DSO-Exploit lässt sich nicht entfernen |
||
---|---|---|
#0
| ||
21.06.2004, 10:10
...neu hier
Beiträge: 5 |
||
|
||
21.06.2004, 13:28
Ehrenmitglied
Beiträge: 29434 |
#2
Bei diesem Tool bin ich mir nicht sicher, ob du es fixen sollst.
Wenn du es schon immer hattest...ohne Probleme...fixe es nicht O2 - BHO: (no name) - {22A637A6-5EC1-9D0D-83C4-1610C376ED03} - C:\PROGRA~1\longlies\stop beep.dll O3 - Toolbar: SecondSoft - {166448BE-0F60-DE4D-BF11-27EFE9BAFE3A} - C:\PROGRA~1\longlies\stop beep.dll Fixe mit dem HijackThis R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search200.com/passthrough/index.html?http://www.yahoo.de/ O4 - HKLM\..\Run: [kwffbgavbpb] C:\WINDOWS\System32\wjcyim.exe O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://xxxtrayicon.com/xtrayinst.exe neustarten #Gehe in den abgesicherten Modus...F8 beim Hochfahren druecken Start\Ausfuehren\regedit HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run wjcyim.exe loeschen schliesse die Registry l#oesche C:\WINDOWS\System32\wjcyim.exe normal neustarten #ueberpruefe C:\WINDOWS\DitExp.exe mit Kaspersky http://www.kaspersky.com/remoteviruschk.html #Lade die mwav.exe...30 Tage free und scanne \alle Datein\ http://www.mwti.net/antivirus/free_utilities.asp #Sphjfix.exe http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html #Lade SpyHunter http://www.spy-bot.net/manual.asp #Loesche unter InternetOptionen die TemporaryInternetFiles und stelle eine neue Startseite ein. Dann poste das Log noch einmal, zusammen mit dem scannergebnis der mwav.exe. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 21.06.2004 um 13:41 Uhr von Sabina editiert.
|
|
|
||
23.06.2004, 22:02
...neu hier
Beiträge: 1 |
#3
Hallo
Habe das selbe Problem. Bringe den DSO-Exploit einfach nicht weg. Ich muss nicht mal am Netz sein. Habe entsprechende Files selected und gefixt. Kurze Zeit später waren sie wieder da. Muss ich sonst nach was entfernen? Mein Log: Logfile of HijackThis v1.97.7 Scan saved at 21:53:21, on 23.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Dassault Systemes\B11\intel_a\code\bin\CATSysDemon.exe C:\WINDOWS\System32\gearsec.exe C:\PROGRA~1\NORTON~1\NORTON~4\GHOSTS~2.EXE C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\MMTrayLSI.exe C:\WINDOWS\System32\MMTray2k.exe C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe C:\Programme\QuickTime\qttask.exe C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\L~1\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\L~1\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\L~1\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\L~1\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\L~1\LOKALE~1\Temp\sp.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\L~1\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {75936F29-0ABF-42CD-BB0F-45B9DD596F1A} - C:\WINDOWS\System32\ahllf.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll O4 - HKLM\..\Run: [MMTrayLSI] C:\WINDOWS\System32\MMTrayLSI.exe O4 - HKLM\..\Run: [MMTray2K] C:\WINDOWS\System32\MMTray2k.exe O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe O4 - HKLM\..\Run: [AcctMgr] C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe /startup O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [mmtask] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Messenger (HKLM) O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://active.macromedia.com/flash2/cabs/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{9F59D63E-ACC0-4D47-B6A2-952B2498EB40}: NameServer = 192.168.1.1 Thanx! Gruss Siide |
|
|
||
24.06.2004, 09:19
Ehrenmitglied
Beiträge: 29434 |
#4
@Side
Fixe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\L~1\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\L~1\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\L~1\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\L~1\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\L~1\LOKALE~1\Temp\sp.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\L~1\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {75936F29-0ABF-42CD-BB0F-45B9DD596F1A} - C:\WINDOWS\System32\ahllf.dll neustarten gehe in den abgesicherten Modus...F8 beim Hochfahren druecken #loesche C:\WINDOWS\System32\ahllf.dll #gehe in die Registry und loesche, falles noch da ist Start\Ausfuehren\regedit HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\L~1\LOKALE~1\Temp\sp.html HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\L~1\LOKALE~1\Temp\sp.html HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\L~1\LOKALE~1\Temp\sp.html HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\L~1\LOKALE~1\Temp\sp.html HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\L~1\LOKALE~1\Temp\sp.html HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\L~1\LOKALE~1\Temp\sp.html normal neustarten #loesche unter InternetOptionen die TemporaryInternetFiles und stelle eine neue Startseite ein #arbeite das durch http://www.rokop-security.de/main/article.php?sid=703 #surfe mit dem Firefox...ist hijackerfrei http://www.firebird-browser.de/ MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
01.07.2004, 19:14
...neu hier
Beiträge: 5 |
#5
Hallo Sabina,
beschäftige mich seit heute Mittag mit DSO exploit und werde das Ding nicht los. Nach viel Recherchen fand ich dieses Forum und konnte mit einiger Erleichterung lesen, dass DSO exploit wohl nicht schlimm ist, wenn ansonsten der Rechner nicht verseucht ist. Hierzu habe ich aber gleich eine Frage: Du schreibst, man solle in der reg edit den Wert 3 eingeben. Bei mir steht unter Wert zu 1004 nichts, außer ein paar Anführungszeichen. Soll ich da die 3 einsetzen? Ich habe Spybot laufen lassen, dann symantec. Das schrieb mir, die Datei C:\windows\local setting\temporary internetfiles\content.IE5\KT2B85U3simplebind[1].htm.mtw sei infected by XMLid.Exploit. Die Datei konnte ich aber gar nicht finden. Ich habe viele Eurer Tips hier beherzigt und habe ad aware laufen lassen und den von Dir empfohlenen Viren Scanner und irgendwie bin ich mir nicht sicher, ob ich nun infiziert bin oder nicht. Ich wäre dankbar, wenn Du auch mal über mein Logfile von Hijack schaust und mir sagst, ob ich was tun muss. Vielen Dank im Voraus, Grüße von henneline Logfile of HijackThis v1.98.0 Scan saved at 17:44:11, on 01.07.04 Platform: Windows 98 Gold (Win9x 4.10.1998) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MSTASK.EXE C:\PROGRAMME\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\VSHWIN32.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAMME\HP\SMART\SMARTALERTS.EXE C:\WINDOWS\SYSTEM\QTTASK.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\PSTORES.EXE C:\PROGRAMME\HIJACK\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://server224.smartbotpro.net/7search/?new-hkcu R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://server224.smartbotpro.net/7search/?new-hklm R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default-homepage-network.com/start.cgi?new-hklm R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O2 - BHO: IE Agent - {00000000-0000-0000-0000-000000000221} - C:\PROGRA~1\LYCOS\IEAGENT\CSIE.DLL (file missing) O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll (file missing) O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe O4 - HKLM\..\Run: [SystemTray] systray.exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [SoundFusion] RunDll32 cwcprops.cpl,CrystalControlWnd O4 - HKLM\..\Run: [SMARTAlerts] C:\Programme\HP\SMART\SMARTAlerts.exe O4 - HKLM\..\Run: [VsecomrEXE] C:\Programme\Network Associates\McAfee VirusScan\VSECOMR.EXE O4 - HKLM\..\Run: [Vshwin32EXE] C:\PROGRAMME\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\VSHWIN32.EXE O4 - HKLM\..\Run: [TCASUTIEXE] TCAUDIAG.EXE -off O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime O4 - HKLM\..\Run: [mwavscan] "C:\WINDOWS\TEMP\MWAVSCAN.COM" /s O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [Vshwin32EXE] C:\PROGRAMME\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\VSHWIN32.EXE O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040105/qtinstall.info.apple.com/mickey/de/win/QuickTimeInstaller.exe O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab |
|
|
||
02.07.2004, 01:47
Ehrenmitglied
Beiträge: 29434 |
#6
henneline
Fixe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://server224.smartbotpro.net/7search/?new-hkcu R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://server224.smartbotpro.net/7search/?new-hklm R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default-homepage-network.com/start.cgi?new-hklm O2 - BHO: IE Agent - {00000000-0000-0000-0000-000000000221} - C:\PROGRA~1\LYCOS\IEAGENT\CSIE.DLL (file missing) O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll (file missing) neustarten 2. Lade spysweeper http://www.spysweeper.com/ 3. Lade Cwhredder http://www.spywareinfo.com/~merijn/downloads.html 4. Loesche mit ClearProg die TemporaryInternetFiles und die Cookies http://www.clearprog.de/ Damit wird dann auch C:\windows\local setting\temporary internetfiles\content.IE5\KT2B85U3simplebind[1].htm.mtw geloescht. 5. Surfe nur mit dem Firefox...ist sicherer #du kannst die 0 in eine 3 aendern.....reg edit den Wert 3 eingeben. #das Exploid von Spybot ist ein Bug. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 02.07.2004 um 01:52 Uhr von Sabina editiert.
|
|
|
||
02.07.2004, 12:12
...neu hier
Beiträge: 5 |
#7
Vielen herzlichen Dank, Sabina!
Habe schon mal alles gemacht, außer Cwredder geladen. Die Seite funktionierte nicht. Der Rest hat aber geklappt. Leider bin ich auf diesem Gebiet ein ziemliches Greenhorn und habe deswegen noch Fragen. Vielleicht hast Du noch einmal kurz Zeit, mir das zu erklären: Die hier empfohlene Scan-Software (mwav) schreibt bei Found Virus(es) folgende Meldung: Er zählt drei Dateien auf und schreibt dazu " tagged as not-a-virus" - was bedeutet das? Das mit dem Wert in der reg edit habe ich leider immer noch nicht ganz verstanden... bei mir steht unter Name 1004 und unter Wert nur "". Soll ich die drei zwischen die "" setzen? Ich poste noch einmal mein log file von Hijack this und bitte Dich, drüber zu sehen: Logfile of HijackThis v1.98.0 Scan saved at 12:09:34, on 02.07.04 Platform: Windows 98 Gold (Win9x 4.10.1998) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MSTASK.EXE C:\PROGRAMME\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\VSHWIN32.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAMME\HP\SMART\SMARTALERTS.EXE C:\WINDOWS\SYSTEM\QTTASK.EXE C:\PROGRAMME\WEBROOT\SPY SWEEPER\SPYSWEEPER.EXE C:\WINDOWS\SYSTEM\PSTORES.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\PROGRAMME\HIJACK\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://henneline.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://henneline.de R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe O4 - HKLM\..\Run: [SystemTray] systray.exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [SoundFusion] RunDll32 cwcprops.cpl,CrystalControlWnd O4 - HKLM\..\Run: [SMARTAlerts] C:\Programme\HP\SMART\SMARTAlerts.exe O4 - HKLM\..\Run: [VsecomrEXE] C:\Programme\Network Associates\McAfee VirusScan\VSECOMR.EXE O4 - HKLM\..\Run: [Vshwin32EXE] C:\PROGRAMME\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\VSHWIN32.EXE O4 - HKLM\..\Run: [TCASUTIEXE] TCAUDIAG.EXE -off O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime O4 - HKLM\..\Run: [mwavscan] "C:\WINDOWS\TEMP\MWAVSCAN.COM" /s O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [Vshwin32EXE] C:\PROGRAMME\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\VSHWIN32.EXE O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SPYSWEEPER.EXE" /0 O4 - HKCU\..\RunServices: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SPYSWEEPER.EXE" /0 O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040105/qtinstall.info.apple.com/mickey/de/win/QuickTimeInstaller.exe O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab Habe vielen, lieben Dank für Deine Mühe, viele Grüße henneline |
|
|
||
02.07.2004, 12:39
...neu hier
Beiträge: 2 |
#8
Hi Sabine,
ich habe das selbe Problem mit DSO Exploit. Ich habe mir einige Programme runtergeladen, wie Hijackthis, Sypbot-Search, Sypwareblaster, a Squared 2, Ad-aware 6 und Antivir. Ich hoffe, dass du mir helfen kannst. Danke. Hier meine Daten: Logfile of HijackThis v1.97.7 Scan saved at 12:18:44, on 02.07.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\Dokumente und Einstellungen\Ahmet Özcelik\Eigene Dateien\Eigene Downloads\Privat\AVGUARD.EXE C:\Dokumente und Einstellungen\Ahmet Özcelik\Eigene Dateien\Eigene Downloads\Privat\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe C:\WINDOWS\System32\LXSUPMON.EXE C:\Programme\Real\RealPlayer\RealPlay.exe C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Dokumente und Einstellungen\Ahmet Özcelik\Eigene Dateien\Eigene Downloads\Privat\AVGNT.EXE C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Ahmet Özcelik\Lokale Einstellungen\Temp\Temporäres Verzeichnis 8 für hijackthis1977.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {BABA6A69-913E-21ED-2937-B33C5CFEDC5C} - C:\WINDOWS\system32\sysxg.dll (file missing) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg O4 - HKLM\..\Run: [PCMService] C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [netgn.exe] C:\WINDOWS\system32\netgn.exe O4 - HKLM\..\Run: [msdf32.exe] C:\WINDOWS\msdf32.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Dokumente und Einstellungen\Ahmet Özcelik\Eigene Dateien\Eigene Downloads\Privat\AVGNT.EXE /min O4 - Global Startup: Adobe Gamma Loader.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: Real.com (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Messenger (HKLM) O9 - Extra button: MedionShop (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.medion.com/ O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab |
|
|
||
02.07.2004, 13:12
Ehrenmitglied
Beiträge: 29434 |
#9
Mister-Mh
die Antwort steht schon im anderen Thread. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
06.07.2004, 15:47
...neu hier
Beiträge: 1 |
#10
Moin, Moin!
Spybot - S&D meldet mir immer wieder das DSO Exploit auf meinem System gefunden wurde. Leider bekommt er das ja nicht weg. Jetzt habe ich große Hoffnung drauf, dass mir hier geholfen werden kann. Anbei die Daten von Hijack. Vielen, vielen Dank im Voraus! --- Logfile of HijackThis v1.97.7 Scan saved at 15:44:46, on 06.07.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Spamihilator\spamihilator.exe C:\Programme\GetRight\getright.exe C:\Programme\GetRight\getright.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\Programme\T-DSL SpeedManager\tsmsvc.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\Slider\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.kostenlos.de/templates/kat2_neuheiten.html?SID=5206caf425c25a168943213bc11eb9cf&k=0&katID=548 R3 - Default URLSearchHook is missing O1 - Hosts: 12.129.205.209 search.netscape.com12.129.205.209 sitefinder.verisign.com O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: Idea2 SidebarBrowserMonitor Class - {45AD732C-2CE2-4666-B366-B2214AD57A49} - C:\Programme\Desktop Sidebar\sbhelp.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe" O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe" O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0 O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Programme\GetRight\getright.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: Subscribe in Desktop Sidebar (HKLM) O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar (HKLM) O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/30185180116729683005/netzip/RdxIE601_de.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38167.2599189815 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{B0947D3F-E910-4DA8-9099-B8C56780567E}: NameServer = 217.237.150.225 194.25.2.129 |
|
|
||
06.07.2004, 16:24
Ehrenmitglied
Beiträge: 29434 |
#11
Siide
FIXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\L~1\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\L~1\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\L~1\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\L~1\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\L~1\LOKALE~1\Temp\sp.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\L~1\LOKALE~1\Temp\sp.html O2 - BHO: (no name) - {75936F29-0ABF-42CD-BB0F-45B9DD596F1A} - C:\WINDOWS\System32\ahllf.dll NEUSTARTEN #deaktiviere kurz deinen Virenscanner und installiere Antivirus http://www.free-av.de/ Konfiguriere den Antivirus: Einstellungen : (Suchen: ALLE DATEIN, Reperatur: OHNE RÜCKFRAGEN, Löschen bei fehlgeschlagener Reperatur: LÖSCHEN OHNE RÜCKFRAGEN, Unerwünschte Programme: ALLE ausser spiele, Heuristik: Win32 Heuristik Priorität hoch) #Gehe in den abgesicherten Modus...F8 druecken, wenn der Comp. hochfaehrt #scanne mit dem Antivirus #loesche C:\WINDOWS\System32\ahllf.dll #normal neustarten #Loesche unter \InternetOptionen \die TemporatryInternetFiles und stelle eine neue Startseite ein und poste das Log noch mal. #surfe nur mit dem Firefox..ist ein bisschen sicherer als der IE http://www.firebird-browser.de/ MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
06.07.2004, 16:29
Ehrenmitglied
Beiträge: 29434 |
#12
Mister-Mh
Fixe O4 - HKLM\..\Run: [netgn.exe] C:\WINDOWS\system32\netgn.exe O4 - HKLM\..\Run: [msdf32.exe] C:\WINDOWS\msdf32.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Dokumente und Einstellungen\Ahmet Özcelik\Eigene Dateien\Eigene Downloads\Privat\AVGNT.EXE /min neustarten Loesche den Antivirus und installiere neu http://www.free-av.de/ Konfiguriere den Antivirus: Einstellungen : (Suchen: ALLE DATEIN, Reperatur: OHNE RÜCKFRAGEN, Löschen bei fehlgeschlagener Reperatur: LÖSCHEN OHNE RÜCKFRAGEN, Unerwünschte Programme: ALLE ausser spiele, Heuristik: Win32 Heuristik Priorität hoch) #Gehe in den abgesicherten Modus...F8 druecken, wenn der Comp. hochfaehrt #scanne mit dem Antivirus #normal neustarten #Loesche unter \InternetOptionen \die TemporatryInternetFiles und poste das Log noch mal. #surfe nur mit dem Firefox..ist ein bisschen sicherer als der IE http://www.firebird-browser.de/ MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
06.07.2004, 16:39
Ehrenmitglied
Beiträge: 29434 |
#13
Slider85
Fixe O1 - Hosts: 12.129.205.209 search.netscape.com12.129.205.209 sitefinder.verisign.com neustarten Geh mal zu C:\WINDOWS\SYSTEM32\DRIVERS\ETC\Hosts mit dem Editor oeffen ..notepad Dort sollte nur 127.0.0.1 Lokalhosts drinstehen . Alles andere loeschen Dann scanne mit AdAware \free und Spysweeper. Die Exploids von Spybot sind ein Bug...also kein Problem. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 06.07.2004 um 16:41 Uhr von Sabina editiert.
|
|
|
||
06.07.2004, 19:49
...neu hier
Beiträge: 2 |
#14
Hie Sabina,
erstens vielen dank. Ich habe eine zweite PC, ich glaube der ist auch infiziert. Welche Viren,- Spyware-, Wurm-, etc. scanner kannst du mir empfehlen. Da ich kein englisch habe. Und wie ich sie einstellen soll? Ich bekomme bei sypbot die Meldung "downloader* und "DSO-Exploit. uns was heisst eine bug? ist es gefährlich? Danke dir noch mals. Hier meine Daten: Scan saved at 18:31:58, on 06.07.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\htpatch.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\Dit.exe C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\DitExp.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\svchost.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\DOKUME~1\ISMAIL~1\LOKALE~1\Temp\mwavscan.com C:\DOKUME~1\ISMAIL~1\LOKALE~1\Temp\kavss.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\AVPersonal\INETUPD.EXE C:\Dokumente und Einstellungen\Ismail Özcelik\Lokale Einstellungen\Temp\Temporäres Verzeichnis 4 für hijackthis1977.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg O4 - HKLM\..\Run: [PCMService] C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Messenger (HKLM) |
|
|
||
06.07.2004, 21:01
Ehrenmitglied
Beiträge: 29434 |
#15
Mister-Mh
Auesserlich ist alles sauber. Welcher downloader ????Erklaere das genauer. Der Antivirus ist o.k. , du musst ihn immer updaten...aktualisieren. DSO-Exploit. von Spybot ist ein Bug, bedeutet ein Fehler vom Tool #AdAware free http://www.lavasoft.de/ #Lade Spysweeper http://www.spysweeper.com/download.html #Firewall Sygate , hier in englisch, soll es aber auch in Deutsch geben,...suche im Internet !!! die Freeversion laden...ist kostenlos...falls du nicht schon einen hast, oder einen Router http://smb.sygate.com/products/spf_standard.htm #Spywareblaster http://www.net-integration.net/tools/spywareblaster.html #Durchlesen http://home.pages.at/heaven/sec043.htm SpywareGuard http://www.javacoolsoftware.com/sgdownload.html Ich denke, dass reicht erst mal...nicht wahr??? den Firefox zum Surfen hast du ja bestimmt schon http://www.firebird-browser.de/ MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 06.07.2004 um 21:05 Uhr von Sabina editiert.
|
|
|
||
ich versuche schon seit Tagen den oder das DSO-Exploit los zu werden. Habe Spybot, stinger.exe, Ad Aware, shredder, windows washer usw. schon laufen lassen, aber leider ohne Erfolg. Die Startseite: search200.com/passthrough/popupbaopener.html-Microsoft Internet Explo schaltet sich immer vor.
Hier meine Kopie vom Hijackthis:
Logfile of HijackThis v1.97.7
Scan saved at 09:58:10, on 21.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\Dit.exe
C:\Program Files\Xtray\xtray_link.exe
C:\WINDOWS\System32\wjcyim.exe
C:\PROGRA~1\LOCKSF~1\Rdr store.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Program Files\Webroot\Washer\wwDisp.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Dokumente und Einstellungen\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1977.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search200.com/passthrough/index.html?http://www.yahoo.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {22A637A6-5EC1-9D0D-83C4-1610C376ED03} - C:\PROGRA~1\longlies\stop beep.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: SecondSoft - {166448BE-0F60-DE4D-BF11-27EFE9BAFE3A} - C:\PROGRA~1\longlies\stop beep.dll
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Xtray] "C:\Program Files\Xtray\xtray_link.exe"
O4 - HKLM\..\Run: [kwffbgavbpb] C:\WINDOWS\System32\wjcyim.exe
O4 - HKLM\..\Run: [DebugCool] C:\PROGRA~1\LOCKSF~1\Rdr store.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Window Washer] C:\Program Files\Webroot\Washer\wwDisp.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://xxxtrayicon.com/xtrayinst.exe
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38133.3042824074
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Wär super, wenn mir jemand helfen kann
MfG
Ulla