sry home search hijack logfile

Prüfen:

C:\WINDOWS\system32\atlha.exe

Fixen:

Allr R0/R1

O2 - BHO: (no name) - {935BB868-D573-FCBF-9F0F-F1E0E429CD01} - C:\WINDOWS\appdp32.dll

O10 - Broken Internet access because of LSP provider 'xfire_lsp.dll' missing

Vorher rechner im abgesicherten Modus starten->systemwiederherstellung deaktivieren->temp-Ordner/Temporäre-Internetfles Ordner leeren

Dann sysclean/clrav laufen lassen + Dyteien im system32-Ordner löschen mit Datum der Infektion.

Dann die Sachen fixen und die Spyware-Tools noch drüberlaufen lassen.

Gruß

cool danke ich werds gleich versuchen...

am besten vorher hier nochmal nachfrage. Aber z.B. eine system32.dll könnte weg. Die Dateien müssen das Datum der Infektion mit dem VIrus haben.

Vielen Dank !  

scheint alles zu klappen...falls irgendetwas ist werde ich nochmal posten

Allerdings hat clrav keine Infektionen gefunden und ich habe nichts im system32 ordner gelöscht.

hmmm gerade nochmal dasselbe nur mit anderer dll:

e of HijackThis v1.97.7
Scan saved at 00:34:29, on 18.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\gearsec.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\msgi.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\atlha.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Dokumente und Einstellungen\T. Chopper\Desktop\SoF2mp_min.exe
C:\Programme\Opera75\opera.exe
C:\Dokumente und Einstellungen\T. Chopper\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\ghbdl.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://ghbdl.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://ghbdl.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\ghbdl.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://ghbdl.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\ghbdl.dll/sp.html#96676
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {25DF6801-58E9-FE1A-9CEC-171F4FC741A1} - C:\WINDOWS\sysib.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [Windows SA] C:\Program Files\WindowsSA\omniscient.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [atlha.exe] C:\WINDOWS\system32\atlha.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKLM\..\RunOnce: [msgi.exe] C:\WINDOWS\system32\msgi.exe
O4 - HKLM\..\RunOnce: [netls32.exe] C:\WINDOWS\system32\netls32.exe
O4 - HKLM\..\RunOnce: [apptb32.exe] C:\WINDOWS\apptb32.exe
O4 - HKLM\..\RunOnce: [iefm.exe] C:\WINDOWS\system32\iefm.exe
O4 - HKLM\..\RunOnce: [iemw.exe] C:\WINDOWS\system32\iemw.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Kanzlei-Start.lnk = C:\AGENDA\KANZLEI-START\Kanzlei32.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38154.6967824074
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://active.macromedia.com/flash/cabs/swflash.cab

------------------------------------------------------

gibt es denn keine möglichkeit eine wiederinfizierung zu vermeiden ( ausser browserwechsel oder firewall ) ?

hab jetzt Opera testweise.... ist aber ein bisschen langsam mit mehreren fenstern...

Versuch mal http://www.firefox-broswer.de der ist auch schnell und hat keine Werbefenster. Popup-Bloker auch mit drin. Noch 0.8 kommt in wenigen Tagen 0.9 in deutsch.