Startseite
Hilfe-ForumFrageSuchenKontakt/Impressum

ForenForum
Cashsearch.biz (CP-startseite
Von: sms
am 24.05.2004
Logfile of HijackThis v1.97.7
Scan saved at 22:16:15, on 24.05.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
D:\Programme\AVPersonal\AVGUARD.EXE
d:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
d:\Programme\Atguard\iamserv.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
D:\PROGRA~1\Atguard\iamapp.exe
D:\Programme\AVPersonal\AVGNT.EXE
D:\Programme\TuneUp Utilities\MemOptimizer.exe
d:\Programme\SlimBrowser\sbrowser.exe
C:\WINNT\explorer.exe
C:\WINNT\system.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\Hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://cashsearch.biz/redir.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://cashsearch.biz/redir.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://cashsearch.biz/redir.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://cashsearch.biz/redir.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://cashsearch.biz/redir.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://cashsearch.biz/redir.php
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\fgiebar.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [iamapp] d:\PROGRA~1\Atguard\iamapp.exe
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SpybotSnD] "D:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck /autofix
O4 - HKCU\..\Run: [TuneUp MemOptimizer] D:\Programme\TuneUp Utilities\MemOptimizer.exe autostart
O8 - Extra context menu item: Alles mit FlashGet laden - D:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - D:\Programme\FlashGet\jc_link.htm
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://active.macromedia.com/flash2/cabs/swflash.cab


im abgesicherten modus, habe ich sämtliche mir zurverfügung stehende programme genutzt, un den übeltäter zu vertreiben, ferner die regestry durchforstet, und alles was ich du searchcash fand gekilled. so dass ich als ich im abgesicherten modus cwshredder als auch highjackthis nochmal laufen liess alles i.o. war, dann stecker gezogen und rechner 20 sek kalt gelassen nachm booten die startpage via inetoptionen gelöscht, doch als ich ie wieder aufrief, war wieder diese eklige childporn-seite zusehn und das oben stehende *.log ist mein aktueller zustand.


habt ihr ne idee?

gruß
sms


Antwort 1 von Nighty *****
am 24.05.2004
Die folgenden prüfen online: Kaspersky-Online Virentest

C:\WINNT\system32\regsvc.exe
C:\WINNT\system.exe
C:\WINNT\System32\WBEM\WinMgmt.exe

Die ersten beiden sind wahrscheinlich Viren, der letzte könnte auch sein

Danach noch alle R0/R1 fixen

Dann besorgst dir entweder unter www.avp.ch noch die Kaspersky-Trialversion oder wennste so scannen willst bei Trendmicro den sysclean (im Forum suchen für den Link)

Gruß

Antwort 2 von matthias
am 26.05.2004
ich habe alle r1 und r0 gefixt aber die kommen immer wieder was soll ich da machen?

Logfile of HijackThis v1.97.7
Scan saved at 00:05:38, on 26.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\Windows\System32\smss.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\spoolsv.exe
D:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Windows\system32\drivers\KodakCCS.exe
C:\Windows\System32\nvsvc32.exe
C:\WINDOWS\System32\ScsiAccess.EXE
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Windows\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe
C:\Windows\SOUNDMAN.EXE
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
D:\Programme\TotalRecorder\TotRecSched.exe
D:\Programme\AVPersonal\AVGNT.EXE
C:\Windows\System32\ctfmon.exe
D:\Programme\AVPersonal\AVGUARD.EXE
C:\Windows\system.exe
C:\Windows\system.exe
C:\Windows\system.exe
C:\Windows\system.exe
C:\Windows\system.exe
C:\Windows\system.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\Downloaded Program Files\CONFLICT.4\load.exe
C:\Windows\system.exe
D:\Matt's Stuff\Downloaded Progs\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://cashsearch.biz/redir.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://cashsearch.biz/redir.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://cashsearch.biz/redir.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://cashsearch.biz/redir.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://cashsearch.biz/redir.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://cashsearch.biz/redir.php
R3 - URLSearchHook: (no name) - {707E6F76-9FFB-4920-A976-EA101271BC25} - C:\Programme\TV Media\TvmBho.dll
O2 - BHO: (no name) - {0019C3E2-DD48-4A6D-ABCD-8D32436323D9} - C:\Windows\bxxs5.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe -osboot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [Power Scan] C:\Programme\Power Scan\powerscan.exe
O4 - HKLM\..\Run: [EKRYB] C:\WINDOWS\EKRYB.exe
O4 - HKLM\..\Run: [NeroCheck] C:\Windows\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "D:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [bxxs5] RunDLL32.EXE C:\Windows\bxxs5.dll,DllRun
O4 - HKLM\..\Run: [TotalRecorderScheduler] D:\Programme\TotalRecorder\TotRecSched.exe
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [DownloadWare] "C:\Programme\DownloadWare\dw.exe" /H
O4 - HKLM\..\Run: [QuickTime Task] "C:\programme\quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [Mirabilis ICQ] D:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\Windows\System32\ctfmon.exe
O4 - HKCU\..\Run: [msbb] C:\Programme\n-CASE\msbb.exe
O4 - HKCU\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe
O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: KODAK Software Updater.lnk = C:\Programme\Kodak\KODAK Software Updater\7288971\Program\backWeb-7288971.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll



Antwort 3 von Nighty *****
am 26.05.2004
Erstmal die Tools unter Magazin->spyware durchlaufen lassen Spybot/cwsshredder und vorher updaten nicht vergessen.

Danach alle Programme schliessen und dann ein neues LOG machen aber bitte in nem eigenen Thread->Neue Frage stellen

Gruß

Antwort 4 von John Bridges
am 26.05.2004
I’m running Win2000Pro.  As of 5/22/04, I was having the same problem (almost exact).  I searched into another (non English - Yahoo translated) forum and saw a thread that pointed to C:\WINNT\SYSTEM\system32.dll.  I didn't have system32.dll in C:\WINNT\SYSTEM\, but did in C:\WINNT\SYSTEM32\.  I renamed the system32.dll to system32.old (had to be in SafeMode/Command prompt to rename) and rebooted.  No reoccurrence thus far.  Hope this helps.

The system32.dll file that I changed was timestamped 9:46PM 5/22/04 (about when I noticed the change in about:blank on IE open).  If you know approximately when the hijack occurred, look at the files (.dll files in particular) that have a close timestamp and focus your attention there or post them for someone in the know to continue to help us all.

« zurück Antworten