DSO Exploit - Bitte ma gucken!Thema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
31.07.2004, 11:18
...neu hier
Beiträge: 2 |
||
|
||
31.07.2004, 11:39
Ehrenmitglied
Beiträge: 29434 |
#2
SimonJ
fixe mit dem HijackThis O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab neustarten #lade Spysweeper free und scanne http://www.spysweeper.com/ #Falls du keinen Virenscanner hast, lade Antivirus http://www.free-av.de/ dieser Scanner hat auch einen Guard, der als <aufgespannter Regenschirm< in der Taskleiste erscheinen muss Konfiguriere den Antivirus AVGCtrl Einstellungen hochschrauben (Suchen: ALLE DATEIN, Unerwünschte Programme: ALLE ausser Spiele, Heuristik: Win32 Heuristik Priorität mittel) Guard aktivieren ............................................................................................................................... DSOEyploit ist ein Bug, also ein Fehler vom Spybot, also kein Grund zur Sorge. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 31.07.2004 um 11:43 Uhr von Sabina editiert.
|
|
|
||
31.07.2004, 13:23
...neu hier
Themenstarter Beiträge: 2 |
#3
danke danke für die schnelle antwort, vielen dank, hat geklappt
|
|
|
||
31.07.2004, 14:55
...neu hier
Beiträge: 8 |
#4
Habe das gleiche Problem, vielleicht könnte auch jemand einen Blick auf meine logfile werfen.
Logfile of HijackThis v1.97.7 Scan saved at 14:38:19, on 31.07.2004 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v5.50 (5.50.4134.0100) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\SSDPSRV.EXE C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\LXDBOXCP.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\RUNDLL32.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE C:\PROGRAMME\EUMEX 604PC HOMENET\CAPICTRL.EXE C:\PROGRAMME\EUMEX 604PC HOMENET\HNETCTRL.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\PROGRAMME\SPYBOT - SEARCH & DESTROY\SPYBOTSD.EXE C:\PROGRAMME\OUTLOOK EXPRESS\MSIMN.EXE C:\WINDOWS\SYSTEM\PSTORES.EXE C:\PROGRAMME\MESSENGER\MSMSGS.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE D:\EIGENE DATEIEN\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.aol.de R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.aldi.com/ F1 - win.ini: run=lxdboxcp.exe O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe O4 - HKLM\..\Run: [NVQuickTweak] RUNDLL32.EXE NVQTWK.DLL,NvTaskbarInit O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe" O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe O4 - HKCU\..\Run: [AOLMIcon] C:\WINDOWS\AOLMIcon.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\PROGRAMME\ICQLITE\ICQLITE.EXE -trayboot O4 - Startup: Callisa.lnk = C:\Programme\Callisa\Callisa.exe O4 - Startup: CAPI Control.lnk = C:\Programme\Eumex 604PC HomeNet\Capictrl.exe O4 - Startup: HomeNet Control.lnk = C:\Programme\Eumex 604PC HomeNet\HNetCtrl.exe O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: MSN Messenger Service (HKLM) O9 - Extra button: Recherche-Assistent (HKLM) O9 - Extra button: ICQ Lite (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?37863.2098611111 |
|
|
||
01.08.2004, 12:09
Ehrenmitglied
Beiträge: 29434 |
#5
@kribbel
Fixe mit dem HijackThis, falls du auch nicht weisst, was das ist.... O4 - Startup: Callisa.lnk = C:\Programme\Callisa\Callisa.exe Nicht gefährlich aber unnötig. F1 - win.ini: run=lxdboxcp.exe O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe O4 - HKLM\..\Run: [NVQuickTweak] RUNDLL32.EXE NVQTWK.DLL,NvTaskbarInit O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot neustarten ueberpruefe es mit Kaspersky http://www.kaspersky.com/remoteviruschk.html C:\Programme\Callisa\Callisa.exe #lade Spysweeper free und scanne http://www.spysweeper.com/ #lade mwav.exe und scanne <alle Dateien< http://www.mwti.net/antivirus/free_utilities.asp poste dann, ob das Tool was gefunden hat. #Mache die WindowsUpdates und aktualisiere den IE auf IE 6 Sp1 http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=1E1550CB-5E5D-48F5-B02B-20B602228DE6 DSOEyploit ist ein Bug, also ein Fehler vom Spybot, also kein Grund zur Sorge. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 01.08.2004 um 12:19 Uhr von Sabina editiert.
|
|
|
||
01.08.2004, 16:10
...neu hier
Beiträge: 8 |
#6
Vielen Dank erstmal, habe alle Instruktionen durchgeführt. Es wurden 2 Fehler gefunden und ein Trojaner, aber da die Datei gelöscht wurde müsste doch jetzt alles in Ordnung sein ? Allerdings lässt sich die Installation des windows update nicht durchführen, es wird immer abgebrochen.
Sun Aug 01 15:05:28 2004 => ***** Scanning Service Files ***** Sun Aug 01 15:05:28 2004 => Scanning HKLM\SYSTEM\CurrentControlSet\Services Sun Aug 01 15:05:28 2004 => ERROR!!! Invalid Entry \SystemRoot\System\atmarpc.sys in SYSTEM\CurrentControlSet\Services\ATMARPC... File C:\WINDOWS\sys_ext.dll infected by "Trojan.Win32.StartPage.bx" Virus. Action Taken: File Deleted Danke nochmal, Kribbel |
|
|
||
01.08.2004, 16:25
Ehrenmitglied
Beiträge: 29434 |
#7
http://download.winboard.org/downloads.php?release_id=649
Versuch es mal hier. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
26.09.2004, 14:16
Member
Beiträge: 14 |
#8
Hi,
ich schätze ich habe das gleiche Problem. Habe gestern von Dr. Norton eine Warnung bekommen, die Seite nicht zu öffenen, jedoch war es dafür schon zu spät. ich hatte einige neue Favoriten und ein paar neue Anwendungen auf meinem PC. Im ersten Schritt habe ich über Suche nach neu erstellten Dateien zu diesem zeitpunkt versucht diese zu lokalisieren zu sofern möglich zu löschen. Dies ist mir bis auf 3 gelungen. Habe versucht ein Scandisk laufen zu lassen, und wurde informiert, daß ich erst alle Dateien schließen muß, bevor ich Scandisk starten kann. Über den taskmanager habe ich dann eine der 3 übrigen dateien gesehn, die ich so schließen und die datei im Anschluß löschen konnte. Jetzt habe ich insgesamt 4 Anti-Virenprogramme über meinen rechner laufen lassen: Dr. Norton Spyware Spybot jede dieser Programme hat etwas gefunden und gelöscht. Habe über Hijacker auch einen logfile erstellt und wäre froh, wenn jemadn auch darüber mal einen Blick werfen könnte und mir sagen würde, was ich hiervon löschen kann: Logfile of HijackThis v1.97.7 Scan saved at 13:45:42, on 26.09.04 Platform: Windows 98 Gold (Win9x 4.10.1998) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\SYSTEM\ATITASK.EXE C:\WINDOWS\SYSTEM\ATICWD32.EXE C:\WINDOWS\STARTER.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\PROGRAMME\AHEAD\INCD\INCD.EXE C:\PROGRAMME\AHEAD\NERO TOOLKIT\DRIVESPEED.EXE C:\PROGRAMME\ELABORATE BYTES\CLONECD\CLONECDTRAY.EXE C:\PROGRAMME\NORTON ANTIVIRUS\NAVAPW32.EXE C:\WINDOWS\HUO.EXE C:\WINDOWS\RunDLL.exe C:\PROGRAMME\WEBROOT\SPY SWEEPER\SPYSWEEPER.EXE C:\DARKSTONEDEMO\ATI\ATIDESK\ATISCHED.EXE C:\EIGENE DATEIEN\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://rootsearch.biz/search.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://rootsearch.biz/search.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://rootsearch.biz/search.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://rootsearch.biz/search.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://rootsearch.biz/search.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://rootsearch.biz/search.html R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://rootsearch.biz/search.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://rootsearch.biz/search.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://rootsearch.biz/search.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://rootsearch.biz/search.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://rootsearch.biz/search.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://rootsearch.biz/search.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://rootsearch.biz/search.html R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://rootsearch.biz/search.html R3 - Default URLSearchHook is missing O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: (no name) - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\NEM219.DLL O2 - BHO: (no name) - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\LOCALNRD.DLL O2 - BHO: (no name) - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\SYSTEM\MSBE.DLL O2 - BHO: BHO - {06CAD548-14DD-4fa3-9EA9-05F83C18CBD7} - C:\WINDOWS\SYSTEM\MSPXS32.DLL O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [Atikey] Atitask.exe O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe O4 - HKLM\..\Run: [LexmarkPrinTray] PrinTray.exe O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\PhotoSmart\HP Share-to-Web\hpgs2wnd.exe O4 - HKLM\..\Run: [InCD] C:\Programme\ahead\InCD\InCD.exe O4 - HKLM\..\Run: [Nero DriveSpeed] C:\PROGRA~1\AHEAD\NEROTO~1\DRIVES~1.EXE O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe" O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE O4 - HKLM\..\Run: [winupd] C:\WINDOWS\SYSTEM\winupd.exe O4 - HKLM\..\Run: [Win32 Explorer] C:\WINDOWS\SYSTEM\explorer32.exe O4 - HKLM\..\Run: [Win32SystemMonitor] C:\WINDOWS\Acf.exe O4 - HKLM\..\Run: [Windows SyncroAd] C:\PROGRAM FILES\WINDOWS SYNCROAD\SYNCROAD.EXE O4 - HKLM\..\Run: [wqzzfjuhptcko] C:\WINDOWS\SYSTEM\ltazrt.exe O4 - HKLM\..\Run: [sais] c:\programme\180solutions\sais.exe O4 - HKLM\..\Run: [CONSCORR] C:\WINDOWS\CONSCORR.exe O4 - HKLM\..\Run: [BullsEye Network] C:\Programme\BullsEye Network\bin\bargains.exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMON.EXE O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY O4 - HKCU\..\Run: [Win32 Explorer] C:\WINDOWS\SYSTEM\explorer32.exe O4 - HKCU\..\Run: [Win32SystemMonitor] C:\WINDOWS\Acf.exe O4 - HKCU\..\Run: [Rtao] C:\WINDOWS\Anwendungsdaten\mulr.exe O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SPYSWEEPER.EXE" /0 O4 - HKCU\..\RunServices: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY O4 - HKCU\..\RunServices: [Win32 Explorer] C:\WINDOWS\SYSTEM\explorer32.exe O4 - HKCU\..\RunServices: [Win32SystemMonitor] C:\WINDOWS\Acf.exe O4 - HKCU\..\RunServices: [Rtao] C:\WINDOWS\Anwendungsdaten\mulr.exe O4 - HKCU\..\RunServices: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SPYSWEEPER.EXE" /0 O4 - Startup: ATI Scheduler.lnk = C:\DarkstoneDemo\ATI\atidesk\ATISCHED.EXE O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Startup: NkvMon.exe.lnk = C:\Programme\Nikon\NkView6\NkvMon.exe O4 - Startup: TextBridge Instant Access OCR.lnk = C:\Program Files\TextBridge Classic\Bin\TBMenu.exe O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html O8 - Extra context menu item: Verweisseiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html O15 - Trusted Zone: *.windupdates.com O15 - Trusted Zone: *.searchmiracle.com O15 - Trusted Zone: *.searchbarcash.com O15 - Trusted Zone: *.skoobidoo.com O15 - Trusted Zone: *.my-internet.info O15 - Trusted Zone: *.xxxtoolbar.com O15 - Trusted Zone: *.slotch.com O15 - Trusted Zone: *.flingstone.com O15 - Trusted Zone: *.mt-download.com O15 - Trusted Zone: *.blazefind.com O15 - Trusted Zone: *.clickspring.net O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!http://69.50.187.110/winsearchie32.chm::/winsearchie32.exe O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=1d6ddb8ab613b247b304d42096c8efd7b5a6d92d0b257d741d007e58b6bee12ee6a04096977d18a1ea6cf81af6152686c5ee31c6:5505c90b877c63a0dcbb0ca5764d0b15 Desweiteren hat Dr. Norton noch eine datei isoliert, die er nicht reparieren kann. Wie gehe ich damit am besten um ? Es wäre nett, wenn mir jemand antworten könnte. Vielen dank !!! Sven Dieser Beitrag wurde am 26.09.2004 um 14:41 Uhr von Sven17 editiert.
|
|
|
||
26.09.2004, 15:25
Ehrenmitglied
Beiträge: 29434 |
#9
Hallo @Sven17
Ueberlege dir, ob nicht eine Neuinstallation angebrachter ist. Dein PC ist voellig verseucht...... R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://rootsearch.biz/search.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://rootsearch.biz/search.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://rootsearch.biz/search.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://rootsearch.biz/search.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://rootsearch.biz/search.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://rootsearch.biz/search.html R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://rootsearch.biz/search.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://rootsearch.biz/search.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://rootsearch.biz/search.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://rootsearch.biz/search.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://rootsearch.biz/search.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://rootsearch.biz/search.html R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://rootsearch.biz/search.html R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://rootsearch.biz/search.html R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\NEM219.DLL O2 - BHO: (no name) - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\LOCALNRD.DLL O2 - BHO: (no name) - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\SYSTEM\MSBE.DLL O2 - BHO: BHO - {06CAD548-14DD-4fa3-9EA9-05F83C18CBD7} - C:\WINDOWS\SYSTEM\MSPXS32.DLL O4 - HKLM\..\Run: [winupd] C:\WINDOWS\SYSTEM\winupd.exe O4 - HKLM\..\Run: [Win32 Explorer] C:\WINDOWS\SYSTEM\explorer32.exe O4 - HKLM\..\Run: [Win32SystemMonitor] C:\WINDOWS\Acf.exe O4 - HKLM\..\Run: [Windows SyncroAd] C:\PROGRAM FILES\WINDOWS SYNCROAD\SYNCROAD.EXE O4 - HKLM\..\Run: [wqzzfjuhptcko] C:\WINDOWS\SYSTEM\ltazrt.exe O4 - HKLM\..\Run: [sais] c:\programme\180solutions\sais.exe O4 - HKLM\..\Run: [CONSCORR] C:\WINDOWS\CONSCORR.exe O4 - HKLM\..\Run: [BullsEye Network] C:\Programme\BullsEye Network\bin\bargains.exe O4 - HKCU\..\Run: [Win32 Explorer] C:\WINDOWS\SYSTEM\explorer32.exe O4 - HKCU\..\Run: [Win32SystemMonitor] C:\WINDOWS\Acf.exe O4 - HKCU\..\Run: [Rtao] C:\WINDOWS\Anwendungsdaten\mulr.exe O4 - HKCU\..\RunServices: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY O4 - HKCU\..\RunServices: [Win32 Explorer] C:\WINDOWS\SYSTEM\explorer32.exe O4 - HKCU\..\RunServices: [Win32SystemMonitor] C:\WINDOWS\Acf.exe O4 - HKCU\..\RunServices: [Rtao] C:\WINDOWS\Anwendungsdaten\mulr.exe O15 - Trusted Zone: *.searchmiracle.com O15 - Trusted Zone: *.searchbarcash.com O15 - Trusted Zone: *.skoobidoo.com O15 - Trusted Zone: *.my-internet.info O15 - Trusted Zone: *.xxxtoolbar.com O15 - Trusted Zone: *.slotch.com O15 - Trusted Zone: *.flingstone.com O15 - Trusted Zone: *.mt-download.com O15 - Trusted Zone: *.blazefind.com O15 - Trusted Zone: *.clickspring.net O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!http://69.50.187.110/winsearchie32.chm::/winsearchie32.exe O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=1d6ddb8ab613b247b304d42096c8efd7b5a6d92d0b257d741d007e58b6bee12ee6a04096977d18a1ea6cf81af6152686c5ee31c6:5505c90b877c63a0dcbb0ca5764d0b15 mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 26.09.2004 um 15:36 Uhr von Sabina editiert.
|
|
|
||
26.09.2004, 20:27
Member
Beiträge: 14 |
#10
Hi Sabina !
Vielen Dank für Deine schnellle Hilfe. Leider bi ich ein absoluter Laie und habe keine Ahnung, wie ich vorgehen müsste, um eine Neuinstallation zu starten. Ausserdem wüsste ich nicht, welche dateien ich schützen müsste, damit ich sie nicht verliere, etc. Ich habe jedenfalls die von Dir angegebenen Dateien gelöscht. Und nochmal einen neuen logfile erstellt. Vielleicht könntest Du da nochmal drübersehen, ob jetzt alles in Ordnung ist. Desweiteren sind, nachdem ich die ganzen von Dir empfohlenen Dateien gelöscht habe, jede Menge backups in meinen "eigenen Dateien" aufgetaucht. Was soll ich mit denen machen ? löschen ?? Ich habe folgende Antiviren Programme: Dr. Norton Hijack Spybot Spysweeper meinst Du die reichen aus ? Oder was, bzw welches programm würdest Du mir empfehlen, um sicherzugehen, damit mein PC jetzt wirklich OK ist ? Welche sollte ich nochmal drüber laufen lassen ? hier jedenfalls noch mal mein aktuelles logfile: VIELEN DANK NOCHMAL FÜR DEINE MÜHE !!! Sven Logfile of HijackThis v1.97.7 Scan saved at 20:23:18, on 26.09.04 Platform: Windows 98 Gold (Win9x 4.10.1998) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\SYSTEM\ATITASK.EXE C:\WINDOWS\SYSTEM\ATICWD32.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\STARTER.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\PROGRAMME\HEWLETT-PACKARD\PHOTOSMART\HP SHARE-TO-WEB\HPGS2WND.EXE C:\PROGRAMME\AHEAD\INCD\INCD.EXE C:\PROGRAMME\HEWLETT-PACKARD\PHOTOSMART\HP SHARE-TO-WEB\HPGS2WNF.EXE C:\PROGRAMME\AHEAD\NERO TOOLKIT\DRIVESPEED.EXE C:\PROGRAMME\ELABORATE BYTES\CLONECD\CLONECDTRAY.EXE C:\PROGRAMME\NORTON ANTIVIRUS\NAVAPW32.EXE C:\WINDOWS\SYSTEM\JVP.EXE C:\PROGRAMME\WEBROOT\SPY SWEEPER\SPYSWEEPER.EXE C:\DARKSTONEDEMO\ATI\ATIDESK\ATISCHED.EXE C:\PROGRAMME\NIKON\NKVIEW6\NKVMON.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\EIGENE DATEIEN\HIJACKTHIS.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [Atikey] Atitask.exe O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe O4 - HKLM\..\Run: [LexmarkPrinTray] PrinTray.exe O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\PhotoSmart\HP Share-to-Web\hpgs2wnd.exe O4 - HKLM\..\Run: [InCD] C:\Programme\ahead\InCD\InCD.exe O4 - HKLM\..\Run: [Nero DriveSpeed] C:\PROGRA~1\AHEAD\NEROTO~1\DRIVES~1.EXE O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe" O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE O4 - HKLM\..\Run: [Win32SystemMonitor] C:\WINDOWS\SYSTEM\Afu.exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMON.EXE O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg O4 - HKCU\..\Run: [Win32SystemMonitor] C:\WINDOWS\SYSTEM\Afu.exe O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SPYSWEEPER.EXE" /0 O4 - HKCU\..\RunServices: [Win32SystemMonitor] C:\WINDOWS\SYSTEM\Afu.exe O4 - HKCU\..\RunServices: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SPYSWEEPER.EXE" /0 O4 - Startup: ATI Scheduler.lnk = C:\DarkstoneDemo\ATI\atidesk\ATISCHED.EXE O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Startup: NkvMon.exe.lnk = C:\Programme\Nikon\NkView6\NkvMon.exe O4 - Startup: TextBridge Instant Access OCR.lnk = C:\Program Files\TextBridge Classic\Bin\TBMenu.exe O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html O8 - Extra context menu item: Verweisseiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html O15 - Trusted Zone: *.windupdates.com O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab |
|
|
||
26.09.2004, 22:46
Ehrenmitglied
Beiträge: 29434 |
#11
Hallo @Sven17
Durch das Fixen verschwinden die Backdoors und Viren nicht von der Festplatte. Ich habe die Sachen nur gepostet, damit du siehst, dass dein PC praktisch nur aus Malware besteht. Fixe: O4 - HKLM\..\Run: [Win32SystemMonitor] C:\WINDOWS\SYSTEM\Afu.exe O4 - HKCU\..\Run: [Win32SystemMonitor] C:\WINDOWS\SYSTEM\Afu.exe O4 - HKCU\..\RunServices: [Win32SystemMonitor] C:\WINDOWS\SYSTEM\Afu.exe neustarten #Das eScan AV Toolkit (mwav.exe) herunterladen, http://www.mwti.net/antivirus/free_utilities.asp die Datei in den Ordner "c:\base" entpacken und danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen. und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen : Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives folgende Haken : [x] Memory [x] Registry [x] Startup Folders [x] System Folders [x] Services [x] Drive (x) All Local Drives [x] Folder [C:\WINDOWS] [x] Include SubDirectory <und "Scan clean" klicken. Poste danach Virus Log Information: (aus Viewer abkopieren) was als <deleted< und <renamed< und <no action taken< gefunden wurde 2. Lade Antivirus http://www.free-av.de/ Nach dem Installationsscann (den du ih Ruhe abwarten solltest, konfiguriere: <alle Dateien <Heuristik: mittel und mache einen Komplettscann. 3.Lade diese Firewall: <Agnitum: Outpost Firewall Outpost von Agnitum gibt es auch als free-Version. http://www.agnitum.com/download/outpost1.html <Outpost Firewall Spezial Deutschsprachige Anleitungen zur Installation und Konfiguration von Outpost auf brain-pro.de. http://www.brain-pro.de/outpostspezial.htm und poste das neue Log vom HijackThis noch mal (zusammen mit den Infos vom eScan . mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 26.09.2004 um 23:10 Uhr von Sabina editiert.
|
|
|
||
27.09.2004, 20:17
Member
Beiträge: 14 |
#12
Hi Sabina,
ich habe es geschafft, bin mit den Programmen soweit durch. hier die jeweiligen logfiles: escan: hierzu muß ich saegn, daß ich das programm bereits vor Deinem post runtergeladen hatte und einmal durchlaufen ließ. Da wurden bereits 9 Dateien gefunden, von denen 3 umbenannt und 6 gelöscht wurden. Leider weiß ich nicht mehr wie diese hießen. das aktuelle: File C:\WINDOWS\TEMP\conscorr.exe infected by "TrojanDownloader.Win32.Stubby.c" Virus. Action Taken: File Deleted. File C:\Eigene Dateien\backup-20040926-201444-391.dll infected by "Trojan.Win32.StartPage.mn" Virus. Action Taken: File Deleted. File C:\Eigene Dateien\backup-20040926-201444-473.dll infected by "not-a-virus:AdvWare.BiSpy.n" Virus. Action Taken: File Renamed. File C:\Eigene Dateien\backup-20040926-201444-747.dll infected by "TrojanDownloader.Win32.Dyfuca.gen" Virus. Action Taken: File Deleted. File C:\Eigene Dateien\backup-20040926-201501-977.dll infected by "not-a-virus:AdvWare.MediaTickets.d" Virus. Action Taken: File Renamed. File C:\Eigene Dateien\backup-20040926-201503-717.dll infected by "not-a-virus:AdvWare.WinAD" Virus. Action Taken: File Renamed. Hijack this Logfile of HijackThis v1.97.7 Scan saved at 19:53:13, on 27.09.04 Platform: Windows 98 Gold (Win9x 4.10.1998) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MSTASK.EXE C:\PROGRAMME\AGNITUM\OUTPOST FIREWALL 1.0\OUTPOST.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\SYSTEM\ATITASK.EXE C:\WINDOWS\SYSTEM\ATICWD32.EXE C:\WINDOWS\STARTER.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\PROGRAMME\HEWLETT-PACKARD\PHOTOSMART\HP SHARE-TO-WEB\HPGS2WND.EXE C:\PROGRAMME\AHEAD\INCD\INCD.EXE C:\PROGRAMME\AHEAD\NERO TOOLKIT\DRIVESPEED.EXE C:\PROGRAMME\ELABORATE BYTES\CLONECD\CLONECDTRAY.EXE C:\PROGRAMME\HEWLETT-PACKARD\PHOTOSMART\HP SHARE-TO-WEB\HPGS2WNF.EXE C:\PROGRAMME\NORTON ANTIVIRUS\NAVAPW32.EXE C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE C:\PROGRAMME\WEBROOT\SPY SWEEPER\SPYSWEEPER.EXE C:\DARKSTONEDEMO\ATI\ATIDESK\ATISCHED.EXE C:\PROGRAMME\NIKON\NKVIEW6\NKVMON.EXE C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OUTLOOK.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYSTEM\MAPI\1031\95\MAPISP32.EXE C:\WINDOWS\SYSTEM\PSTORES.EXE C:\EIGENE DATEIEN\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [Atikey] Atitask.exe O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe O4 - HKLM\..\Run: [LexmarkPrinTray] PrinTray.exe O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\PhotoSmart\HP Share-to-Web\hpgs2wnd.exe O4 - HKLM\..\Run: [InCD] C:\Programme\ahead\InCD\InCD.exe O4 - HKLM\..\Run: [Nero DriveSpeed] C:\PROGRA~1\AHEAD\NEROTO~1\DRIVES~1.EXE O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe" O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMON.EXE O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min O4 - HKLM\..\Run: [Outpost Firewall] "C:\Programme\Agnitum\Outpost Firewall 1.0\outpost.exe" /waitservice O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg O4 - HKLM\..\RunServices: [Outpost Firewall] C:\PROGRAMME\AGNITUM\OUTPOST FIREWALL 1.0\outpost.exe /service O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SPYSWEEPER.EXE" /0 O4 - HKCU\..\RunServices: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SPYSWEEPER.EXE" /0 O4 - Startup: ATI Scheduler.lnk = C:\DarkstoneDemo\ATI\atidesk\ATISCHED.EXE O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Startup: NkvMon.exe.lnk = C:\Programme\Nikon\NkView6\NkvMon.exe O4 - Startup: TextBridge Instant Access OCR.lnk = C:\Program Files\TextBridge Classic\Bin\TBMenu.exe O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html O8 - Extra context menu item: Verweisseiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O15 - Trusted Zone: *.windupdates.com O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?38256.5531018519 dann habe ich nochmal Spybot laufen lassen und bakem 5 weitere Probleme angezeigt: Media Plex Internet explorer (.): Cookie:.@mediaplex.com Alexa related C:\WINDOWS\Web\RELATED.HTM DSO Exploit scheint ja dieser ungefährliche Bug zu sein, auf den Du bereits oben hingewiesen hast possible extension hijack HKEY_CLASSES_ROOT\scrfile\shell\open\command\!="%1" /S Xer0x HKEY_LOCAL_MACHINE\Software\xerox Sieht es denn jetzt besser aus ? Vielen Dank. Sven Dieser Beitrag wurde am 27.09.2004 um 20:19 Uhr von Sven17 editiert.
|
|
|
||
28.09.2004, 11:46
Ehrenmitglied
Beiträge: 29434 |
#13
Hallo @Sven17
Ja, nun scheint alles sauber: Fixe noch, damit es aus dem Autostart kommt: Nicht gefährlich aber unnötig. O4 - HKLM\..\Run: [Atikey] Atitask.exe O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\PhotoSmart\HP Share-to-Web\hpgs2wnd.exe O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SPYSWEEPER.EXE" /0 O4 - HKCU\..\RunServices: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SPYSWEEPER.EXE" /0 O4 - Startup: ATI Scheduler.lnk = C:\DarkstoneDemo\ATI\atidesk\ATISCHED.EXE O4 - Startup: NkvMon.exe.lnk = C:\Programme\Nikon\NkView6\NkvMon.exe Die Tools tragen sich bei Anwendung wieder im Autostart ein. ............................................................................................................................... PC-Selbsttest http://check.lfd.niedersachsen.de/start.php #ANTS 2.1. Festplatte auf Viren und den PC auf offene Ports ueberpruefen (!) http://www.pcbusiness-online.de/common/dtt/file.php?areaid=12&orderby=Title&dsp_start=0&fileid=1547 #Alternativbrowser zum IE Firefox http://www.mozilla.org/products/firefox/download.html?http%3A//ftp.mozilla.org/pub/mozilla.org/firefox/releases/0.10/Firefox%20Setup%201.0PR.exe Opera http://www.opera7.de/ #RegCleaner (Deutsch)..Saeuberungs-Tool der Registry (mit Sicherung )und ueberwachen der Autostart-Eintraege (unter 04 tragen sich die Trojaner normalerweise ein, also immer kontrollieren) http://www.chip.de/downloads/c_downloads_8830516.html #AdAware (free) http://www.lavasoft.de/support/download/ VOR jedem Scanvorgang das Programm Updaten! WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!. Files, die Adaware findet, können bedenkenlos gelöscht werden. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 28.09.2004 um 11:50 Uhr von Sabina editiert.
|
|
|
||
29.09.2004, 21:44
Member
Beiträge: 14 |
#14
Hi Sabina,
ich habe soweit alles gemacht. Antivir hat zwischenzeitlich noch einen Worm Netsky32 (?) gefunden und gelöscht. Ansonsten sieht es jetzt gut aus. Vielen Dank nochmal. Es ist jedenfalls eins der weingen male, daß die Anonymität im Internet nicht von Vorteil ist, sonst würde ich Dir jetzt zum Dank für Deine Mühe ein paar Bierchen ausgeben ! Gruß, Sven |
|
|
||
12.10.2004, 20:15
...neu hier
Beiträge: 5 |
#15
Hilfe ich hab das gleiche Problem kann mir vielleicht einer helfen? Hab schon alles probiert aber ich flieg immer aus dem Internet und kann dann nicht mehr rein und Task-Manager funktioniert bei mir dann auch nicht mehr und dann muss ich neustarten
hiers mal meine loc von Hijackthis Logfile of HijackThis v1.98.2 Scan saved at 20:13:32, on 12.10.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe C:\Programme\1&1 Programme\cFos\cFosDNT.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Trillian\trillian.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\system32\NOTEPAD.EXE C:\Dokumente und Einstellungen\Thai\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://daoc.foren.4players.de/index.php O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKLM\..\Run: [cFosDNT] C:\Programme\1&1 Programme\cFos\cFosDNT.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\Thai\LOKALE~1\Temp\mwavscan.com" /s O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1096910025500 O17 - HKLM\System\CCS\Services\Tcpip\..\{FE25154C-DF96-487C-971F-BFC66843BA39}: NameServer = 217.237.151.33 217.237.149.225 Alle sagen das ich Festplatte formatieren soll sonst gehts nicht |
|
|
||
Logfile of HijackThis v1.98.0
Scan saved at 11:20:55, on 31.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\Programme\TGTSoft\StyleXP\StyleXPService.exe
H:\WINDOWS\system32\spoolsv.exe
H:\WINDOWS\System32\DVDRAMSV.exe
H:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
H:\WINDOWS\System32\nvsvc32.exe
H:\WINDOWS\System32\snmp.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\Explorer.EXE
H:\Programme\WinFast\WFTVFM\WFWIZ.exe
H:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
H:\WINDOWS\SOUNDMAN.EXE
H:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
H:\Programme\ICQLite\ICQLite.exe
H:\Programme\TGTSoft\StyleXP\StyleXP.exe
H:\Programme\MSI\PC Alert 4\PCAlert4.exe
H:\Programme\Internet Explorer\IEXPLORE.EXE
H:\Programme\Winamp\Winamp.exe
H:\Programme\Spybot - Search & Destroy\SpybotSD.exe
H:\Programme\Internet Explorer\iexplore.exe
D:\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.games-fusion.net/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - H:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - h:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - h:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - H:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [QuickTime Task] "H:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE H:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [routcnf] H:\Programme\Telekom\Eumex 504PC USB\routcnf.exe
O4 - HKLM\..\Run: [WinFast Schedule] H:\Programme\WinFast\WFTVFM\WFWIZ.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] H:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE H:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TkBellExe] "H:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ICQ Lite] H:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKCU\..\Run: [Steam] "h:\programme\steam\steam.exe" -silent
O4 - HKCU\..\Run: [STYLEXP] H:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\RunOnce: [ICQ Lite] H:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: FooBar 1.0.LNK = H:\Programme\MatrixSoftware\FooBar\FooBar.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = H:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = H:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: PC Alert 4.lnk = H:\Programme\MSI\PC Alert 4\PCAlert4.exe
O8 - Extra context menu item: &Google Search - res://h:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://h:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://h:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://H:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://h:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - H:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - H:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/14b3e4341e7555458a17/netzip/RdxIE601_de.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20030625/qtinstall.info.apple.com/abarth/de/win/QuickTimeInstaller.exe
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
danke!