Home » Spyware & Browser Hijacker Support Forum » www.4-counter.com searchpage und andere Probleme » Themenansicht
www.4-counter.com searchpage und andere Probleme |
||
|---|---|---|
| #0
| ||
|
17.05.2004, 12:13
...neu hier
Beiträge: 7 |
||
 
|
|
|
|
17.05.2004, 12:28
Moderator
Beiträge: 7805 |
#2
Durch den bytever.x wird dir der Coolwebsearch hijacker auf deinen Rechner geladen. Darum bitte mal u.a. hier durcharbeiten:
http://www.rokop-security.de/main/article.php?sid=703 und fixe vorher mal das: O4 - HKLM\..\Run: [websx] D:\Program Files\websx\int139750.exe -auto das ist ein Dialer, also mal auf deine Tel-Rechnung achten, wenn du Modem oder ISDn nutzt. Den Rest lasse mal durch SpybotSD und Adaware(siehe rokop-link) entfernen, die machen das genauer, als wenn man nur die Eintraege fixen wuerde. Es waere nett, wenn du diese Datei D:\WINDOWS\system32\winproc32.exe vorher an virus@protecus.de oder an die Adresse aus meinem Profil schicken koenntest. Poste nachdem du alles abgearbeitet hast, zur Kontrolle, ein aktuelles log. __________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
17.05.2004, 13:09
Ehrenmitglied
 Beiträge: 6028 |
#3
Und schau auch hier mal http://www.java.com/en/download/help/cache_virus.jsp
Wenn man den Cache lehrt,sollte man neu starten __________ MfG Argus |
|
|
|
|
|
|
17.05.2004, 13:11
...neu hier
Themenstarter Beiträge: 7 |
#4
der neue log:
Logfile of HijackThis v1.97.7 Scan saved at 1:13:22 PM, on 5/17/2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\System32\nvsvc32.exe D:\WINDOWS\Explorer.EXE D:\WINDOWS\System32\MMTray.exe D:\WINDOWS\System32\P2P Networking\P2P Networking.exe D:\Program Files\QuickTime\qttask.exe D:\Program Files\Winamp\Winampa.exe D:\Program Files\Messenger\msmsgs.exe D:\WINDOWS\System32\ctfmon.exe D:\WINDOWS\System32\rundll32.exe D:\Program Files\Common Files\Microsoft Shared\Works Shared\wkcalrem.exe D:\PROGRA~1\INCRED~1\bin\IMApp.exe D:\Program Files\Winamp\winamp.exe C:\Kituri\javawindows.exe D:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\LRE86.tmp\bin\java.exe D:\WINDOWS\System32\cmd.exe D:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe D:\PROGRA~1\INCRED~1\bin\IncMail.exe D:\Program Files\Internet Explorer\iexplore.exe D:\Program Files\WinRAR\WinRAR.exe D:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX00.216\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.olydorf.mhn.de:8080 R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) F2 - REG:system.ini: UserInit=D:\WINDOWS\System32\Userinit.exe O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - (no file) O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\program files\google\googletoolbar1.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\program files\google\googletoolbar1.dll O4 - HKLM\..\Run: [MMTray] MMTray.exe O4 - HKLM\..\Run: [P2P Networking] D:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART O4 - HKLM\..\Run: [LSPFix] D:\Program Files\Common Files\eAcceleration\LSPfix\LSPmonitor.exe normal O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [WinampAgent] "D:\Program Files\Winamp\Winampa.exe" O4 - HKLM\..\Run: [alchem] D:\WINDOWS\alchem.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [IncrediMail] D:\PROGRA~1\INCRED~1\bin\IncMail.exe /c O4 - HKCU\..\Run: [SpyKiller] D:\Program Files\SpyKiller\spykiller.exe /startup O4 - HKCU\..\Run: [Yahoo! Pager] D:\Program Files\Yahoo!\Messenger\ypager.exe -quiet O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = ? O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: &Add animation to IncrediMail Style Box - D:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O8 - Extra context menu item: &Google Search - res://d:\program files\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Backward &Links - res://d:\program files\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://d:\program files\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Si&milar Pages - res://d:\program files\google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM) O9 - Extra button: TREND MICRO HouseCall (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM) O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://imgfarm.com/images/nocache/funwebproducts/SmileyCentralInitialSetup1.0.0.6.cab O16 - DPF: {2119776A-F1AD-4FCD-9548-F1E1C615350C} - http://www.stop-sign.com/pub/download/scandl_cnry.cab O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst0401.cab O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - http://us.games2.yimg.com/download.games.yahoo.com/games/play/client/exentctl_0_0_0_1.ocx O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004033001/housecall.antivirus.com/housecall/xscan53.cab O16 - DPF: {7ED7005B-4AF6-4CFF-9AE0-F243C4B8260F} (HouseCallButton.setup) - http://de.trendmicro-europe.com/file_downloads/common/housecall/HouseCallButton.CAB O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} (brdg Class) - http://www2.flingstone.com/cab/2000XP/ClickYesToContinue/bridge-c1.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37943.5470949074 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/1,5,0,4309/mcfscan.cab O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab O16 - DPF: {F5820AD3-9B20-423E-B2AA-7AF2B4055746} (CRegistryDownload Class) - http://download.paltalk.com/download/0.x/regdload.cab O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab O16 - DPF: {FA13A9FA-CA9B-11D2-9780-00104B242EA3} (WildTangent Control) - http://install.wildtangent.com/bgn/partners/wtgeneric/witchblade/minigame/install.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{0A20CA76-3A7C-46B0-94E2-B6E141FA1215}: Domain = olydorf.swh.mhn.de O17 - HKLM\System\CCS\Services\Tcpip\..\{0A20CA76-3A7C-46B0-94E2-B6E141FA1215}: NameServer = 10.150.128.2,141.84.225.226 O17 - HKLM\System\CCS\Services\Tcpip\..\{A5A19395-FFB7-4933-B2C1-05AAE2C716D6}: NameServer = 10.150.128.2,129.187.10.25 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = olydorf.swh.mhn.de O17 - HKLM\System\CS1\Services\Tcpip\..\{0A20CA76-3A7C-46B0-94E2-B6E141FA1215}: Domain = olydorf.swh.mhn.de O17 - HKLM\System\CS1\Services\Tcpip\..\{0A20CA76-3A7C-46B0-94E2-B6E141FA1215}: NameServer = 10.150.128.2,141.84.225.226 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = olydorf.swh.mhn.de O17 - HKLM\System\CS2\Services\Tcpip\..\{0A20CA76-3A7C-46B0-94E2-B6E141FA1215}: Domain = olydorf.swh.mhn.de O17 - HKLM\System\CS2\Services\Tcpip\..\{0A20CA76-3A7C-46B0-94E2-B6E141FA1215}: NameServer = 10.150.128.2,141.84.225.226 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = olydorf.swh.mhn.de was mache ich aber mit dem messenger? ich habe gerade Java installiert, mail und messenger funktionieren aber genauso: gar nicht. Dieser Beitrag wurde am 17.05.2004 um 13:47 Uhr von Aminda editiert.
|
|
|
|
|
|
|
17.05.2004, 15:28
Moderator
Beiträge: 7805 |
#5
Hm, das sieht nicht viel anders aus und die Windowsupdates stehen auch noch aus. Eine neue VJAvaversion von MS gibt es hier: http://www.softwarepatch.com/windows/javavmdownload.html
Oder du musst die alte deinstallieren und nur die von Sun nehmen(ist eh sicherer) Kopiere Hijackthis in einen extra Ordner und fix mal folgendes: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) F2 - REG:system.ini: UserInit=D:\WINDOWS\System32\Userinit.exe O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - (no file) O4 - HKLM\..\Run: [P2P Networking] D:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART O4 - HKLM\..\Run: [LSPFix] D:\Program Files\Common Files\eAcceleration\LSPfix\LSPmonitor.exe normal O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [WinampAgent] "D:\Program Files\Winamp\Winampa.exe" O4 - HKLM\..\Run: [alchem] D:\WINDOWS\alchem.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Program Files\Java\j2re1.4.2_04\bin\jusched. O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office\OSA9.EXE und fix alles was unter "O16" steht. Wird davon was genutzt, wird es eh nachgeladen. Starte neu und poste yum abschluss nochmal ein Log. __________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
17.05.2004, 15:48
...neu hier
Themenstarter Beiträge: 7 |
#6
Ja, die von Sun habe ich schon und ich hab sie heute umgefahr 5mal installiert und der andere von dem du mir den link gegeben hast, der sagt mir dass es nur eine update patch ist, also nicht gut fur mich (der sieht den sun java nicht, denke ich). mein kopf pfeifft schon langsam.
Dieser Beitrag wurde am 17.05.2004 um 16:28 Uhr von Aminda editiert.
|
|
|
|
|
|
|
17.05.2004, 16:38
Ehrenmitglied
 Beiträge: 29434 |
#7
Aminda
Die Systemwiederherstellung deaktivieren http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 bitte mit den anderen auch fixen: O4 - HKCU\..\Run: [IncrediMail] D:\PROGRA~1\INCRED~1\bin\IncMail.exe /c aber vorher im Taskmanager deaktivieren, ebenso wie die schon geposteten 04 Eintraege und die schon angesprochenen 016Eintraege O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://imgfarm.com/images/nocache/funwebproducts/SmileyCentralInitialSetup1.0.0.6.cab O16 - DPF: {2119776A-F1AD-4FCD-9548-F1E1C615350C} - http://www.stop-sign.com/pub/download/scandl_cnry.cab O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst0401.cab O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - http://us.games2.yimg.com/download.games.yahoo.com/games/play/client/exentctl_0_0_0_1.ocx O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} (brdg Class) - http://www2.flingstone.com/cab/2000XP/ClickYesToContinue/bridge-c1.cab Bridge muss man dann noch manuell entfernen O16 - DPF: {EF86873F-04C2-4A95-A373-5703C08EFC7B} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v3.0/0006_Cra*hier nicht!*.cab O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab O16 - DPF: {F5820AD3-9B20-423E-B2AA-7AF2B4055746} (CRegistryDownload Class) - http://download.paltalk.com/download/0.x/regdload.cab O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab O16 - DPF: {FA13A9FA-CA9B-11D2-9780-00104B242EA3} (WildTangent Control) - http://install.wildtangent.com/bgn/partners/wtgeneric/witchblade/minigame/install.cab neustarten #Antivir laden http://www.free-av.com/ #Alle Tools von dieser Site laden und scannen http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html #e-scann (mwav.exe )laden, alle Dateien scannen und poste das Log vom Tool (nur den infizierten Teil) http://www.mwti.net/antivirus/free_utilities.asp #ClearProg laden und den Browser saeubern Danach unter InternetOptionen die Startseite neu einstellen. http://www.clearprog.de/ Dann, wie schon gesagt, das Log von mwav.exe und das HijackLog noch mal posten.  MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 17.05.2004 um 16:53 Uhr von Sabina editiert.
|
|
|
|
|
|
|
17.05.2004, 18:23
...neu hier
Themenstarter Beiträge: 7 |
#8
Logfile of HijackThis v1.97.7
Scan saved at 6:26:15 PM, on 5/17/2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\System32\nvsvc32.exe D:\WINDOWS\Explorer.EXE D:\WINDOWS\System32\MMTray.exe D:\WINDOWS\System32\P2P Networking\P2P Networking.exe D:\Program Files\Messenger\msmsgs.exe D:\Program Files\Yahoo!\Messenger\ypager.exe D:\WINDOWS\System32\rundll32.exe D:\Program Files\Common Files\Microsoft Shared\Works Shared\wkcalrem.exe D:\PROGRA~1\INCRED~1\bin\IMApp.exe D:\Program Files\Internet Explorer\IEXPLORE.EXE D:\Program Files\Winamp\winamp.exe C:\HijackThis.exe D:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\577BD94E\SpHjfix[1].exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.olydorf.mhn.de:8080 O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - D:\Program Files\Yahoo!\Companion\Installs\cpn1\ycomp5_3_12_0.dll O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\program files\google\googletoolbar1.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\program files\google\googletoolbar1.dll O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Program Files\Yahoo!\Companion\Installs\cpn1\ycomp5_3_12_0.dll O4 - HKLM\..\Run: [MMTray] MMTray.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [P2P Networking] D:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [IncrediMail] D:\PROGRA~1\INCRED~1\bin\IncMail.exe /c O4 - HKCU\..\Run: [SpyKiller] D:\Program Files\SpyKiller\spykiller.exe /startup O4 - HKCU\..\Run: [Yahoo! Pager] D:\Program Files\Yahoo!\Messenger\ypager.exe -quiet O4 - HKLM\..\RunOnce: [DelUs] c:\DelUS.BAT O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = ? O8 - Extra context menu item: &Add animation to IncrediMail Style Box - D:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O8 - Extra context menu item: &Google Search - res://d:\program files\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Backward &Links - res://d:\program files\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://d:\program files\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Si&milar Pages - res://d:\program files\google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM) O9 - Extra button: TREND MICRO HouseCall (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash5r42.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{0A20CA76-3A7C-46B0-94E2-B6E141FA1215}: Domain = olydorf.swh.mhn.de O17 - HKLM\System\CCS\Services\Tcpip\..\{0A20CA76-3A7C-46B0-94E2-B6E141FA1215}: NameServer = 10.150.128.2,141.84.225.226 O17 - HKLM\System\CCS\Services\Tcpip\..\{A5A19395-FFB7-4933-B2C1-05AAE2C716D6}: NameServer = 10.150.128.2,129.187.10.25 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = olydorf.swh.mhn.de O17 - HKLM\System\CS1\Services\Tcpip\..\{0A20CA76-3A7C-46B0-94E2-B6E141FA1215}: Domain = olydorf.swh.mhn.de O17 - HKLM\System\CS1\Services\Tcpip\..\{0A20CA76-3A7C-46B0-94E2-B6E141FA1215}: NameServer = 10.150.128.2,141.84.225.226 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = olydorf.swh.mhn.de O17 - HKLM\System\CS2\Services\Tcpip\..\{0A20CA76-3A7C-46B0-94E2-B6E141FA1215}: Domain = olydorf.swh.mhn.de O17 - HKLM\System\CS2\Services\Tcpip\..\{0A20CA76-3A7C-46B0-94E2-B6E141FA1215}: NameServer = 10.150.128.2,141.84.225.226 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = olydorf.swh.mhn.de 5/17/2004 8:42:20 PM SPhjFix startedv1.06 5/17/2004 8:42:20 PM Stealth-String not found -> Programm terminated antivir habe ich schon, es hat mir 2 trojaner gefunden un geloscht. was jetzt? Dieser Beitrag wurde am 17.05.2004 um 20:49 Uhr von Aminda editiert.
|
|
|
|
|
|
|
18.05.2004, 10:16
Ehrenmitglied
Beiträge: 29434 |
#9
@Aminda
Sieht schon besser aus, ist aber noch nicht sauber, auch wenn der Kopf raucht.... Fixe bitte (04-Eintraege vorher im TaskManager deaktivieren) O4 - HKCU\..\Run: [IncrediMail] D:\PROGRA~1\INCRED~1\bin\IncMail.exe /c O4 - HKLM\..\Run: [P2P Networking] D:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART O4 - HKCU\..\Run: [SpyKiller] D:\Program Files\SpyKiller\spykiller.exe /startup O4 - HKLM\..\RunOnce: [DelUs] c:\DelUS.BAT O8 - Extra context menu item: &Add animation to IncrediMail Style Box - D:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm Ueberpruefe bitte, ob das deine korrekt Proxyeinstellung ist: R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.olydorf.mhn.de:8080 wenn nicht, alles fixen auch die 017 -Eintraege und neu einstellen neustarten ---------------------------------------------------------------------------------------------------- #Deinstalliere bitte. D:\PROGRA~1\INCRED~1\bin\IMApp.exe sowie alle Dateien davon #Deinstalliere D:\Program Files\SpyKiller\spykiller.exe /startup sowie alle Datein ---------------------------------------------------------------- #Der Antivir. ist nicht im Autostart 04 eingetragen. Also...deinstallieren und neu laden. Nach dem Durchlauf muss er im Autostart sichtbar sein http://www.free-av.com/ #Lade den e-scann (mwav.exe, scanne alle Dateien und poste das Log (den infizierten Teil)~...mit der Maus kopieren..... http://www.mwti.net/antivirus/free_utilities.asp #Lade den RegCleaner http://www.comzu-heide.de/Downloadbereich/system-utility/system-utility.htm 1. stelle ihn in Deutsch ein 2.Tools<Registry saeubern<alles durchfuehren du kannst beruhigt alles loeschen, was das Tool anzeigt, denn es verbleibt eine Sicherung fuer Notfaelle. Dann poste das Log vom mwav.exe und das Log vom HijackThis. ------------------------------------------------------------------------------ Frage: Hast du <age of empires< installiert ? MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 18.05.2004 um 10:23 Uhr von Sabina editiert.
|
|
|
|
|
|
|
18.05.2004, 16:50
...neu hier
Themenstarter Beiträge: 7 |
#10
Alles gefixt, die Proxyeinstellung ist ganz bestimmt die gute, hab' IncrediMail deinstalliert
 und Spykiller auch.AntiVir sagt nichts, e-scan auch nicht. Tue May 18 16:14:07 2004 => Total Number of Files Scanned: 238 Tue May 18 16:14:07 2004 => Total Number of Virus(es) Found: 0 Tue May 18 16:14:07 2004 => Total Number of Disinfected Files: 0 Tue May 18 16:14:07 2004 => Total Number of Files Renamed: 0 Tue May 18 16:14:07 2004 => Total Number of Deleted Files: 0 Tue May 18 16:14:07 2004 => Total Number of Errors: 0 Tue May 18 16:14:07 2004 => Time Elapsed: 00:00:24 Tue May 18 16:14:07 2004 => Virus Database Date: 2004/05/15 Tue May 18 16:14:07 2004 => Virus Database Count: 92396 Tue May 18 16:14:07 2004 => Scan Completed. HJT Log: Logfile of HijackThis v1.97.7 Scan saved at 4:53:29 PM, on 5/18/2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\Explorer.EXE D:\WINDOWS\System32\nvsvc32.exe D:\WINDOWS\System32\MMTray.exe D:\Program Files\Common Files\Microsoft Shared\Works Shared\wkcalrem.exe D:\WINDOWS\System32\rundll32.exe D:\Program Files\Winamp\winamp.exe D:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe D:\Program Files\AVPersonal\AVWUPSRV.EXE D:\Program Files\AVPersonal\AVGUARD.EXE D:\Program Files\AVPersonal\AVGNT.EXE D:\Program Files\Internet Explorer\IEXPLORE.EXE D:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\mwavscan.com D:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\kavss.exe D:\Program Files\RegCleaner\RegCleanr.exe C:\HijackThis.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.olydorf.mhn.de:8080 O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - D:\Program Files\Yahoo!\Companion\Installs\cpn1\ycomp5_3_12_0.dll O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\program files\google\googletoolbar1.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\program files\google\googletoolbar1.dll O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Program Files\Yahoo!\Companion\Installs\cpn1\ycomp5_3_12_0.dll O4 - HKLM\..\Run: [MMTray] MMTray.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [AVGCtrl] D:\Program Files\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Yahoo! Pager] D:\Program Files\Yahoo!\Messenger\ypager.exe -quiet O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = ? O8 - Extra context menu item: &Google Search - res://d:\program files\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Backward &Links - res://d:\program files\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://d:\program files\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Si&milar Pages - res://d:\program files\google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM) O9 - Extra button: TREND MICRO HouseCall (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash5r42.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{0A20CA76-3A7C-46B0-94E2-B6E141FA1215}: Domain = olydorf.swh.mhn.de O17 - HKLM\System\CCS\Services\Tcpip\..\{0A20CA76-3A7C-46B0-94E2-B6E141FA1215}: NameServer = 10.150.128.2,141.84.225.226 O17 - HKLM\System\CCS\Services\Tcpip\..\{A5A19395-FFB7-4933-B2C1-05AAE2C716D6}: NameServer = 10.150.128.2,129.187.10.25 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = olydorf.swh.mhn.de O17 - HKLM\System\CS1\Services\Tcpip\..\{0A20CA76-3A7C-46B0-94E2-B6E141FA1215}: Domain = olydorf.swh.mhn.de O17 - HKLM\System\CS1\Services\Tcpip\..\{0A20CA76-3A7C-46B0-94E2-B6E141FA1215}: NameServer = 10.150.128.2,141.84.225.226 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = olydorf.swh.mhn.de O17 - HKLM\System\CS2\Services\Tcpip\..\{0A20CA76-3A7C-46B0-94E2-B6E141FA1215}: Domain = olydorf.swh.mhn.de O17 - HKLM\System\CS2\Services\Tcpip\..\{0A20CA76-3A7C-46B0-94E2-B6E141FA1215}: NameServer = 10.150.128.2,141.84.225.226 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = olydorf.swh.mhn.de was ich noch total uncool finde, ist dass ich im ym noch immer nichts sehen kann, bei Ctrl+N im explorer passiert nichts - es offnet sich zwar ein fenster, aber dafur verschwindet das alte. genauso wenn ich open link in new window probiere. in windows explorer zeigt mir die search bar ebenso nichts an, ausserdem sind eine menge links tot, ich kann nicht einmal meine mail checken. und ja, ich habe age of empires. es ist dass einzige spiel dass ich wirklich maaaag...! muss ich es auch deinstallieren? Dieser Beitrag wurde am 18.05.2004 um 18:28 Uhr von Aminda editiert.
|
|
|
|
|
|
|
19.05.2004, 16:14
Ehrenmitglied
Beiträge: 29434 |
#11
deinstalliere Yahoo!\Companion und GoogleToolbar1.dl
Mache also den Browser total sauber. O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - D:\Program Files\Yahoo!\Companion\Installs\cpn1\ycomp5_3_12_0.dll O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\program files\google\googletoolbar1.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\program files\google\googletoolbar1.dll O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Program Files\Yahoo!\Companion\Installs\cpn1\ycomp5_3_12_0.dll O8 - Extra context menu item: &Google Search - res://d:\program files\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Backward &Links - res://d:\program files\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://d:\program files\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Si&milar Pages - res://d:\program files\google\GoogleToolbar1.dll/cmsimilar.html O17 - HKLM\System\CCS\Services\Tcpip\..\{0A20CA76-3A7C-46B0-94E2-B6E141FA1215}: Domain = olydorf.swh.mhn.de O17 - HKLM\System\CCS\Services\Tcpip\..\{0A20CA76-3A7C-46B0-94E2-B6E141FA1215}: NameServer = 10.150.128.2,141.84.225.226 O17 - HKLM\System\CCS\Services\Tcpip\..\{A5A19395-FFB7-4933-B2C1-05AAE2C716D6}: NameServer = 10.150.128.2,129.187.10.25 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = olydorf.swh.mhn.de O17 - HKLM\System\CS1\Services\Tcpip\..\{0A20CA76-3A7C-46B0-94E2-B6E141FA1215}: Domain = olydorf.swh.mhn.de O17 - HKLM\System\CS1\Services\Tcpip\..\{0A20CA76-3A7C-46B0-94E2-B6E141FA1215}: NameServer = 10.150.128.2,141.84.225.226 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = olydorf.swh.mhn.de lass nur einen Eintrag von deinem Proxy ------------------------------------------------------------------------------ age of empires musst du natuerlich NICHT deinstallieren. #ClearProg laden und den Browser saeubern..nur die Cookies und TemporaryInternetfiles http://www.clearprog.de/ Vergiss dann nicht , eine neue Startseite unter InternetOptionen einzustellen und installiere den Firefox als Zweitbrowser. dann berichte, ob es besser laeuft. http://www.firebird-browser.de/ MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 19.05.2004 um 16:16 Uhr von Sabina editiert.
|
|
|
|
|
|
|
19.05.2004, 17:01
...neu hier
Themenstarter Beiträge: 7 |
#12
Antivir hat mir gerade folgendes geflustert:
file: winad2.cab This archive contains one or more infected files! Infected files in archives will not be deleted or repaired! Would you like tu receive this message for each archive with infected files? ...und ein bestimmter winproc.exe hat den TR/Dldr.Small.IN. Loschen? :shock: was nun??? Dieser Beitrag wurde am 19.05.2004 um 17:04 Uhr von Aminda editiert.
|
|
|
|
|
|
|
20.05.2004, 13:57
Ehrenmitglied
Beiträge: 29434 |
#13
Gehe in den abgesicherten Modus
F8 beim Hochfahren druecken Dort scanne noch einmal. Wenn notwendig, die infizierte Datei manuell loeschen. Viel Glueck. Du hattest schon viel Arbeit, da schaffen wir den Rest auch noch. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Seite(n): 1
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
ich habe jetzt mehr als ein problem, da bin ich mir sicher.
1.
Logfile of HijackThis v1.97.7
Scan saved at 12:08:36 PM, on 5/17/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\nvsvc32.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\System32\MMTray.exe
D:\WINDOWS\System32\P2P Networking\P2P Networking.exe
D:\Program Files\QuickTime\qttask.exe
D:\Program Files\Winamp\Winampa.exe
D:\Program Files\Messenger\msmsgs.exe
D:\WINDOWS\System32\ctfmon.exe
D:\WINDOWS\System32\rundll32.exe
D:\WINDOWS\system32\winproc32.exe
D:\Program Files\Common Files\Microsoft Shared\Works Shared\wkcalrem.exe
D:\PROGRA~1\INCRED~1\bin\IMApp.exe
D:\Program Files\Winamp\winamp.exe
D:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX02.396\HijackThis.exe
D:\Program Files\Internet Explorer\iexplore.exe
D:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
D:\PROGRA~1\INCRED~1\bin\IncMail.exe
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://4-counter.com/?a=2&b=alexxp
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://4-counter.com/?a=2&b=alexxp
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://4-counter.com/?a=2&b=alexxp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://4-counter.com/?b=alexxp
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://4-counter.com/?a=2&b=alexxp
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://4-counter.com/?a=2&b=alexxp
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default-homepage-network.com/start.cgi?new-hklm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://4-counter.com/?a=2&b=alexxp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://4-counter.com/?a=2&b=alexxp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://4-counter.com/?a=2&b=alexxp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.olydorf.mhn.de:8080
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchAssistant = http://www.sharempeg.com/find/
R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = http://www.sharempeg.com/find/
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
F2 - REG:system.ini: UserInit=D:\WINDOWS\System32\Userinit.exe
O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - (no file)
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [MMTray] MMTray.exe
O4 - HKLM\..\Run: [P2P Networking] D:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [LSPFix] D:\Program Files\Common Files\eAcceleration\LSPfix\LSPmonitor.exe normal
O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [websx] D:\Program Files\websx\int139750.exe -auto
O4 - HKLM\..\Run: [WinampAgent] "D:\Program Files\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [alchem] D:\WINDOWS\alchem.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [IncrediMail] D:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\Run: [SpyKiller] D:\Program Files\SpyKiller\spykiller.exe /startup
O4 - HKCU\..\Run: [Windows Internet Protocol] D:\WINDOWS\system32\winproc32.exe
O4 - HKCU\..\Run: [Yahoo! Pager] D:\Program Files\Yahoo!\Messenger\ypager.exe -quiet
O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - D:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Google Search - res://d:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://d:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://d:\program files\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://d:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: TREND MICRO HouseCall (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://imgfarm.com/images/nocache/funwebproducts/SmileyCentralInitialSetup1.0.0.6.cab
O16 - DPF: {2119776A-F1AD-4FCD-9548-F1E1C615350C} - http://www.stop-sign.com/pub/download/scandl_cnry.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst0401.cab
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - http://us.games2.yimg.com/download.games.yahoo.com/games/play/client/exentctl_0_0_0_1.ocx
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004033001/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {7ED7005B-4AF6-4CFF-9AE0-F243C4B8260F} (HouseCallButton.setup) - http://de.trendmicro-europe.com/file_downloads/common/housecall/HouseCallButton.CAB
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} (brdg Class) - http://www2.flingstone.com/cab/2000XP/ClickYesToContinue/bridge-c1.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37943.5470949074
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/1,5,0,4309/mcfscan.cab
O16 - DPF: {EF86873F-04C2-4A95-A373-5703C08EFC7B} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v3.0/0006_Cra*hier nicht!*.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
O16 - DPF: {F5820AD3-9B20-423E-B2AA-7AF2B4055746} (CRegistryDownload Class) - http://download.paltalk.com/download/0.x/regdload.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O16 - DPF: {FA13A9FA-CA9B-11D2-9780-00104B242EA3} (WildTangent Control) - http://install.wildtangent.com/bgn/partners/wtgeneric/witchblade/minigame/install.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0A20CA76-3A7C-46B0-94E2-B6E141FA1215}: Domain = olydorf.swh.mhn.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{0A20CA76-3A7C-46B0-94E2-B6E141FA1215}: NameServer = 10.150.128.2,141.84.225.226
O17 - HKLM\System\CCS\Services\Tcpip\..\{A5A19395-FFB7-4933-B2C1-05AAE2C716D6}: NameServer = 10.150.128.2,129.187.10.25
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = olydorf.swh.mhn.de
O17 - HKLM\System\CS1\Services\Tcpip\..\{0A20CA76-3A7C-46B0-94E2-B6E141FA1215}: Domain = olydorf.swh.mhn.de
O17 - HKLM\System\CS1\Services\Tcpip\..\{0A20CA76-3A7C-46B0-94E2-B6E141FA1215}: NameServer = 10.150.128.2,141.84.225.226
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = olydorf.swh.mhn.de
O17 - HKLM\System\CS2\Services\Tcpip\..\{0A20CA76-3A7C-46B0-94E2-B6E141FA1215}: Domain = olydorf.swh.mhn.de
O17 - HKLM\System\CS2\Services\Tcpip\..\{0A20CA76-3A7C-46B0-94E2-B6E141FA1215}: NameServer = 10.150.128.2,141.84.225.226
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = olydorf.swh.mhn.de
das ware das erste. ich habe nur eine geringe ahnung was von denen wegkommen sollte, ich brauche aber einen expert's opinion.
2.
vor zwei wochen - zwar nur an einen einzigen tag - hab ich den sasser-dialog bekommen: "you computer will be shut down in...". hab' mit trendmicro's housecall gescannt, dabei hat es mir JAVA.BYTEVER.B gefunden (bin mir nicht 100% sicher dass es B war), aber keinen sasser (den removal kit von symantec habe ich dafur auch benuntzt und nichts). die antiviren die ich habe, haben es aber nicht einmal den BYTEVER gefunden oder die haben es nicht loschen konnen, also habe ich Java deinstalliert und die infizierten files manuell geloscht. heute habe ich java neu installiert und mein y! messenger funktioniert nicht: nachdem ich den text eingebe, erscheint mir nichts im chat. yahoo mail kann ich auch nicht benutzen - ich kann es zwar lesen, aber schreiben nicht. kommt das von java?