Home » Spyware & Browser Hijacker Support Forum » http://searchweb2.com/ entfernen? » Themenansicht

http://searchweb2.com/ entfernen?

Thema ist geschlossen!
Thema ist geschlossen!
#0
13.08.2004, 16:53
paff
Member

Beiträge: 1095
#31 @firebolt

Da haste jede Menge eingefangen ;)

Also los gehts
Das ist jetzt erstmal die erste Säuberung

Bitte lade dir ESCAN
Entpacken und updaten wie angegeben

Geh in den Abgesicherten Modus von XP

AB JETZT NICHT MEHR DEN INTERNET EXPLORER ÖFFNEN!!!!!!!!!!!!!!

Fixe bitte das in HiJackThis (ankreuzen und FixChecked drücken)
ALLES MIT R0 & R1

O2 - BHO: (no name) - {EBDD7623-2D91-2D60-621B-ECD4FC6F52E7} - C:\PROGRA~1\LISTCO~1\MediaAnte.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [RemoveElanIcon] C:\WINDOWS\System32\ELAN.exe
O4 - HKLM\..\Run: [SexCams_ch] C:\Program Files\VCom\Dialers\SexCams_ch\SexCams_ch.exe /dontdial
O4 - HKLM\..\Run: [ScanRegistry] C:\W
O4 - HKLM\..\Run: [sncntr] c:\windows\system32\sncntr.exe /nocomm
O4 - HKLM\..\Run: [Up itch blah joy] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FUNKTRANSUPITCH\Test bleh.exe
O4 - HKLM\..\Run: [ICQ Net] C:\WINDOWS\winlogon.exe -stealth
O4 - HKLM\..\Run: [Download Deaf] C:\PROGRA~1\DUPEBI~1\Anti Joy Flaw.exe
O4 - HKLM\..\RunServices: [CMD] cmd32.exe
O16 - DPF: {D22AC3EF-B7D8-11D5-A281-005056BF0101} (plug Class) - http://www.gxplugin.com/loader/dll/gxbplug.dll

Dann mit Escan scannen wie oben angegeben

Dann normal starten und nochmal HiJackThis logfile posten

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
21.08.2004, 23:20
firebolt
...neu hier

Beiträge: 5
#32 @paff

Ich habe jetzt dies so gemacht wie beschrieben, leider kommt das searchweb immer noch... ;) hab ich noch immer so viel müll drauf??

Gruss FiReBolT

Hier mein neues Log:


Logfile of HijackThis v1.97.7
Scan saved at 23:18:45, on 21.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\mHotkey.exe
C:\Programme\Medion\PowerVCR II\Agent.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\WINDOWS\VM_STI.EXE
C:\Programme\Messenger Plus! 3\MsgPlus.exe
C:\WINDOWS\System32\NotifyPhoneBook.exe
C:\windows\system32\sp2ctr.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Progis\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe

F2 - REG:system.ini: Shell=explorer.exe
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CHotKey] mHotkey.exe
O4 - HKLM\..\Run: [Agent] C:\Programme\Medion\PowerVCR II\Agent.exe
O4 - HKLM\..\Run: [Remote_Agent] C:\Programme\Medion\PowerVCR II\RemoteAgent.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [CloneCDTray] C:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE WEBSHOT II USB CAM 300K
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [sp2ctr] c:\windows\system32\sp2ctr.exe /nocomm
O4 - HKLM\..\Run: [Download Deaf] C:\PROGRA~1\DUPEBI~1\Anti Joy Flaw.exe
O4 - HKCU\..\Run: [Steam] "c:\valve\steam\steam.exe" -silent
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .TIF: C:\Programme\Internet Explorer\PLUGINS\npqtplugin5.dll
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab27571.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3247BD1C-2B97-4906-B9BE-AC92744F4B19}: NameServer = 194.230.1.136 194.230.1.232
Seitenanfang Seitenende
21.08.2004, 23:31
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#33 @firebolt
Deaktiviere die Wiederherstellung
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

FIXE(danach sofort neustarten)
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [sp2ctr] c:\windows\system32\sp2ctr.exe /nocomm
O4 - HKLM\..\Run: [Download Deaf] C:\PROGRA~1\DUPEBI~1\Anti Joy Flaw.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe" /WinStart

fixe auch (nicht <bad<
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [CloneCDTray] C:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE WEBSHOT II USB CAM 300K

http://www.kaspersky.com/remoteviruschk.html
Ueberpruefe mit Kaspersky (poste was angezeigt wird)
C:\windows\system32\sp2ctr.exe

#Deinstalliere den
C:\Programme\Messenger Plus! 3\MsgPlus.exe
und loesche alles, was zu dem Tool gehoert (auch in der Registry
Start<Ausfuehren<regedit (oben links ist die Suchfunktion)

#mit mwav.exe scannen und dann poste bitte das Viren-Log (abkopieren)

Dann poste das Log noch mal.
mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 21.08.2004 um 23:34 Uhr von Sabina editiert.
Seitenanfang Seitenende
21.08.2004, 23:43
unbenannt2
Member

Beiträge: 29
#34 in der registry kann man einiges entfernen so wie es sabina schon schreibt,
aber es ist immer vorsicht geboten,

http://www.google.de/search?q=cache:Y2qJ5psNsVkJ:www.trojaner-info.de/erkennung.shtml+regedit+erfahrene+anwender++trojaner&hl=de
Seitenanfang Seitenende
22.08.2004, 10:55
firebolt
...neu hier

Beiträge: 5
#35 @sabina

ich hab jetzt alles gemacht was du gesagt hast. searchweb kommt auch nicht mehr.
Hier das Viren log:

File C:\WINDOWS\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Dokumente und Einstellungen\Tigrrrli\Lokale Einstellungen\Temp\.txt infected by "Worm.P2P.SpyBot.bx" Virus. Action Taken: File Renamed.
File C:\Dokumente und Einstellungen\Tigrrrli\Lokale Einstellungen\Temporary Internet Files\Content.IE5\65JKXKN2\popup3[1].htm infected by "Exploit.HTML.Mht" Virus. Action Taken: File Renamed.
File C:\Dokumente und Einstellungen\Tigrrrli\Lokale Einstellungen\Temporary Internet Files\Content.IE5\XOCFTP0H\netpumper-1.20.1-setup[1].exe infected by "not-a-virus:AdvWare.SaveNow.v" Virus. Action Taken: File Renamed.
File C:\Programme\eMule.de\Incoming\DivXPro503Bundle.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\SIERRA\Half-Life\hltv.exe tagged as not-a-virus:RiskWare.Proxy.Hltv. No Action Taken.
File C:\WINDOWS\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.


und hier noch das hijack log:

Logfile of HijackThis v1.97.7
Scan saved at 10:55:24, on 22.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\System32\NotifyPhoneBook.exe
C:\WINDOWS\mHotkey.exe
C:\Programme\Medion\PowerVCR II\Agent.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\DOKUME~1\Tigrrrli\LOKALE~1\Temp\mwavscan.com
C:\DOKUME~1\Tigrrrli\LOKALE~1\Temp\kavss.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Progis\HijackThis.exe

F2 - REG:system.ini: Shell=explorer.exe
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CHotKey] mHotkey.exe
O4 - HKLM\..\Run: [Agent] C:\Programme\Medion\PowerVCR II\Agent.exe
O4 - HKLM\..\Run: [Remote_Agent] C:\Programme\Medion\PowerVCR II\RemoteAgent.exe
O4 - HKCU\..\Run: [Steam] "c:\valve\steam\steam.exe" -silent
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .TIF: C:\Programme\Internet Explorer\PLUGINS\npqtplugin5.dll
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab27571.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3247BD1C-2B97-4906-B9BE-AC92744F4B19}: NameServer = 194.230.1.168 194.230.1.200

bin ich jetzt sauber???

GrEeTz FiReBolT
Seitenanfang Seitenende
22.08.2004, 14:38
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#36 @firebolt ;)


#Antivirus
Konfiguriere unter Optionen
<alle Dateien<
<Heuristik:mittel
<Guard aktivieren (!)

gehe in den abgesicherten Modus und mache einen Komplettscan.
MFG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 22.08.2004 um 14:39 Uhr von Sabina editiert.
Seitenanfang Seitenende
22.08.2004, 14:46
unbenannt2
Member

Beiträge: 29
#37 @firebolt
Zeigt die Version von HijackThis an. Neuste Version: v1.98.2! Ihre Version (v1.97.7 ) ist veraltet. Besuchen Sie die Herstellerseite um sich die neue Version herunter zu laden.
Seitenanfang Seitenende
23.08.2004, 09:33
paff
Member

Beiträge: 1095
#38 @firebolt

Hast du unter Internetoptionen mal die Standard geändert?
Wenn es dan immernoch auftritt poste bitte mal das HijackThisfile (aber Version 1.98.8) ohne das du etwas geändert hast.

Lösche auf jedenfall mal die temporären Internetfiles.
Dann werden diese gelöscht

Zitat

File C:\Dokumente und Einstellungen\Tigrrrli\Lokale Einstellungen\Temp\.txt infected by "Worm.P2P.SpyBot.bx" Virus. Action Taken: File Renamed.
File C:\Dokumente und Einstellungen\Tigrrrli\Lokale Einstellungen\Temporary Internet Files\Content.IE5\65JKXKN2\popup3[1].htm infected by "Exploit.HTML.Mht" Virus. Action Taken: File Renamed.
File C:\Dokumente und Einstellungen\Tigrrrli\Lokale Einstellungen\Temporary Internet Files\Content.IE5\XOCFTP0H\netpumper-1.20.1-setup[1].exe infected by "not-a-virus:AdvWare.SaveNow.v" Virus. Action Taken: File Renamed.
Suche bitte mal mit der Windowssuche nach "explorer.exe"
poste wie oft und wo du Dateien mit diesem Namen gefunden hast?

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Dieser Beitrag wurde am 23.08.2004 um 09:35 Uhr von paff editiert.
Seitenanfang Seitenende
24.08.2004, 23:01
firebolt
...neu hier

Beiträge: 5
#39 @paff

Das searchweb Taucht nicht mehr auf, das bin ich los!! Endlich.. ;) Danke an alle die geholfen haben.

Temp. Dateien hab ich auch schon gelöscht.

Explorer.exe kommt 3 mal vor:

c:/windows
c:/windows/servicepackfiles/i386
und ein komisches explorer.exe-082f38a9.pf in c:/windows/prefetch

ist das i.o.?

GrEeTz FiReBolT
Seitenanfang Seitenende
25.08.2004, 00:25
paff
Member

Beiträge: 1095
#40 @firebolt

Mir hat nur dieser Eintrag noch zu denken gegeben
F2 - REG:system.ini: Shell=explorer.exe

Sollte unter WinXP eigentlich nicht erscheinen.
Die 3 Explorer Exen sind aber OK.
Und ich habe was über "Prefetch" unter XP gelernt. Für alle dies auch interessiert.
http://www.windows-tweaks.info/html/use-prefetch.html

Da dein System wirklich arg angegriffen war, hier mal ein paar Punkte die du beachten sollest

Zitat

1. Eingeschränktes Benutzerkonto erstellen und zum Surfen benutzen
2. Interne Verbindungsfirewall aktivieren http://www.computerhilfe-euskirchen.de/hilfetextezumlesen/windowsxp/tipp16.html
3. NT- Dienste sicher konfigurieren http://www.ntsvcfg.de/
4. dein System updaten und stets aktuell halten http://v5.windowsupdate.microsoft.com/v5consumer/default.aspx
5. IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/selbstdatenschutz/internet/absichern/browser/msie/config.htm
6. Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/
7. Deine Passwörter ändern
8. Image deiner Systempartition erstellen mit z.B. Acronis True Image 7
9. Surfverhalten überdenken
Wenn Fragen sind einfach raus damit ;)

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Dieser Beitrag wurde am 25.08.2004 um 00:36 Uhr von paff editiert.
Seitenanfang Seitenende
25.08.2004, 12:32
Riddle
...neu hier

Beiträge: 3
#41 Hallo zusammen.

Ich habe, wie ihr euch sicherlich denken könnt das selbe problem wie alli hier auch ;) searchweb2.
Nun habe ich zuerst noch eine Frage. Kann man searchweb2 entfernen und den MessengerPlus 3 trozdem benutzen?

Hier noch meine HijackThis-log:

Logfile of HijackThis v1.97.7
Scan saved at 12:31:22, on 25.08.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\S24EvMon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Tools\Protection Software\Norton SystemWorks\Norton Ghost\GhostStartService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Tools\Protection Software\Norton SystemWorks\Norton Antivirus\navapsvc.exe
C:\PROGRA~1\Tools\PROTEC~1\NORTON~2\NORTON~2\NPROTECT.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RegSrvc.exe
C:\Programme\Tools\Protection Software\Norton SystemWorks\Norton Antivirus\SAVScan.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\PROGRA~1\Tools\PROTEC~1\NORTON~2\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\Tools\Nützliches\Intel\NCS\PROSet\PRONoMgr.exe
C:\Programme\Tools\Nützliches\D-Tools\daemon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Messenger Plus! 3\MsgPlus.exe
C:\Programme\MSN Messenger\msnmsgr.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Tools\Bürozügs\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Tools\Bürozügs\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Riddley\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.yjohxbnbrbzdpohjgonccw.com/99ByXX6lrqvEYIUOSMcfG1P1UQPS1QNnKcoiwd8QRPiM_SY7YdzDJxj7Z4G7lI53.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy2.verwaltung.bbbaden.ch:8080
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.google.ch/
O2 - BHO: (no name) - {29B58103-C92C-744D-F053-39557C61F60E} - C:\PROGRA~1\POLLFI~1\Audio Setup.exe
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Tools\Protection Software\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Tools\Protection Software\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Tools\Nützliches\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\Tools\Nützliches\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [move start] C:\PROGRA~1\DASHBA~1\Burn Dvd Dead.exe
O4 - HKLM\..\Run: [EggsHeckNounEq] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\USER 32 EGGS HECK\Play gram.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\Tools\BROZGS~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = bbbaden.ch
O17 - HKLM\Software\..\Telephony: DomainName = bbbaden.ch
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = bbbaden.ch
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = bbbaden.ch

Danke schon jetz für diejenigen die sich die Mühe machen und mir helfen.
__________
["Defect borg: Refutile is sistance. Your ass will be simulated."]
Seitenanfang Seitenende
25.08.2004, 12:47
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#42 Hallo@Riddle

1. Hast du < Event Monitor - supports driver extensions to NIC Driver for wireless adapters. installiert ?
C:\WINDOWS\system32\S24EvMon.exe
2.-----O2 - BHO: (no name) - {29B58103-C92C-744D-F053-39557C61F60E} - C:\PROGRA~1\POLLFI~1\Audio Setup.exe
Was ist das ?

3.Fixe:
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.yjohxbnbrbzdpohjgonccw.com/99ByXX6lrqvEYIUOSMcfG1P1UQPS1QNnKcoiwd8QRPiM_SY7YdzDJxj7Z4G7lI53.htm
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe"

neustarten

Ich wuerde den <MessengerPlus3] deinstallieren, es ist nicht sehr angenehm, so ein verseuchtes Tool auf dem Rechner zu haben und dein Eintrag im Browser zeigt das auch.....
und alles, was mit ihm zu tun hat
auch in Ausfuehren<%temp% (Tempor. Dateien)

#Loesche unter <Internetoptionen die <TemporaryInternetfiles (auch von Offline)

#Lade <CWShredder (schliesse den Browser)
http://www.chip.de/downloads/c_downloads_11353799.html
-----------------------------------------------------------------------
#Lade eScan (entpacke in C:\bases
http://www.mwti.net/antivirus/free_utilities.asp
Nun suchst du eine "kavupd.exe" und anklicken.
<Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt(dauert ein bisschen)

---Gehe in den abgesicherten Modus
http://www.bsi.de/av/texte/winsave.htm

<den Scanner mit der "mwav.exe starten. Alle Häkchen setzen und "Scan clean" klicken.
Danach die <Virus Log <Information posten. (ALLES was als <infiziert<gefunden wird)
------------------------------------------------------------------------------
#Lade AdAware (free)..scanne <alle Dateien<
http://www.lavasoft.de/support/download/

#ueberpruefe in der Registry
Start<Ausfuehren<regedit
ob der Eintrag leer ist
HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

Und poste das neue Log noch mal.
Mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 25.08.2004 um 12:55 Uhr von Sabina editiert.
Seitenanfang Seitenende
25.08.2004, 20:57
timurcin23
...neu hier

Beiträge: 8
#43 Hall kann mir bitte auch jemand helfen habe das selbe problem mit searchweb2 ???

Habe versucht bischen schon vorzuarbeiten und habe cwshredder runtergeladen und ausgeführt hat eins gefunden und erledigt und bei einem file hat er nachgefragt den habe ich so gelassen und ihn mir aufgeschrieben !

C:\WINDOWS\ctdrvins.exe

weiss nicht soll ich noch mal cwvshredder ausführen und auch diesen löschen lassen oder was das prog auch macht wenn er was findet ???

Logfile of HijackThis v1.98.2
Scan saved at 20:11:38, on 25.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Diskeeper\DkService.exe
C:\WINDOWS\System32\LckFldService.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\NetLimiter\NetLimiter.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Creative\Shared Files\CAMTRAY.EXE
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\WallpaperToy\Wallpapertoy.Exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Trillian Pro 2.013\trillian.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\timurcin23\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*http://www.yahoo.com
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHG~1.60\jccatch.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHG~1.60\fgiebar.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [NetLimiter] C:\Programme\NetLimiter\NetLimiter.exe /s
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [RegistryMechanic] C:\Programme\Registry Mechanic\RegMech.exe /QS
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Programme\Creative\Shared Files\CAMTRAY.EXE
O4 - HKLM\..\RunOnce: [MessengerPlusUninstall] C:\WINDOWS\system32\cmd.exe /C "C:\DOKUME~1\TIMURC~1\LOKALE~1\Temp\MsgPlusUninst.bat"
O4 - Startup: Wallpaper Changer.lnk = C:\Programme\WallpaperToy\Wallpapertoy.Exe
O4 - Global Startup: 22M WLAN Adapter Utility.lnk = C:\Programme\22M WLAN\WLANMON.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZSIM0005
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet 1.60\jc_all.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet 1.60\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHG~1.60\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHG~1.60\flashget.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralInitialSetup1.0.0.8.cab


MfG

tim
Dieser Beitrag wurde am 25.08.2004 um 23:01 Uhr von timurcin23 editiert.
Seitenanfang Seitenende
26.08.2004, 00:48
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#44 Hallo @timurcin23

fixe mit dem HijackThis(danach sofort neustarten)

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*http://www.yahoo.com
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHG~1.60\jccatch.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll

fixe,diese 04-Eintraege... damit die Tools aus dem Autostart kommen, es wird nichts geloescht
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [RegistryMechanic] C:\Programme\Registry Mechanic\RegMech.exe /QS
O4 - HKLM\..\RunOnce: [MessengerPlusUninstall] C:\WINDOWS\system32\cmd.exe /C "C:\DOKUME~1\TIMURC~1\LOKALE~1\Temp\MsgPlusUninst.bat"

O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZSIM0005
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.d
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebprodu

neustarten


#Deinstalliere die
C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
(ist oft von Startseitentrojanern verseucht ....)..
.
#Ueberpruefe ganz genau,ob das <bad<ist
O4 - HKLM\..\RunOnce: [MessengerPlusUninstall] C:\WINDOWS\system32\cmd.exe /C
(mit Kaspersky)
http://www.kaspersky.com/remoteviruschk.html

#Alle TemporaryInternetfiles unter <Internetoptionen< loeschen (!)
und die IE -Webeinstellungen zuruecksetzen

#scanne mit CWShredder
______________________
uebrigens gehoert die von dir gepostete C:\WINDOWS\ctdrvins.exe
wahrscheinlich zu:einer <3Cam<, WENN SIE 73728 bytes hat.
http://usb.driverfiles.net/page,show,24113,470,14,.html
oder zu:Samsung\cd_dvd
http://www.windowsxp-drivers.com/drivers/63/63883.htm

#Lade AdAware (free)
http://www.lavasoft.de/support/download/
#Lade Spybot
http://www.safer-networking.org/de/download/index.html
#Lade eScan (entpackt in C:\base
http://www.mwti.net/antivirus/free_utilities.asp
Nun suchst du eine "kavupd.exe" und anklicken.
<Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt(dauert ein bisschen)

<den Scanner mit der "mwav.exe starten. Alle Häkchen setzen und "Scan clean" klicken.

Poste dann das Virenlog...nur den infizierten Teil... (abkopieren) und posten
und das neue Log vom HijackThis
mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 26.08.2004 um 01:03 Uhr von Sabina editiert.
Seitenanfang Seitenende
26.08.2004, 11:01
Riddle
...neu hier

Beiträge: 3
#45 Hallo Sabina

Vielen Dank für die Hilfe, die Toolbar kommt nicht mehr.
Mit mwav.exe konnte ich nicht scannen,der Scanner ist immer abgestürtzt.

Zitat

1. Hast du < Event Monitor - supports driver extensions to NIC Driver for wireless adapters. installiert ?
C:\WINDOWS\system32\S24EvMon.exe
2.-----O2 - BHO: (no name) - {29B58103-C92C-744D-F053-39557C61F60E} - C:\PROGRA~1\POLLFI~1\Audio Setup.exe
Was ist das ?
1.Was ist das? ;)
2.habe ich auch keine Ahnung, hab ich auch gleich gefixt

Hier mein neues Log


Logfile of HijackThis v1.97.7
Scan saved at 10:48:05, on 26.08.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\S24EvMon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Tools\Nützliches\Intel\NCS\PROSet\PRONoMgr.exe
C:\Programme\Tools\Nützliches\D-Tools\daemon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Tools\Protection Software\Norton SystemWorks\Norton Ghost\GhostStartService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Tools\Protection Software\Norton SystemWorks\Norton Antivirus\navapsvc.exe
C:\PROGRA~1\Tools\PROTEC~1\NORTON~2\NORTON~2\NPROTECT.EXE
C:\WINDOWS\system32\RegSrvc.exe
C:\Programme\Tools\Protection Software\Norton SystemWorks\Norton Antivirus\SAVScan.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\PROGRA~1\Tools\PROTEC~1\NORTON~2\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\system32\1XConfig.exe
C:\Programme\Tools\Bürozügs\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Tools\Bürozügs\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Tools\Programmiere\Visual Studio.Net\Common7\IDE\devenv.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\Riddley\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy2.verwaltung.bbbaden.ch:8080
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.google.ch/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\Tools\PROTEC~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Tools\Protection Software\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Tools\Protection Software\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Tools\Nützliches\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\Tools\Nützliches\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKLM\..\RunOnce: [MessengerPlusUninstall] C:\WINDOWS\system32\cmd.exe /C "C:\DOKUME~1\Riddley\LOKALE~1\Temp\MsgPlusUninst.bat"
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\Tools\BROZGS~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = bbbaden.ch
O17 - HKLM\Software\..\Telephony: DomainName = bbbaden.ch
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = bbbaden.ch
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = bbbaden.ch

PS: Grosses Lob für deine wirklich gute Arbeit! Mach weiter so!
__________
["Defect borg: Refutile is sistance. Your ass will be simulated."]
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: