Spyware lässt sich nicht entfernen |
||
---|---|---|
#0
| ||
27.08.2004, 19:02
...neu hier
Beiträge: 3 |
||
|
||
27.08.2004, 19:32
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo @Reploid
scanne mit dem HijackThis, hake das alles an und <fix<, dann neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ubsvo.dll/sp.html#29126 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ubsvo.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ubsvo.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ubsvo.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\ubsvo.dll/sp.html#29126 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ubsvo.dll/sp.html#29126 O2 - BHO: (no name) - {5F557ACC-8504-78AF-2F80-6CEC9B55D9F0} - C:\WINDOWS\system32\ntuw32.dll O4 - HKLM\..\Run: [dlexport] C:\Programme\Windows Media Player\dlexport.exe O4 - HKLM\..\Run: [winln32.exe] C:\WINDOWS\winln32.exe O4 - HKCU\..\Run: [Scar] C:\Dokumente und Einstellungen\RepLoiD\Anwendungsdaten\mttd.exe O4 - HKCU\..\Run: [Ixe] C:\WINDOWS\System32\vlkgytun.exe O15 - Trusted Zone: *.05p.com O15 - Trusted Zone: *.mt-download.com O15 - Trusted Zone: *.my-internet.info O15 - Trusted Zone: *.scoobidoo.com O15 - Trusted Zone: *.searchmiracle.com O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=9eafaeb2a8e2a9518112bc6e0cedee1552dd4ecb1dd748bcf1cf4d42ced1394245b14c137e17952f3a6abadc3d36297b2b37:b70ac5aa8ec48e2e58a29296baabe1d6 neustarten #Loesche unter <Internetoptionen< alle TemporaryInternetfiles (auch Offline) #Loesche ALLE Temporary-Ordner unter Start<Ausfuehren<%temp% (reinkopieren oder reinschreiben) # schau dir aber mal mit Kaspersky an, was du da so alles eingefangen hast: (poste dann das Ergebnis ) http://www.kaspersky.com/remoteviruschk.html C:\WINDOWS\winln32.exe..LOESCHEN (!) C:\WINDOWS\Rhododendron.bmp:jprkd C:\Dokumente und Einstellungen\RepLoiD\Anwendungsdaten\mttd.exe C:\WINDOWS\System32\vlkgytun.exe ..LOESCHEN (!) C:\Programme\Windows Media Player\dlexport.exe C:\WINDOWS\system32\ntuw32.dll...LOESCHEN (!) __________________________________________________________________ #Dann laedst du< eScan<erstelle vorher eine C:\ base und entpacke dort den Scanner http://www.mwti.net/antivirus/free_utilities.asp suchst mit der Suchfunktion von Windows eine "kavupd.exe" und anklicken.(kann auch im Temporary-Ordner sein) Start<Ausfuehren< %temp% Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt(dauert ein bisschen) Gehe unbedingt in den abgesicherten Modus (!) http://www.bsi.de/av/texte/winsave.htm #suche "mwav.exe und starte so den< eScan<. Alle Häkchen setzen und "Clean-Scan" klicken. Nach dem Scann, gehe wieder in den Normalmodus , scanne noch mal undostest du alles, was als <deleted< und <renamed< und <no action taken< gefunden wurde und postest das neue Log vom HijackThis noch mal.(plus Infos von Kaspersky) ...vorher eine neue Startseite einstellen ___________________________________________________________________ #Deaktiviere die Wiederherstellung http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 #Tipp: Lade den<Firefox< als Alternetivbrowser (ist viel sicherer als der IE) und mache die WindowsUpdates (!!!), falls keine CDkey da ist, lade alles, ausser SP2 mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 27.08.2004 um 19:41 Uhr von Sabina editiert.
|
|
|
||
27.08.2004, 21:34
...neu hier
Themenstarter Beiträge: 3 |
#3
so ein ein bischen länger gedauert, aber ich glaube das problem ist gelöst , obwohl noch einiges bei ad-aware und hijackthis zu finden ist, kommen keine pop-ups mehr und die startseite ist auch wieder richtig
eScan Protokoll ( die sind definitiv clean ) File D:\Tools & Patches\Games\Half-Life\pod25ins.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File D:\System Volume Information\_restore{24BD3009-64A2-47F6-9601-C483B939F48D}\RP24\A0008357.EXE tagged as not-a-virus:RiskWare.mIRC.6.03. No Action Taken. File D:\Programme\Gamers.IRC\mirc.exe tagged as not-a-virus:RiskWare.mIRC.6.03. No Action Taken. hijackthis Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE D:\Programme\Winamp\winampa.exe C:\Programme\Microsoft IntelliPoint\point32.exe D:\Programme\Java\j2re1.4.2_05\bin\jusched.exe C:\WINDOWS\System32\ctfmon.exe D:\PROGRA~1\ICQ\ICQ.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Internet Explorer\iexplore.exe C:\DOKUME~1\RepLoiD\LOKALE~1\Temp\mwavscan.com C:\DOKUME~1\RepLoiD\LOKALE~1\Temp\kavss.exe D:\Tools & Patches\Virus\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\catuk.dll/sp.html#29126 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\catuk.dll/sp.html#29126 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\catuk.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\catuk.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\catuk.dll/sp.html#29126 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\catuk.dll/sp.html#29126 O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [WinampAgent] d:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [Mirabilis ICQ] D:\Programme\ICQ\ICQNet.exe O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\j2re1.4.2_05\bin\jusched.exe O4 - HKLM\..\Run: [ieto32.exe] C:\WINDOWS\system32\ieto32.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\RunOnce: [ICQ] D:\PROGRA~1\ICQ\ICQ.exe -trayboot O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: ICQ Pro (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093624601936 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{EA1BEAAB-2284-4F38-96C5-E839F958406B}: NameServer = 192.168.2.1 ad-aware Started registry scan »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» CoolWebSearch Object Recognized! Type : Regkey Data : Category : Data Miner Comment : CWS.FullSearch Rootkey : HKEY_LOCAL_MACHINE Object : system\currentcontrolset\enum\root\legacy_o?*001e*2019*017drt*00f1*00e5*00c8*00b2$*000e*00d3 CoolWebSearch Object Recognized! Type : Regkey Data : Category : Data Miner Comment : CWS.FullSearch Rootkey : HKEY_LOCAL_MACHINE Object : system\controlset001\enum\root\legacy_o?*001e*2019*017drt*00f1*00e5*00c8*00b2$*000e*00d3 Registry Scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 2 Objects found so far: 2 Kaspersky hat nichts gefunden Hoffentlich bleibt das Viech jetzt deaktiv , ansonsten nochmal Vorschläge machen ^^ Dieser Beitrag wurde am 27.08.2004 um 21:48 Uhr von Reploid editiert.
|
|
|
||
27.08.2004, 21:38
...neu hier
Beiträge: 1 |
#4
ich weiß welchen trojaner ich hab Win32.StartPage.is
aber wie bekomme ich den jetz weg |
|
|
||
28.08.2004, 01:18
Ehrenmitglied
Beiträge: 29434 |
#5
@Reploid
Deaktiviere die Wiederherstellung http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 (kannst du, wenn alles sauber ist, wieder aktivieren) Fixe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\catuk.dll/sp.html#29126 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\catuk.dll/sp.html#29126 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\catuk.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\catuk.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\catuk.dll/sp.html#29126 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\catuk.dll/sp.html#29126 O4 - HKLM\..\Run: [ieto32.exe] C:\WINDOWS\system32\ieto32.exe neustarten #Loesche alle TemporaryInternetfiles unter <Internetoptionen #Gehe in Start<Ausfuehren<%temp% und loesche die Temporary-Ordner Lade Antivirus http://www.free-av.de/ nach dem Installationsscann konfigurierst du <Heuristik:mittel <alle Dateien <Guard aktivieren gehe wieder in den abgesicherten Modus (!!!) 1. loesche :C:\WINDOWS\system32\ieto32.exe 2.mache einen Komplettscann mit dem Antivirus 3.scanne noch mal mit mwav.exe 4. Mache UNBEDINGT die WindowsUpdates (falls keine cdkey da ist, alles ausser SP2) 5. Lade den Firefox und surfe nur mit ihm (sicherer als der IE9 http://www.firebird-browser.de/ Dann stelle eine neue Startseite ein und poste das Log noch mal.(mit dem IE) mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 28.08.2004 um 01:28 Uhr von Sabina editiert.
|
|
|
||
28.08.2004, 01:22
Ehrenmitglied
Beiträge: 29434 |
#6
Zitat mirx posteteHallo@mirx Du irrst hier verloren durchs Forum... Solange wie ich kein Log vom HijackThiis von dir gesehen habe, kann ich keine Tipps geben. Ansonsten installiere den Antivirus und mache , was ich weiter oben erklaert habe. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 28.08.2004 um 01:23 Uhr von Sabina editiert.
|
|
|
||
21.09.2004, 10:04
...neu hier
Beiträge: 3 |
#7
hi. hab das slebe problem. kann mir dabei auch jemand helfen???
hier meine hijack logfile Danke im vorraus Logfile of HijackThis v1.98.2 Scan saved at 09:59:51, on 21.09.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\svchost.exe C:\Programme\Network Associates\Common Framework\FrameworkService.exe C:\Programme\Network Associates\VirusScan\Mcshield.exe C:\Programme\Network Associates\VirusScan\VsTskMgr.exe E:\Lotus1\Notes\ntmulti.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\Programme\Network Associates\VirusScan\SHSTAT.EXE C:\Programme\Network Associates\Common Framework\UpdaterUI.exe C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe C:\Programme\Winamp\winampa.exe C:\Programme\QuickTime\qttask.exe C:\WINNT\system32\internat.exe C:\Programme\OpenOffice.org1.1.2\program\soffice.exe C:\Programme\ICQLite\ICQLite.exe E:\Lotus1\Notes\NLNOTES.EXE E:\Lotus1\Notes\ntaskldr.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\KAIFRA~1\LOKALE~1\Temp\Rar$EX00.582\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.iwantsearch.com R3 - URLSearchHook: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - C:\WINNT\Downloaded Program Files\rundlg32.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - C:\WINNT\Downloaded Program Files\rundlg32.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: Search Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - C:\WINNT\Downloaded Program Files\rundlg32.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Startup: OpenOffice.org 1.1.2.lnk = C:\Programme\OpenOffice.org1.1.2\program\quickstart.exe O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O17 - HKLM\System\CCS\Services\Tcpip\..\{A591543C-6D49-464D-97A2-F7575DE31E4B}: NameServer = 192.168.215.200,192.168.213.3 |
|
|
||
21.09.2004, 11:07
Ehrenmitglied
Beiträge: 29434 |
#8
Hallo@TheAnswer
Fixe mit dem HijackThis: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.iwantsearch.com R3 - URLSearchHook: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - C:\WINNT\Downloaded Program Files\rundlg32.dll O2 - BHO: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - C:\WINNT\Downloaded Program Files\rundlg32.dll O3 - Toolbar: Search Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - C:\WINNT\Downloaded Program Files\rundlg32.dll neustarten Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK" #Laufwerk C: eine Datenträgerbereinigung vornehmen. Start > Programme > Zubehör > Systemprogramme > Datenträgerbereinigung (Temporary-Dateien anhaken und loeschen lassen) #Start< Einstellungen< Systemsteuerung<Internet Optionen .Internet Explorer<Menüleiste Extras<Internet Optionen<Allgemein<Verlauf" leeren, Cookies, TemporaryInternetfiles (auch Offline) loeschen #Leere den Ordner: C:\Documents and Settings\<dein Profile>\Local Settings\Temporary Internet Files\ #Start<Ausfuehren< reinkopieren: regsvr32 /u c:\system32\rundlg32.dll "enter" und neustarten loeschen: c:\system32\rundlg32.dll C:\WINNT\Downloaded Program Files\rundlg32.dll ........................................................................................................ #CWShredder 1.59 http://www.chip.de/downloads/c_downloads_11353799.html WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!. #AdAware (free) http://www.lavasoft.de/support/download/ VOR jedem Scanvorgang das Programm Updaten! WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!. Files, die Adaware findet, können bedenkenlos gelöscht werden. #Das eScan AV Toolkit (mwav.exe) herunterladen, http://www.mwti.net/antivirus/free_utilities.asp die Datei in den Ordner "c:\base" entpacken und danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen. und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen : Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives und "Scan clean" klicken. Poste danach Virus Log Information: was als <deleted< und <renamed< und <no action taken< gefunden wurde dann poste das HijackThis-Log noch mal.(vorher eine neue Startseite einstellen) ___________________________________________________________________________-- Tipps: 1.Alternativbrowser zum IE Firefox http://www.mozilla.org/products/firefox/download.html?http%3A//ftp.mozilla.org/pub/mozilla.org/firefox/releases/0.10/Firefox%20Setup%201.0PR.exe Opera http://www.opera7.de/ 2.Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein. Die REGSVC.EXE (Remote Registry Service) ist ein Systemprozess. Mit dieser kann man von einem anderen Rechner auf die Registry zugreifen und sie bearbeiten. Wer diesen Dienst nicht nutzt (was wohl für die Meisten zutrifft) kann ihn deaktivieren....Sicherheitsrisiko !!!!!! --««NT- Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 21.09.2004 um 11:15 Uhr von Sabina editiert.
|
|
|
||
21.09.2004, 12:02
...neu hier
Beiträge: 3 |
#9
hi. hier nochma die log.
scheint aber alles wieder clean zu sein! THX....! ja, ich weiss, sch*** IE, aber mit dem opera komm ich nich zurecht. den firefox werd ich jetzu ma ausprobiern. Logfile of HijackThis v1.98.2 Scan saved at 12:01:56, on 21.09.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\svchost.exe C:\Programme\Network Associates\Common Framework\FrameworkService.exe C:\Programme\Network Associates\VirusScan\Mcshield.exe C:\Programme\Network Associates\VirusScan\VsTskMgr.exe E:\Lotus1\Notes\ntmulti.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\Programme\Network Associates\VirusScan\SHSTAT.EXE C:\Programme\Network Associates\Common Framework\UpdaterUI.exe C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe C:\Programme\Winamp\winampa.exe C:\Programme\QuickTime\qttask.exe C:\WINNT\system32\internat.exe C:\Programme\OpenOffice.org1.1.2\program\soffice.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\KAIFRA~1\LOKALE~1\Temp\Rar$EX00.723\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.golem.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - Startup: OpenOffice.org 1.1.2.lnk = C:\Programme\OpenOffice.org1.1.2\program\quickstart.exe O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O17 - HKLM\System\CCS\Services\Tcpip\..\{A591543C-6D49-464D-97A2-F7575DE31E4B}: NameServer = 192.168.215.200,192.168.213.3 |
|
|
||
21.09.2004, 15:48
Ehrenmitglied
Beiträge: 29434 |
#10
Hallo@TheAnswer
Es ist alles sauber Surfe nicht mehr mit dem IE, sondern lade Firefox oder Opera. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
21.09.2004, 17:52
...neu hier
Beiträge: 3 |
||
|
||
21.09.2004, 19:15
...neu hier
Themenstarter Beiträge: 3 |
#12
hi
hab noch mal ne frage bezüglich den Softwareeinträgen in der Systemsteuerung. dort stehen nämlich noch search extender, home search assistent und shopping wizzard , obwohl der pc völlig clean ist. Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE D:\Programme\Winamp\winampa.exe C:\Programme\Microsoft IntelliPoint\point32.exe D:\Programme\Java\j2re1.4.2_05\bin\jusched.exe C:\WINDOWS\System32\ctfmon.exe D:\PROGRA~1\ICQ\ICQ.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\system32\rundll32.exe D:\Tools & Patches\Virus\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [WinampAgent] d:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [Mirabilis ICQ] D:\Programme\ICQ\ICQNet.exe O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\j2re1.4.2_05\bin\jusched.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\RunOnce: [ICQ] D:\PROGRA~1\ICQ\ICQ.exe -trayboot O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: ICQ Pro (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093624601936 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{EA1BEAAB-2284-4F38-96C5-E839F958406B}: NameServer = 192.168.2.1 liegt das an irgentwelchen regedit eintraägen oder muss ich jetzt damit leben? mfg reploid |
|
|
||
22.09.2004, 10:24
Ehrenmitglied
Beiträge: 29434 |
#13
Hallo @Reploid
1.Lade AdAware (free) http://www.lavasoft.de/support/download/ 2.Update AdAware 3.Poste bitte mal das Log Files http://www.lavasoftsupport.com/index.php?showtopic=40554 .............................................................................................. Tip: Gehe nicht ohne Virenscanner\Virenguard ins Net #Antivirus (free) http://www.free-av.de/ mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 22.09.2004 um 10:26 Uhr von Sabina editiert.
|
|
|
||
habe mir mal wieder etwas eingefangen bisher musste ich immer formatieren damit ich den Browser Hijack wegbekommen konnte *grrr*
jetzt bin ich auf dieses forum gestoßen und hoffe das ihr etwas mit meiner logfile anfangen könnt. habe bereits alles an remove programmen ausprobiert so wie es in dem fix thema steht! bis auf 2 files die sich nicht löschen lassen bzw. immer wieder auftauchen, zeigt der Ad-Aware SE Personal nichts mehr an. nur wenn ich den IE wieder benutze kommt wieder die startseite home search und es öffnen sich pop ups, danach sind es wieder mehr files die das anti virus findet.
Logfile of HijackThis v1.97.7
Scan saved at 18:50:50, on 27.08.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\winln32.exe
C:\WINDOWS\Rhododendron.bmp:jprkd
D:\Programme\Winamp\winampa.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Windows Media Player\dlexport.exe
D:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Dokumente und Einstellungen\RepLoiD\Anwendungsdaten\mttd.exe
C:\WINDOWS\System32\vlkgytun.exe
D:\PROGRA~1\ICQ\ICQ.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Tools & Patches\Virus\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ubsvo.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ubsvo.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ubsvo.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ubsvo.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\ubsvo.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ubsvo.dll/sp.html#29126
O2 - BHO: (no name) - {5F557ACC-8504-78AF-2F80-6CEC9B55D9F0} - C:\WINDOWS\system32\ntuw32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinampAgent] d:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] D:\Programme\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [dlexport] C:\Programme\Windows Media Player\dlexport.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [winln32.exe] C:\WINDOWS\winln32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Scar] C:\Dokumente und Einstellungen\RepLoiD\Anwendungsdaten\mttd.exe
O4 - HKCU\..\Run: [Ixe] C:\WINDOWS\System32\vlkgytun.exe
O4 - HKCU\..\RunOnce: [ICQ] D:\PROGRA~1\ICQ\ICQ.exe -trayboot
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchmiracle.com
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=9eafaeb2a8e2a9518112bc6e0cedee1552dd4ecb1dd748bcf1cf4d42ced1394245b14c137e17952f3a6abadc3d36297b2b37:b70ac5aa8ec48e2e58a29296baabe1d6
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093624601936
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EA1BEAAB-2284-4F38-96C5-E839F958406B}: NameServer = 192.168.2.1
Ich bin mir ziemlich sicher, dass (fast) alle pathes was mit dem spybot zu tun haben , bis auf einige autostart programme wie icq. habe letztens selbst versucht alles verdächtige zu löschen, aber danach ging mein internet garnicht mehr!
thx im vorraus
mfg Reploid