smartsearch / siehe thread |
||
---|---|---|
#0
| ||
06.06.2004, 23:27
euth
zu Gast
|
||
|
||
06.06.2004, 23:45
Member
Beiträge: 441 |
#2
Hallo,
diese Einträge fixen: O1 - Hosts: 213.159.117.235 auto.search.msn.com O2 - BHO: (no name) - {029BB53A-C312-4b09-9B4F-ED57AF027B28} - C:\WINDOWS\winhlp32.dll O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://c:\MAIN.MHT!http://213.159.117.236/buka.chm::/x.exe O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - https://www.gamespyid.com/alaunch.cab O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F82-00104B107C96} __________ Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen. Neuaufsetzen des Systems/Absicherung! HJT Anleitung |
|
|
||
06.06.2004, 23:49
euth
zu Gast
Themenstarter |
#3
du bist mein gott ^^
die 2 sachen (01 und 016) hab ich schon selber gelöscht weil se mir komisch vorkamen vorallem weil er daurnd nach adaware zu msn kam O_o naja ich danke dir auf jedenfall endlich endlich |
|
|
||
06.06.2004, 23:53
Member
Beiträge: 13 |
#4
hab das gleiche problem mit smartsearch!
zusätzlich kommt bei mir beim windowsstart noch 2 fehlermeldungen: 1. wird die datei C:/windows/system32/services/y.exe nicht mehr gefunden 2. "die an die registrierung angegeben anwendung (wieder selbe wie oben) kann nicht geladen werden..." zudem hab ich bei google ein zusätzlich fenster das sich öffnet von smartsearch und bei einigen pages auch mehr popups die vorher nicht da waren! mein log Logfile of HijackThis v1.97.7 Scan saved at 23:43:59, on 06.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\CTsvcCDA.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\Tablet.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\Programme\Hercules\Video\Hercules 3DTweaker 3.0 LE (Build 27)\H3dTweaker.exe C:\Program Files\ASUS\Probe\AsusProb.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\System32\CTHELPER.EXE C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE C:\Programme\Winamp\Winampa.exe C:\PROGRA~1\DAP\DAP.EXE C:\Programme\QuickTime\qttask.exe C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe C:\Programme\AceGain\LiveUpdate\LiveUpdate.exe C:\Programme\Hercules\Video\Hercules 3DTweaker 3.0 LE (Build 27)\D3D3DTwkAnim.exe C:\Programme\Pinnacle\Pinnacle PCTV\Remote\Remoterm.exe C:\PROGRA~1\ICQ\ICQ.exe C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE C:\WINDOWS\System32\ezSP_Px.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE C:\Programme\AceGain\LiveUpdate\aceagent.exe C:\Programme\Widcomm\Bluetooth Software\BTTray.exe C:\Program Files\E-Color\Common\IconMgr.exe C:\Program Files\E-Color\E-Color Indicator\TICIcon.exe C:\Programme\Widcomm\Bluetooth Software\BTStackServer.exe C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\Programme\SEC\Natural Color\NaturalColorLoad.exe C:\Programme\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe C:\Programme\Internet Explorer\IEXPLORE.EXE G:\PROGRA~1\WinZip\winzip32.exe C:\DOKUME~1\Raphael\LOKALE~1\Temp\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://mshp.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\ickaem.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://mshp.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://mshp.dll/index.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://mshp.dll/sp.html#37049 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *hot-searches.com*;*lender-search.com* R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank F1 - win.ini: run=C:\WINDOWS\System32\services\y.exe O1 - Hosts: 213.159.117.235 auto.search.msn.com O2 - BHO: (no name) - {2E9CAFF6-30C7-4208-8807-E79D4EC6F806} - C:\Program Files\Submit\submithook.dll O2 - BHO: . - {D34F08C5-4F18-477c-86CB-1A9BEECFE37B} - C:\Dokumente und Einstellungen\Raphael\Anwendungsdaten\mseb\mseb32.dll O2 - BHO: ShowSearch module - {E2DDF680-9905-4dee-8C64-0A5DE7FE133C} - C:\Dokumente und Einstellungen\Raphael\Anwendungsdaten\mseb\ntar32.dll O2 - BHO: (no name) - {FD9BC004-8331-4457-B830-4759FF704C22} - C:\Dokumente und Einstellungen\Raphael\Anwendungsdaten\mseb\msiesh.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\MSDXM.ocx O4 - HKLM\..\Run: [Hercules 3DTweaker 3.0] C:\Programme\Hercules\Video\Hercules 3DTweaker 3.0 LE (Build 27)\H3dTweaker.exe -hide O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe O4 - HKLM\..\Run: [DownloadAccelerator] C:\PROGRA~1\DAP\DAP.EXE /STARTUP O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [zSPGuard] c:\programme\pjw\spguard\spguard.exe /s /r O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [AceGain LiveUpdate] C:\Programme\AceGain\LiveUpdate\LiveUpdate.exe O4 - HKLM\..\Run: [PCTVRemote] C:\Programme\Pinnacle\Pinnacle PCTV\Remote\Remoterm.exe O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe O4 - HKLM\..\Run: [Image] rundll32 C:\WINDOWS\sdkqh32.dll,Install O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [RemoteCenter] C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE O4 - HKCU\..\Run: [SSS6_Suite] "C:\Programme\Steganos Security Suite 6\sss.exe" /booting O4 - HKCU\..\Run: [SSS6_SAFE] "C:\Programme\Steganos Security Suite 6\safe.exe" /booting O4 - HKCU\..\Run: [SSS6_SPM] "C:\Programme\Steganos Security Suite 6\spm.exe" /booting O4 - HKCU\..\RunServices: [Image] rundll32 C:\WINDOWS\sdkqh32.dll,Install O4 - Startup: NaturalColorLoad.lnk = ? O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: BTTray.lnk = ? O4 - Global Startup: E-Color.lnk = C:\Program Files\E-Color\Common\IconMgr.exe O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: NaturalColorLoad.lnk = ? O4 - Global Startup: Pinnacle Scheduler.lnk = ? O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: ICQ Pro (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O9 - Extra button: Run DAP (HKLM) O9 - Extra button: ICQ Lite (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM) O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://c:\MAIN.MHT!http://213.159.117.236/buka.chm::/x.exe O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Program Files\Q330994.exe O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38142.180462963 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F82-00104B107C96} |
|
|
||
07.06.2004, 00:11
euth
zu Gast
Themenstarter |
||
|
||
07.06.2004, 00:24
Member
Beiträge: 441 |
#6
@ Genki7
Hallo, deaktiviere die Systemwiederherstellung. Danach installierst du SpHjfix.exe und desinfizierst dein System. Danach diese Einträge fixen: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://mshp.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\ickaem.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://mshp.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://mshp.dll/index.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://mshp.dll/sp.html#37049 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *hot-searches.com*;*lender-search.com* R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank F1 - win.ini: run=C:\WINDOWS\System32\services\y.exe O1 - Hosts: 213.159.117.235 auto.search.msn.com O2 - BHO: (no name) - {2E9CAFF6-30C7-4208-8807-E79D4EC6F806} - C:\Program Files\Submit\submithook.dll O2 - BHO: . - {D34F08C5-4F18-477c-86CB-1A9BEECFE37B} - C:\Dokumente und Einstellungen\Raphael\Anwendungsdaten\mseb\mseb32.dll O2 - BHO: ShowSearch module - {E2DDF680-9905-4dee-8C64-0A5DE7FE133C} - C:\Dokumente und Einstellungen\Raphael\Anwendungsdaten\mseb\ntar32.dll O2 - BHO: (no name) - {FD9BC004-8331-4457-B830-4759FF704C22} - C:\Dokumente und Einstellungen\Raphael\Anwendungsdaten\mseb\msiesh.dll O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [Image] rundll32 C:\WINDOWS\sdkqh32.dll,Install O4 - HKCU\..\RunServices: [Image] rundll32 C:\WINDOWS\sdkqh32.dll,Install O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://c:\MAIN.MHT!http://213.159.117.236/buka.chm::/x.exe O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Program Files\Q330994.exe Ps. Du könntest mal deine Autostartaufrufe aufräumen. __________ Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen. Neuaufsetzen des Systems/Absicherung! HJT Anleitung |
|
|
||
07.06.2004, 11:05
Member
Beiträge: 13 |
#7
Zitat Cidre postetewas meinst du mit "fixen"? mit hijack this löschen oder wie? sorry hab halt davon noch keine ahnung... werd systemwiederherstellung jetzt ausschalten und das von dir erwähnte kurz herunterladen... edit: also hab die ersten beiden von dir erwähnten schritten mal vollzogen, mit sphfix kam das dabei raus: 07.06.2004 11:07:33 SPhjFix started v1.07 07.06.2004 11:07:34 Stealth-String found 07.06.2004 11:07:36 Restart 07.06.2004 11:10:16 2nd Step 07.06.2004 11:10:16 Error while deleting Hijack-DLL 07.06.2004 11:10:16 Bad IE-pages found: deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Page: res://mshp.dll/sp.html#37049 deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Bar: res://C:\WINDOWS\System32\ickaem.dll/sp.html deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Page: res://mshp.dll/sp.html#37049 deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Default_Search_URL: res://mshp.dll/sp.html#37049 07.06.2004 11:10:24 Cleaned die startseite war beim ersten mal öffnen des IE kurz eine andere irgend mit nem windowslogo aber auch eine suchseite, beim 2. mal öffnen wars wieder die alte smartsearch Dieser Beitrag wurde am 07.06.2004 um 11:12 Uhr von Genki7 editiert.
|
|
|
||
07.06.2004, 13:24
Member
Beiträge: 1095 |
#8
@genki7
Mann muß nach der spHfix.exe nochmal den CWShredder laufen lassen. oder die Einträge der Satrtseite R0&R1 von Hand fixen Anleitung http://www.rokop-security.de/main/article.php?sid=746&mode=thread&order=0 dann nochmal Logfile posten Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
07.06.2004, 13:35
Member
Beiträge: 13 |
#9
also hab sphfix.exe ausgeführt nachdem ich systemwiederherstellung ausgeführt habe, dann hab ich mit hijack this die von cidre empfohlenen einträge gefixt.
neugestartet und nochmals sphfix.exe ausgeführt da hiess es dass der pc nicht mehr infiziert sei. hab dann nochmals cwsschredder laufen lassen doch der hat wieder das übliche gefunden: Done! Removed from your system: - CWS.Svchost32 - 4 infected IE registry values - CWS affiliate: Winshow meine aktueller log Logfile of HijackThis v1.97.7 Scan saved at 13:36:20, on 07.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\CTsvcCDA.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\Tablet.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Hercules\Video\Hercules 3DTweaker 3.0 LE (Build 27)\H3dTweaker.exe C:\Program Files\ASUS\Probe\AsusProb.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\System32\CTHELPER.EXE C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE C:\Programme\Winamp\Winampa.exe C:\PROGRA~1\DAP\DAP.EXE C:\Programme\QuickTime\qttask.exe C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe C:\Programme\AceGain\LiveUpdate\LiveUpdate.exe C:\Programme\Pinnacle\Pinnacle PCTV\Remote\Remoterm.exe C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe C:\Programme\AceGain\LiveUpdate\aceagent.exe C:\Programme\Hercules\Video\Hercules 3DTweaker 3.0 LE (Build 27)\D3D3DTwkAnim.exe C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE C:\WINDOWS\System32\ezSP_Px.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE C:\PROGRA~1\ICQ\ICQ.exe C:\Programme\Widcomm\Bluetooth Software\BTTray.exe C:\Program Files\E-Color\Common\IconMgr.exe C:\Program Files\E-Color\E-Color Indicator\TICIcon.exe C:\Programme\Widcomm\Bluetooth Software\BTStackServer.exe C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\Programme\SEC\Natural Color\NaturalColorLoad.exe C:\Programme\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE G:\PROGRA~1\WinZip\winzip32.exe C:\DOKUME~1\Raphael\LOKALE~1\Temp\HijackThis.exe R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = O1 - Hosts: 213.159.117.235 auto.search.msn.com O2 - BHO: . - {D34F08C5-4F18-477c-86CB-1A9BEECFE37B} - C:\Dokumente und Einstellungen\Raphael\Anwendungsdaten\iedn\iedn32.dll O2 - BHO: ShowSearch module - {E2DDF680-9905-4dee-8C64-0A5DE7FE133C} - C:\Dokumente und Einstellungen\Raphael\Anwendungsdaten\iedn\apiwr.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\MSDXM.ocx O4 - HKLM\..\Run: [Hercules 3DTweaker 3.0] C:\Programme\Hercules\Video\Hercules 3DTweaker 3.0 LE (Build 27)\H3dTweaker.exe -hide O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe O4 - HKLM\..\Run: [DownloadAccelerator] C:\PROGRA~1\DAP\DAP.EXE /STARTUP O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [zSPGuard] c:\programme\pjw\spguard\spguard.exe /s /r O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [AceGain LiveUpdate] C:\Programme\AceGain\LiveUpdate\LiveUpdate.exe O4 - HKLM\..\Run: [PCTVRemote] C:\Programme\Pinnacle\Pinnacle PCTV\Remote\Remoterm.exe O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe O4 - HKLM\..\Run: [Image] rundll32 C:\WINDOWS\sdkqh32.dll,Install O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [RemoteCenter] C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE O4 - HKCU\..\Run: [SSS6_Suite] "C:\Programme\Steganos Security Suite 6\sss.exe" /booting O4 - HKCU\..\Run: [SSS6_SAFE] "C:\Programme\Steganos Security Suite 6\safe.exe" /booting O4 - HKCU\..\Run: [SSS6_SPM] "C:\Programme\Steganos Security Suite 6\spm.exe" /booting O4 - HKCU\..\RunServices: [Image] rundll32 C:\WINDOWS\sdkqh32.dll,Install O4 - Startup: NaturalColorLoad.lnk = ? O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: BTTray.lnk = ? O4 - Global Startup: E-Color.lnk = C:\Program Files\E-Color\Common\IconMgr.exe O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: NaturalColorLoad.lnk = ? O4 - Global Startup: Pinnacle Scheduler.lnk = ? O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.ht |
|
|
||
07.06.2004, 16:27
euth
zu Gast
Themenstarter |
#10
Ich bin wieder da
Logfile of HijackThis v1.97.7 Scan saved at 16:28:32, on 07.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Internet Explorer\iexplore.exe D:\ICQ\Icq.exe D:\Spybot - Search & Destroy\SpybotSD.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Martin Klosok\Desktop\HijackThis.exe O1 - Hosts: 213.159.117.235 auto.search.msn.com O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [Mirabilis ICQ] D:\ICQ\ICQNet.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: ICQ Pro (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O9 - Extra button: Recherche-Assistent (HKLM) O12 - Plugin for .001: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37977.1398958333 O16 - DPF: {CAFEEFAC-0014-0001-0004-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1) - O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F82-00104B107C96} Bei mir kommt smartsearch immer wieder nach ner Zeit. Is immer für ne Weile weg und dann plötzlich wieder da. Wenn ich O1 und O18 lösche isser kurz weg aber danach wieder da |
|
|
||
07.06.2004, 17:13
Member
Beiträge: 1122 |
#11
Fix:
O1 - Hosts: 213.159.117.235 auto.search.msn.com O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab O16 - DPF: {CAFEEFAC-0014-0001-0004-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1) - O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F82-00104B107C96} Und update mal dein Windows. MFG DAFRA |
|
|
||
07.06.2004, 17:23
euth
zu Gast
Themenstarter |
#12
hab mal entfernt schonmal danke
Was verstehst unter updaten? Möchte halt net dauernd Windows Müll aufm PC haben ^^ |
|
|
||
07.06.2004, 17:26
Member
Beiträge: 1122 |
#13
geh auf Start---- Hilfe und Support ---- Den Computer mit Windowsupdate auf den neusten Stand bringen --- dann auf Updates suchen --
dann updates installieren. MFG DAFRa |
|
|
||
07.06.2004, 17:45
Member
Beiträge: 1095 |
#14
@euth
Zitat download far explorerHab das von hier http://www.spywareinfo.com/forums/index.php?showtopic=33099&st=45 und schnell Freihand übersetzt Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 07.06.2004 um 17:53 Uhr von paff editiert.
|
|
|
||
07.06.2004, 20:21
Member
Beiträge: 13 |
#15
Logfile of HijackThis v1.97.7
Scan saved at 20:21:48, on 07.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\CTsvcCDA.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\Tablet.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Hercules\Video\Hercules 3DTweaker 3.0 LE (Build 27)\H3dTweaker.exe C:\Program Files\ASUS\Probe\AsusProb.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\System32\CTHELPER.EXE C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE C:\Programme\Winamp\Winampa.exe C:\PROGRA~1\DAP\DAP.EXE C:\Programme\QuickTime\qttask.exe C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe C:\Programme\AceGain\LiveUpdate\LiveUpdate.exe C:\Programme\Pinnacle\Pinnacle PCTV\Remote\Remoterm.exe C:\PROGRA~1\ICQ\ICQ.exe C:\Programme\Hercules\Video\Hercules 3DTweaker 3.0 LE (Build 27)\D3D3DTwkAnim.exe C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE C:\Programme\AceGain\LiveUpdate\aceagent.exe C:\WINDOWS\System32\ezSP_Px.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE C:\Programme\Widcomm\Bluetooth Software\BTTray.exe C:\Program Files\E-Color\Common\IconMgr.exe C:\Programme\Widcomm\Bluetooth Software\BTStackServer.exe C:\Program Files\E-Color\E-Color Indicator\TICIcon.exe C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\Programme\SEC\Natural Color\NaturalColorLoad.exe C:\Programme\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Winamp\winamp.exe G:\PROGRA~1\WinZip\winzip32.exe C:\DOKUME~1\Raphael\LOKALE~1\Temp\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://mshp.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://mshp.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://mshp.dll/index.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://mshp.dll/sp.html#37049 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = O1 - Hosts: 213.159.117.235 auto.search.msn.com O2 - BHO: . - {D34F08C5-4F18-477c-86CB-1A9BEECFE37B} - C:\Dokumente und Einstellungen\Raphael\Anwendungsdaten\iedn\iedn32.dll O2 - BHO: ShowSearch module - {E2DDF680-9905-4dee-8C64-0A5DE7FE133C} - C:\Dokumente und Einstellungen\Raphael\Anwendungsdaten\iedn\apiwr.dll O2 - BHO: (no name) - {FD9BC004-8331-4457-B830-4759FF704C22} - C:\Dokumente und Einstellungen\Raphael\Anwendungsdaten\iedn\mfcvc32.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\MSDXM.ocx O4 - HKLM\..\Run: [Hercules 3DTweaker 3.0] C:\Programme\Hercules\Video\Hercules 3DTweaker 3.0 LE (Build 27)\H3dTweaker.exe -hide O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe O4 - HKLM\..\Run: [DownloadAccelerator] C:\PROGRA~1\DAP\DAP.EXE /STARTUP O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [zSPGuard] c:\programme\pjw\spguard\spguard.exe /s /r O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [AceGain LiveUpdate] C:\Programme\AceGain\LiveUpdate\LiveUpdate.exe O4 - HKLM\..\Run: [PCTVRemote] C:\Programme\Pinnacle\Pinnacle PCTV\Remote\Remoterm.exe O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe O4 - HKLM\..\Run: [Image] rundll32 C:\WINDOWS\sdkqh32.dll,Install O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [RemoteCenter] C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE O4 - HKCU\..\Run: [SSS6_Suite] "C:\Programme\Steganos Security Suite 6\sss.exe" /booting O4 - HKCU\..\Run: [SSS6_SAFE] "C:\Programme\Steganos Security Suite 6\safe.exe" /booting O4 - HKCU\..\Run: [SSS6_SPM] "C:\Programme\Steganos Security Suite 6\spm.exe" /booting O4 - HKCU\..\RunServices: [Image] rundll32 C:\WINDOWS\sdkqh32.dll,Install O4 - Startup: NaturalColorLoad.lnk = ? O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: BTTray.lnk = ? O4 - Global Startup: E-Color.lnk = C:\Program Files\E-Color\Common\IconMgr.exe O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: NaturalColorLoad.lnk = ? O4 - Global Startup: Pinnacle Scheduler.lnk = ? O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: ICQ Pro (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O9 - Extra button: Run DAP (HKLM) O9 - Extra button: ICQ Lite (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM) O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38142.180462963 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F82-00104B107C96} |
|
|
||
http://board.protecus.de/t7715-2.htm
könnt gegebenfalls löschen sobald mir jemand gehoflen hat