Hijacker!! (runwin32.exe?) Wer hilft?

henmanP
Gast

« am: 14.09.04, 09:03:10 »

Hallo,

ich bin wohl auch einem Hijacker zum Opfer gefallen. Ähnlich wie bei anderen hatte ich arge Probleme mit dem IE (Startseite automatisch geändert, Probleme beim Surfen). Zudem hatte ich 2 Min nach Start von Windows eine CPU-Auslastung von konstant 100%, die aus der Datei runwin32.exe resultierte. Konnte die Probleme aber teilweise lösen durch Deaktivierung der Datei im msconfig (mittlerweile wieder aktiviert) und Änderung der Startpage etc. im regedit. Surfen konnte ich immer noch nicht. Habe nun spybot (und cwshredder) drüber laufen lassen und nun funktioniert alles wieder einwandfrei. Dennoch habe ich weiterhin die datei runwin32.exe (und wininet.exe, die wahrsch auch nicht ganz sauber ist). Habe jetzt mal HijackThis abspielen lassen und dabei folgenden logfile herausbekommen. Wäre dankbar um jede Hilfe. Ich habe nicht die Kenntnisse, dass ich entscheiden kann, was ich fixen soll und was nicht. Kann mir jemand helfen?? (Betriebssystem etc. im logfile)

Logfile of HijackThis v1.97.7
Scan saved at 17:14:28, on 13.09.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Dokumente und Einstellungen\H\Henning`s Dateien\tools\AntiVir\AVGUARD.EXE
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\H\Henning`s Dateien\tools\AntiVir\AVWUPSRV.EXE
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\SAMSUNG\SENS Keyboard V4 Launcher\SENSKBD.EXE
C:\Programme\MultiMedia Keyboard\MultiMedia Keyboard\1.1\KbdAp32A.exe
C:\Programme\Browser mouse\1.0\mouse32a.exe
C:\Programme\CloneCD\CloneCDTray.exe
C:\Dokumente und Einstellungen\H\Henning`s Dateien\tools\AntiVir\AVGNT.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\ltmoh\Ltmoh.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\wininet32.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
D:\Hijacker\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.web.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.web.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.web.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.web.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.web.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.web.de
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.web.de
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: C:\WINDOWS\lbbho.dll - {10CA7324-CCEC-4D87-BC65-5541A1525CFE} - C:\WINDOWS\lbbho.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Dokumente und Einstellungen\H\Henning`s Dateien\tools\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {C08DF07A-3E49-4E25-9AB0-D3882835F153} - C:\Programme\TEXTware\QUICKfind\PlugIns\IEHelp.dll
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O4 - HKLM\..\Run: [SENS Keyboard V4 Launcher] "C:\Programme\SAMSUNG\SENS Keyboard V4 Launcher\SENSKBD.EXE"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [LWBKEYBOARD] C:\Programme\MultiMedia Keyboard\MultiMedia Keyboard\1.1\KbdAp32A.exe
O4 - HKLM\..\Run: [FLMMOUSE] C:\Programme\Browser mouse\1.0\mouse32a.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [AVGCtrl] C:\Dokumente und Einstellungen\H\Henning`s Dateien\tools\AntiVir\AVGNT.EXE /min
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [wininet32] C:\WINDOWS\wininet32.exe
O4 - HKCU\..\Run: [runwin32] C:\WINDOWS\runwin32.exe
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Microsoft Outlook (2).lnk = C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = ?
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {11111111-1111-1111-1111-111111111171} - ms-its:mhtml:file://c:\\nosuch.mht!http://line-plus.com/newhelp.chm::/newhelp.exe
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cab
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab

Vielen, vielen Dank im Voraus!!

« Letzte Änderung: 14.09.04, 09:05:32 von henmanP »

Moderator informieren

Antworten zu Hijacker!! (runwin32.exe?) Wer hilft?:

Nighty
Gast

Re: Hijacker!! (runwin32.exe?) Wer hilft?

« Antwort #1 am: 14.09.04, 17:49:45 »

Hier Escan runterladen->updaten wie beschrieben->Offline gehn->Systemwiederherstellung deaktivieren(ME/XP)

Temp-Ordner + Temporäre Internetfiles leeren und wenn Java-Sun installiert ist, den Java-Cache.

Dann in den abgesicherten-Modus booten(siehe Systemwiederherstellung deaktivieren) -> Escan starten (doppelklick mwavscan.com) -> Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives und Scan All Files und das System damit scannen(Scan Clean).

Danach ganz normal booten und wenns immernoch so ist ein LOG machen mit HIjackthis V1.98.2
Wenn nicht die Systemwiederherstellung wieder aktivieren und gut.

Und dann am besten den Browser wechseln zb Firefox, weil die meisten Hijacker/Downloader über IE-Sicherheitslücken aufs System kommen.

Gruß