Home » Spyware & Browser Hijacker Support Forum » Adware Away findet HomeOldSp Hijacker, was nun » Themenansicht
Adware Away findet HomeOldSp Hijacker, was nun |
||
|---|---|---|
| #0
| ||
|
10.07.2004, 02:52
Member
Beiträge: 36 |
||
 
|
|
|
|
10.07.2004, 03:15
Member
Beiträge: 1095 |
#2
@schmuseking Hi und willkomen am/im Board
DU hast dir einiges an Malware eingefangen Also fangen wir mal an 1. Lösche die temporären Internetfiles IE öffnen/Extras/Internetoptionen/Dateien löschen 2. Lösche alles im Papierkorb 3. Alle Dateien und Ordner in den "C:\Dokumente und Einstellungen\<Benutzername>\Lokale Einstellungen\Temp" Ordnern löschen. 4. Lade dir bitte hier die mwav.exe und update Sie http://www.rokop-security.de/board/index.php?showtopic=3867 Druck mal die Anleitung aus, die brauchst du später. 5. Update deinen Normalen Virenscanner 6. Dann gehe in den Abgesicherten Modus von XP http://www.bsi.de/av/texte/winsave.htm AB JETZT NICHT MEHR DEN INTERNET EXPLORER ÖFFNEN 7. Starte HiJackThis und fixe folgendes (ankreuzen und Fix Checked drücken) NICHT ERSCHRECKEN das sind wirklich viele R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\njqyl.dll/sp.html#37049 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://njqyl.dll/index.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://njqyl.dll/index.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\njqyl.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\njqyl.dll/sp.html#37049 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://njqyl.dll/index.html#37049 O2 - BHO: (no name) - {793213B8-A74C-2C0F-94D1-DD4AC65FBE45} - C:\WINDOWS\system32\mfcdy32.dll O4 - HKLM\..\Run: [nttw.exe] C:\WINDOWS\system32\nttw.exe O4 - HKLM\..\RunOnce: [apiex32.exe] C:\WINDOWS\apiex32.exe O4 - HKLM\..\RunOnce: [atlki.exe] C:\WINDOWS\atlki.exe O4 - HKLM\..\RunOnce: [javanw32.exe] C:\WINDOWS\javanw32.exe O4 - HKLM\..\RunOnce: [apicc32.exe] C:\WINDOWS\apicc32.exe O4 - HKLM\..\RunOnce: [addmp.exe] C:\WINDOWS\addmp.exe O4 - HKLM\..\RunOnce: [netiy32.exe] C:\WINDOWS\system32\netiy32.exe O4 - HKLM\..\RunOnce: [atlve32.exe] C:\WINDOWS\atlve32.exe O4 - HKLM\..\RunOnce: [ipov32.exe] C:\WINDOWS\system32\ipov32.exe O4 - HKLM\..\RunOnce: [winng.exe] C:\WINDOWS\system32\winng.exe O4 - HKLM\..\RunOnce: [iptv32.exe] C:\WINDOWS\system32\iptv32.exe O4 - HKLM\..\RunOnce: [crvr.exe] C:\WINDOWS\system32\crvr.exe O4 - HKLM\..\RunOnce: [msxe32.exe] C:\WINDOWS\system32\msxe32.exe O4 - HKLM\..\RunOnce: [apppy.exe] C:\WINDOWS\system32\apppy.exe O4 - HKLM\..\RunOnce: [sdkqs.exe] C:\WINDOWS\system32\sdkqs.exe O4 - HKLM\..\RunOnce: [javaqn32.exe] C:\WINDOWS\system32\javaqn32.exe O4 - HKLM\..\RunOnce: [winbp32.exe] C:\WINDOWS\system32\winbp32.exe O4 - HKLM\..\RunOnce: [netwd.exe] C:\WINDOWS\system32\netwd.exe O4 - HKLM\..\RunOnce: [ieaj32.exe] C:\WINDOWS\system32\ieaj32.exe O4 - HKLM\..\RunOnce: [msux.exe] C:\WINDOWS\system32\msux.exe O4 - HKLM\..\RunOnce: [javaad32.exe] C:\WINDOWS\system32\javaad32.exe O4 - HKLM\..\RunOnce: [msky.exe] C:\WINDOWS\system32\msky.exe O4 - HKLM\..\RunOnce: [netvd.exe] C:\WINDOWS\netvd.exe O4 - HKLM\..\RunOnce: [msjs32.exe] C:\WINDOWS\system32\msjs32.exe O4 - HKLM\..\RunOnce: [msnn.exe] C:\WINDOWS\msnn.exe O4 - HKLM\..\RunOnce: [sdkvx32.exe] C:\WINDOWS\system32\sdkvx32.exe O4 - HKLM\..\RunOnce: [sysmq32.exe] C:\WINDOWS\sysmq32.exe O4 - HKLM\..\RunOnce: [sdkzp.exe] C:\WINDOWS\system32\sdkzp.exe O4 - HKLM\..\RunOnce: [javafm32.exe] C:\WINDOWS\system32\javafm32.exe O4 - HKLM\..\RunOnce: [iekt32.exe] C:\WINDOWS\system32\iekt32.exe O4 - HKLM\..\RunOnce: [ipvh32.exe] C:\WINDOWS\ipvh32.exe O4 - HKLM\..\RunOnce: [crnq.exe] C:\WINDOWS\system32\crnq.exe O4 - HKLM\..\RunOnce: [apipz32.exe] C:\WINDOWS\apipz32.exe O4 - HKLM\..\RunOnce: [atliz.exe] C:\WINDOWS\atliz.exe O4 - HKLM\..\RunOnce: [javayz32.exe] C:\WINDOWS\system32\javayz32.exe O4 - HKLM\..\RunOnce: [iebs32.exe] C:\WINDOWS\system32\iebs32.exe O4 - HKLM\..\RunOnce: [javarh32.exe] C:\WINDOWS\javarh32.exe O4 - HKLM\..\RunOnce: [ipkv.exe] C:\WINDOWS\ipkv.exe O4 - HKLM\..\RunOnce: [winwp.exe] C:\WINDOWS\winwp.exe O4 - HKLM\..\RunOnce: [netzw.exe] C:\WINDOWS\netzw.exe O4 - HKLM\..\RunOnce: [atlxs.exe] C:\WINDOWS\system32\atlxs.exe O4 - HKLM\..\RunOnce: [sdkai32.exe] C:\WINDOWS\system32\sdkai32.exe O4 - HKLM\..\RunOnce: [winfo.exe] C:\WINDOWS\winfo.exe O4 - HKLM\..\RunOnce: [ieek32.exe] C:\WINDOWS\system32\ieek32.exe O4 - HKLM\..\RunOnce: [netti.exe] C:\WINDOWS\system32\netti.exe O4 - HKLM\..\RunOnce: [iexh.exe] C:\WINDOWS\system32\iexh.exe O4 - HKLM\..\RunOnce: [sysmg32.exe] C:\WINDOWS\sysmg32.exe O4 - HKLM\..\RunOnce: [winsp32.exe] C:\WINDOWS\winsp32.exe O4 - HKLM\..\RunOnce: [sysii.exe] C:\WINDOWS\system32\sysii.exe O4 - HKLM\..\RunOnce: [nths32.exe] C:\WINDOWS\system32\nths32.exe O4 - HKLM\..\RunOnce: [mfcrh32.exe] C:\WINDOWS\mfcrh32.exe O4 - HKLM\..\RunOnce: [appkh32.exe] C:\WINDOWS\appkh32.exe O4 - HKLM\..\RunOnce: [sdkcl.exe] C:\WINDOWS\system32\sdkcl.exe O4 - HKLM\..\RunOnce: [sysay.exe] C:\WINDOWS\system32\sysay.exe O4 - HKLM\..\RunOnce: [mfcrl32.exe] C:\WINDOWS\system32\mfcrl32.exe O4 - HKLM\..\RunOnce: [crfd.exe] C:\WINDOWS\system32\crfd.exe O4 - HKLM\..\RunOnce: [netge.exe] C:\WINDOWS\system32\netge.exe O4 - HKLM\..\RunOnce: [mfcvs32.exe] C:\WINDOWS\system32\mfcvs32.exe O4 - HKLM\..\RunOnce: [javahc32.exe] C:\WINDOWS\system32\javahc32.exe O4 - HKLM\..\RunOnce: [ipuu32.exe] C:\WINDOWS\system32\ipuu32.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - (no file) 8. mwav.exe starten und nach obiger Anweisung scannen lassen 9. Mit deinem normalen Virenscanner ganze Platte scannen 10. Normal neustarten und Logfile posten 11.Unter Start - Ausführen services.msc eingeben. In dem Fenster, das sich öffnet einen Dienst suchen namens "Network Security Service". Wenn dieser EIntrag da ist, diesen Eintrag doppelklicken und in dem Eigenschaftenfenster den Beenden Button anklicken und dann den Starttyp auf Deaktiviert setzen. Außerdem den Pfad zur EXE-Datei posten Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
|
|
|
|
10.07.2004, 18:47
Member
Themenstarter Beiträge: 36 |
#3
Ja, Paff,
herzlichen Dank, ich habe soweit alles verstanden, was zu machen ist, bis auf zwei Aktionen: 10. Normal neustarten und Logfile posten: Wie bzw. wo erhalte ich den Logfile, den ich anschließend einstellen soll? Am Ende von 11.: Außerdem den Pfad zur EXE-Datei posten: Wie kriege ich den Pfad heraus? Vielen Dank und liebe Grüße von Schmuseking Dieser Beitrag wurde am 10.07.2004 um 18:48 Uhr von schmuseking editiert.
|
|
|
|
|
|
|
11.07.2004, 18:51
Member
Beiträge: 1095 |
#4
Zitat schmuseking posteteEinfach nochmal das HiJackThis logfile erstellen und hier posten Zitat Am Ende von 11.:Einfach machen wie beschrieben und wenn dort der Dienst existiert dann doppelklicken. Auf dieser dann geöffneten Eigenschaftsseite ist dann ein Feld dort steht: Pfad zur exe-Datei . Einfach dies mal posten Mach einfach mal , dann siehts du's schon  Gruß paff Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 11.07.2004 um 18:52 Uhr von paff editiert.
|
|
|
|
|
|
|
12.07.2004, 01:26
Member
Themenstarter Beiträge: 36 |
#5
Hallo Pfaff, vielen Dank für die weiteren Erläuterungen zu den Punkten 10. und 11.
Ich habe nun alle Schritte wie vorgeschlagen durchgeführt, es gab allerdings teilweise beim O4..RunOnce andere Bezeichnungen, ich habe sie dann alle gelöscht, auch gab es noch einen zusätzlichen Eintrag unter O4...run, den ich mit gelöscht habe. mwav.exe hat richtig zugelangt und 389 infizierte Files gelöscht, die hatte Norton Antivirus alle nicht gefunden!! Der Boot-Vorgang ging jetzt schon wieder viel schneller als vorher. Ich möchte noch über eine Meldung berichten, die ich während des HiJackThis-Laufes jedesmal bekomme, und das ist: An unexpected error has occurred at procedure: modRegistry_IniGetString(sFile=C:\WINDOWS\control.ini, sSection=don't load, sValue=inetcpl.cpl) Error #5 - Invalid procedure call or argument Please email me at merijn@spywareinfo.com, reporting the following: * What you were doing when the error occurred * How you can reproduce the error * A complete HijackThis scan log, if possible Windows version: Windows NT 5.01.2600 MSIE version: 6.0.2800.1106 HijackThis version: 1.98.0 This message has been copied to your clipboard. Nun sieht der HijackThis LOGFILE so aus, wie unten angegeben. Im "Network Security Service" habe ich den Starttyp auf deaktiviert gesetzt, und als Pfad zur EXE-Datei wird angezeigt: C:\WINDOWS\ipkv.exe /s Ich habe allerdings keinen Button BEENDEN gefunden, den ich ja eigentlich anklicken sollte. Logfile of HijackThis v1.98.0 Scan saved at 01:11:49, on 12.07.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe D:\PROGRA~1\NORTON~1\NORTON~2\GHOSTS~2.EXE C:\WINDOWS\System32\inetsrv\inetinfo.exe D:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe C:\WINDOWS\Explorer.EXE D:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE C:\WINDOWS\System32\tcpsvcs.exe C:\WINDOWS\System32\snmp.exe D:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe D:\Programme\WinOnCD\DirectCD\DirectCD.exe D:\PROGRAMME\NETSCAPE\Netscape\Netscp.exe D:\Programme\EnhanceKeyboard\kb_2k.exe D:\Programme\Opera7\Opera.exe C:\Programme\Messenger\msmsgs.exe C:\Dokumente und Einstellungen\Papa\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe R3 - Default URLSearchHook is missing F0 - system.ini: Shell= F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe, O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Ahead\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [AdaptecDirectCD] "D:\Programme\WinOnCD\DirectCD\DirectCD.exe" O4 - HKCU\..\Run: [Mozilla Quick Launch] "d:\PROGRAMME\NETSCAPE\Netscape\Netscp.exe" -turbo O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: enhanced keyboard driver.lnk = ? O4 - Global Startup: Microsoft Office.lnk = D:\Office 2000\Office\OSA9.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Blubster Support - file://C:\Programme\BlubsterSupport\System\Temp\blubstershop_script0.htm O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab O16 - DPF: {D67AC55A-B750-41A4-BEE6-020E017A7996} (IEPlugIn Class) - http://www.popfile.de/myplaylist/pc/partner/sugababes/MY-PLAYLIST-WEBINSTALLER_loader.exe O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - (no file) So, das wärs, und ich würde mich sehr freuen über eine Einschätzung, wie es jetzt mit meinem System aussieht, und über alle Hinweise, was ich nun weiter noch machen könnte oder sollte. Wäre es evl. angebracht, jetzt den Internet-Explorer neu zu installieren? Viele Grüße an alle Forumsteilnehmer von Schmuseking |
|
|
|
|
|
|
12.07.2004, 09:14
Member
Beiträge: 1095 |
#6
@schmuseking
Das Logfile sieht jetzt gut aus. Da du den Trojaner drauf hattest, wäre es angebracht wichtige Kennwörter zu ändern. Z.B. das für den Internetzugang und die wichtigsten Mailpasswörter. IE neu installieren bringt eigentlich nicht. Da du, wie ich sehe, den Opera benutzt ist das schon ein guter Schritt. Probier einfach alle 2 Wochen dein windows mit www.windowsupdate.com auf dem laufenden zu halten. Schmeiß den Norton runter und installier dir www.freeav.de(AntiVir) . Das ist für Privateanwender umsonst. Wichtig auch hier ALLE 2WOCHEN updaten. Gruß Paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
|
|
|
|
13.07.2004, 01:00
Member
Themenstarter Beiträge: 36 |
#7
Hallo Paff,
vielen Dank für die erneute Prüfung des LOGFILES und die weiteren Hinweise. Ich bin sehr froh, dass ich mit dem Rechner wieder gut arbeiten kann. Ich habe jetzt noch 2 Fragen zur zukünftigen Prävention: 1) Ich hatte früher mit WINDOWS ME als Firewall ZONEALARM installiert, und ich hatte den Hinweis erhalten, dass dies für XP wegen der darin enthaltenen Firewall nicht mehr nötig wäre. Jetzt habe ich so meine Zweifel an der Richtigkeit dieses Hinweises. Bringt mir der ZONEALARM nicht auch bei XP mehr Sicherheit gegen Trojaner bzw. Hijacker? 2) Offensichtlich konnte ja Norton Antivirus mich nicht vor den Trojanern und dem Hijacker schützen. Bietet mir hierfür den Antivir den benötigten Schutz, oder empfiehlt sich als Schutz vor Trojanern und Hijackern noch zusätzlich ein anderes Programm? Für entsprechende Hinweise wäre ich sehr dankbar. Viele liebe Grüße Schmuseking |
|
|
|
|
|
|
13.07.2004, 01:54
Member
Beiträge: 1095 |
#8
Zitat schmuseking posteteHab ich grad vorhin was schönes gelesen http://www.firewallleaktester.com/tests.htm Die XP-Firewall hat keine einzigen Test gestanden. Der Test ist nicht repräsentiv, aber er zeigt die Richtung an. Zonealarm ist wahrscheinlich wesentlich besser. Zitat 2) Offensichtlich konnte ja Norton Antivirus mich nicht vor den Trojanern und dem Hijacker schützen. Bietet mir hierfür den Antivir den benötigten Schutz, oder empfiehlt sich als Schutz vor Trojanern und Hijackern noch zusätzlich ein anderes Programm?Das ganze steht und fällt mit deiner Updatespanne. Je öfter man updated desto größer ist die Chance das man im richtigen Moment den richtigen Scanner mit den richtigen Updates hat. Antivir dürfte aber besser sein als Norton. Von Norton hört man nur schlechtes. Es wiegt einen in Sicherheit und eigentlich hat man nichts bis sehr wenig. Und das kostet auch noch was. Windowsupdate sind wichtig. Vorallem in diesem speziellen Fall Und nun noch das Wichtigste BENUTZT NICHT DEN INTERNET EXPLORER. Das ist das gefährlichste. Opera, firefox, mozilla sind alle tolle Alternativen und umsonst Gruß paff P.S. Frag ruhig weiter __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 13.07.2004 um 01:58 Uhr von paff editiert.
|
|
|
|
|
|
|
29.12.2004, 00:55
Member
Themenstarter Beiträge: 36 |
#9
Hallo liebe Forumsteilnehmer,
seit dem Entfernen des Browser Hijackers und der Trojaner im Juli habe ich zwar nicht mehr die damaligen Probleme (automatische Übernahme der Startseite vom Internet Explorer und Programmabbrüche bei anderen Programmen), aber mein Rechner ist teilweise deutlich langsamer geworden, z.B. beim Seitenaufbau im Opera und auch bei der Benutzung des Windows Explorers. Ich benutze regelmäßig Antivir (in der ebenfalls regelmäßig aktualisierten Version), und habe auch AntiVir Guard aktiviert, ab und zu wurde mal ein Trojaner gefunden und dann sofort eliminiert. Meine Festplatte räume ich auch ziemlich regelmäßig auf, und außerdem habe ich TuneUp Utilities 2004 vorgestern laufen lassen. Trotzdem kommt mir alles noch sehr verzögert vor, und deshalb poste ich unten den vor wenigen Miunten erstellten LOG-File vom HijackThis. Ich vermute, dass wieder alle O4-Dateien im abgesicherten Modus von XP gefixt werden müssten, oder? Aber welche Datein wären sonst noch zu fixen, oder was könnte/sollte ich sonst noch machen? Vielen Dank für alle kompetenten Hinweise, von Schmuseking. Logfile of HijackThis v1.98.0 Scan saved at 00:42:17, on 29.12.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe D:\Programme\AVPersonal\AVGUARD.EXE D:\Programme\AVPersonal\AVWUPSRV.EXE D:\PROGRA~1\NORTON~1\NORTON~2\GHOSTS~2.EXE C:\WINDOWS\System32\inetsrv\inetinfo.exe D:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe D:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\tcpsvcs.exe C:\WINDOWS\System32\snmp.exe D:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe D:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\svchost.exe D:\PROGRAMME\NETSCAPE\Netscape\Netscp.exe D:\Programme\Spybot - Search & Destroy\TeaTimer.exe D:\Programme\EnhanceKeyboard\kb_2k.exe C:\Programme\Messenger\msmsgs.exe C:\DOKUME~1\Papa\LOKALE~1\Temp\~AceTemp\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R3 - Default URLSearchHook is missing F0 - system.ini: Shell= F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe, O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Ahead\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [QD FastAndSafe] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [Mozilla Quick Launch] "d:\PROGRAMME\NETSCAPE\Netscape\Netscp.exe" -turbo O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: enhanced keyboard driver.lnk = ? O4 - Global Startup: Microsoft Office.lnk = D:\Office 2000\Office\OSA9.EXE O4 - Global Startup: Mountit.lnk = D:\Programme\WinOnCD\MountIt.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Blubster Support - file://C:\Programme\BlubsterSupport\System\Temp\blubstershop_script0.htm O16 - DPF: {01FE8D0A-51AD-459B-B62B-85E135128B32} (DD_v4.DDv4) - http://www.drivershq.com/DD_v4.CAB O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-17.cab O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/activedata/SymAData.cab O16 - DPF: {D67AC55A-B750-41A4-BEE6-020E017A7996} (IEPlugIn Class) - http://www.popfile.de/myplaylist/pc/partner/sugababes/MY-PLAYLIST-WEBINSTALLER_loader.exe O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/techsupp/activedata/ActiveData.cab |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Seite(n): 1
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
ich habe Probleme mit dem Internet Explorer und Programmen, die den IE nutzen. Gibt es jemand in diesem Forum, der mir vielleicht weiterhelfen könnte?
Ich habe als Laie mit wenig Ahnung folgende Schritte schon gemacht, alle im abgesicherten Mode:
Laufenlassen von SPYBOT und Ad-AWARE und Isolierung der vorgeschlagenen Files
Laufenlassen von cwshredder - der findet nichts
Laufenlassen von Adware Away- der findet 2 Dinge:
1) HOME OLD SP Hijacker
2) MyWay SpeedBar.
Mit Adware Away kann ich aber die zugehörigen Einträge nicht löschen, weil ich keinen Registrierungscode habe.
Laufenlassen von HijacThis lifert den LOG-FILE unten.
Wie könnte ich nun weiterkommen?
Vielen Dank schon einmal im Voraus für jede Hilfe!!!
schmuseking
Logfile of HijackThis v1.98.0
Scan saved at 02:01:29, on 10.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Papa\LOKALE~1\Temp\Rar$EX00.009\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\njqyl.dll/sp.html#37049
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://njqyl.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://njqyl.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\njqyl.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\njqyl.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://njqyl.dll/index.html#37049
R3 - Default URLSearchHook is missing
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Ahead\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {793213B8-A74C-2C0F-94D1-DD4AC65FBE45} - C:\WINDOWS\system32\mfcdy32.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [nttw.exe] C:\WINDOWS\system32\nttw.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "D:\Programme\WinOnCD\DirectCD\DirectCD.exe"
O4 - HKLM\..\RunOnce: [apiex32.exe] C:\WINDOWS\apiex32.exe
O4 - HKLM\..\RunOnce: [atlki.exe] C:\WINDOWS\atlki.exe
O4 - HKLM\..\RunOnce: [javanw32.exe] C:\WINDOWS\javanw32.exe
O4 - HKLM\..\RunOnce: [apicc32.exe] C:\WINDOWS\apicc32.exe
O4 - HKLM\..\RunOnce: [addmp.exe] C:\WINDOWS\addmp.exe
O4 - HKLM\..\RunOnce: [netiy32.exe] C:\WINDOWS\system32\netiy32.exe
O4 - HKLM\..\RunOnce: [atlve32.exe] C:\WINDOWS\atlve32.exe
O4 - HKLM\..\RunOnce: [ipov32.exe] C:\WINDOWS\system32\ipov32.exe
O4 - HKLM\..\RunOnce: [winng.exe] C:\WINDOWS\system32\winng.exe
O4 - HKLM\..\RunOnce: [iptv32.exe] C:\WINDOWS\system32\iptv32.exe
O4 - HKLM\..\RunOnce: [crvr.exe] C:\WINDOWS\system32\crvr.exe
O4 - HKLM\..\RunOnce: [msxe32.exe] C:\WINDOWS\system32\msxe32.exe
O4 - HKLM\..\RunOnce: [apppy.exe] C:\WINDOWS\system32\apppy.exe
O4 - HKLM\..\RunOnce: [sdkqs.exe] C:\WINDOWS\system32\sdkqs.exe
O4 - HKLM\..\RunOnce: [javaqn32.exe] C:\WINDOWS\system32\javaqn32.exe
O4 - HKLM\..\RunOnce: [winbp32.exe] C:\WINDOWS\system32\winbp32.exe
O4 - HKLM\..\RunOnce: [netwd.exe] C:\WINDOWS\system32\netwd.exe
O4 - HKLM\..\RunOnce: [ieaj32.exe] C:\WINDOWS\system32\ieaj32.exe
O4 - HKLM\..\RunOnce: [msux.exe] C:\WINDOWS\system32\msux.exe
O4 - HKLM\..\RunOnce: [javaad32.exe] C:\WINDOWS\system32\javaad32.exe
O4 - HKLM\..\RunOnce: [msky.exe] C:\WINDOWS\system32\msky.exe
O4 - HKLM\..\RunOnce: [netvd.exe] C:\WINDOWS\netvd.exe
O4 - HKLM\..\RunOnce: [msjs32.exe] C:\WINDOWS\system32\msjs32.exe
O4 - HKLM\..\RunOnce: [msnn.exe] C:\WINDOWS\msnn.exe
O4 - HKLM\..\RunOnce: [sdkvx32.exe] C:\WINDOWS\system32\sdkvx32.exe
O4 - HKLM\..\RunOnce: [sysmq32.exe] C:\WINDOWS\sysmq32.exe
O4 - HKLM\..\RunOnce: [sdkzp.exe] C:\WINDOWS\system32\sdkzp.exe
O4 - HKLM\..\RunOnce: [javafm32.exe] C:\WINDOWS\system32\javafm32.exe
O4 - HKLM\..\RunOnce: [iekt32.exe] C:\WINDOWS\system32\iekt32.exe
O4 - HKLM\..\RunOnce: [ipvh32.exe] C:\WINDOWS\ipvh32.exe
O4 - HKLM\..\RunOnce: [crnq.exe] C:\WINDOWS\system32\crnq.exe
O4 - HKLM\..\RunOnce: [apipz32.exe] C:\WINDOWS\apipz32.exe
O4 - HKLM\..\RunOnce: [atliz.exe] C:\WINDOWS\atliz.exe
O4 - HKLM\..\RunOnce: [javayz32.exe] C:\WINDOWS\system32\javayz32.exe
O4 - HKLM\..\RunOnce: [iebs32.exe] C:\WINDOWS\system32\iebs32.exe
O4 - HKLM\..\RunOnce: [javarh32.exe] C:\WINDOWS\javarh32.exe
O4 - HKLM\..\RunOnce: [ipkv.exe] C:\WINDOWS\ipkv.exe
O4 - HKLM\..\RunOnce: [winwp.exe] C:\WINDOWS\winwp.exe
O4 - HKLM\..\RunOnce: [netzw.exe] C:\WINDOWS\netzw.exe
O4 - HKLM\..\RunOnce: [atlxs.exe] C:\WINDOWS\system32\atlxs.exe
O4 - HKLM\..\RunOnce: [sdkai32.exe] C:\WINDOWS\system32\sdkai32.exe
O4 - HKLM\..\RunOnce: [winfo.exe] C:\WINDOWS\winfo.exe
O4 - HKLM\..\RunOnce: [ieek32.exe] C:\WINDOWS\system32\ieek32.exe
O4 - HKLM\..\RunOnce: [netti.exe] C:\WINDOWS\system32\netti.exe
O4 - HKLM\..\RunOnce: [iexh.exe] C:\WINDOWS\system32\iexh.exe
O4 - HKLM\..\RunOnce: [sysmg32.exe] C:\WINDOWS\sysmg32.exe
O4 - HKLM\..\RunOnce: [winsp32.exe] C:\WINDOWS\winsp32.exe
O4 - HKLM\..\RunOnce: [sysii.exe] C:\WINDOWS\system32\sysii.exe
O4 - HKLM\..\RunOnce: [nths32.exe] C:\WINDOWS\system32\nths32.exe
O4 - HKLM\..\RunOnce: [mfcrh32.exe] C:\WINDOWS\mfcrh32.exe
O4 - HKLM\..\RunOnce: [appkh32.exe] C:\WINDOWS\appkh32.exe
O4 - HKLM\..\RunOnce: [sdkcl.exe] C:\WINDOWS\system32\sdkcl.exe
O4 - HKLM\..\RunOnce: [sysay.exe] C:\WINDOWS\system32\sysay.exe
O4 - HKLM\..\RunOnce: [mfcrl32.exe] C:\WINDOWS\system32\mfcrl32.exe
O4 - HKLM\..\RunOnce: [crfd.exe] C:\WINDOWS\system32\crfd.exe
O4 - HKLM\..\RunOnce: [netge.exe] C:\WINDOWS\system32\netge.exe
O4 - HKLM\..\RunOnce: [mfcvs32.exe] C:\WINDOWS\system32\mfcvs32.exe
O4 - HKLM\..\RunOnce: [javahc32.exe] C:\WINDOWS\system32\javahc32.exe
O4 - HKLM\..\RunOnce: [ipuu32.exe] C:\WINDOWS\system32\ipuu32.exe
O4 - HKCU\..\Run: [Mozilla Quick Launch] "d:\PROGRAMME\NETSCAPE\Netscape\Netscp.exe" -turbo
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: enhanced keyboard driver.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = D:\Office 2000\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Blubster Support - file://C:\Programme\BlubsterSupport\System\Temp\blubstershop_script0.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D67AC55A-B750-41A4-BEE6-020E017A7996} (IEPlugIn Class) - http://www.popfile.de/myplaylist/pc/partner/sugababes/MY-PLAYLIST-WEBINSTALLER_loader.exe
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - (no file)
So, das war's.