IE ändert Startseite nicht mehr |
||
---|---|---|
#0
| ||
10.09.2004, 18:45
...neu hier
Beiträge: 6 |
||
|
||
11.09.2004, 14:09
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo @mbrandy
fixe mit dem HijackThis: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://microsoft.oem101.biz/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://microsoft.oem101.biz/ O16 - DPF: {11111111-1111-1111-1111-111111113456} - file://c:\info6_s.cab O21 - SSODL: ss - {F299C926-4986-495D-8B69-A9F6354D4823} - dssa.dll (file missing) NEUSTARTEN Ueberpruefe mit Kaspersky (poste das Ergebnis http://www.kaspersky.com/remoteviruschk.html <C:\WINDOWS\SYSTEM\SS.EXE Der angebliche Systemprozess läuft nicht im System32 Ordner und ist deshalb als Böse einzustufen. #Lade den "eScan" http://www.mwti.net/antivirus/free_utilities.asp suche mit der Suchfunktion von Windows eine "kavupd.exe" und anklicken.(kann auch im Temporary-Ordner sein) Start<Ausfuehren< %temp% Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt (dauert ein bisschen) #Gehe unbedingt in den abgesicherten Modus (!) http://www.bsi.de/av/texte/winsave.htm #suche "mwav.exe und starte so den< eScan<. Alle Häkchen setzen und "Clean-Scan" klicken. #Nach dem Scann, gehe wieder in den Normalmodus , scanne noch mal und poste alles, was als <deleted< und <renamed< und <no action taken< gefunden wurde das neue Log vom HijackThis noch mal. (Stelle vorher eine neue Startseite ein) Tip: <Fall du keinen Virenscanner hast, lade Antivirus (free) http://www.free-av.de/ <ALTERNATIVBROWSER : zum IE #Firefox http://firebird-browser.de/ mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 11.09.2004 um 14:12 Uhr von Sabina editiert.
|
|
|
||
12.09.2004, 19:00
...neu hier
Themenstarter Beiträge: 6 |
#3
Hallo Sabina!
Vielen Dank für Deine Anweisungen. Ich habe sie befolgt, wobei ich den AntiVir gleich zu Beginn heruntergeladen habe. Dies gab dann gewisse "Interessenkonflikte" zwischen dem Check durch AntiVir und eScan. Nun zu den Ergebnissen der Arbeit: Kaspersky hat die Datei ss.exe in Windows\System nicht als Virus erkannt und mir gepostet: "You`re clean". AntiVir hat sie als Virus erkannt und gefragt, ob sie gelöscht werden soll. Bisher habe ich sie lediglich in ihrer Funktion unterbunden. ss.exe hat sich seitdem immer wieder "gemeldet". Die Logs von Hijackthis und MWAV poste ich Dir. Soll ich die ss.exe so schnell wie möglich löschen? Für eine Antwort bin ich sehr dankbar. Herzliche Grüße Martin [0xfffb734f] 12/09/2004 14:53:16:510 :[msvLclnt.dll]ModuleName = C:\WINDOWS\TEMP\MWAVSCAN.COM [0xfffb734f] 12/09/2004 14:53:16:510 :[msvLclnt.dll]Registry Key Deleted Properly!!! [0xfffb734f] 12/09/2004 14:53:56:770 :[msvLclnt.dll]Options Set by External applications MWAVSCAN.COM are 9896960 (0x970400): [0xfffb734f] 12/09/2004 14:53:56:770 :[msvLclnt.dll]Mode ACKED,ARCHIVED,CA,WARNINGS,MAILPLAIN [0xfffb734f] 12/09/2004 14:53:56:770 :[msvLclnt.dll]TimeOut : ffffffff [0xfffb734f] 12/09/2004 14:53:56:770 :[msvLclnt.dll]Priority : NORMAL [0xfff8ad8f] 12/09/2004 14:54:31:210 :[msvLclnt.dll][00000001] File C:\WINDOWS\SYSTEM\dssa.dll infected by Trojan.Win32.Genme.a [0xfffc6725] 12/09/2004 14:57:07:800 :[msvLclnt.dll]ModuleName = C:\WINDOWS\TEMP\MWAVSCAN.COM [0xfffc6725] 12/09/2004 14:57:07:800 :[msvLclnt.dll]Registry Key Deleted Properly!!! [0xfffc6725] 12/09/2004 14:57:33:670 :[msvLclnt.dll]Options Set by External applications MWAVSCAN.COM are 9896960 (0x970400): [0xfffc6725] 12/09/2004 14:57:33:670 :[msvLclnt.dll]Mode ACKED,ARCHIVED,CA,WARNINGS,MAILPLAIN [0xfffc6725] 12/09/2004 14:57:33:670 :[msvLclnt.dll]TimeOut : ffffffff [0xfffc6725] 12/09/2004 14:57:33:670 :[msvLclnt.dll]Priority : NORMAL [0xfff8a201] 12/09/2004 14:57:55:370 :[msvLclnt.dll]VirusCount = 103467 Latest Date = 2004/09/08 [0xfffb3c1f] 12/09/2004 15:06:14:310 :[msvLclnt.dll]ModuleName = C:\WINDOWS\TEMP\MWAVSCAN.COM [0xfffb3c1f] 12/09/2004 15:06:14:370 :[msvLclnt.dll]Registry Key Deleted Properly!!! [0xfffb3c1f] 12/09/2004 15:06:39:190 :[msvLclnt.dll]Options Set by External applications MWAVSCAN.COM are 9896960 (0x970400): [0xfffb3c1f] 12/09/2004 15:06:39:190 :[msvLclnt.dll]Mode ACKED,ARCHIVED,CA,WARNINGS,MAILPLAIN [0xfffb3c1f] 12/09/2004 15:06:39:190 :[msvLclnt.dll]TimeOut : ffffffff [0xfffb3c1f] 12/09/2004 15:06:39:190 :[msvLclnt.dll]Priority : NORMAL [0xfff89547] 12/09/2004 15:06:52:810 :[msvLclnt.dll]VirusCount = 103467 Latest Date = 2004/09/08 [0xfffc4881] 12/09/2004 16:55:06:650 :[msvLclnt.dll]ModuleName = C:\WINDOWS\TEMP\MWAVSCAN.COM [0xfffc4881] 12/09/2004 16:55:06:760 :[msvLclnt.dll]Registry Key Deleted Properly!!! [0xfffc4881] 12/09/2004 16:55:24:230 :[msvLclnt.dll]Options Set by External applications MWAVSCAN.COM are 9896960 (0x970400): [0xfffc4881] 12/09/2004 16:55:24:230 :[msvLclnt.dll]Mode ACKED,ARCHIVED,CA,WARNINGS,MAILPLAIN [0xfffc4881] 12/09/2004 16:55:24:230 :[msvLclnt.dll]TimeOut : ffffffff [0xfffc4881] 12/09/2004 16:55:24:230 :[msvLclnt.dll]Priority : NORMAL [0xfff8317d] 12/09/2004 16:59:38:590 :[msvLclnt.dll][00000001] File C:\_RESTORE\TEMP\A0014434.CPY infected by not-a-virusornWare.Dialer.SexFiles.e [0xfff8317d] 12/09/2004 17:26:28:070 :[msvLclnt.dll][00000001] File C:\WINDOWS\Desktop\Seelsorge_mIRC_Admin\mirc.exe infected by not-a-virus:RiskWare.mIRC.6.03 [0xfff8317d] 12/09/2004 17:28:55:160 :[msvLclnt.dll][00000001] File C:\Eigene Dateien\Z-Seelsorge\Seelsorge_mIRC\mirc.exe infected by not-a-virus:RiskWare.mIRC.6.03 [0xfff8317d] 12/09/2004 17:58:25:850 :[msvLclnt.dll]VirusCount = 103467 Latest Date = 2004/09/08 Logfile of HijackThis v1.98.2 Scan saved at 18:41:16, on 12.09.2004 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v5.50 (5.50.4134.0600) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAMME\MICROSOFT WORKS\WKSSB.EXE C:\WINDOWS\STARTER.EXE C:\PROGRAMME\REAL\REALPLAYER\REALPLAY.EXE C:\PROGRAMME\WINAMP\WINAMPA.EXE C:\WINDOWS\SYSTEM\QTTASK.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAMME\TROJANCHECK 6\TCGUARD.EXE C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE C:\WINDOWS\SYSTEM\LEXBCES.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE C:\PROGRAMME\ULEAD SYSTEMS\ULEAD PHOTOIMPACT 5\ABMTSR.EXE C:\PROGRAMME\WINZIP\WZQKPICK.EXE C:\WINDOWS\SYSTEM\RPCSS.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\SYSTEM\LEXPPS.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\TEMP\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.christliche-seelsorge.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://microsoft.oem101.biz/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe O4 - HKLM\..\Run: [LexStart] Lexstart.exe O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [WinampAgent] "C:\PROGRAMME\WINAMP\WINAMPa.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\PROGRAMME\TROJANCHECK 6\TCGUARD.EXE O4 - HKLM\..\Run: [mwavscan] "C:\WINDOWS\TEMP\MWAVSCAN.COM" /s O4 - HKLM\..\Run: [AVGCtrl] "C:\PROGRA~1\AVPERS~1\AVGCTRL.EXE" /min O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe O4 - Startup: Erinnerungen in Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Startup: Album Fast Start.lnk = C:\Programme\Ulead Systems\Ulead PhotoImpact 5\ABMTSR.EXE O4 - Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O4 - Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: Bild zum Bildarchiv senden - file://C:\WINDOWS\Anwendungsdaten\MGI\PhotoSuite4\Temp\MGI00000.html O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll |
|
|
||
13.09.2004, 01:46
Ehrenmitglied
Beiträge: 29434 |
#4
Hallo @mbrandy
Fixe ,damit es aus dem Autostart kommt O4 - HKLM\..\Run: [mwavscan] "C:\WINDOWS\TEMP\MWAVSCAN.COM" /s neustarten #Dann deaktiviere die Wiederherstellung(!) http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807134146924 #und loesche <ss.exe in Windows\System< (das ist kein Virus, sondern ein Sex-Dialer) und muss manuell geloescht werden. Dann aktiviere wieder die Wiederherstellung. Das Log ist sauber. __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 25.12.2004 um 14:00 Uhr von Sabina editiert.
|
|
|
||
28.09.2004, 13:05
...neu hier
Themenstarter Beiträge: 6 |
#5
Liebe Sabina!
In den letzten Tagen kam ich nicht dazu. Dafür werde ich es jetzt an dieser Stelle nachholen. Ich möchte Dir ganz herzlich für Deine Hilfe danken. Sie war konkret, wenig zeitaufwendig und effektiv. Der PC funktioniert wieder. Damit hast Du nicht nur mir geholfen, sondern vielen, die über unsere Website Seelsorge im I-Net suchen. Fühle Dich lieb gedrückt, sofern es Dir Recht ist und das in Ordnung geht. Herzliche Grüße Martin |
|
|
||
28.09.2004, 13:47
Ehrenmitglied
Beiträge: 29434 |
#6
Hallo @mbrandy
#Kumulativer Sicherheitspatch für Internet Explorer 6 (KB867801) Durch eine bekannte Sicherheitslücke könnte ein Angreifer auf einem Computer Dateien lesen oder Programme ausführen, wenn mit dem Computer Websites des Angreifers besucht wurden. http://www.microsoft.com/downloads/details.aspx?FamilyID=4c2f8a40-1b88-4f93-98b1-1619dcfd7273&displaylang=de #Internet Explorer 6 Service Pack 1 http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=1E1550CB-5E5D-48F5-B02B-20B602228DE6 mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 28.09.2004 um 13:47 Uhr von Sabina editiert.
|
|
|
||
28.09.2004, 20:26
...neu hier
Beiträge: 7 |
#7
HI leute!!
ich bin neu hier, gerade erst angemeldet!! und freue mich auf jede Hilfe:Hab auch so ein problem!! SO das ist mein Problem:wenn ich meinen Internet Explorer starte dann kommt die Seite :about:Blank, als Startseite . Ich kann keine andere Seite als Startseite machen .....sie ändert sich immer wieder auf die Seite!!!Und dann kommt da noch so ein kleineres Fenster: Network Adminitrator Important Notice!!! Attention:Your computer is infected with Spyware and Adware. You can protect your privacy and improve your Pc perfomance by removing spyware.dann so schild. do yo want to Remove spyware in a few minutes? klick ok? ich kenn mich halt damit kaum aus und würde mich sehr freuen wenn es mir jemand gut erklären könnte wie ich mein problem beheben könne!!! Schon mal danke im Voraus!!! Mein log mit hijackthis: Logfile of HijackThis v1.97.7 Scan saved at 20:23:37, on 28.09.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\System32\Ati2evxx.exe C:\Programme\Roxio\GoBack\GBPoll.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE C:\WINDOWS\system32\slserv.exe C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\ctfmon.exe C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Java\j2re1.4.2_02\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\GIANT Company Software\GIANT AntiSpyware\gcasServ.exe C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe C:\Programme\a2\a2guard.exe C:\Programme\Roxio\GoBack\GBTray.exe C:\Programme\GIANT Company Software\GIANT AntiSpyware\gcasDtServ.exe C:\Programme\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe C:\Programme\a2\a2start.exe C:\Programme\a2\a2scan.exe E:\Spiele\Skype\Phone\Skype.exe E:\Spiele\ICQLite\ICQLite.exe C:\Programme\Internet Explorer\iexplore.exe C:\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\ROBINA~1\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.search.msn.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mymtw.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\ROBINA~1\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\ROBINA~1\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\ROBINA~1\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\ROBINA~1\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {6EEB8BC0-B9C5-4CD7-A95B-0619EE48E33E} - C:\WINDOWS\System32\hpkp.dll (file missing) O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_02\bin\jusched.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe O4 - HKLM\..\Run: [ICQ Lite] E:\Spiele\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [gcasServ] "C:\Programme\GIANT Company Software\GIANT AntiSpyware\gcasServ.exe" O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe O4 - HKCU\..\Run: [Steam] E:\spiele\Steam\Steam.exe -silent O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKCU\..\Run: [Demo Manager] E:\Spiele\Demomanager\Demomanager.exe -autorun O4 - HKCU\..\Run: [Spyware-Cop] "C:\Programme\Spyware-Cop\Spyware-Cop.exe" /s O4 - HKCU\..\Run: [a²] "C:\Programme\a2\a2guard.exe" O4 - HKCU\..\Run: [Spyware Begone] C:\freescan\freescan.exe -FastScan O4 - HKCU\..\RunOnce: [ICQ Lite] E:\Spiele\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: GoBack.lnk = C:\Programme\Roxio\GoBack\GBTray.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O9 - Extra button: ICQ 4.1 (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web8.cab O16 - DPF: {C2FCEF4E-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI File information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{E56886A8-C875-4475-87AB-331530DDB49E}: NameServer = 217.237.150.141 217.237.150.97 Sabina wäre nett wenn du mir auch helfen könntest!!! |
|
|
||
28.09.2004, 23:55
Ehrenmitglied
Beiträge: 29434 |
#8
Hallo @Robin-89
Fixe mit dem HijackThis, dann neustarten: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\ROBINA~1\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.search.msn.com R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\ROBINA~1\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\ROBINA~1\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\ROBINA~1\LOKALE~1\Temp\sp.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\ROBINA~1\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {6EEB8BC0-B9C5-4CD7-A95B-0619EE48E33E} - C:\WINDOWS\System32\hpkp.dll (file missing) O4 - HKLM\..\Run: [gcasServ] "C:\Programme\GIANT Company Software\GIANT AntiSpyware\gcasServ.exe" O4 - HKCU\..\Run: [Spyware-Cop] "C:\Programme\Spyware-Cop\Spyware-Cop.exe" /s O4 - HKCU\..\Run: [Spyware Begone] C:\freescan\freescan.exe -FastScan neustarten #Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK" #Deinstalliere: <C:\Programme\Spyware-Cop\Spyware-Cop.exe und loesche alles , was du findest vom Programm (auch in der Registry) Start<Ausfuehren<regedit (oben links ist die Suchfunktion) #Start<Ausfuehren<cmd (reinkopieren regsvr32 /u c:\system32\hpkp.dll <enter< neustarten #c:\system32\hpkp.dll umbenennen in :hpkp.dl und loeschen #Internet Explorer<Menüleiste Extras<Internet Optionen<Allgemein<Verlauf" leeren, Cookies, TemporaryInternetfiles (auch Offline) loeschen #Datentraegerbereinigung: und Loeschen der Temporary-Dateien Disk Cleanup Wizard 1. Start<Ausfuehren<cleanmgr 2. Click Temporary Internet Files, O.K #Leere die Odner (nicht die Ordner selbst loeschen: C:\Dokumente und Einstellungen\Default User\Cookies\*.* C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temp\*.* C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\*.* #AboutBuster laden www.malwarebytes.biz/AboutBuster.zip Alle Dateien in einen Ordner entpacken, die Readme Datei lesen, dann das Programm ausführen (evtl auch im abgesicherten Modus) #Sphj.fix <.sp.html (obfuscated)< http://www.rokop-security.de/main/article.php?sid=746 WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!. #AdAware (free) http://www.lavasoft.de/support/download/ VOR jedem Scanvorgang das Programm Updaten! WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!. Files, die Adaware findet, können bedenkenlos gelöscht werden. #CWShredder 1.59 http://www.chip.de/downloads/c_downloads_11353799.html WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!. #TraXEx 2.2 ist ein zuverlässiges Sicherheits-Programm für alle aktuellen Internet-Browser und Windows. TraXEx löscht Spuren, die Ihr Internet-Browser beim Surfen auf Ihrem PC hinterläßt #Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein. #Nachrichtendienst Starttyp-Empfehlung: DEAKTIVIERT "Überträgt NET SEND- und Warndienstnachrichten zwischen Clients und Servern. (wird auch von Spyware-Software "gekapert" Dann poste das Log noch einmal. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 25.12.2004 um 13:58 Uhr von Sabina editiert.
|
|
|
||
24.12.2004, 22:12
...neu hier
Themenstarter Beiträge: 6 |
#9
Liebe Sabina!
Das Leitwort der diesjährigen Weihnachtsfeier an der Grundschule, die inzwischen zwei unserer Kinder besuchen, hat mich sehr bewegt. Daher möchte ich es gerne an Dich und die Deinen weitergeben. Es stammt aus Afrika und lautet: "Viele kleine Leute, die in vielen kleinen Orten viele kleine Dinge tun, können das Gesicht der Welt verändern." Vielen Dank nochmals für Deine Hilfe in diesem Jahr. Dir und den Deinen wünsche ich ein gesegnetes Weihnachtsfest und einen guten Start in das Jahr 2005! Herzliche Grüße mbrandy |
|
|
||
05.03.2005, 18:25
...neu hier
Themenstarter Beiträge: 6 |
#10
Liebe Sabina!
Anbei poste ich Dir mein aktuelles Logfile von hijackthis. Es wäer lieb, wenn Du es mal kurz durchlesen könntest und mir dann schreibst, ob alles ok ist. Im Moment kann ich Word nicht mehr öffnen. Das System meldet eine Überlastung, aber andere Anwendungsprogramme gehen auch ohne Probleme auf. Hast Du da einen Rat für mich, woran das liegen kann. Ich habe es bereits deinstalliert und wieder neu installiert, aber es funktioniert nicht mehr. Nach dem Starten bleibt der PC hängen und ich muss ihn ausschalten. Vielen Dank für Deinen Einsatz! Herzliche Grüße Martin (mbrandy) Logfile of HijackThis v1.98.2 Scan saved at 18:14:43, on 05.03.2005 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v5.50 (5.50.4134.0600) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\SSDPSRV.EXE C:\WINDOWS\SYSTEM\LEXBCES.EXE C:\WINDOWS\SYSTEM\RPCSS.EXE C:\WINDOWS\SYSTEM\LEXPPS.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAMME\MICROSOFT WORKS\WKSSB.EXE C:\WINDOWS\STARTER.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAMME\REAL\REALPLAYER\REALPLAY.EXE C:\PROGRAMME\WINAMP\WINAMPA.EXE C:\WINDOWS\SYSTEM\QTTASK.EXE C:\WINDOWS\SYSTEM\USBMONIT.EXE C:\PROGRAMME\TROJANCHECK 6\TCGUARD.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE C:\PROGRAMME\ULEAD SYSTEMS\ULEAD PHOTOIMPACT 5\ABMTSR.EXE C:\PROGRAMME\WINZIP\WZQKPICK.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\PROGRAMME\OUTLOOK EXPRESS\MSIMN.EXE C:\WINDOWS\SYSTEM\PSTORES.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\WINDOWS\TEMP\HIJACKTHIS.EXE O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe O4 - HKLM\..\Run: [LexStart] Lexstart.exe O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [WinampAgent] "C:\PROGRAMME\WINAMP\WINAMPa.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime O4 - HKLM\..\Run: [Gene USB Monitor] C:\WINDOWS\SYSTEM\USBMonit.exe O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\PROGRAMME\TROJANCHECK 6\TCGUARD.EXE O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe O4 - Startup: Erinnerungen in Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Startup: Album Fast Start.lnk = C:\Programme\Ulead Systems\Ulead PhotoImpact 5\ABMTSR.EXE O4 - Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O4 - Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: Bild zum Bildarchiv senden - file://C:\WINDOWS\Anwendungsdaten\MGI\PhotoSuite4\Temp\MGI00000.html O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll |
|
|
||
06.03.2005, 20:10
Ehrenmitglied
Beiträge: 29434 |
#11
Hallo@mbrandy
das Log vom HijackThis (auesserlich) ist sauber. Schau mal bitte in den Geraetemanger, ob du dort ein gelbes Symbol findest, vielleicht ist ein Treiber nicht in Ordnung. ich glaube nicht, dass es ein Virenprobelm ist, aber du kannst mal nachsehen..... •eScan-Erkennungstool eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich: http://www.mwti.net/antivirus/free_utilities.asp oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche kavupd.exe, die klickst du an--> (Update- in DOS) ausführen gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen : Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory •Beim Start von e-scan sollten folgende Optionen aktiviert sein: -->und "Scan " klicken. •Gehe wieder in den Normalmodus:[/u] •mache bitte folgendes: nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du "infected" ein •jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw. •und ganz unten steht die zusammenfassung, diese auch hier posten __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
15.03.2005, 03:41
...neu hier
Beiträge: 3 |
#12
Hallo!
Ich suche jetzt schon die ganze Nacht nach geeigneten Antivieren- oder Antispywareprogrammen, doch bis jetzt hat sich trotz einiger Aktualisierungen auf diesem Gebiet noch nicht sehr viel getan - daher hoffe ich jetzt, dass ihr mir vielleicht weiterhelfen könnt. Zu der Art des Problems: Es ist vollkommen identisch, mit dem, das bereits Robin-89 einige Beiträge weiter oben geschildert hat. Hinzu kommt noch, dass sich bei mir immer wieder ein Fenster von Norton AntiVirus öffnet, mit folgendem Text: Virus Alert High Risk Norton AntiVirus has detected and removed a virus from your computer Object Name: C:\DOKUME~1\Robert\LOKALE~1\Temp\se.dll Virus Name: Trojan.StartPage Action Taken: The file was automatically deleted. Im gleichen moment öffnet sich dann ein weiteres Fenster von RUNDLL: Fehler beim Laden von C:\DOKUME~1\Robert\LOKALE~1\Temp\se.dll Das angegebene Modul wurde nicht gefunden. Dieses Fenster öffnet sich zusammen mit ein paar spyware meldungen (angeblich von microsoft) und nem popup fenster alle paar Minuten. Also wurde die Datei doch nicht zerstört.? Ich bin erst gerade auf eure Seite gestoßen und in diesem Zusammenhang auch auf HijackThis. Ich weiß also nicht, ob sich mein zweites Problem auch durch hijackthis lösen lässt. Da ich von der Materie "Computer" leider nicht allzuviel verstehe, würde ich mich über eine anfänfängerfreundliche Beschreibung sehr freuen. Herzlichen Dank schonmal im vorraus. Sabina, vielleicht findest du ja auch die Zeit, mir so kompetent weiterzuhelfen, wie bei den vorigen "Patienten" ;-) Dafür wäre ich dir sehr dankbar. Hier kommt mein Log: Logfile of HijackThis v1.99.1 Scan saved at 02:47:40, on 15.03.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Messenger\msmsgs.exe C:\Programme\Winamp\Winampa.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Microsoft AntiSpyware\gcasServ.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Netscape\Netscape\Netscp.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe C:\WINDOWS\System32\wuauclt.exe C:\Dokumente und Einstellungen\Robert\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://targetclicks.net/srch.php?qq=%s R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Robert\LOKALE~1\Temp\se.dll/sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.searchmaid.com/search.php?qq=%s R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Robert\LOKALE~1\Temp\se.dll/sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.searchmaid.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank F2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exe O2 - BHO: (no name) - {50103D55-4D2C-4D8A-991F-69B6B96394D1} - C:\WINDOWS\System32\omgd.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [Security iGuard] C:\Programme\Security iGuard\Security iGuard.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{3E718F61-C484-4F18-B9C3-B40116E7CEBC}: NameServer = 69.50.188.180,195.225.176.37 O17 - HKLM\System\CCS\Services\Tcpip\..\{E68F8916-9A88-42BB-BD38-509DC3084F27}: NameServer = 69.50.188.180 195.225.176.37 O18 - Filter: text/html - {D5E88E93-5B32-4953-ADBA-9727F0717E87} - C:\WINDOWS\System32\omgd.dll O18 - Filter: text/plain - {D5E88E93-5B32-4953-ADBA-9727F0717E87} - C:\WINDOWS\System32\omgd.dll O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe |
|
|
||
16.03.2005, 18:21
...neu hier
Themenstarter Beiträge: 6 |
#13
Liebe Sabina!
Vielen Dank für Deine Hinweise und Tipps. Diesmal war das Problem einfach zu lösen. Es lag daran, daß sich zu viele Formatvorlagen in Word angehäuft hatten. Nachdem ich alle gelöscht hatte, ging Word wieder einwandfrei. Es muss ja nicht immer ein Virus sein ;-). Trotzdem vielen Dank nochmal für Dein Mitdenken. Herzliche Grüße Martin (mbrandy) |
|
|
||
17.03.2005, 12:35
Ehrenmitglied
Beiträge: 29434 |
#14
Hallo@Counter_18
Hijacker about:blank - se.dll\sp.html http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html poste das Log vom Scann und dann das neue Log vom HijackThis, denn dann beginnen wir die eigentliche Reinigung der PC ist sehr verseucht....... __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
17.03.2005, 15:32
...neu hier
Beiträge: 3 |
#15
Hallo @ Sabina
Danke schon mal für die ersten Instruktionen. Hab soweit mal alles gemacht. Das Log von SPSeHjFix (Habs mehrfach durchlaufen lassen, weil ich zwischenzeitlich noch im I-net war und auf Nummer sicher gehen wollte. Ich hoffe, du findest dich trotzdem zurecht): 03/17/2005 14:20:20 SPSeHjFix started v1.07 03/17/2005 14:20:20 OS: WinXP (5.1.2600) 03/17/2005 14:20:21 Searchassistant Unintaller found 03/17/2005 14:20:21 Searchassistant Unintaller - Keys Deleted 03/17/2005 14:20:21 UBF: 6 03/17/2005 14:20:21 UBB: 5 03/17/2005 14:20:21 FilterKey: HKEY_CLASSES_ROOT\text/html (deleted) 03/17/2005 14:20:21 FilterKey: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\text/html (error while deleting) 03/17/2005 14:20:21 FilterKey: HKEY_CLASSES_ROOT\CLSID\{D5E88E93-5B32-4953-ADBA-9727F0717E87} (deleted) 03/17/2005 14:20:21 FilterKey: HKEY_CLASSES_ROOT\text/plain (deleted) 03/17/2005 14:20:21 FilterKey: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\text/plain (error while deleting) 03/17/2005 14:20:21 FilterKey: HKEY_CLASSES_ROOT\CLSID\{D5E88E93-5B32-4953-ADBA-9727F0717E87} (error while deleting) 03/17/2005 14:20:21 UBR: 15 03/17/2005 14:20:21 Run-Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\sp=rundll32 C:\DOKUME~1\Daniel\LOKALE~1\Temp\se.dll,DllInstall (deleted) 03/17/2005 14:20:21 Bad IE-pages: deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Bar: res://C:\DOKUME~1\Robert\LOKALE~1\Temp\se.dll/sp.html deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Page: about:blank deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank deleted: HKCU\Software\Microsoft\Internet Explorer\Main, HomeOldSP: about:blank deleted: HKCU\Software\Microsoft\Internet Explorer\Search, SearchAssistant: about:blank deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Bar: res://C:\DOKUME~1\Robert\LOKALE~1\Temp\se.dll/sp.html deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Page: about:blank deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank 03/17/2005 14:20:21 File added to delete: c:\windows\system32\omgd.dll 03/17/2005 14:20:21 File added to delete: c:\dokume~1\daniel\lokale~1\temp\se.dll 03/17/2005 14:20:21 Reboot 03/17/2005 14:20:34 SPSeHjFix started v1.07 03/17/2005 14:20:34 OS: WinXP (5.1.2600) 03/17/2005 14:20:34 Searchassistant Unintaller found 03/17/2005 14:20:34 Searchassistant Unintaller - Keys Deleted 03/17/2005 14:20:34 UBF: 6 03/17/2005 14:20:34 UBB: 5 03/17/2005 14:20:34 FilterKey: HKEY_CLASSES_ROOT\text/html (deleted) 03/17/2005 14:20:34 FilterKey: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\text/html (error while deleting) 03/17/2005 14:20:34 FilterKey: HKEY_CLASSES_ROOT\CLSID\{944AF4C1-4669-4E58-A51C-EFBF44AD26F8} (deleted) 03/17/2005 14:20:34 FilterKey: HKEY_CLASSES_ROOT\text/plain (deleted) 03/17/2005 14:20:34 FilterKey: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\text/plain (error while deleting) 03/17/2005 14:20:34 FilterKey: HKEY_CLASSES_ROOT\CLSID\{944AF4C1-4669-4E58-A51C-EFBF44AD26F8} (error while deleting) 03/17/2005 14:20:34 UBR: 15 03/17/2005 14:20:34 Run-Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\sp=rundll32 C:\DOKUME~1\Daniel\LOKALE~1\Temp\se.dll,DllInstall (deleted) 03/17/2005 14:20:34 Bad IE-pages: deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Bar: res://C:\DOKUME~1\Robert\LOKALE~1\Temp\se.dll/sp.html deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Page: about:blank deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank deleted: HKCU\Software\Microsoft\Internet Explorer\Main, HomeOldSP: about:blank deleted: HKCU\Software\Microsoft\Internet Explorer\Search, SearchAssistant: about:blank deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Bar: res://C:\DOKUME~1\Robert\LOKALE~1\Temp\se.dll/sp.html deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Page: about:blank deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank 03/17/2005 14:20:34 File added to delete: c:\windows\system32\omgd.dll 03/17/2005 14:20:34 File added to delete: c:\dokume~1\daniel\lokale~1\temp\se.dll 03/17/2005 14:20:34 Reboot 03/17/2005 14:21:19 SPSeHjFix started v1.07 03/17/2005 14:21:19 OS: WinXP (5.1.2600) 03/17/2005 14:21:19 Searchassistant Unintaller found 03/17/2005 14:21:19 Searchassistant Unintaller - Keys Deleted 03/17/2005 14:21:19 UBF: 6 03/17/2005 14:21:19 UBB: 5 03/17/2005 14:21:19 FilterKey: HKEY_CLASSES_ROOT\text/html (deleted) 03/17/2005 14:21:19 FilterKey: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\text/html (error while deleting) 03/17/2005 14:21:19 FilterKey: HKEY_CLASSES_ROOT\CLSID\{94B889F9-7FA7-48E8-8E91-74A3CD523B14} (deleted) 03/17/2005 14:21:19 FilterKey: HKEY_CLASSES_ROOT\text/plain (deleted) 03/17/2005 14:21:19 FilterKey: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\text/plain (error while deleting) 03/17/2005 14:21:19 FilterKey: HKEY_CLASSES_ROOT\CLSID\{94B889F9-7FA7-48E8-8E91-74A3CD523B14} (error while deleting) 03/17/2005 14:21:19 UBR: 15 03/17/2005 14:21:19 Run-Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\sp=rundll32 C:\DOKUME~1\Daniel\LOKALE~1\Temp\se.dll,DllInstall (deleted) 03/17/2005 14:21:19 Bad IE-pages: deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Bar: res://C:\DOKUME~1\Robert\LOKALE~1\Temp\se.dll/sp.html deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Page: about:blank deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank deleted: HKCU\Software\Microsoft\Internet Explorer\Main, HomeOldSP: about:blank deleted: HKCU\Software\Microsoft\Internet Explorer\Search, SearchAssistant: about:blank deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Bar: res://C:\DOKUME~1\Robert\LOKALE~1\Temp\se.dll/sp.html deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Page: about:blank deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank 03/17/2005 14:21:19 File added to delete: c:\windows\system32\omgd.dll 03/17/2005 14:21:19 File added to delete: c:\dokume~1\daniel\lokale~1\temp\se.dll 03/17/2005 14:21:19 Reboot 03/17/2005 14:22:06 SPSeHjFix started v1.07 03/17/2005 14:22:06 OS: WinXP (5.1.2600) 03/17/2005 14:22:06 Searchassistant Unintaller found 03/17/2005 14:22:06 Searchassistant Unintaller - Keys Deleted 03/17/2005 14:22:06 UBF: 6 03/17/2005 14:22:06 UBB: 5 03/17/2005 14:22:06 FilterKey: HKEY_CLASSES_ROOT\text/html (deleted) 03/17/2005 14:22:06 FilterKey: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\text/html (error while deleting) 03/17/2005 14:22:06 FilterKey: HKEY_CLASSES_ROOT\CLSID\{F7C3F6F7-0A0D-4AFF-AD19-B96338A0C8A2} (deleted) 03/17/2005 14:22:06 FilterKey: HKEY_CLASSES_ROOT\text/plain (deleted) 03/17/2005 14:22:06 FilterKey: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\text/plain (error while deleting) 03/17/2005 14:22:06 FilterKey: HKEY_CLASSES_ROOT\CLSID\{F7C3F6F7-0A0D-4AFF-AD19-B96338A0C8A2} (error while deleting) 03/17/2005 14:22:06 UBR: 15 03/17/2005 14:22:06 Run-Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\sp=rundll32 C:\DOKUME~1\Daniel\LOKALE~1\Temp\se.dll,DllInstall (deleted) 03/17/2005 14:22:06 Bad IE-pages: deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Bar: res://C:\DOKUME~1\Robert\LOKALE~1\Temp\se.dll/sp.html deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Page: about:blank deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank deleted: HKCU\Software\Microsoft\Internet Explorer\Main, HomeOldSP: about:blank deleted: HKCU\Software\Microsoft\Internet Explorer\Search, SearchAssistant: about:blank deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Bar: res://C:\DOKUME~1\Robert\LOKALE~1\Temp\se.dll/sp.html deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Page: about:blank03/17/2005 15:05:48 SPSeHjFix started v1.07 03/17/2005 15:05:48 OS: WinXP (5.1.2600) 03/17/2005 15:05:48 Searchassistant Unintaller found 03/17/2005 15:05:48 Searchassistant Unintaller - Keys Deleted 03/17/2005 15:05:48 UBF: 6 03/17/2005 15:05:48 UBB: 5 03/17/2005 15:05:48 FilterKey: HKEY_CLASSES_ROOT\text/html (deleted) 03/17/2005 15:05:48 FilterKey: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\text/html (error while deleting) 03/17/2005 15:05:48 FilterKey: HKEY_CLASSES_ROOT\CLSID\{C2B1E22D-AEDA-45A0-A75A-29C4E3D05078} (deleted) 03/17/2005 15:05:48 FilterKey: HKEY_CLASSES_ROOT\text/plain (deleted) 03/17/2005 15:05:48 FilterKey: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\text/plain (error while deleting) 03/17/2005 15:05:48 FilterKey: HKEY_CLASSES_ROOT\CLSID\{C2B1E22D-AEDA-45A0-A75A-29C4E3D05078} (error while deleting) 03/17/2005 15:05:48 UBR: 13 03/17/2005 15:05:48 Run-Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\sp=rundll32 C:\DOKUME~1\Daniel\LOKALE~1\Temp\se.dll,DllInstall (deleted) 03/17/2005 15:05:48 Bad IE-pages: deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Bar: res://C:\DOKUME~1\Robert\LOKALE~1\Temp\se.dll/sp.html deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Page: about:blank deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank deleted: HKCU\Software\Microsoft\Internet Explorer\Main, HomeOldSP: about:blank deleted: HKCU\Software\Microsoft\Internet Explorer\Search, SearchAssistant: about:blank deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Bar: res://C:\DOKUME~1\Robert\LOKALE~1\Temp\se.dll/sp.html deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Page: about:blank deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank 03/17/2005 15:05:48 File added to delete: c:\windows\system32\omgd.dll 03/17/2005 15:05:48 File added to delete: c:\dokume~1\daniel\lokale~1\temp\se.dll 03/17/2005 15:05:48 Reboot 03/17/2005 15:12:28 SPSeHjFix started v1.07 03/17/2005 15:12:28 OS: WinXP (5.1.2600) 03/17/2005 15:12:28 UBF: 4 03/17/2005 15:12:28 UBB: 5 03/17/2005 15:12:28 UBR: 12 03/17/2005 15:12:28 Bad IE-pages: 03/17/2005 15:12:28 Not infected->END 1:04 Bad IE-pages: 03/17/2005 15:21:04 Not infected->END und das Log von HijackThis: Logfile of HijackThis v1.99.1 Scan saved at 15:25:12, on 03/17/2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Microsoft AntiSpyware\gcasServ.exe C:\Program Files\Altnet\Points Manager\Points Manager.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe C:\WINDOWS\System32\wuauclt.exe C:\PROGRA~2\Altnet\DOWNLO~1\asm.exe C:\PROGRA~2\Altnet\DOWNLO~1\adm4005.exe C:\Programme\Microsoft AntiSpyware\gcasServAlert.exe C:\PROGRA~1\Netscape\Netscape\Netscp.exe C:\Programme\Winamp\Winamp.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Dokumente und Einstellungen\Robert\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://targetclicks.net/srch.php?qq=%s R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.searchmaid.com/search.php?qq=%s R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.searchmaid.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank F2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exe O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\2.bin\MYBAR.DLL O2 - BHO: PBlockadeHelper Class - {4115122B-85FF-4DD3-9515-F075BEDE5EB5} - C:\Programme\Oemji\Toolbar\PopupBlocker\PBHelper.dll O2 - BHO: InstaFinderK - {4E7BD74F-2B8D-469E-90F0-F66AB581A933} - C:\Programme\INSTAFINK\instafink.dll O2 - BHO: (no name) - {50103D55-4D2C-4D8A-991F-69B6B96394D1} - C:\WINDOWS\System32\omgd.dll (file missing) O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O2 - BHO: OemjiSearchPlus - {D240DC29-C093-4388-B71F-A7103C796B0C} - C:\Programme\Oemji\OemjiSearchPlus\OemjiPls.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\2.bin\MYBAR.DLL O3 - Toolbar: Oemji - {804DB5C7-31E6-4885-850A-F1941B58A4C7} - C:\Programme\Oemji\Toolbar\OemjiSrc.dll O4 - HKLM\..\Run: [Security iGuard] C:\Programme\Security iGuard\Security iGuard.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe" O4 - HKLM\..\Run: [KAZAA] C:\Dokumente und Einstellungen\Daniel\Eigene Dateien\kazaa.exe /SYSTRAY O4 - HKLM\..\Run: [AltnetPointsManager] C:\Program Files\Altnet\Points Manager\Points Manager.exe -s O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART O4 - HKLM\..\Run: [SpySpotter] C:\PROGRA~1\SPYSPO~1\SpySpotter.exe -onreboot O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) - O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{3E718F61-C484-4F18-B9C3-B40116E7CEBC}: NameServer = 69.50.188.180,195.225.176.37 O17 - HKLM\System\CCS\Services\Tcpip\..\{E68F8916-9A88-42BB-BD38-509DC3084F27}: NameServer = 69.50.188.180 195.225.176.37 O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe Viele Grüße, Counter |
|
|
||
Mein IE ändert die Startseite nicht mehr, selbst bei wiederholter Eingabe einer anderen Adresse. Ich habe ständig die Seite http://microsoft.oem101.biz/ als Startseite :-(.
Anbei erhaltet ihr das Log von hijackthis (siehe unten). Leider bin ich nicht ganz so bewandert mit der Technik und brauche daher wertvolle Tipps. Es wäre lieb, wenn sich das Log mal jemand durchlesen könnte, der sich damit auskennt.
Herzliche Grüße
Martin
Logfile of HijackThis v1.98.2
Scan saved at 18:22:41, on 10.09.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0600)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\LEXBCES.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\LEXPPS.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SS.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\MICROSOFT WORKS\WKSSB.EXE
C:\WINDOWS\STARTER.EXE
C:\PROGRAMME\REAL\REALPLAYER\REALPLAY.EXE
C:\PROGRAMME\WINAMP\WINAMPA.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\PROGRAMME\TROJANCHECK 6\TCGUARD.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE
C:\PROGRAMME\ULEAD SYSTEMS\ULEAD PHOTOIMPACT 5\ABMTSR.EXE
C:\PROGRAMME\WINZIP\WZQKPICK.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://microsoft.oem101.biz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://microsoft.oem101.biz/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [LexStart] Lexstart.exe
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [WinampAgent] "C:\PROGRAMME\WINAMP\WINAMPa.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\PROGRAMME\TROJANCHECK 6\TCGUARD.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - Startup: Erinnerungen in Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Album Fast Start.lnk = C:\Programme\Ulead Systems\Ulead PhotoImpact 5\ABMTSR.EXE
O4 - Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O4 - Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Bild zum Bildarchiv senden - file://C:\WINDOWS\Anwendungsdaten\MGI\PhotoSuite4\Temp\MGI00000.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O16 - DPF: {11111111-1111-1111-1111-111111113456} - file://c:\info6_s.cab
O21 - SSODL: ss - {F299C926-4986-495D-8B69-A9F6354D4823} - dssa.dll (file missing)