesicherten Modus und lösche diese Dateien:
F:\WINNT\system32\sdkpi32.dll
F:\WINNT\tshol.dll
F:\WINNT\system32\netjd.exe

Wenn du das Problem dauerhaft lösen willst, dann wende dies an:
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/

Wichtig: IE 6 mit min. SP1, sowie weiteren sicherheitsrelevanten Pachtes installieren!

Hallo Sandra

Zitat:

Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000)

Not Uptodate: Win2K bedarf SP4, IE-V6.00 SP1. Bitte Updaten, trotzt dass du Opera benutzst.

Zitat:

F:\WINNT\system32\netjd.exe

Ist kein Windows-Prozess. Über Task-Manager Prozess mit dieser Datei beenden, datei manull über Explorer löschen.

Zitat:

F:\Programme\Adobe\Acrobat 5.0

Es gibt schon Adobe Reader 6.0.2

Zitat:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://F:\WINNT\tshol.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://F:\WINNT\tshol.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://F:\WINNT\tshol.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://F:\WINNT\tshol.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://F:\WINNT\tshol.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://F:\WINNT\tshol.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://F:\WINNT\tshol.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://F:\WINNT\tshol.dll/index.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://F:\WINNT\tshol.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://F:\WINNT\tshol.dll/sp.html#96676
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {F3C72A45-674D-5938-949B-9CC0A7147CE6} - F:\WINNT\system32\sdkpi32.dll
O4 - HKLM\..\Run: [REGSHAVE] C:\Progra~1\REGSHAVE\REGSHAVE.EXE /autorun
O4 - HKLM\..\Run: [netjd.exe] F:\WINNT\system32\netjd.exe

Das alles fixen.

hallo zusammen,

@cidre , habe alles so gemacht. hat aber nicht funktioniert. alles wie gehabt. konnte aber die datei sdkpi32.dll nicht auf meinem rechner finden.
hast du noch eine idee?

@rene-gad ist denn für die besitigung des hijackers ein update SP4 etc. notwendig?

grüsse

Zitat:

Zitat von sandralos

ist denn für die besitigung des hijackers ein update SP4 etc. notwendig?

Nein. Aber das ist eine Mögliche Ursache, dass es passierte und eine Vorbeugung, dass es in der Zukunft nicht mehr passiert .

Moin Rene-gad,

Zitat:

Zitat von Rene-gad

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [REGSHAVE] C:\Progra~1\REGSHAVE\REGSHAVE.EXE /autorun
Das alles fixen.

Was hast Du gegen das BHO vom Acrobat Reader? Ist zwar nicht zwingend erforderlich, aber imho auch völlig ungefährlich.

Der 2. Eintrag könnte zu einer Digi-Cam von Fuji gehören
-> http://www.sysinfo.org/startuplist.p...y=9&submit=%3E

Vllt. nicht unbedingt erforderlich, aber als gefährlich würde ich den erst einmal nicht einstufen. Es sei denn, es gibt im 'Umfeld' des Rechners gar keine Digi-Cam von Fuji...

@sandra,

ich würde an Deiner Stelle mal eScan (siehe Signatur) über sämtliche Partitionen Deines Rechners jagen.
Es sieht aus der Ferne so aus, als wenn Du 2. Betriebssysteme auf Deinem Rechner hast... Das ist grundsätzlich nichts schlimmes, aber Du solltest -wie gesagt- mal den kompletten Rechner scannen.

Moin Lutz

Zitat:

Was hast Du gegen das BHO vom Acrobat Reader?

Sandra hat so oder so die neu Version von AdobeReader zu installieren

Zitat:

Eintrag könnte zu einer Digi-Cam von Fuji gehören

FULL ACK! Aber lt. dieser Seite http://www.2-spyware.com/file-regshave-exe.html ist nicht unbedingt notwendig, um so mehr als Selbststarter.

Zitat:

Zitat von Rene-gad

http://www.2-spyware.com/file-regshave-exe.html

Diese Seite würde ich aber generell nur mit höchster Vorsicht genießen.
Sonst schmeißen z.b. demnächst alle Office-Besitzer die outlook.exe vom Rechner, weil sie der Wurm Mimail.Q sei.

Für mich sieht die Seite eher wie eine Werbeverkaufsveranstaltung zur dort angebotenen Software aus.
Sätze wie

Zitat:

However the same or similar file name can be used by spyware or adware programs to decept user. We advice you to scan your computer and eliminate possible threats.

treffen nun wirklich auf jeden Dateinamen zu...


Sorry, die Hälfte vergessen:

Es sieht aus der Ferne so aus, als wenn Sandra eine Vollversion von Adobe Acrobat auf dem Rechner hat (Start-Aufruf des Destillers). Wen dem so ist, wäre ich äußerst vorsichtig mit der Deinstallation des Readers. Imho schmeißt man sich dann auch die Vollversion mit vom Rechner. Zumindest bei der 4er Version kenne ich dieses 'lustige' Spielchen.

Hallo

Zitat:

Diese Seite würde ich aber generell nur mit höchster Vorsicht genießen.

Das tu ich .

Zitat:

Es sieht aus der Ferne so aus, als wenn Sandra eine Vollversion von Adobe Acrobat ....

Schon möglich. Aber wozu denn braucht auch eine Vollversion ein AktiveX-BHO?