Trojaner-Board - URLSearchHook

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - URLSearchHook (https://www.trojaner-board.de/22640-urlsearchhook.html)

Bitte um Hilfe bei der Auswertung.

Logfile of HijackThis v1.99.1
Scan saved at 21:31:19, on 08.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\System32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\LEXMAR~1\ACMonitor_X84-X85.exe
C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X84-X85.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\ahead\InCD\InCD.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\SMARTD~1\SDPhotoBar.exe
C:\WINDOWS\system32\ntvdm.exe
C:\T-ONLINE\BSW4\ToDuCAlC.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\WinAce\WinAce.exe
C:\Dokumente und Einstellungen\Eugen\Desktop\Dominik\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com
R3 - URLSearchHook: (no name) - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
R3 - URLSearchHook: (no name) - {0428FFC7-1931-45b7-95CB-3CBB919777E1} - (no file)
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll (file missing)
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Lexmark X84-X85 Button Monitor] C:\PROGRA~1\LEXMAR~1\ACMonitor_X84-X85.exe
O4 - HKLM\..\Run: [Lexmark X84-X85 Button Manager] C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X84-X85.exe
O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe
O4 - HKLM\..\Run: [avserve.exe] C:\WINDOWS\avserve.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [navapp] C:\Programme\NavExcel\NavHelper\v2.0.4d\navapp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [InCD] C:\Programme\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SDPhotoBar.exe] C:\SMARTD~1\SDPhotoBar.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &Define - C:\WINDOWS\Web\ERS_DEF.HTM
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Search the Web - C:\WINDOWS\Web\ERS_SRC.HTM
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Look Up in &Encyclopedia - C:\WINDOWS\Web\ERS_ENC.HTM
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\programme\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://h**p://go.microsoft.com/fwlin...67&clcid=0x409
O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://h**p://tw.msi.com.tw/autobios...t/iftwclix.cab
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://h**p://xtraz.icq.com/xtraz/ac...deoControl.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://h**p://a1540.g.akamai.net/7/1...eInstaller.exe
O16 - DPF: {95BD7A59-567A-4FE1-A412-FCEC29428E42} (Toontown Installer ActiveX Control German) - http://h**p://212.185.47.24/sv1.3.8....nst-german.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4A4E81EF-26D0-4FF2-9890-5F1640AC9207}: NameServer = 217.237.148.17 217.237.148.49
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Die 6 bösen sind klar. Die werden gefixt. Aber was ist mit den 5 unbekannten und den 2 unnötigen?

Servus wieder, pumuckl!
Wieder einen Kobold an board? (schwacher schmäh, ich weiß)

Zitat:

O4 - HKLM\..\Run: [avserve.exe] C:\WINDOWS\avserve.exe

lass´die Datei mal bei Jotti virusscan.jotti.org/de checken und poste das Ergebnis!

Zitat:

Die 6 bösen sind klar. Die werden gefixt. Aber was ist mit den 5 unbekannten und den 2 unnötigen?

Was ist klar, was nicht, wo noch, ...? :confused:
stupormundi

Hallo pumuckl,

war in diesem System der Sasser zu Besuch oder gibt es noch Probleme?

Downloade Adaware und Spybot S & D . Installieren und updaten.

Deinstalliere über Systemsteuerung/Software "MyWay (oder ähnlich lautende Software)" und "Navexcel bzw. Navhelper" sowie weitere unbekannte Software.

Wechsel in den abgesicherten Modus bei deaktivierter Systemwiederherstellung http://www.systemwiederherstellung-d...indows-xp.html und fixe (Scan mit HJT, Häckchen vor Eintrag und auf fix checked klicken):

R3 - URLSearchHook: (no name) - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
R3 - URLSearchHook: (no name) - {0428FFC7-1931-45b7-95CB-3CBB919777E1} - (no file)
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll (file missing)
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll (file missing)
O4 - HKLM\..\Run: [avserve.exe] C:\WINDOWS\avserve.exe
O4 - HKLM\..\Run: [navapp] C:\Programme\NavExcel\NavHelper\v2.0.4d\navapp.exe
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://h**p://a1540.g.akamai.net/7/...meInstaller.exe
O16 - DPF: {95BD7A59-567A-4FE1-A412-FCEC29428E42} (Toontown Installer ActiveX Control German) - http://h**p://212.185.47.24/sv1.3.8...inst-german.cab
Falls nicht bekannt ebenfalls:
O8 - Extra context menu item: &Define - C:\WINDOWS\Web\ERS_DEF.HTM
O8 - Extra context menu item: &Search the Web - C:\WINDOWS\Web\ERS_SRC.HTM
O8 - Extra context menu item: Look Up in &Encyclopedia - C:\WINDOWS\System32\ERS_ENC.HTM

Lösche manuell (falls noch vorhanden):

C:\Programme\NavExcel (Ordner)
C:\Programme\MyWay (Ordner)
C:\WINDOWS\avserve.exe
C:\win.log
C:\WINDOWS\System32\(5 Zufallszahlen)_up.exe (3 Dateien)

wie oben, wenn nicht bekannt:
C:\WINDOWS\Web (Ordner)
C:\WINDOWS\System32\ERS_ENC.HTM

Mit Adaware und Spybot nacheinander scannen und alle Funde löschen.

Papierkorb leeren

Neustart --> Systemwiederherstellung kann wieder aktiviert werden

Neues Logfile

dartus

@ stupormundi

Ich hoffe doch sehr, dass mein System noch clean ist. Egal ob du mir das glaubst oder nicht, das ist das Log von einen Bekannten. Ich habe den Mund etwas zu voll genommen und habe behauptet, dass ich mich mit den Hijackthis Log auskenne. Leider hat er mir sein Log geschickt. Jetzt stehe ich blöd da und hoffe ihr helft mir dabei.
Als erstes habe ich ihm deine und die Empfehlung von dartus geschickt. Damit hat er sicher eine Weile zu tun.

Hoffentlich seid ihn jetzt nicht sauer auf mich.

Hallo pumuckl,

das dies nicht Dein System ist, war mir klar. ;)
Du hast ja schon häufiger gepostet.
Diese Datei:
O4 - HKLM\..\Run: [avserve.exe] C:\WINDOWS\avserve.exe
bei Jotti zu checken ist unnötig.
Das ist oder waren Spuren vom Sasser.

dartus

Servus, pumuckl!

Zitat:

Egal ob du mir das glaubst oder nicht...

-Hey, kein Grund, gleich eingeschnappt zu sein. Ist ja eh ok, dass Dich auch Dein Freund um Unterstützung bittet und mir war ja auch bewußt, dass mein Schmäh eine sehr flache Anspielung auf Deinen Nick war - ich nehme ihn zurück und gelobe Besserung ;)
Wegen der sasser-Datei: Es scheint so, als ob ihr euch das uploaden zu Jotti eh sparen könnt´

Zitat:

Das ist oder waren Spuren vom Sasser.

*thx dartus*.
btw: und dass das nicht Dein System ist, war auch MIR klar! :rolleyes:
Alles Gute, stupormundi

Neiiiiiiiin, ich bin doch nicht eingeschnappt!
Vielleicht sollte ich öffters Smileys einsetzen.

>>mein Schmäh eine sehr flache Anspielung auf Deinen Nick war<<
Also, ich fand es lustig.

Mein Bekannter hat sich nicht mehr gemeldet. Entweder ist er mit der Bearbeitung überfordert oder er hat aufgegeben und formatiert oder ...?

Was anderes:
Mein Chef hat gestern gefragt wer den Posten der Security übernehmen will. Keiner hat sich gemeldet, na ja, außer mir. Wenn ich meinen Job damit festigen kann, will ich das übernehmen.
Wir haben ein Netzwerk mit 8 Rechnern. Meine Aufgabe ist die Überwachung des Systems und Suche nach möglichen Schädlingen.
Wir, das ist ein kleiner Handwerksbetrieb mit 12 Leuten. Das BS ist XP. (Linux will er nicht)
Ich möchte mich in diesem Bereich, den ich nun übernommen habe, informieren. Helft ihr mir dabei? Das was ich bis jetzt weiß ist zu wenig. Im hjt kenne ich mich noch nicht richtig aus. Das betrifft die Erkennung und die Beseitigung der Schädlinge. Die automatische Auswertung ist schon mal eine Erleichterung. Könnt ihr mir bitte eine kurze Einführung geben, wie ich die einzelnen Einträge bewerten muß?

Noch was anderes:
Im Kontrollzentrum hatte ich eingestellt, dass ich sofort benachrichtigt werde, wenn eine Antwort zu den abonierten Themen erfolgt. Jetzt steht da wieder wöchentlich. Wie wird das eingestellt?