Easy-search.biz macht mir ärger !

#0
10.08.2004, 12:26
...neu hier

Beiträge: 6
#1 Hallo !
Neuling und nicht viel Schimmer. Der Rechner läuft, aber möglicher Weise nur bis zum Neustart. habe hier eine LOG Datei. Da ist wohl immer noch was faul?

Spybot, CWShredder & Co erwischen hier auch nicht alles. Irgenwann kommt dann die Meldung: "Auslagerungsdatei zu klein......wird vergrößert und der Rechner wird lahm"
Habe zwei Anwendungen im Prozesse unterbunden Winnet.exe...runwin.exe

Jamand einen Tip für nen sauberen Rechner?
Logfile of HijackThis v1.98.2
Scan saved at 12:04:08, on 10.08.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\AVPersonal\AVWUPSRV.EXE
D:\WINDOWS\System32\nvsvc32.exe
D:\WINDOWS\system32\pctspk.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\System32\NVATray.exe
D:\PROGRA~1\WinFax\WFXSWTCH.exe
D:\WINDOWS\System32\wfxsnt40.exe
D:\WINDOWS\System32\ctfmon.exe
D:\Programme\WinFax\WFXCTL32.EXE
D:\WINDOWS\System32\WFXSVC.EXE
D:\WINDOWS\system32\netdde.exe
D:\WINDOWS\system32\clipsrv.exe
D:\Dokumente und Einstellungen\Micha\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis_198.zip\HijackThis.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NVIDIA nForce APU1 Utilities] NVATray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [WFXSwtch] D:\PROGRA~1\WinFax\WFXSWTCH.exe
O4 - HKLM\..\Run: [WinFaxAppPortStarter] wfxsnt40.exe
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] "D:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] D:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE
O4 - HKCU\..\Run: [runwin32] D:\WINDOWS\runwin32.exe
O4 - HKCU\..\Run: [wininet32] D:\WINDOWS\wininet32.exe
O4 - Global Startup: Controller.LNK = D:\Programme\WinFax\WFXCTL32.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Microsoft® VBScript® Console - {9B8850C1-0D53-45F0-987B-9A8B185F07B3} - (no file)
O9 - Extra 'Tools' menuitem: VBScript Terminal - {9B8850C1-0D53-45F0-987B-9A8B185F07B3} - (no file)
O9 - Extra button: Microsoft® VBScript® Terminal - {9B8850C1-0D53-45F0-987B-9A8B185F07B3} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: VBScript Terminal - {9B8850C1-0D53-45F0-987B-9A8B185F07B3} - (no file) (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{6FE40A37-C01A-44F4-AC49-F24CAA2F6736}: NameServer = 192.168.1.1
Seitenanfang Seitenende
10.08.2004, 12:32
Member
Avatar Dafra

Beiträge: 1122
#2 Fix:
O4 - HKCU\..\Run: [runwin32] D:\WINDOWS\runwin32.exe
O4 - HKCU\..\Run: [wininet32] D:\WINDOWS\wininet32.exe
O9 - Extra button: Microsoft® VBScript® Console - {9B8850C1-0D53-45F0-987B-9A8B185F07B3} - (no file)
O9 - Extra 'Tools' menuitem: VBScript Terminal - {9B8850C1-0D53-45F0-987B-9A8B185F07B3} - (no file)
O9 - Extra button: Microsoft® VBScript® Terminal - {9B8850C1-0D53-45F0-987B-9A8B185F07B3} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: VBScript Terminal - {9B8850C1-0D53-45F0-987B-9A8B185F07B3} - (no file) (HKCU)

MFG
DAFRA


P.s.
Lösche danach D:\WINDOWS\runwin32.exe und D:\WINDOWS\wininet32.exe
Seitenanfang Seitenende
10.08.2004, 14:13
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#3 @träumer34

http://www.sophos.de/virusinfo/analyses/trojesearcha.html
Virusinformation
Troj/ESearch-A

Troj/ESearch-A ändert die Browser-Einstellungen für den Microsoft Internet Explorer, startet zwei Programme namens wininet32.exe und dialup.exe im Windows-Ordner und versucht in regelmäßigen Abständen, Updates für dialup.exe herunterzuladen und zu starten...............................
.................................................................................................................................
#Deaktiviere die Wiederherstellung
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

#Fixe, was gepostet wurde und Neustarten (!)
#Lade mwav.exe und scanne <alle Dateien, Driver...)-CleanScan
http://www.mwti.net/antivirus/free_utilities.asp
#Lade AdAware (free)
http://www.lavasoft.de/support/download/
#mache alle WindowsUpdates (falls keine cdkey vorhanden, alles ausser SP1
#aktualisiere den IE (keine cdkey notwendig)
http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=1E1550CB-5E5D-48F5-B02B-20B602228DE6

#Lade ClearProg
http://www.clearprog.de/
Loesche:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)

#Optimiere mit TuneUp (30 Tage free) den Compi
http://www.tuneup.de/download/

Dann stelle unter <InternetOptionen< eine Startseite ein und poste das Log noch mal.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 10.08.2004 um 14:20 Uhr von Sabina editiert.
Seitenanfang Seitenende
10.08.2004, 16:06
...neu hier

Themenstarter

Beiträge: 6
#4 Ja, mache ich. Werde mich aber erst Morgen früh wieder melden.

Wie immer, Danke noch einmal

@sabina !!
Dieser Beitrag wurde am 11.08.2004 um 15:53 Uhr von träumer34 editiert.
Seitenanfang Seitenende
11.08.2004, 11:21
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#5 Hi träumer34

Der Hijacker ist leider noch nicht weg....

Fixe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://D:\DOKUME~1\Micha\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://D:\DOKUME~1\Micha\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://D:\DOKUME~1\Micha\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://D:\DOKUME~1\Micha\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O18 - Filter: text/html - {687E0E2A-E6F7-4E93-AF66-5CFADAF99C42} - (no file)
O18 - Filter: text/plain - {687E0E2A-E6F7-4E93-AF66-5CFADAF99C42} - (no file)

neustarten


0)Gehe in die Registry
Start<Ausfuehren<regedit
Loesche alle Eintraege, die auf den Hijacker verweisen (auf der rechten Seite der Registry !)

HKCU\Software\Microsoft\Internet Explorer\Main\Start Page
HKCU\Software\Microsoft\Internet Explorer\Main\Search Page
HKCU\Software\Microsoft\Internet Explorer\Main\Search Bar
HKLM\Software\Microsoft\Internet Explorer\Main\Start Page
HKLM\Software\Microsoft\Internet Explorer\Main\Search Page
HKLM\Software\Microsoft\Internet Explorer\Main\Search Bar
HKLM\SOFTWARE\Microsoft\Internet Explorer\Search\CustomizeSearch
HKLM\SOFTWARE\Microsoft\Internet Explorer\Search\SearchAssistant
HKCU\Software\Microsoft\Internet Explorer\SearchUrl\provider

schliesse die Registry


#im Explorer unter Extras Ordneroptionen (Ansicht) den haken bei
Erweiterungen bei bekannten Dateitypen ausblenden und
geschuetzte systemdateien ausblenden rausnehmen.
Sowie den Button bei ALLE Dateien und Ordner anzeigen setzen.
UND

#Suche und loesche (falls es noch da ist;)
runwin32.exe
wininet32.exe
dialup.exe


#Loesche dann alle Temporaeren Verzeichnisinhalte samt Internet Explorer Cache auch das Temp in Dokumenten und Einstellungen/Username!!!¨
.............................................................................................................
1.)Aktiviere deinen Antivirus und update ihn.
D:\Programme\AVPersonal\AVWUPSRV.EXE
http://www.free-av.de/

#Stelle ein
<Guard aktivieren
<alle Dateien <scannen
<Heuristic:hoch

#Gehe in den abgesicherten Modus und mache einen Komplettscann.
http://www.bsi.de/av/texte/winsave.htm

normal neustarten

2.) Lade von dieser Site (unten rechts) den < about:blank scanner <
http://www.adwareaway.com/aboutblank.htm
3.)<eScan< (ich weiss nicht, ob du es schon geladen hast)
# "kavupd.exe" suchen und anklicken.
Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt(dauert ein bisschen)
#den Scanner mit der "mwav.exe starten. Alle Häkchen setzen und "Clean-Scan" klicken.
http://www.mwti.net/antivirus/free_utilities.asp

Dann poste bitte die Vireninformation. !!!!!
und das neue Log vom HijackThis

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 11.08.2004 um 11:58 Uhr von Sabina editiert.
Seitenanfang Seitenende
12.08.2004, 11:34
...neu hier

Themenstarter

Beiträge: 6
#6 Hallo @ Sabina !

Bin Deiner hervorragender Beschreibung gefolgt und hoffe jetzt wieder einen Schritt weiter zu sein.

E´Scan hat nichts mehr ergeben. Hier noch die LOG von Hijackthis:

Logfile of HijackThis v1.98.2
Scan saved at 11:30:49, on 12.08.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\AVPersonal\AVWUPSRV.EXE
D:\WINDOWS\System32\nvsvc32.exe
D:\WINDOWS\system32\pctspk.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\System32\NVATray.exe
D:\PROGRA~1\WinFax\WFXSWTCH.exe
D:\WINDOWS\System32\wfxsnt40.exe
D:\WINDOWS\System32\ctfmon.exe
D:\Programme\WinFax\WFXCTL32.EXE
D:\WINDOWS\System32\WFXSVC.EXE
D:\Dokumente und Einstellungen\Micha\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis_198.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.net/de
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - D:\Programme\ISTbar\istbar.dll (file missing)
O4 - HKLM\..\Run: [NVIDIA nForce APU1 Utilities] NVATray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WFXSwtch] D:\PROGRA~1\WinFax\WFXSWTCH.exe
O4 - HKLM\..\Run: [WinFaxAppPortStarter] wfxsnt40.exe
O4 - HKLM\..\Run: [Power Scan] D:\Programme\Power Scan\powerscan.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Controller.LNK = D:\Programme\WinFax\WFXCTL32.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Seite mit Google übersetzen - D:\Dokumente und Einstellungen\Micha\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Web\gtranslate.tui
O17 - HKLM\System\CCS\Services\Tcpip\..\{6FE40A37-C01A-44F4-AC49-F24CAA2F6736}: NameServer = 192.168.1.1


Sieht jetzt hoffentlich besser aus.

Wie kann man denn für die Zukunft am besten vorsorgen ?
Seitenanfang Seitenende
12.08.2004, 12:42
Member

Beiträge: 69
#7 @ träumer34,

Dringend! Dein System updaten auf XP SP1 (oder sogar SP2)

O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - D:\Programme\ISTbar\istbar.dll (file
O4 - HKLM\..\Run: [Power Scan] D:\Programme\Power Scan\powerscan.exe

unbedingt fixen!

Dannach neuer Scan mit HJT, eventuell auch mit eScan: http://www.rokop-security.de/board/index.php?showtopic=3867

und nochmal posten.

Für die Zukunft:
http://www.ntsvcfg.de/
http://faq.underflow.de/
http://www.dingens.org/
http://www.chip.de/forum/thread.html?bwthreadid=561773

brainbox
__________
Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.0.4) Gecko/20060428 Firefox/1.5.0.4
Seitenanfang Seitenende
12.08.2004, 13:00
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 @Traeumer

#Fixe bitte noch, was @Brainbox gepostet hat.
#Deinstalliere:
D:\Programme\Power Scan\powerscan.exe
#Dann lade den Firefox als Alternativbrowser und surfe nur mit ihm.
http://www.firebird-browser.de/
#Fall du keinen Router hast, lade eine Firewall
http://smb.sygate.com/products/spf_standard.htm

#Update immer den AdAware und den Antivirus
(uebrigens, aktiviere den Guard von Antivirus, damit er unter 04 im Autostart erscheint)
#Dann arbeite auch die Tipps von @Brainbox durch.
mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 12.08.2004 um 13:01 Uhr von Sabina editiert.
Seitenanfang Seitenende
12.08.2004, 14:26
...neu hier

Themenstarter

Beiträge: 6
#9 Hallo ! Habe also alles Probiert, was Ihr gepostet habt, bis auf das Sp1 pack-
Und ich habe jetzt auch nichts mehr im LOG gesehen, auch nach Internetaufruf und Neustart nicht. Habe ich den Mist jetzt etwa raus?

Entscheidend war die letzte Empfehlung von Sabina, ich glaube das hat gezogen.....



Logfile of HijackThis v1.98.2
Scan saved at 11:20:07, on 13.08.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\AVPersonal\AVWUPSRV.EXE
D:\WINDOWS\System32\nvsvc32.exe
D:\WINDOWS\system32\pctspk.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\WFXSVC.EXE
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\System32\NVATray.exe
D:\PROGRA~1\WinFax\WFXSWTCH.exe
D:\WINDOWS\System32\wfxsnt40.exe
D:\WINDOWS\System32\ctfmon.exe
D:\Programme\WinFax\WFXCTL32.EXE
D:\PROGRA~1\MOZILL~1\FIREFOX.EXE
D:\Dokumente und Einstellungen\Micha\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis_198.zip\HijackThis.exe

O4 - HKLM\..\Run: [NVIDIA nForce APU1 Utilities] NVATray.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WFXSwtch] D:\PROGRA~1\WinFax\WFXSWTCH.exe
O4 - HKLM\..\Run: [WinFaxAppPortStarter] wfxsnt40.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Controller.LNK = D:\Programme\WinFax\WFXCTL32.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Seite mit Google übersetzen - D:\Dokumente und Einstellungen\Micha\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Web\gtranslate.tui
O17 - HKLM\System\CCS\Services\Tcpip\..\{6FE40A37-C01A-44F4-AC49-F24CAA2F6736}: NameServer = 192.168.1.1

Gruß -träumer34
Dieser Beitrag wurde am 13.08.2004 um 11:22 Uhr von träumer34 editiert.
Seitenanfang Seitenende
12.08.2004, 16:00
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 @träumer34

fixe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://D:\DOKUME~1\Micha\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://D:\DOKUME~1\Micha\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://D:\DOKUME~1\Micha\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://D:\DOKUME~1\Micha\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://D:\DOKUME~1\Micha\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://D:\DOKUME~1\Micha\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {4D80C25F-2B3B-42A9-BAFB-A10FDBBA3E8D} - D:\WINDOWS\System32\fbph.dll
O18 - Filter: text/html - {56655DF0-5717-4659-B9D3-0978EE96BADB} - D:\WINDOWS\System32\fbph.dll
O18 - Filter: text/plain - {56655DF0-5717-4659-B9D3-0978EE96BADB} - D:\WINDOWS\System32\fbph.dll

neustarten

http://www.rokop-security.de/main/article.php?sid=746
Lade Sphjfix(schliesse alle Browser und scanne)

Ist das Problem mit diesem Tool nicht behoben:

Lade dieses Tool,
http://www.diamondcs.com.au/index.php?page=apm
klicke :
D:\Windows\explorer.exe
D:\WINDOWS\System32\fbph.dll
Dann druecke auf <unload dll<

Dann suche D:\WINDOWS\System32\fbph.dll
und loesche !

#Scanne mit Antivirus im Abgesicherten Modus (einstellen:heuristic:hoch und <alle Dateien<;)

#Lade ClearProg
http://www.clearprog.de/
Loesche:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)

#Stelle unter IE eine neue Startseite ein und poste das Log noch mal ...mit dem IE !(nicht mit dem Firefox)
..................................................................................................
Lade den Firefox
http://www.firebird-browser.de/
stelle eine Startseite ein und surfe nur mit ihm.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 12.08.2004 um 16:15 Uhr von Sabina editiert.
Seitenanfang Seitenende
12.08.2004, 17:24
Member

Beiträge: 64
#11 ich möchte hier mal drauf hinweisen das ich auch noch problem damit hab, ich hab den letzten post in meinen thread geändert hab aber noch keine antwort bekommen: http://board.protecus.de/t11824.htm
Seitenanfang Seitenende
13.08.2004, 00:40
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 @daishi
Wenn du das aktuelle Log nicht postet, kann dir auch niemand helfen.
;)
Mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.08.2004, 08:30
Member

Beiträge: 69
#13 @ träumer34,

da kann man Dir 100 Mal Tips geben, da kannst Du 100 Mal alles fixen und deinstallieren, wenn Du Deinen Rechner nicht updatest, wenn Du Dir nicht mindestens das SP1 besorgst wird das nichts.

brainbox
__________
Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.0.4) Gecko/20060428 Firefox/1.5.0.4
Seitenanfang Seitenende
13.08.2004, 09:45
Member

Beiträge: 1095
#14 @träumer

1. brainbox hat recht. Du muß dein Windows updaten. Sonst biste so schnell wieder infiziert und du "Fixed" dich zu Tode ;)

2. Du muß die Einträge im abgesicherten Modus fixen
http://www.bsi.de/av/texte/winsave.htm

3. Lass Escan noch im Abgesicherten Modus laufen
http://www.rokop-security.de/board/index.php?showtopic=3867

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
13.08.2004, 11:25
...neu hier

Themenstarter

Beiträge: 6
#15 Hallo ! Habe also alles Probiert, was Ihr gepostet habt, bis auf das Sp1 pack-
Und ich habe jetzt auch nichts mehr im LOG gesehen, auch nach Internetaufruf und Neustart nicht. Habe ich den Mist jetzt etwa raus?

Entscheidend war die letzte Empfehlung von Sabina, ich glaube das hat gezogen.....



Logfile of HijackThis v1.98.2
Scan saved at 11:20:07, on 13.08.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\AVPersonal\AVWUPSRV.EXE
D:\WINDOWS\System32\nvsvc32.exe
D:\WINDOWS\system32\pctspk.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\WFXSVC.EXE
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\System32\NVATray.exe
D:\PROGRA~1\WinFax\WFXSWTCH.exe
D:\WINDOWS\System32\wfxsnt40.exe
D:\WINDOWS\System32\ctfmon.exe
D:\Programme\WinFax\WFXCTL32.EXE
D:\PROGRA~1\MOZILL~1\FIREFOX.EXE
D:\Dokumente und Einstellungen\Micha\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis_198.zip\HijackThis.exe

O4 - HKLM\..\Run: [NVIDIA nForce APU1 Utilities] NVATray.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WFXSwtch] D:\PROGRA~1\WinFax\WFXSWTCH.exe
O4 - HKLM\..\Run: [WinFaxAppPortStarter] wfxsnt40.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Controller.LNK = D:\Programme\WinFax\WFXCTL32.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Seite mit Google übersetzen - D:\Dokumente und Einstellungen\Micha\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Web\gtranslate.tui
O17 - HKLM\System\CCS\Services\Tcpip\..\{6FE40A37-C01A-44F4-AC49-F24CAA2F6736}: NameServer = 192.168.1.1

Gruß -träumer34
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: