jksearch.biz Startseite |
||
|---|---|---|
| #0
| ||
|
19.05.2004, 04:39
...neu hier
Beiträge: 2 |
||
 
|
|
|
|
19.05.2004, 07:58
...neu hier
Beiträge: 3 |
#2
der da sieht nicht sehr vertrauenserweckend aus:
O4 - HKLM\..\Run: [Services Process] C:\WINDOWS\system32\config\services.exe den würd ich mal raus hauen... |
|
|
|
|
|
|
19.05.2004, 09:00
Member
Beiträge: 1095 |
#3
Hi nopain
Schau dir mal dieses an http://www.rokop-security.de/board/index.php?showtopic=3288 Hat das selbe Problem Hier die Englische Lösung http://www.wilderssecurity.com/showthread.php?t=28658&goto=newpost Übeprüfe auch die von ColdICe genannte Datei hier: http://www.kaspersky.com/remoteviruschk.html O4 - HKLM\..\Run: [Services Process] C:\WINDOWS\system32\config\services.exe Wenn Virus dann Fixen Wahrscheinlich der Virus hier http://www.symantec.com/avcenter/venc/data/w32.hllw.kazping.html Sind 2 unterschiedliche Sachen, also beides einzeln angehen  Poste danach nochmal das Logfile Bei Problems einfach nochmal posten Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 19.05.2004 um 09:01 Uhr von paff editiert.
|
|
|
|
|
|
|
19.05.2004, 16:56
...neu hier
Beiträge: 3 |
#4
Hi Leute,
hab das gleich Problem wie der nopain. Hab schon die Tools wie Ad-aware, Spybot und den Shredder durchgejagt. Ich weiss net wie ich den mist da rauskrieg. Auch sowas wie Service.exe hab ich gekillt, war schon verseucht. Systemwiederherstellung hab ich deaktiviert. Aber dieses "jksearch" will net weg. Logfile of HijackThis v1.97.7 Scan saved at 16:53:21, on 19.05.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe D:\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\RUNDLL32.EXE D:\Webroot\Washer\wwDisp.exe D:\ICQ\ICQ.exe C:\WINDOWS\System32\devldr32.exe D:\AVPersonal\AVGUARD.EXE D:\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Internet Explorer\iexplore.exe D:\HighJack\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://jksearch.biz/redir.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://jksearch.biz/redir.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://jksearch.biz/redir.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://jksearch.biz/redir.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://jksearch.biz/redir.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://jksearch.biz/redir.php O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Mirabilis ICQ] D:\ICQ\ICQNet.exe O4 - HKLM\..\Run: [AVGCtrl] D:\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [Steam] "f:\games\steam\steam.exe" -silent O4 - HKCU\..\Run: [Window Washer] D:\Webroot\Washer\wwDisp.exe O4 - Global Startup: Microsoft Office.lnk = D:\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MICROS~1\Office10\EXCEL.EXE/3000 O9 - Extra button: ICQ Pro (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab Danke schon mal im Vorraus! |
|
|
|
|
|
|
19.05.2004, 17:14
Moderator
Beiträge: 7805 |
#5
Den Link von Paff schon abgearbeitet?
http://www.wilderssecurity.com/showpost.php?p=179502&postcount=18 __________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
19.05.2004, 17:19
...neu hier
Beiträge: 3 |
#6
Ja, aber die system32.dll lässt sich net löschen! Muss ich das im Abgesicherten Modus machen?
|
|
|
|
|
|
|
19.05.2004, 17:33
Moderator
Beiträge: 7805 |
#7
Ja, mach das und suche nach der system32.dll in der Registrierung und loesche die Verweise darauf.
__________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
19.05.2004, 17:41
...neu hier
Beiträge: 3 |
#8
ok danke! ... hab alles gemacht hoffe mein system is wieder clean ...
|
|
|
|
|
|
|
19.05.2004, 22:19
...neu hier
Themenstarter Beiträge: 2 |
#9
Hallo Leute
danke für die Tipps ... bei mir hat leider gar nichts mehr geholfen ... ich hab alle Viren und Trojaner und was sonst noch alles drauf war mit dem Norton und mit dem Kaspablabla gelöscht und die Gurke dann neu aufgesetzt. Hat mich einige Stunden gekostet aber jetzt rennt der Hobel wieder in High-Speed ... ein Wahnsinn wie langsam das System schon war ... Dere, NoPain |
|
|
|
|
|
|
21.05.2004, 12:36
...neu hier
Beiträge: 5 |
#10
hallo leute..bitte um hilfe..dasselbe problem. ich knna mich von diesem jksearch.biz nicht retten.was soll ich tun.alle in forum erwähnte tool bereits verwendet hijackthis,adware,springer,fixbalst,fixsasser,spybot(mcaffee läuft ergebnislos).da ich mich nicht gerade auskenne bitte ich um eine erklärung bzw. anleitung wie ich mich davon retten kann.danke .:
Logfile of HijackThis v1.97.7 Scan saved at 12:30:05, on 21.05.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\McAfee\McAfee VirusScan\Avsynmgr.exe C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe C:\Programme\McAfee\McAfee VirusScan\VsStat.exe C:\Programme\McAfee\McAfee VirusScan\Vshwin32.exe C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe C:\Programme\McAfee\McAfee VirusScan\Avconsol.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Admin\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://jksearch.biz/redir.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://jksearch.biz/redir.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://jksearch.biz/redir.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://jksearch.biz/redir.php R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = www.chello.at/autoproxy/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://jksearch.biz/redir.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://jksearch.biz/redir.php O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ? O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O16 - DPF: {1F831FA3-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://C:\Programme\AutoCAD 2002 Deu\InstFred.ocx O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday-Steuerung) - file://C:\Programme\AutoCAD 2002 Deu\AcDcToday.ocx O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file://C:\Programme\AutoCAD 2002 Deu\AcPreview.ocx |
|
|
|
|
|
|
21.05.2004, 12:40
Moderator
Beiträge: 7805 |
#11
Schon durch die Links in diesem Thread schon durchgearbeitet? Wenn ja, dann Startuplist posten (Hijackthis starten und auf config/misc tools/generate startuplist gehen)
__________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
21.05.2004, 12:56
...neu hier
Beiträge: 5 |
#12
hallo raman hier die liste:
StartupList report, 21.05.2004, 12:57:11 StartupList version: 1.52 Started from : C:\Dokumente und Einstellungen\Admin\Desktop\HijackThis.EXE Detected: Windows XP SP1 (WinNT 5.01.2600) Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106) * Using default options ================================================== Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\McAfee\McAfee VirusScan\Avsynmgr.exe C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe C:\Programme\McAfee\McAfee VirusScan\VsStat.exe C:\Programme\McAfee\McAfee VirusScan\Vshwin32.exe C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe C:\Programme\McAfee\McAfee VirusScan\Avconsol.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Admin\Desktop\HijackThis.exe -------------------------------------------------- Listing of startup folders: Shell folders Common Startup: [C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart] Erinnerungen in Microsoft Works-Kalender.lnk = ? Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe -------------------------------------------------- Checking Windows NT UserInit: [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] UserInit = C:\WINDOWS\system32\userinit.exe, -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\Run mswspl = -------------------------------------------------- Autorun entries from Registry: HKCU\Software\Microsoft\Windows\CurrentVersion\Run McAfee.InstantUpdate.Monitor = "C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR Host = -------------------------------------------------- File association entry for .SCR: HKEY_CLASSES_ROOT\AutoCADScriptFile\shell\open\command (Default) = C:\WINDOWS\NOTEPAD.EXE "%1" -------------------------------------------------- Shell & screensaver key from C:\WINDOWS\SYSTEM.INI: Shell=*INI section not found* SCRNSAVE.EXE=*INI section not found* drivers=*INI section not found* Shell & screensaver key from Registry: Shell=Explorer.exe SCRNSAVE.EXE=C:\WINDOWS\System32\logon.scr drivers=*Registry value not found* Policies Shell key: HKCU\..\Policies: Shell=*Registry key not found* HKLM\..\Policies: Shell=*Registry value not found* -------------------------------------------------- Enumerating Download Program Files: [InstaFred] InProcServer32 = C:\WINDOWS\DOWNLO~1\InstFred.ocx CODEBASE = file://C:\Programme\AutoCAD 2002 Deu\InstFred.ocx [AcDcToday-Steuerung] InProcServer32 = C:\WINDOWS\DOWNLO~1\ACDCTO~1.OCX CODEBASE = file://C:\Programme\AutoCAD 2002 Deu\AcDcToday.ocx [AcPreview-Steuerung] InProcServer32 = C:\WINDOWS\DOWNLO~1\ACPREV~1.OCX CODEBASE = file://C:\Programme\AutoCAD 2002 Deu\AcPreview.ocx -------------------------------------------------- Enumerating ShellServiceObjectDelayLoad items: PostBootReminder: C:\WINDOWS\system32\SHELL32.dll CDBurn: C:\WINDOWS\system32\SHELL32.dll WebCheck: C:\WINDOWS\System32\webcheck.dll SysTray: C:\WINDOWS\System32\stobject.dll Trayz: C:\WINDOWS\ngfaeokb.dll System: C:\WINDOWS\system32\system32.dll -------------------------------------------------- End of report, 4.452 bytes Report generated in 0,120 seconds Command line options: /verbose - to add additional info on each section /complete - to include empty sections and unsuspicious data /full - to include several rarely-important sections /force9x - to include Win9x-only startups even if running on WinNT /forcent - to include WinNT-only startups even if running on Win9x /forceall - to include all Win9x and WinNT startups, regardless of platform /history - to list version history only |
|
|
|
|
|
|
21.05.2004, 13:43
Moderator
Beiträge: 7805 |
#13
Hm, diese Datei bitte im abgesicherten Modus loeschen:
C:\WINDOWS\system32\system32.dll Diese Datei bitte im abgesicherten Modus umbenennen: C:\WINDOWS\ngfaeokb.dll Es waere nett, wenn du beide Dateien vorher an virus@protecus.de schicken koenntest. __________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
21.05.2004, 17:28
...neu hier
Beiträge: 5 |
#14
danke raman..aber umbennen zu was?
sorry wegen der dummen frage aber ich bin ein totaler nichtsnutz wenn`s um PC geht...und wie kann ich mein pc im abgesicherten modus starten? |
|
|
|
|
|
|
21.05.2004, 17:33
Moderator
Beiträge: 7805 |
#15
Kein Problem.abgesicherter Modus= http://www.bsi.bund.de/av/texte/winsave.htm Benenne sie einfach in ngfaeokb.lld um. __________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
habe das gleiche Problem - obwohl ich mich an die Anleitung gehalten habe, kann ich den jksearch.biz Startseiten-Dreck nicht entfernen.
Was mach ich falsch - was soll ich tun - bitte heufts ma!!!!!
Logfile of HijackThis v1.97.7
Scan saved at 04:37:06, on 19.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Apoint\Apoint.exe
C:\Programme\Apoint\Apntex.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\PowerPanel\Program\PcfMgr.exe
C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
C:\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://jksearch.biz/redir.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://jksearch.biz/redir.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://jksearch.biz/redir.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://jksearch.biz/redir.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://jksearch.biz/redir.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://jksearch.biz/redir.php
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Services Process] C:\WINDOWS\system32\config\services.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: PowerPanel.lnk = ?
O9 - Extra button: ICQ 4.0 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {A8658086-E6AC-4957-BC8E-7D54A7E8A78E} (SassCln Object) - http://www.microsoft.com/security/controls/Sasser/20/SassCln.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2BC111DC-DB7D-4194-8EF8-A263932ACD11}: NameServer = 195.58.160.2,195.58.161.3
O17 - HKLM\System\CS1\Services\Tcpip\..\{2BC111DC-DB7D-4194-8EF8-A263932ACD11}: NameServer = 195.58.160.2,195.58.161.3
DANKE IM VORAUS