Home » Spyware & Browser Hijacker Support Forum » Problem (Startseite ändert sich von selbst, Pop-Ups) » Themenansicht

Problem (Startseite ändert sich von selbst, Pop-Ups)
#0
28.06.2004, 13:48
Roque
...neu hier

Beiträge: 1
#1 Hallo!

Wer kann mir helfen?
Meine Startseite ändert sich immer von alleine, obwohl ich sie schon x-mal wieder zurückgeändert habe. Es erscheint bei mir dann immer ein Fenster mit "Home Search". Dazu erscheinen ziemlich oft absolut nervige Pop-Ups, die mir sagen, mein PC sei mit Spy Ware infiziert und blabla. Außerdem werden Suchwörter bei Google o.ä. immer zu einer anderen Suchmaschine geleitet. Das nervt echt!
Ich habe auch schon alles gemacht, was hier

http://board.protecus.de/t9373.htm

steht, aber geholfen hat das leider noch nicht. :-/

Ich habe nun Folgendes mit HijackThis erstellt:

Logfile of HijackThis v1.97.7
Scan saved at 13:35:32, on 28.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\System32\RunDll32.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\WINDOWS\mHotkey.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\winoq32.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\DitExp.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINDOWS\System32\sportsm.exe
C:\WINDOWS\system32\apiot32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Tim\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\vtnsi.dll/sp.html#12802
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://vtnsi.dll/index.html#12802
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://vtnsi.dll/index.html#12802
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\vtnsi.dll/sp.html#12802
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://vtnsi.dll/index.html#12802
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\vtnsi.dll/sp.html#12802
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.vfl4u.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {4545A25A-AD18-91DE-7239-FA8038A1775C} - C:\WINDOWS\system32\winod.dll
O2 - BHO: (no name) - {DB1AE644-115D-6481-2846-0C18D1C89610} - C:\WINDOWS\apite32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Assistent - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\WINDOWS\Downloaded Program Files\ycomp5_3_18_0.dll
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [PSDrvCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [winoq32.exe] C:\WINDOWS\system32\winoq32.exe
O4 - HKLM\..\Run: [sportsm] C:\WINDOWS\System32\sportsm.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKLM\..\RunOnce: [Ad-aware] "C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-aware.exe" "+b1"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Launch K9.lnk = C:\Programme\KeirNet\K9\K9.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ 4.0 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://de8.hpwis.com
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/059fccb6c0d432f25420/netzip/RdxIE601_de.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38029.2014236111
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (Yahoo! Assistent) - http://us.dl1.yimg.com/download.companion.yahoo.com/dl/toolbar/yiebio5_3_18_0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D30633BC-3037-4E48-A879-ECBA3A72D990}: NameServer = 192.168.1.1

Wer hilft?

Danke

Roque
Seitenanfang Seitenende
30.06.2004, 14:40
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 @Roque

Deaktiviere die Wiederherstellung ..kannst du nach der Saeuberung wieder aktivieren
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

fixe mit dem HijackThis

1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\vtnsi.dll/sp.html#12802
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://vtnsi.dll/index.html#12802
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://vtnsi.dll/index.html#12802
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\vtnsi.dll/sp.html#12802
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://vtnsi.dll/index.html#12802
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\vtnsi.dll/sp.html#12802

O2 - BHO: (no name) - {4545A25A-AD18-91DE-7239-FA8038A1775C} - C:\WINDOWS\system32\winod.dll
O2 - BHO: (no name) - {DB1AE644-115D-6481-2846-0C18D1C89610} - C:\WINDOWS\apite32.dll

O4 - HKLM\..\Run: [winoq32.exe] C:\WINDOWS\system32\winoq32.exe
O4 - HKLM\..\Run: [sportsm] C:\WINDOWS\System32\sportsm.exe


neustarten

Gehe in den abgesicherten Modus...F8 beim Booten druecken

#C:\WINDOWS\system32\winod.dll benenne die dll um in: winod.l und loesche
#C:\WINDOWS\apite32.dll benenne die dll um in:apite32.dl und loesche

Gehe in die Registry
Start<Ausfuehren<regedit reinschreiben
es oeffnet sich die Registry

Gehe zum Schluessel
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

und loesche auf der rechten Seite der Registry
..winoq32.exe]
..[sportsm]

schliesse die Registry


#Loesche
C:\WINDOWS\system32\winoq32.exe
C:\WINDOWS\System32\sportsm.exe

normal neustarten


#Lade Cwhredder
http://www.spywareinfo.com/~merijn/downloads.html
#Lade Sp
http://www.rokop-security.de/main/article.php?sid=746
# Lade den Stinger
http://vil.nai.com/vil/stinger/
# Scanne mit dem escann...mwav.exe
http://www.mwti.net/antivirus/free_utilities.asp
#Lade AdAware free
http://www.lavasoft.de/support/download/
#lade Spybot
http://www.safer-networking.org/index.php?page=download〈=de
#Lade Spysweeper free
http://www.spysweeper.com/

Loesche unter InternetOptionen die TemporaryInternetFiles und poste das Log noch mal.

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 30.06.2004 um 14:46 Uhr von Sabina editiert.
Seitenanfang Seitenende
13.07.2004, 15:50
Franz-Georg
Member

Beiträge: 24
#3 Hallo,
wer kann mir helfen? Habe das gleiche Problem.
Bei mir steht immer "res//lspdy.dll/index.html#96676".
Wenn ich in Internetoptionen die Seite ändere und wieder ins Internet gehe,
lande ich zwar auf meiner Wunschseite, aber in den Internetoptionen ist die
Seite dann schon wieder geändert. Zusätzlich habe ich immer Popups auf
dem Bildschirm.
Wäre echt nett wenn jemand sich meinem Hilferuf annimmt.


Gruß
Franz-Georg
Seitenanfang Seitenende
13.07.2004, 20:21
paff
Member

Beiträge: 1095
#4 @Franz-Georg

Schau mal hier
http://www.wilderssecurity.com/showthread.php?t=28658&page=2&pp=25

Wenn das nicht hilft
Safemode und die mwav.exe
http://www.rokop-security.de/board/index.php?showtopic=3867

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
16.07.2004, 10:28
Franz-Georg
Member

Beiträge: 24
#5 Hallo paff,

mit mwav habe ich es wegbekommen. Habe dann im IE die Startseite geändert, und im Registry unter HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main die Search Page, da die noch immer diesen res... Eintrag hatte.
Ich hoffe das war richtig.

Auf jeden Fall vielen vielen herzlichen Dank. Ist direkt ein anderes Arbeiten wenn alles funktioniert.

herzliche Grüße

Franz-Georg
Seitenanfang Seitenende
16.07.2004, 10:45
paff
Member

Beiträge: 1095
#6 @Franz-Georg

Poste bitte mal dein HiJackThis Logfile
http://hjt.klaffke.de/

Wo ein Wurm ist, da sind meistens viele ;)

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Dieser Beitrag wurde am 16.07.2004 um 10:51 Uhr von paff editiert.
Seitenanfang Seitenende
16.07.2004, 10:57
Franz-Georg
Member

Beiträge: 24
#7 Hallo paff,

hier der gewünschte Longfile.

Logfile of HijackThis v1.97.7
Scan saved at 11:09:46, on 16.07.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WIN98\SYSTEM\KERNEL32.DLL
C:\WIN98\SYSTEM\MSGSRV32.EXE
C:\WIN98\SYSTEM\MPREXE.EXE
C:\WIN98\SYSTEM\mmtask.tsk
C:\WIN98\SYSTEM\SDKZB32.EXE
C:\WIN98\SYSTEM\IPSR32.EXE
C:\WIN98\SYSTEM\ATLCK.EXE
C:\WIN98\D3TM32.EXE
C:\WIN98\SYSTEM\CRAI32.EXE
C:\WIN98\CRNR.EXE
C:\WIN98\WINJE32.EXE
C:\WIN98\SYSTEM\IPSI.EXE
C:\WIN98\SYSTEM\JAVASA32.EXE
C:\WIN98\SYSTEM\MFCKI32.EXE
C:\WIN98\SYSTEM\ATLOC.EXE
C:\WIN98\JAVAQA.EXE
C:\WIN98\NTOY32.EXE
C:\WIN98\IPQE.EXE
C:\WIN98\SYSTEM\APPGD.EXE
C:\WIN98\SYSTEM\SDKPA32.EXE
C:\WIN98\WINTP.EXE
C:\WIN98\WINWC32.EXE
C:\WIN98\SYSTEM\SDKIF.EXE
C:\WIN98\EXPLORER.EXE
C:\WIN98\SYSTEM\PSTORES.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYSTEM\MAPI\1031\95\MAPISP32.EXE
D:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OUTLOOK.EXE
D:\PROGRAMME\MSWORKS45\MSWORKS.EXE
C:\WIN98\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WIN98\SYSTEM\DDHELP.EXE
C:\WIN98\DESKTOP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.t-online.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://fbzzb.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WIN98\system\fbzzb.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://fbzzb.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WIN98\system\fbzzb.dll/sp.html#96676
O2 - BHO: (no name) - {3DCDEF49-07C4-95D0-1BA7-F1C683BBFBF7} - C:\WIN98\SYSTU32.DLL (file missing)
O2 - BHO: (no name) - {B58C8960-A3A2-61CA-C42A-12E1179654ED} - C:\WIN98\SYSTEM\SYSRH.DLL (file missing)
O2 - BHO: (no name) - {D08BCA01-6B1C-24F9-21F4-5DD7EA3F4B4D} - C:\WIN98\SYSTEM\NETOI.DLL (file missing)
O2 - BHO: (no name) - {1458FCD0-6F83-BD4A-F683-F7939568E9FB} - C:\WIN98\SDKHB32.DLL (file missing)
O2 - BHO: (no name) - {D81C5B63-31A6-10C0-3987-24CDE2E46630} - C:\WIN98\SYSTEM\JAVAZK.DLL (file missing)
O2 - BHO: (no name) - {CBA98573-ABD8-7500-779C-195A22B5375B} - C:\WIN98\SYSCA32.DLL (file missing)
O2 - BHO: (no name) - {97AC4F9F-C461-DCAE-1D27-7119571F3B6F} - C:\WIN98\SDKUY.DLL (file missing)
O2 - BHO: (no name) - {7C14789B-2A80-8DFA-E587-60378BC0D824} - C:\WIN98\IPEC.DLL (file missing)
O2 - BHO: (no name) - {4C95729D-4844-AFE8-E713-D77B263CE2AC} - C:\WIN98\D3NT32.DLL (file missing)
O2 - BHO: (no name) - {3E6821EA-EF18-E175-535D-E061BF8A0F05} - C:\WIN98\CRNY.DLL (file missing)
O2 - BHO: (no name) - {627D8C50-318F-16CB-E7FE-8CD1D4D31826} - C:\WIN98\SYSTEM\IPQK32.DLL (file missing)
O2 - BHO: (no name) - {CE595AB8-5BCD-BF8F-A88C-49B1F6D32411} - C:\WIN98\MFCJY32.DLL (file missing)
O2 - BHO: (no name) - {69E11644-F09B-69E1-F1D4-F3EB7AB7AD2B} - C:\WIN98\SYSTEM\D3VC32.DLL (file missing)
O2 - BHO: (no name) - {E72FBD30-A958-F1D3-1858-91488E70DA74} - C:\WIN98\SYSTEM\APIVR.DLL (file missing)
O2 - BHO: (no name) - {8203457E-4F76-FA8E-945A-98B1FF3DCEBE} - C:\WIN98\SYSTEM\APPGE.DLL (file missing)
O2 - BHO: (no name) - {46D1E89B-E401-6BEE-70DE-01482F82929A} - C:\WIN98\WINJI32.DLL (file missing)
O2 - BHO: (no name) - {6CF150DB-9CDB-2845-6D1B-3CA51FE7AC87} - C:\WIN98\APPRS.DLL (file missing)
O2 - BHO: (no name) - {492D47AD-A43D-010F-21F8-C6B4EB4FEF18} - C:\WIN98\ATLYG.DLL (file missing)
O2 - BHO: (no name) - {63D27631-E38C-5F17-854E-C66EF26EE4EA} - C:\WIN98\SYSTEM\D3TV32.DLL (file missing)
O2 - BHO: (no name) - {173427BB-C5B6-40A0-FB59-07430E2C88D1} - C:\WIN98\APPAH32.DLL (file missing)
O2 - BHO: (no name) - {15391DE0-A3B7-49F0-D3FF-A6B1C8EDCD0F} - C:\WIN98\SYSTEM\D3BJ32.DLL (file missing)
O2 - BHO: (no name) - {2C3D1DBD-1F8E-30CE-BAB0-960395678EE3} - C:\WIN98\SYSTEM\WINUE.DLL (file missing)
O2 - BHO: (no name) - {AC698513-1514-EB55-7ADF-3E8D30E335EB} - C:\WIN98\SYSTEM\ADDSW.DLL (file missing)
O2 - BHO: (no name) - {43144D3B-38CC-A487-8C98-F7634907E35B} - C:\WIN98\SYSTEM\APPFM32.DLL (file missing)
O2 - BHO: (no name) - {7E13F7EB-81C4-B7BB-4338-EBDAA232B064} - C:\WIN98\SYSTEM\APIQJ.DLL (file missing)
O2 - BHO: (no name) - {04A52FCD-DD01-22AE-A6C7-C0E5B9040088} - C:\WIN98\SYSTEM\CRHP32.DLL (file missing)
O2 - BHO: (no name) - {0E37CC3C-2DE1-D9DE-C4ED-DF8BB4A674A5} - C:\WIN98\SYSTEM\NTAI32.DLL (file missing)
O2 - BHO: (no name) - {626D0E37-90C2-1BA5-EDBC-10E32E0563D1} - C:\WIN98\SYSTEM\IESQ32.DLL (file missing)
O2 - BHO: (no name) - {ADA08457-3145-DA8E-D74C-0147A8CC4312} - C:\WIN98\SYSTEM\ADDCI.DLL (file missing)
O2 - BHO: (no name) - {1D1EDC1D-9CF8-C4E9-474E-1A44E033D0E3} - C:\WIN98\SYSTEM\D3VR32.DLL (file missing)
O2 - BHO: (no name) - {46257DCD-C69E-EF00-5204-B7B249B7DA5F} - C:\WIN98\SYSTEM\ADDOP.DLL (file missing)
O2 - BHO: (no name) - {4B030BAB-5A0A-7214-792B-33A3C0AC2064} - C:\WIN98\APPEI32.DLL (file missing)
O2 - BHO: (no name) - {344D4C64-06C2-9CF0-AADE-512377101816} - C:\WIN98\SYSTEM\CRVD.DLL (file missing)
O2 - BHO: (no name) - {173BCD11-F05D-63DE-D880-CE7B2872DA5E} - C:\WIN98\SYSTEM\IPXG32.DLL (file missing)
O2 - BHO: (no name) - {D6DF74FC-1DED-69A8-7739-686F83AD1E0D} - C:\WIN98\NETKW.DLL (file missing)
O2 - BHO: (no name) - {56A97A89-4576-A3B8-F75D-D30DC7F02ADE} - C:\WIN98\SYSTEM\CRXL32.DLL (file missing)
O2 - BHO: (no name) - {D7AF5053-7373-52EB-628B-DA889571F260} - C:\WIN98\MFCMP.DLL (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WIN98\SYSTEM\MSDXM.OCX
O4 - HKLM\..\RunServices: [WINHU32.EXE] C:\WIN98\WINHU32.EXE
O4 - HKLM\..\RunServices: [MFCOL32.EXE] C:\WIN98\MFCOL32.EXE
O4 - HKLM\..\RunServices: [JAVASA32.EXE] C:\WIN98\SYSTEM\JAVASA32.EXE
O4 - HKLM\..\RunServices: [CRNR.EXE] C:\WIN98\CRNR.EXE
O4 - HKLM\..\RunServices: [ATLCK.EXE] C:\WIN98\SYSTEM\ATLCK.EXE
O4 - HKLM\..\RunServices: [CRAI32.EXE] C:\WIN98\SYSTEM\CRAI32.EXE
O4 - HKLM\..\RunServices: [IPSR32.EXE] C:\WIN98\SYSTEM\IPSR32.EXE
O4 - HKLM\..\RunServices: [SDKZB32.EXE] C:\WIN98\SYSTEM\SDKZB32.EXE
O4 - HKLM\..\RunServices: [WINJE32.EXE] C:\WIN98\WINJE32.EXE
O4 - HKLM\..\RunServices: [IPSI.EXE] C:\WIN98\SYSTEM\IPSI.EXE
O4 - HKLM\..\RunServices: [ATLOC.EXE] C:\WIN98\SYSTEM\ATLOC.EXE
O4 - HKLM\..\RunServices: [JAVAQA.EXE] C:\WIN98\JAVAQA.EXE
O4 - HKLM\..\RunServices: [MFCKI32.EXE] C:\WIN98\SYSTEM\MFCKI32.EXE
O4 - HKLM\..\RunServices: [D3TM32.EXE] C:\WIN98\D3TM32.EXE
O4 - HKLM\..\RunServices: [NTOY32.EXE] C:\WIN98\NTOY32.EXE
O4 - HKLM\..\RunServices: [APPGD.EXE] C:\WIN98\SYSTEM\APPGD.EXE
O4 - HKLM\..\RunServices: [IPQE.EXE] C:\WIN98\IPQE.EXE
O4 - HKLM\..\RunServices: [SDKPA32.EXE] C:\WIN98\SYSTEM\SDKPA32.EXE
O4 - HKLM\..\RunServices: [WINTP.EXE] C:\WIN98\WINTP.EXE
O4 - HKLM\..\RunServices: [WINWC32.EXE] C:\WIN98\WINWC32.EXE
O4 - HKLM\..\RunServices: [SDKIF.EXE] C:\WIN98\SYSTEM\SDKIF.EXE
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://active.macromedia.com/flash2/cabs/swflash.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 200.0.0.15

Gruß

Franz-Georg
Seitenanfang Seitenende
16.07.2004, 12:03
paff
Member

Beiträge: 1095
#8 @Franz-Georg

Oh, da ist aber noch einiges drin ;)

update den mwav(Escan)
http://www.rokop-security.de/board/index.php?showtopic=3867
Wenn noch nicht gemacht

Boote bitte im Abgesicherten Modus

Fixe bitte das in HiJackThis (ankreuzen und FixChecked drücken)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://fbzzb.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WIN98\system\fbzzb.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://fbzzb.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WIN98\system\fbzzb.dll/sp.html#96676
O2 - BHO: (no name) - {3DCDEF49-07C4-95D0-1BA7-F1C683BBFBF7} - C:\WIN98\SYSTU32.DLL (file missing)
O2 - BHO: (no name) - {B58C8960-A3A2-61CA-C42A-12E1179654ED} - C:\WIN98\SYSTEM\SYSRH.DLL (file missing)
O2 - BHO: (no name) - {D08BCA01-6B1C-24F9-21F4-5DD7EA3F4B4D} - C:\WIN98\SYSTEM\NETOI.DLL (file missing)
O2 - BHO: (no name) - {1458FCD0-6F83-BD4A-F683-F7939568E9FB} - C:\WIN98\SDKHB32.DLL (file missing)
O2 - BHO: (no name) - {D81C5B63-31A6-10C0-3987-24CDE2E46630} - C:\WIN98\SYSTEM\JAVAZK.DLL (file missing)
O2 - BHO: (no name) - {CBA98573-ABD8-7500-779C-195A22B5375B} - C:\WIN98\SYSCA32.DLL (file missing)
O2 - BHO: (no name) - {97AC4F9F-C461-DCAE-1D27-7119571F3B6F} - C:\WIN98\SDKUY.DLL (file missing)
O2 - BHO: (no name) - {7C14789B-2A80-8DFA-E587-60378BC0D824} - C:\WIN98\IPEC.DLL (file missing)
O2 - BHO: (no name) - {4C95729D-4844-AFE8-E713-D77B263CE2AC} - C:\WIN98\D3NT32.DLL (file missing)
O2 - BHO: (no name) - {3E6821EA-EF18-E175-535D-E061BF8A0F05} - C:\WIN98\CRNY.DLL (file missing)
O2 - BHO: (no name) - {627D8C50-318F-16CB-E7FE-8CD1D4D31826} - C:\WIN98\SYSTEM\IPQK32.DLL (file missing)
O2 - BHO: (no name) - {CE595AB8-5BCD-BF8F-A88C-49B1F6D32411} - C:\WIN98\MFCJY32.DLL (file missing)
O2 - BHO: (no name) - {69E11644-F09B-69E1-F1D4-F3EB7AB7AD2B} - C:\WIN98\SYSTEM\D3VC32.DLL (file missing)
O2 - BHO: (no name) - {E72FBD30-A958-F1D3-1858-91488E70DA74} - C:\WIN98\SYSTEM\APIVR.DLL (file missing)
O2 - BHO: (no name) - {8203457E-4F76-FA8E-945A-98B1FF3DCEBE} - C:\WIN98\SYSTEM\APPGE.DLL (file missing)
O2 - BHO: (no name) - {46D1E89B-E401-6BEE-70DE-01482F82929A} - C:\WIN98\WINJI32.DLL (file missing)
O2 - BHO: (no name) - {6CF150DB-9CDB-2845-6D1B-3CA51FE7AC87} - C:\WIN98\APPRS.DLL (file missing)
O2 - BHO: (no name) - {492D47AD-A43D-010F-21F8-C6B4EB4FEF18} - C:\WIN98\ATLYG.DLL (file missing)
O2 - BHO: (no name) - {63D27631-E38C-5F17-854E-C66EF26EE4EA} - C:\WIN98\SYSTEM\D3TV32.DLL (file missing)
O2 - BHO: (no name) - {173427BB-C5B6-40A0-FB59-07430E2C88D1} - C:\WIN98\APPAH32.DLL (file missing)
O2 - BHO: (no name) - {15391DE0-A3B7-49F0-D3FF-A6B1C8EDCD0F} - C:\WIN98\SYSTEM\D3BJ32.DLL (file missing)
O2 - BHO: (no name) - {2C3D1DBD-1F8E-30CE-BAB0-960395678EE3} - C:\WIN98\SYSTEM\WINUE.DLL (file missing)
O2 - BHO: (no name) - {AC698513-1514-EB55-7ADF-3E8D30E335EB} - C:\WIN98\SYSTEM\ADDSW.DLL (file missing)
O2 - BHO: (no name) - {43144D3B-38CC-A487-8C98-F7634907E35B} - C:\WIN98\SYSTEM\APPFM32.DLL (file missing)
O2 - BHO: (no name) - {7E13F7EB-81C4-B7BB-4338-EBDAA232B064} - C:\WIN98\SYSTEM\APIQJ.DLL (file missing)
O2 - BHO: (no name) - {04A52FCD-DD01-22AE-A6C7-C0E5B9040088} - C:\WIN98\SYSTEM\CRHP32.DLL (file missing)
O2 - BHO: (no name) - {0E37CC3C-2DE1-D9DE-C4ED-DF8BB4A674A5} - C:\WIN98\SYSTEM\NTAI32.DLL (file missing)
O2 - BHO: (no name) - {626D0E37-90C2-1BA5-EDBC-10E32E0563D1} - C:\WIN98\SYSTEM\IESQ32.DLL (file missing)
O2 - BHO: (no name) - {ADA08457-3145-DA8E-D74C-0147A8CC4312} - C:\WIN98\SYSTEM\ADDCI.DLL (file missing)
O2 - BHO: (no name) - {1D1EDC1D-9CF8-C4E9-474E-1A44E033D0E3} - C:\WIN98\SYSTEM\D3VR32.DLL (file missing)
O2 - BHO: (no name) - {46257DCD-C69E-EF00-5204-B7B249B7DA5F} - C:\WIN98\SYSTEM\ADDOP.DLL (file missing)
O2 - BHO: (no name) - {4B030BAB-5A0A-7214-792B-33A3C0AC2064} - C:\WIN98\APPEI32.DLL (file missing)
O2 - BHO: (no name) - {344D4C64-06C2-9CF0-AADE-512377101816} - C:\WIN98\SYSTEM\CRVD.DLL (file missing)
O2 - BHO: (no name) - {173BCD11-F05D-63DE-D880-CE7B2872DA5E} - C:\WIN98\SYSTEM\IPXG32.DLL (file missing)
O2 - BHO: (no name) - {D6DF74FC-1DED-69A8-7739-686F83AD1E0D} - C:\WIN98\NETKW.DLL (file missing)
O2 - BHO: (no name) - {56A97A89-4576-A3B8-F75D-D30DC7F02ADE} - C:\WIN98\SYSTEM\CRXL32.DLL (file missing)
O2 - BHO: (no name) - {D7AF5053-7373-52EB-628B-DA889571F260} - C:\WIN98\MFCMP.DLL (file missing)
O4 - HKLM\..\RunServices: [WINHU32.EXE] C:\WIN98\WINHU32.EXE
O4 - HKLM\..\RunServices: [MFCOL32.EXE] C:\WIN98\MFCOL32.EXE
O4 - HKLM\..\RunServices: [JAVASA32.EXE] C:\WIN98\SYSTEM\JAVASA32.EXE
O4 - HKLM\..\RunServices: [CRNR.EXE] C:\WIN98\CRNR.EXE
O4 - HKLM\..\RunServices: [ATLCK.EXE] C:\WIN98\SYSTEM\ATLCK.EXE
O4 - HKLM\..\RunServices: [CRAI32.EXE] C:\WIN98\SYSTEM\CRAI32.EXE
O4 - HKLM\..\RunServices: [IPSR32.EXE] C:\WIN98\SYSTEM\IPSR32.EXE
O4 - HKLM\..\RunServices: [SDKZB32.EXE] C:\WIN98\SYSTEM\SDKZB32.EXE
O4 - HKLM\..\RunServices: [WINJE32.EXE] C:\WIN98\WINJE32.EXE
O4 - HKLM\..\RunServices: [IPSI.EXE] C:\WIN98\SYSTEM\IPSI.EXE
O4 - HKLM\..\RunServices: [ATLOC.EXE] C:\WIN98\SYSTEM\ATLOC.EXE
O4 - HKLM\..\RunServices: [JAVAQA.EXE] C:\WIN98\JAVAQA.EXE
O4 - HKLM\..\RunServices: [MFCKI32.EXE] C:\WIN98\SYSTEM\MFCKI32.EXE
O4 - HKLM\..\RunServices: [D3TM32.EXE] C:\WIN98\D3TM32.EXE
O4 - HKLM\..\RunServices: [NTOY32.EXE] C:\WIN98\NTOY32.EXE
O4 - HKLM\..\RunServices: [APPGD.EXE] C:\WIN98\SYSTEM\APPGD.EXE
O4 - HKLM\..\RunServices: [IPQE.EXE] C:\WIN98\IPQE.EXE
O4 - HKLM\..\RunServices: [SDKPA32.EXE] C:\WIN98\SYSTEM\SDKPA32.EXE
O4 - HKLM\..\RunServices: [WINTP.EXE] C:\WIN98\WINTP.EXE
O4 - HKLM\..\RunServices: [WINWC32.EXE] C:\WIN98\WINWC32.EXE
O4 - HKLM\..\RunServices: [SDKIF.EXE] C:\WIN98\SYSTEM\SDKIF.EXE

Dann nochmal die Escan(mwav.exe) durchjagen

Dann normal starten und nochmal logfile posten

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
16.07.2004, 13:48
Franz-Georg
Member

Beiträge: 24
#9 Hallo paff,

Habe ich gemacht. MWAV hat nichts mehr gefunden.

Hier der neue Logfile

Logfile of HijackThis v1.97.7
Scan saved at 14:00:25, on 16.07.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WIN98\SYSTEM\KERNEL32.DLL
C:\WIN98\SYSTEM\MSGSRV32.EXE
C:\WIN98\SYSTEM\MPREXE.EXE
C:\WIN98\SYSTEM\mmtask.tsk
C:\WIN98\EXPLORER.EXE
D:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OUTLOOK.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYSTEM\MAPI\1031\95\MAPISP32.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WIN98\SYSTEM\PSTORES.EXE
C:\WIN98\DESKTOP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.t-online.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WIN98\SYSTEM\MSDXM.OCX
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://active.macromedia.com/flash2/cabs/swflash.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 200.0.0.15

Ist jetzt alles ok, oder findest Du noch etwas?
Kann sich der Logfile ändern, wenn ich ins Internet gehe?

Gruß
Franz-Georg
Seitenanfang Seitenende
16.07.2004, 13:52
paff
Member

Beiträge: 1095
#10

Zitat

Franz-Georg postete
Ist jetzt alles ok, oder findest Du noch etwas?
Sieht jetzt OK aus
Ist dein IE auf dem neusten Stand
www.windowsupdate.com


Zitat

Kann sich der Logfile ändern, wenn ich ins Internet gehe?
Er sollte eigentlich nicht. Nur wenn du dir irgendwas einfängst. ;)

Installier dir mal 'nen Virenscanner
www.freeav.de
Ist kostenlos für Heimanwender

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
16.07.2004, 14:26
Franz-Georg
Member

Beiträge: 24
#11 Hallo paff,

Die gefixten files habe ich jetzt als backups auf dem Desktop stehen. Kann ich die in den Papierkorb schmeißen und den dann leeren?

Gruß
Franz-Georg
Seitenanfang Seitenende
16.07.2004, 15:08
paff
Member

Beiträge: 1095
#12

Zitat

Franz-Georg postete
Hallo paff,

Die gefixten files habe ich jetzt als backups auf dem Desktop stehen. Kann ich die in den Papierkorb schmeißen und den dann leeren?

Gruß
Franz-Georg
Die kannst du löschen!

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
19.07.2004, 08:14
Franz-Georg
Member

Beiträge: 24
#13 Hallo paff,

habe die Buckups gelöscht. Funktioniert jetzt wieder
alles einwandfrei.

Nochmals vielen vielen Dank.

Gruß
Franz-Georg
Seitenanfang Seitenende
31.07.2004, 14:44
dureco
...neu hier

Beiträge: 1
#14 Da ich nicht gerade viel Ahnung von Computern habe muss ich mich auch an euch wenden. Ich habe schon alles Formatiert und neu installiert, die fehler sind jedoch trozdem nicht verschwunden. Habe auch schon AntiVir benutz, jedoch konnte das Program nicht alles beheben.



Logfile of HijackThis v1.98.0
Scan saved at 14:36:09, on 31.07.2004
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 (5.00.2920.0000)

Running processes:
D:\WINNT\System32\smss.exe
D:\WINNT\system32\winlogon.exe
D:\WINNT\system32\services.exe
D:\WINNT\system32\lsass.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\System32\svchost.exe
D:\WINNT\system32\spoolsv.exe
D:\Programme\AVPersonal\AVWUPSRV.EXE
D:\WINNT\system32\regsvc.exe
D:\WINNT\system32\MSTask.exe
D:\WINNT\system32\stisvc.exe
D:\WINNT\System32\WBEM\WinMgmt.exe
D:\WINNT\Explorer.exe
D:\WINNT\Mixer.exe
D:\Programme\AT-AR215\AT-AR215 USB ADSL WAN Adapter\DSLMON.exe
D:\WINNT\System32\IEXPLORE.EXE
D:\Programme\Internet Explorer\IEXPLORE.EXE
D:\WINNT\addke.exe
D:\WINNT\system32\ipec32.exe
D:\Dokumente und Einstellungen\bubie\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://D:\WINNT\system32\imips.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://imips.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://imips.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://D:\WINNT\system32\imips.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://D:\WINNT\system32\imips.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://imips.dll/index.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.goldesel.6x.to/
R3 - Default URLSearchHook is missing
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=D:\WINNT\system32\userinit.exe,
O2 - BHO: twaintecObj Class - {000020DD-C72E-4113-AF77-DD56626C6C42} - D:\WINNT\twaintec.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: brdg Class - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - D:\WINNT\Downloaded Program Files\bridge.dll (file missing)
O2 - BHO: (no name) - {CA95935D-8970-F16C-47AC-DB2C3DF7AEF0} - D:\WINNT\system32\apprv32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [RunDLL] rundll32.exe "D:\WINNT\Downloaded Program Files\bridge.dll",Load
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [$WindowsRegKey%update] IEXPLORE.EXE
O4 - HKLM\..\Run: [PPMemCheck] D:\PROGRA~1\STOMPS~1\SPYWAR~1\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] D:\PROGRA~1\STOMPS~1\SPYWAR~1\CookiePatrol.exe
O4 - HKLM\..\Run: [vtv38i4zfk] D:\Programme\Symantec\4rxjmucicp.exe
O4 - HKLM\..\Run: [addke.exe] D:\WINNT\addke.exe
O4 - HKLM\..\RunServices: [$WindowsRegKey%update] IEXPLORE.EXE
O4 - HKLM\..\RunServices: [Microsoft IT Update] msupdate.exe
O4 - HKLM\..\RunOnce: [ipec32.exe] D:\WINNT\system32\ipec32.exe
O4 - HKCU\..\Run: [StartPage] C:\winnt\rundll32.exe
O4 - HKCU\..\Run: [SoundView] D:\WINNT\System32\msdview32.exe
O4 - HKCU\..\Run: [$WindowsRegKey%update] IEXPLORE.EXE
O4 - HKCU\..\Run: [Microsoft IT Update] msupdate.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] wininimil.exe
O4 - Global Startup: DSLMON.lnk = D:\Programme\AT-AR215\AT-AR215 USB ADSL WAN Adapter\DSLMON.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINNT\web\related.htm
O13 - DefaultPrefix: http://%6C%66%6E%6D%63%6A%77%2E%62%69%7A?u=1526&error=
O13 - WWW Prefix: http://%6C%66%6E%6D%63%6A%77%2E%62%69%7A?u=1526&error=
O13 - Home Prefix: http://%6C%66%6E%6D%63%6A%77%2E%62%69%7A?u=1526&error=
O13 - Mosaic Prefix: http://%6C%66%6E%6D%63%6A%77%2E%62%69%7A?u=1526&error=
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} - http://63.219.181.7/cax.cab
O16 - DPF: {10000030-1000-0000-1000-000000000000} - its:mhtml:file://c:\\MAIN.MHT!http://zloeboogle.biz/dial.chm?wmid=90::/x.exe
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://195.225.177.13/20609/online.chm::/on-line.exe
O16 - DPF: {11111111-1111-1111-1111-111111111123} - file://c:\Recycled\1.exe
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cab
O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q330995.exe
O16 - DPF: {11311111-1111-1111-1111-11111121115F} - file://C:\Recycled\Q381010.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} (brdg Class) - http://static.flingstone.com/cab/2000XP/CDTInc/bridge.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E26DB6A4-057A-4950-BCE0-5F47FCD38325}: NameServer = 62.27.27.62 62.27.53.66
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - D:\WINNT\msopt.dll
Seitenanfang Seitenende
01.08.2004, 12:29
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#15 dureco

fixe mit dem HijackThis

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://D:\WINNT\system32\imips.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://imips.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://imips.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://D:\WINNT\system32\imips.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://D:\WINNT\system32\imips.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://imips.dll/index.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.goldesel.6x.to/
R3 - Default URLSearchHook is missing

O2 - BHO: twaintecObj Class - {000020DD-C72E-4113-AF77-DD56626C6C42} - D:\WINNT\twaintec.dll
O2 - BHO: brdg Class - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - D:\WINNT\Downloaded Program Files\bridge.dll (file missing)
O2 - BHO: (no name) - {CA95935D-8970-F16C-47AC-DB2C3DF7AEF0} - D:\WINNT\system32\apprv32.dll
O4 - HKLM\..\Run: [RunDLL] rundll32.exe "D:\WINNT\Downloaded Program Files\bridge.dll",Load
O4 - HKLM\..\Run: [$WindowsRegKey%update] IEXPLORE.EXE
O4 - HKLM\..\Run: [vtv38i4zfk] D:\Programme\Symantec\4rxjmucicp.exe
O4 - HKLM\..\Run: [addke.exe] D:\WINNT\addke.exe
O4 - HKLM\..\RunServices: [$WindowsRegKey%update] IEXPLORE.EXE
O4 - HKLM\..\RunServices: [Microsoft IT Update] msupdate.exe
O4 - HKLM\..\RunOnce: [ipec32.exe] D:\WINNT\system32\ipec32.exe
O4 - HKCU\..\Run: [StartPage] C:\winnt\rundll32.exe
O4 - HKCU\..\Run: [SoundView] D:\WINNT\System32\msdview32.exe
O4 - HKCU\..\Run: [$WindowsRegKey%update] IEXPLORE.EXE
O4 - HKCU\..\Run: [Microsoft IT Update] msupdate.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] wininimil.exe

O13 - DefaultPrefix: http://%6C%66%6E%6D%63%6A%77%2E%62%69%7A?u=1526&error=
O13 - WWW Prefix: http://%6C%66%6E%6D%63%6A%77%2E%62%69%7A?u=1526&error=
O13 - Home Prefix: http://%6C%66%6E%6D%63%6A%77%2E%62%69%7A?u=1526&error=
O13 - Mosaic Prefix: http://%6C%66%6E%6D%63%6A%77%2E%62%69%7A?u=1526&error=
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} - http://63.219.181.7/cax.cab
O16 - DPF: {10000030-1000-0000-1000-000000000000} - its:mhtml:file://c:\\MAIN.MHT!http://zloeboogle.biz/dial.chm?wmid=90::/x.exe
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://195.225.177.13/20609/online.chm::/on-line.exe
O16 - DPF: {11111111-1111-1111-1111-111111111123} - file://c:\Recycled\1.exe
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cab
O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q330995.exe
O16 - DPF: {11311111-1111-1111-1111-11111121115F} - file://C:\Recycled\Q381010.exe
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab
O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} (brdg Class) - http://static.flingstone.com/cab/2000XP/CDTInc/bridge.cab
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - D:\WINNT\msopt.dll

neustarten


#Lade mwav.exe und scanne <alle Dateien<
http://www.mwti.net/antivirus/free_utilities.asp
Loesche dann manuell, was das Tool nur anzeigt, aber nicht beseitigt.

#Lade Spysweeper
http://www.spysweeper.com/
#Lade AdAware free
http://www.lavasoft.de/support/download/
#Lade Spybot
http://www.safer-networking.org/de/download/index.html

#installiere Antivirus
http://www.free-av.de/
Konfiguriere den Antivirus AVGCtrl
Automatischen Scan stoppen,
Einstellungen hochschrauben (Suchen: ALLE DATEIN, Unerwünschte Programme: ALLE ausser spiele, Heuristik: Win32 Heuristik Priorität hoch) , Guard aktivieren
und mache einen Vollscann .

#Lade TuneUp2004 (30 Tage free) und sauebere<optimiere <
http://www.tuneup.de/download/

#Lade ClearProg und loesche die TemporaryInternetfiles und stelle unter <InternetOptionen< eine neue Startseite ein
http://www.clearprog.de/

dann poste das Log noch mal.
mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 01.08.2004 um 12:34 Uhr von Sabina editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
  • »
  • »
  • »
  • »
  • »