ungewollte Einträge in Favoritenliste

#0
23.07.2004, 22:30
...neu hier

Beiträge: 2
#1 hallo,
was führt dazu, dass ungewollte Einträge in die Favoritenliste geschrieben werden, obwohl ich unter "Favoriten verwalten" alles gelöscht habe und beim erneuten Öffnen des IE wieder dieselben auftauchen?
Danke für eine Info
Seitenanfang Seitenende
24.07.2004, 12:56
Member
Avatar dreiD

Beiträge: 278
#2 Normalerweise ein Trojaner!Hast du sonst keine Beschwerden?
__________
"Welch dreiste Epoche, in der es leichter ist Atome zu spalten,als Vorurteile!"
[Albert Einstein]
Seitenanfang Seitenende
30.07.2004, 01:57
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#3 Hi Sabbel

http://www.hijackthis.de/index.php
Lade das HijackThis, scanne, save und kopiere das Log mit der Maus ins Forum.

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.07.2004, 10:35
Member

Beiträge: 22
#4 ich habe so ein ählichses prob ich poste meinen log auch mal ok?
Seitenanfang Seitenende
30.07.2004, 11:16
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#5 @Spacemayer
Wo ist es denn ??
mFg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 30.07.2004 um 11:16 Uhr von Sabina editiert.
Seitenanfang Seitenende
31.07.2004, 09:38
Member

Beiträge: 22
#6 achso sorry vergessen!
ab und neuestens werde icha uch auf die seiten direkt weitergeleitet!
also wenn ich irgendeine seite besuchen will wird sofort eine porno seite geöffnet ;)
also hier mal der log:

Logfile of HijackThis v1.98.0
Scan saved at 09:42:00, on 31.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\sstray.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\ICQLite\ICQLite.exe
C:\windows\system32\winlog.exe
C:\Programme\Opera7\opera.exe
C:\windows\system32\olesvr.exe
C:\WINDOWS\System32\mcc.exe
C:\WINDOWS\System32\violqx.exe
D:\Programme\Winamp\winampa.exe
C:\windows\msbb.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Dokumente und Einstellungen\Anton\Anwendungsdaten\eoos.exe
C:\WINDOWS\System32\ktradsdb.exe
C:\DOKUME~1\Anton\LOKALE~1\Temp\ghbf.dat
C:\WINDOWS\system.exe
D:\Programme\Winamp\Winamp.exe
C:\WINDOWS\system.exe
C:\DOKUME~1\Anton\LOKALE~1\Temp\bdl14025.exe
C:\WINDOWS\System32\polall1m.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\Anton\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://dka.directwebsearch.net/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://dka.directwebsearch.net/search.php
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://dka.directwebsearch.net/search.php
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://dka.directwebsearch.net/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\secure.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://dka.directwebsearch.net/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Anton\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Anton\LOKALE~1\Temp\sp.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\secure.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\secure.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://dka.directwebsearch.net/search.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Anton\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Anton\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\secure.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Anton\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://dka.directwebsearch.net/search.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Anton\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://dka.directwebsearch.net/search.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\secure.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\secure.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81C3A} - C:\WINDOWS\EliteBar\ELITEB~2.DLL
O2 - BHO: (no name) - {ED249F4E-005A-4BCF-B5FE-B6202B8B021F} - C:\WINDOWS\System32\cabkaaa.dll
O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA880F} - C:\WINDOWS\EliteBar\EliteBar version 35.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Login] c:\windows\system32\winlog.exe
O4 - HKLM\..\Run: [Devices] c:\windows\system32\olesvr.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Multimedia Codecs] C:\WINDOWS\System32\mcc.exe
O4 - HKLM\..\Run: [winupd] C:\WINDOWS\System32\winupd.exe
O4 - HKLM\..\Run: [ablbzbsi] C:\WINDOWS\System32\violqx.exe
O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [msbb] c:\windows\msbb.exe
O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\Downloaded Program Files\CONFLICT.1\bridge.dll",Load
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpyKiller] D:\Programme\SpyKiller\spykiller.exe /startup
O4 - HKCU\..\Run: [Ubus] C:\Dokumente und Einstellungen\Anton\Anwendungsdaten\eoos.exe
O4 - HKCU\..\Run: [Gvihi] C:\WINDOWS\System32\ktradsdb.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Microsoft® JavaScript® Console - {760239BD-B85D-41A2-835B-C40C97B15418} - C:\WINDOWS\System32\Comdlg32.ocx (file missing)
O9 - Extra 'Tools' menuitem: JavaScript Console - {760239BD-B85D-41A2-835B-C40C97B15418} - C:\WINDOWS\System32\Comdlg32.ocx (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra button: Microsoft® JavaScript® Console - {760239BD-B85D-41A2-835B-C40C97B15418} - C:\WINDOWS\System32\Comdlg32.ocx (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: JavaScript Console - {760239BD-B85D-41A2-835B-C40C97B15418} - C:\WINDOWS\System32\Comdlg32.ocx (file missing) (HKCU)
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.xxxtoolbar.com
O16 - DPF: v2cab - http://searchmiracle.com/cab/v2cab.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab28578.cab
O16 - DPF: {10000000-1000-0000-1000-000000000000} - ms-its:m*html*:fi*le:/*/C:*\MAI*N.MH*T!ht*tp://*d.dialer2004.*co*m//*396754/main.chm*::/load*.exe
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mh*tm*l:f*ile://c:*\no*such.m*ht!h*ttp://69.*31*.79*.18*7/wi*nsearchie32.ch*m::/winsearchie32.exe
O16 - DPF: {11120607-1001-1111-1000-110199901123} - ms-its:m*html*:f*ile://*C:\f*oo.m*ht!*htt*p://8*1.21*1.105.3*7/20609/onl*ine.chm::/on-line.exe
// edit by Lukas ... * - Zeichen hinzugefügt da sich sonst Antivir + IE drüber ärgern und Fehlalarme auslösen!
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab28578.cab
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28578.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web8.cab
O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} (brdg Class) - http://static.flingstone.com/cab/2000XP/CDTInc/bridge.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab28578.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O18 - Filter: text/html - {BC27BD1D-9081-46B8-8A52-B14C0EC96E2D} - C:\WINDOWS\System32\cabkaaa.dll
O18 - Filter: text/plain - {BC27BD1D-9081-46B8-8A52-B14C0EC96E2D} - C:\WINDOWS\System32\cabkaaa.dll
O21 - SSODL: System - {5C5D64A7-E280-42C6-86ED-71BFA61EC35D} - C:\WINDOWS\system32\system32.dll
Seitenanfang Seitenende
31.07.2004, 10:00
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#7 @Spacemayer

deaktiviere die Wiederherstellung...kannst du nach der Reinigung wieder aktivieren.

2. du kannst die Reinigung versuchen, aber es besteht das Risiko, dass dann einiges nicht mehr funktioniert , wie es soll.


Fixe mit dem HijackThis

R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://dka.directwebsearch.net/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://dka.directwebsearch.net/search.php
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://dka.directwebsearch.net/search.php
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://dka.directwebsearch.net/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\secure.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://dka.directwebsearch.net/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Anton\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Anton\LOKALE~1\Temp\sp.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\secure.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\secure.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://dka.directwebsearch.net/search.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Anton\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Anton\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\secure.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Anton\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://dka.directwebsearch.net/search.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Anton\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://dka.directwebsearch.net/search.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\secure.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\secure.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81C3A} - C:\WINDOWS\EliteBar\ELITEB~2.DLL
O2 - BHO: (no name) - {ED249F4E-005A-4BCF-B5FE-B6202B8B021F} - C:\WINDOWS\System32\cabkaaa.dll
O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA880F} - C:\WINDOWS\EliteBar\EliteBar version 35.dll

O4 - HKLM\..\Run: [Login] c:\windows\system32\winlog.exe
O4 - HKLM\..\Run: [Devices] c:\windows\system32\olesvr.exe
O4 - HKLM\..\Run: [winupd] C:\WINDOWS\System32\winupd.exe
O4 - HKLM\..\Run: [ablbzbsi] C:\WINDOWS\System32\violqx.exe
O4 - HKLM\..\Run: [msbb] c:\windows\msbb.exe
O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\Downloaded Program Files\CONFLICT.1\bridge.dll",Load
O4 - HKCU\..\Run: [Ubus] C:\Dokumente und Einstellungen\Anton\Anwendungsdaten\eoos.exe
O4 - HKCU\..\Run: [Gvihi] C:\WINDOWS\System32\ktradsdb.exe
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.xxxtoolbar.com

O16 - DPF: {10000000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\MAIN.MHT!http://d.dialer2004.com//396754/main.chm::/load.exe
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!http://69.31.79.187/winsearchie32.chm::/winsearchie32.exe
O16 - DPF: {11120607-1001-1111-1000-110199901123} - ms-its:mhtml:file://C:\foo.mht!http://81.211.105.37/20609/online.chm::/on-line.exe
O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} (brdg Class) - http://static.flingstone.com/cab/2000XP/CDTInc/bridge.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab

O18 - Filter: text/html - {BC27BD1D-9081-46B8-8A52-B14C0EC96E2D} - C:\WINDOWS\System32\cabkaaa.dll
O18 - Filter: text/plain - {BC27BD1D-9081-46B8-8A52-B14C0EC96E2D} - C:\WINDOWS\System32\cabkaaa.dll
O21 - SSODL: System - {5C5D64A7-E280-42C6-86ED-71BFA61EC35D} - C:\WINDOWS\system32\system32.dll

neustarten


Deaktiviere kurz deinen Virenscanner !!!!
#Installiere Antivirus
http://www.free-av.de/

Konfiguriere den Antivirus AVGCtrl
Automatischen Scan stoppen,
Einstellungen hochschrauben (Suchen: ALLE DATEIN, Unerwünschte Programme: ALLE ausser spiele, Heuristik: Win32 Heuristik Priorität hoch)

#Geh in den abgesicherten Modus...das ist wichtig !
http://www.bsi.de/av/texte/winsave.htm
und mache einen Vollscann mit dem Antivirus.

normal neustarten

#Lade AdAware free...updaten vor dem Scannen !!!
http://www.lavasoft.de/support/download/

#Lade mwav.exe...scanne alle Dateien (30 Tage free)
http://www.mwti.net/antivirus/free_utilities.asp

Loesch mit ClearProg
http://www.clearprog.de/
# die TemporaryInternetFiles !!!
und stelle unter <Internetoptionen eine neue Startseite ein.

Wenn alles fertig ist, poste das Log noch mal.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 31.07.2004 um 10:04 Uhr von Sabina editiert.
Seitenanfang Seitenende
31.07.2004, 11:48
Member

Beiträge: 22
#8 oh... der war gut ich versteh kein wort sorry ;)
also das mit dem fixen bekomm ich noch hin aber dannach versteh ich nur bahnhof.
Seitenanfang Seitenende
31.07.2004, 11:57
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#9 Nun versuchen wir es noch einmal.
Du fixt alles, was ich gepostet habe, dann startest du den Computer neu.

Dann laedst du Antivirus, wartest den Installationsscann ab und dann konfigurierst du den Scanner.

#Installiere Antivirus
http://www.free-av.de/

Konfiguriere den Antivirus AVGCtrl
Einstellungen hochschrauben (Suchen: ALLE DATEIN, Unerwünschte Programme: ALLE ausser spiele, Heuristik: Win32 Heuristik Priorität hoch)
Guard aktivieren

#Dann startest du neu und gehst in den abgesicherten Modus, indem du die Taste F8 beim Hochfahren drueckst und <abgesicherter Modus waehlst.
http://www.bsi.de/av/texte/winsave.htm
und mache einen Vollscann mit dem Antivirus.


normal neustarten

Dann laedst du alle anderen Tools und scannst., loescht mit Clearprog die TemporaryInternetfiles, stellst unter <InternetOptionen eine neue Startseite ein .

Dann postest du das Log noch mal.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 31.07.2004 um 12:00 Uhr von Sabina editiert.
Seitenanfang Seitenende
01.08.2004, 15:08
Member

Beiträge: 22
#10

Zitat

Dann laedst du alle anderen Tools und scannst., loescht mit Clearprog die TemporaryInternetfiles, stellst unter <InternetOptionen eine neue Startseite ein .
check ich net.
bitte etwas einfach erklären!
Seitenanfang Seitenende
01.08.2004, 15:43
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#11 Spacemayer

Nach dem Scannen mit dem korrekt konfigurierten Antivirus im abgesicherten Modus :::::

#Lade AdAware free...updaten vor dem Scannen !!!
http://www.lavasoft.de/support/download/

#Lade mwav.exe...scanne alle Dateien (30 Tage free)...wenn es dir moeglich ist, dann poste, was das Tool gefunden hat !!!!
http://www.mwti.net/antivirus/free_utilities.asp

ClearProg
Das Programm löscht die Surfspuren des Internet Explorers
<LOESCHE: Cookies (mit Ausschlußmöglichkeit beim IE)
-LOESCHE: Verlauf
-LOESCHE:Temporäre Internetfiles (Cache)
http://www.clearprog.de/

#und stelle unter <Internetoptionen< eine neue Startseite ein.

Dann poste das Log noch einmal.

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 01.08.2004 um 15:52 Uhr von Sabina editiert.
Seitenanfang Seitenende
01.08.2004, 22:59
Member

Beiträge: 22
#12 also ich weiss net obs an meinem internet liegt oder an was es sonst liegt!
aber keine dieser seiten kann angezeit werden?

sorry Sabine ich weiss ich bin schwierig ;)
Seitenanfang Seitenende
01.08.2004, 23:10
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#13 Na, macht nichts, wir kriegen das schon hin....
So aus der Ferne ist das nicht so leicht und es ist o.k. wenn du fragst, wenn was nicht hinhaut.. ;)

C:\WINDOWS\NOTEPAD.EXE C:\WINDOWS\SYSTEM32\DRIVERS\etc\HOSTS
gehe in die Hostsdatei , oeffne sie mit dem Editor (Notepad)und loesche alles, so dass nur bleibt:
127.0.0.1 Lokalhosts.
Dann vergiss auch nicht alles zu fixen, was oben im Log angegeben wurde .
und neuzustarten


R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://dka.directwebsearch.net/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://dka.directwebsearch.net/search.php
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://dka.directwebsearch.net/search.php
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://dka.directwebsearch.net/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\secure.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://dka.directwebsearch.net/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Anton\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Anton\LOKALE~1\Temp\sp.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\secure.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\secure.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://dka.directwebsearch.net/search.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Anton\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Anton\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\secure.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Anton\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://dka.directwebsearch.net/search.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Anton\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://dka.directwebsearch.net/search.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\secure.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\secure.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81C3A} - C:\WINDOWS\EliteBar\ELITEB~2.DLL
O2 - BHO: (no name) - {ED249F4E-005A-4BCF-B5FE-B6202B8B021F} - C:\WINDOWS\System32\cabkaaa.dll
O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA880F} - C:\WINDOWS\EliteBar\EliteBar version 35.dll

O4 - HKLM\..\Run: [Login] c:\windows\system32\winlog.exe
O4 - HKLM\..\Run: [Devices] c:\windows\system32\olesvr.exe
O4 - HKLM\..\Run: [winupd] C:\WINDOWS\System32\winupd.exe
O4 - HKLM\..\Run: [ablbzbsi] C:\WINDOWS\System32\violqx.exe
O4 - HKLM\..\Run: [msbb] c:\windows\msbb.exe
O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\Downloaded Program Files\CONFLICT.1\bridge.dll",Load
O4 - HKCU\..\Run: [Ubus] C:\Dokumente und Einstellungen\Anton\Anwendungsdaten\eoos.exe
O4 - HKCU\..\Run: [Gvihi] C:\WINDOWS\System32\ktradsdb.exe
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.xxxtoolbar.com

O16 - DPF: {10000000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\MAIN.MHT!http://d.dialer2004.com//396754/main.chm::/load.exe
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!http://69.31.79.187/winsearchie32.chm::/winsearchie32.exe
O16 - DPF: {11120607-1001-1111-1000-110199901123} - ms-its:mhtml:file://C:\foo.mht!http://81.211.105.37/20609/online.chm::/on-line.exe
O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} (brdg Class) - http://static.flingstone.com/cab/2000XP/CDTInc/bridge.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab

O18 - Filter: text/html - {BC27BD1D-9081-46B8-8A52-B14C0EC96E2D} - C:\WINDOWS\System32\cabkaaa.dll
O18 - Filter: text/plain - {BC27BD1D-9081-46B8-8A52-B14C0EC96E2D} - C:\WINDOWS\System32\cabkaaa.dll
O21 - SSODL: System - {5C5D64A7-E280-42C6-86ED-71BFA61EC35D} - C:\WINDOWS\system32\system32.dll

neustarten



Dann versuche Firefox zu laden.
http://www.firebird-browser.de/
und mit diesem Browser dann laedst du die Virenscanner.

Dann laedst du Antivirus, wartest den Installationsscann ab und dann konfigurierst du den Scanner.

#Installiere Antivirus
http://www.free-av.de/

Konfiguriere den Antivirus AVGCtrl
Einstellungen hochschrauben (Suchen: ALLE DATEIN, Unerwünschte Programme: ALLE ausser spiele, Heuristik: Win32 Heuristik Priorität hoch)
Guard aktivieren

#Dann startest du neu und gehst in den abgesicherten Modus, indem du die Taste F8 beim Hochfahren drueckst und <abgesicherter Modus waehlst.
http://www.bsi.de/av/texte/winsave.htm
und mache einen Vollscann mit dem Antivirus.


normal neustarten

#Lade AdAware free
http://www.lavasoft.de/support/download/

#Lade mwav.exe...scanne alle Dateien (30 Tage free)
http://www.mwti.net/antivirus/free_utilities.asp

Loesch mit ClearProg
http://www.clearprog.de/
# die TemporaryInternetFiles !!!
und stelle unter <Internetoptionen eine neue Startseite ein.

Wenn alles fertig ist, poste das Log noch mal.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 01.08.2004 um 23:14 Uhr von Sabina editiert.
Seitenanfang Seitenende
02.08.2004, 13:08
Member

Beiträge: 22
#14 Also soweit mein können am pc gereicht hat hab ich mal alles gemacht!
hier der log

Logfile of HijackThis v1.98.0
Scan saved at 13:11:28, on 02.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\sstray.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\System32\mcc.exe
D:\Programme\Winamp\winampa.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Opera7\opera.exe
D:\Programme\Winamp\winamp.exe
C:\Dokumente und Einstellungen\Anton\Desktop\mwav.exe
C:\WINDOWS\System32\notepad.exe
C:\Dokumente und Einstellungen\Anton\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Anton\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Anton\LOKALE~1\Temp\sp.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Anton\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Anton\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Anton\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Anton\LOKALE~1\Temp\sp.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: (no name) - {318D7103-6BFC-4893-8D60-052025DA76B7} - C:\WINDOWS\System32\cabkaaa.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Multimedia Codecs] C:\WINDOWS\System32\mcc.exe
O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Microsoft® JavaScript® Console - {760239BD-B85D-41A2-835B-C40C97B15418} - C:\WINDOWS\System32\Comdlg32.ocx (file missing)
O9 - Extra 'Tools' menuitem: JavaScript Console - {760239BD-B85D-41A2-835B-C40C97B15418} - C:\WINDOWS\System32\Comdlg32.ocx (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra button: Microsoft® JavaScript® Console - {760239BD-B85D-41A2-835B-C40C97B15418} - C:\WINDOWS\System32\Comdlg32.ocx (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: JavaScript Console - {760239BD-B85D-41A2-835B-C40C97B15418} - C:\WINDOWS\System32\Comdlg32.ocx (file missing) (HKCU)
O16 - DPF: v2cab - http://searchmiracle.com/cab/v2cab.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab28578.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab28578.cab
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28578.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web8.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab28578.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab



das andere log progmramm also mwva hat übrigens 15 viren gefunden. soll ich log auch posten?
Seitenanfang Seitenende
02.08.2004, 13:44
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#15 Spacemayer

#Deaktiviere die Wiederherstellung ..kannst du, wenn alles sauber ist, wieder aktivieren !
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

FIXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Anton\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Anton\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Anton\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Anton\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Anton\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Anton\LOKALE~1\Temp\sp.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank

O2 - BHO: (no name) - {318D7103-6BFC-4893-8D60-052025DA76B7} - C:\WINDOWS\System32\cabkaaa.dll (file missing)


neustarten

#Gehe in den abgesicherten Modus und loesche C:\WINDOWS\System32\cabkaaa.dll
Öffneden Windows Explorer. Unter dem Punkt Extras findest du den Unterordner Ordneroptionen. Wähle diesen an. Markiere nun alle Dateien anzeigen.


#Mache noch einmal einen Vollscann mit Antivirus (mit den korrekten Einstellungen ....<alle Dateien scannen< und Heuristik: Win32 Heuristik Priorität hoch)) im abgesicherten Modus.

normal neustarten

#Lade Sphjfix.exe
http://www.rokop-security.de/main/article.php?sid=746
#Lade Spywareblaster
http://www.javacoolsoftware.com/downloads.html
#ueberpruefe mit Kaspersky...poste mal, was Kaspersky dazu meint....
C:\WINDOWS\System32\mcc.exe
http://www.kaspersky.com/scanforvirus
das ist bestimmt noch ein Virus.

#loesche mit ClearProg die TemporaryInternetfiles.
Dann poste das infizierte Log von mwav.exe und das Log vom HijackThis noch mal.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 02.08.2004 um 13:55 Uhr von Sabina editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: