about:blank w32.beagle@mm

Robsen
Gast

« am: 31.05.04, 13:27:08 »

Hi! Auf Wunsch von Dr. Nope hab einmal ein neuen Thread erstellt.

Habe auch den hilfe thread schon durchgelesen mit spy-ware ect. aber nu brau ich haltdoch ein klein wenig hilfe

Problem:
Norton hat bei mit den w32.Beagle@mm gefunden und die jeweiligen Dateien gelöscht, jedoch blieb mir diese about:blank startseite erhalten??
Der sp-cleaner funktioniert auch nicht, denn der sagt mir das ich nicht infiziert bin, bin ich aber... wie man an einigen hijackeinträgen sieht, kann mir bitte wer helfen wie ich nun vorgehen soll?
Erst etwas fixen und danach?
zum fixen: die mrhop + f1.dll bei kaspersky kam hier ein positvies ergebniss das diese files verseucht seien. was muss ich noch fixen? udn wie gehts danach weiter? wäre über eine ffiziente antwort erfreut

mfg,

Logfile of HijackThis v1.97.7
Scan saved at 12:40:28, on 31.05.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WININAK\System32\smss.exe
C:\WININAK\system32\winlogon.exe
C:\WININAK\system32\services.exe
C:\WININAK\system32\lsass.exe
C:\WININAK\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WININAK\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\WININAK\system32\CTSVCCDA.EXE
C:\Programme\DriveCrypt\DcrServ.exe
C:\WININAK\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton Internet Security Professional\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton Utilities\NPROTECT.EXE
C:\WININAK\System32\nvsvc32.exe
C:\WININAK\system32\regsvc.exe
C:\Programme\Norton Internet Security Professional\Norton AntiVirus\SAVScan.exe
C:\WININAK\Explorer.EXE
C:\WININAK\system32\MSTask.exe
C:\WININAK\System32\SLEE503.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Speed Disk\nopdb.exe
C:\WININAK\system32\stisvc.exe
C:\WININAK\System32\WBEM\WinMgmt.exe
C:\WININAK\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WININAK\system32\ctfmon.exe
C:\Programme\Steganos Security Suite 6\sss.exe
C:\DerbWin\Fertsch\HijackThis.exe
C:\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\T-Online\T-Online_Software_5\Browser\browser.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WININAK\mrhop.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WININAK\mrhop.dll/sp.html (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WININAK\mrhop.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WININAK\mrhop.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WININAK\mrhop.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WININAK\mrhop.dll/sp.html (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

Moderator informieren

Antworten zu about:blank w32.beagle@mm:

Robsen
Gast

Re: about:blank w32.beagle@mm

« Antwort #1 am: 31.05.04, 13:28:01 »

O2 - BHO: BabeIE - {00000000-0000-0000-0000-000000000000} - C:\PROGRA~1\COMMON~1\Toolbar\cnbabe.dll
O2 - BHO: (no name) - {00000EF1-34E3-4633-87C6-1AA7A44296DA} - C:\WININAK\System32\F1.dll
O2 - BHO: (no name) - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Programme\DAP\DAPBHO.dll
O2 - BHO: (no name) - {28E7D25C-2D2A-44B2-9CDA-E397B19E44C4} - C:\WININAK\mrhop.dll
O2 - BHO: (no name) - {665ACD90-4541-4836-9FE4-062386BB8F05} - c:\Program Files\Flt\Flt.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\Ad Block (Bitte beachten: Unsere Regeln zu Werbeblockern!)ing\NISShExt.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security Professional\Norton AntiVirus\NavShExt.dll
O2 - BHO: sr - {FC2593E3-3E5A-410F-AF3D-82613CCE58E5} - c:\wininak\sr.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\Ad Block (Bitte beachten: Unsere Regeln zu Werbeblockern!)ing\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security Professional\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Programme\DAP\DAPIEBar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WININAK\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] REM C:\WININAK\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [TkBellExe] REM "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NetPumper] REM "C:\Program Files\NetPumper\NetPumperIEProxy.exe"
O4 - HKLM\..\Run: [winnet] REM C:\PROGRA~1\COMMON~1\Toolbar\winnet.exe
O4 - HKLM\..\Run: [Zenet] rundll32.exe C:\PROGRA~1\COMMON~1\Toolbar\CNBabe.dll,DllStartup
O4 - HKLM\..\Run: [cFosDNT] REM C:\cFosNT\cFosDNT.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security Professional\UrlLstCk.exe
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~4\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [Realtime Audio Engine] REM mmrtkrnl.exe
O4 - HKLM\..\Run: [DCPPaid] C:\WININAK\system32\DCPPaid.exe /P
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [Unilex2k] REM
O4 - HKCU\..\Run: [WeatherCast] REM C:\PROGRA~1\WEATHE~1\Weather.exe /q
O4 - HKCU\..\Run: [SSS6_Suite] "C:\Programme\Steganos Security Suite 6\sss.exe" /booting
O4 - HKCU\..\Run: [DriveCrypt Startup] REM C:\Programme\DriveCrypt\DriveCrypt.exe /WS
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Norton System Doctor.lnk = C:\Programme\Norton Utilities\SYSDOC32.EXE
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O8 - Extra context menu item: Add A Page Note - C:\Programme\CommonName\Toolbar\createnote.htm
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Bookmark This Page - C:\Programme\CommonName\Toolbar\createbookmark.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: Download the &current page with Offline Explorer - file://C:\Programme\Offline Explorer\Add_AllO.htm
O8 - Extra context menu item: Download using Offline &Explorer - file://C:\Programme\Offline Explorer\Add_UrlO.htm
O8 - Extra context menu item: Download with NetPumper - C:\Program Files\NetPumper\AddUrl.htm
O8 - Extra context menu item: Email This Link - C:\Programme\CommonName\Toolbar\emaillink.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Search using CommonName - C:\Programme\CommonName\Toolbar\navigate.htm
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Run DAP (HKLM)
O9 - Extra button: Translate (HKLM)
O9 - Extra 'Tools' menuitem: Translator (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O9 - Extra button: NeoTrace It! (HKCU)
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by CommonName
O10 - Hijacked Internet access by CommonName
O10 - Hijacked Internet access by CommonName
O10 - Broken Internet access because of LSP provider '??' missing
O11 - Options group: [CommonName] CommonName
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/SU-newOCX/ocx/12110/CTSUEng.cab
O16 - DPF: {11111111-1111-1111-1111-111111111123} - ms-its:mhtml:file://C:\bla.MHT!http://216.115.95.98//38ble.chm::/wincfgid.exe
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://active.macromedia.com/director/cabs/sw.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.143/code/PWActiveXImgCtl.CAB
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38137.1458680556
O16 - DPF: {AD7FAFB0-16D6-40C3-AF27-585D6E6453FD} - http://dload.ipbill.com/del/loader.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E504EE6E-47C6-11D5-B8AB-00D0B78F3D48} (Yahoo! Webcam Viewer Wrapper) - http://chat.yahoo.com/cab/yvwrctl.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/SU-newOCX/ocx/12110/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{17925E1F-6F20-4347-80B3-15759D629EF1}: NameServer = 217.237.149.225 194.25.2.129

sry hat ni alles in ein post gepasst

Moderator informieren

Dr.Nope (55.002)
Global Moderator

1247x Beste Antwort

2587x "Danke"

Re: about:blank w32.beagle@mm

« Antwort #2 am: 31.05.04, 15:00:39 »

Hat dir diese Antwort geholfen?

hast du den SP-Cleaner auch im abgesicherten Modus gestartet? Wenn nicht, das erst probieren.

Alos alle R0+R1 fixen,

hier uach jeweils die Dateien (abgesicherter Modus)
O2 - BHO: (no name) - {00000EF1-34E3-4633-87C6-1AA7A44296DA} - C:\WININAK\System32\F1.dll
O2 - BHO: (no name) - {665ACD90-4541-4836-9FE4-062386BB8F05} - c:\Program Files\Flt\Flt.dll

prüfen
und ggfls. auch fixen und löschen:
O2 - BHO: (no name) - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Programme\DAP\DAPBHO.dll
O2 - BHO: (no name) - {28E7D25C-2D2A-44B2-9CDA-E397B19E44C4} - C:\WININAK\mrhop.dll
O2 - BHO: sr - {FC2593E3-3E5A-410F-AF3D-82613CCE58E5} - c:\wininak\sr.dll

fixen
O10+O11+O16

dann mal neu starten und möglichst viele Programme beenden und nur dann wenns nicht weg ist nochmal log erstellen.

Moderator informieren

Nighty
Gast

Re: about:blank w32.beagle@mm

« Antwort #3 am: 31.05.04, 15:37:30 »

Der sp-cleaner funktioniert bei der mrhop.dll nicht weil der Infektionsweg ein anderer ist.

Besorg dir folgendes Tool:
http://www.diamondcs.com.au/index.php?page=apm

Installieren->starten

Im oberen fenster explorer.exe auswählen
Im unteren Fenster mrhop.dll suchen, rechtsklick drauf->Unload-DLL

Dann alle Programme schliesen die offen sind ausser Hijackthis

Und mit Hijacktis dann alle zur mrhop.dll gehörenden Einträge fixen:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WININAK\mrhop.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WININAK\mrhop.dll/sp.html (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WININAK\mrhop.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WININAK\mrhop.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WININAK\mrhop.dll/sp.html (obfuscated)

O2 - BHO: (no name) - {28E7D25C-2D2A-44B2-9CDA-E397B19E44C4} - C:\WININAK\mrhop.dll

Danach den Rechner neustarten und mit den andern tools drübergehn Spybot/Adaware/CWSshredder

Dann sollte er weg sein

Gruß

Moderator informieren

Robsen
Gast

Re: about:blank w32.beagle@mm

« Antwort #4 am: 31.05.04, 17:07:05 »

k thx ihr beiden

nighty hab mit variante 1 alles wegbekommen per hijackthis, super, die files tauchen auch nach neustart nimmer auf. und IE funktz wieder super und schnell

thx leute super forum
hoffe nu, dass das prob beseitigt ist.

hatte 3 Teile drof:

w32.beagle@mm
sp.html hijacker
bloodhound 6 exploit

iss jetzt aber alles eg platt gemacht

mfg,

Moderator informieren

« startseite :\|		Weiß nicht mehr weiter - trojaner, hijacker.... »

about:blank w32.beagle@mm

Antworten zu about:blank w32.beagle@mm:

Re: about:blank w32.beagle@mm

Mehr zu about:blank w32.beagle@mm