smartsearch als Startseite und andy1 als Icon |
||
---|---|---|
#0
| ||
16.06.2004, 21:08
Member
Themenstarter Beiträge: 16 |
||
|
||
17.06.2004, 08:57
Ehrenmitglied
Beiträge: 29434 |
#17
Sieh mal bitte, wo der Trojaner\Trojan.Win32.startpage.au \sich versteckt hat, der escann muesste die Datei angeben....loesche dann diesen Trojaner manuell.
scanne bitte auch noch einmal mit AdAware free http://www.lavasoft.de/ Spyhunter http://www.spy-bot.net/manual.asp Bevor du dann das Log noch einmal postest, loesche bitte unter InternetOptionen die TemporaryInternetFiles und stelle eine Startseite ein. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 17.06.2004 um 09:00 Uhr von Sabina editiert.
|
|
|
||
17.06.2004, 22:11
Member
Themenstarter Beiträge: 16 |
#18
Hallo Sabina, das manuelle Löschen geht leider nicht.
Ich werde immer darauf hingewiesen daß die Quelldatei geöffnet ist. Wie soll ich weiter vorgehen? Mit Adaware free habe ich nochmals gescannt. Hier das Log. Lavasoft Ad-aware Personal Build 6.181 Logfile created on onnerstag, 17. Juni 2004 20:40:50 Created with Ad-aware Personal, free for private use. Using reference-file :01R318 13.06.2004 ______________________________________________________ Ad-aware Settings ========================= Set : Activate in-depth scan (Recommended) Set : Safe mode (always request confirmation) Set : Scan active processes Set : Scan registry Set : Deep scan registry 17.06.2004 20:40:50 - Scan started. (Custom mode) Deep scanning and examining files (C ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ TS Cash Object recognized! Type : File Data : a0370023.1 Object : C:\_RESTORE\TEMP\ FileSize : 25 KB Copyright : / Auch hier wird also in C:\_RESTORE\TEMP\ was gefunden Hier sind es aber nur 4 Objekte gegenüber derer 83 bei mwav.exe Auch Adaware kann nicht löschen (Datei wird benutzt) und weist auf einen Löschvorgang beim reboot hin. spyhunter findet nichts, obwohl C:\_RESTORE\TEMP auch durchsucht wurde. Viele Grüße |
|
|
||
17.06.2004, 22:58
Member
Beiträge: 1095 |
#19
@tuemmer
schlat mal deine Systemwiederherstellung ab und starte neu. Dann ist alles in C:\_RESTORE\TEMP gelöscht http://www.bsi.bund.de/av/texte/wiederher.htm Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
18.06.2004, 09:44
Ehrenmitglied
Beiträge: 29434 |
#20
Auch Adaware kann nicht löschen (Datei wird benutzt) und weist auf einen Löschvorgang beim reboot hin.........................
Das akzeptiert man, bootet und beim Hochfahren loescht das AdAware dann dire Malware. Poste mal das Endergebnis vom scann mit mwav.exe. Gruss Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
18.06.2004, 10:30
Member
Themenstarter Beiträge: 16 |
#21
Hallo Sabina,
es ist mir nun gelungen in C:\_RESTORE\TEMP alles zu löschen was mwav.exe gefunden hat. Demnach müsste mein Rechner ja clean (zumindest was das betrifft) sein. Merkwürdigerweise musste das Häkchen bei der Systemwiederherstellung "deaktivieren" nicht gesetzt sondern weggenommen werden. Somit war die Wiederherstellung ausser Kraft!? Nach dem Starten des IE wird zwar immer noch die Seite "Smartsearch" angezeigt der Wählvorgang oder die Suche die vorher durchgeführt wurde ist aber weg. Auch ist merkwürdig daß die Seite unter Einstellungen nicht angezeigt wird sondern about blank dort steht. Eine Startseite ist weiterhin eingestellt und beim klicken auf Home wird diese auch angezeigt. Bei dieser handelt es sich um: http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome Ändert man diese nun wird die neue bis zum nächsten Startvorgang auch beibehalten. Nach einem Neustart des IE ist jedoch alles beim Alten. Wieder about blank und als Startseite http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome Überigens die Temporären Files hatte ich vorher gelöscht. Was kann ich denn nun machen? Ich werde nun nochmals mwav.exe und adaware laufen lassen und posten. Vielen Dank für weitere Hilfe |
|
|
||
18.06.2004, 11:56
Ehrenmitglied
Beiträge: 29434 |
#22
Lade von dieser Site den CWHredder und den Sphjfix und scanne ohne Internetverbindung
http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html stelle eine Startseite deiner Wahl ein, Yahoo oder anderes, dann poste das HijackThisLog bitte noch einmal. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 18.06.2004 um 11:58 Uhr von Sabina editiert.
|
|
|
||
19.06.2004, 12:18
Member
Themenstarter Beiträge: 16 |
#23
Hallo Sabina,
CWshredder und Sphjfix sowie Adaware finden nichts. mwav.exe findet noch: C:\windows\system\sysupd.exe tagged as a not virus:Adv Ware TC cash No aktion taken File C:\Programme\Norton Antivirus\Quarantine\05C065C0 und 05C30FBC infectedBy "I-worm.NetSky.aa Virus Action taken File deleted Nun habe ich eine Startseite eingestellt und mit Hijack this gescanned Logfile of HijackThis v1.97.7 Scan saved at 12:15:01, on 19.06.2004 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCSETMGR.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\STARTER.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAMME\NIKON\NKVIEW5\NKVMON.EXE C:\PROGRAMME\FOTOSTATION EASY\FOTOSTATION EASY AUTOLAUNCH.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\WINDOWS\SYSTEM\PSTORES.EXE C:\PROGRAMME\OUTLOOK EXPRESS\MSIMN.EXE C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\EIGENE DATEIEN\DOWNLOADS\SPYWARE\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/ O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [NAV CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT" O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe" O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe" O4 - Startup: NkvMon.exe.lnk = C:\Programme\Nikon\NkView5\NkvMon.exe O4 - Startup: FotoStation Easy AutoLaunch.lnk = C:\Programme\FotoStation Easy\FotoStation Easy AutoLaunch.exe O12 - Plugin for .avi: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O12 - Plugin for .wav: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?38151.4631712963 Vielen Dank für Hilfe Gruß |
|
|
||
19.06.2004, 14:43
Ehrenmitglied
Beiträge: 29434 |
#24
@Thuemmers67
1. loesche bitte sysupd.exe 2.Sieh an...der I-worm.NetSky.aa Virus wurde geloescht..... 3.Jetzt funktioniert bestimmt wieder alles, wie es soll., wenn die Spyware geloescht ist. 4. Lade noch den Firefox als Zweit/und SurfBrowser...ist hijackerfrei und surfe nur mit ihm. http://www.firebird-browser.de/ MfG Sabina http://www.pestpatrol.com/PestInfo/s/sysupd_exe.asp __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 19.06.2004 um 14:45 Uhr von Sabina editiert.
|
|
|
||
19.06.2004, 15:07
Member
Themenstarter Beiträge: 16 |
#25
Hallo Sabina,
Nachdem ich nochmals mwav.exe durchlaufen gelassen habe wurde nur noch sysupd.exe angezeigt welche ich manuell gelöscht habe. Nach einem Neustart erhielt ich nun auch den Hinweis daß die "Konfigurationsdateien" (wieder) aktualisiert werden obwohl ich an der Systemwiederherstellung nichts geändert habe und diese trotz dem Entfernen des Häkchens ausgeschaltet war. Die Startseite ist aber immer noch da. Trotz dem Löschen der temporären Files und vor allem auch ohne Internetverbindung. Diese ist offenbar woanders (als in dem temporären Ordner) gespeichert. Ich lasse nun nochmal mwav.exe laufen und werde posten. Vielen Dank für weitere Hilfe Gruß |
|
|
||
19.06.2004, 15:48
Ehrenmitglied
Beiträge: 29434 |
#26
sysupd.exe
suche mal in der Registry nach einem Hinweis auf diese exe Start\Ausfuehren\regedit ueberpruefe mal, was mit deinem Symantec los ist O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe" O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe" #Loesche unter InternetOptionenen die Cookies #Gehe in der Registry in Software\Microsoft\Internet Explorer\Main "Start Page" und stelle eine Startseite dort ein. #Scanne noch einmal mit AdAware free...vorher updaten !!!!! http://www.lavasoft.de/ Dann poste das HijackThis MIT der Startseite, die aktuell ist.... MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 19.06.2004 um 15:57 Uhr von Sabina editiert.
|
|
|
||
19.06.2004, 17:30
Member
Themenstarter Beiträge: 16 |
#27
Hallo,
in der Registry wird kein sysupd.exe gefunden O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe" O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe" soll das gefixt werden? #Loesche unter InternetOptionenen die Cookies - gemacht #Gehe in der Registry in Software\Microsoft\Internet Explorer\Main "Start Page" und stelle eine Startseite dort ein. - gemacht Beim ersten Start des IE wird die Startseite auch geladen Beim 2. ist about blank wieder da mit "smartsearch" Schau mal was jetzt adaware findet Started registry scan ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ Registry scan result : ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ New objects : 0 Objects found so far: 0 Started deep registry scan ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ Possible browser hijack attempt : Software\Microsoft\Internet Explorer\MainStart Pageabout:blank Possible Browser Hijack attempt Object recognized! Type : RegData Data : "about:blank" Rootkey : HKEY_CURRENT_USER Object : Software\Microsoft\Internet Explorer\Main Value : Start Page Data : "about:blank" Possible browser hijack attempt : Software\Microsoft\Internet Explorer\MainStart Pageabout:blank Possible Browser Hijack attempt Object recognized! Type : RegData Data : "about:blank" Rootkey : HKEY_LOCAL_MACHINE Object : Software\Microsoft\Internet Explorer\Main Value : Start Page Data : "about:blank" Possible browser hijack attempt : .Default\Software\Microsoft\Internet Explorer\MainStart Pageabout:blank Possible Browser Hijack attempt Object recognized! Type : RegData Data : "about:blank" Rootkey : HKEY_USERS Object : .Default\Software\Microsoft\Internet Explorer\Main Value : Start Page Data : "about:blank" Deep registry scan result : ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ New objects : 3 Objects found so far: 3 ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ Deep scanning and examining files (C ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ Performing conditional scans.. ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ Conditional scan result: ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ New objects : 0 Objects found so far: 3 17:19:20 Scan complete Summary of this scan ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ Total scanning time :00:12:26:270 Objects scanned :47969 Objects identified :3 Objects ignored :0 New objects :3 Ich lösche das jetzt und poste wieder Gruß Hallo es kann bisher nicht gelöscht werden, das Problem ist wohl die Systemwiederherstellung. Wenn ich die Systemwiederherstellung deaktiviere und mit adaware lösche, aktiviert sich die Systemwiederherstellung selbstständig wieder und nach dem Neustart hat sich nichts geändert. Wie kann ich das umgehen? Vielen Dank für Hilfe Dieser Beitrag wurde am 19.06.2004 um 18:04 Uhr von tuemmers65 editiert.
|
|
|
||
20.06.2004, 08:17
Ehrenmitglied
Beiträge: 29434 |
#28
#.O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe"
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe" nicht fixen, ist dein Symantec und ccSetMgr ccEvtMgr sind nicht die Gleichen, wie ich faelschlich dachte. #Versuche noch einmal die mwav.exe zu laden und poste das Endergebnis. http://www.mwti.net/antivirus/free_utilities.asp #falls du es nicht schon vorher gemacht hast... Lade TuneUp 2003...30 Tage frei und optimiere ....das mit der selbststaendigen Wiederherstellung klingt sehr eigenartig. http://www.tuneup.de/download/tu2003/ #Loesche bitte nicht mit dem AdAware, sondern klicke auf Quarantaene!!!!!! Dann #Gehe in der Registry in Software\Microsoft\Internet Explorer\Main "Start Page" #und stelle eine Startseite dort ein. #Unter InternetOptionen machst du das Gleiche. Dann berichte. Gruss Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 20.06.2004 um 08:21 Uhr von Sabina editiert.
|
|
|
||
20.06.2004, 08:26
Ehrenmitglied
Beiträge: 29434 |
#29
zitat aus einem anderen Thread
........................................................... Zitat: Die Adresse, die bei jedem Neustart des IE nach dem Entfernen der Files mit Ad-Aware kommt ist folgender: www(punkt)microsoft.com/isapi/redir.dll?prd=ie&clcid=0x0407&pver=6.0&ar=home Nachdem der IE diese Startseite öffnet (oder es auch nur versucht), meldet Ad-Aware folgende Infektionen, die zuvor bereits damit entfernt wurden, erneut: Vendor : Possible Browser Hijack attempt Category : Data Miner Object Type : RegData Location:Software\Microsoft\Internet Explorer\Main "Start Page" ("about:blank") Comment : Possible browser hijack attempt Description : Possible attempt to control\redirect the browser. This object referrs to a "blacklisted" site. Vendor : Tracking Cookie Categoryata Miner Object Type:File Size:327 Bytes Location:c:\...\cookies\xxx@as1.falkag[2].txt Comment: Leider spuckt Ad-Aware die about:blank als "Possible Browser Hijack attempt" aus. Dies ist nur da es mal einen HiJacker gab der dies machte. Wenn du jetzt die About:Blank mit AdAware entfernst , findet Windows keine Startseite und trägt sozusagen seine ab Werk eingetragenen ein. Das ist die "http://www.microsoft.com/isapi/redir.dll?prd=ie&clcid=0x0407&pver=6.0&ar=home" Einfach diesen Possible HiJack attempt ignorieren Possible=möglicherweise Den "tracking Cookie" fängst du dir durch surfen ein. Das ist leider so und kann nicht vermieden werden es sei den du stellst den Browser auf "No Cookies". Dann macht das surfen ab keinen Spass mehr. Diese Cookies sind nicht gefährlich. Sie sammeln nur Infos für den Betreiber der Seite. Data Miner ~ Datensammler Würde mir keine ersnthaften Sorgen machen __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 20.06.2004 um 08:27 Uhr von Sabina editiert.
|
|
|
||
20.06.2004, 12:18
Member
Themenstarter Beiträge: 16 |
#30
Hallo Sabina,- folgendes:
-#Versuche noch einmal die mwav.exe zu laden und poste das Endergebnis. mwav findet jetzt noch: C:\Norton Antivirus\Quarantine\28CA2COB und 50BE505B und 79DB691D und weißt auf "I-Worm.Netsky.c bzw.aa hin und "file deleted" -falls du es nicht schon vorher gemacht hast... Lade TuneUp 2003...30 Tage frei und optimiere ....das mit der selbststaendigen Wiederherstellung klingt sehr eigenartig. Habe ich gemacht,- es wird nichts gefunden (habe alles mal durchlaufen lassen) Das mit der Wiederherstellung ist wirklich eigenartig. Nachdem adaware nachstehendes gelöscht hat Started deep registry scan ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ Possible browser hijack attempt : Software\Microsoft\Internet Explorer\MainStart Pageabout:blank Possible Browser Hijack attempt Object recognized! Type : RegData Data : "about:blank" Rootkey : HKEY_CURRENT_USER Object : Software\Microsoft\Internet Explorer\Main Value : Start Page Data : "about:blank" Possible browser hijack attempt : Software\Microsoft\Internet Explorer\MainStart Pageabout:blank Possible Browser Hijack attempt Object recognized! Type : RegData Data : "about:blank" Rootkey : HKEY_LOCAL_MACHINE Object : Software\Microsoft\Internet Explorer\Main Value : Start Page Data : "about:blank" Possible browser hijack attempt : .Default\Software\Microsoft\Internet Explorer\MainStart Pageabout:blank Possible Browser Hijack attempt Object recognized! Type : RegData Data : "about:blank" Rootkey : HKEY_USERS Object : .Default\Software\Microsoft\Internet Explorer\Main Value : Start Page Data : "about:blank" funktioniert alles richtig. Als Startseite erscheint msn. Nach dem Neustart des Rechners ist aber Smartsearch als Startseite wieder da. Diese Startseite ist irgendwo auf meinem Rechner gespeichert da sie dann wieder nach dem Löschen der Temporären Files und der Cookies auch ohne Netzverbindung wieder da ist. Das deaktivieren der Wiederherstellung funktioniert nicht,- es stellt sich selbstständig wieder um. -#Loesche bitte nicht mit dem AdAware, sondern klicke auf Quarantaene!!!!!! Dann #Gehe in der Registry in Software\Microsoft\Internet Explorer\Main "Start Page" #und stelle eine Startseite dort ein. #Unter InternetOptionen machst du das Gleiche. Das habe ich gemacht es ändert nichts. Ich müsste das was Adaware löscht dauerhaft (ohne Wiederherstellung beim Neustart) löschen können dann müsste eigentlich alles weg sein -Dann #Gehe in der Registry in Software\Microsoft\Internet Explorer\Main "Start Page" #und stelle eine Startseite dort ein. Das beseitigt die Smartsearch Seite für einen Startvorgang des IE. Nach dem 2. Start von IE ist Smartsearch wieder da. Wie kann ich nach dem Löschvorgang durch Adaware die Systemwiederherstellung wirklich deaktivieren? Hier nochmal Logfile Logfile of HijackThis v1.97.7 Scan saved at 12:50:59, on 20.06.2004 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCSETMGR.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\STARTER.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAMME\NIKON\NKVIEW5\NKVMON.EXE C:\PROGRAMME\FOTOSTATION EASY\FOTOSTATION EASY AUTOLAUNCH.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\WINDOWS\SYSTEM\PSTORES.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\EIGENE DATEIEN\DOWNLOADS\SPYWARE\HIJACKTHIS.EXE O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [NAV CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT" O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe" O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe" O4 - Startup: NkvMon.exe.lnk = C:\Programme\Nikon\NkView5\NkvMon.exe O4 - Startup: FotoStation Easy AutoLaunch.lnk = C:\Programme\FotoStation Easy\FotoStation Easy AutoLaunch.exe O12 - Plugin for .avi: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O12 - Plugin for .wav: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?38151.4631712963 Vielen Dank für weitere Hinweise Gruß Dieser Beitrag wurde am 20.06.2004 um 12:50 Uhr von tuemmers65 editiert.
|
|
|
||
also die Wiederherstellung war bereits deaktiviert.
Ich habe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
gefixt
Logfile of HijackThis v1.97.7
Scan saved at 21:09:39, on 16.06.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCSETMGR.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\STARTER.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\NIKON\NKVIEW5\NKVMON.EXE
C:\PROGRAMME\FOTOSTATION EASY\FOTOSTATION EASY AUTOLAUNCH.EXE
C:\WINDOWS\TEMP\MWAVSCAN.COM
C:\WINDOWS\TEMP\KAVSS.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\OUTLOOK EXPRESS\MSIMN.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\EIGENE DATEIEN\DOWNLOADS\SPYWARE\HIJACKTHIS.EXE
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe"
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
O4 - Startup: NkvMon.exe.lnk = C:\Programme\Nikon\NkView5\NkvMon.exe
O4 - Startup: FotoStation Easy AutoLaunch.lnk = C:\Programme\FotoStation Easy\FotoStation Easy AutoLaunch.exe
O12 - Plugin for .avi: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .wav: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?38151.4631712963
Tuneup hat wohl nichts gravierendes gefunden.
Ich habe nun escan nochmals durchlaufen lassen.
Es wurden 83 "Sachen" gefunden".
u. a. Trojan.Win32.startpage.au
(ich denke hier liegt der Kern des Übels)
Nach der Aufforderung ein reboot vorzunehmen hat nun auch alles ohne Absturz funktioniert.
Ich habe dann nochmals escan durchlaufen lassen mit dem Ergebnis daß die gleichen Trojaner wieder gefunden werden ,- also nicht gelöscht waren.
Trotz der Deaktivierung der Wiederherstellung.
Vielen Dank für weitere Ratschläge
Gruß