easy-search.biz als Startseite |
||
---|---|---|
#0
| ||
18.05.2004, 14:46
Member
Beiträge: 61 |
||
|
||
20.05.2004, 23:52
...neu hier
Beiträge: 6 |
#17
Habe folgendes durch HijackThis ausgegeben bekommen ..
Logfile of HijackThis v1.97.7 Scan saved at 23:48:25, on 20.05.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe D:\DSL\NIS\NISUM.EXE C:\WINDOWS\ASUSKBService.exe D:\DSL\NIS\ccPxySvc.exe D:\DSL\NIS\Antivirus\navapsvc.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\treiber\Logitech\itouch\iTouch\iTouch.exe C:\WINDOWS\System32\CTHELPER.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe D:\DSL\Spamihilator\spamihilator.exe C:\WINDOWS\runwin32.exe C:\treiber\Logitech\Maus\MouseWare\system\em_exec.exe C:\Treiber\Main\Corecenter\CoreCenter.exe C:\Programme\Internet Explorer\iexplore.exe D:\PACKER\WINZIP\winzip32.exe C:\Dokumente und Einstellungen\Trysil\Lokale Einstellungen\Temp\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://easy-search.biz R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://easy-search.biz R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://easy-search.biz R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) O1 - Hosts: 69.50.170.20 www.google.com O1 - Hosts: 69.50.170.21 search.yahoo.com O1 - Hosts: 69.50.170.22 search.msn.com O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Grafik\areader\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\DSL\NIS\Antivirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\DSL\NIS\Antivirus\NavShExt.dll O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [zBrowser Launcher] C:\treiber\Logitech\itouch\iTouch\iTouch.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [Jet Detection] C:\Treiber\Sound\PROGRAM\ADGJDet.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "D:\grafik\Quicktime\qttask.exe" -atboottime O4 - HKCU\..\Run: [Spamihilator] "D:\DSL\Spamihilator\spamihilator.exe" O4 - HKCU\..\Run: [ASUS SmartDoctor] C:\Treiber\ATI\SmartDoc\SmartDoctor.exe /start O4 - HKCU\..\Run: [winlogon] c:\windows\winlogon.exe O4 - HKCU\..\Run: [runwin32] C:\WINDOWS\runwin32.exe O4 - Startup: Anwahl.lnk = ? O4 - Global Startup: CoreCenter.lnk = C:\Treiber\Main\Corecenter\CoreCenter.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\OfficeXP\Office10\EXCEL.EXE/3000 O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/SU/ocx/12119/CTSUEng.cab O16 - DPF: {11111111-1111-1111-1111-111111111123} - http://petrovich.ud-dial.biz/1/dexDE547.exe O16 - DPF: {11111111-1111-1111-1111-111111111237} - http://69.31.87.70/1/deaDE348.exe O16 - DPF: {35F59C80-C1F2-4EEA-9981-686C7D5A9277} (VacPro.emsat_ver3) - http://www.advnt01.com/dialer/emsat_ver3.CAB O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/20c2cc27d436cb3e0419/netzip/RdxIE601_de.cab O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38082.7011921296 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {E56347B0-6C2B-4C2E-939F-EE513EAC80BC} (Creative Product Registration ActiveX Control Module) - http://www.creative.com/register/OCXs/CtORWebClientNoMFC.cab O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?316 O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/SU/ocx/12119/CTPID.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{2764ED7E-B322-4726-8A9E-54978D5F7341}: NameServer = 217.237.151.33 194.25.2.129 Wollte wie von dem tool empfohlen nochmal fragen was ich tun soll. Danke für jede Hilfe. Gruß Pingu |
|
|
||
21.05.2004, 09:42
Member
Beiträge: 1095 |
#18
Hi pingu
Führe mal dies bitte durch http://board.protecus.de/t9373.htm besonders CWShredder Fixe bitte das in HiJAckThis R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) O1 - Hosts: 69.50.170.20 www.google.com O1 - Hosts: 69.50.170.21 search.yahoo.com O1 - Hosts: 69.50.170.22 search.msn.com O4 - HKCU\..\Run: [winlogon] c:\windows\winlogon.exe O4 - HKCU\..\Run: [runwin32] C:\WINDOWS\runwin32.exe O4 - Startup: Anwahl.lnk = ? O16 - DPF: {11111111-1111-1111-1111-111111111123} - http://petrovich.ud-dial.biz/1/dexDE547.exe O16 - DPF: {11111111-1111-1111-1111-111111111237} - http://69.31.87.70/1/deaDE348.exe O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab Dann neustart machen (Wichtig!!!!!!!!!!!!!!) Poste dann nochmal das HiJAckThis Logfiel Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 21.05.2004 um 09:48 Uhr von paff editiert.
|
|
|
||
21.05.2004, 11:41
Ehrenmitglied
Beiträge: 29434 |
#19
LADE:
Lade diese Tool , UPDATE und scanne.(AdAware, Spybot,Cwshredder....) http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html Dann lade den e-scann (mwav.exe)<ALLE Dateien scanne < loesche alles manuell, was er anzeigt http://www.mwti.net/antivirus/free_utilities.asp #Lade den Webwasher http://www.zdnet.de/downloads/programs/a/f/de000PAF_is-wc.html #Mache im abgesicherten Modus einen Vollscann mit dem aktualisierten Norton. (F8 beim Hochfahren druecken) #Onlinescann mit PestPatrol http://www.pestscan.com/Scan.asp #Onlinescann http://housecall.trendmicro.com/ Dann poste das Log noch mal. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
21.05.2004, 13:30
...neu hier
Beiträge: 6 |
#20
Vielen Dank schonmal. Sieht so aus als hätte ich den aktiven Code lahm legen können.
Übrig ist auf den ersten Blick noch R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://easy-search.biz R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://easy-search.biz R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://easy-search.biz Kann ich die fixen lassen ? |
|
|
||
21.05.2004, 14:16
Ehrenmitglied
Beiträge: 29434 |
#21
natuerlich
du musst das fixen . R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://easy-search.biz R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://easy-search.biz R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://easy-search.biz R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) O1 - Hosts: 69.50.170.20 www.google.com O1 - Hosts: 69.50.170.21 search.yahoo.com O1 - Hosts: 69.50.170.22 search.msn.com O4 - HKCU\..\Run: [winlogon] c:\windows\winlogon.exe O4 - HKCU\..\Run: [runwin32] C:\WINDOWS\runwin32.exe O4 - Startup: Anwahl.lnk = ? O16 - DPF: {11111111-1111-1111-1111-111111111123} - http://petrovich.ud-dial.biz/1/dexDE547.exe O16 - DPF: {11111111-1111-1111-1111-111111111237} - http://69.31.87.70/1/deaDE348.exe O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/20c2cc27d436cb3e0419/netzip/RdxIE601_de.cab O16 - DPF: {35F59C80-C1F2-4EEA-9981-686C7D5A9277} (VacPro.emsat_ver3) - http://www.advnt01.com/dialer/emsat_ver3.CAB http://lawgical.jura.uni-sb.de/archives/000197.html Neuer Trick: Internetverbindung via Emsat und Italsat nutzten die Dienste von Emsat von Eutelsat und Telespazio des Italsat-F2-Satelliten Mein Schwager wurde auch von emsat mit einer Telefonrechnung von über 200 Euro überrascht. Sein Sohn hatte sich den Dialer eingefangen. Insgesamt waren es auf der letzten Telefonrechnung 2 mal 39,58 Minuten zu je 105 Euro. Die Vorwahl war eine 0088 Nummer. Er hat Anzeige erstattet und die Rechnung abzüglich dieser Gebühren bezahlt. Die Kopie der Anzeige hat er dann der Telekomm geschickt. Dann neustart machen (Wichtig!!!!!!!!!!!!!!) dann mit allen Tools scannen Lade diese Tool , UPDATE und scanne.(AdAware, Spybot,Cwshredder....) http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html Dann lade den e-scann (mwav.exe)<ALLE Dateien scanne < loesche alles manuell, was er anzeigt http://www.mwti.net/antivirus/free_utilities.asp #Lade den Webwasher http://www.zdnet.de/downloads/programs/a/f/de000PAF_is-wc.html #Mache im abgesicherten Modus einen Vollscann mit dem aktualisierten Norton. (F8 beim Hochfahren druecken) #Onlinescann mit PestPatrol http://www.pestscan.com/Scan.asp #Onlinescann http://housecall.trendmicro.com/ und sie Startseite unter InternetOptionen neu einstellen Sabina Dann poste das Log noch mal. __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 21.05.2004 um 14:25 Uhr von Sabina editiert.
|
|
|
||
22.05.2004, 17:45
...neu hier
Beiträge: 4 |
#22
Hi Sabina.
Ich hab das selbe Problem - als Startseite immer http://easy-search.biz/... Hoffe du hilfst mir. Ach ja, SpHjfix.exe findet bei mir nichts. Hier ist mein Log: Logfile of HijackThis v1.97.7 Scan saved at 17:45:56, on 22.05.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\Explorer.EXE C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\WINDOWS\Mixer.exe C:\PROGRA~1\NORTON~1\navapw32.exe C:\Programme\Microsoft Hardware\Mouse\point32.exe C:\Programme\The Cleaner\tca.exe C:\Programme\The Cleaner\tcm.exe C:\WINDOWS\System32\ctfmon.exe C:\dokume~1\lucas\anwend~1\updater.exe C:\WINDOWS\runwin32.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Go!Zilla\gozilla.exe C:\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://easy-search.biz R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://easy-search.biz R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://easy-search.biz O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O2 - BHO: (no name) - {CD4C3CF0-4B15-11D1-ABED-709549C10000} - C:\Programme\Go!Zilla\GoIEHlp.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programme\Ulead Photo Express 2 SE\ChkFont.exe O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe O4 - HKLM\..\Run: [tcactive] C:\Programme\The Cleaner\tca.exe O4 - HKLM\..\Run: [tcmonitor] C:\Programme\The Cleaner\tcm.exe O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE O4 - HKCU\..\Run: [System Update4] c:\dokume~1\lucas\anwend~1\updater.exe O4 - HKCU\..\Run: [runwin32] C:\WINDOWS\runwin32.exe O8 - Extra context menu item: Download with Go!Zilla - file://C:\Programme\Go!Zilla\download-with-gozilla.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren (HKLM) O9 - Extra button: MedionShop (HKCU) O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004033001/housecall.antivirus.com/housecall/xscan53.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab Dieser Beitrag wurde am 22.05.2004 um 17:48 Uhr von 321lupo editiert.
|
|
|
||
23.05.2004, 11:55
Ehrenmitglied
Beiträge: 29434 |
#23
@321lupo
#Deinstalliere zuerst den GoZilla #und aktualisiere den IE http://www.microsoft.com/windows/ie_intl/de/ie6sp1.asp #Mache die WindowsUpdates unter Start<Programme <WindowsUpdate Dann fixe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://easy-search.biz R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://easy-search.biz R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://easy-search.biz O2 - BHO: (no name) - {CD4C3CF0-4B15-11D1-ABED-709549C10000} - C:\Programme\Go!Zilla\GoIEHlp.dll O4 - HKCU\..\Run: [System Update4] c:\dokume~1\lucas\anwend~1\updater.exe O4 - HKCU\..\Run: [runwin32] C:\WINDOWS\runwin32.exe auch im Taskmanager deaktivieren O8 - Extra context menu item: Download with Go!Zilla - file://C:\Programme\Go!Zilla\download-with-gozilla.html neustarten ---------------------------------------------------------------------------- Start<Ausfuehren<regedit HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run RunWin32 %windir%\RunWin32.exe auf der rechten Seite loeschen # Loesche alles was mit PWSteal.AlLight zu tun hat #Loesche die RunWin32.exe Update den Symantec, gehe in den abgesicherten Modus (F8 beim Hochfahren druecken) und scanne dort (Vollscann) --------------------------------------------------------------------------- #e-scann (mwav.exe) laden, alle Dateien scannen und manuell loeschen, was das Tool anzeigt http://www.soft411.com/company/MicroWorld-Technologies-Inc/MicroWorld-Anti-Virus-Toolkit.htm #AdAware laden, updaten und scannen http://www.lavasoft.de/support/download/ #Cwshredder von dieser Site laden http://www.spywareinfo.com/~merijn/downloads.html #Lade spybot und scanne http://beam.to/spybotsd Diese Tools duerften alle Spyware von Go!Zilla entfernen #mit WebWasher den IE saeubern und unter InternetOptionen die Startseite neu einstellen http://www.zdnet.de/downloads/programs/a/f/de000PAF_is-wc.html TemporaryInternetFiles loeschen C:\Dokumente und Einstellungen\<Benutzername>\Lokale Einstellungen\Temp (Windows XP), bleibt nur die Index.Dat , den Rest loeschen --------------------------------------------------------------------------- Poste dann mal das gereinigte Log MfG Sabina http://securityresponse.symantec.com/avcenter/venc/data/pwsteal.allight.html http://www.oit.duke.edu/ats/support/spyware/gozilla.html __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 23.05.2004 um 12:28 Uhr von Sabina editiert.
|
|
|
||
23.05.2004, 20:43
...neu hier
Beiträge: 4 |
#24
hi, sieht so aus als hättes geklappt!
vielen dank auf jeden fall!!! hier is das neue log Logfile of HijackThis v1.97.7 Scan saved at 20:41:46, on 23.05.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\Mixer.exe C:\PROGRA~1\NORTON~1\navapw32.exe C:\Programme\The Cleaner\tca.exe C:\WINDOWS\System32\ctfmon.exe C:\dokume~1\lucas\anwend~1\updater.exe C:\Programme\Webroot\Washer\wwDisp.exe C:\Programme\Internet Explorer\iexplore.exe D:\Lucas\Wichtig\Software\Trojaner\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/ O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programme\Ulead Photo Express 2 SE\ChkFont.exe O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [tcactive] C:\Programme\The Cleaner\tca.exe O4 - HKLM\..\Run: [tcmonitor] C:\Programme\The Cleaner\tcm.exe O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE O4 - HKCU\..\Run: [System Update4] c:\dokume~1\lucas\anwend~1\updater.exe O4 - HKCU\..\Run: [Window Washer] C:\Programme\Webroot\Washer\wwDisp.exe O4 - HKLM\..\RunOnce: [Index Washer] C:\Programme\Webroot\Washer\WashIdx.exe "Lucas" O4 - HKCU\..\RunOnce: [Index Washer] C:\Programme\Webroot\Washer\WashIdx.exe "Lucas" O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren (HKLM) O9 - Extra button: MedionShop (HKCU) O16 - DPF: {3A08F8EE-93ED-11D6-8A35-0002442B5E80} (ASCON_DRAWFIELD.Workspace) - http://www.as-con.de/cab/ascon_df.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004033001/housecall.antivirus.com/housecall/xscan53.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38130.3261805556 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab bis dann, 321lupo |
|
|
||
23.05.2004, 21:09
Member
Beiträge: 1122 |
#25
Fix mal:
O4 - HKCU\..\Run: [System Update4] c:\dokume~1\lucas\anwend~1\updater.exe Und schick mir dire Datei c:\dokume~1\lucas\anwend~1\updater.exe an Spam-Email@gmx.net MFG DAFRA |
|
|
||
23.05.2004, 21:27
Ehrenmitglied
Beiträge: 29434 |
#26
O4 - HKCU\..\Run: [System Update4] c:\dokume~1\lucas\anwend~1\updater.exe
Ja, das muss unbedingt geloescht werden. Also im Taskmanager deaktiviere, fixen mit dem HijackThis, neustarten und dann die exe und auch in der Registry loeschen . MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
24.05.2004, 18:01
...neu hier
Beiträge: 4 |
#27
ok ... äh, ich weiß ihr lacht mich jetzt alle aus...
wo finde ich die "registry"...??? ach ja, danke nochmal an sabina und dafra! bis dann 321lupo |
|
|
||
25.05.2004, 12:01
Ehrenmitglied
Beiträge: 29434 |
#28
1. Geh in den abgesicherten Modus (F8 beim Hochfahren druecken)
2. Mit der Suchfunktion von Windows suchst und loeschst du updater.exe 3.In die Registry gehen: Start<Ausfuehren regedit reinschreiben es oeffnet sich die Registry oben links ist die Suchfunktion der Registry schreib updater.exe rein und loesche alles, was du findest.(mit rechts anklicken und <loeschen< ----------------------------------------------------------------------------------------------------- Tipp: Lade den RegCleaner von dieser Site http://www.comzu-heide.de/Downloadbereich/system-utility/system-utility.htm du kannst ihn in Deutsch einstellen. a) Tools<Registry saeubern<alles durchfuehren scannen lassen und alles loeschen, was angezeigt wird b) unter Autostart sind alle StartProgramme (die im HijackThis unter 04 eingetragen sind aufgelistet. Dort musst du die updater.exe checken !!! neustarten...dann ist der Trojaner aus dem Autostart (04) raus. Sonst kann man die exe nicht loeschen ! c) mit dem RegCleaner kommst du ganz elegant in die Registry und musst dir nicht die Arbeit machen ueber Ausfuehren<regedit) gehe im RegCleaner ueber :Tools<Starte den Regeditor und schon bist du in der Registry ------------------------------------------------------------------------- Dann poste das Log noch einmal. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 25.05.2004 um 12:07 Uhr von Sabina editiert.
|
|
|
||
25.05.2004, 15:44
...neu hier
Beiträge: 4 |
#29
so - hab alles gemacht
der rechner scheint jetzt sauber zu sein vielen, vielen dank! zum dritten mal lucas ps: hier das log R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/ O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programme\Ulead Photo Express 2 SE\ChkFont.exe O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [tcactive] C:\Programme\The Cleaner\tca.exe O4 - HKLM\..\Run: [tcmonitor] C:\Programme\The Cleaner\tcm.exe O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE O4 - HKCU\..\Run: [Window Washer] C:\Programme\Webroot\Washer\wwDisp.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren (HKLM) O9 - Extra button: MedionShop (HKCU) O16 - DPF: {3A08F8EE-93ED-11D6-8A35-0002442B5E80} (ASCON_DRAWFIELD.Workspace) - http://www.as-con.de/cab/ascon_df.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004033001/housecall.antivirus.com/housecall/xscan53.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38130.3261805556 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab |
|
|
||
25.05.2004, 15:58
Ehrenmitglied
Beiträge: 29434 |
#30
@321Lupo
Fixe bitte noch : O16 - DPF: {3A08F8EE-93ED-11D6-8A35-0002442B5E80} (ASCON_DRAWFIELD.Workspace) - http://www.as-con.de/cab/ascon_df.cab Das sieht sehr komisch aus...oder du weisst hundertprozentig, wozu es gut ist. neustarten ---------------------------------------------------------------------------------- Dann scannst du noch einmal mit AdAware ...free-version (aktualisieren und scannen) http://www.lavasoft.de/support/download/ Ich empfehle dir ebenfalls den Firefox als Zweitbrowser ist hijackerfrei... http://www.firebird-browser.de/ MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 25.05.2004 um 15:59 Uhr von Sabina editiert.
|
|
|
||
mein System ist jetzt wirklich sauber! Danke!
Und alle die mit SearchX oder so Probleme haben, bitte SphjFix
http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html
checken lassen, der findet Sachen (siehe oben), die andere Programme echt übersehen.
Glückwunsch und Danke den Entwicklern!
Gruß Philipp