Searchmiracle + Elitebar
 

Hi,
Ich hab mir die beiden oben genannten Spaßvögel eingefangen, die elitebar schon mehrmals über systemsteuerung deinstalliert, und hijackthis schon x-mal drüber laufen lassen, und die searchmiracle dinger gefixed. Spybot hab ich auch schon benutzt. Bringt allerdings nix, kommt immer wieder. Meinen Autostart hab ich auch schon gechecked, kam mir aber nix besonders gefährlich vor, und wollt jetzt auch nich einfach bei Hijack this fröhlich drauf los fixen, deshalb dacht ich post ich mal den log, vieleicht kann mir ja jemand helfen.

LOG::

Logfile of HijackThis v1.98.2
Scan saved at 23:40:26, on 08.09.2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINNT\System32\smss.exe
D:\WINNT\system32\winlogon.exe
D:\WINNT\system32\services.exe
D:\WINNT\system32\lsass.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\system32\spoolsv.exe
D:\WINNT\System32\svchost.exe
D:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
D:\WINNT\System32\nvsvc32.exe
D:\WINNT\system32\regsvc.exe
D:\WINNT\system32\MSTask.exe
D:\WINNT\System32\WBEM\WinMgmt.exe
D:\WINNT\System32\mspmspsv.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\Explorer.EXE
D:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
D:\Programme\QuickTime\qttask.exe
D:\WINNT\syshost.exe
D:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
D:\PROGRA~1\McAfee.com\Agent\mcregwiz.exe
D:\PROGRA~1\mcafee.com\agent\mcagent.exe
D:\Programme\Internet Explorer\IEXPLORE.EXE
D:\WINNT\System32\wuauclt.exe
D:\Dokumente und Einstellungen\Peter Pole\Desktop\downloads\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchmiracle.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81C3A} - D:\EliteBar version 49.dll
O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA880F} - D:\EliteBar version 49.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] REM SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] REM nwiz.exe /install
O4 - HKLM\..\Run: [routcnf] REM D:\Programme\Telekom\Eumex 404PC\routcnf.exe
O4 - HKLM\..\Run: [WinampAgent] REM D:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] REM D:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] REM "D:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] REM WinDSL_MTU.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DSLAGENTEXE] REM dslagent.exe
O4 - HKLM\..\Run: [syshost] D:\WINNT\syshost.exe
O4 - HKLM\..\Run: [RemoteControl] REM D:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [MPFExe] D:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [McRegWiz] D:\PROGRA~1\McAfee.com\Agent\mcregwiz.exe /autorun
O4 - HKLM\..\Run: [MCAgentExe] d:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] D:\PROGRA~1\mcafee.com\agent\McUpdate.exe
O4 - HKLM\..\Run: [Sys29] D:\winnt\system32\winotr32.exe
O4 - HKCU\..\Run: [internat.exe] REM internat.exe
O4 - HKCU\..\Run: [NvMediaCenter] REM RUNDLL32.EXE D:\WINNT\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Startup: EZ Connect Wireless USB Utility.lnk = D:\Programme\SMC\EZ Connect Wireless USB\WlanMonitor.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = D:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = D:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Corel Network monitor worker - {6B372FFD-544F-42BC-8885-E6146B002F20} - (no file)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {6B372FFD-544F-42BC-8885-E6146B002F20} - (no file)
O9 - Extra button: Corel Network monitor worker - {6B372FFD-544F-42BC-8885-E6146B002F20} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {6B372FFD-544F-42BC-8885-E6146B002F20} - (no file) (HKCU)
O10 - Unknown file in Winsock LSP: d:\winnt\system32\ua_lsp.dll
O10 - Unknown file in Winsock LSP: d:\winnt\system32\ua_lsp.dll
O10 - Unknown file in Winsock LSP: d:\winnt\system32\ua_lsp.dll
O10 - Unknown file in Winsock LSP: d:\winnt\system32\ua_lsp.dll
O10 - Unknown file in Winsock LSP: d:\winnt\system32\ua_lsp.dll
O10 - Unknown file in Winsock LSP: d:\winnt\system32\ua_lsp.dll
O10 - Unknown file in Winsock LSP: d:\winnt\system32\ua_lsp.dll
O10 - Unknown file in Winsock LSP: d:\winnt\system32\ua_lsp.dll
O10 - Unknown file in Winsock LSP: d:\winnt\system32\ua_lsp.dll
O10 - Unknown file in Winsock LSP: d:\winnt\system32\ua_lsp.dll
O10 - Unknown file in Winsock LSP: d:\winnt\system32\ua_lsp.dll
O10 - Unknown file in Winsock LSP: d:\winnt\system32\ua_lsp.dll
O10 - Unknown file in Winsock LSP: d:\winnt\system32\ua_lsp.dll
O10 - Unknown file in Winsock LSP: d:\winnt\system32\ua_lsp.dll
O10 - Unknown file in Winsock LSP: d:\winnt\system32\ua_lsp.dll
O10 - Unknown file in Winsock LSP: d:\winnt\system32\ua_lsp.dll
O10 - Unknown file in Winsock LSP: d:\winnt\system32\ua_lsp.dll
O10 - Unknown file in Winsock LSP: d:\winnt\system32\ua_lsp.dll
O10 - Unknown file in Winsock LSP: d:\winnt\system32\ua_lsp.dll
O10 - Unknown file in Winsock LSP: d:\winnt\system32\ua_lsp.dll
O10 - Unknown file in Winsock LSP: d:\winnt\system32\ua_lsp.dll
O10 - Unknown file in Winsock LSP: d:\winnt\system32\ua_lsp.dll
O10 - Unknown file in Winsock LSP: d:\winnt\system32\ua_lsp.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.internetcologne.de
O15 - Trusted Zone: http://www.isk031.de.vu
O16 - DPF: {11111111-1111-1111-1111-111111113456} - file://c:\info6_s.cab
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{B73FDDAA-1A24-4C46-9E8E-C552B0216D84}: NameServer = 81.173.194.68 213.168.112.60



====================

Klar die da oben sind offensichtlich driss, bringt aber nix die einfach zu löschen, hab dann auf die "O4 - HKCU\..\Run: [NvMediaCenter] REM RUNDLL32.EXE D:\WINNT\System32\NVMCTRAY.DLL,NvTaskbarInit" getippt, war mir aber nich sicher.
Isses die?

Dankend im vorraus!
LOKI!

Hallo,

Nein!
Auf deinen System sind mehere aktive Backdoor Trojaner am werken. Die einzig sichere Lösung ist ein Neuaufsetzen deines Systems, da dies nicht mehr vertrauenswürdig ist.
http://faq.underflow.de/#SECTION000120000000000000000
http://oschad.de/wiki/index.php/Kompromittierung

Überprüfe folgende Dateien bei http://www.kaspersky.com/de/remoteviruschk.html
und poste das Ergebnis:
dslagent.exe
D:\WINNT\svchost.exe 42
D:\WINNT\syshost.exe
D:\winnt\system32\winsxl32.exe
D:\winnt\system32\winotr32.exe
D:\WINNT\System\system.exe

btw: Hast du in der Zwischenzeit irgendwelche Einträge nachträglich aus dem Log-File entfernt?

Hi, danke für die schnelle Antwort!

Hab nur 2 der 5 dateien auf meinem rechner finden können, die sind aber auch direkt schön verseucht!
Hier das Protokoll:


Zu überprüfende Datei: syshost.exe

syshost.exe - packed with UPX
syshost.exe Infiziert: TrojanSpy.Win32.Delf.ce


Statistiken:
Bekannte Viren: 98743 Updated: 09-09-2004
Größe der Datei (Kb): 198 Viren-Korpus: 1
Datei: 2 Warnungen: 0
Archive: 0 Verdächtigt: 0




Zu überprüfende Datei: winotr32.exe

winotr32.exe - packed with FSG
winotr32.exe Infiziert: Trojan.Win32.StartPage.nk


Statistiken:
Bekannte Viren: 98743 Updated: 09-09-2004
Größe der Datei (Kb): 13 Viren-Korpus: 1
Datei: 2 Warnungen: 0
Archive: 0 Verdächtigt: 0


gruß LOKI

Ach du scheisse...der Name kam mir komisch vor, habs gechecked, und siehe da:

Zu überprüfende Datei: winuke32.exe

winuke32.exe - packed with FSG
winuke32.exe Infiziert: Trojan.Win32.StartPage.nk


Statistiken:
Bekannte Viren: 98743 Updated: 09-09-2004
Größe der Datei (Kb): 12 Viren-Korpus: 1
Datei: 2 Warnungen: 0
Archive: 0 Verdächtigt: 0

Zu überprüfende Datei: wingva32.exe

wingva32.exe - packed with FSG
wingva32.exe Infiziert: Trojan.Win32.StartPage.nk


Statistiken:
Bekannte Viren: 98743 Updated: 09-09-2004
Größe der Datei (Kb): 12 Viren-Korpus: 1
Datei: 2 Warnungen: 0
Archive: 0 Verdächtigt: 0



....und noch einer, ich mein, ich hab ne firewall drauf, bringt dir mir in sonem fall was?
ich mein langsam wirds ja albern :)

Ich mein ich kann die schlecht alle löschen oder?

Hier hast du noch einen:

http://securityresponse.symantec.com...ette.worm.html

"....und noch einer, ich mein, ich hab ne firewall drauf, bringt dir mir in sonem fall was?"

Im oben genannten Fall wahrscheinlich schon mal nicht, da hier auf Windows-Sicherheitslücken aufgesetzt wird. Hat dir denn die Firewall eine meldung gebracht? Auf sogenannte Sicherheitssoftware sollte man sich NIE verlassen, sie kann grundsätzliche Fehler nicht ausbügeln. Lektüre:

http://www.mathematik.uni-marburg.de...ompromise.html

http://www.mathematik.uni-marburg.de...c-removal.html


Ansonsten hat Cidre schon das Passende empfohlen, eine Neuinstallation ist die einzige Möglichkeit, dass du wieder sicher sein kannst, ein sauberes System zu haben.

son scheiss, naja gut, dann muss ich das die tage wohl machen!
auf jedenfall schonmal danke, geiler service hier, bin froh das es sowas hier gibt!

...nich schlecht,
hab grad mal norton drüberlaufen lassen, nicht 10, nicht 50, nein 100 "infected files". Na dann mal prost Mahlzeit, bis morgen muss der rechner noch halten, dann mach ich ihn neu!

Schöne nacht wünsch ich noch!
LOKI

Wenn es dich tröstet, ich hatte gestern einen Rechner mit 1600 infizierten Dateien, der war komplett von Außen übernommen und als Fileserver eingerichtet worden (für Cracks usw.). Schau dir bitte dann auch die Links mit an und verscuhe die Hinweise umzusetzen, um Schädlinge gar nicht erst auf´s System zu lassen.