Home » Viren, Trojaner & Malware Forum » IE Fenster: xadso.offeroptimizer wie entfernen? » Themenansicht
IE Fenster: xadso.offeroptimizer wie entfernen? |
||
|---|---|---|
| #0
| ||
|
24.08.2004, 21:14
...neu hier
Beiträge: 8 |
||
 
|
|
|
|
25.08.2004, 01:34
Member
Beiträge: 441 |
#2
Hallo,
Zitat Das einzigste was immer hilft ist FormatC:Das ist vollkommen richtig. Zitat Nur die FINALE LÖSUNG kann ich nicht jedesmal machen wenn sich irgendwas auf meinem PC eingenistet hat.Das wäre in deinem Fall auch nicht verhältnismäßig. Soweit ich es aus dem Autostart erkennen konnte, handelt es sich nur um Spy- und Adware: Erstelle ein Log-File mit HiJackThis und poste es hier rein. __________ Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen. Neuaufsetzen des Systems/Absicherung! HJT Anleitung |
|
|
|
|
|
|
25.08.2004, 13:20
...neu hier
Themenstarter Beiträge: 8 |
#3
Hallo,
hier ist das Logfile von HijackThis. Fällt Euch was verdächstiges auf??? Scan saved at 13:17:42, on 25.08.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Winamp3\winampa.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\System32\ridijq.exe C:\Programme\avmclient\bluefritz!.exe C:\Programme\a2\a2guard.exe C:\Corel\Graphics8\Programs\MFIndexer.exe C:\WINDOWS\System32\alg.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\FRITZ!\FriWeb32.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Internet Explorer\iexplore.exe C:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXE C:\Programme\Microsoft Office\Office10\WINWORD.EXE C:\Dokumente und Einstellungen\Martin Punsch\Eigene Dateien\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.punschies.de/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Programme\Outlook Express\msimn.exe" R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) O2 - BHO: (no name) - SOFTWARE - (no file) O2 - BHO: CSIECore Class - {00000000-0000-0000-0000-000000000221} - C:\Programme\Lycos\IEagent\CSIE.DLL O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem219.dll (file missing) O2 - BHO: twaintecObj Class - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll O2 - BHO: My Search BHO - {014DA6C1-189F-421a-88CD-07CFE51CFF10} - C:\Program Files\MySearch\bar\1.bin\S4BAR.DLL O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll O2 - BHO: brdg Class - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - C:\WINDOWS\Downloaded Program Files\bridge.dll O2 - BHO: MotorheadRules Bar - {AE8EF38E-64E0-472c-B9B4-E29643D152C1} - (no file) O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O2 - BHO: IEHlprObj Class - {CD4C3CF0-4B15-11D1-ABED-709549C10000} - C:\Programme\Go!Zilla\GoIEHlp.dll O2 - BHO: C:\WINDOWS\lbbho.dll - {DC6A1ADC-F958-49F6-94A0-019568EE8E60} - C:\WINDOWS\lbbho.dll O3 - Toolbar: My &Search Bar - {014DA6C9-189F-421a-88CD-07CFE51CFF10} - C:\Program Files\MySearch\bar\1.bin\S4BAR.DLL O3 - Toolbar: (no name) - {224530A0-C9CB-4AEE-9C0F-54AC1B533211} - (no file) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [AdaptecDirectCD] C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe O4 - HKLM\..\Run: [My Search Bar Eq] "C:\Program Files\MySearch\bar\s4bareq.exe" /r O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\winampa.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [Windows SA] C:\Program Files\WindowsSA\omniscient.exe O4 - HKLM\..\Run: [OSSProxy] C:\WINDOWS\system32\ossproxy.exe -boot O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\Downloaded Program Files\bridge.dll",Load O4 - HKLM\..\Run: [qypbzhuxd] C:\WINDOWS\System32\ridijq.exe O4 - HKCU\..\Run: [AVMBlueClient] C:\Programme\avmclient\bluefritz!.exe O4 - HKCU\..\Run: [a²] "C:\Programme\a2\a2guard.exe" O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Download with Go!Zilla - file://C:\Programme\Go!Zilla\download-with-gozilla.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O10 - Broken Internet access because of LSP provider 'osmim.dll' missing O16 - DPF: {36C66BBD-E667-4DAD-9682-58050E7C9FDC} (CDKey Class) - http://www.cdkeybonus.com/cdkey/ITCDKey.cab O16 - DPF: {AE8EF38E-64E0-472C-B9B4-E29643D152C1} - http://toolbar.motorheadrules.com/nshared/download/motorheadToolbar.CAB O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{4B72146C-60F9-48E8-BC76-FA232A09F7CC}: NameServer = 192.168.120.252,192.168.120.253 O18 - Filter: text/html - {14971190-9BF3-427D-B205-D38C43D21759} - C:\Dokumente und Einstellungen\Martin Punsch\Lokale Einstellungen\Anwendungsdaten\microsoft\internet explorer\V0.15.dat Gruss Martin |
|
|
|
|
|
|
25.08.2004, 15:16
Ehrenmitglied
 Beiträge: 29434 |
#4
@martinvst
OHNE GARANTIE, DASS NACH DER REINIGUNG ALLES NOCH FUNKTIONIERT.... NEUAUFSTZEN WAERE BESSER.....(gerade weil ein WinsockVirus drauf ist und nach Entfernung eventuell die Internetverbindung neu erstellt werden muesste fixe(dann gleich neustarten) R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) O2 - BHO: (no name) - SOFTWARE - (no file) O2 - BHO: CSIECore Class - {00000000-0000-0000-0000-000000000221} - C:\Programme\Lycos\IEagent\CSIE.DLL O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem219.dll (file missing) O2 - BHO: twaintecObj Class - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll O2 - BHO: My Search BHO - {014DA6C1-189F-421a-88CD-07CFE51CFF10} - C:\Program Files\MySearch\bar\1.bin\S4BAR.DLL O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll O2 - BHO: brdg Class - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - C:\WINDOWS\Downloaded Program Files\bridge.dll O2 - BHO: MotorheadRules Bar - {AE8EF38E-64E0-472c-B9B4-E29643D152C1} - (no file) O2 - BHO: IEHlprObj Class - {CD4C3CF0-4B15-11D1-ABED-709549C10000} - C:\Programme\Go!Zilla\GoIEHlp.dll O2 - BHO: C:\WINDOWS\lbbho.dll - {DC6A1ADC-F958-49F6-94A0-019568EE8E60} - C:\WINDOWS\lbbho.dll O3 - Toolbar: My &Search Bar - {014DA6C9-189F-421a-88CD-07CFE51CFF10} - C:\Program Files\MySearch\bar\1.bin\S4BAR.DLL O3 - Toolbar: (no name) - {224530A0-C9CB-4AEE-9C0F-54AC1B533211} - (no file) O4 - HKLM\..\Run: [OSSProxy] C:\WINDOWS\system32\ossproxy.exe -boot O4 - HKLM\..\Run: [Windows SA] C:\Program Files\WindowsSA\omniscient.exe O4 - HKLM\..\Run: [My Search Bar Eq] "C:\Program Files\MySearch\bar\s4bareq.exe" /r O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\Downloaded Program Files\bridge.dll",Load O4 - HKLM\..\Run: [qypbzhuxd] C:\WINDOWS\System32\ridijq.exe O8 - Extra context menu item: Download with Go!Zilla - file://C:\Programme\Go!Zilla\download-with-gozilla.html O10 - Broken Internet access because of LSP provider 'osmim.dll' missing O16 - DPF: {AE8EF38E-64E0-472C-B9B4-E29643D152C1} - http://toolbar.motorheadrules.com/nshared/download/motorheadToolbar.CAB neustarten 1. loesche mit diesem Tool den WinsockVirus<'osmim.dll'< http://www.spychecker.com/program/lspfix.html 2. #Deinstalliere(und loesche alles , auch in der Registry) <Go!Zilla <C:\Program Files\WindowsSA\omniscient.exe <C:\WINDOWS\system32\ossproxy.exe -boot <C:\Program Files\MySearch\bar\1.bin\S4BAR.DLL <C:\Programme\Lycos\IEagent\CSIE.DLL <C:\WINDOWS\twaintec.dll <C:\WINDOWS\2_0_1browserhelper2.dll <C:\WINDOWS\Downloaded Program Files\bridge.dll <C:\WINDOWS\System32\ridijq.exe 3. #Lade eScan (entpacke in C:\ base ) http://www.mwti.net/antivirus/free_utilities.asp Nun suchst du eine "kavupd.exe" und anklicken. <Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt(dauert ein bisschen) Gehe in den abgesicherten Modus http://www.bsi.de/av/texte/winsave.htm #dort ::suche eine "mwav.exe und starte so den< eScan<. Alle Häkchen setzen und "Clean-Scan" klicken. ................................................................................................... #Lade Spybot http://www.safer-networking.org/de/download/index.html #Lade Spysweeper http://www.spysweeper.com/ #Dann poste bitte, was der <eScan< gefunden hat.....am Besten , du machst noch mal einen Scann im Normal modus UND KOPIERE AUS DEM VIEWER ALLES <INFIZIERTE< ab, also <no action taken< oder <deleted< #Loesche unter <Internetoptionen< die TemporaryInternetfiles und poste das neue log noch mal __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 25.08.2004 um 15:26 Uhr von Sabina editiert.
|
|
|
|
|
|
|
26.08.2004, 07:16
...neu hier
Themenstarter Beiträge: 8 |
#5
So, erstmal vielen Dank für die super Beschreibung! Ich hab alles so gemacht wie angegeben. Die Internetverbindung ist dabei nicht "flöten" gegeangen. Die Scans waren zwar sehr Zeitraubend, aber doch sehr sinnvoll. Beim ersten Escan haben sich tatsächlich etliche Viren gefunden, die dann deleted wurden. Der Offeroptimizer ist anscheinend jetzt auch nicht mehr da, ich hab mehrmals den IE geöffnet und da ist nichts mehr gekommen. Also hat´s zumindest geholfen diese Plage loszuwerden. Hier nun die aktuellste Virus-log Info vom Escan. Da steht jetzt nur noch überall dabei "no action taken". Was bedeuted das? Muss ich das Zeugs trotzdem irgendwie noch selbst löschen jetzt oder sind das "unwichtige" Files die ich drauflassen kann....??
File C:\WINDOWS\System32\osconfig.dll tagged as not-a-virus:RiskWare.Proxy.MarketScode.c. No Action Taken. File C:\WINDOWS\System32\osmim.dll tagged as not-a-virus:RiskWare.Proxy.MarketScode.c. No Action Taken. File C:\Dokumente und Einstellungen\Martin Punsch\Lokale Einstellungen\Temp\ICD2.tmp\EMSAT.ocx tagged as not-a-virus  ornWare.Dialer.Creazione.a. No Action Taken.File C:\Programme\DownloadWare\Downloads\105.dat tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken. File C:\Programme\DownloadWare\Downloads\91.dat tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken. File C:\Programme\KFH\cl\dating.exe tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken. File C:\System Volume Information\_restore{3E9924D1-D49B-4D3C-80A7-129F4151AA42}\RP528\A0283909.exe tagged as not-a-virus:RiskWare.Proxy.MarketScore.f. No Action Taken. File C:\System Volume Information\_restore{3E9924D1-D49B-4D3C-80A7-129F4151AA42}\RP529\A0283999.exe tagged as not-a-virus:RiskWare.Proxy.MarketScore.c. No Action Taken. File C:\System Volume Information\_restore{3E9924D1-D49B-4D3C-80A7-129F4151AA42}\RP579\A0306246.dll tagged as not-a-virus:RiskWare.Proxy.MarketScode.c. No Action Taken. File C:\System Volume Information\_restore{3E9924D1-D49B-4D3C-80A7-129F4151AA42}\RP580\A0309415.exe tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken. File C:\System Volume Information\_restore{3E9924D1-D49B-4D3C-80A7-129F4151AA42}\RP580\A0309416.dll tagged as not-a-virus ornWare.Dialer.OnlineDialer. No Action Taken.File C:\System Volume Information\_restore{3E9924D1-D49B-4D3C-80A7-129F4151AA42}\RP580\A0309441.exe infected by "not-a-virus:AdvWare.Toolbar.Exact" Virus. Action Taken: File Renamed. File C:\WINDOWS\system32\osconfig.dll tagged as not-a-virus:RiskWare.Proxy.MarketScode.c. No Action Taken. File C:\WINDOWS\system32\osmim.dll tagged as not-a-virus:RiskWare.Proxy.MarketScode.c. No Action Taken. Summary Thu Aug 26 03:17:43 2004 => ***** Scanning complete. ***** Thu Aug 26 03:17:43 2004 => Total Number of Files Scanned: 99552 Thu Aug 26 03:17:43 2004 => Total Number of Virus(es) Found: 14 "no action taken" Thu Aug 26 03:17:43 2004 => Total Number of Disinfected Files: 0 Thu Aug 26 03:17:43 2004 => Total Number of Files Renamed: 1 Thu Aug 26 03:17:43 2004 => Total Number of Deleted Files: 0 Thu Aug 26 03:17:43 2004 => Total Number of Errors: 1 Thu Aug 26 03:17:43 2004 => Time Elapsed: 02:24:03 Thu Aug 26 03:17:43 2004 => Virus Database Date: 2004/08/19 Thu Aug 26 03:17:43 2004 => Virus Database Count: 101270 Gruss Martin Dieser Beitrag wurde am 26.08.2004 um 08:27 Uhr von martinvst editiert.
|
|
|
|
|
|
|
26.08.2004, 11:39
Ehrenmitglied
Beiträge: 29434 |
#6
Hallo @martinvst
1. zuerst deaktivierst du die Wiederherstellung http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 (dannach kannst du sie wieder aktivieren) Somit muessten alle Eintraege geloescht werden von : C:\System Volume Information\_restore 2)Das musst du manuell loeschen : #DIALER C:\Dokumente und Einstellungen\Martin Punsch\Lokale Einstellungen\Temp\ICD2.tmp\EMSAT.ocx Start<Ausfuehren%temp% reinschreiben oder reinkopieren und dann suchen und loeschen #Der Proxy <Proxy.MarketScode< wird als Risiko bezeichet, also deinstallieren und alles loeschen (!) 1.) loesche mit diesem Tool den WinsockVirus<'osmim.dll'<...somit reparierst du den Winsock http://www.spychecker.com/program/lspfix.html 2)dann noch :manuell loeschen C:\WINDOWS\System32\osconfig.dll C:\WINDOWS\System32\osmim.dll Dieser Proxy enthaelt den Winsockvirus. #DIALER C:\Programme\DownloadWare\Downloads\105.dat C:\Programme\DownloadWare\Downloads\91.dat C:\Programme\KFH\cl\dating.exe Dann scanne noch mal mit mwav.exe und poste das Ergebniszusammen mit dem Log vom HijackThis. Dann gebe ich noch Tipps zur Sicherheit (fuer die Zukunft.. ,) mfg Sabina  __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 26.08.2004 um 11:44 Uhr von Sabina editiert.
|
|
|
|
|
|
|
26.08.2004, 20:32
...neu hier
Themenstarter Beiträge: 8 |
#7
Hi, ich schon wieder
...jetzt häng ich irgendwie geistig! Punkt 2 hab ich erledigt, nachdem ich die Systemwiederherstellung deaktiviert hatte. Die Dialer 105.dat und 91.dat sowie dateing.exe sind jetzt auch weg. Auch die Winsocke ist weg - aber bei Punkt eins zu den Dialern, igendwie finde ich den Ordner "C:\System Volume Information\_restore" nicht! Wo muss ich diesen Suchen? Da müssten doch dann alle Proxy.MarketScode - Dateien drinstehen, die ich dann einfach lösche...?? Martin Dieser Beitrag wurde am 26.08.2004 um 23:25 Uhr von martinvst editiert.
|
|
|
|
|
|
|
26.08.2004, 23:26
...neu hier
Themenstarter Beiträge: 8 |
#8
Hallo nochmal!
23:17Uhr - Irgendwie hat´s wohl doch geklappt(!) E-scan hab ich jetzt 3X durchgeführt, der findet jetzt nix mehr. Hier auf jedenfall das aktuelle HijackThis-Log. Vielleicht is ja doch nochwas dabei... Logfile of HijackThis v1.98.2 Scan saved at 23:19:48, on 26.08.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Winamp3\winampa.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\avmclient\bluefritz!.exe C:\Programme\a2\a2guard.exe C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe C:\Corel\Graphics8\Programs\MFIndexer.exe C:\Programme\FRITZ!\IWatch.exe C:\WINDOWS\System32\alg.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\FRITZ!\FriWeb32.exe C:\WINDOWS\System32\ctfmon.exe C:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXE C:\Programme\Microsoft Office\Office10\WINWORD.EXE C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Martin Punsch\Eigene Dateien\Virus-Scanner\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.punschies.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.punschies.de R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Programme\Outlook Express\msimn.exe" R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [AdaptecDirectCD] C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\winampa.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKCU\..\Run: [AVMBlueClient] C:\Programme\avmclient\bluefritz!.exe O4 - HKCU\..\Run: [a²] "C:\Programme\a2\a2guard.exe" O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0 O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O16 - DPF: {36C66BBD-E667-4DAD-9682-58050E7C9FDC} (CDKey Class) - http://www.cdkeybonus.com/cdkey/ITCDKey.cab O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{4B72146C-60F9-48E8-BC76-FA232A09F7CC}: NameServer = 192.168.120.252,192.168.120.253 O18 - Filter: text/html - {14971190-9BF3-427D-B205-D38C43D21759} - C:\Dokumente und Einstellungen\Martin Punsch\Lokale Einstellungen\Anwendungsdaten\microsoft\internet explorer\V0.15.dat Martin |
|
|
|
|
|
|
26.08.2004, 23:27
Ehrenmitglied
Beiträge: 29434 |
#9
@ martinvst
Aber das verschwindet automatisch , wenn du die Wiederherstellung deaktivierst (!) Du musst da nichts suchen und loeschen . C:\System Volume Information\_restore Wenn du willst , dann fixe .., damit es aus dem Autostart kommt ist nicht <bad<, und es hat im Automatischen Start nichts verloren. Das kannst du anklicken, wenn du es brauchst. oder du nimmst das Haeckchen davor raus unter Start<Ausfuehren<msconfig (dann der letzte Reiter) und neustarten(dort sind die Autostarteintraege verzeichnet) O4 - HKLM\..\Run: [AdaptecDirectCD] C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\winampa.exe" O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0 Vielleicht googelst du mal und laedst von einer vertrauenswuerdigen Seite einen Autostartviewer. Jedesmal, wenn sich dann was im Autostart(04) niederlassen will, wirst du informiert und kannst es ueberpruefen...die Trojaner , die du hattest, waren alle unter 04 im Autostart eingtragen und du bist froehlich (?) mit ihnen ins Net gegangen mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 26.08.2004 um 23:33 Uhr von Sabina editiert.
|
|
|
|
|
|
|
26.08.2004, 23:29
...neu hier
Themenstarter Beiträge: 8 |
#10
....grmpf. Bin selten im Chat! Alles klar! Und jetzt ein riiiieeesiges DANKESCHÖN! Ohne Deine Hilfe wär die Kiste wohl jetzt unten auf der Strasse und das Fenster hätte ein riesiges Loch! Du hast noch was von einigen Sicherheitstips erwähnt...
|
|
|
|
|
|
|
12.09.2004, 18:06
...neu hier
Beiträge: 3 |
#11
Hi zusammen,
ich hab' das gleiche Problem, aber mein Log sieht ein bisschen anders aus, als das von martinvst... Wär nett, wenn ihr mir ein paar Tipps geben könntet... Logfile of HijackThis v1.98.2 Scan saved at 18:00:41, on 12.09.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: G:\WINDOWS\System32\smss.exe G:\WINDOWS\system32\winlogon.exe G:\WINDOWS\system32\services.exe G:\WINDOWS\system32\lsass.exe G:\WINDOWS\System32\Ati2evxx.exe G:\WINDOWS\system32\svchost.exe G:\WINDOWS\System32\svchost.exe G:\WINDOWS\system32\spoolsv.exe G:\WINDOWS\system32\drivers\CDAC11BA.EXE G:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe G:\WINDOWS\System32\CTSvcCDA.EXE G:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe G:\WINDOWS\System32\mnmsrvc.exe G:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe G:\WINDOWS\system32\rundll32.exe G:\WINDOWS\system32\Ati2evxx.exe G:\WINDOWS\Explorer.EXE G:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE G:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe G:\Programme\Analog Devices\SoundMAX\SMAgent.exe G:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE G:\WINDOWS\System32\svchost.exe G:\WINDOWS\System32\MsPMSPSv.exe G:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe G:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe G:\Programme\Analog Devices\SoundMAX\SMTray.exe G:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe G:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE G:\WINDOWS\system32\CTHELPER.EXE G:\program files\asus\probe\AsusProb.exe G:\Programme\Java\j2re1.4.2_03\bin\jusched.exe G:\WINDOWS\System32\taskswitch.exe G:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe G:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe G:\Programme\PTBSync\PTBSync.exe G:\Programme\SlySoft\AnyDVD\AnyDVD.exe G:\Programme\QuickTime\qttask.exe G:\WINDOWS\System32\omldvxz.exe G:\Programme\PestPatrol\PPControl.exe G:\Programme\PestPatrol\PPMemCheck.exe G:\Programme\PestPatrol\CookiePatrol.exe G:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE G:\Programme\FRITZ!\IWatch.exe G:\Programme\VIA\RAID\raid_tool.exe G:\Programme\VIA\RAID\raid_tool.exe G:\Programme\WS_FTP Pro\wsftppro.exe G:\Programme\WinRAR\WinRAR.exe K:\WinRARtemp\Rar$EX00.219\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://terracam.bjoern-widmann.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://terracam.bjoern-widmann.de R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.1 O1 - Hosts: 127.0.0.0 localhost O2 - BHO: MxTargetObj Class - {0000607D-D204-42C7-8E46-216055BF9918} - G:\WINDOWS\mxTarget.dll O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - G:\Programme\DAP\DAPBHO.dll O2 - BHO: DAPBHO Class - {0096CC0A-623C-4829-AD9C-19AF0DC9D8FE} - G:\Programme\DAP\DAPIEBar.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - G:\Programme\WS_FTP Pro\wsbho2k0.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - g:\programme\google\googletoolbar2.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - G:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - G:\Programme\DAP\DAPIEBar.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - G:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - g:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [Smapp] G:\Programme\Analog Devices\SoundMAX\SMTray.exe O4 - HKLM\..\Run: [CTSysVol] G:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r O4 - HKLM\..\Run: [CTDVDDET] G:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL O4 - HKLM\..\Run: [SBDrvDet] G:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r O4 - HKLM\..\Run: [UpdReg] G:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [ASUS Probe] g:\program files\asus\probe\AsusProb.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] G:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [CoolSwitch] G:\WINDOWS\System32\taskswitch.exe O4 - HKLM\..\Run: [ccApp] "G:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [CloneCDElbyCDFL] "G:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [TkBellExe] "G:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [PTBSync] G:\Programme\PTBSync\PTBSync.exe /Start O4 - HKLM\..\Run: [ElbyCheckAnyDVD] "G:\Programme\SlySoft\AnyDVD\ElbyCheck.exe" /L AnyDVD O4 - HKLM\..\Run: [AnyDVD] G:\Programme\SlySoft\AnyDVD\AnyDVD.exe O4 - HKLM\..\Run: [NeroFilterCheck] G:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "G:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [hrbupe] G:\WINDOWS\System32\omldvxz.exe O4 - HKLM\..\Run: [PestPatrol Control Center] G:\Programme\PestPatrol\PPControl.exe O4 - HKLM\..\Run: [PPMemCheck] G:\Programme\PestPatrol\PPMemCheck.exe O4 - HKLM\..\Run: [CookiePatrol] G:\Programme\PestPatrol\CookiePatrol.exe O4 - HKCU\..\Run: [RemoteCenter] G:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE O4 - HKCU\..\Run: [MSMSGS] "G:\Programme\Messenger\MSMSGS.EXE" /background O4 - Global Startup: Adobe Gamma Loader.lnk = G:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Hirschberg.lnk = ? O4 - Global Startup: ISDNWatch.lnk = G:\Programme\FRITZ!\IWatch.exe O4 - Global Startup: Probe V2.20.08.lnk = G:\Program Files\ASUS\Probe\AsusProb.exe O4 - Global Startup: raid_tool.exe.lnk = G:\Programme\VIA\RAID\raid_tool.exe O4 - Global Startup: VIA RAID TOOL.lnk = G:\Programme\VIA\RAID\raid_tool.exe O8 - Extra context menu item: &Download with &DAP - G:\PROGRA~1\DAP\dapextie.htm O8 - Extra context menu item: &Google Search - res://g:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Download &all with DAP - G:\PROGRA~1\DAP\dapextie2.htm O8 - Extra context menu item: Im Cache gespeicherte Seite - res://g:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://G:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://g:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://g:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - G:\PROGRA~1\DAP\DAP.EXE O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - G:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Programme\Messenger\msmsgs.exe O16 - DPF: {40BF816B-D862-41B9-9445-ECA36D5F67F7} (Flatcast Viewer 4.10) - http://www.1mal1.com/flatcast/NpFv410.dll O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/27173f19b42d52341819/netzip/RdxIE601_de.cab |
|
|
|
|
|
|
13.09.2004, 02:12
Ehrenmitglied
Beiträge: 29434 |
#12
@martinvst
Fixe, damit es aus dem Autostart kommt  muss da nicht sein)O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0 O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot ..................................................................................................... Sicherheitstips: 1. Regelmaessig upadeten und scannen #AdAware (free) http://www.lavasoft.de/support/download/ 2.IE Spyad (ueber DOS) http://www.pctipp.ch/downloads/dl/27634.asp IE Spyad legt x-verschiedene unseriöse Webseiten direkt in die Eingeschränkte Zone des Internet Explorers. Immer mehr Webseiten wollen Ihnen teuren Software-Schrott unterjubeln. Ob Spyware, Adware, billige Porno-Seiten oder teure Dialer - es gibt nichts, was unseriöse Gestalten nicht zum Kauf anbieten. Und da sie genau wissen, dass Sie nicht auf ihre luschen Angebote reinfallen, versuchen sie es mit Tricks. 3.immer ueberpruefen auf unbekannte Eintraege: #TCPview (Systemprozesse, laufende) finden http://www.sysinternals.com/ntw2k/source/tcpview.shtml 4.PC reinigen, optimieren #TuneUp2004 (30 Tage free) http://www.tuneup.de/download/ 5.Regelmaessig die Temp.Dateien loeschen: # leere die Ordner: (nicht die Ordner selbst loeschen !) Start --> Ausfuehren --> typ ein: %systemroot%/temp Start --> Ausfuehren --> typ ein: %temp% #suche die "Prefetch"in Windows und loesche die Eintraege (nicht den Ordner) von Zeit zu Zeit 6.Nicht mit dem IE surfen ALTERNATIVBROWSER : zum IE #Firefox http://firebird-browser.de/ 7.NT- Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org 8. Mache einen Portscann-Online-check und poste das Resultat. http://scan.sygatetech.com/ 9.PC-Selbsttest http://check.lfd.niedersachsen.de/start.php mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 13.09.2004 um 02:15 Uhr von Sabina editiert.
|
|
|
|
|
|
|
13.09.2004, 02:24
Ehrenmitglied
Beiträge: 29434 |
#13
Hallo @connum
Fixe mit dem HijackThis: O1 - Hosts: 127.0.0.0 localhost O2 - BHO: MxTargetObj Class - {0000607D-D204-42C7-8E46-216055BF9918} - G:\WINDOWS\mxTarget.dll O4 - HKLM\..\Run: [hrbupe] G:\WINDOWS\System32\omldvxz.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) neustarten http://www.kaspersky.com/remoteviruschk.html Ueberpruefe: (Poste das Ergebnis) G:\WINDOWS\System32\mnmsrvc.exe G:\WINDOWS\System32\omldvxz.exe #AdAware (free) http://www.lavasoft.de/support/download/ #Lade den "eScan" erstelle vorher eine C:\ base und entpacke dort den Scanner http://www.mwti.net/antivirus/free_utilities.asp suche mit der Suchfunktion von Windows eine "kavupd.exe" und anklicken.(kann auch im Temporary-Ordner sein) Start<Ausfuehren< %temp% Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt (dauert ein bisschen) #Gehe unbedingt in den abgesicherten Modus (!) http://www.bsi.de/av/texte/winsave.htm #suche "mwav.exe und starte so den< eScan<. Alle Häkchen setzen und "Clean-Scan" klicken. #Nach dem Scann, gehe wieder in den Normalmodus , scanne noch mal und poste alles, was als <deleted< und <renamed< und <no action taken< gefunden wurde das neue Log vom HijackThis noch mal. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 13.09.2004 um 02:24 Uhr von Sabina editiert.
|
|
|
|
|
|
|
14.09.2004, 19:38
...neu hier
Beiträge: 3 |
#14
Hallo Sabina,
erst mal vielen, vielen Dank für die Hilfe... So, der Remoteviruscheck sagt: G:\WINDOWS\System32\mnmsrvc.exe -ok G:\WINDOWS\System32\omldvxz.exe -war mit TrojanDownloader.Win32.Agent.ae infiziert, hat AdAware aber vernichtet... eScan hat folgendes gefunden: Tue Sep 14 19:34:21 2004 => ***** Scanning complete. ***** Tue Sep 14 19:34:21 2004 => Total Number of Files Scanned: 3067 Tue Sep 14 19:34:21 2004 => Total Number of Virus(es) Found: 0 Tue Sep 14 19:34:21 2004 => Total Number of Disinfected Files: 0 Tue Sep 14 19:34:21 2004 => Total Number of Files Renamed: 0 Tue Sep 14 19:34:21 2004 => Total Number of Deleted Files: 0 Tue Sep 14 19:34:21 2004 => Total Number of Errors: 1 Tue Sep 14 19:34:21 2004 => Time Elapsed: 00:02:09 Tue Sep 14 19:34:21 2004 => Virus Database Date: 2004/09/08 Tue Sep 14 19:34:21 2004 => Virus Database Count: 103474 Tue Sep 14 19:34:21 2004 => Scan Completed. und schließlich HijackThis: Logfile of HijackThis v1.98.2 Scan saved at 19:37:58, on 14.09.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: G:\WINDOWS\System32\smss.exe G:\WINDOWS\system32\winlogon.exe G:\WINDOWS\system32\services.exe G:\WINDOWS\system32\lsass.exe G:\WINDOWS\System32\Ati2evxx.exe G:\WINDOWS\system32\svchost.exe G:\WINDOWS\System32\svchost.exe G:\WINDOWS\system32\spoolsv.exe G:\WINDOWS\system32\drivers\CDAC11BA.EXE G:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe G:\WINDOWS\System32\CTSvcCDA.EXE G:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe G:\WINDOWS\System32\mnmsrvc.exe G:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe G:\WINDOWS\system32\rundll32.exe G:\WINDOWS\system32\Ati2evxx.exe G:\WINDOWS\Explorer.EXE G:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE G:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe G:\Programme\Analog Devices\SoundMAX\SMAgent.exe G:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE G:\WINDOWS\System32\svchost.exe G:\WINDOWS\System32\MsPMSPSv.exe G:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe G:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe G:\Programme\Analog Devices\SoundMAX\SMTray.exe G:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe G:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE G:\WINDOWS\system32\CTHELPER.EXE G:\program files\asus\probe\AsusProb.exe G:\Programme\Java\j2re1.4.2_03\bin\jusched.exe G:\WINDOWS\System32\taskswitch.exe G:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe G:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe G:\Programme\PTBSync\PTBSync.exe G:\Programme\SlySoft\AnyDVD\AnyDVD.exe G:\Programme\QuickTime\qttask.exe G:\Programme\PestPatrol\PPControl.exe G:\Programme\PestPatrol\PPMemCheck.exe G:\Programme\PestPatrol\CookiePatrol.exe G:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE G:\Programme\FRITZ!\IWatch.exe G:\Programme\VIA\RAID\raid_tool.exe G:\Programme\VIA\RAID\raid_tool.exe G:\Programme\WinRAR\WinRAR.exe K:\WinRARtemp\Rar$EX00.453\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://terracam.bjoern-widmann.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://terracam.bjoern-widmann.de R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.1 O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - G:\Programme\DAP\DAPBHO.dll O2 - BHO: DAPBHO Class - {0096CC0A-623C-4829-AD9C-19AF0DC9D8FE} - G:\Programme\DAP\DAPIEBar.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - G:\Programme\WS_FTP Pro\wsbho2k0.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - g:\programme\google\googletoolbar2.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - G:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - G:\Programme\DAP\DAPIEBar.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - G:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - g:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [Smapp] G:\Programme\Analog Devices\SoundMAX\SMTray.exe O4 - HKLM\..\Run: [CTSysVol] G:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r O4 - HKLM\..\Run: [CTDVDDET] G:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL O4 - HKLM\..\Run: [SBDrvDet] G:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r O4 - HKLM\..\Run: [UpdReg] G:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [ASUS Probe] g:\program files\asus\probe\AsusProb.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] G:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [CoolSwitch] G:\WINDOWS\System32\taskswitch.exe O4 - HKLM\..\Run: [ccApp] "G:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [CloneCDElbyCDFL] "G:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [TkBellExe] "G:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [PTBSync] G:\Programme\PTBSync\PTBSync.exe /Start O4 - HKLM\..\Run: [ElbyCheckAnyDVD] "G:\Programme\SlySoft\AnyDVD\ElbyCheck.exe" /L AnyDVD O4 - HKLM\..\Run: [AnyDVD] G:\Programme\SlySoft\AnyDVD\AnyDVD.exe O4 - HKLM\..\Run: [NeroFilterCheck] G:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "G:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [PestPatrol Control Center] G:\Programme\PestPatrol\PPControl.exe O4 - HKLM\..\Run: [PPMemCheck] G:\Programme\PestPatrol\PPMemCheck.exe O4 - HKLM\..\Run: [CookiePatrol] G:\Programme\PestPatrol\CookiePatrol.exe O4 - HKCU\..\Run: [RemoteCenter] G:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE O4 - HKCU\..\Run: [MSMSGS] "G:\Programme\Messenger\MSMSGS.EXE" /background O4 - Global Startup: Adobe Gamma Loader.lnk = G:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Hirschberg.lnk = ? O4 - Global Startup: ISDNWatch.lnk = G:\Programme\FRITZ!\IWatch.exe O4 - Global Startup: Probe V2.20.08.lnk = G:\Program Files\ASUS\Probe\AsusProb.exe O4 - Global Startup: raid_tool.exe.lnk = G:\Programme\VIA\RAID\raid_tool.exe O4 - Global Startup: VIA RAID TOOL.lnk = G:\Programme\VIA\RAID\raid_tool.exe O8 - Extra context menu item: &Download with &DAP - G:\PROGRA~1\DAP\dapextie.htm O8 - Extra context menu item: &Google Search - res://g:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Download &all with DAP - G:\PROGRA~1\DAP\dapextie2.htm O8 - Extra context menu item: Im Cache gespeicherte Seite - res://g:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://G:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://g:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://g:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - G:\PROGRA~1\DAP\DAP.EXE O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - G:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Programme\Messenger\msmsgs.exe O16 - DPF: {40BF816B-D862-41B9-9445-ECA36D5F67F7} (Flatcast Viewer 4.10) - http://www.1mal1.com/flatcast/NpFv410.dll O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/27173f19b42d52341819/netzip/RdxIE601_de.cab Gruß, connum |
|
|
|
|
|
|
15.09.2004, 02:12
Ehrenmitglied
Beiträge: 29434 |
#15
@connum
Das Log ist sauber, aber fuer meine Begriffe im Autostart voellig ueberladen. (Ich habe bei 80 GB nur den Virenscanner und die Firewall dort.... mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 15.09.2004 um 02:12 Uhr von Sabina editiert.
|
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Ich hab da ein Problem, bei dem ich nicht mehr weiter weis! Sobald ich den IE öffne, öffnet sich zeitgleich ein weiteres Fenster "xadso.offeroptimizer".
Danach erscheinen verschiedene Werbe-Fenster. Ich hab´s mit Ad-aware, a2 und Norton versucht das lästige Teil weg zu bekommen - no chance!
Ich habe sämmtliche Sicherheitslücken im IE wie bei Microsoft (1,2,3, Schritte zum sicheren System z.b.) bereits vor über einem Jahr geschlossen. Ich lade regelmässig updates der Sicherheitspatches runter und ich habe eine Firewall sowie einige Malware - Entfernungstools etc.. und trotzdem hab ich diesen Offeroptimizer jetzt drauf!!!!! Mittlerweile hab ich gelernt, das KEIN System vor solchen Angreifern sicher ist. Das einzigste was immer hilft ist FormatC: Nur die FINALE LÖSUNG kann ich nicht jedesmal machen wenn sich irgendwas auf meinem PC eingenistet hat. Ich hab das System übrigens auch mit "Autoruns" gecheckt und einen Screenshot vom Ergebniss ins Internet gestellt. Vielleicht erkennt da ja auch jemand etwas verdächtiges: http://www.punschies.de/Virus.html
Schon mal vielen Dank alle Tipps..
Gruss
Martin