cws und pbh drauf :(

#0
08.08.2004, 05:36
...neu hier

Beiträge: 5
#1 moin leutz
hab das prob das hier wohl alle haben ;)
hab coolwebsearch und possible browser hijack drauf
hab adware und cws usw. probiert funktioniert net hab mit hijack this eine log erstellt hoffe ihr könnt mir schnell helfen danke schonmal im vorraus ;)


Logfile of HijackThis v1.98.2
Scan saved at 05:26:27, on 08.08.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
c:\progra~1\intern~1\iexplore.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Josef\Eigene Dateien\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Josef\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Josef\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.searchv.com/1/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 00 00 00 00
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = http://www.searchv.com/1/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.rodmsmhkhohgg.com/XyKKmDRbtNyZMgxQbwYCK8Jidka2/HMJGLuvt7r87Imvzh0jXMkmPohSNtmwssdF.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = http://www.searchv.com/1/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://bestsearch.cc/2721/search.php?qq=
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - SOFTWARE - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: TSCOM Class - {62160EEF-9D84-4C19-B7B8-6AC2526CD726} - C:\WINDOWS\System32\ipotepo.dll
O2 - BHO: (no name) - {7B55BB05-0B4D-44fd-81A6-B136188F5DEB} - C:\WINDOWS\questmod-1.dll
O2 - BHO: psic Class - {B6598677-4B54-42A9-BA67-8B64E3FCD92D} - C:\WINDOWS\System32\psic2.dll
O2 - BHO: (no name) - {BD4D21E5-73AE-424C-B39F-D8E20B6FC495} - C:\WINDOWS\System32\fcjmgaa.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {C5183ABC-EB6E-4E05-B8C9-500A16B6CF94} - (no file)
O2 - BHO: (no name) - {D55902F9-B3D9-FFF6-A7E6-90DF6F52DCFA} - C:\PROGRA~1\MULTIB~1\about wipe.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [flap logo] C:\PROGRA~1\OOZERU~1\InfoExit.exe
O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O4 - HKLM\..\RunServices: [system service] C:\WINDOWS\spoolcrv.cpl
O4 - HKLM\..\RunServices: [Sex] IEXPLORE.EXE http://search-world.net/
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {120E090D-9136-4b78-8258-F0B44B4BD2AC} - C:\WINDOWS\System32\ms.exe
O9 - Extra 'Tools' menuitem: MaxSpeed - {120E090D-9136-4b78-8258-F0B44B4BD2AC} - C:\WINDOWS\System32\ms.exe
O13 - WWW. Prefix: http://ehttp.cc/?
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/ger_nopop.exe
O16 - DPF: {11111111-1111-1111-1111-111111111111} - mhtml:file://C:NXSFT.MHT!http://69.31.87.70:80/iex/ofile.exe?url=http://69.31.87.70:80/dexDE208.exe
O16 - DPF: {11111111-1111-1111-1111-111111111123} - file://c:\windows\win.exe
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://super-gals.com/scj/rotation/templates/um2/x.chm::/ad.exe
O16 - DPF: {11111111-1111-1111-1111-111111111237} - http://63.219.178.91/1/deaDE89.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=0c8af29cad1529a0c2f12262efe492244d317f6ab2c86bff7585b7e883263ddf35912dd813dee463c744961d2b31add589650eef4d876c0fc2a2f745d64562:c31e3730b38c174130e1e2729109a237
O16 - DPF: {1EB17D1C-141D-4D9D-91CB-24D99215851D} - http://akamai.downloadv3.com/binaries/IA/netia32_EN_XP.cab
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} (CInstall Class) - http://www.spywarestormer.com/files2/Install.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.0_03) -
O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-intl/de/games4.cab
O16 - DPF: {A02780C3-7F77-4E28-855B-28890F3CF37A} - http://akamai.downloadv3.com/binaries/DialHTML/EGCOMLIB_1035_pack_XP.cab
O16 - DPF: {AD7FAFB0-16D6-40C3-AF27-585D6E6453FD} - http://66.230.143.209/loader/dploader.cab
O16 - DPF: {F57D17AE-CE37-4BC8-B232-EA57747BE5E7} - http://www.real-euros.com/EPlugin.cab
O16 - DPF: {FF65677A-8977-48CA-916A-DFF81B037DF3} - http://download.overpro.com/WildApp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FBE48783-92FA-43A5-BDA4-640E36A9A4B7}: NameServer = 217.237.151.225 194.25.2.129
O18 - Filter: text/html - {98ADCDDE-2814-4B01-920F-020FE6C917BA} - C:\WINDOWS\System32\fcjmgaa.dll
O18 - Filter: text/plain - {98ADCDDE-2814-4B01-920F-020FE6C917BA} - C:\WINDOWS\System32\fcjmgaa.dll
O19 - User stylesheet: C:\WINDOWS\win32.bmp
Seitenanfang Seitenende
08.08.2004, 17:51
Member
Avatar Dafra

Beiträge: 1122
#2 Fix:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Josef\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Josef\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.searchv.com/1/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 00 00 00 00
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = http://www.searchv.com/1/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.rodmsmhkhohgg.com/XyKKmDRbtNyZMgxQbwYCK8Jidka2/HMJGLuvt7r87Imvzh0jXMkmPohSNtmwssdF.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = http://www.searchv.com/1/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://bestsearch.cc/2721/search.php?qq=
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - SOFTWARE - (no file)
O2 - BHO: (no name) - {D55902F9-B3D9-FFF6-A7E6-90DF6F52DCFA} - C:\PROGRA~1\MULTIB~1\about wipe.exe
O2 - BHO: (no name) - {7B55BB05-0B4D-44fd-81A6-B136188F5DEB} - C:\WINDOWS\questmod-1.dll
O2 - BHO: psic Class - {B6598677-4B54-42A9-BA67-8B64E3FCD92D} - C:\WINDOWS\System32\psic2.dll
O2 - BHO: (no name) - {BD4D21E5-73AE-424C-B39F-D8E20B6FC495} - C:\WINDOWS\System32\fcjmgaa.dll
O2 - BHO: (no name) - {C5183ABC-EB6E-4E05-B8C9-500A16B6CF94} - (no file)
O4 - HKLM\..\RunServices: [system service] C:\WINDOWS\spoolcrv.cpl
O4 - HKLM\..\RunServices: [Sex] IEXPLORE.EXE http://search-world.net/
O13 - WWW. Prefix: http://ehttp.cc/?
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/ger_nopop.exe
O16 - DPF: {11111111-1111-1111-1111-111111111111} - mhtml:file://C:NXSFT.MHT!http://69.31.87.70:80/iex/ofile.exe?url=http://69.31.87.70:80/dexDE208.exe
O16 - DPF: {11111111-1111-1111-1111-111111111123} - file://c:\windows\win.exe
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://super-gals.com/scj/rotation/templates/um2/x.chm::/ad.exe
O16 - DPF: {11111111-1111-1111-1111-111111111237} - http://63.219.178.91/1/deaDE89.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=0c8af29cad1529a0c2f12262efe492244d317f6ab2c86bff7585b7e883263ddf35912dd813dee463c744961d2b31add589650eef4d876c0fc2a2f745d64562:c31e3730b38c174130e1e2729109a237
O16 - DPF: {1EB17D1C-141D-4D9D-91CB-24D99215851D} - http://akamai.downloadv3.com/binaries/IA/netia32_EN_XP.cab
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} (CInstall Class) - http://www.spywarestormer.com/files2/Install.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.0_03) -
O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-intl/de/games4.cab
O16 - DPF: {A02780C3-7F77-4E28-855B-28890F3CF37A} - http://akamai.downloadv3.com/binaries/DialHTML/EGCOMLIB_1035_pack_XP.cab
O16 - DPF: {AD7FAFB0-16D6-40C3-AF27-585D6E6453FD} - http://66.230.143.209/loader/dploader.cab
O16 - DPF: {F57D17AE-CE37-4BC8-B232-EA57747BE5E7} - http://www.real-euros.com/EPlugin.cab
O16 - DPF: {FF65677A-8977-48CA-916A-DFF81B037DF3} - http://download.overpro.com/WildApp.cab

MFG
DAFRA


P.s.
Am besten neu Formatieren

P.P.s
Update mal dein Windows auf
www.windowsupdate.com
Dieser Beitrag wurde am 08.08.2004 um 17:52 Uhr von Dafra editiert.
Seitenanfang Seitenende
08.08.2004, 18:56
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#3 @wilddog

Fixe, was @dafra gepostet hat, dann starte neu.

Deaktiviere kurz deinen Virenscanner und lade Antivirus
http://www.free-av.de/
Nach dem Installationsscann konfigurierst du den Scanner:
<Heuristic hoch
<alle Dateien scannen

gehe in den abgesicherten Modus (wichtig)
http://www.bsi.de/av/texte/winsave.htm
und machst einen Vollscann
........................................................................................
normal neustarten

lade mwav.exe und scanne <alle Dateien<(Loesche manuell, was der Scanner als <infiziert<anzeigt)
http://www.mwti.net/antivirus/free_utilities.asp


lade von unten links:
Download about blank scanner
http://www.adwareaway.com/aboutblank.htm
(direktlinK)

#Lade Cwshredder
http://www.chip.de/downloads/c_downloads_11353799.html

#Lade Spysweeper
http://www.spysweeper.com/

#Lade TuneUp2004 (30 Tage free) und saeubere\optimiere den Computer
http://www.tuneup.de/download/

#Stelle unter <InterentOptionen< eine neue Startseite ein
Dann postest du das neue Log vom HijackThis, mit der neuen Startseite noch einmal, um zu sehen, ob alles o.k. ist.

Gruss
Sabina

Dann laedst du FirefoX als Zweitbrowser ...ist sicherer
http://www.firebird-browser.de/
und surfst nur mit ihm.
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 08.08.2004 um 20:56 Uhr von Sabina editiert.
Seitenanfang Seitenende
08.08.2004, 19:54
...neu hier

Themenstarter

Beiträge: 5
#4 danke für die schnellen antworten, dann werd ich mich mal an die arbeit machen ;)
Seitenanfang Seitenende
08.08.2004, 22:49
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#5 Log von Wilddog

Logfile of HijackThis v1.98.2
Scan saved at 19:59:06, on 08.08.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
c:\progra~1\intern~1\iexplore.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Josef\Eigene Dateien\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Josef\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Josef\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 00 00 00 00
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://tjaucaeebszyionifvnctnt.info/XyKKmDRbtNyZMgxQbwYCK8Jidka2/HMJGLuvt7r87Inf2fcMlWpcF4hSNtmwssdF.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: TSCOM Class - {62160EEF-9D84-4C19-B7B8-6AC2526CD726} - C:\WINDOWS\System32\ipotepo.dll
O2 - BHO: (no name) - {BD4D21E5-73AE-424C-B39F-D8E20B6FC495} - C:\WINDOWS\System32\fcjmgaa.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {D55902F9-B3D9-FFF6-A7E6-90DF6F52DCFA} - C:\PROGRA~1\MULTIB~1\about wipe.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [flap logo] C:\PROGRA~1\OOZERU~1\InfoExit.exe
O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {11111111-1111-1111-1111-111111111111} - mhtml:file://C:NXSFT.MHT!http://69.31.87.70:80/iex/ofile.exe?url=http://69.31.87.70:80/dexDE208.exe
O16 - DPF: {11111111-1111-1111-1111-111111111123} - file://c:\windows\win.exe
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://super-gals.com/scj/rotation/templates/um2/x.chm::/ad.exe
O16 - DPF: {11111111-1111-1111-1111-111111111237} - http://63.219.178.91/1/deaDE89.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=0c8af29cad1529a0c2f12262efe492244d317f6ab2c86bff7585b7e883263ddf35912dd813dee463c744961d2b31add589650eef4d876c0fc2a2f745d64562:c31e3730b38c174130e1e2729109a237
O16 - DPF: {1EB17D1C-141D-4D9D-91CB-24D99215851D} - http://akamai.downloadv3.com/binaries/IA/netia32_EN_XP.cab
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} (CInstall Class) - http://www.spywarestormer.com/files2/Install.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.0_03) -
O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-intl/de/games4.cab
O16 - DPF: {A02780C3-7F77-4E28-855B-28890F3CF37A} - http://akamai.downloadv3.com/binaries/DialHTML/EGCOMLIB_1035_pack_XP.cab
O16 - DPF: {AD7FAFB0-16D6-40C3-AF27-585D6E6453FD} - http://66.230.143.209/loader/dploader.cab
O16 - DPF: {F57D17AE-CE37-4BC8-B232-EA57747BE5E7} - http://www.real-euros.com/EPlugin.cab
O16 - DPF: {FF65677A-8977-48CA-916A-DFF81B037DF3} - http://download.overpro.com/WildApp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FBE48783-92FA-43A5-BDA4-640E36A9A4B7}: NameServer = 217.237.151.225 194.25.2.129
O18 - Filter: text/html - {98ADCDDE-2814-4B01-920F-020FE6C917BA} - C:\WINDOWS\System32\fcjmgaa.dll
O18 - Filter: text/plain - {98ADCDDE-2814-4B01-920F-020FE6C917BA} - C:\WINDOWS\System32\fcjmgaa.dll
[ zurück zur Übersicht ]
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 08.08.2004 um 22:49 Uhr von Sabina editiert.
Seitenanfang Seitenende
08.08.2004, 22:55
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 @Wilddog

Fixe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Josef\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Josef\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 00 00 00 00
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://tjaucaeebszyionifvnctnt.info/XyKKmDRbtNyZMgxQbwYCK8Jidka2/HMJGLuvt7r87Inf2fcMlWpcF4hSNtmwssdF.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

O2 - BHO: TSCOM Class - {62160EEF-9D84-4C19-B7B8-6AC2526CD726} - C:\WINDOWS\System32\ipotepo.dll
O2 - BHO: (no name) - {BD4D21E5-73AE-424C-B39F-D8E20B6FC495} - C:\WINDOWS\System32\fcjmgaa.dll
O2 - BHO: (no name) - {D55902F9-B3D9-FFF6-A7E6-90DF6F52DCFA} - C:\PROGRA~1\MULTIB~1\about wipe.exe

O16 - DPF: {11111111-1111-1111-1111-111111111111} - mhtml:file://C:NXSFT.MHT!http://69.31.87.70:80/iex/ofile.exe?url=http://69.31.87.70:80/dexDE208.exe
O16 - DPF: {11111111-1111-1111-1111-111111111123} - file://c:\windows\win.exe
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://super-gals.com/scj/rotation/templates/um2/x.chm::/ad.exe
O16 - DPF: {11111111-1111-1111-1111-111111111237} - http://63.219.178.91/1/deaDE89.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=0c8af29cad1529a0c2f12262efe492244d317f6ab2c86bff7585b7e883263ddf35912dd813dee463c744961d2b31add589650eef4d876c0fc2a2f745d64562:c31e3730b38c174130e1e2729109a237
O16 - DPF: {1EB17D1C-141D-4D9D-91CB-24D99215851D} - http://akamai.downloadv3.com/binaries/IA/netia32_EN_XP.cab
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} (CInstall Class) - http://www.spywarestormer.com/files2/Install.cab
O16 - DPF: {A02780C3-7F77-4E28-855B-28890F3CF37A} - http://akamai.downloadv3.com/binaries/DialHTML/EGCOMLIB_1035_pack_XP.cab
O16 - DPF: {AD7FAFB0-16D6-40C3-AF27-585D6E6453FD} - http://66.230.143.209/loader/dploader.cab
O16 - DPF: {F57D17AE-CE37-4BC8-B232-EA57747BE5E7} - http://www.real-euros.com/EPlugin.cab
O16 - DPF: {FF65677A-8977-48CA-916A-DFF81B037DF3} - http://download.overpro.com/WildApp.cab
O18 - Filter: text/html - {98ADCDDE-2814-4B01-920F-020FE6C917BA} - C:\WINDOWS\System32\fcjmgaa.dll
O18 - Filter: text/plain - {98ADCDDE-2814-4B01-920F-020FE6C917BA} - C:\WINDOWS\System32\fcjmgaa.dll


Download and install APM from: http://www.diamondcs.com.au/index.php?page=apm
In the upper window select explorer.exe
In the lower window find and rightclick the BHO from the HijackThis log
<Select Unload <
C:\WINDOWS\System32\fcjmgaa.dll
C:\WINDOWS\System32\ipotepo.dll
and click OK on the prompts that follow.

NEUSTARTEN


#Lade AdAware (free) und scanne <alle Dateien<
http://www.lavasoft.de/support/download/

#Loesche:C:\WINDOWS\System32\fcjmgaa.dll

lade von unten links:
Download about blank scanner
http://www.adwareaway.com/aboutblank.htm
(direktlinK)

#Lade Spybot
http://www.safer-networking.org/de/download/index.html

#Lade TuneUp 2004 (30 Tage free)
http://www.tuneup.de/download/
Funktion:<aufraeumen und reparieren< durchfuehren

#Lade mwav.exe (escan), scanne <alle Dateien< und <alle Folder< und poste, was der Scanner als <infiziert< meldet.
http://www.mwti.net/antivirus/free_utilities.asp

#Stelle unter <InterentOptionen< eine neue Startseite ein
Dann postest du das neue Log vom HijackThis, mit der neuen Startseite noch einmal, um zu sehen, ob alles o.k. ist.
mfg
Sabina
Dann poste das Log noch mal.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 08.08.2004 um 23:05 Uhr von Sabina editiert.
Seitenanfang Seitenende
08.08.2004, 23:49
...neu hier

Themenstarter

Beiträge: 5
#7 Scan saved at 23:46:32, on 08.08.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Josef\Eigene Dateien\Lösch Programme\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Josef\LOKALE~1\Temp\sp.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Josef\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 00 00 00 00
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ughqwuoxyciethfirpkzdl.com/XyKKmDRbtNyZMgxQbwYCK8Jidka2/HMJGLuvt7r87IkT7cmarqw99ohSNtmwssdF.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O17 - HKLM\System\CCS\Services\Tcpip\..\{FBE48783-92FA-43A5-BDA4-640E36A9A4B7}: NameServer = 217.237.151.225 194.25.2.129


so das ist der neue log hoffe es ist jetzt clean sieht schonmal ganz gut aus beim surfen hab firefox jetzt druff ähm aber wenn ich den explorer starte ist die leiste in englisch aber auch wenn ich den arbeitsplatz öffne dann ist ??datei, bearbeiten, hilfe usw. in englisch ;) wie bekomme ich das noch hin???
danke für die ganzen tipps ;)
Seitenanfang Seitenende
09.08.2004, 00:43
Member

Beiträge: 441
#8

Zitat

....bearbeiten, hilfe usw. in englisch wie bekomme ich das noch hin
Lade das deutsche Sprachpaket runter und folge den Anweisungen: http://firefox.dnsalias.org/sprachpaket.htm

Zitat

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Du solltest dein System auf den neuesten Stand bringen.
http://v4.windowsupdate.microsoft.com/de/default.asp

Danach IE sicherer konfigurieren http://www.datenschutzzentrum.de/selbstdatenschutz/internet/absichern/browser/msie/config.htm
und nur noch für Windows Update benutzen.

Lade SpHjfix.exe und desinfiziere im abgesicherten Modus dein System, danach CWShredder einsetzen.

Diese Einträge fixen:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Josef\LOKALE~1\Temp\sp.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Josef\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 00 00 00 00
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ughqwuoxyciethfirpkzdl.com/XyKKmDRbtNyZMgxQbwYCK8Jidka2/HMJGLuvt7r87IkT7cmarqw99ohSNtmwssdF.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

Neue Startseite vergeben und neues Log-File posten.

Ps.
Einen Virenscanner deaktivieren, entweder Norton oder AntiVir.
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung
Seitenanfang Seitenende
09.08.2004, 01:04
...neu hier

Themenstarter

Beiträge: 5
#9 ähm mein internet explorer ist jetzt teil weise englisg nicht der mozilla

und mein log file hat sich schon wieder geändert da ist wieder was neues zu gekommen also mal wieder ein neuer woran liegt da?? darf ich den rechner nicht runterfahren?? dann lass ich ihn nämlich an hier der neu log

p.s. datenschutzzentrum.de kann ich nicht aufrufen da tut sich nichts


Logfile of HijackThis v1.98.2
Scan saved at 01:05:19, on 09.08.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\svchost.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Josef\Eigene Dateien\Lösch Programme\HijackThis.exe
c:\progra~1\intern~1\iexplore.exe
c:\progra~1\intern~1\iexplore.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.52/2721/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.52/2721/hp.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.191.52/2721/hp.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Josef\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.191.52/2721/hp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 00 00 00 00
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://69.50.191.52/2721/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://bestsearch.cc/2721/search.php?qq=
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [svchost] C:\WINDOWS\svchost.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
Seitenanfang Seitenende
09.08.2004, 01:25
Member

Beiträge: 441
#10 @ wilddog

Solange du deine Sicherheitslücken nicht schließen willst und die Anweisung von Sabina und meiner Wenigkeit nicht 100% befolgst, können wir bzw. du noch lange an deinem System rumfrickeln, es wird sich nichts ändern. Du hast dein System nicht mehr unter Kontrolle.
So gesehen reine Zeitverschwendung.
http://oschad.de/wiki/index.php/Kompromittierung

Nachdem dieser Einträg O4 - HKLM\..\Run: [svchost] C:\WINDOWS\svchost.exe von vielen Würmer/Trojaner mit Backdoor Funktion erstellt wird, rate ich dir dein System neuaufzusetzen, auch wenn du es vielleicht nicht hören willst.
http://www.mathematik.uni-marburg.de/~wetzmj/index.php?viewPage=sec-compromise.html

Nach dem Neuaufsetzen und vor der ersten Internet Verbindung folgende Punkte abarbeiten:

1. Eingeschränktes Benutzerkonto erstellen
2. Interne Verbindungsfirewall aktivieren http://www.computerhilfe-euskirchen.de/hilfetextezumlesen/windowsxp/tipp16.html
3. NT- Dienste sicher konfigurieren http://www.ntsvcfg.de/
4. dein System updaten http://v4.windowsupdate.microsoft.com/de/default.asp
5. IE sicherer konfigurieren http://www.datenschutzzentrum.de/selbstdatenschutz/internet/absichern/browser/msie/config.htm
oder sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/
6. Deine Passwörter ändern
7. Image deiner Systempartition erstellen mit z.B. Acronis True Image 7
8. Surfverhalten überdenken
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung
Seitenanfang Seitenende
09.08.2004, 01:57
...neu hier

Themenstarter

Beiträge: 5
#11 hm... nee ein format kommt garnet in die tüte 1. ist net mein pc 2. der jenige brauch alle datein 3. hab ich den schon soweit wieder aufgepepelt das alles wieder funktioniert bis auf der miest hier noch ich werde einfach nochmal hijack drüber jagen viren scann usw. wird schon irgendwie funtzen ;) aber danke für den tipp ich mein win updaten ist ja sowie so sonnen klar kann ich ja nichts zu wenn der es net macht ich bin nur der der es wieder hin bekommen muss ;) naja wenn ich mit mozilla surf funktioniert alles nur mit dem explorer halt nicht ;)
Seitenanfang Seitenende
09.08.2004, 12:17
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 wilddog

fixe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.52/2721/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.52/2721/hp.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.191.52/2721/hp.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Josef\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.191.52/2721/hp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 00 00 00 00
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://69.50.191.52/2721/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://bestsearch.cc/2721/search.php?qq=
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

O4 - HKLM\..\Run: [svchost] C:\WINDOWS\svchost.exe


neustarten

#Gehe mal in die Host-Datei (dann mit Editor oeffnen)
schau mal in c:\Windows\System32\drivers\etc\hosts
Im Normalfall sollte dass hier drin stehen, alles andere loeschen !!!!!!!!!!!.
127.0.0.1 localhost
#Orginal Host Datei

#Lade den Stinger
http://vil.nai.com/vil/stinger/
#Lade mwav.exe und scanne <alle Dateien< und <alle Folder< und poste dann bitte , was der Scanner als <infiziert< anzeigt.
http://smb.sygate.com/products/spf_standard.htm

Lade eine Firewall (Sygate)
http://smb.sygate.com/products/spf_standard.htm

#du hast wahrscheinlich die Englische Version vom IE geupdatet..
http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=1E1550CB-5E5D-48F5-B02B-20B602228DE6

##Stelle unter <InternetOptionen< eine neue Startseite ein (IE !)
Dann poste das Log noch mal und die Info von mwav.exe

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 09.08.2004 um 12:25 Uhr von Sabina editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: