Home » Viren, Trojaner & Malware Forum » smss.exe [hoax] unter xp will sich einwählen » Themenansicht
smss.exe [hoax] unter xp will sich einwählenThema ist geschlossen! |
||
|---|---|---|
Thema ist geschlossen! |
||
| #0
| ||
|
29.06.2004, 18:40
...neu hier
Beiträge: 3 |
||
 
|
|
|
|
30.06.2004, 12:09
Ehrenmitglied
 Beiträge: 29434 |
#17
Deaktiviere die Wiederherstellung
fixe F0 - system.ini: Shell= O4 - HKLM\..\Run: [WindowsMGM] C:\DOKUME~1\WOJACK~1\LOKALE~1\Temp\Untitled1.pif O4 - HKLM\..\Run: [b3dupdate] C:\WINDOWS\BDE\b3dsetup.Exe -silent -p "C:\WINDOWS\BDE" -s setup.cab O4 - HKLM\..\Run: [BEED4F8F] C:\WINDOWS\System32\rnmwukrdtckorl.exe O4 - HKLM\..\Run: [WSAConfiguration] dsrss.exe O4 - HKLM\..\Run: [Microsoft Update] wserv32.exe O4 - HKLM\..\Run: [Smss] ssms.exe O4 - HKLM\..\Run: [Microsoft Updates] wkssvr.exe O4 - HKLM\..\Run: [SYSTEM] lsas.exe O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\System32\pzbbspv.exe O4 - HKLM\..\Run: [MS Sound Config 16bit] sndcfg16.exe O4 - HKLM\..\RunServices: [WSAConfiguration] dsrss.exe O4 - HKLM\..\RunServices: [59E7FDE6] C:\WINDOWS\System32\rnmwukrdtckorl.exe O4 - HKLM\..\RunServices: [Microsoft Update] wserv32.exe O4 - HKLM\..\RunServices: [Smss] ssms.exe O4 - HKLM\..\RunServices: [Microsoft Updates] wkssvr.exe O4 - HKLM\..\RunServices: [SYSTEM] lsas.exe O4 - HKLM\..\RunServices: [MS Sound Config 16bit] sndcfg16.exe O4 - HKCU\..\Run: [WindowsMGM] C:\DOKUME~1\WOJACK~1\LOKALE~1\Temp\Untitled1.pif O4 - HKCU\..\Run: [sp] C:\WINDOWS\sp.exe O4 - HKCU\..\Run: [Microsoft Update] wserv32.exe O4 - HKCU\..\Run: [Smss] ssms.exe O4 - HKCU\..\Run: [Microsoft Updates] wkssvr.exe O4 - HKCU\..\Run: [SYSTEM] lsas.exe O4 - HKCU\..\Run: [MS Sound Config 16bit] sndcfg16.exe neustarten 1.Lade den Stinger http://vil.nai.com/vil/stinger/ 2.Lade Sp http://www.rokop-security.de/main/article.php?sid=746 3.Scanne mit dem escann...mwav.exe <alle Dateien< http://www.mwti.net/antivirus/free_utilities.asp 4.Lade Cwshredder http://www.spywareinfo.com/~merijn/downloads.html 6. Lade spysweeper free http://www.spysweeper.com/ 7. Lade Antivir...stelle ein <alle Dateien scannen< und mache einen Vollscann http://www.free-av.de/ 8. Lade AdAware free und Spybot http://www.rokop-security.de/main/article.php?sid=703 9. Lade Spysweeper free http://www.spysweeper.com/ 10. Loesche unter InternetOptionen die TemporaryInternetFiles und stelle eine neue Startseite ein. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 30.06.2004 um 12:09 Uhr von Sabina editiert.
|
|
|
|
|
|
|
10.07.2004, 12:13
...neu hier
Beiträge: 4 |
#18
hallo,
seit einiger zeit wundere ich mich, dass ich zwei smss.exe dateien habe, eine im windows ordner und die andere im system32 ordner, aber irgendwie kommt mir die im windows ordner nicht geheuer vor. wär schön wenn ihr euch das hijackthis logfile mal anschauen könntet danke Logfile of HijackThis v1.98.0 Scan saved at 12:02:30, on 10.07.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\System32\alg.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\Virtual CD v4 SDK\system\vcssecs.exe C:\WINDOWS\Explorer.EXE C:\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe C:\Programme\Lexmark X1100 Series\lxbkbmon.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\RAM Idle LE\RAM_XP.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\smss.exe C:\Programme\Security Task Manager\TaskMan.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\Explorer.EXE C:\Dokumente und Einstellungen\Kaddi\Eigene Dateien\neue Downloads\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://format.packardbell.com/cgi-bin/redirect/?country=GE&range=AD&phase=6&key=SEARCH R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\ger.htm R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell F0 - system.ini: Shell= F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe, O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [CleanEasyImg] c:\apps\easydvd\cleanall.exe O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [RAM Idle Professional] C:\Programme\RAM Idle LE\RAM_XP.exe O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [InteliSys] C:\WINDOWS\smss.exe O4 - HKCU\..\Run: [FreeMem Pro] "C:\PROGRA~1\FREEME~1\fmempro.exe" autostart O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\ger.htm O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab O16 - DPF: Yahoo! Gin - http://download.games.yahoo.com/games/clients/y/nt1_x.cab O16 - DPF: Yahoo! Mensch - http://download.games.yahoo.com/games/clients/y/mat3_x.cab O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - https://www.gamespyid.com/alaunch.cab O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/suite/autocomplete.cab O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} - http://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab O16 - DPF: {F57D17AE-CE37-4BC8-B232-EA57747BE5E7} - http://66.230.146.53/EPlugin.cab O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{D248E5F1-52AC-49F2-A445-F571BD9AF2E7}: NameServer = 141.35.1.16,141.35.1.80 |
|
|
|
|
|
|
10.07.2004, 12:19
Ehrenmitglied
Beiträge: 29434 |
#19
@Kazi
Fixe mit dem HijackThis R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch O4 - HKLM\..\Run: [InteliSys] C:\WINDOWS\smss.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) neustarten Lade mwav.exe und scanne alle Dateien http://www.mwti.net/antivirus/free_utilities.asp Poste dann, was das Tool gefunden hat. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 10.07.2004 um 12:19 Uhr von Sabina editiert.
|
|
|
|
|
|
|
10.07.2004, 12:59
...neu hier
Beiträge: 4 |
#20
hi sabina,
so ich hab das jetzt gescannt und mit folgenden ergebnis: Sat Jul 10 12:46:42 2004 => Total Number of Files Scanned: 15446 Sat Jul 10 12:46:42 2004 => Total Number of Virus(es) Found: 4 Sat Jul 10 12:46:42 2004 => Total Number of Disinfected Files: 0 Sat Jul 10 12:46:42 2004 => Total Number of Files Renamed: 0 Sat Jul 10 12:46:42 2004 => Total Number of Deleted Files: 0 Sat Jul 10 12:46:42 2004 => Total Number of Errors: 5 Sat Jul 10 12:46:42 2004 => Time Elapsed: 00:14:22 Sat Jul 10 12:46:42 2004 => Virus Database Date: 2004/07/09 Sat Jul 10 12:46:42 2004 => Virus Database Count: 96426 File C:\WINDOWS\Downloaded Program Files\gsda.dll tagged as not-a-virus:RiskWare.Downloader.SpyGame. No Action Taken. File C:\WINDOWS\EPlugin.ocx tagged as not-a-virus  ornWare.Dialer.SexGate. No Action Taken.File C:\WINDOWS\RESTORE.INS tagged as not-a-virus:NetTool.PsKill. No Action Taken. File C:\WINDOWS\system\RESTORE.INS tagged as not-a-virus:NetTool.PsKill. No Action Taken. jetz müßtest du mir nur noch sagen, wie ich das wieder los werde gruß kazi |
|
|
|
|
|
|
10.07.2004, 14:40
Ehrenmitglied
Beiträge: 29434 |
#21
kazi
1. deaktiviere die Wiederherstellung ...nach der Reinigung wieder aktivieren http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 2.Loesche manuell C:\WINDOWS\Downloaded Program Files\gsda.dll C:\WINDOWS\EPlugin.ocx .... ist ein Dialer Lade AdAware free http://www.lavasoft.de/ Lade spybot http://beam.to/spybotsd Lade spysweeper http://www.spysweeper.com/download.html MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 10.07.2004 um 14:42 Uhr von Sabina editiert.
|
|
|
|
|
|
|
12.07.2004, 19:46
...neu hier
Beiträge: 9 |
#22
Hi,
Hab euch über Google gefunden, toll das es Euch gibt, ich hoffe ihr könnt mir helfen. Mit Hijack habe ich folgendes Ergebnis: Logfile of HijackThis v1.98.0 Scan saved at 14:57:22, on 12.07.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\savedump.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\PCWELT\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.myexexex.com/search.php?said=spage&qq=%s R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file://c:/spex/start.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.lycos.de/online/redirect.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.myexexex.com/searchbar.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.myexexex.com/search.php?said=spage&qq=%s R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = file://c:/spex/start.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.myexexex.com/search.php?said=spage R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.myexexex.com/search.php?said=spage R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Lycos-Online O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1.1\SDHelper.dll O3 - Toolbar: D-Info - {CB736FF0-1D72-11D6-BF3C-005056303009} - C:\Programme\D\D-Info\dinfoband.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [USSShReg] C:\PROGRA~1\ULEADS~1\ULEADP~1.2\SSaver\Ussshreg.exe /r O4 - HKLM\..\Run: [hppwrsav] C:\SCANJET\PrecisionScanLT\hppwrsav.exe O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [uozhhbn] "C:\WINDOWS\System32\uozhhbn.exe" O4 - HKLM\..\Run: [Smss] ssms.exe O4 - HKLM\..\Run: [Microsoft Updates] wkssvr.exe O4 - HKLM\..\Run: [Windows System Configuration] C:\WINDOWS\SYSCFG16.EXE O4 - HKLM\..\Run: [Windows DLL Loader] C:\WINDOWS\SYSCFG16.EXE O4 - HKLM\..\Run: [MS Sound Config 16bit] sndcfg16.exe O4 - HKLM\..\Run: [Micrsoft CFG 32] lrbzus32.exe O4 - HKLM\..\Run: [SYSTEM] lsas.exe O4 - HKLM\..\Run: [Microsoft Update] wudmate.exe O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\System32\jbstaix.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [System Update] C:\WINDOWS\System32\cinkvl.exe O4 - HKLM\..\Run: [Microsoft-Updates] svxhost.exe O4 - HKLM\..\Run: [MSN Messenger] aqmnagr.exe O4 - HKLM\..\Run: [restrictanonymous] O4 - HKLM\..\Run: [F2FE2E0A] C:\WINDOWS\System32\aaqdt.exe O4 - HKLM\..\Run: [Microsoft Restore] scrgrd.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\RunServices: [4E43E42A] C:\WINDOWS\System32\aaqdt.exe O4 - HKLM\..\RunServices: [Smss] ssms.exe O4 - HKLM\..\RunServices: [Microsoft Updates] wkssvr.exe O4 - HKLM\..\RunServices: [MS Sound Config 16bit] sndcfg16.exe O4 - HKLM\..\RunServices: [Micrsoft CFG 32] lrbzus32.exe O4 - HKLM\..\RunServices: [SYSTEM] lsas.exe O4 - HKLM\..\RunServices: [Microsoft Update] wudmate.exe O4 - HKLM\..\RunServices: [Microsoft-Updates] svxhost.exe O4 - HKLM\..\RunServices: [MSN Messenger] aqmnagr.exe O4 - HKLM\..\RunServices: [EnableDCOM] N O4 - HKLM\..\RunServices: [Microsoft Restore] scrgrd.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [regsrv32.exe] regsrv32.exe O4 - HKCU\..\Run: [Microsoft Update] wudmate.exe O4 - HKCU\..\Run: [Smss] ssms.exe O4 - HKCU\..\Run: [Microsoft Updates] wkssvr.exe O4 - HKCU\..\Run: [MS Sound Config 16bit] sndcfg16.exe O4 - HKCU\..\Run: [SYSTEM] lsas.exe O4 - HKCU\..\Run: [MSN Messenger] aqmnagr.exe O4 - HKCU\..\Run: [Microsoft Restore] scrgrd.exe O4 - HKCU\..\RunServices: [MSN Messenger] aqmnagr.exe O4 - Startup: Magnifier.lnk = C:\WINDOWS\system32\magnify.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe O4 - Global Startup: D-Info Starter.lnk = C:\Programme\D\D-Info\dinfostarter.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file) O9 - Extra button: D-Info - {5baf1db0-1d34-11d6-bf3c-005056303009} - C:\Programme\D\D-Info\dinfoband.dll O9 - Extra 'Tools' menuitem: D-Info - {5baf1db0-1d34-11d6-bf3c-005056303009} - C:\Programme\D\D-Info\dinfoband.dll O9 - Extra button: Microsoft JavaScript Console - {613803A4-CBF9-4955-A95F-934399489AF9} - C:\WINDOWS\System32\comdlg32.ocx O9 - Extra 'Tools' menuitem: JavaScript Console - {613803A4-CBF9-4955-A95F-934399489AF9} - C:\WINDOWS\System32\comdlg32.ocx O9 - Extra button: (no name) - {869EE607-5376-486d-8DAC-EDC8E239AD5F} - (no file) O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file) (HKCU) O9 - Extra button: Microsoft JavaScript Console - {613803A4-CBF9-4955-A95F-934399489AF9} - C:\WINDOWS\System32\comdlg32.ocx (HKCU) O9 - Extra 'Tools' menuitem: JavaScript Console - {613803A4-CBF9-4955-A95F-934399489AF9} - C:\WINDOWS\System32\comdlg32.ocx (HKCU) O9 - Extra button: (no name) - {869EE607-5376-486d-8DAC-EDC8E239AD5F} - (no file) (HKCU) O13 - WWW. Prefix: http://ehttp.cc/? O13 - FTP Prefix: http://www.myexexex.com/search.php?said=pfxp&qq= O14 - IERESET.INF: START_PAGE_URL=http://www.lycos.de/online/redirect.html O15 - Trusted Zone: *.awmguild.com O15 - Trusted Zone: *.flingstone.com O15 - Trusted Zone: *.i-lookup.com O15 - Trusted Zone: *.offshoreclicks.com O15 - Trusted Zone: *.teensguru.com O15 - Trusted Zone: *.vladzone.com O15 - Trusted Zone: *.xxxtoolbar.com O16 - DPF: {00000000-d9e3-4bc6-a0bd-3d0ca4be5271} - O16 - DPF: {12398DD6-40AA-4C40-A4EC-A42CFC0DE797} - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab O16 - DPF: {15B782AF-55D8-11D1-B477-006097098764} (Macromedia Authorware Web Player Control) - file://D:\data\Lernkurs\webplayer\awswax.cab O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/SmileyCentralInitialSetup1.0.0.6.cab O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.25.152/code/PWActiveXImgCtl.CAB O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} - http://www.mt-download.com/MediaTicketsInstaller.cab O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} - http://www.stardialer.de/install/StarInstall.ocx O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (YBIOCtrl Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/toolbar/my/yiebio4025.cab O16 - DPF: {FE1A240F-B247-4E06-A600-30E28F5AF3A0} - http://toolbar2.i-lookup.com/toolbar2/windec32.cab O18 - Protocol: msencarta - {74D92DF3-6D9D-11D1-8B38-006097DBED7A} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\MSREF.DLL O18 - Protocol: msero - {B0D92A71-886B-453B-A649-1B91F93801E7} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\msero.dll O18 - Protocol: msref - {74D92DF3-6D9D-11D1-8B38-006097DBED7A} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\MSREF.DLL Seid längerem verschwindet der Task-Manager sofort wieder nach Aufruf und es wird anscheinend ständig was weggesendet, Internet geht wenn überhaupt nur noch im Schneckentempo. Word funktioniert nicht mehr. Hab schon versucht den Stinger drüberlaufen zu lassen, geht aber nicht, es erscheint nur die Meldung" Stinger ist keine zulässige Win 32 Anwendung". Bin schon ziemlich verzweifelt, leider kein Profi in der Materie, ich hoffe ihr könnt mir helfen. Gruß Wolfgang |
|
|
|
|
|
|
12.07.2004, 20:47
Ehrenmitglied
Beiträge: 29434 |
#23
skaltas
Fixe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.myexexex.com/search.php?said=spage&qq=%s R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file://c:/spex/start.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.lycos.de/online/redirect.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.myexexex.com/searchbar.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.myexexex.com/search.php?said=spage&qq=%s R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = file://c:/spex/start.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.myexexex.com/search.php?said=spage R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.myexexex.com/search.php?said=spage R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank O4 - HKLM\..\Run: [USSShReg] C:\PROGRA~1\ULEADS~1\ULEADP~1.2\SSaver\Ussshreg.exe /r O4 - HKLM\..\Run: [uozhhbn] "C:\WINDOWS\System32\uozhhbn.exe" O4 - HKLM\..\Run: [Smss] ssms.exe O4 - HKLM\..\Run: [Microsoft Updates] wkssvr.exe O4 - HKLM\..\Run: [Windows System Configuration] C:\WINDOWS\SYSCFG16.EXE O4 - HKLM\..\Run: [Windows DLL Loader] C:\WINDOWS\SYSCFG16.EXE O4 - HKLM\..\Run: [MS Sound Config 16bit] sndcfg16.exe O4 - HKLM\..\Run: [Micrsoft CFG 32] lrbzus32.exe O4 - HKLM\..\Run: [SYSTEM] lsas.exe O4 - HKLM\..\Run: [Microsoft Update] wudmate.exe O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\System32\jbstaix.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [System Update] C:\WINDOWS\System32\cinkvl.exe O4 - HKLM\..\Run: [Microsoft-Updates] svxhost.exe O4 - HKLM\..\Run: [MSN Messenger] aqmnagr.exe O4 - HKLM\..\Run: [restrictanonymous] O4 - HKLM\..\Run: [F2FE2E0A] C:\WINDOWS\System32\aaqdt.exe O4 - HKLM\..\Run: [Microsoft Restore] scrgrd.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\RunServices: [4E43E42A] C:\WINDOWS\System32\aaqdt.exe O4 - HKLM\..\RunServices: [Smss] ssms.exe O4 - HKLM\..\RunServices: [Microsoft Updates] wkssvr.exe O4 - HKLM\..\RunServices: [MS Sound Config 16bit] sndcfg16.exe O4 - HKLM\..\RunServices: [Micrsoft CFG 32] lrbzus32.exe O4 - HKLM\..\RunServices: [SYSTEM] lsas.exe O4 - HKLM\..\RunServices: [Microsoft Update] wudmate.exe O4 - HKLM\..\RunServices: [Microsoft-Updates] svxhost.exe O4 - HKLM\..\RunServices: [MSN Messenger] aqmnagr.exe O4 - HKLM\..\RunServices: [EnableDCOM] N O4 - HKLM\..\RunServices: [Microsoft Restore] scrgrd.exe O4 - HKCU\..\Run: [regsrv32.exe] regsrv32.exe O4 - HKCU\..\Run: [Microsoft Update] wudmate.exe O4 - HKCU\..\Run: [Smss] ssms.exe O4 - HKCU\..\Run: [Microsoft Updates] wkssvr.exe O4 - HKCU\..\Run: [MS Sound Config 16bit] sndcfg16.exe O4 - HKCU\..\Run: [SYSTEM] lsas.exe O4 - HKCU\..\Run: [MSN Messenger] aqmnagr.exe O4 - HKCU\..\Run: [Microsoft Restore] scrgrd.exe O4 - HKCU\..\RunServices: [MSN Messenger] aqmnagr.exe O9 - Extra button: (no name) - {869EE607-5376-486d-8DAC-EDC8E239AD5F} - (no file) (HKCU) O13 - WWW. Prefix: http://ehttp.cc/? O13 - FTP Prefix: http://www.myexexex.com/search.php?said=pfxp&qq= O15 - Trusted Zone: *.awmguild.com O15 - Trusted Zone: *.flingstone.com O15 - Trusted Zone: *.i-lookup.com O15 - Trusted Zone: *.offshoreclicks.com O15 - Trusted Zone: *.teensguru.com O15 - Trusted Zone: *.vladzone.com O15 - Trusted Zone: *.xxxtoolbar.com O16 - DPF: {00000000-d9e3-4bc6-a0bd-3d0ca4be5271} - O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} - http://www.mt-download.com/MediaTicketsInstaller.cab O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} - http://www.stardialer.de/install/StarInstall.ocx O16 - DPF: {FE1A240F-B247-4E06-A600-30E28F5AF3A0} - http://toolbar2.i-lookup.com/toolbar2/windec32.cab neustarten installiere Antivirus http://www.free-av.de/ Konfiguriere den Antivirus AVGCtrl Automatischen Scan stoppen, Einstellungen hochschrauben (Suchen: ALLE DATEIN, Reperatur: OHNE RÜCKFRAGEN, Löschen bei fehlgeschlagener Reperatur: LÖSCHEN OHNE RÜCKFRAGEN, Unerwünschte Programme: ALLE ausser spiele, Heuristik: Win32 Heuristik Priorität hoch) #Geh in den abgesicherten Modus...das ist wichtig ! http://www.bsi.de/av/texte/winsave.htm und mache einen Vollscann mit dem Antivirus. .............................................................................................................. normal neustarten #Lade den Stinger http://vil.nai.com/vil/stinger/ #Lade AdAware free...updaten vor dem Scannen !!! und Spybot von dieser Site http://www.rokop-security.de/main/article.php?sid=703 #lade Spysweeper free http://www.spysweeper.com/ #Lade mwav.exe...scanne alle Dateien http://www.mwti.net/antivirus/free_utilities.asp poste dann, was die mwav.exe gefunden hat #loesche unter <InternetOptionen die TemporaryInternetFiles !!! #Stelle unter InternetOptionen eine neue Startseite ein < und poste das Log noch mal. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 12.07.2004 um 20:48 Uhr von Sabina editiert.
|
|
|
|
|
|
|
13.07.2004, 10:48
...neu hier
Beiträge: 9 |
#24
Hi Sabina,
Zunächst mal danke für die Mühe. Ich habe alles durchgeführt, aber einige Logs lassen sich mit Hijacks nicht entfernen. Es sieht jetzt so aus: Logfile of HijackThis v1.98.0 Scan saved at 09:46:48, on 13.07.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\savedump.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\PCWELT\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.myexexex.com/search.php?said=spage&qq=%s R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file://c:/spex/start.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.lycos.de/online/redirect.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.myexexex.com/searchbar.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.myexexex.com/search.php?said=spage&qq=%s R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = file://c:/spex/start.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Lycos-Online O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1.1\SDHelper.dll O3 - Toolbar: D-Info - {CB736FF0-1D72-11D6-BF3C-005056303009} - C:\Programme\D\D-Info\dinfoband.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [USSShReg] C:\PROGRA~1\ULEADS~1\ULEADP~1.2\SSaver\Ussshreg.exe /r O4 - HKLM\..\Run: [hppwrsav] C:\SCANJET\PrecisionScanLT\hppwrsav.exe O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [uozhhbn] "C:\WINDOWS\System32\uozhhbn.exe" O4 - HKLM\..\Run: [Windows System Configuration] C:\WINDOWS\SYSCFG16.EXE O4 - HKLM\..\Run: [Windows DLL Loader] C:\WINDOWS\SYSCFG16.EXE O4 - HKLM\..\Run: [Micrsoft CFG 32] lrbzus32.exe O4 - HKLM\..\Run: [MSN Messenger] aqmnagr.exe O4 - HKLM\..\Run: [restrictanonymous] O4 - HKLM\..\Run: [Microsoft Update] wuamgrd.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\RunServices: [4E43E42A] C:\WINDOWS\System32\znwvakknuwjef.exe O4 - HKLM\..\RunServices: [Micrsoft CFG 32] lrbzus32.exe O4 - HKLM\..\RunServices: [MSN Messenger] aqmnagr.exe O4 - HKLM\..\RunServices: [EnableDCOM] N O4 - HKLM\..\RunServices: [Microsoft Update] wuamgrd.exe O4 - HKLM\..\RunServices: [SYSTEM] lsas.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [regsrv32.exe] regsrv32.exe O4 - HKCU\..\Run: [MSN Messenger] aqmnagr.exe O4 - HKCU\..\Run: [Microsoft Update] wuamgrd.exe O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0 O4 - HKCU\..\RunServices: [MSN Messenger] aqmnagr.exe O4 - Startup: Magnifier.lnk = C:\WINDOWS\system32\magnify.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe O4 - Global Startup: D-Info Starter.lnk = C:\Programme\D\D-Info\dinfostarter.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file) O9 - Extra button: D-Info - {5baf1db0-1d34-11d6-bf3c-005056303009} - C:\Programme\D\D-Info\dinfoband.dll O9 - Extra 'Tools' menuitem: D-Info - {5baf1db0-1d34-11d6-bf3c-005056303009} - C:\Programme\D\D-Info\dinfoband.dll O9 - Extra button: Microsoft JavaScript Console - {613803A4-CBF9-4955-A95F-934399489AF9} - C:\WINDOWS\System32\comdlg32.ocx O9 - Extra 'Tools' menuitem: JavaScript Console - {613803A4-CBF9-4955-A95F-934399489AF9} - C:\WINDOWS\System32\comdlg32.ocx O9 - Extra button: (no name) - {869EE607-5376-486d-8DAC-EDC8E239AD5F} - (no file) O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file) (HKCU) O9 - Extra button: Microsoft JavaScript Console - {613803A4-CBF9-4955-A95F-934399489AF9} - C:\WINDOWS\System32\comdlg32.ocx (HKCU) O9 - Extra 'Tools' menuitem: JavaScript Console - {613803A4-CBF9-4955-A95F-934399489AF9} - C:\WINDOWS\System32\comdlg32.ocx (HKCU) O9 - Extra button: (no name) - {869EE607-5376-486d-8DAC-EDC8E239AD5F} - (no file) (HKCU) O13 - WWW. Prefix: http://ehttp.cc/? O14 - IERESET.INF: START_PAGE_URL=http://www.lycos.de/online/redirect.html O15 - Trusted Zone: *.awmguild.com O15 - Trusted Zone: *.vladzone.com O16 - DPF: {00000000-d9e3-4bc6-a0bd-3d0ca4be5271} - O16 - DPF: {15B782AF-55D8-11D1-B477-006097098764} (Macromedia Authorware Web Player Control) - file://D:\data\Lernkurs\webplayer\awswax.cab O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/SmileyCentralInitialSetup1.0.0.6.cab O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.25.152/code/PWActiveXImgCtl.CAB O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (YBIOCtrl Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/toolbar/my/yiebio4025.cab O18 - Protocol: msencarta - {74D92DF3-6D9D-11D1-8B38-006097DBED7A} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\MSREF.DLL O18 - Protocol: msero - {B0D92A71-886B-453B-A649-1B91F93801E7} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\msero.dll O18 - Protocol: msref - {74D92DF3-6D9D-11D1-8B38-006097DBED7A} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\MSREF.DLL nger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file) (HKCU) O9 - Extra button: Microsoft JavaScript Console - {613803A4-CBF9-4955-A95F-934399489AF9} - C:\WINDOWS\System32\comdlg32.ocx (HKCU) O9 - Extra 'Tools' menuitem: JavaScript Console - {613803A4-CBF9-4955-A95F-934399489AF9} - C:\WINDOWS\System32\comdlg32.ocx (HKCU) O9 - Extra button: (no name) - {869EE607-5376-486d-8DAC-EDC8E239AD5F} - (no file) (HKCU) O13 - WWW. Prefix: http://ehttp.cc/? O13 - FTP Prefix: http://www.myexexex.com/search.php?said=pfxp&qq= O14 - IERESET.INF: START_PAGE_URL=http://www.lycos.de/online/redirect.html O15 - Trusted Zone: *.awmguild.com O15 - Trusted Zone: *.flingstone.com O15 - Trusted Zone: *.i-lookup.com O15 - Trusted Zone: *.offshoreclicks.com O15 - Trusted Zone: *.teensguru.com O15 - Trusted Zone: *.vladzone.com O15 - Trusted Zone: *.xxxtoolbar.com O16 - DPF: {00000000-d9e3-4bc6-a0bd-3d0ca4be5271} - O16 - DPF: {12398DD6-40AA-4C40-A4EC-A42CFC0DE797} - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab O16 - DPF: {15B782AF-55D8-11D1-B477-006097098764} (Macromedia Authorware Web Player Control) - file://D:\data\Lernkurs\webplayer\awswax.cab O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/SmileyCentralInitialSetup1.0.0.6.cab O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.25.152/code/PWActiveXImgCtl.CAB O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} - http://www.mt-download.com/MediaTicketsInstaller.cab O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} - http://www.stardialer.de/install/StarInstall.ocx O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (YBIOCtrl Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/toolbar/my/yiebio4025.cab O16 - DPF: {FE1A240F-B247-4E06-A600-30E28F5AF3A0} - http://toolbar2.i-lookup.com/toolbar2/windec32.cab O18 - Protocol: msencarta - {74D92DF3-6D9D-11D1-8B38-006097DBED7A} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\MSREF.DLL O18 - Protocol: msero - {B0D92A71-886B-453B-A649-1B91F93801E7} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\msero.dll O18 - Protocol: msref - {74D92DF3-6D9D-11D1-8B38-006097DBED7A} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\MSREF.DLL Der Taskmanager lässt sich immer noch nicht aufrufen, ausserdem erscheint jedesmal wenn der PC hochfährt die Bildschirmlupe die ich extra ausschalten muss, ein entfernen des Häckchens nütut nichts, ist beim nächsten mal wieder da. Die Programme "Stinger" und " mwav" lassen sich, auch im abgesicherten Modus nicht starten, es erscheint immer -- keine zulässige win 32 anwendung-- die anderen Programme haben jede Menge Spyware entdeckt und entfernt. Was kann ich noch tun? Danke und Gruß Wolfgang |
|
|
|
|
|
|
13.07.2004, 11:04
Member
Beiträge: 1095 |
#25
@skaltas
Du hast jede Menge Spyware drauf, die verhindert das manche Sachen ausgeführt werden. Also mach das hier wirklich der Reihe nach. 1. Lade die EScan http://www.rokop-security.de/board/index.php?showtopic=3867 update die Datei wie in der Anleitung beschrieben (kavupd.exe) und druck die Anleitung aus. Du brauchst du weiter unten noch. 2. Lösche TempInternetfiles (IE/Extras/Internetoptionen/Dateien löschen) 3. Lösche Papierkorb 4. Gehe in den Abgesicherten Modus von XP AB JETZT NICHT MEHR DEN INTERNET EXPLORER ÖFFNEN WICHTIG!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 5.Fixe bitte das in HiJackThis (ankreuzen und FixChecked drücken) Sorgfältigs durchschauen Alles mit R0&R1 O4 - HKLM\..\Run: [uozhhbn] "C:\WINDOWS\System32\uozhhbn.exe" O4 - HKLM\..\Run: [Windows System Configuration] C:\WINDOWS\SYSCFG16.EXE O4 - HKLM\..\Run: [Windows DLL Loader] C:\WINDOWS\SYSCFG16.EXE O4 - HKLM\..\Run: [Micrsoft CFG 32] lrbzus32.exe O4 - HKLM\..\Run: [MSN Messenger] aqmnagr.exe O4 - HKLM\..\Run: [restrictanonymous] O4 - HKLM\..\Run: [Microsoft Update] wuamgrd.exe O4 - HKLM\..\RunServices: [4E43E42A] C:\WINDOWS\System32\znwvakknuwjef.exe O4 - HKLM\..\RunServices: [Micrsoft CFG 32] lrbzus32.exe O4 - HKLM\..\RunServices: [MSN Messenger] aqmnagr.exe O4 - HKLM\..\RunServices: [EnableDCOM] N O4 - HKLM\..\RunServices: [Microsoft Update] wuamgrd.exe O4 - HKLM\..\RunServices: [SYSTEM] lsas.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [regsrv32.exe] regsrv32.exe O4 - HKCU\..\Run: [MSN Messenger] aqmnagr.exe O4 - HKCU\..\Run: [Microsoft Update] wuamgrd.exe O9 - Extra button: Microsoft JavaScript Console - {613803A4-CBF9-4955-A95F-934399489AF9} - C:\WINDOWS\System32\comdlg32.ocx O9 - Extra 'Tools' menuitem: JavaScript Console - {613803A4-CBF9-4955-A95F-934399489AF9} - C:\WINDOWS\System32\comdlg32.ocx O9 - Extra button: (no name) - {869EE607-5376-486d-8DAC-EDC8E239AD5F} - (no file) O13 - WWW. Prefix: http://ehttp.cc/? 6. Starte EScan und stell es ein wie in obiger Anleitung 7. Starte WIndows wieder normal 8. Poste da HiJackThis Logfile 9. Während dessen, geh zu www.windowsupdate.com und update dein Windows WICHTIG!!!!!!!!!! Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 13.07.2004 um 11:13 Uhr von paff editiert.
|
|
|
|
|
|
|
13.07.2004, 11:08
Ehrenmitglied
Beiträge: 29434 |
#26
skaltas
ich kann mir NICHT vorstellen, dass du wirklich ALLES gemacht hast, was ich gepostet habe. Vielleicht arbeitest du es noch einmal Punkt fuer Punkt ab, auch wenn es lange dauert. Fixe also, was @paff gepostet hat und dann Punkt fuer Punkt , vor allem mit Antivirus im abgesicherten Modus ...abarbeiten. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
13.07.2004, 11:09
Member
Beiträge: 1095 |
#27
@sabina
Dachte du bist im Urlaub?  Deswegen dachte ich paff übernehmen Sie Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 13.07.2004 um 11:12 Uhr von paff editiert.
|
|
|
|
|
|
|
13.07.2004, 11:12
Ehrenmitglied
Beiträge: 29434 |
#28
Morgen komme ich nach Deutschland...Mist, von der Sonne in den Regen.
Uebernimm nur alles und danke !!! Gruss Sabina  __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 13.07.2004 um 11:13 Uhr von Sabina editiert.
|
|
|
|
|
|
|
13.07.2004, 11:41
...neu hier
Beiträge: 9 |
#29
Hi ihr beiden,
doch ich habe alles gemacht, nur wie gesagt der Stinger und mwav lassen sich nicht starten. Andere Frage, was ist bei der Anleitung gemeint mit : <<< Mit Hilfe von Winzip muss der Inhalt der mwav.exe in das Verzeichnis c:\bases entpackt werden ? >>> Gibt es dieses Verzeichnis schon irgendwo, ich kann es nämlich nicht finden, wie legt man sowas an, ich kenne nur die Möglichkeit Ordner anzulegen. Danke Grüße, P.S. es soll wärmer werden in Deutschland ;-)) |
|
|
|
|
|
|
13.07.2004, 11:58
Member
Beiträge: 1095 |
#30
Zitat skaltas posteteErstell einfach auf der C Platte einen Ordner "bases" und entpacke die mwav.exe da hinein. Den Ordner gibt es Standardässig NICHT Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Danke.
Logfile of HijackThis v1.98.0
Scan saved at 18:23:13, on 29.06.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\WinAce\WinAce.exe
C:\DOKUME~1\WOJACK~1\LOKALE~1\Temp\~AceTemp\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WindowsMGM] C:\DOKUME~1\WOJACK~1\LOKALE~1\Temp\Untitled1.pif
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\Antivirus\AVGNT.EXE /min
O4 - HKLM\..\Run: [b3dupdate] C:\WINDOWS\BDE\b3dsetup.Exe -silent -p "C:\WINDOWS\BDE" -s setup.cab
O4 - HKLM\..\Run: [BEED4F8F] C:\WINDOWS\System32\rnmwukrdtckorl.exe
O4 - HKLM\..\Run: [WSAConfiguration] dsrss.exe
O4 - HKLM\..\Run: [Microsoft Update] wserv32.exe
O4 - HKLM\..\Run: [Smss] ssms.exe
O4 - HKLM\..\Run: [Microsoft Updates] wkssvr.exe
O4 - HKLM\..\Run: [SYSTEM] lsas.exe
O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\System32\pzbbspv.exe
O4 - HKLM\..\Run: [MS Sound Config 16bit] sndcfg16.exe
O4 - HKLM\..\RunServices: [WSAConfiguration] dsrss.exe
O4 - HKLM\..\RunServices: [59E7FDE6] C:\WINDOWS\System32\rnmwukrdtckorl.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wserv32.exe
O4 - HKLM\..\RunServices: [Smss] ssms.exe
O4 - HKLM\..\RunServices: [Microsoft Updates] wkssvr.exe
O4 - HKLM\..\RunServices: [SYSTEM] lsas.exe
O4 - HKLM\..\RunServices: [MS Sound Config 16bit] sndcfg16.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [WindowsMGM] C:\DOKUME~1\WOJACK~1\LOKALE~1\Temp\Untitled1.pif
O4 - HKCU\..\Run: [sp] C:\WINDOWS\sp.exe
O4 - HKCU\..\Run: [Microsoft Update] wserv32.exe
O4 - HKCU\..\Run: [Smss] ssms.exe
O4 - HKCU\..\Run: [Microsoft Updates] wkssvr.exe
O4 - HKCU\..\Run: [SYSTEM] lsas.exe
O4 - HKCU\..\Run: [MS Sound Config 16bit] sndcfg16.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)