hijacker "search for.." remove |
||
---|---|---|
#0
| ||
12.06.2004, 17:25
...neu hier
Beiträge: 4 |
||
|
||
12.06.2004, 17:45
...neu hier
Beiträge: 1 |
#2
soweit ich weis is schonmal jedes sp.exe ein virus aber verlass dich lieber auf jemanden der sich auskennt
mir wurde zumindest geraten die zu löschen hier der Link http://board.protecus.de/t10590.htm |
|
|
||
12.06.2004, 21:57
Member
Beiträge: 441 |
#3
@ mueller77
Anmelden im abgesicherten Modus, Systemwiederhersttellung deaktivieren und diese Einträge fixen: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\sp.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {98DBBF16-CA43-4c33-BE80-99E6694468A4} - C:\WINDOWS\System32\msole.dll O2 - BHO: (no name) - {DEC6321C-4267-4175-B34D-90F33D8CCAD3} - C:\WINDOWS\System32\palhbaa.dll O15 - Trusted Zone: http://www.web-records.com O16 - DPF: IEToolbarCab - http://download.dailytoolbar.com/DailyToolbarAff.CAB O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} - http://63.219.181.7/cax.cab O16 - DPF: {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - http://www.cameup.com/download2/ToolBand.cab O16 - DPF: {12398DD6-40AA-4C40-A4EC-A42CFC0DE797} - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} - http://www.mt-download.com/MediaTicketsInstaller.cab O16 - DPF: {F57D17AE-CE37-4BC8-B232-EA57747BE5E7} - http://66.230.146.53/EPlugin.cab O16 - DPF: {FFFF0003-0001-101A-A3C9-08002B2F49FB} - http://xxx.F***.org/ppal/main.exe Danach diese Dateien manuell entfernen: C:\WINDOWS\System32\msole.dll C:\WINDOWS\System32\palhbaa.dll Jetzt die mwav.exe installieren und dein System scannen. Temporäre Internet Files löschen. Neues Log-File posten. __________ Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen. Neuaufsetzen des Systems/Absicherung! HJT Anleitung Dieser Beitrag wurde am 12.06.2004 um 23:06 Uhr von Cidre editiert.
|
|
|
||
12.06.2004, 22:36
Ehrenmitglied
Beiträge: 29434 |
#4
O4 - HKCU\..\Run: [rundll32] C:\WINDOWS\rundll32.exe
das bitte auch fixen. neustarten Dann lade http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html AdAware free...updaten Spybot Cwhredder scanne ohne Internetvervindung Deaktiviere die Wiederherstellung ...kannst du nach der Reinigung wieder aktivieren http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 Dann lade den Antivir. free, stelle \alle Dateien scannen ein. Gehe in den abgesicherten Modus...F8 beim Hochfahren druecken und mache dort einen Vollscann. http://www.free-av.de/ Dann mache noch einen Onlinescann http://www.pestscan.com/ScanOrTrial.asp MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 12.06.2004 um 22:42 Uhr von Sabina editiert.
|
|
|
||
13.06.2004, 13:18
...neu hier
Themenstarter Beiträge: 4 |
#5
ok, erstmal vielen vielen Dank für Eure Tipps.
Habe nun folgendes gemacht: - Start im abgesichterten Modus - Systemwiederherstellung deaktiviert - Einträge mit Hijack This gefixt - Datei C:\WINDOWS\System32\palhbaa.dll von Hand gelöscht - Datei C:\WINDOWS\System32\msole.dll war nicht vorhanden - Scan mit CWS Shredder (keine Funde) - Vollscan mit aktuellem AntiVir (keine Funde) - Vollscan mit aktuellem AdAware (5 Funde eliminiert) - Neustart - Scan mit Hijack This und nun hier das Log. Was meint Ihr? Logfile of HijackThis v1.97.7 Scan saved at 13:00:24, on 13.6.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\D-Link\Air Utility\AirCFG.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\Programme\Antivir\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\WZCBDL Service\WZCBDLS.exe C:\WINDOWS\System32\wuauclt.exe C:\Dokumente und Einstellungen\Christian\Desktop\HijackThis.exe O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [D-Link Air Utility] C:\Programme\D-Link\Air Utility\AirCFG.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: Preispiraten 2.1.1 (HKLM) O9 - Extra button: Recherchieren (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Messenger (HKLM) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab |
|
|
||
13.06.2004, 14:07
Member
Beiträge: 441 |
#6
@mueller77
Du bist wieder sauber __________ Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen. Neuaufsetzen des Systems/Absicherung! HJT Anleitung |
|
|
||
13.06.2004, 14:11
Ehrenmitglied
Beiträge: 29434 |
#7
@Mueller 77
Lade den Firefox als Zweit/und Sufbrowser...da gibt es keinen Probleme mit Hijackern http://www.firebird-browser.de/ MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
13.06.2004, 14:33
...neu hier
Themenstarter Beiträge: 4 |
#8
SUPER SUPER SUPER!
Vielen Dank! Ihr seid die besten Habt ihr noch einen Tipp wie man eine Neuinfektion mit dem IE verhindert? Windows und IE sind upgedatet. Nochmal vielen Dank an die Helden des Tages. |
|
|
||
13.06.2004, 14:45
Member
Beiträge: 1095 |
#9
Zitat mueller77 posteteSo leid es mir tut, da gibts nur einen Tip NICHT BENUTZTEN Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
13.06.2004, 15:29
Ehrenmitglied
Beiträge: 29434 |
#10
http://www.kfa-juelich.de/zam/net/security/inf-win/ie-zamread.htm
Na ja, nicht so radikal.......neben dem Firefox oder Opera kann man auch oder muss man auch manchmal den IE benutze. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 13.06.2004 um 15:30 Uhr von Sabina editiert.
|
|
|
||
13.06.2004, 17:15
...neu hier
Themenstarter Beiträge: 4 |
#11
so, hab mir jetzt mal den firefox geladen und den IE sicher gemacht!
eeeendlich sicher surfen! VIELEN DANK! |
|
|
||
01.07.2004, 19:14
...neu hier
Beiträge: 1 |
#12
Hi,hab das gleiche problem wie oben beschrieben aber auch natürlich ne andere log file...könnt ihr mir helfen mit dem fixen?was bedeutet das fixen überhaupt?
hier die log: Logfile of HijackThis v1.97.7 Scan saved at 19:05:03, on 01.07.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\csrss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\system32\spoolsv.exe D:\WINDOWS\Explorer.exe D:\PROGS\0190WA~1\WARN0190.EXE D:\Progs\Antivir\AVGNT.EXE D:\WINDOWS\System32\qttask.exe D:\WINDOWS\System32\ctfmon.exe D:\PROGS\0190WA~1\w0svc.exe D:\Progs\a2 spyware Washer\a2guard.exe D:\Progs\Webroot\Washer\wwDisp.exe D:\Progs\Antivir\AVGUARD.EXE D:\Progs\WinZip 8\WZQKPICK.EXE D:\Progs\SlimBrowser\sbrowser.exe D:\Dokumente und Einstellungen\Massa2\Eigene Dateien\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://D:\DOKUME~1\Massa2\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://D:\DOKUME~1\Massa2\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.225.176.5/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://195.225.176.5/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://D:\DOKUME~1\Massa2\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://D:\DOKUME~1\Massa2\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://D:\DOKUME~1\Massa2\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.225.176.5/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://195.225.176.5/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://195.225.176.5/ie R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://D:\DOKUME~1\Massa2\LOKALE~1\Temp\sp.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.225.176.5/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.225.176.5/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R3 - URLSearchHook: iSearch Toolbar - {1C78AB3F-A857-482e-80C0-3A1E5238A565} - D:\WINDOWS\System32\toolbar.dll F0 - system.ini: Shell=Explorer.exe monitor.exe F2 - REG:system.ini: Shell=Explorer.exe monitor.exe O2 - BHO: (no name) - {1C78AB3F-A857-482e-80C0-3A1E5238A565} - D:\WINDOWS\System32\toolbar.dll O2 - BHO: (no name) - {301D4BD9-5DF6-43C2-ACEF-E9DBEBEDDADD} - D:\WINDOWS\System32\gfcafkb.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Progs\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: iSearch Toolbar - {1C78AB3F-A857-482e-80C0-3A1E5238A565} - D:\WINDOWS\System32\toolbar.dll O4 - HKLM\..\Run: [0190 Warner] D:\PROGS\0190WA~1\WARN0190.EXE O4 - HKLM\..\Run: [AVGCtrl] D:\Progs\Antivir\AVGNT.EXE /min O4 - HKLM\..\Run: [QuickTime Task] "D:\WINDOWS\System32\qttask.exe" -atboottime O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [monitor] Explorer.exe monitor.exe O4 - HKCU\..\Run: [a²] "D:\Progs\a2 spyware Washer\a2guard.exe" O4 - HKCU\..\Run: [Window Washer] D:\Progs\Webroot\Washer\wwDisp.exe O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: WinZip Quick Pick.lnk = D:\Progs\WinZip 8\WZQKPICK.EXE O8 - Extra context menu item: &iSearch The Web - res://D:\WINDOWS\System32\toolbar.dll/SEARCH.HTML O9 - Extra button: Preispiraten 2.02 (HKLM) O9 - Extra button: Microsoft® JavaScript® Console (HKLM) O9 - Extra 'Tools' menuitem: JavaScript Console (HKLM) O9 - Extra button: Microsoft® JavaScript® Console (HKCU) O9 - Extra 'Tools' menuitem: JavaScript Console (HKCU) O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://extreme-virgins.com/dkvaget/x.chm::/load.exe O16 - DPF: {11120607-1001-1111-1000-110199901123} - ms-its:mhtml:file://C:\foo.mht!http://69.57.146.110/b/eu.chm::/11711.exe O16 - DPF: {1C78AB3F-A857-482E-80C0-3A1E5238A565} (iSearch Toolbar) - ms-its:mhtml:file://C:\ss.MHT!http://toolbar.isearch.com/install/00015/chm.chm::/files/initial.cab O16 - DPF: {40BF816B-D862-41B9-9445-ECA36D5F67F6} (Flatcast Viewer 4.9) - http://www.1mal1.com/flatcast/NpFv49.dll O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38014.3719560185 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {F7DC2A2E-FC34-11D3-B1D9-00A0C99B41BB} (Zoom Class) - http://www.zoomify.com/download/zoomify305.cab |
|
|
||
01.07.2004, 21:12
Ehrenmitglied
Beiträge: 29434 |
#13
citrus
Deaktiviere die Wiederherstellung...kannst du nach der Reinigung wieder aktivieren http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 Fixe mit dem HijackThis R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://D:\DOKUME~1\Massa2\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://D:\DOKUME~1\Massa2\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.225.176.5/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://195.225.176.5/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://D:\DOKUME~1\Massa2\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://D:\DOKUME~1\Massa2\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://D:\DOKUME~1\Massa2\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.225.176.5/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://195.225.176.5/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://195.225.176.5/ie R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://D:\DOKUME~1\Massa2\LOKALE~1\Temp\sp.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.225.176.5/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.225.176.5/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R3 - URLSearchHook: iSearch Toolbar - {1C78AB3F-A857-482e-80C0-3A1E5238A565} - D:\WINDOWS\System32\toolbar.dll O2 - BHO: (no name) - {1C78AB3F-A857-482e-80C0-3A1E5238A565} - D:\WINDOWS\System32\toolbar.dll O2 - BHO: (no name) - {301D4BD9-5DF6-43C2-ACEF-E9DBEBEDDADD} - D:\WINDOWS\System32\gfcafkb.dl O3 - Toolbar: iSearch Toolbar - {1C78AB3F-A857-482e-80C0-3A1E5238A565} - D:\WINDOWS\System32\toolbar.dll O4 - HKCU\..\Run: [monitor] Explorer.exe monitor.exe O8 - Extra context menu item: &iSearch The Web - res://D:\WINDOWS\System32\toolbar.dll/SEARCH.HTML O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://extreme-virgins.com/dkvaget/x.chm::/load.exe O16 - DPF: {11120607-1001-1111-1000-110199901123} - ms-its:mhtml:file://C:\foo.mht!http://69.57.146.110/b/eu.chm::/11711.exe O16 - DPF: {1C78AB3F-A857-482E-80C0-3A1E5238A565} (iSearch Toolbar) - ms-its:mhtml:file://C:\ss.MHT!http://toolbar.isearch.com/install/00015/chm.chm::/files/initial.cab neustarten ehe ich dich in die Registry schicke, lade diese Tools und scanne. Dann sehen wir weiter...ob alles geloescht ist... Loesche manuell D:\WINDOWS\System32\toolbar.dll D:\WINDOWS\System32\toolbar.dll D:\WINDOWS\System32\gfcafkb.dl #Lade mwav.exe ...30 Tage free und scanne <alle Datein< poste, was das Tool noch fefunden hat. http://www.mwti.net/antivirus/free_utilities.asp #Lade Spysweeper free http://www.spysweeper.com/ #Lade Sp http://www.rokop-security.de/main/article.php?sid=746 #Lade Cwhredder http://www.spywareinfo.com/~merijn/downloads.html #lade ClearProg. ...BETA 8 und loesche die TemporayInternetFiles und die Cookies mit diesem Tool http://www.clearprog.de/ #Lade Firefox...ist sicherer http://www.firebird-browser.de/ Stelle unter InternetOptionen eine neue Startseite ein und poste das Log noch einmal. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 01.07.2004 um 21:13 Uhr von Sabina editiert.
|
|
|
||
19.10.2005, 22:54
...neu hier
Beiträge: 6 |
#14
Bitte bitte helft mir ich drehe durch bin fast am heulen alle 2 sekunden öffnen sich pop ups udn meine seite ändert sich auf werbe seite mich nervt dieser Schei.... BItte helft mir so schnell wie möglich hier ist mein log wäre echt super
Logfile of HijackThis v1.99.1 Scan saved at 22:53:58, on 19.10.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\Programme\Medionkeyboard\1.3\MMKEYBD.EXE C:\Programme\Java\jre1.5.0_04\bin\jusched.exe C:\Programme\MessengerPlus! 3\MsgPlus.exe C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\bsnkp.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\system32\ysysvu6r.exe C:\windows\sp2update00.exe C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Ashampoo\Ashampoo UnInstaller Platinum Suite\UIWatcher.exe C:\Programme\TuneUp Utilities 2004\MemOptimizer.exe c:\progra~1\intern~1\iexplore.exe c:\progra~1\intern~1\iexplore.exe c:\windows\system32\wtdxregs.exe C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe C:\WINDOWS\BricoPacks\Vista Inspirat\YzShadow\YzShadow.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe C:\Programme\ArcorOnline\Arcor.exe C:\WINDOWS\explorer.exe C:\Programme\ISTsvc\istsvc.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Die Hard\Desktop\Gegen Spyware\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.jqajstfhyutlumxqeabyo.org/UpOThoTjJ2AJRGkV7zX4QZU2u_0paVNhh3lrJGeQqCH22RgauqhztDOVTaA2bd5G.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mlfndahejgosgrwxlyyra.com/UpOThoTjJ2DaMQQJM6lvcesauH8hUUOS8LmxwXQQpHU.htm R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.spiegel.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [FLMMEDIONMOUSE] C:\Programme\Browser mouse\1.3\mouse32a.exe O4 - HKLM\..\Run: [FLMK08KB] C:\Programme\Medionkeyboard\1.3\MMKEYBD.EXE O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe O4 - HKLM\..\Run: [BootSkin Startup Jobs] "C:\PROGRA~1\Stardock\WINCUS~1\BootSkin\BootSkin.exe" /StartupJobs O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" O4 - HKLM\..\Run: [WaveDeadRealShow] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Peak new wave dead\WebEq.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [DWeKef] C:\WINDOWS\bsnkp.exe O4 - HKLM\..\Run: [ZStart] c:\windows\system32\wtdxregs.exe MS001 O4 - HKLM\..\Run: [BrowserUpdateSched] C:\WINDOWS\system32\ysysvu6r.exe MS001 O4 - HKLM\..\Run: [msresearch] C:\windows\msresearch.exe O4 - HKLM\..\Run: [sp2update] C:\windows\sp2update00.exe O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [UIWatcher] C:\Programme\Ashampoo\Ashampoo UnInstaller Platinum Suite\UIWatcher.exe O4 - HKCU\..\Run: [Rect Boob] C:\DOKUME~1\DIEHAR~1\ANWEND~1\PLATFO~1\Findprogramdent.exe O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2004\MemOptimizer.exe" autostart O4 - Startup: Stardock ObjectDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\YzShadow\YzShadow.exe O4 - Startup: Y'z Toolbar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe O4 - Startup: Zeno.lnk = C:\WINDOWS\system32\ysysvu6r.exe O4 - Startup: Zstart.lnk = C:\WINDOWS\system32\cxdxregt.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE (file missing) O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE (file missing) O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab O16 - DPF: {14F65762-96FB-44B9-8DAC-93845F377A0E} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/de/filesharingctrl.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by15fd.bay15.hotmail.msn.com/resources/MsnPUpld.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{F3DBBB00-4BAC-4CA0-87DA-357EF17321C7}: NameServer = 195.50.140.114 195.50.140.252 O20 - Winlogon Notify: Nls - C:\WINDOWS\system32\ulbui.dll O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: Ndisedsltkms - Unknown owner - (no file) O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe O23 - Service: PsShutdown (PsShutdownSvc) - Systems Internals - C:\WINDOWS\System32\PSSDNSVC.EXE O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe |
|
|
||
19.10.2005, 23:03
Ehrenmitglied
Beiträge: 29434 |
#15
Hallo@Dawid
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.jqajstfhyutlumxqeabyo.org/UpOThoTjJ2AJRGkV7zX4QZU2u_0paVNhh3lrJGeQqCH22RgauqhztDOVTaA2bd5G.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mlfndahejgosgrwxlyyra.com/UpOThoTjJ2DaMQQJM6lvcesauH8hUUOS8LmxwXQQpHU.htm O4 - HKLM\..\Run: [BootSkin Startup Jobs] "C:\PROGRA~1\Stardock\WINCUS~1\BootSkin\BootSkin.exe" /StartupJobs O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" O4 - HKLM\..\Run: [WaveDeadRealShow] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Peak new wave dead\WebEq.exe O4 - HKLM\..\Run: [DWeKef] C:\WINDOWS\bsnkp.exe O4 - HKLM\..\Run: [ZStart] c:\windows\system32\wtdxregs.exe MS001 O4 - HKLM\..\Run: [BrowserUpdateSched] C:\WINDOWS\system32\ysysvu6r.exe MS001 O4 - HKLM\..\Run: [msresearch] C:\windows\msresearch.exe O4 - HKLM\..\Run: [sp2update] C:\windows\sp2update00.exe O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe O4 - HKCU\..\Run: [UIWatcher] C:\Programme\Ashampoo\Ashampoo UnInstaller Platinum Suite\UIWatcher.exe O4 - HKCU\..\Run: [Rect Boob] C:\DOKUME~1\DIEHAR~1\ANWEND~1\PLATFO~1\Findprogramdent.exe O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\YzShadow\YzShadow.exe O4 - Startup: Y'z Toolbar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\YzToolbar\YzToolBar.exe O4 - Startup: Zeno.lnk = C:\WINDOWS\system32\ysysvu6r.exe O4 - Startup: Zstart.lnk = C:\WINDOWS\system32\cxdxregt.exe O20 - Winlogon Notify: Nls - C:\WINDOWS\system32\ulbui.dll PC neustarten ClaerProg..lade die neuste Version http://virus-protect.org/temp.html <und saeubere den Browser. Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera: - Verlauf - Temporäre Internetfiles (Cache) - index.dat zur Reinigung sind verschiedene Schritte notwendig. 1.Schritt: poste die 4 Logs, wie in der anleitung beschrieben (3 Monate vom Datum her) http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
hier das hijack this log:
Logfile of HijackThis v1.97.7
Scan saved at 17:24:53, on 12.6.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\D-Link\Air Utility\AirCFG.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Skype\Phone\Skype.exe
C:\WINDOWS\rundll32.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Antivir\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\WZCBDL Service\WZCBDLS.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Christian\Desktop\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {98DBBF16-CA43-4c33-BE80-99E6694468A4} - C:\WINDOWS\System32\msole.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: (no name) - {DEC6321C-4267-4175-B34D-90F33D8CCAD3} - C:\WINDOWS\System32\palhbaa.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [D-Link Air Utility] C:\Programme\D-Link\Air Utility\AirCFG.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [rundll32] C:\WINDOWS\rundll32.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Preispiraten 2.1.1 (HKLM)
O9 - Extra button: Recherchieren (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O15 - Trusted Zone: http://www.web-records.com
O16 - DPF: IEToolbarCab - http://download.dailytoolbar.com/DailyToolbarAff.CAB
O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} - http://63.219.181.7/cax.cab
O16 - DPF: {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - http://www.cameup.com/download2/ToolBand.cab
O16 - DPF: {12398DD6-40AA-4C40-A4EC-A42CFC0DE797} - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab
O16 - DPF: {94F5DCB7-816C-4B94-A2C1-856C6E323C5B} - http://akamai.downloadv3.com/binaries/LiveService/LiveService_4_EN_XP.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F57D17AE-CE37-4BC8-B232-EA57747BE5E7} - http://66.230.146.53/EPlugin.cab
O16 - DPF: {FFFF0003-0001-101A-A3C9-08002B2F49FB} - http://xxx.F***.org/ppal/main.exe
VIELEN DANK!