Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Immer wieder Search For (https://www.trojaner-board.de/1697-immer-search-for.html)

Chimbo 27.05.2004 02:20
Habe das Problem,das der IE und auch der
Slimbrowser beim Start immer auf Search for eingestellt sind auch noch dazu nicht zu benutzen
sind,da nach 1-2 Seitenaufrufen Schluss ist und keine Seiten mehr aufgerufen werden koennen.
Der Fortschrittsbalken kriecht dahin und
bleibt dann haengen ohne das die Seite
zu sehen ist.
Mit Mozilla gibt es hier keine Probleme.
Ich denke aber solange der IE und Slim-Browser nicht funzen ist auch die Malware noch da. Und die muss weg.
Spybot hat auch eine Istbar.slotch entdeckt die
nicht zu entfernen ist
Ich hatte das schon gehabt mal aber nur beim Mailversand mit dem Ergebnis,das der Browser abstuerzte.
Mit Ad Aware habe ich dem Treiben ein Ende
gesetzt aber hier in diesem Fall hilft das Tool
nicht weiter.

Hier ein Log aus Hijackthis:

Was von dem kann ich ruhigen Gewissens fixen ?

thx
chimbo


</font><blockquote>Zitat:</font><hr />Logfile of HijackThis v1.97.7
Scan saved at 21:05:53, on 26.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\DriveCrypt\DcrServ.exe
C:\WINDOWS\System32\DVDRAMSV.exe
C:\WINDOWS\System32\GEARSec.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\SLEE401.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe
C:\Programme\Common files\WinTools\WToolsS.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Common files\WinTools\WToolsA.exe
C:\Programme\Common files\WinTools\WSup.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\ich\Eigene Dateien\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {22CE6AEE-BB95-4CE3-B0F3-4BE6AF949C18} - C:\WINDOWS\system32\kawlovu.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {601ED020-FB6C-11D3-87D8-0050DA59922B} - d:\examples\wsbho2k0.dll
O2 - BHO: (no name) - {9527D42F-D666-11D3-B8DD-00600838CD5F} - C:\WINDOWS\System32\IETie.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)
O3 - Toolbar: (no name) - {339BB23F-A864-48C0-A59F-29EA915965EC} - (no file)
O3 - Toolbar: Internet Anonym - {00000000-0002-0002-0000-000000000000} - c:\programme\steganos internet anonym pro 6\siaiep.dll
O4 - HKLM\..\Run: [WinTools] C:\Programme\Common files\WinTools\WToolsA.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O8 - Extra context menu item: Web Rebates - file://C:\Programme\WebRebates\System\Temp\topr1150_script0.htm
O9 - Extra button: Trace (HKLM)
O9 - Extra 'Tools' menuitem: VisualRoute Trace (HKLM)
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O10 - Broken Internet access because of LSP provider 'c:\windows\system32\cslsp.dll' missing
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{08F2FC40-B746-42A5-A240-36060E22D4C3}: NameServer = 200.44.32.12,200.44.32.13
O17 - HKLM\System\CS2\Services\Tcpip\..\{08F2FC40-B746-42A5-A240-36060E22D4C3}: NameServer = 200.44.32.12,200.44.32.13
O17 - HKLM\System\CS3\Services\Tcpip\..\{08F2FC40-B746-42A5-A240-36060E22D4C3}: NameServer = 200.44.32.12,200.44.32.13

</font>[/QUOTE]

rock 27.05.2004 13:13
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank
R3 - Default URLSearchHook is missing

O2 - BHO: (no name) - {22CE6AEE-BB95-4CE3-B0F3-4BE6AF949C18} - C:\WINDOWS\system32\kawlovu.dll

O2 - BHO: (no name) - {601ED020-FB6C-11D3-87D8-0050DA59922B} - d:\examples\wsbho2k0.dll

O2 - BHO: (no name) - {9527D42F-D666-11D3-B8DD-00600838CD5F} - C:\WINDOWS\System32\IETie.dll
------------------------------------------------

ich kann nicht 100% sagen was für immer wegmuss, aber diese einträge scheinen doch merkwürdig zu sein.
hast du ein FTP tool? oder zu acrobat reader plugins installiert? wenn nicht sollte man auf die einträge mit 02 voran achten!

mach mal im abgesicherten modus einen fullscan mit dem virenscanner.
was ergibt eigentlich ein scan mit spybot search & destroy?? nach viren auch schon gecheckt?

verändert sich deine startseite?

grundsätzlcih kann man nacher eh nicht viel anderes machen um etwaigen viren/würmern auf die schliche zu kommen, ob log oder nicht log...

besten gruss
rock

Who Cares 27.05.2004 13:17
</font><blockquote>Zitat:</font><hr />
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank
R3 - Default URLSearchHook is missing

O2 - BHO: (no name) - {22CE6AEE-BB95-4CE3-B0F3-4BE6AF949C18} - C:\WINDOWS\system32\kawlovu.dll

O2 - BHO: (no name) - {601ED020-FB6C-11D3-87D8-0050DA59922B} - d:\examples\wsbho2k0.dll
O2 - BHO: (no name) - {9527D42F-D666-11D3-B8DD-00600838CD5F} - C:\WINDOWS\System32\IETie.dll

O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)
O3 - Toolbar: (no name) - {339BB23F-A864-48C0-A59F-29EA915965EC} - (no file)


O8 - Extra context menu item: Web Rebates - file://C:\Programme\WebRebates\System\Temp\topr1150_script0.htm

O10 - Broken Internet access because of LSP provider 'c:\windows\system32\cslsp.dll' missing
[/QB]</font>[/QUOTE]Hi,

hast du denn mal im abgesicherten Modus (F8-Boot) mit Cwshredder, Ad-Aware & Spybot mehrmals gefixt/bereinigt ?
s. a. die angeheftenen Beiträge im Viren-Forum (obiger Link)

*

Webrebate ? Kennst/brauchst du das ? mal mit KAV prüfen bzw. entfernen

dito diese wintools/wtools prüfen..

und obige zitierte Einträge fixen/bereinigen (SafeMode)

gehören die IP-Adresse unter O17 zu deinem Provider (s. Whois oder tracert) ?
-&gt; "Latin American and Caribbean IP address Regional Registry"
bzw. " TUCOWS INC. / .CANTV.NET": sagt dir das was ?

;)

[ 27. Mai 2004, 14:23: Beitrag editiert von: Who Cares ]

Who Cares 27.05.2004 13:19
HAI HAI Rock... ;) ;) [img]smile.gif[/img]

rock 27.05.2004 13:19
wenn man ein bissl mehr zeit hat kann man sich bei rokop mal diese sachen "zergehen lassen"...
http://www.rokop-security.de/main/article.php?sid=703

gruss
rock

rock 27.05.2004 13:19
HAI HAI,...auch schon lang nimmer gesehen... [img]graemlins/lach.gif[/img]

gruss
rock

rock 27.05.2004 13:20
achtung, du schreibst gleich dein 700! posting hier...

Chimbo 27.05.2004 17:47
ich habe alles das gemacht bis auf das Fixen mit
Hijackthis das ich nicht wusste was Bockmist
ist und was zum System gehoert.

Spybot findet eine sogenannte Istbar.slotch die sich
nicht entfernen laesst.

Was ist das ?

Ansonsten werde ich das jetzt mal fixen was oben
steht.

Die IP-Adressen 200.44.32.12 sind ok,da hab ich
drauf gepingt weil ich Zugangs-Probleme hatte.
Cantv.net ist der Provider.


Alle Zeitangaben in WEZ +1. Es ist jetzt 09:19 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129