|
Titel: cashsearch.biz (CP-startseite Beitrag von: sms am 24.05.04, 22:17:16 Logfile of HijackThis v1.97.7
Scan saved at 22:16:15, on 24.05.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe D:\Programme\AVPersonal\AVGUARD.EXE d:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Internet Explorer\iexplore.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\hidserv.exe d:\Programme\Atguard\iamserv.exe C:\WINNT\System32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\Programme\Microsoft Hardware\Mouse\point32.exe D:\PROGRA~1\Atguard\iamapp.exe D:\Programme\AVPersonal\AVGNT.EXE D:\Programme\TuneUp Utilities\MemOptimizer.exe d:\Programme\SlimBrowser\sbrowser.exe C:\WINNT\explorer.exe C:\WINNT\system.exe C:\Dokumente und Einstellungen\Administrator\Desktop\Hijack\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://cashsearch.biz/redir.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://cashsearch.biz/redir.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://cashsearch.biz/redir.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://cashsearch.biz/redir.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://cashsearch.biz/redir.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://cashsearch.biz/redir.php O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\fgiebar.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [POINTER] point32.exe O4 - HKLM\..\Run: [iamapp] d:\PROGRA~1\Atguard\iamapp.exe O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [SpybotSnD] "D:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck /autofix O4 - HKCU\..\Run: [TuneUp MemOptimizer] D:\Programme\TuneUp Utilities\MemOptimizer.exe autostart O8 - Extra context menu item: Alles mit FlashGet laden - D:\Programme\FlashGet\jc_all.htm O8 - Extra context menu item: Mit FlashGet laden - D:\Programme\FlashGet\jc_link.htm O9 - Extra button: FlashGet (HKLM) O9 - Extra 'Tools' menuitem: &FlashGet (HKLM) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://active.macromedia.com/flash2/cabs/swflash.cab im abgesicherten modus, habe ich sämtliche mir zurverfügung stehende programme genutzt, un den übeltäter zu vertreiben, ferner die regestry durchforstet, und alles was ich du searchcash fand gekilled. so dass ich als ich im abgesicherten modus cwshredder als auch highjackthis nochmal laufen liess alles i.o. war, dann stecker gezogen und rechner 20 sek kalt gelassen nachm booten die startpage via inetoptionen gelöscht, doch als ich ie wieder aufrief, war wieder diese eklige child----seite zusehn und das oben stehende *.log ist mein aktueller zustand. habt ihr ne idee? gruß sms Titel: Re: cashsearch.biz (CP-startseite Beitrag von: Nighty am 24.05.04, 22:59:06 Die folgenden prüfen online: Kaspersky-Online Virentest (http://www.kaspersky.com/de/remoteviruschk.html)
C:\WINNT\system32\regsvc.exe C:\WINNT\system.exe C:\WINNT\System32\WBEM\WinMgmt.exe Die ersten beiden sind wahrscheinlich Viren, der letzte könnte auch sein Danach noch alle R0/R1 fixen Dann besorgst dir entweder unter www.avp.ch noch die Kaspersky-Trialversion oder wennste so scannen willst bei Trendmicro den sysclean (im Forum suchen für den Link) Gruß Titel: Re: cashsearch.biz (CP-startseite Beitrag von: matthias am 26.05.04, 00:07:37 ich habe alle r1 und r0 gefixt aber die kommen immer wieder was soll ich da machen?
Logfile of HijackThis v1.97.7 Scan saved at 00:05:38, on 26.05.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\Windows\System32\smss.exe C:\Windows\system32\winlogon.exe C:\Windows\system32\services.exe C:\Windows\system32\lsass.exe C:\Windows\system32\svchost.exe C:\Windows\System32\svchost.exe C:\Windows\system32\spoolsv.exe D:\Programme\AVPersonal\AVWUPSRV.EXE C:\Windows\system32\drivers\KodakCCS.exe C:\Windows\System32\nvsvc32.exe C:\WINDOWS\System32\ScsiAccess.EXE C:\WINDOWS\System32\MsPMSPSv.exe C:\Windows\Explorer.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe C:\Windows\SOUNDMAN.EXE C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe D:\Programme\TotalRecorder\TotRecSched.exe D:\Programme\AVPersonal\AVGNT.EXE C:\Windows\System32\ctfmon.exe D:\Programme\AVPersonal\AVGUARD.EXE C:\Windows\system.exe C:\Windows\system.exe C:\Windows\system.exe C:\Windows\system.exe C:\Windows\system.exe C:\Windows\system.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\Downloaded Program Files\CONFLICT.4\load.exe C:\Windows\system.exe D:\Matt's Stuff\Downloaded Progs\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://cashsearch.biz/redir.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://cashsearch.biz/redir.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://cashsearch.biz/redir.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://cashsearch.biz/redir.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://cashsearch.biz/redir.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://cashsearch.biz/redir.php R3 - URLSearchHook: (no name) - {707E6F76-9FFB-4920-A976-EA101271BC25} - C:\Programme\TV Media\TvmBho.dll O2 - BHO: (no name) - {0019C3E2-DD48-4A6D-ABCD-8D32436323D9} - C:\Windows\bxxs5.dll O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe -osboot O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe O4 - HKLM\..\Run: [Power Scan] C:\Programme\Power Scan\powerscan.exe O4 - HKLM\..\Run: [EKRYB] C:\WINDOWS\EKRYB.exe O4 - HKLM\..\Run: [NeroCheck] C:\Windows\system32\NeroCheck.exe O4 - HKLM\..\Run: [CloneCDElbyCDFL] "D:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [bxxs5] RunDLL32.EXE C:\Windows\bxxs5.dll,DllRun O4 - HKLM\..\Run: [TotalRecorderScheduler] D:\Programme\TotalRecorder\TotRecSched.exe O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [DownloadWare] "C:\Programme\DownloadWare\dw.exe" /H O4 - HKLM\..\Run: [QuickTime Task] "C:\programme\quicktime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe" O4 - HKLM\..\Run: [Mirabilis ICQ] D:\PROGRA~1\ICQ\ICQNet.exe O4 - HKLM\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\Windows\System32\ctfmon.exe O4 - HKCU\..\Run: [msbb] C:\Programme\n-CASE\msbb.exe O4 - HKCU\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe O4 - Global Startup: KODAK Software Updater.lnk = C:\Programme\Kodak\KODAK Software Updater\7288971\Program\backWeb-7288971.exe O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: E&xport to Microsoft Excel - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 O9 - Extra button: ICQ Pro (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll Titel: Re: cashsearch.biz (CP-startseite Beitrag von: Nighty am 26.05.04, 00:14:33 Erstmal die Tools unter Magazin->spyware durchlaufen lassen Spybot/cwsshredder und vorher updaten nicht vergessen.
Danach alle Programme schliessen und dann ein neues LOG machen aber bitte in nem eigenen Thread->Neue Frage stellen Gruß Titel: Re: cashsearch.biz (CP-startseite Beitrag von: John Bridges am 26.05.04, 02:44:46 I’m running Win2000Pro. As of 5/22/04, I was having the same problem (almost exact). I searched into another (non English - Yahoo translated) forum and saw a thread that pointed to C:\WINNT\SYSTEM\system32.dll. I didn't have system32.dll in C:\WINNT\SYSTEM\, but did in C:\WINNT\SYSTEM32\. I renamed the system32.dll to system32.old (had to be in SafeMode/Command prompt to rename) and rebooted. No reoccurrence thus far. Hope this helps.
The system32.dll file that I changed was timestamped 9:46PM 5/22/04 (about when I noticed the change in about:blank on IE open). If you know approximately when the hijack occurred, look at the files (.dll files in particular) that have a close timestamp and focus your attention there or post them for someone in the know to continue to help us all.
Computerhilfen.de | Powered by SMF 2.5.1.
© 2001-2012, Lewis Media. Alle Rechte vorbehalten. |