cashsearch.biz (CP-startseite

(Read 1153 times - 0 Members and 1 Guest are viewing this topic.)

Internet-Sicherheit » cashsearch.biz (CP-startseite

Pages: [1]

sms

Guest

cashsearch.biz (CP-startseite « on: 24.05.04, 22:17:16 »

Logfile of HijackThis v1.97.7
Scan saved at 22:16:15, on 24.05.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
D:\Programme\AVPersonal\AVGUARD.EXE
d:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
d:\Programme\Atguard\iamserv.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
D:\PROGRA~1\Atguard\iamapp.exe
D:\Programme\AVPersonal\AVGNT.EXE
D:\Programme\TuneUp Utilities\MemOptimizer.exe
d:\Programme\SlimBrowser\sbrowser.exe
C:\WINNT\explorer.exe
C:\WINNT\system.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\Hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://cashsearch.biz/redir.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://cashsearch.biz/redir.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://cashsearch.biz/redir.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://cashsearch.biz/redir.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://cashsearch.biz/redir.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://cashsearch.biz/redir.php
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\fgiebar.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [iamapp] d:\PROGRA~1\Atguard\iamapp.exe
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SpybotSnD] "D:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck /autofix
O4 - HKCU\..\Run: [TuneUp MemOptimizer] D:\Programme\TuneUp Utilities\MemOptimizer.exe autostart
O8 - Extra context menu item: Alles mit FlashGet laden - D:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - D:\Programme\FlashGet\jc_link.htm
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://active.macromedia.com/flash2/cabs/swflash.cab

im abgesicherten modus, habe ich sämtliche mir zurverfügung stehende programme genutzt, un den übeltäter zu vertreiben, ferner die regestry durchforstet, und alles was ich du searchcash fand gekilled. so dass ich als ich im abgesicherten modus cwshredder als auch highjackthis nochmal laufen liess alles i.o. war, dann stecker gezogen und rechner 20 sek kalt gelassen nachm booten die startpage via inetoptionen gelöscht, doch als ich ie wieder aufrief, war wieder diese eklige child----seite zusehn und das oben stehende *.log ist mein aktueller zustand.

habt ihr ne idee?

gruß
sms


	Report to moderator Logged

Nighty

Sr. Member Pro (9.747)

Re: cashsearch.biz (CP-startseite « Reply #1 on: 24.05.04, 22:59:06 »

Die folgenden prüfen online: Kaspersky-Online Virentest

C:\WINNT\system32\regsvc.exe
C:\WINNT\system.exe
C:\WINNT\System32\WBEM\WinMgmt.exe

Die ersten beiden sind wahrscheinlich Viren, der letzte könnte auch sein

Danach noch alle R0/R1 fixen

Dann besorgst dir entweder unter www.avp.ch noch die Kaspersky-Trialversion oder wennste so scannen willst bei Trendmicro den sysclean (im Forum suchen für den Link)

Gruß


	Report to moderator Logged

matthias

Guest

Re: cashsearch.biz (CP-startseite « Reply #2 on: 26.05.04, 00:07:37 »

ich habe alle r1 und r0 gefixt aber die kommen immer wieder was soll ich da machen?

Logfile of HijackThis v1.97.7
Scan saved at 00:05:38, on 26.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\Windows\System32\smss.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\spoolsv.exe
D:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Windows\system32\drivers\KodakCCS.exe
C:\Windows\System32\nvsvc32.exe
C:\WINDOWS\System32\ScsiAccess.EXE
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Windows\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe
C:\Windows\SOUNDMAN.EXE
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
D:\Programme\TotalRecorder\TotRecSched.exe
D:\Programme\AVPersonal\AVGNT.EXE
C:\Windows\System32\ctfmon.exe
D:\Programme\AVPersonal\AVGUARD.EXE
C:\Windows\system.exe
C:\Windows\system.exe
C:\Windows\system.exe
C:\Windows\system.exe
C:\Windows\system.exe
C:\Windows\system.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\Downloaded Program Files\CONFLICT.4\load.exe
C:\Windows\system.exe
D:\Matt's Stuff\Downloaded Progs\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://cashsearch.biz/redir.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://cashsearch.biz/redir.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://cashsearch.biz/redir.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://cashsearch.biz/redir.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://cashsearch.biz/redir.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://cashsearch.biz/redir.php
R3 - URLSearchHook: (no name) - {707E6F76-9FFB-4920-A976-EA101271BC25} - C:\Programme\TV Media\TvmBho.dll
O2 - BHO: (no name) - {0019C3E2-DD48-4A6D-ABCD-8D32436323D9} - C:\Windows\bxxs5.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe -osboot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [Power Scan] C:\Programme\Power Scan\powerscan.exe
O4 - HKLM\..\Run: [EKRYB] C:\WINDOWS\EKRYB.exe
O4 - HKLM\..\Run: [NeroCheck] C:\Windows\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "D:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [bxxs5] RunDLL32.EXE C:\Windows\bxxs5.dll,DllRun
O4 - HKLM\..\Run: [TotalRecorderScheduler] D:\Programme\TotalRecorder\TotRecSched.exe
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [DownloadWare] "C:\Programme\DownloadWare\dw.exe" /H
O4 - HKLM\..\Run: [QuickTime Task] "C:\programme\quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [Mirabilis ICQ] D:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\Windows\System32\ctfmon.exe
O4 - HKCU\..\Run: [msbb] C:\Programme\n-CASE\msbb.exe
O4 - HKCU\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe
O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: KODAK Software Updater.lnk = C:\Programme\Kodak\KODAK Software Updater\7288971\Program\backWeb-7288971.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll


	Report to moderator Logged

Nighty

Sr. Member Pro (9.747)

Re: cashsearch.biz (CP-startseite « Reply #3 on: 26.05.04, 00:14:33 »

Erstmal die Tools unter Magazin->spyware durchlaufen lassen Spybot/cwsshredder und vorher updaten nicht vergessen.

Danach alle Programme schliessen und dann ein neues LOG machen aber bitte in nem eigenen Thread->Neue Frage stellen

Gruß


	Report to moderator Logged

John Bridges

Guest

Re: cashsearch.biz (CP-startseite « Reply #4 on: 26.05.04, 02:44:46 »

Iâ€™m running Win2000Pro. As of 5/22/04, I was having the same problem (almost exact). I searched into another (non English - Yahoo translated) forum and saw a thread that pointed to C:\WINNT\SYSTEM\system32.dll. I didn't have system32.dll in C:\WINNT\SYSTEM\, but did in C:\WINNT\SYSTEM32\. I renamed the system32.dll to system32.old (had to be in SafeMode/Command prompt to rename) and rebooted. No reoccurrence thus far. Hope this helps.

The system32.dll file that I changed was timestamped 9:46PM 5/22/04 (about when I noticed the change in about:blank on IE open). If you know approximately when the hijack occurred, look at the files (.dll files in particular) that have a close timestamp and focus your attention there or post them for someone in the know to continue to help us all.