Startseite ändert sich zu: http://kg.mysearch.myway.com/jsp/GGmain.jsp?P |
||
---|---|---|
#0
| ||
16.06.2004, 20:18
Member
Beiträge: 28 |
||
|
||
16.06.2004, 22:46
Member
Beiträge: 20 |
#2
Folgendes fixen:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://omegasearch.com/searchbar.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://omegasearch.com/searchbar.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://omegasearch.com/passthrough/index.html?http://about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://omegasearch.com/searchbar.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://omegasearch.com/searchbar.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://omegasearch.com/searchbar.html O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL __________ Automatische HijackThis-Auswertung auf www.hijackthis.de |
|
|
||
17.06.2004, 11:08
Ehrenmitglied
Beiträge: 29434 |
#3
@Betty
lade AdAware CWHredder Sphjfix http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html Spyhunter http://www.spy-bot.net/manual.asp mwav.exe http://www.mwti.net/antivirus/free_utilities.asp ....................................................................................... ///fixe mit dem HijackThis, wie schon gepostet R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://omegasearch.com/searchbar.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://omegasearch.com/searchbar.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://omegasearch.com/passthrough/index.html?http://about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://omegasearch.com/searchbar.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://omegasearch.com/searchbar.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://omegasearch.com/searchbar.html O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL und starte den Comp. neu !!!!!!!!!!! gehe in den abgesicherten Modus...F8 beim Hochfahren druecken ..................................................................................................... 1. suche C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL und loesche 2. scanne mit allen Tools 3. Dann loesche unter InternetOptionen die TemporaryInternetFiles und stelle eine Startseite ein. normal neustarten 4.Lade den Firefox als Zweit und SurfBrowser...ist hijackerfrei Stelle eine Startseite ein und surfe nur mit ihm http://www.firebird-browser.de/ Dann poste das Log noch einmal. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 17.06.2004 um 11:15 Uhr von Sabina editiert.
|
|
|
||
17.06.2004, 22:02
Member
Themenstarter Beiträge: 28 |
#4
Hallo!
Vielen Dank für die Hilfe! :-) Die Startseite war jetzt o.k. Habe aber gleich der firebird-browser runtergeladen un den Internet-Explorer runtergeschmissen. Sicher ist sicher. ;-) Leider habe ich aber immernoch ein Problem. Wenn ich Spybot laufen lassen zeigt er mir ein Problem an: DSO Exploit. Ich lösche das dann ganz normal, aber bei dem nächsten Scan ist es immernoch da. Weiß jemand wie ich das auch noch los werde? Über Suchen im Explorer finde ich das Teil leider nicht. :-( Liebe Grüße, Betty |
|
|
||
18.06.2004, 09:46
Ehrenmitglied
Beiträge: 29434 |
#5
DSO Exploit ist ein Bug vom Spybot.
Mach dir keine Sorgen. Poste das Log vom HijackThis noch einmal. Gruss Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
18.06.2004, 11:04
Member
Themenstarter Beiträge: 28 |
#6
Vielen Dank, Sabina! Jetzt bin ich erleichtert. :-)
Hier nochmal der Log-file: Logfile of HijackThis v1.97.7 Scan saved at 11:12:10, on 18.06.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\LEXPPS.EXE C:\Programme\Norton Internet Security\NISUM.EXE C:\WINDOWS\System32\LXSUPMON.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\Winamp\winampa.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\AVPersonal\AVSched32.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Yahoo!\Messenger\ypager.exe C:\Programme\a2\a2guard.exe C:\Programme\ceytec software\Reminder 99\remind99.exe C:\WINDOWS\twain_32\CIS600X\WATCH.exe C:\PROGRA~1\INCRED~1\bin\IMApp.exe C:\WINDOWS\System32\alg.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Norton Internet Security\ccPxySvc.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\Bettina\LOKALE~1\Temp\Rar$EX00.637\HijackThis.exe O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL (file missing) O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [CXMon] "C:\Programme\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c O4 - HKCU\..\Run: [a²] "C:\Programme\a2\a2guard.exe" O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Startup: Reminder 99.lnk = C:\Programme\ceytec software\Reminder 99\remind99.exe O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\CIS600X\WATCH.exe O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: ICQ Lite (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst0401.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab O16 - DPF: {F54C1137-5E34-4B95-95A5-BA56D4D8D743} (Secure Delivery) - http://www.gamespot.com/KDX22/download/kdx.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{B0853DE6-5EC5-4B3A-A4B1-4419FB49DF0B}: NameServer = 145.253.2.11 145.253.2.203 Hoffe das ist alles o.k. so. LG, Betty |
|
|
||
18.06.2004, 11:47
Ehrenmitglied
Beiträge: 29434 |
#7
es ist leider noch alles beim alten
Fixe mit dem HijackThis\ O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL (filemissing) #neustarten #gehe in den abgesicherten Modus...F8 beim Hochfahren druecken #suche und loesche ...falls du es findest mybar.dll mwssrcas.dll My Way Speed Bar...ueber Add/Remove Programs...falls es dort ist ................................................................................................... Scanne noch einmal mit AdAware CWHredder Sphjfix http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html Spyhunter http://www.spy-bot.net/manual.asp # normal neustarten ....................................................................................................... #Loesche die TemporaryInternetFiles unter InternetOptionen und stelle bitte auch eine Startseite ein !!!!!!!!!!!!!! #aktualisiere den IE auf IE 6 SP1 http://www.microsoft.com/windows/ie_intl/de/ie6sp1.mspx #Lade den Firefox als Zweitbrowser...ist hijackerfrei...stelle im Browser eine Startseite deiner Whl ein und surfe nur mit ihm. http://www.firebird-browser.de/ Dann poste das Log noch einmal. Gruss Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 18.06.2004 um 11:54 Uhr von Sabina editiert.
|
|
|
||
18.06.2004, 14:56
Member
Themenstarter Beiträge: 28 |
#8
Hallo Sabina!
:-(( so was blödes! Ich habe das im Hijackthis das Teil entfernt. Dann habe ich neu gestartet, im gesicherten Modus. Die Teile mybar.dll und mwssrcas.dll habe ich nicht gefunden. Dann bin ich auf Systemsteuerung und Software gegangen und habe dort das My Speed bar Teil entdeckt. Leider läßt sich das da aber nicht entfernen. Wenn ich auf entfernen gehe kommt da jedes Mal ein Fenster. Darin steht absolut garnichts. Nur in der Kopfzeile steht folgendes: res://C:\PROGRA~1\MyWay\myBar\1.bin\mybar.dll/101 Keine Ahnung was das soll und wieso ich das nicht entfernen kann. :-(( Die anderen Programme habe ich durchlaufen lassen. Leider geht Sphjfix nicht. Ich kann ankicken, dass es scannt, aber es tut absolut garnichts. Den Internet Explorer habe ich garnicht mehr. Den habe ich gestern gleich rausgeschmissen, nachdem ich Firefox runtergeladen hatte. Soll ich den neuen IE 6 SP1 jetzt runterladen? Mann, das ist alles so ätzend! Bin am verzweifeln. Woher bekommt man denn so einen Schrott überhaupt? Kann sich das Teil beim Brennen mit auf CDs setzen? Ich überlege nämlich, ob ich nicht meine wichtigen Sachen brennen soll und den PC einfach platt mache. Dann ist ja alles weg. Ginge bestimmt schneller als so. Viele Grüße, Betty |
|
|
||
18.06.2004, 15:04
Ehrenmitglied
Beiträge: 29434 |
#9
Geh mal in die Registry
Start\Ausfuehren\regedit #Oben links ist die Suchfunktion der Registry Gib dort ein \MyWay\ und loesche alles, was gefunden wird. gehe zu folgendem Schluessel HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} loeschen Internet Explorer Browser Helper Object (BHO) #Lade BHO und schau, ob der Schluessel dort noch erscheint...loeschen http://www.definitivesolutions.com/bhodemon.htm {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} #suche Mybar.dll und loesche #Dann lade XP/Clean , version 5.5.und saeubere den Comp. http://www.xpclean.de/index.htm?http://www.xpclean.de/xpcleangold.htm #den IE 6 SP1 musst du laden, denn der Firefox braucht den IE, um zu funktionieren. ............................................................................................................................ #Dann versuche noch einmal im abgesicherten Modus ueber die Systemsteuerung und Softwaredas Tool zu loeschen. Dann poste das Log noch einmal. MfG Sabina http://sarc.com/avcenter/venc/data/pf/adware.mybar.html __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 18.06.2004 um 15:19 Uhr von Sabina editiert.
|
|
|
||
18.06.2004, 16:24
Member
Themenstarter Beiträge: 28 |
#10
Hallo!
Habe alles gemacht und gelöscht, sofern es da war. Irgendwo waren einige mybar und so teile drin, die habe ich alle gelöscht. Den neuen IE habe ich jetzt auch und überall ne Startseite drin. ;-) Im abgesicherten Modus war dann das my search bar schon nicht mehr bei der Software dabei. :-) Hoffe, dass jetzt endlich alles o.k. ist. Ach nee, da war noch was. Spyhunter zeigt immernoch was an: Kontiki package, das soll da sein: HKEY_CLASSES_ROOT\Kontaki-package. Das wäre dann ja auch in der Registry, oder? Da habe ich nachgeschaut, es aber nicht gefunden. Naja, ich poste nochmal den Logfile. LG, und danke für die Hilfe!!! Betty Logfile of HijackThis v1.97.7 Scan saved at 16:23:51, on 18.06.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\LEXPPS.EXE C:\Programme\Norton Internet Security\NISUM.EXE C:\WINDOWS\System32\LXSUPMON.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\Winamp\winampa.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\AVPersonal\AVSched32.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Yahoo!\Messenger\ypager.exe C:\Programme\a2\a2guard.exe C:\Programme\BHODemon\BHODemon.exe C:\Programme\ceytec software\Reminder 99\remind99.exe C:\WINDOWS\twain_32\CIS600X\WATCH.exe C:\PROGRA~1\INCRED~1\bin\IMApp.exe C:\WINDOWS\System32\alg.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Norton Internet Security\ccPxySvc.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\Bettina\LOKALE~1\Temp\Rar$EX00.793\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.virus-aktuell.de/index.htm O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [CXMon] "C:\Programme\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min O4 - HKLM\..\Run: [SpyHunter] C:\Programme\Enigma Software Group\SpyHunter\SpyHunter.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c O4 - HKCU\..\Run: [a²] "C:\Programme\a2\a2guard.exe" O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Startup: BHODemon.lnk = C:\Programme\BHODemon\BHODemon.exe O4 - Startup: Reminder 99.lnk = C:\Programme\ceytec software\Reminder 99\remind99.exe O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\CIS600X\WATCH.exe O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: ICQ Lite (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst0401.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38156.2209375 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab O16 - DPF: {F54C1137-5E34-4B95-95A5-BA56D4D8D743} (Secure Delivery) - http://www.gamespot.com/KDX22/download/kdx.cab[/b] |
|
|
||
18.06.2004, 16:47
Ehrenmitglied
Beiträge: 29434 |
#11
nimm mal folgendes aus dem Autostart
Start\Ausfuehren\msconfig.....der letzte Reiter ...Systemstart O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe du solltest die Autostarteintraege \schlanker\ halten, auch wenn die Tools sich bei Gebrauch wieder im Autostart eintragen. am Besten mit dem RegCleaner http://www.comzu-heide.de/Downloadbereich/system-utility/system-utility.htm dort sind unter \Autostart\ alle 04/Eintraege verzeichnet. So kann man das gut kontrollieren. Ausserdem kannst du das Tool in Deutsch einstellen und unter \Tools\Registry saeubern\ alles durchfuehren\ den Comp. von Dateileiche befreien. Du kannst ruhig alles gefundene loeschen, denn es verbleibt eine Sicherung. Dann solltest du dich auch fuer nur EINEN Virenscanner entscheiden....wie es ausschaut hast du drei.... Alles andere deinstallieren. Das Log ist sauber...dieses Kontiki ist kein Problem. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 18.06.2004 um 16:51 Uhr von Sabina editiert.
|
|
|
||
18.06.2004, 18:49
Member
Themenstarter Beiträge: 28 |
#12
Hallo!
Nochmal vielen Dank für die Hilfe! Hm, ich habe 3 Virenscanner? Ich habe Antivir und von Norton das Security Teil, aber ohne Antivirus. Norton Antivirus hat gesponne, also hab ichs runtegeschmissen und durch Antivir ersetzt. Den Rest von Norton wollte ich aber behalten. Dachte das wäre o.k. Habe immer nur gehört, dass die Virenprogramme sich nicht vertragen. Der Rest müßte ja gehen, oder? Un was für ein drittes Virenprogramm ich haben soll weiß ich nicht. Ist es vielleicht eins von den Programmen, die ich runtergeladen habe um den Hijacker und so loszuwerden? Dachte das wären alles keine Virenprogramme sondern was anderes. Könntest Du mir noch einen Tip geben, was ich da runterschmeißen sollte, damit ich einigermaßen geschützt bin? Danke, LG, Betty |
|
|
||
19.06.2004, 00:59
Ehrenmitglied
Beiträge: 29434 |
#13
@Betty
0. Klar, es sind zwei Virenscanner und nicht drei....manchmal faellt das Zaehlen schwer..... fuehre aber dennoch den oben geposteten Thread aus. 1.Fixe noch die Reste vom Symantec O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" 2.Lade eine Firewall, falls du noch keine hast Sygate free.....scrollen http://www.sygate.de/ 3. http://www.daph.com/surfen.htm Wer verhindern möchte, dass Laufwerke automatisch freigegeben werden, kann dies mit folgenden Registry-Einträgen verhindern (Achtung: nur für erfahrene Benutzer!): \HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters AutoShareServer REG_DWORD 0 (für Server) AutoShareWks REG_DWORD 0 (für Workstation) 4. http://www.chip.de/artikel/c_artikel_10859235.html Diverse Wurm-Angriffen auf Windows-Systeme plagen Computer-Nutzer. Mit der richtigen Strategie können Sie Ihren Rechner ohne großen Aufwand mit Bordmitteln absichern. mit einem Firewall kann man den ersten Tip ueberlesen..... 5. fixe , damit es aus dem Autostart kommt bei Nichtbenutzung, aber nicht vergessen...einige Tools schreiben sich bei Gebrauch wieder ein unter 04. O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Startup: BHODemon.lnk = C:\Programme\BHODemon\BHODemon.exe O4 - HKLM\..\Run: [SpyHunter] C:\Programme\Enigma Software Group\SpyHunter\SpyHunter.exe dieses Tool kenne ich nicht.......... Dual Xeon 64-bit SBC with VGA and dual Gigabit LAN Peak 7220VL2G ?????Weiss also nicht, ob es irgend eine Funktion im Autostart hat. O4 - HKLM\..\Run: [Peak vga] C:\PROGRA~1\Eggs 01 tons\Idle Deaf.exe 6. Installiere xp/antispy http://www.xp-antispy.org/index.php?option=com_remository&Itemid=26 Gruss Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 19.06.2004 um 06:29 Uhr von Sabina editiert.
|
|
|
||
19.06.2004, 14:52
Member
Themenstarter Beiträge: 28 |
#14
Hallo Sabina!
Danke nochmal! Ja, habe eine Firewall. Deshalb habe ich den Rest von Norton Internet security ja noch. ;-) Die ist echt gut, hat schon vieles abgeblockt. :-) Antispy habe ich auch. Die meisten 04 Einträge hatte ich gestern schon rausgeschmissen, ich glaube durch den RegCleaner oder so. Egal, die waren schon weg und den Rest hab ich jetzt auch noch entfernt. :-) Mein Pc scheint mir jetzt wieder viel "gesünder" zu sein. :-)) Ich poste aber nochmal den aktuellen Logfile: Logfile of HijackThis v1.97.7 Scan saved at 14:57:12, on 19.06.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\LEXPPS.EXE C:\Programme\Norton Internet Security\NISUM.EXE C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\LXSUPMON.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\AVPersonal\AVSched32.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Yahoo!\Messenger\ypager.exe C:\Programme\a2\a2guard.exe C:\Programme\ceytec software\Reminder 99\remind99.exe C:\WINDOWS\twain_32\CIS600X\WATCH.exe C:\PROGRA~1\INCRED~1\bin\IMApp.exe C:\WINDOWS\System32\alg.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Norton Internet Security\ccPxySvc.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\BitTorrent\btdownloadgui.exe C:\PROGRA~1\INCRED~1\bin\IncMail.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\Bettina\LOKALE~1\Temp\Rar$EX00.525\HijackThis.exe Hm, wenn ich das hier poste sehe ich immernoch was von Symantec. Aber im Hijacker scan sehe ich das nicht zum anklicken und löschen. Seltsam. Viele Grüße, Betty |
|
|
||
19.06.2004, 15:59
Ehrenmitglied
Beiträge: 29434 |
||
|
||
Habe ein Problem un schon mit vielen Virenscannern und anderem versucht meinen PC wieder sauber zu bekommen, aber irgendwie scheint das ziemlich hartnäckiges drauf zu sitzen. :-(
Bin schon ziemlich verzweifelt. Aber jetzt habe ich dieses Forum entdeckt und hoffe hier kann mir jemand helfen.
Habe alles befolgt und jetzt diesen Logfile. Kann mir jemand helfen???
Viele Grüße,
Betty
Logfile of HijackThis v1.97.7
Scan saved at 20:18:31, on 16.06.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\WINDOWS\System32\LXSUPMON.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Winamp\winampa.exe
C:\PROGRA~1\Eggs 01 tons\Idle Deaf.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\kdx\KHost.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Yahoo!\Messenger\ypager.exe
C:\Programme\a2\a2guard.exe
C:\Programme\ceytec software\Reminder 99\remind99.exe
C:\WINDOWS\twain_32\CIS600X\WATCH.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Norton Internet Security\ccPxySvc.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\DOKUME~1\Bettina\LOKALE~1\Temp\Rar$EX01.767\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://omegasearch.com/searchbar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://omegasearch.com/searchbar.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://omegasearch.com/passthrough/index.html?http://about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://omegasearch.com/searchbar.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://omegasearch.com/searchbar.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://omegasearch.com/searchbar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: (no name) - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL (disabled by BHODemon)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [CXMon] "C:\Programme\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [DSLSTATEXE] C:\Program Files\GlobespanVirata\Adsl\dslstat.exe icon
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Peak vga] C:\PROGRA~1\Eggs 01 tons\Idle Deaf.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [kdx] C:\WINDOWS\kdx\KHost.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\Run: [a²] "C:\Programme\a2\a2guard.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Reminder 99.lnk = C:\Programme\ceytec software\Reminder 99\remind99.exe
O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\CIS600X\WATCH.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst0401.cab
O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/suite/autocomplete.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
O16 - DPF: {F54C1137-5E34-4B95-95A5-BA56D4D8D743} (Secure Delivery) - http://www.gamespot.com/KDX22/download/kdx.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B0853DE6-5EC5-4B3A-A4B1-4419FB49DF0B}: NameServer = 145.253.2.11 145.253.2.203