Irgendwas lädt immer wieder nach / HiJack-Log
 

Ich dachte schon, ich hätte alle Schädlinge gekillt, die vorgestern den Norton AV überrollt haben, aber irgendwas lädt doch immer noch wieder nach.

Mag mal jemand, der mehr davon versteht, einen Blick auf das HiJack-Log werfen:

Logfile of HijackThis v1.98.2
Scan saved at 00:44:59, on 19.09.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
D:\AVPersonal\AVGUARD.EXE
C:\WINNT\System32\Ati2evxx.exe
D:\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\carpserv.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
D:\FritzDSL\Awatch.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\AVPersonal\AVGNT.EXE
C:\Programme\frnDSL\frnDSL.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\winzip\winzip32.exe
C:\DOKUME~1\TOMROH~1\LOKALE~1\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINNT\localNRD.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\AdobeReader6\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - D:\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AWatch] d:\FritzDSL\Awatch.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [rumfbczdn] C:\WINNT\system32\jfuyqa.exe
O4 - HKLM\..\Run: [AVGCtrl] "D:\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [Caut] C:\Dokumente und Einstellungen\TomRohwer\Anwendungsdaten\o?gqn.exe
O4 - HKCU\..\Run: [sysinit] C:\WINNT\system32\golumm\services.exe
O8 - Extra context menu item: &NeoTrace It! - D:\NEOTRA~1\NTXcontext.htm
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{16F77821-1F30-437E-9242-36476B5E770C}: NameServer = 194.97.173.124 194.97.173.125
O17 - HKLM\System\CCS\Services\Tcpip\..\{723067AC-7524-42AF-BA0D-4F884980042D}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{16F77821-1F30-437E-9242-36476B5E770C}: NameServer = 194.97.173.124 194.97.173.125
O18 - Filter: text/html - {6A1232EA-F97F-4585-B258-42E96FAF0BBA} - C:\WINNT\system32\bhjc.dll
O18 - Filter: text/plain - {6A1232EA-F97F-4585-B258-42E96FAF0BBA} - C:\WINNT\system32\bhjc.dll

Fixe mit HijackThis dies:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINNT\localNRD.dll
O4 - HKLM\..\Run: [rumfbczdn] C:\WINNT\system32\jfuyqa.exe
- HKCU\..\Run: [sysinit] C:\WINNT\system32\golumm\services.exe
O4 - HKCU\..\Run: [Caut] C:\Dokumente und Einstellungen\TomRohwer\Anwendungsdaten\o?gqn.exe
O18 - Filter: text/html - {6A1232EA-F97F-4585-B258-42E96FAF0BBA} - C:\WINNT\system32\bhjc.dll
O18 - Filter: text/plain - {6A1232EA-F97F-4585-B258-42E96FAF0BBA} - C:\WINNT\system32\bhjc.dll

Anschließend lösche diese Dateien - sofern vorhanden - im abg. Modus:
C:\WINNT\localNRD.dll
C:\WINNT\system32\jfuyqa.exe
C:\WINNT\system32\golumm\services.exe
Dokumente und Einstellungen\TomRohwer\Anwendungsdaten\o?gqn.exe
C:\WINNT\system32\bhjc.dll

Besten Dank für die schnelle nächtliche Reaktion! :daumenhoc

C:\WINNT\system32\jfuyqa.exe
C:\WINNT\system32\golumm\services.exe
Dokumente und Einstellungen\TomRohwer\Anwendungsdaten\o?gqn.exe

hatte ich schon gelöscht, weil von Anti-Virus (oder AdAware) gefunden. Aber die beiden DLLs sind durchgerutscht.

Noch eine Frage neugierhalber:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

Mir ist vor längerem schon aufgefallen, daß AdAware es als "Browser Hijack" interpretiert, wenn man im I.E. eine leere Startseite einstellt... Diese Schlüssel verweisen doch eigentlich nur auf die leere Startseite, oder?

Richtig!
Es gibt aber auch about:blank-Hijacker.

Da war eScan jetzt ohnehin schneller als ich... Bin mal gespannt, ob es das jetzt war. AntiVir hat gestern noch einen Bootsektor gefunden, den es nicht kannte. (Ist an H+BEDV weitergereicht, mal sehen, ob die da was drin finden...)

Jetzt schlägt's echt dreizehn... :koch:

Nachdem ich gestern noch dachte, das System bereinigt zu haben, tauchen heute zwei Dateien auf, die laut Sophos Trojaner bzw. Scam sind, aber weder von Escan noch von AntiVir noch von AdAware beanstandet werden...

gamma.exe -> laut Sophos Troj/Ataka-E, allerdings hat er weder den Registry-Schlüssel noch die bei Sophos angeführten Co-Dateien. Liegt allein unter ~Dokumente/Einstellungen/Username/gamma.exe bzw. ~.../ticket.exe

ticket.exe -> dazu verweist Sophos auf Scam. Liegt ebenfalls unter ~Dokumente/Einstellungen/Username/ticket.exe

Registry-Schlüssel finden sich für beide nicht (mit regedit),

Logfile of HijackThis v1.98.2
Scan saved at 10:06:14, on 20.09.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
D:\AVPersonal\AVGUARD.EXE
C:\WINNT\System32\Ati2evxx.exe
D:\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\carpserv.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
D:\FritzDSL\Awatch.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\AVPersonal\AVGNT.EXE
C:\Programme\frnDSL\frnDSL.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINNT\system32\ntvdm.exe
C:\BASES\MWAVSCAN.COM
C:\BASES\kavss.exe
C:\Dokumente und Einstellungen\TomRohwer\Desktop\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\AdobeReader6\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - D:\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AWatch] d:\FritzDSL\Awatch.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [AVGCtrl] "D:\AVPersonal\AVGNT.EXE" /min
O8 - Extra context menu item: &NeoTrace It! - D:\NEOTRA~1\NTXcontext.htm
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{16F77821-1F30-437E-9242-36476B5E770C}: NameServer = 194.97.173.125 194.97.173.124
O17 - HKLM\System\CCS\Services\Tcpip\..\{723067AC-7524-42AF-BA0D-4F884980042D}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{16F77821-1F30-437E-9242-36476B5E770C}: NameServer = 194.97.173.125 194.97.173.124

Im Log sehe ich nichts, aber du kannst die Dateien mal an partytime-germany.ice@web.de schicken.