here4search.com extremes problem

#0
26.05.2004, 16:42
...neu hier

Beiträge: 1
#1 hallo zusammen werde immer wieder auf here4search.com oder windowws. entführt kann mir jemand helfen hatte erst dern jksearch der is aber mittlerweile weg hier meine log und schon mal danke im voraus

Logfile of HijackThis v1.97.7
Scan saved at 16:53:21, on 26.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\wisptis.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Adobe\Acrobat 6.0\Reader\AcroRd32.exe
C:\Dokumente und Einstellungen\Julia Völz\Eigene Dateien\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.windowws.cc/hp.htm?id=1072
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=192.168.0.2:21;http=192.168.0.2:6588;https=192.168.0.2:6588;socks=192.168.0.2:1080
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.gericom.com/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {A9A674BF-771F-42E5-A440-D20DDA85A862} - C:\WINDOWS\System32\jl33kra59n.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IW ControlCenter] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
O4 - HKLM\..\Run: [VOBID] C:\Programme\Pinnacle\InstantCDDVD\InstantDrive\InstantDrive.exe /remount
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [Danu TermiNET] C:\Programme\Danu\TermiNET\TermiNET.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [Dial32] C:\WINDOWS\dl.exe
O4 - HKLM\..\Run: [Dial33] C:\WINDOWS\dlm.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [jopa] C:\WINDOWS\System32\sysstartup.exe
O4 - HKCU\..\Run: [uninstal] regsvr32 /u /s image.dll
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NkvMon.exe.lnk = C:\Programme\Nikon\NkView6\NkvMon.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.gericom.com
O16 - DPF: {11111111-1111-1111-1111-111111111123} - file://c:\windows\win.exe
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37984.422974537
Seitenanfang Seitenende
26.05.2004, 18:19
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Deaktiviere die Wiederherstellung...kannst du nach der Reinigung wieder aktivieren
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

Fixe:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.windowws.cc/hp.htm?id=1072
O2 - BHO: (no name) - {A9A674BF-771F-42E5-A440-D20DDA85A862} - C:\WINDOWS\System32\jl33kra59n.dll
O4 - HKLM\..\Run: [Dial32] C:\WINDOWS\dl.exe
O4 - HKLM\..\Run: [Dial33] C:\WINDOWS\dlm.exe
O4 - HKCU\..\Run: [uninstal] regsvr32 /u /s image.dll
O4 - HKCU\..\Run: [jopa] C:\WINDOWS\System32\sysstartup.exe

04 Eintraege auch im TaskManager deaktivieren

O16 - DPF: {11111111-1111-1111-1111-111111111123} - file://c:\windows\win.exe
-------------------------------------------------------------------------
neustarten

#Panda deaktivieren und Antivir. laden
http://www.free-av.com/
<alle Dateien scannen<einstellen

#in den abgesicherten Modus gehen (F8 beim Hochfahren druecken und einen Vollscann machen


#AdAware (free)laden, updaten und scannen, CWSHredder ohne Internetverbindung...scannen, Sphjfix.exe laden und auch ohne Internetverbindung scannen
http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html

#e-scann(mwav.exe)laden, <alle Dateien scannen< und manuell loeschen, was angezeigt wird.
http://www.mwti.net/antivirus/free_utilities.asp
Du kannst das Log mal posten.


#Loesche unter InternetOptionen die TemporaryInternetFiles und Cookies und stelle die Startseite neu ein.
Lade den Webwasher
http://www.zdnet.de/downloads/programs/a/f/de000PAF_is-wc.html

#ueberpruefe den Proxy...ist der korrekt ?

Dann poste das Log noch einmal.

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 26.05.2004 um 18:34 Uhr von Sabina editiert.
Seitenanfang Seitenende
19.06.2004, 13:30
...neu hier

Beiträge: 4
#3 Bei mir erscheint auch ständig diese Here4search seite... und auch wenn ich die startseite zurücksetze es kommt immer wieder.

Anti-Spyware Programme helfen auch nicht ><
und ich weiß nicht was ich bei HiackThis fixen muss

Kann mir jemand helfen? bitte! ><

das wäre die Log:



Logfile of HijackThis v1.97.7
Scan saved at 13:15:28, on 19.06.2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP3 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\msdtc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\llssrv.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Dfssvc.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\Fmctrl.EXE
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Program Files\Internet Optimizer\optimize.exe
C:\WINNT\System32\kpglcxb.exe
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\tetu.exe
C:\Programme\MagicMail\Magic.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\Programme\AVWin\AVWUPSRV.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.msn.de/
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {A9A674BF-771F-42E5-A440-D20DDA85A862} - C:\WINNT\System32\x8874v7sa3r.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [FmctrlTray] Fmctrl.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [aswexubkntht] C:\WINNT\System32\kpglcxb.exe
O4 - HKLM\..\Run: [nkxmjar] C:\WINNT\nkxmjar.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVWin\AVGNT.EXE /min
O4 - HKLM\..\Run: [AVWUpd32] C:\PROGRA~1\AVWin\Avwupd32.EXE /min
O4 - HKCU\..\Run: [uninstal] regsvr32 /u /s image.dll
O4 - HKCU\..\Run: [Oboc] C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\tetu.exe
O4 - HKCU\..\Run: [SpySweeper] C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe /0
O4 - Startup: Verknüpfung mit Magic.exe.lnk = C:\Programme\MagicMail\Magic.exe
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: AIM (HKLM)
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O15 - Trusted Zone: *.greg-search.com
O16 - DPF: {12398DD6-40AA-4C40-A4EC-A42CFC0DE797} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AF5EB9A7-E1DD-409D-856B-3B21354EE983}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{BB8E1E5F-B461-4D2F-A0E5-4F37CB13A315}: NameServer = 217.237.151.33 194.25.2.129
Seitenanfang Seitenende
19.06.2004, 14:56
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 @Hanabi

fixe

R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {A9A674BF-771F-42E5-A440-D20DDA85A862} - C:\WINNT\System32\x8874v7sa3r.dll

O4 - HKLM\..\Run: [aswexubkntht] C:\WINNT\System32\kpglcxb.exe
O4 - HKLM\..\Run: [nkxmjar] C:\WINNT\nkxmjar.exe
O4 - HKCU\..\Run: [uninstal] regsvr32 /u /s image.dll
O4 - HKCU\..\Run: [Oboc] C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\tetu.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O15 - Trusted Zone: *.greg-search.com
O16 - DPF: {12398DD6-40AA-4C40-A4EC-A42CFC0DE797} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab


neustarten


1. Loesche C:\WINNT\System32\x8874v7sa3r.dll
2. Loesche mit diesem Tool {A9A674BF-771F-42E5-A440-D20DDA85A862}
http://www.definitivesolutions.com/bhodemon.htm

.............................................................................................
Gehe in die Registry
Start\Ausfuehren\regedit

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Software\Microsoft\Windows\CurrentVersion\Run

loesche unter diesen Schluesseln

kpglcxb.exe
nkxmjar.exe
regsvr32 /u /s image.dll
tetu.exe
...............................................................................................

Loesche gleiches unter Windows

C:\WINNT\System32\kpglcxb.exe
C:\WINNT\nkxmjar.exe
C:\WINNT[uninstal] regsvr32 /u /s image.dll
tetu.exe

................................................................................................
Lade mwav.exe und scanne
http://www.mwti.net/antivirus/free_utilities.asp
Poste dann das Endergebnis, damit wie sehen, ob alle Viren und Trojaner weg sind.

3. Lade AdAware free
CWSHredder
Spybot
http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html

4. Doppelklicken Sie in der Systemsteuerung auf Internetoptionen.
Klicken Sie auf die Registerkarte Allgemein, und klicken Sie danach unter Temporäre Internetdateien auf Dateien löschen.
Aktivieren Sie im Dialogfeld Dateien löschen das Kontrollkästchen Alle Offlineinhalte löschen, wenn Sie alle Webseiteninhalte löschen möchten, die Sie offline bereitgestellt haben.
Klicken Sie auf OK.


Loesche auch die Cookies und stelle ebenfalls unter InternetOptionen eine neue Startseite deiner Wahl ein.

5. Aktualisiere den IE
http://www.microsoft.com/windows/ie_intl/de/ie6sp1.mspx

6.Lade Firefox als Zweit/und Surfbrowser...ist hijackerfrei , stelle eine Startseite ein und surfe nur mit ihm
http://www.firebird-browser.de/
Dann poste das Log noch einmal.

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 19.06.2004 um 15:12 Uhr von Sabina editiert.
Seitenanfang Seitenende
19.06.2004, 15:06
Member

Beiträge: 441
#5 @ Hanabi

Lade dir hier die mwav.exe runter und entpacke diese, danach die kavupd.exe (Online-Update) ausführen.

Diese Einträge fixen:
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.msn.de/
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {A9A674BF-771F-42E5-A440-D20DDA85A862} - C:\WINNT\System32\x8874v7sa3r.dll
O4 - HKLM\..\Run: [aswexubkntht] C:\WINNT\System32\kpglcxb.exe
O4 - HKLM\..\Run: [nkxmjar] C:\WINNT\nkxmjar.exe
O4 - HKCU\..\Run: [uninstal] regsvr32 /u /s image.dll
O4 - HKCU\..\Run: [Oboc] C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\tetu.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O15 - Trusted Zone: *.greg-search.com
O16 - DPF: {12398DD6-40AA-4C40-A4EC-A42CFC0DE797} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab

Danach in den abgesicherten Modus wechseln und diese Dateien löschen:
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\tetu.exe
C:\WINNT\System32\x8874v7sa3r.dll
C:\WINNT\nkxmjar.exe
C:\WINNT\System32\kpglcxb.exe

Temporäre Internet Files löschen und mit mwav.exe scannen, danach Neustart und neues Log-File posten.
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung
Seitenanfang Seitenende
19.06.2004, 18:35
...neu hier

Beiträge: 4
#6 Hallo nochmal

Vielen dank für Eure Antworten!! Das hat mir echt total geholfen... die Startseite wird nicht mehr gewechselt und das Aniti-Virus Programm ist echt super! Insgesamt 10 Stück hat es gefunden und gelöscht O__o
Und ein Dialer war auch da ><

Die neue Log Datei ist


O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [FmctrlTray] Fmctrl.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [SpySweeper] C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe /0
O4 - Startup: BHODemon.lnk = C:\Programme\BHODemon\BHODemon.exe
O4 - Startup: Verknüpfung mit Magic.exe.lnk = C:\Programme\MagicMail\Magic.exe
O9 - Extra button: AIM (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38157.1850925926
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AF5EB9A7-E1DD-409D-856B-3B21354EE983}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{BB8E1E5F-B461-4D2F-A0E5-4F37CB13A315}: NameServer = 217.237.151.33 194.25.2.129


Das Windows update ist jetzt auch drauf :)
Wie gesagt..bis jetzt sieht alles Klasse aus. Auch die Popups sind weniger geworden *wow*

Aber es gäbe noch eine Sache, die mir ziemlich seltsam erscheint. Schon seit bestimmt einem Monat kommt fast im halbe Minute Tackt in der erreignisanzeige im Systemprotokol diese DCOM Fehlermeldung:

Zugriff verweigert beim Versuch, einen DCOM-Server unter Verwendung von DefaultLaunchPermssion zu starten. Server:
{00020906-0000-0000-C000-000000000046}
Benutzer: Unavailable/Unavailable, SID=Unavailable.

Das macht eigentlich keine Konkreten Probleme..nur das das das Systemprotokol c.a einmal am Tag meckert das es voll ist -_-

Aber mit dem Internet scheint wieder alles Prima zu laufen
echt vielen vielen dank! ^^
Dieser Beitrag wurde am 19.06.2004 um 19:39 Uhr von Hanabi editiert.
Seitenanfang Seitenende
20.06.2004, 09:44
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#7 @Hanabi

Fixe noch...damit es aus dem Autostart kommt...

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - Startup: BHODemon.lnk = C:\Programme\BHODemon\BHODemon.exe

damit es aus dem Autostart kommt...da muessen die Tools nicht sein...auch wenn sie sich bei Gebrauch wieder eintragen.
...........................................................................................................
Dann sehe ich , dass dein Antivirus aus dem Autostart 04 verschwunden ist...bist also nicht geschuetzt.
http://www.free-av.de/

Lade die Firewall Sygate free...scrollen..unten auf der Site
http://www.sygate.de/

Dann poste das komplette Log noch einmal, aber mit einer Startseite.

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 20.06.2004 um 09:45 Uhr von Sabina editiert.
Seitenanfang Seitenende
20.06.2004, 10:51
...neu hier

Beiträge: 4
#8 Ok, habe die beiden Programme installiert. Ich dachte das eine Spyware Programm wäre genug gewesen deswegen hatte ich Antivir wieder gelöscht ^^° ok...jetzt ist wieder drauf

Hier die neue Log:

Logfile of HijackThis v1.97.7
Scan saved at 10:50:57, on 20.06.2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\msdtc.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\llssrv.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Dfssvc.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\Fmctrl.EXE
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\Programme\MagicMail\Magic.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\mIRC\mirc.exe
D:\Windows Programme\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [FmctrlTray] Fmctrl.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKCU\..\Run: [SpySweeper] C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe /0
O4 - Startup: Verknüpfung mit Magic.exe.lnk = C:\Programme\MagicMail\Magic.exe
O9 - Extra button: AIM (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38157.1850925926
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AF5EB9A7-E1DD-409D-856B-3B21354EE983}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{BB8E1E5F-B461-4D2F-A0E5-4F37CB13A315}: NameServer = 217.237.151.33 194.25.2.129

Bis jetzt scheint immer noch alles zu funktionieren :)
Seitenanfang Seitenende
20.06.2004, 11:29
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#9 @Hanabi

du musst den Antivirus so einstellen, dass der Guard im Autostart, also unter 04 erscheint.
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
20.06.2004, 15:38
...neu hier

Beiträge: 4
#10 Ok, ist eingestellt. ^^
Wenn ich bedenke dass ich davor nie solche Programme auf dem Computer hatte - muss für die Viren echt einfach gewesen sein.

Ist jezt mit dem Log alles OK?

Logfile of HijackThis v1.97.7
Scan saved at 15:32:19, on 20.06.2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\msdtc.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\llssrv.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Dfssvc.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\Fmctrl.EXE
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\Programme\MagicMail\Magic.exe
C:\mIRC\mirc.exe
C:\Programme\WinMX\WinMX.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVSched32.EXE
D:\Windows Programme\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [FmctrlTray] Fmctrl.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKCU\..\Run: [SpySweeper] C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe /0
O4 - Startup: Verknüpfung mit Magic.exe.lnk = C:\Programme\MagicMail\Magic.exe
O9 - Extra button: AIM (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38157.1850925926
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AF5EB9A7-E1DD-409D-856B-3B21354EE983}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{BB8E1E5F-B461-4D2F-A0E5-4F37CB13A315}: NameServer = 217.237.151.33 194.25.2.129

Danke nochmal :)
Seitenanfang Seitenende
21.06.2004, 12:53
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#11 es ist alles sauber...Glueckwunsch

Lade noch den Firefox und surfe nur mit ihm...ist hijackerfrei
http://www.firebird-browser.de/

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 21.06.2004 um 12:54 Uhr von Sabina editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: