|
Hallo Hijacker-geschädigte Gemeinde, Ich hoffe, Ihr könnt mir helfen. Mein IE startet immer mit enjoysearch. Meine log-Datei ist angehängt. Die Einträge in der Registry habe ich schon korrigiert, sind aber nach jedem Systemstart wieder da! Wäre für Eure Hilfe dankbar! Markus Logfile of HijackThis v1.97.7 Scan saved at 20:45:34, on 09.04.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINNT\system32\svchost.exe C:\WINNT\system32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\WT32EXE.EXE C:\WINNT\system32\ZoneLabs\vsmon.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\mspmspsv.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\RunDll32.exe C:\WINNT\anvshell.exe C:\WINNT\system32\RUNDLL32.EXE C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe C:\Programme\Microsoft Hardware\Keyboard\type32.exe C:\WINNT\system32\tblmouse.exe C:\Programme\AVPersonal\AVGNT.EXE C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe C:\WINNT\jushed32.exe C:\WINNT\system32\internat.exe C:\Programme\TerraTec\DMX 6fire\DMX6Fire.exe C:\WINNT\system32\wuauclt.exe C:\Programme\Internet Explorer\iexplore.exe \Server\Server_D\08 DOWNLOADS u TREIBER\0 Internet HTML\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://DF809JOW4WJ2304LFD0SF9FSD0A2T...BIZ/search.htm (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.enjoysearch.info/search.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.enjoysearch.info/search.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.enjoysearch.info/search.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.enjoysearch.info/search.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.enjoysearch.info/search.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.enjoysearch.info R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.enjoysearch.info/search.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.enjoysearch.info/search.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.enjoysearch.info/search.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.enjoysearch.info R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.enjoysearch.info/search.html O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [C-Media Speaker Configuration] C:\PROGRA~2\C-Media\WIN_ME\Setup.exe /SPEAKER O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [anvshell] anvshell.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [LiveNote] livenote.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe" O4 - HKLM\..\Run: [TBLFUNC] tblmouse.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - Global Startup: DMX 6fire 2496 ControlPanel.lnk = C:\Programme\TerraTec\DMX 6fire\DMX6Fire.exe O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: SEARCH (HKLM) O9 - Extra button: ENTERTAINMENT (HKLM) O9 - Extra button: PILLS (HKLM) O9 - Extra button: SECURITY (HKLM) O9 - Extra button: SEARCH (HKLM) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab |
Hallo Markus ind Willkommen im Board, welche Einträge (außer R0 - R1) hast Du bereits entfernt und tauchen trotzdem wieder auf? Diese Einträge: </font><blockquote>Zitat:</font><hr />O9 - Extra button: SEARCH (HKLM) O9 - Extra button: ENTERTAINMENT (HKLM) O9 - Extra button: PILLS (HKLM) O9 - Extra button: SECURITY (HKLM) O9 - Extra button: SEARCH (HKLM)</font>[/QUOTE]erscheinen mir zumindest höchst verdächtig! Edit Nachtrag entfernt. War kompletter Blödsinn von mir. Sorry!! Gruß, Lutz [ 09. April 2004, 22:45: Beitrag editiert von: Lutz (DerBilk) ] |
Habe folgende e-mail erhalten, die ich nicht vorenthalten möchte: Hi, I saw your message on trojaner-board.de about default Internet Explorer start page pointing on www.enjoysearch.com. I had exactly the same problem yesterday. I have resolved the problem, I suppose you are interested : 1) Kill process jushed32.exe => I guess this is the trojan, but no anti-virus could detect it... Why ??? 2) Delete file jushed32.exe in c:\windows\system32 3) Replace any registry key containing www.enjoysearch.com by about:blank 4) Install the lastest Microsoft patch relative to MS04-011,MS04-012 and MS04-013 vulnerabilities. 5) Reboot and everything is OK ! However, I did not find how the jushed32.exe is started : no Run registry key, nor startup group... Any idea ? Please put theses informations on your forum if you find them usefull, it could help some people. Sylvain (werde@chez.com) ******ADSL Tiscali, le Haut débit au meilleur prix ****** Avec Tiscali, profitez de l'ADSL au meilleur prix partout en France ! Pour profiter de cette offre exceptionnelle, cliquez ici : http://register.tiscali.fr/adsl Sous réserve d'éligibilité à l'ADSL. Ich werde das nicht mehr brauchen, da mein Rechner ohnehin ein neues Motherboard bekommt und damit eine Neuinstallation unumgänglich ist. Aber vielleicht interessiert es ja sonst jemanden. Jedenfalls Danke für Eure Hilfe! Linzer |
Ein neues Motherboard bedingt zwar nicht zwangsläufig eine Neuinstallation, aber wenn eh' schon verseucht, ist es in doppelter Hinsicht die sauberere Methode. Wie die angeblich Schaddatei denn wirklich gestartet wird, wäre hoch interessant, nur um es herauszufinden müsste man an einer verseuchten Kiste hocken und das will ich mir dann doch nicht antun. Bitte editiere die fragliche Webadresse in nicht anklickbare Form, z.Bsp in h**p://www.enjoysearch.com |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 08:00 Uhr. |
Copyright ©2000-2025, Trojaner-Board