cws und pbh drauf :( |
||
---|---|---|
#0
| ||
08.08.2004, 05:36
...neu hier
Beiträge: 5 |
||
|
||
08.08.2004, 17:51
Member
Beiträge: 1122 |
#2
Fix:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Josef\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Josef\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.searchv.com/1/search.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 00 00 00 00 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = http://www.searchv.com/1/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.rodmsmhkhohgg.com/XyKKmDRbtNyZMgxQbwYCK8Jidka2/HMJGLuvt7r87Imvzh0jXMkmPohSNtmwssdF.html R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = http://www.searchv.com/1/ R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://bestsearch.cc/2721/search.php?qq= R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - SOFTWARE - (no file) O2 - BHO: (no name) - {D55902F9-B3D9-FFF6-A7E6-90DF6F52DCFA} - C:\PROGRA~1\MULTIB~1\about wipe.exe O2 - BHO: (no name) - {7B55BB05-0B4D-44fd-81A6-B136188F5DEB} - C:\WINDOWS\questmod-1.dll O2 - BHO: psic Class - {B6598677-4B54-42A9-BA67-8B64E3FCD92D} - C:\WINDOWS\System32\psic2.dll O2 - BHO: (no name) - {BD4D21E5-73AE-424C-B39F-D8E20B6FC495} - C:\WINDOWS\System32\fcjmgaa.dll O2 - BHO: (no name) - {C5183ABC-EB6E-4E05-B8C9-500A16B6CF94} - (no file) O4 - HKLM\..\RunServices: [system service] C:\WINDOWS\spoolcrv.cpl O4 - HKLM\..\RunServices: [Sex] IEXPLORE.EXE http://search-world.net/ O13 - WWW. Prefix: http://ehttp.cc/? O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/ger_nopop.exe O16 - DPF: {11111111-1111-1111-1111-111111111111} - mhtml:file://C:NXSFT.MHT!http://69.31.87.70:80/iex/ofile.exe?url=http://69.31.87.70:80/dexDE208.exe O16 - DPF: {11111111-1111-1111-1111-111111111123} - file://c:\windows\win.exe O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://super-gals.com/scj/rotation/templates/um2/x.chm::/ad.exe O16 - DPF: {11111111-1111-1111-1111-111111111237} - http://63.219.178.91/1/deaDE89.exe O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=0c8af29cad1529a0c2f12262efe492244d317f6ab2c86bff7585b7e883263ddf35912dd813dee463c744961d2b31add589650eef4d876c0fc2a2f745d64562:c31e3730b38c174130e1e2729109a237 O16 - DPF: {1EB17D1C-141D-4D9D-91CB-24D99215851D} - http://akamai.downloadv3.com/binaries/IA/netia32_EN_XP.cab O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} (CInstall Class) - http://www.spywarestormer.com/files2/Install.cab O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.0_03) - O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-intl/de/games4.cab O16 - DPF: {A02780C3-7F77-4E28-855B-28890F3CF37A} - http://akamai.downloadv3.com/binaries/DialHTML/EGCOMLIB_1035_pack_XP.cab O16 - DPF: {AD7FAFB0-16D6-40C3-AF27-585D6E6453FD} - http://66.230.143.209/loader/dploader.cab O16 - DPF: {F57D17AE-CE37-4BC8-B232-EA57747BE5E7} - http://www.real-euros.com/EPlugin.cab O16 - DPF: {FF65677A-8977-48CA-916A-DFF81B037DF3} - http://download.overpro.com/WildApp.cab MFG DAFRA P.s. Am besten neu Formatieren P.P.s Update mal dein Windows auf www.windowsupdate.com Dieser Beitrag wurde am 08.08.2004 um 17:52 Uhr von Dafra editiert.
|
|
|
||
08.08.2004, 18:56
Ehrenmitglied
Beiträge: 29434 |
#3
@wilddog
Fixe, was @dafra gepostet hat, dann starte neu. Deaktiviere kurz deinen Virenscanner und lade Antivirus http://www.free-av.de/ Nach dem Installationsscann konfigurierst du den Scanner: <Heuristic hoch <alle Dateien scannen gehe in den abgesicherten Modus (wichtig) http://www.bsi.de/av/texte/winsave.htm und machst einen Vollscann ........................................................................................ normal neustarten lade mwav.exe und scanne <alle Dateien<(Loesche manuell, was der Scanner als <infiziert<anzeigt) http://www.mwti.net/antivirus/free_utilities.asp lade von unten links: Download about blank scanner http://www.adwareaway.com/aboutblank.htm (direktlinK) #Lade Cwshredder http://www.chip.de/downloads/c_downloads_11353799.html #Lade Spysweeper http://www.spysweeper.com/ #Lade TuneUp2004 (30 Tage free) und saeubere\optimiere den Computer http://www.tuneup.de/download/ #Stelle unter <InterentOptionen< eine neue Startseite ein Dann postest du das neue Log vom HijackThis, mit der neuen Startseite noch einmal, um zu sehen, ob alles o.k. ist. Gruss Sabina Dann laedst du FirefoX als Zweitbrowser ...ist sicherer http://www.firebird-browser.de/ und surfst nur mit ihm. __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 08.08.2004 um 20:56 Uhr von Sabina editiert.
|
|
|
||
08.08.2004, 19:54
...neu hier
Themenstarter Beiträge: 5 |
#4
danke für die schnellen antworten, dann werd ich mich mal an die arbeit machen
|
|
|
||
08.08.2004, 22:49
Ehrenmitglied
Beiträge: 29434 |
#5
Log von Wilddog
Logfile of HijackThis v1.98.2 Scan saved at 19:59:06, on 08.08.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\logonui.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\Explorer.EXE C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Norton AntiVirus\SAVScan.exe c:\progra~1\intern~1\iexplore.exe c:\progra~1\intern~1\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Josef\Eigene Dateien\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Josef\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Josef\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 00 00 00 00 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://tjaucaeebszyionifvnctnt.info/XyKKmDRbtNyZMgxQbwYCK8Jidka2/HMJGLuvt7r87Inf2fcMlWpcF4hSNtmwssdF.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: TSCOM Class - {62160EEF-9D84-4C19-B7B8-6AC2526CD726} - C:\WINDOWS\System32\ipotepo.dll O2 - BHO: (no name) - {BD4D21E5-73AE-424C-B39F-D8E20B6FC495} - C:\WINDOWS\System32\fcjmgaa.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O2 - BHO: (no name) - {D55902F9-B3D9-FFF6-A7E6-90DF6F52DCFA} - C:\PROGRA~1\MULTIB~1\about wipe.exe O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [flap logo] C:\PROGRA~1\OOZERU~1\InfoExit.exe O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O16 - DPF: {11111111-1111-1111-1111-111111111111} - mhtml:file://C:NXSFT.MHT!http://69.31.87.70:80/iex/ofile.exe?url=http://69.31.87.70:80/dexDE208.exe O16 - DPF: {11111111-1111-1111-1111-111111111123} - file://c:\windows\win.exe O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://super-gals.com/scj/rotation/templates/um2/x.chm::/ad.exe O16 - DPF: {11111111-1111-1111-1111-111111111237} - http://63.219.178.91/1/deaDE89.exe O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=0c8af29cad1529a0c2f12262efe492244d317f6ab2c86bff7585b7e883263ddf35912dd813dee463c744961d2b31add589650eef4d876c0fc2a2f745d64562:c31e3730b38c174130e1e2729109a237 O16 - DPF: {1EB17D1C-141D-4D9D-91CB-24D99215851D} - http://akamai.downloadv3.com/binaries/IA/netia32_EN_XP.cab O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} (CInstall Class) - http://www.spywarestormer.com/files2/Install.cab O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.0_03) - O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-intl/de/games4.cab O16 - DPF: {A02780C3-7F77-4E28-855B-28890F3CF37A} - http://akamai.downloadv3.com/binaries/DialHTML/EGCOMLIB_1035_pack_XP.cab O16 - DPF: {AD7FAFB0-16D6-40C3-AF27-585D6E6453FD} - http://66.230.143.209/loader/dploader.cab O16 - DPF: {F57D17AE-CE37-4BC8-B232-EA57747BE5E7} - http://www.real-euros.com/EPlugin.cab O16 - DPF: {FF65677A-8977-48CA-916A-DFF81B037DF3} - http://download.overpro.com/WildApp.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{FBE48783-92FA-43A5-BDA4-640E36A9A4B7}: NameServer = 217.237.151.225 194.25.2.129 O18 - Filter: text/html - {98ADCDDE-2814-4B01-920F-020FE6C917BA} - C:\WINDOWS\System32\fcjmgaa.dll O18 - Filter: text/plain - {98ADCDDE-2814-4B01-920F-020FE6C917BA} - C:\WINDOWS\System32\fcjmgaa.dll [ zurück zur Übersicht ] __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 08.08.2004 um 22:49 Uhr von Sabina editiert.
|
|
|
||
08.08.2004, 22:55
Ehrenmitglied
Beiträge: 29434 |
#6
@Wilddog
Fixe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Josef\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Josef\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 00 00 00 00 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://tjaucaeebszyionifvnctnt.info/XyKKmDRbtNyZMgxQbwYCK8Jidka2/HMJGLuvt7r87Inf2fcMlWpcF4hSNtmwssdF.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: TSCOM Class - {62160EEF-9D84-4C19-B7B8-6AC2526CD726} - C:\WINDOWS\System32\ipotepo.dll O2 - BHO: (no name) - {BD4D21E5-73AE-424C-B39F-D8E20B6FC495} - C:\WINDOWS\System32\fcjmgaa.dll O2 - BHO: (no name) - {D55902F9-B3D9-FFF6-A7E6-90DF6F52DCFA} - C:\PROGRA~1\MULTIB~1\about wipe.exe O16 - DPF: {11111111-1111-1111-1111-111111111111} - mhtml:file://C:NXSFT.MHT!http://69.31.87.70:80/iex/ofile.exe?url=http://69.31.87.70:80/dexDE208.exe O16 - DPF: {11111111-1111-1111-1111-111111111123} - file://c:\windows\win.exe O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://super-gals.com/scj/rotation/templates/um2/x.chm::/ad.exe O16 - DPF: {11111111-1111-1111-1111-111111111237} - http://63.219.178.91/1/deaDE89.exe O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=0c8af29cad1529a0c2f12262efe492244d317f6ab2c86bff7585b7e883263ddf35912dd813dee463c744961d2b31add589650eef4d876c0fc2a2f745d64562:c31e3730b38c174130e1e2729109a237 O16 - DPF: {1EB17D1C-141D-4D9D-91CB-24D99215851D} - http://akamai.downloadv3.com/binaries/IA/netia32_EN_XP.cab O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} (CInstall Class) - http://www.spywarestormer.com/files2/Install.cab O16 - DPF: {A02780C3-7F77-4E28-855B-28890F3CF37A} - http://akamai.downloadv3.com/binaries/DialHTML/EGCOMLIB_1035_pack_XP.cab O16 - DPF: {AD7FAFB0-16D6-40C3-AF27-585D6E6453FD} - http://66.230.143.209/loader/dploader.cab O16 - DPF: {F57D17AE-CE37-4BC8-B232-EA57747BE5E7} - http://www.real-euros.com/EPlugin.cab O16 - DPF: {FF65677A-8977-48CA-916A-DFF81B037DF3} - http://download.overpro.com/WildApp.cab O18 - Filter: text/html - {98ADCDDE-2814-4B01-920F-020FE6C917BA} - C:\WINDOWS\System32\fcjmgaa.dll O18 - Filter: text/plain - {98ADCDDE-2814-4B01-920F-020FE6C917BA} - C:\WINDOWS\System32\fcjmgaa.dll Download and install APM from: http://www.diamondcs.com.au/index.php?page=apm In the upper window select explorer.exe In the lower window find and rightclick the BHO from the HijackThis log <Select Unload < C:\WINDOWS\System32\fcjmgaa.dll C:\WINDOWS\System32\ipotepo.dll and click OK on the prompts that follow. NEUSTARTEN #Lade AdAware (free) und scanne <alle Dateien< http://www.lavasoft.de/support/download/ #Loesche:C:\WINDOWS\System32\fcjmgaa.dll lade von unten links: Download about blank scanner http://www.adwareaway.com/aboutblank.htm (direktlinK) #Lade Spybot http://www.safer-networking.org/de/download/index.html #Lade TuneUp 2004 (30 Tage free) http://www.tuneup.de/download/ Funktion:<aufraeumen und reparieren< durchfuehren #Lade mwav.exe (escan), scanne <alle Dateien< und <alle Folder< und poste, was der Scanner als <infiziert< meldet. http://www.mwti.net/antivirus/free_utilities.asp #Stelle unter <InterentOptionen< eine neue Startseite ein Dann postest du das neue Log vom HijackThis, mit der neuen Startseite noch einmal, um zu sehen, ob alles o.k. ist. mfg Sabina Dann poste das Log noch mal. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 08.08.2004 um 23:05 Uhr von Sabina editiert.
|
|
|
||
08.08.2004, 23:49
...neu hier
Themenstarter Beiträge: 5 |
#7
Scan saved at 23:46:32, on 08.08.2004
Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Norton AntiVirus\SAVScan.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Josef\Eigene Dateien\Lösch Programme\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Josef\LOKALE~1\Temp\sp.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Josef\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 00 00 00 00 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ughqwuoxyciethfirpkzdl.com/XyKKmDRbtNyZMgxQbwYCK8Jidka2/HMJGLuvt7r87IkT7cmarqw99ohSNtmwssdF.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O17 - HKLM\System\CCS\Services\Tcpip\..\{FBE48783-92FA-43A5-BDA4-640E36A9A4B7}: NameServer = 217.237.151.225 194.25.2.129 so das ist der neue log hoffe es ist jetzt clean sieht schonmal ganz gut aus beim surfen hab firefox jetzt druff ähm aber wenn ich den explorer starte ist die leiste in englisch aber auch wenn ich den arbeitsplatz öffne dann ist ??datei, bearbeiten, hilfe usw. in englisch wie bekomme ich das noch hin??? danke für die ganzen tipps |
|
|
||
09.08.2004, 00:43
Member
Beiträge: 441 |
#8
Zitat ....bearbeiten, hilfe usw. in englisch wie bekomme ich das noch hinLade das deutsche Sprachpaket runter und folge den Anweisungen: http://firefox.dnsalias.org/sprachpaket.htm Zitat Platform: Windows XP (WinNT 5.01.2600)Du solltest dein System auf den neuesten Stand bringen. http://v4.windowsupdate.microsoft.com/de/default.asp Danach IE sicherer konfigurieren http://www.datenschutzzentrum.de/selbstdatenschutz/internet/absichern/browser/msie/config.htm und nur noch für Windows Update benutzen. Lade SpHjfix.exe und desinfiziere im abgesicherten Modus dein System, danach CWShredder einsetzen. Diese Einträge fixen: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Josef\LOKALE~1\Temp\sp.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Josef\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 00 00 00 00 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ughqwuoxyciethfirpkzdl.com/XyKKmDRbtNyZMgxQbwYCK8Jidka2/HMJGLuvt7r87IkT7cmarqw99ohSNtmwssdF.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank Neue Startseite vergeben und neues Log-File posten. Ps. Einen Virenscanner deaktivieren, entweder Norton oder AntiVir. __________ Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen. Neuaufsetzen des Systems/Absicherung! HJT Anleitung |
|
|
||
09.08.2004, 01:04
...neu hier
Themenstarter Beiträge: 5 |
#9
ähm mein internet explorer ist jetzt teil weise englisg nicht der mozilla
und mein log file hat sich schon wieder geändert da ist wieder was neues zu gekommen also mal wieder ein neuer woran liegt da?? darf ich den rechner nicht runterfahren?? dann lass ich ihn nämlich an hier der neu log p.s. datenschutzzentrum.de kann ich nicht aufrufen da tut sich nichts Logfile of HijackThis v1.98.2 Scan saved at 01:05:19, on 09.08.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\svchost.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\svchost.exe C:\Programme\Norton AntiVirus\SAVScan.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Josef\Eigene Dateien\Lösch Programme\HijackThis.exe c:\progra~1\intern~1\iexplore.exe c:\progra~1\intern~1\iexplore.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.52/2721/sp.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.52/2721/hp.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.191.52/2721/hp.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Josef\LOKALE~1\Temp\sp.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.191.52/2721/hp.php R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 00 00 00 00 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://69.50.191.52/2721/sp.php R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://bestsearch.cc/2721/search.php?qq= R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [svchost] C:\WINDOWS\svchost.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 |
|
|
||
09.08.2004, 01:25
Member
Beiträge: 441 |
#10
@ wilddog
Solange du deine Sicherheitslücken nicht schließen willst und die Anweisung von Sabina und meiner Wenigkeit nicht 100% befolgst, können wir bzw. du noch lange an deinem System rumfrickeln, es wird sich nichts ändern. Du hast dein System nicht mehr unter Kontrolle. So gesehen reine Zeitverschwendung. http://oschad.de/wiki/index.php/Kompromittierung Nachdem dieser Einträg O4 - HKLM\..\Run: [svchost] C:\WINDOWS\svchost.exe von vielen Würmer/Trojaner mit Backdoor Funktion erstellt wird, rate ich dir dein System neuaufzusetzen, auch wenn du es vielleicht nicht hören willst. http://www.mathematik.uni-marburg.de/~wetzmj/index.php?viewPage=sec-compromise.html Nach dem Neuaufsetzen und vor der ersten Internet Verbindung folgende Punkte abarbeiten: 1. Eingeschränktes Benutzerkonto erstellen 2. Interne Verbindungsfirewall aktivieren http://www.computerhilfe-euskirchen.de/hilfetextezumlesen/windowsxp/tipp16.html 3. NT- Dienste sicher konfigurieren http://www.ntsvcfg.de/ 4. dein System updaten http://v4.windowsupdate.microsoft.com/de/default.asp 5. IE sicherer konfigurieren http://www.datenschutzzentrum.de/selbstdatenschutz/internet/absichern/browser/msie/config.htm oder sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/ 6. Deine Passwörter ändern 7. Image deiner Systempartition erstellen mit z.B. Acronis True Image 7 8. Surfverhalten überdenken __________ Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen. Neuaufsetzen des Systems/Absicherung! HJT Anleitung |
|
|
||
09.08.2004, 01:57
...neu hier
Themenstarter Beiträge: 5 |
#11
hm... nee ein format kommt garnet in die tüte 1. ist net mein pc 2. der jenige brauch alle datein 3. hab ich den schon soweit wieder aufgepepelt das alles wieder funktioniert bis auf der miest hier noch ich werde einfach nochmal hijack drüber jagen viren scann usw. wird schon irgendwie funtzen aber danke für den tipp ich mein win updaten ist ja sowie so sonnen klar kann ich ja nichts zu wenn der es net macht ich bin nur der der es wieder hin bekommen muss naja wenn ich mit mozilla surf funktioniert alles nur mit dem explorer halt nicht
|
|
|
||
09.08.2004, 12:17
Ehrenmitglied
Beiträge: 29434 |
#12
wilddog
fixe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.52/2721/sp.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.52/2721/hp.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.191.52/2721/hp.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Josef\LOKALE~1\Temp\sp.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.191.52/2721/hp.php R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 00 00 00 00 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://69.50.191.52/2721/sp.php R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://bestsearch.cc/2721/search.php?qq= R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O4 - HKLM\..\Run: [svchost] C:\WINDOWS\svchost.exe neustarten #Gehe mal in die Host-Datei (dann mit Editor oeffnen) schau mal in c:\Windows\System32\drivers\etc\hosts Im Normalfall sollte dass hier drin stehen, alles andere loeschen !!!!!!!!!!!. 127.0.0.1 localhost #Orginal Host Datei #Lade den Stinger http://vil.nai.com/vil/stinger/ #Lade mwav.exe und scanne <alle Dateien< und <alle Folder< und poste dann bitte , was der Scanner als <infiziert< anzeigt. http://smb.sygate.com/products/spf_standard.htm Lade eine Firewall (Sygate) http://smb.sygate.com/products/spf_standard.htm #du hast wahrscheinlich die Englische Version vom IE geupdatet.. http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=1E1550CB-5E5D-48F5-B02B-20B602228DE6 ##Stelle unter <InternetOptionen< eine neue Startseite ein (IE !) Dann poste das Log noch mal und die Info von mwav.exe mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 09.08.2004 um 12:25 Uhr von Sabina editiert.
|
|
|
||
hab das prob das hier wohl alle haben
hab coolwebsearch und possible browser hijack drauf
hab adware und cws usw. probiert funktioniert net hab mit hijack this eine log erstellt hoffe ihr könnt mir schnell helfen danke schonmal im vorraus
Logfile of HijackThis v1.98.2
Scan saved at 05:26:27, on 08.08.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
c:\progra~1\intern~1\iexplore.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Josef\Eigene Dateien\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Josef\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Josef\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.searchv.com/1/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 00 00 00 00
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = http://www.searchv.com/1/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.rodmsmhkhohgg.com/XyKKmDRbtNyZMgxQbwYCK8Jidka2/HMJGLuvt7r87Imvzh0jXMkmPohSNtmwssdF.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = http://www.searchv.com/1/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://bestsearch.cc/2721/search.php?qq=
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - SOFTWARE - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: TSCOM Class - {62160EEF-9D84-4C19-B7B8-6AC2526CD726} - C:\WINDOWS\System32\ipotepo.dll
O2 - BHO: (no name) - {7B55BB05-0B4D-44fd-81A6-B136188F5DEB} - C:\WINDOWS\questmod-1.dll
O2 - BHO: psic Class - {B6598677-4B54-42A9-BA67-8B64E3FCD92D} - C:\WINDOWS\System32\psic2.dll
O2 - BHO: (no name) - {BD4D21E5-73AE-424C-B39F-D8E20B6FC495} - C:\WINDOWS\System32\fcjmgaa.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {C5183ABC-EB6E-4E05-B8C9-500A16B6CF94} - (no file)
O2 - BHO: (no name) - {D55902F9-B3D9-FFF6-A7E6-90DF6F52DCFA} - C:\PROGRA~1\MULTIB~1\about wipe.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [flap logo] C:\PROGRA~1\OOZERU~1\InfoExit.exe
O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O4 - HKLM\..\RunServices: [system service] C:\WINDOWS\spoolcrv.cpl
O4 - HKLM\..\RunServices: [Sex] IEXPLORE.EXE http://search-world.net/
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {120E090D-9136-4b78-8258-F0B44B4BD2AC} - C:\WINDOWS\System32\ms.exe
O9 - Extra 'Tools' menuitem: MaxSpeed - {120E090D-9136-4b78-8258-F0B44B4BD2AC} - C:\WINDOWS\System32\ms.exe
O13 - WWW. Prefix: http://ehttp.cc/?
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/ger_nopop.exe
O16 - DPF: {11111111-1111-1111-1111-111111111111} - mhtml:file://C:NXSFT.MHT!http://69.31.87.70:80/iex/ofile.exe?url=http://69.31.87.70:80/dexDE208.exe
O16 - DPF: {11111111-1111-1111-1111-111111111123} - file://c:\windows\win.exe
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://super-gals.com/scj/rotation/templates/um2/x.chm::/ad.exe
O16 - DPF: {11111111-1111-1111-1111-111111111237} - http://63.219.178.91/1/deaDE89.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=0c8af29cad1529a0c2f12262efe492244d317f6ab2c86bff7585b7e883263ddf35912dd813dee463c744961d2b31add589650eef4d876c0fc2a2f745d64562:c31e3730b38c174130e1e2729109a237
O16 - DPF: {1EB17D1C-141D-4D9D-91CB-24D99215851D} - http://akamai.downloadv3.com/binaries/IA/netia32_EN_XP.cab
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} (CInstall Class) - http://www.spywarestormer.com/files2/Install.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.0_03) -
O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-intl/de/games4.cab
O16 - DPF: {A02780C3-7F77-4E28-855B-28890F3CF37A} - http://akamai.downloadv3.com/binaries/DialHTML/EGCOMLIB_1035_pack_XP.cab
O16 - DPF: {AD7FAFB0-16D6-40C3-AF27-585D6E6453FD} - http://66.230.143.209/loader/dploader.cab
O16 - DPF: {F57D17AE-CE37-4BC8-B232-EA57747BE5E7} - http://www.real-euros.com/EPlugin.cab
O16 - DPF: {FF65677A-8977-48CA-916A-DFF81B037DF3} - http://download.overpro.com/WildApp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FBE48783-92FA-43A5-BDA4-640E36A9A4B7}: NameServer = 217.237.151.225 194.25.2.129
O18 - Filter: text/html - {98ADCDDE-2814-4B01-920F-020FE6C917BA} - C:\WINDOWS\System32\fcjmgaa.dll
O18 - Filter: text/plain - {98ADCDDE-2814-4B01-920F-020FE6C917BA} - C:\WINDOWS\System32\fcjmgaa.dll
O19 - User stylesheet: C:\WINDOWS\win32.bmp