Wer kennt diesen hijacker "http:\\th.msie.tv" |
||
---|---|---|
#0
| ||
07.06.2004, 14:01
...neu hier
Beiträge: 5 |
||
|
||
07.06.2004, 14:39
Member
Beiträge: 1122 |
#2
Fix:
O2 - BHO: (no name) - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe Schick mir bitte diese Datei C:\WINDOWS\system32\dla\tfswctrl.exe an Spam-Email@gmx.net MFG DAFRA |
|
|
||
09.06.2004, 12:44
...neu hier
Themenstarter Beiträge: 5 |
#3
Zuerst mal Danke,
bin zur zeit aber unterweg, werde nächsten monat dir die datei dann schicken gruß reiner |
|
|
||
16.06.2004, 07:31
...neu hier
Beiträge: 1 |
#4
Hallo Zusammen,
ich habe das gleiche Problem und als reiner Anwender häufen sich bei mir die Fragezeichen. Ich habe mal das angehängt was HiJackThis gescannt hat, nur weiß ich jetzt nicht weiter. Was muß ich machen um diese Startseite von meinem PC zu verbannen? Danke schon mal für die Hilfe, Chris P.S. Vielleicht gibt es ja einige überflüssige Einträge die ich rauswerfen kann, nehme Tipps gerne an Logfile of HijackThis v1.97.7 Scan saved at 07:38:59, on 16.06.04 Platform: Windows 98 Gold (Win9x 4.10.1998) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\VS7DEBUG\MDM.EXE C:\PROGRAM FILES\AGNITUM\OUTPOST FIREWALL 1.0\OUTPOST.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAM FILES\TELEFONCD\OTBSTART.EXE C:\PROGRAM FILES\UMSD TOOLS2.33\UMSD.EXE C:\PROGRAM FILES\USB FLASH DISK TOOL\UFDTMON.EXE C:\PROGRAM FILES\AVPERSONAL\AVGCTRL.EXE C:\WINDOWS\SYSTEM\CTFMON.EXE C:\PROGRAM FILES\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE C:\PROGRAM FILES\SIEMENS\CALLTRAY.EXE C:\PROGRAM FILES\CLICKTIONARY\CLEVERLEARN CLICKTIONARY.EXE C:\WINDOWS\ASP4TRAY.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\SYSTEM\PSTORES.EXE C:\WINDOWS\PROFILES\CHRIS\DESKTOP\REINIGUNG\HIJACK\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://wufvbl.t.muxa.cc/s.php?aid=581 (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://wufvbl.t.muxa.cc/s.php?aid=581 (obfuscated) R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://wufvbl.t.muxa.cc/h.php?aid=581 (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.utanet.at/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://wufvbl.t.muxa.cc/s.php?aid=581 (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://wufvbl.t.muxa.cc/h.php?aid=581 (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://wufvbl.t.muxa.cc/s.php?aid=581 (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://wufvbl.t.muxa.cc/s.php?aid=581 (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://wufvbl.t.muxa.cc/s.php?aid=581 (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = UTA Telekom AG R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://wufvbl.t.muxa.cc/h.php?aid=581 (obfuscated) O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [IrMon] IrMon.exe O4 - HKLM\..\Run: [OtbStart] C:\Program Files\TelefonCD\OtbStart.EXE O4 - HKLM\..\Run: [PLoader] c:\program files\umsd tools2.33\umsd.exe sys_auto_run C:\PROGRAM FILES\UMSD TOOLS2.33 O4 - HKLM\..\Run: [VortexTray] C:\WINDOWS\asp4setp.exe 3 O4 - HKLM\..\Run: [sys] regedit -s sys.reg O4 - HKLM\..\Run: [9382 UFD Monitor] C:\Program Files\USB Flash Disk Tool\UFDTMon.exe O4 - HKLM\..\Run: [9382 UFD Utility] C:\Program Files\USB Flash Disk Tool\USBTool.exe O4 - HKLM\..\Run: [Outpost Firewall] "C:\Program Files\Agnitum\Outpost Firewall 1.0\outpost.exe" /waitservice O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAM FILES\AVPERSONAL\AVGCTRL.EXE /min O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [MDM7] "C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\VS7DEBUG\MDM.EXE" O4 - HKLM\..\RunServices: [Outpost Firewall] C:\PROGRAM FILES\AGNITUM\OUTPOST FIREWALL 1.0\outpost.exe /service O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe O4 - Startup: CAPI Monitor.lnk = C:\Program Files\SIEMENS\calltray.exe O4 - Startup: Clicktionary 2.8.lnk = C:\Program Files\Clicktionary\Cleverlearn Clicktionary.exe O4 - User Startup: CAPI Monitor.lnk = C:\Program Files\SIEMENS\calltray.exe O4 - User Startup: Clicktionary 2.8.lnk = C:\Program Files\Clicktionary\Cleverlearn Clicktionary.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000 O8 - Extra context menu item: &Google Search - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html O8 - Extra context menu item: Si&milar Pages - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html O8 - Extra context menu item: Backward &Links - res://C:\PROGRAM FILES\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O15 - Trusted Zone: http://www.laudamotion.com O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?37682.8785648148 O16 - DPF: {CA034DCC-A580-4333-B52F-15F98C42E04C} (Downloader Class) - https://www.stopzilla.com/_download/Auto_Installer/dwnldr.cab |
|
|
||
16.06.2004, 16:08
Ehrenmitglied
Beiträge: 29434 |
#5
scanne mit dem HijackThis, dann hake an, was ich poste und fix
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://wufvbl.t.muxa.cc/s.php?aid=581 (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://wufvbl.t.muxa.cc/s.php?aid=581 (obfuscated) R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://wufvbl.t.muxa.cc/h.php?aid=581 (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.utanet.at/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://wufvbl.t.muxa.cc/s.php?aid=581 (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://wufvbl.t.muxa.cc/h.php?aid=581 (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://wufvbl.t.muxa.cc/s.php?aid=581 (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://wufvbl.t.muxa.cc/s.php?aid=581 (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://wufvbl.t.muxa.cc/s.php?aid=581 (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://wufvbl.t.muxa.cc/h.php?aid=581 (obfuscated) O4 - HKLM\..\Run: [sys] regedit -s sys.reg O16 - DPF: {CA034DCC-A580-4333-B52F-15F98C42E04C} (Downloader Class) - https://www.stopzilla.com/_download/Auto_Installer/dwnldr.cab neustarten 1.Lade AdAware free CWshredder Sphjfix.exe http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html und scanne ohne Internetverbindung 2.Lade SpyHunter http://www.spy-bot.net/manual.asp 3.Lade mwav.exe http://www.mwti.net/antivirus/free_utilities.asp mache mit dem Tool einen Vollscann und kopiere das Endergebnis ins Forum Loesche unter InternetOptionen die TemporaryInternetFiles und stelle einen neue Startseite ein. Dann poste das Log noch einmal. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 16.06.2004 um 16:09 Uhr von Sabina editiert.
|
|
|
||
ich hab folgendes problem und komme nicht weiter,
nach der erfolgreichen anwendung von spybot, adaware und cwhredder lande ich immer wenn ich z.b. sdfsdfsfsdf.de in das browser fenster eingebe auf dieser seite "http://th.msie.tv/index.php?aid=20038".
Das gleivhe passiert wenn ich in den internetoptionen auf standdardseite klicke
Weiß jemann Rat
Anbei das logfile
Logfile of HijackThis v1.97.7
Scan saved at 13:56:53, on 07.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
c:\Mssql7\binn\sqlservr.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\SerEnt32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SCARDS32.EXE
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\HP CD-DVD\Umbrella\DVDTray.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\anvshell.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Hewlett-Packard\AiO\hp officejet g series\Bin\hpoavn07.exe
C:\Mssql7\Binn\sqlmangr.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Sony Corporation\Image Transfer\SonyTray.exe
C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
C:\WINDOWS\System32\hpoipm07.exe
C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe
C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOFXM07.exe
C:\Programme\Adobe\Acrobat 5.0\Acrobat\Acrobat.exe
C:\Programme\Gemeinsame Dateien\Adobe\Web\AOM.exe
C:\WINDOWS\System32\msiexec.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Messenger\msmsgs.exe
D:\Install\Anwendungen\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Register MediaRing Talk] C:\Programme\MediaRing Talk\register.exe
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [DVDBitSet] "C:\Programme\HP CD-DVD\Umbrella\DVDBitSet.exe" /NOUI
O4 - HKLM\..\Run: [DVDTray] "C:\Programme\HP CD-DVD\Umbrella\DVDTray.exe"
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: LANmonitor.lnk = C:\Programme\LANCOM\LANmonitor\lanmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: HPAiODevice(hp officejet g series) - 1.lnk = C:\Programme\Hewlett-Packard\AiO\hp officejet g series\Bin\hpoavn07.exe
O4 - Global Startup: Dienst-Manager.lnk = C:\Mssql7\Binn\sqlmangr.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Image Transfer.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/315e80ad76daee438d16/netzip/RdxIE601_de.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab