Webseite ändert Telefonnummer im DFÜ-Netzwerk |
||
---|---|---|
#0
| ||
17.09.2004, 22:27
...neu hier
Beiträge: 8 |
||
|
||
18.09.2004, 12:20
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo @Eisenbart
Du hast dir wahrscheinlich einen DIALER eingefangen. http://www.hijackthis.de/index.php Lade bitte von dieser Seite das HijackThis (ganz oben, Direktdownload) scanne, save und kopiere das Log ins Forum. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 18.09.2004 um 12:21 Uhr von Sabina editiert.
|
|
|
||
18.09.2004, 13:04
...neu hier
Themenstarter Beiträge: 8 |
#3
Ok, hier ist das Logfile:
*** Logfile Anfang Logfile of HijackThis v1.98.2 Scan saved at 12:56:26, on 18.09.04 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v5.50 SP1 (5.50.4522.1800) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MSTASK.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE C:\PROGRAMME\NORTON ANTIVIRUS\ADVTOOLS\NPROTECT.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\STARTER.EXE C:\PROGRAMME\MICROSOFT HARDWARE\MOUSE\POINT32.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\PROGRAMME\ROXIO\WINONCD\DIRECTCD\DIRECTCD.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\PROGRAMME\DAP\DAP.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\PROGRAMME\EMULE\EMULE.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE E:\TRANSFER\DOWNLOADS\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://ok-search.com/search.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ok-search.com/search.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://ok-search.com/search.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ok-search.com/search.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ok-search.com/search.html O1 - Hosts: 66.159.20.80 www1.ndhosting.com O1 - Hosts: 66.159.20.80 www3.ndhosting.com O1 - Hosts: 66.159.20.80 www2.ndhosting.com O1 - Hosts: 66.159.20.80 www.ndhosting.com O1 - Hosts: 66.159.20.80 www.kinghost.com O1 - Hosts: 66.159.20.80 kinghost.com O1 - Hosts: 66.159.20.80 www1.kinghost.com O1 - Hosts: 66.159.20.80 www2.kinghost.com O1 - Hosts: 66.159.20.80 www3.kinghost.com O1 - Hosts: 66.159.20.80 www4.kinghost.com O1 - Hosts: 66.159.20.80 www5.kinghost.com O1 - Hosts: 66.159.20.80 www6.kinghost.com O1 - Hosts: 66.159.20.80 www7.kinghost.com O1 - Hosts: 66.159.20.80 www8.kinghost.com O1 - Hosts: 66.159.20.80 www9.kinghost.com O1 - Hosts: 66.159.20.80 www10.kinghost.com O1 - Hosts: 66.159.20.80 www.smutserver.com O1 - Hosts: 66.159.20.80 smutserver.com O1 - Hosts: 66.159.20.80 www1.smutserver.com O1 - Hosts: 66.159.20.80 www2.smutserver.com O1 - Hosts: 66.159.20.80 www16.smutserver.com O1 - Hosts: 66.159.20.80 www3.smutserver.com O1 - Hosts: 66.159.20.80 www4.smutserver.com O1 - Hosts: 66.159.20.80 www5.smutserver.com O1 - Hosts: 66.159.20.80 www6.smutserver.com O1 - Hosts: 66.159.20.80 www7.smutserver.com O1 - Hosts: 66.159.20.80 www8.smutserver.com O1 - Hosts: 66.159.20.80 www9.smutserver.com O1 - Hosts: 66.159.20.80 www10.smutserver.com O1 - Hosts: 66.159.20.80 www11.smutserver.com O1 - Hosts: 66.159.20.80 www12.smutserver.com O1 - Hosts: 66.159.20.80 www13.smutserver.com O1 - Hosts: 66.159.20.80 www14.smutserver.com O1 - Hosts: 66.159.20.80 www15.smutserver.com O1 - Hosts: 66.159.20.80 www17.smutserver.com O1 - Hosts: 66.159.20.80 www18.smutserver.com O1 - Hosts: 66.159.20.80 www19.smutserver.com O1 - Hosts: 66.159.20.80 www20.smutserver.com O1 - Hosts: 66.159.20.80 www21.smutserver.com O1 - Hosts: 66.159.20.80 www22.smutserver.com O1 - Hosts: 66.159.20.80 www23.smutserver.com O1 - Hosts: 66.159.20.80 www24.smutserver.com O1 - Hosts: 66.159.20.80 www25.smutserver.com O1 - Hosts: 66.159.20.80 www26.smutserver.com O1 - Hosts: 66.159.20.80 www27.smutserver.com O1 - Hosts: 66.159.20.80 www28.smutserver.com O1 - Hosts: 66.159.20.80 www29.smutserver.com O1 - Hosts: 66.159.20.80 www30.smutserver.com O1 - Hosts: 66.159.20.80 www31.smutserver.com O1 - Hosts: 66.159.20.80 www32.smutserver.com O1 - Hosts: 66.159.20.80 agreathost.net O1 - Hosts: 66.159.20.80 www.agreathost.net O1 - Hosts: 66.159.20.80 hotfreehost.com O1 - Hosts: 66.159.20.80 www.hotfreehost.com O1 - Hosts: 66.159.20.80 greatfreehost.com O1 - Hosts: 66.159.20.80 www.greatfreehost.com O1 - Hosts: 66.159.20.80 freesmutpages.com O1 - Hosts: 66.159.20.80 www.freesmutpages.com O1 - Hosts: 66.159.20.80 apornhost.com O1 - Hosts: 66.159.20.80 www.apornhost.com O1 - Hosts: 66.159.20.80 nasty-pages.com O1 - Hosts: 66.159.20.80 www.nasty-pages.com O1 - Hosts: 66.159.20.80 sexyfreehost.com O1 - Hosts: 66.159.20.80 www.sexyfreehost.com O1 - Hosts: 66.159.20.80 x4web.com O1 - Hosts: 66.159.20.80 www.x4web.com O1 - Hosts: 66.159.20.80 sexplanets.com O1 - Hosts: 66.159.20.80 www.sexplanets.com O1 - Hosts: 66.159.20.80 maxismut.com O1 - Hosts: 66.159.20.80 www.maxismut.com O1 - Hosts: 66.159.20.80 tgpfriendly.com O1 - Hosts: 66.159.20.80 www.tgpfriendly.com O1 - Hosts: 66.159.20.80 tgp-server.com O1 - Hosts: 66.159.20.80 www.tgp-server.com O1 - Hosts: 66.159.20.80 magnaplza.com O1 - Hosts: 66.159.20.80 www.magnaplza.com O1 - Hosts: 66.159.20.80 free-xxx-server.com O1 - Hosts: 66.159.20.80 www.free-xxx-server.com O1 - Hosts: 66.159.20.80 libereco.net O1 - Hosts: 66.159.20.80 www.libereco.net O1 - Hosts: 66.159.20.80 0190-dialer.com O1 - Hosts: 66.159.20.80 www.0190-dialer.com O1 - Hosts: 66.159.20.80 xxxod.net O1 - Hosts: 66.159.20.80 www.xxxod.net O1 - Hosts: 66.159.20.80 altsights.com O1 - Hosts: 66.159.20.80 www.altsights.com O1 - Hosts: 66.159.20.80 adulthosting.com O1 - Hosts: 66.159.20.80 www.adulthosting.com O1 - Hosts: 66.159.20.80 superhova.com O1 - Hosts: 66.159.20.80 www.superhova.com O1 - Hosts: 66.159.20.80 bestpornhost.com O1 - Hosts: 66.159.20.80 www.bestpornhost.com O1 - Hosts: 66.159.20.80 hostingfree.com O1 - Hosts: 66.159.20.80 www.hostingfree.com O1 - Hosts: 66.159.20.80 xfreehosting.com O1 - Hosts: 66.159.20.80 www.xfreehosting.com O1 - Hosts: 66.159.20.80 blinghosting.com O1 - Hosts: 66.159.20.80 www.blinghosting.com O1 - Hosts: 66.159.20.80 x-x-x-hosting.com O1 - Hosts: 66.159.20.80 www.x-x-x-hosting.com O1 - Hosts: 66.159.20.80 pornparks.com O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp O4 - HKLM\..\Run: [POINTER] point32.exe O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\WinOnCD\DirectCD\DirectCD.exe" O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\ADVTOOLS\ADVCHK.EXE O4 - HKLM\..\Run: [NPROTECT] C:\PROGRA~1\NORTON~1\ADVTOOLS\NPROTECT.EXE O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe" O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg O4 - HKLM\..\RunServices: [NPROTECT] C:\PROGRA~1\NORTON~1\ADVTOOLS\NPROTECT.EXE O4 - Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\SYSTEM\E_SRCV03.EXE O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm O15 - Trusted Zone: http://nuernberg.waslos.de O15 - Trusted Zone: http://www.waslos.de O15 - Trusted Zone: http://nuernberg2.waslos.de O15 - Trusted Zone: http://forum.klomanager.com O15 - Trusted Zone: http://www.klomanager.com O15 - Trusted Zone: http://www.anvil-soft.com O15 - Trusted Zone: http://board.protecus.de O15 - Trusted Zone: http://virusscan.jotti.dhs.org O15 - Trusted Zone: http://www.pandasoftware.es O15 - Trusted Zone: http://www.pandasoftware.com O16 - DPF: ChatSpace Full Java Client 3.1.0.229 - http://chat.waslos.de/Java/cfs31229.cab O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/techsupp/activedata/ActiveData.cab O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/activedata/SymAData.dll O16 - DPF: ChatSpace Full Java Client 3.1.0.235 - http://chat.waslos.de/Java/cfs31235.cab O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab *** Logfile Ende Offenbar habe ich mir auch noch einen Virus namens "Hermes" eingefangen. Mein Taskmanager hat mir einen Prozess namnes "Hermes.exe" angezeigt, außerdem waren in Unterordnern meines "C:\Windows\Temp\" Verzeichnis einige Dateien namens "Hermes.exe" und "explorer.exe", die ich mit Hilfe von einigen Online Virenscannern als Trojaner identifizieren konnte. Mittlerweile habe ich im Stammverzeichnis C:\ auch zwei Dateien namens "explorer.cab" und "w32_API.cab" entdeckt. Beim Öffnen mit WinZip habe ich darin u.a. genau die besagten Dateien "hermes.exe" und "explorer.exe" gefunden. Gruß Matthias |
|
|
||
18.09.2004, 15:00
Ehrenmitglied
Beiträge: 29434 |
#4
Hallo @Eisenbart
scanne mit dem HijackThis, hake genau an, was ich poste und <fix< dann neustarten R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://ok-search.com/search.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ok-search.com/search.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://ok-search.com/search.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ok-search.com/search.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ok-search.com/search.html O1 - Hosts: 66.159.20.80 www1.ndhosting.com O1 - Hosts: 66.159.20.80 www3.ndhosting.com O1 - Hosts: 66.159.20.80 www2.ndhosting.com O1 - Hosts: 66.159.20.80 www.ndhosting.com O1 - Hosts: 66.159.20.80 www.kinghost.com O1 - Hosts: 66.159.20.80 kinghost.com O1 - Hosts: 66.159.20.80 www1.kinghost.com O1 - Hosts: 66.159.20.80 www2.kinghost.com O1 - Hosts: 66.159.20.80 www3.kinghost.com O1 - Hosts: 66.159.20.80 www4.kinghost.com O1 - Hosts: 66.159.20.80 www5.kinghost.com O1 - Hosts: 66.159.20.80 www6.kinghost.com O1 - Hosts: 66.159.20.80 www7.kinghost.com O1 - Hosts: 66.159.20.80 www8.kinghost.com O1 - Hosts: 66.159.20.80 www9.kinghost.com O1 - Hosts: 66.159.20.80 www10.kinghost.com O1 - Hosts: 66.159.20.80 www.smutserver.com O1 - Hosts: 66.159.20.80 smutserver.com O1 - Hosts: 66.159.20.80 www1.smutserver.com O1 - Hosts: 66.159.20.80 www2.smutserver.com O1 - Hosts: 66.159.20.80 www16.smutserver.com O1 - Hosts: 66.159.20.80 www3.smutserver.com O1 - Hosts: 66.159.20.80 www4.smutserver.com O1 - Hosts: 66.159.20.80 www5.smutserver.com O1 - Hosts: 66.159.20.80 www6.smutserver.com O1 - Hosts: 66.159.20.80 www7.smutserver.com O1 - Hosts: 66.159.20.80 www8.smutserver.com O1 - Hosts: 66.159.20.80 www9.smutserver.com O1 - Hosts: 66.159.20.80 www10.smutserver.com O1 - Hosts: 66.159.20.80 www11.smutserver.com O1 - Hosts: 66.159.20.80 www12.smutserver.com O1 - Hosts: 66.159.20.80 www13.smutserver.com O1 - Hosts: 66.159.20.80 www14.smutserver.com O1 - Hosts: 66.159.20.80 www15.smutserver.com O1 - Hosts: 66.159.20.80 www17.smutserver.com O1 - Hosts: 66.159.20.80 www18.smutserver.com O1 - Hosts: 66.159.20.80 www19.smutserver.com O1 - Hosts: 66.159.20.80 www20.smutserver.com O1 - Hosts: 66.159.20.80 www21.smutserver.com O1 - Hosts: 66.159.20.80 www22.smutserver.com O1 - Hosts: 66.159.20.80 www23.smutserver.com O1 - Hosts: 66.159.20.80 www24.smutserver.com O1 - Hosts: 66.159.20.80 www25.smutserver.com O1 - Hosts: 66.159.20.80 www26.smutserver.com O1 - Hosts: 66.159.20.80 www27.smutserver.com O1 - Hosts: 66.159.20.80 www28.smutserver.com O1 - Hosts: 66.159.20.80 www29.smutserver.com O1 - Hosts: 66.159.20.80 www30.smutserver.com O1 - Hosts: 66.159.20.80 www31.smutserver.com O1 - Hosts: 66.159.20.80 www32.smutserver.com O1 - Hosts: 66.159.20.80 agreathost.net O1 - Hosts: 66.159.20.80 www.agreathost.net O1 - Hosts: 66.159.20.80 hotfreehost.com O1 - Hosts: 66.159.20.80 www.hotfreehost.com O1 - Hosts: 66.159.20.80 greatfreehost.com O1 - Hosts: 66.159.20.80 www.greatfreehost.com O1 - Hosts: 66.159.20.80 freesmutpages.com O1 - Hosts: 66.159.20.80 www.freesmutpages.com O1 - Hosts: 66.159.20.80 apornhost.com O1 - Hosts: 66.159.20.80 www.apornhost.com O1 - Hosts: 66.159.20.80 nasty-pages.com O1 - Hosts: 66.159.20.80 www.nasty-pages.com O1 - Hosts: 66.159.20.80 sexyfreehost.com O1 - Hosts: 66.159.20.80 www.sexyfreehost.com O1 - Hosts: 66.159.20.80 x4web.com O1 - Hosts: 66.159.20.80 www.x4web.com O1 - Hosts: 66.159.20.80 sexplanets.com O1 - Hosts: 66.159.20.80 www.sexplanets.com O1 - Hosts: 66.159.20.80 maxismut.com O1 - Hosts: 66.159.20.80 www.maxismut.com O1 - Hosts: 66.159.20.80 tgpfriendly.com O1 - Hosts: 66.159.20.80 www.tgpfriendly.com O1 - Hosts: 66.159.20.80 tgp-server.com O1 - Hosts: 66.159.20.80 www.tgp-server.com O1 - Hosts: 66.159.20.80 magnaplza.com O1 - Hosts: 66.159.20.80 www.magnaplza.com O1 - Hosts: 66.159.20.80 free-xxx-server.com O1 - Hosts: 66.159.20.80 www.free-xxx-server.com O1 - Hosts: 66.159.20.80 libereco.net O1 - Hosts: 66.159.20.80 www.libereco.net O1 - Hosts: 66.159.20.80 0190-dialer.com O1 - Hosts: 66.159.20.80 www.0190-dialer.com O1 - Hosts: 66.159.20.80 xxxod.net O1 - Hosts: 66.159.20.80 www.xxxod.net O1 - Hosts: 66.159.20.80 altsights.com O1 - Hosts: 66.159.20.80 www.altsights.com O1 - Hosts: 66.159.20.80 adulthosting.com O1 - Hosts: 66.159.20.80 www.adulthosting.com O1 - Hosts: 66.159.20.80 superhova.com O1 - Hosts: 66.159.20.80 www.superhova.com O1 - Hosts: 66.159.20.80 bestpornhost.com O1 - Hosts: 66.159.20.80 www.bestpornhost.com O1 - Hosts: 66.159.20.80 hostingfree.com O1 - Hosts: 66.159.20.80 www.hostingfree.com O1 - Hosts: 66.159.20.80 xfreehosting.com O1 - Hosts: 66.159.20.80 www.xfreehosting.com O1 - Hosts: 66.159.20.80 blinghosting.com O1 - Hosts: 66.159.20.80 www.blinghosting.com O1 - Hosts: 66.159.20.80 x-x-x-hosting.com O1 - Hosts: 66.159.20.80 www.x-x-x-hosting.com O1 - Hosts: 66.159.20.80 pornparks.com O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cab neustarten 1.Lade Hoster-Tool : http://members.aol.com/toadbee/hoster.zip Damit stellst du wieder den urspruenglichen Zustand der HOSTS-Datei her. Press 'Restore Original Hosts' und 'OK' Exit Program. Du musst es dann aber noch mal ueberpruefen c:\windows<Hosts (mit dem Editor oeffen und alles loeschen, was du gefixt hast) <Trojaner TR/Dldr.Small.OR< 2.umbenennen : c:\explorer.cab ArchiveType: CAB (Microsoft) --> explorer.exe (vielleicht im WinRar-Ordner ?) 3..Leere folgende Ordner: (nicht die Ordner selbst loeschen !) C:\Dokumente und Einstellungen\Default User\Cookies\*.* C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temp\*.* C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\*.* C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\*.* 4.Deaktiviere kurz deinen Virenscanner Lade#Antivirus (free) http://www.free-av.de/ (akzeptiere, dass der Scanner auch nach Dialern sucht) konfiguriere: alle Dateien und Heuristik:mittel und mache einen Vollscann Dann poste das Log vom HijackThis noch mal. mfg Sabina http://spotlight.de/zforen/sec/m/sec-1093947358-8673.html __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 18.09.2004 um 15:27 Uhr von Sabina editiert.
|
|
|
||
18.09.2004, 19:57
...neu hier
Themenstarter Beiträge: 8 |
#5
Ich habe die Hinweise befolgt und denke, daß mein Rechner jetzt wieder sauber ist - danke! :-)
Ich hab jetzt im IE die Sicherheitseinstellungen für alle Webseiten auf die höchste Stufe gestellt (Java aus, kein ActiveX usw.). Ein paar Seiten, die ich regelmäßig besuche, habe ich dann auf die Liste der vertrauenswürdigen Seiten gesetzt. Testhalber habe ich auch noch mal die Seite besucht, von der ich vermutlich den ganzen Müll habe (sie mein erstes Posting ganz oben), und das DFÜ-Netzwerk blieb sauber. Vermutlich hilft es nichts, wenn man ActiveX deaktiviert NACHDEM eine Seite bereits alles mögliche runtergeladen hat... Schade finde ich, daß der IE standardmäßig erst mal alles erlaubt... |
|
|
||
18.09.2004, 20:08
Ehrenmitglied
Beiträge: 29434 |
#6
#IE Spyad (ueber DOS)
http://www.pctipp.ch/downloads/dl/27634.asp IE Spyad legt x-verschiedene unseriöse Webseiten direkt in die Eingeschränkte Zone des Internet Explorers. Immer mehr Webseiten wollen Ihnen teuren Software-Schrott unterjubeln. Ob Spyware, Adware, billige Porno-Seiten oder teure Dialer - es gibt nichts, was unseriöse Gestalten nicht zum Kauf anbieten. Und da sie genau wissen, dass Sie nicht auf ihre luschen Angebote reinfallen, versuchen sie es mit Tricks. oder besser: auf den IE verzichten: #Alternativbrowser zum IE Firefox http://www.mozilla.org/products/firefox/download.html?http%3A//ftp.mozilla.org/pub/mozilla.org/firefox/releases/0.10/Firefox%20Setup%201.0PR.exe mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 18.09.2004 um 20:08 Uhr von Sabina editiert.
|
|
|
||
05.02.2005, 13:05
Member
Beiträge: 20 |
#7
Hallo
Sabina du musst mir unbedingt helfen meine startseite ändert sich immer wieder von allein ich hoffe du schreibst zurück mfg Bozoman |
|
|
||
05.02.2005, 19:55
Ehrenmitglied
Beiträge: 29434 |
#8
Hallo@Bozoman
HijackThis http://www.downloads.subratam.org/hijackthis.zip http://www.spywareinfo.com/~merijn/files/hijackthis.zip Lade/entpacke HijackThis in einem Ordner -->None of the above, just start the program --> Save--> Savelog -->es öffnet sich der Editor --> nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" Please download DllCompare from here http://www.atribune.org/downloads/DllCompare.exe <klick: Locate.com button. wenn der Scan beendet ist <klick:Compare button <klick: und erstelle das Log--->bitte posten Lade: FindIt.zip--> noch einmal posten, bitte http://bilder.informationsarchiv.net/Nikitas_Tools/ Lade, entpacke und klicke auf: "find.bat" [ignoriere : File not found messages] <DOS oeffnet sich -->warte den Scan ab --> es oeffnet sich der Texteditor --> und poste den Text von output.txt. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
06.02.2005, 15:39
Member
Beiträge: 20 |
#9
Hallo Sabina
Danke das du zurück geschirieben hast.. Logfile of HijackThis v1.99.0 Scan saved at 15:28:45, on 06.02.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe e:\Programme\Ahead\InCD\InCDsrv.exe C:\WINDOWS\system32\spoolsv.exe e:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\ISTsvc\istsvc.exe E:\Programme\Yahoo!\Messenger\YPager.exe E:\Programme\SlimBrowser\sbrowser.exe E:\Programme\totalcmd\TOTALCMD.EXE C:\DOKUME~1\Erbay\LOKALE~1\Temp\_tc0\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/ R3 - URLSearchHook: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - C:\WINDOWS\webdlg32.dll O2 - BHO: CDownCom Class - {031B6D43-CBC4-46A5-8E46-CF8B407C1A33} - (no file) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - C:\WINDOWS\webdlg32.dll O2 - BHO: Explorer Class - {962F12AE-2773-4BEB-99EA-B5C3AB9A6606} - C:\WINDOWS\System32\DSMANA~1.DLL O2 - BHO: Pop Class - {A9AEE0DD-89E1-40EE-8749-A18650CC2175} - C:\WINDOWS\winsx.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Search Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - C:\WINDOWS\webdlg32.dll O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - E:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - E:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/ClickYesToContinue/ie/bridge-c284.cab O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_adult.cab O16 - DPF: {3AEECF42-EFE4-4AC8-AE9E-83C031EC09AB} (GamyunNetToolbar) - http://server.gamyun.net/GamyunIeToolbar.cab O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - e:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: InCD Helper - Ahead Software AG - e:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: Macromedia Licensing Service - Unknown - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe output von FindIt Warning! This utility will find legitimate files in addition to malware. Do not remove anything unless you are sure you know what you're doing. ------- System Files in System32 Directory ------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 5CA0-FEAB Verzeichnis von C:\WINDOWS\System32 27.01.2005 10:40 <DIR> dllcache 0 Datei(en) 0 Bytes 1 Verzeichnis(se), 5.753.110.528 Bytes frei ------- Hidden Files in System32 Directory ------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 5CA0-FEAB Verzeichnis von C:\WINDOWS\System32 27.01.2005 10:56 488 logonui.exe.manifest 27.01.2005 10:56 488 WindowsLogon.manifest 27.01.2005 10:55 749 sapi.cpl.manifest 27.01.2005 10:55 749 wuaucpl.cpl.manifest 27.01.2005 10:55 749 cdplayer.exe.manifest 27.01.2005 10:55 749 nwc.cpl.manifest 27.01.2005 10:55 749 ncpa.cpl.manifest 27.01.2005 10:40 <DIR> dllcache 7 Datei(en) 4.721 Bytes 1 Verzeichnis(se), 5.753.102.336 Bytes frei ---------- Files Named "Guard" ------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 5CA0-FEAB Verzeichnis von C:\WINDOWS\System32 --------- Temp Files in System32 Directory -------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 5CA0-FEAB Verzeichnis von C:\WINDOWS\System32 18.08.2001 13:00 2.951 CONFIG.TMP 1 Datei(en) 2.951 Bytes 0 Verzeichnis(se), 5.753.085.952 Bytes frei ---------------- User Agent ------------ REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform] ------------ Keys Under Notify ------------ REGEDIT4 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain] "Asynchronous"=dword:00000000 "Impersonate"=dword:00000000 "DllName"=hex(2):63,72,79,70,74,33,32,2e,64,6c,6c,00 "Logoff"="ChainWlxLogoffEvent" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet] "Asynchronous"=dword:00000000 "Impersonate"=dword:00000000 "DllName"=hex(2):63,72,79,70,74,6e,65,74,2e,64,6c,6c,00 "Logoff"="CryptnetWlxLogoffEvent" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll] "DLLName"="cscdll.dll" "Logon"="WinlogonLogonEvent" "Logoff"="WinlogonLogoffEvent" "ScreenSaver"="WinlogonScreenSaverEvent" "Startup"="WinlogonStartupEvent" "Shutdown"="WinlogonShutdownEvent" "StartShell"="WinlogonStartShellEvent" "Impersonate"=dword:00000000 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp] "DLLName"="wlnotify.dll" "Logon"="SCardStartCertProp" "Logoff"="SCardStopCertProp" "Lock"="SCardSuspendCertProp" "Unlock"="SCardResumeCertProp" "Enabled"=dword:00000001 "Impersonate"=dword:00000001 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule] "Asynchronous"=dword:00000000 "DllName"=hex(2):77,6c,6e,6f,74,69,66,79,2e,64,6c,6c,00 "Impersonate"=dword:00000000 "StartShell"="SchedStartShell" "Logoff"="SchedEventLogOff" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy] "Logoff"="WLEventLogoff" "Impersonate"=dword:00000000 "Asynchronous"=dword:00000001 "DllName"=hex(2):73,63,6c,67,6e,74,66,79,2e,64,6c,6c,00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn] "DLLName"="WlNotify.dll" "Lock"="SensLockEvent" "Logon"="SensLogonEvent" "Logoff"="SensLogoffEvent" "Safe"=dword:00000001 "MaxWait"=dword:00000258 "StartScreenSaver"="SensStartScreenSaverEvent" "StopScreenSaver"="SensStopScreenSaverEvent" "Startup"="SensStartupEvent" "Shutdown"="SensShutdownEvent" "StartShell"="SensStartShellEvent" "PostShell"="SensPostShellEvent" "Disconnect"="SensDisconnectEvent" "Reconnect"="SensReconnectEvent" "Unlock"="SensUnlockEvent" "Impersonate"=dword:00000001 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv] "Asynchronous"=dword:00000000 "DllName"=hex(2):77,6c,6e,6f,74,69,66,79,2e,64,6c,6c,00 "Impersonate"=dword:00000000 "Logoff"="TSEventLogoff" "Logon"="TSEventLogon" "PostShell"="TSEventPostShell" "Shutdown"="TSEventShutdown" "StartShell"="TSEventStartShell" "Startup"="TSEventStartup" "MaxWait"=dword:00000258 "Reconnect"="TSEventReconnect" "Disconnect"="TSEventDisconnect" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon] "DLLName"="wlnotify.dll" "Logon"="RegisterTicketExpiredNotificationEvent" "Logoff"="UnregisterTicketExpiredNotificationEvent" "Impersonate"=dword:00000001 "Asynchronous"=dword:00000001 ---------------- Xfind Results ----------------- Der Befehl "Xfind" ist entweder falsch geschrieben oder konnte nicht gefunden werden. -------------- Locate.com Results --------------- und das von DLLCompare habe ich gemacht wie du gesagt hast aber wie kriege icih das gescannte mit editor angezeigt das ich das kopieren kann:-D mfg Bozoman |
|
|
||
06.02.2005, 16:08
Ehrenmitglied
Beiträge: 29434 |
#10
Hallo@Bozoman
Download Registry Search Tool : http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip Doppelklick:regsrch.vbs kopiere rein: {30192F8D-0958-44E6-B54D-331FD39AC959} Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) das machst du auch mit. {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} {A9AEE0DD-89E1-40EE-8749-A18650CC2175} {031B6D43-CBC4-46A5-8E46-CF8B407C1A33} {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} {386A771C-E96A-421F-8BA7-32F1B706892F} Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) #Gehe auf diese Seite: http://www.lavasofthelp.com/submit/ kopiere folgendes Submit) Copy and paste the full filepaths below and hit "submit", one at a time: kopiere rein: C:\WINDOWS\webdlg32.dll C:\WINDOWS\winsx.dll C:\Programme\ISTsvc\istsvc.exe C:/WINDOWS/Downloaded Program Files/ipreg32.dll Start<Ausfuehren< schreibe rein: cmd DOS oeffnet sich kopiere rein und bestaetige mit "enter" regsvr32 /u [systemroot]\webdlg32.dll regsvr32 /u [systemroot]\winsx.dll #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R3 - URLSearchHook: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - C:\WINDOWS\webdlg32.dll O2 - BHO: CDownCom Class - {031B6D43-CBC4-46A5-8E46-CF8B407C1A33} - (no file) O2 - BHO: Pop Class - {A9AEE0DD-89E1-40EE-8749-A18650CC2175} - C:\WINDOWS\winsx.dll O3 - Toolbar: Search Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - C:\WINDOWS\webdlg32.dll O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/ClickYesToContinue/ie/bridge-c284.cab O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_adult.cab O16 - DPF: {3AEECF42-EFE4-4AC8-AE9E-83C031EC09AB} (GamyunNetToolbar) - http://server.gamyun.net/GamyunIeToolbar.cab PC neustarten KillBox http://www.bleepingcomputer.com/files/killbox.php <Delete File on Reboot und klick auf das rote Kreuz, kopiere rein: C:\WINDOWS\webdlg32.dll C:\WINDOWS\winsx.dll C:\Programme\ISTsvc\istsvc.exe wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" PC neustarten Datenträgerbereinigung: und Löschen der Temporary-Dateien <Start<Ausfuehren--> reinschreiben : cleanmgr loesche nur: #Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k. #Click:Temporäre Dateien, o.k loesche: C:\Programme\ISTsvc\ <---loesche den Ordner ________________________________________________________________________ #TuneUp2004 (30 Tage free) http://www.tuneup.de/products/tuneup-utilities/ Cleanup repair -->TuneUp Diskcleaner Cleanup repair -->Registry Cleaner #ClaerProg..lade die neuste Version <1.4.1 http://www.clearprog.de/downloads.php <und saeubere den Browser. Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera: - Cookies - Verlauf - Temporäre Internetfiles (Cache) RegCleaner (Tip: Lade RegCleaner, stelle das Tool in Deutsch ein und saeubere ueber <Tools<Registry saeubern<alles durchfuehren < den PC (du kannst alles angezeigte Loeschen, denn es verbleibt eine Sicherung) http://www.chip.de/downloads/c_downloads_8830516.html #Ad-aware SE Personal 1.05 Updated http://fileforum.betanews.com/detail/965718306/1 Laden--> Updaten-->scannen-->PC neustarten--> noch mal scannen--> poste das Log vom Scann + das neue Log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 06.02.2005 um 17:25 Uhr von Sabina editiert.
|
|
|
||
06.02.2005, 17:18
Member
Beiträge: 20 |
#11
Teil-1
REGEDIT4 ; RegSrch.vbs © Bill James ; Registry search results for string "{30192F8D-0958-44E6-B54D-331FD39AC959}" 06.02.2005 16:21:21 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{30192F8D-0958-44E6-B54D-331FD39AC959}] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{30192F8D-0958-44E6-B54D-331FD39AC959}\InprocServer32] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{30192F8D-0958-44E6-B54D-331FD39AC959}\ProgID] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{30192F8D-0958-44E6-B54D-331FD39AC959}\Programmable] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{30192F8D-0958-44E6-B54D-331FD39AC959}\TypeLib] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{30192F8D-0958-44E6-B54D-331FD39AC959}\VersionIndependentProgID] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ToolBand.StartBHO\CLSID] @="{30192F8D-0958-44E6-B54D-331FD39AC959}" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ToolBand.StartBHO.1\CLSID] @="{30192F8D-0958-44E6-B54D-331FD39AC959}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{30192F8D-0958-44E6-B54D-331FD39AC959}] [HKEY_USERS\S-1-5-21-682003330-842925246-839522115-1003\Software\Microsoft\Internet Explorer\URLSearchHooks] "{30192F8D-0958-44E6-B54D-331FD39AC959}"="" ---------------------------------------------- REGEDIT4 ; RegSrch.vbs © Bill James ; Registry search results for string "0E1230F8-EA50-42A9-983C-D22ABC2EED3B" 06.02.2005 16:23:06 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}\InprocServer32] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}\ProgID] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}\Programmable] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}\TypeLib] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}\VersionIndependentProgID] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ToolBand.ToolBandObj\CLSID] @="{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ToolBand.ToolBandObj.1\CLSID] @="{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] "{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}"="Search Bar" [HKEY_USERS\S-1-5-21-682003330-842925246-839522115-1003\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser] "{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}"=hex:f8,30,12,0e,50,ea,a9,42,98,3c,d2,\ [HKEY_USERS\S-1-5-21-682003330-842925246-839522115-1003\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] "{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}"=hex:f8,30,12,0e,50,ea,a9,42,98,3c,d2,\ ---------------------------------------- REGEDIT4 ; RegSrch.vbs © Bill James ; Registry search results for string "A9AEE0DD-89E1-40EE-8749-A18650CC2175" 06.02.2005 16:24:08 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A9AEE0DD-89E1-40EE-8749-A18650CC2175}] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A9AEE0DD-89E1-40EE-8749-A18650CC2175}\InprocServer32] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A9AEE0DD-89E1-40EE-8749-A18650CC2175}\ProgID] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A9AEE0DD-89E1-40EE-8749-A18650CC2175}\Programmable] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A9AEE0DD-89E1-40EE-8749-A18650CC2175}\TypeLib] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A9AEE0DD-89E1-40EE-8749-A18650CC2175}\VersionIndependentProgID] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Popup.Pop\CLSID] @="{A9AEE0DD-89E1-40EE-8749-A18650CC2175}" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Popup.Pop.1\CLSID] @="{A9AEE0DD-89E1-40EE-8749-A18650CC2175}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A9AEE0DD-89E1-40EE-8749-A18650CC2175}] _-------------------------------------- REGEDIT4 ; RegSrch.vbs © Bill James ; Registry search results for string "031B6D43-CBC4-46A5-8E46-CF8B407C1A33" 06.02.2005 16:25:04 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{031B6D43-CBC4-46A5-8E46-CF8B407C1A33}] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{031B6D43-CBC4-46A5-8E46-CF8B407C1A33}\InprocServer32] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{031B6D43-CBC4-46A5-8E46-CF8B407C1A33}\ProgID] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{031B6D43-CBC4-46A5-8E46-CF8B407C1A33}\Programmable] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{031B6D43-CBC4-46A5-8E46-CF8B407C1A33}\TypeLib] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{031B6D43-CBC4-46A5-8E46-CF8B407C1A33}\VersionIndependentProgID] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\DownCom.CDownCom\CLSID] @="{031B6D43-CBC4-46A5-8E46-CF8B407C1A33}" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\DownCom.CDownCom.1\CLSID] @="{031B6D43-CBC4-46A5-8E46-CF8B407C1A33}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{031B6D43-CBC4-46A5-8E46-CF8B407C1A33}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/ipreg32.dll] ".Owner"="{031B6D43-CBC4-46A5-8E46-CF8B407C1A33}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/ipreg32.dll] "{031B6D43-CBC4-46A5-8E46-CF8B407C1A33}"="" ------------------------------------------ REGEDIT4 ; RegSrch.vbs © Bill James ; Registry search results for string "15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6" 06.02.2005 16:26:07 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6}] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6}\Implemented Categories] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6}\Implemented Categories\{7DD95801-9882-11CF-9FA9-00AA006C42C4}] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6}\Implemented Categories\{7DD95802-9882-11CF-9FA9-00AA006C42C4}] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6}\InprocServer32] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WinStatX.Installer\CLSID] @="{15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6}\Contains] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6}\Contains\Files] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6}\DownloadInformation] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6}\InstalledVersion] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/WinStatX.dll] ".Owner"="{15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/WinStatX.dll] "{15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6}"="" ------------------------------------------ REGEDIT4 ; RegSrch.vbs © Bill James ; Registry search results for string "386A771C-E96A-421F-8BA7-32F1B706892F" 06.02.2005 16:26:53 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{386A771C-E96A-421f-8BA7-32F1B706892F}] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{386A771C-E96A-421f-8BA7-32F1B706892F}\Control] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{386A771C-E96A-421f-8BA7-32F1B706892F}\InprocServer32] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{386A771C-E96A-421f-8BA7-32F1B706892F}\MiscStatus] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{386A771C-E96A-421f-8BA7-32F1B706892F}\MiscStatus\1] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{386A771C-E96A-421f-8BA7-32F1B706892F}\ProgID] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{386A771C-E96A-421f-8BA7-32F1B706892F}\Programmable] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{386A771C-E96A-421f-8BA7-32F1B706892F}\ToolboxBitmap32] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{386A771C-E96A-421f-8BA7-32F1B706892F}\TypeLib] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{386A771C-E96A-421f-8BA7-32F1B706892F}\Version] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{386A771C-E96A-421f-8BA7-32F1B706892F}\VersionIndependentProgID] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ISTactivex.Installer\CLSID] @="{386A771C-E96A-421f-8BA7-32F1B706892F}" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ISTactivex.Installer.2\CLSID] @="{386A771C-E96A-421f-8BA7-32F1B706892F}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{386A771C-E96A-421F-8BA7-32F1B706892F}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{386A771C-E96A-421F-8BA7-32F1B706892F}\Contains] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{386A771C-E96A-421F-8BA7-32F1B706892F}\Contains\Files] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{386A771C-E96A-421F-8BA7-32F1B706892F}\DownloadInformation] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{386A771C-E96A-421F-8BA7-32F1B706892F}\InstalledVersion] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/ISTactivex.dll] ".Owner"="{386A771C-E96A-421F-8BA7-32F1B706892F}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/ISTactivex.dll] "{386A771C-E96A-421F-8BA7-32F1B706892F}"="" Das ist erst mal fertig.. bei start ausführen cmd kopiere ich was du geschrieben hast dann kommt eine fehlermeldung "Das Angegebene Modul wurde nicht gefunden. ??? Teil1 mfg Bozoman |
|
|
||
06.02.2005, 17:25
Ehrenmitglied
Beiträge: 29434 |
#12
Hallo@Bozoman
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R3 - URLSearchHook: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - C:\WINDOWS\webdlg32.dll O2 - BHO: CDownCom Class - {031B6D43-CBC4-46A5-8E46-CF8B407C1A33} - (no file) O2 - BHO: Pop Class - {A9AEE0DD-89E1-40EE-8749-A18650CC2175} - C:\WINDOWS\winsx.dll O3 - Toolbar: Search Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - C:\WINDOWS\webdlg32.dll O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/ClickYesToContinue/ie/bridge-c284.cab O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_adult.cab O16 - DPF: {3AEECF42-EFE4-4AC8-AE9E-83C031EC09AB} (GamyunNetToolbar) - http://server.gamyun.net/GamyunIeToolbar.cab PC neustarten KillBox http://www.bleepingcomputer.com/files/killbox.php <Delete File on Reboot und klick auf das rote Kreuz, kopiere rein: C:\WINDOWS\webdlg32.dll C:\WINDOWS\winsx.dll C:\Programme\ISTsvc\istsvc.exe C:/WINDOWS/Downloaded Program Files/ISTactivex.dll C:/WINDOWS/Downloaded Program Files/WinStatX.dll C:/WINDOWS/Downloaded Program Files/ipreg32.dll wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" PC neustarten Datenträgerbereinigung: und Löschen der Temporary-Dateien <Start<Ausfuehren--> reinschreiben : cleanmgr loesche nur: #Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k. #Click:Temporäre Dateien, o.k loesche: C:\Programme\ISTsvc\ <---loesche den Ordner ________________________________________________________________________ #TuneUp2004 (30 Tage free) http://www.tuneup.de/products/tuneup-utilities/ Cleanup repair -->TuneUp Diskcleaner Cleanup repair -->Registry Cleaner #ClaerProg..lade die neuste Version <1.4.1 http://www.clearprog.de/downloads.php <und saeubere den Browser. Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera: - Cookies - Verlauf - Temporäre Internetfiles (Cache) RegCleaner (Tip: Lade RegCleaner, stelle das Tool in Deutsch ein und saeubere ueber <Tools<Registry saeubern<alles durchfuehren < den PC (du kannst alles angezeigte Loeschen, denn es verbleibt eine Sicherung) http://www.chip.de/downloads/c_downloads_8830516.html #Ad-aware SE Personal 1.05 Updated http://fileforum.betanews.com/detail/965718306/1 Laden--> Updaten-->scannen-->PC neustarten--> noch mal scannen--> poste das Log vom Scann + das neue Log vom HijackThis -- __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 06.02.2005 um 17:29 Uhr von Sabina editiert.
|
|
|
||
06.02.2005, 22:42
Member
Beiträge: 20 |
#13
Hallo Sabina
keiner von denen stand bei hijackthis ansonsten habe ich alles gemacht was du gesagt hast -------------------------------- Logfile of HijackThis v1.99.0 Scan saved at 22:32:37, on 06.02.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe e:\Programme\Ahead\InCD\InCDsrv.exe C:\WINDOWS\system32\spoolsv.exe e:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE E:\Programme\OpenOffice.org1.1.1\program\soffice.exe E:\Programme\SlimBrowser\sbrowser.exe C:\Dokumente und Einstellungen\Erbay\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: Explorer Class - {962F12AE-2773-4BEB-99EA-B5C3AB9A6606} - C:\WINDOWS\System32\DSMANA~1.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Systran40premi.IEPlugIn - {CFB25594-4D5F-11D6-AB7B-00B0D094B576} - e:\Programme\Systran\4_0\Premium\IEPlugIn.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - Startup: OpenOffice.org 1.1.1.lnk = E:\Programme\OpenOffice.org1.1.1\program\quickstart.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - E:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - E:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - e:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: InCD Helper - Ahead Software AG - e:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: Macromedia Licensing Service - Unknown - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - E:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe -------------------------------------------- Ad-Aware SE Build 1.05 Logfile Created on:Sonntag, 6. Februar 2005 22:33:36 Created with Ad-Aware SE Personal, free for private use. Using definitions file:SE1R27 05.02.2005 »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» References detected during the scan: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» MRU List(TAC index:0):35 total references »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Ad-Aware SE Settings =========================== Set : Search for negligible risk entries Set : Safe mode (always request confirmation) Set : Scan active processes Set : Scan registry Set : Deep-scan registry Set : Scan my IE Favorites for banned URLs Set : Scan my Hosts file Extended Ad-Aware SE Settings =========================== Set : Unload recognized processes & modules during scan Set : Scan registry for all users instead of current user only Set : Always try to unload modules before deletion Set : During removal, unload Explorer and IE if necessary Set : Let Windows remove files in use at next reboot Set : Delete quarantined objects after restoring Set : Include basic Ad-Aware settings in log file Set : Include additional Ad-Aware settings in log file Set : Include reference summary in log file Set : Include alternate data stream details in log file Set : Play sound at scan completion if scan locates critical objects 06.02.2005 22:33:36 - Scan started. (ADS scan) Performing deep Scan and listing Alternate Data Streams... Deep scanning and examining files (C »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» C: Drive does not support Alternate Data Streams. Performing deep scan... Disk Scan Result for C:\ »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 0 MRU List Object Recognized! Location: : S-1-5-21-682003330-842925246-839522115-1003\software\nvidia corporation\global\nview\windowmanagement Description : nvidia nview cached application window positions MRU List Object Recognized! Location: : S-1-5-21-682003330-842925246-839522115-1003\software\microsoft\windows\currentversion\applets\wordpad\recent file list Description : list of recent files opened using wordpad MRU List Object Recognized! Location: : S-1-5-21-682003330-842925246-839522115-1003\software\microsoft\windows\currentversion\applets\paint\recent file list Description : list of files recently opened using microsoft paint MRU List Object Recognized! Location: : S-1-5-21-682003330-842925246-839522115-1003\software\microsoft\windows\currentversion\explorer\runmru Description : mru list for items opened in start | run MRU List Object Recognized! Location: : S-1-5-21-682003330-842925246-839522115-1003\software\microsoft\search assistant\acmru Description : list of recent search terms used with the search assistant MRU List Object Recognized! Location: : S-1-5-21-682003330-842925246-839522115-1003\software\microsoft\windows\currentversion\explorer\comdlg32\opensavemru Description : list of recently saved files, stored according to file extension MRU List Object Recognized! Location: : S-1-5-21-682003330-842925246-839522115-1003\software\microsoft\windows\currentversion\explorer\comdlg32\lastvisitedmru Description : list of recent programs opened MRU List Object Recognized! Location: : S-1-5-21-682003330-842925246-839522115-1003\software\microsoft\windows\currentversion\explorer\recentdocs Description : list of recent documents opened MRU List Object Recognized! Location: : S-1-5-21-682003330-842925246-839522115-1003\software\realnetworks\realplayer\6.0\preferences Description : list of recent skins in realplayer MRU List Object Recognized! Location: : S-1-5-21-682003330-842925246-839522115-1003\software\microsoft\internet explorer Description : last download directory used in microsoft internet explorer MRU List Object Recognized! Location: : software\microsoft\directdraw\mostrecentapplication Description : most recent application to use microsoft directdraw MRU List Object Recognized! Location: : S-1-5-21-682003330-842925246-839522115-1003\software\microsoft\microsoft management console\recent file list Description : list of recent snap-ins used in the microsoft management console MRU List Object Recognized! Location: : S-1-5-21-682003330-842925246-839522115-1003\software\microsoft\mediaplayer\preferences Description : last cd record path used in microsoft windows media player MRU List Object Recognized! Location: : S-1-5-21-682003330-842925246-839522115-1003\software\adobe\acrobat reader\5.0\avgeneral\crecentfiles Description : list of recently used files in adobe reader MRU List Object Recognized! Location: : S-1-5-21-682003330-842925246-839522115-1003\software\microsoft\directinput\mostrecentapplication Description : most recent application to use microsoft directinput MRU List Object Recognized! Location: : S-1-5-21-682003330-842925246-839522115-1003\software\microsoft\mediaplayer\player\settings Description : last open directory used in jasc paint shop pro MRU List Object Recognized! Location: : S-1-5-21-682003330-842925246-839522115-1003\software\microsoft\direct3d\mostrecentapplication Description : most recent application to use microsoft direct3d MRU List Object Recognized! Location: : software\microsoft\direct3d\mostrecentapplication Description : most recent application to use microsoft direct3d MRU List Object Recognized! Location: : S-1-5-21-682003330-842925246-839522115-1003\software\microsoft\mediaplayer\preferences Description : last playlist index loaded in microsoft windows media player MRU List Object Recognized! Location: : S-1-5-21-682003330-842925246-839522115-1003\software\realnetworks\realplayer\6.0\preferences Description : list of recent clips in realplayer MRU List Object Recognized! Location: : S-1-5-21-682003330-842925246-839522115-1003\software\microsoft\windows\currentversion\applets\regedit Description : last key accessed using the microsoft registry editor MRU List Object Recognized! Location: : S-1-5-21-682003330-842925246-839522115-1003\software\microsoft\directinput\mostrecentapplication Description : most recent application to use microsoft directinput MRU List Object Recognized! Location: : .DEFAULT\software\microsoft\mediaplayer\preferences Description : last playlist loaded in microsoft windows media player MRU List Object Recognized! Location: : S-1-5-18\software\microsoft\mediaplayer\preferences Description : last playlist loaded in microsoft windows media player MRU List Object Recognized! Location: : S-1-5-19\software\microsoft\mediaplayer\preferences Description : last playlist loaded in microsoft windows media player MRU List Object Recognized! Location: : S-1-5-20\software\microsoft\mediaplayer\preferences Description : last playlist loaded in microsoft windows media player MRU List Object Recognized! Location: : S-1-5-21-682003330-842925246-839522115-1003\software\microsoft\mediaplayer\preferences Description : last playlist loaded in microsoft windows media player MRU List Object Recognized! Location: : S-1-5-21-682003330-842925246-839522115-1003\software\realnetworks\realplayer\6.0\preferences Description : last login time in realplayer MRU List Object Recognized! Location: : S-1-5-21-682003330-842925246-839522115-1003\software\microsoft\mediaplayer\medialibraryui Description : last selected node in the microsoft windows media player media library MRU List Object Recognized! Location: : S-1-5-21-682003330-842925246-839522115-1003\software\microsoft\direct3d\mostrecentapplication Description : most recent application to use microsoft direct X MRU List Object Recognized! Location: : software\microsoft\direct3d\mostrecentapplication Description : most recent application to use microsoft direct X MRU List Object Recognized! Location: : .DEFAULT\software\microsoft\windows media\wmsdk\general Description : windows media sdk MRU List Object Recognized! Location: : S-1-5-18\software\microsoft\windows media\wmsdk\general Description : windows media sdk MRU List Object Recognized! Location: : S-1-5-21-682003330-842925246-839522115-1003\software\microsoft\windows media\wmsdk\general Description : windows media sdk MRU List Object Recognized! Location: : C:\Dokumente und Einstellungen\Erbay\recent Description : list of recently opened documents Performing conditional scans... »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Conditional scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 35 22:34:30 Scan Complete Summary Of This Scan »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Total scanning time:00:00:53.734 Objects scanned:19582 Objects identified:0 Objects ignored:0 New critical objects:0 Danke mfg Bozoman |
|
|
||
06.02.2005, 23:19
Ehrenmitglied
Beiträge: 29434 |
#14
hallo@Hallo@Bozoman
Download Registry Search Tool : http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip Doppelklick:regsrch.vbs kopiere rein: {962F12AE-2773-4BEB-99EA-B5C3AB9A6606} Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) Fixe mit dem HijackThis: O2 - BHO: Explorer Class - {962F12AE-2773-4BEB-99EA-B5C3AB9A6606} - C:\WINDOWS\System32\DSMANA~1.DLL PC neustarten loesche mit der Killbox: C:\WINDOWS\System32\DSMANA~1.DLL PC neustarten eScan-Erkennungstool eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich: http://www.mwti.net/antivirus/free_utilities.asp oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche kavupd.exe, die klickst du an--> (Update- in DOS) ausführen gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen : Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory • Beim Start von e-scan sollten folgende Optionen aktiviert sein: -->und "Scan " klicken. Gehe wieder in den Normalmodus: mache bitte folgendes: nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du infected ein jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw. und ganz unten steht die zusammenfassung, diese auch hier posten --> dann mit der Killbox die infizierten Dateien loeschen __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 06.02.2005 um 23:23 Uhr von Sabina editiert.
|
|
|
||
07.02.2005, 22:48
Member
Beiträge: 20 |
#15
Hallo Sabina
REGEDIT4 ; RegSrch.vbs © Bill James ; Registry search results for string "962F12AE-2773-4BEB-99EA-B5C3AB9A6606" 07.02.2005 20:57:02 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\BHO.Explorer\CLSID] @="{962F12AE-2773-4BEB-99EA-B5C3AB9A6606}" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\BHO.Explorer.1\CLSID] @="{962F12AE-2773-4BEB-99EA-B5C3AB9A6606}" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{962F12AE-2773-4BEB-99EA-B5C3AB9A6606}] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{962F12AE-2773-4BEB-99EA-B5C3AB9A6606}\InprocServer32] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{962F12AE-2773-4BEB-99EA-B5C3AB9A6606}\ProgID] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{962F12AE-2773-4BEB-99EA-B5C3AB9A6606}\Programmable] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{962F12AE-2773-4BEB-99EA-B5C3AB9A6606}\TypeLib] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{962F12AE-2773-4BEB-99EA-B5C3AB9A6606}\VersionIndependentProgID] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{962F12AE-2773-4BEB-99EA-B5C3AB9A6606}] -------------------- Ich ´bin nicht in Abgesicherte Modus reingekommen des wegen habe ich in ´Normalen Modus gescant... Mon Feb 07 21:25:38 2005 => File C:\WINDOWS\rojcqdxt.exe infected by "Trojan-Downloader.Win32.IstBar.go" Virus. Action Taken: No Action Taken. Mon Feb 07 21:27:13 2005 => Scanning File C:\DOKUME~1\Erbay\LOKALE~1\TEMPOR~1\Content.IE5\QRATUVEF\infected6xz[1].gif Mon Feb 07 21:34:03 2005 => File C:\WINDOWS\rojcqdxt.exe infected by "Trojan-Downloader.Win32.IstBar.go" Virus. Action Taken: No Action Taken. Mon Feb 07 21:35:16 2005 => Scanning File C:\Dokumente und Einstellungen\Erbay\Lokale Einstellungen\Temporary Internet Files\Content.IE5\QRATUVEF\infected6xz[1].gif Mon Feb 07 21:37:31 2005 => File C:\Dokumente und Einstellungen\Erbay\Desktop\Für Windows\backups\backup-20050207-205854-782.dll infected by "not-a-virus:AdWare.ToolBar.BHO.j" Virus. Action Taken: No Action Taken. Mon Feb 07 21:41:30 2005 => File C:\System Volume Information\_restore{992D4F43-123E-4BB4-8AF2-FC7D9AE40553}\RP24\A0010397.dll infected by "not-a-virus:AdWare.ToolBar.SBSoft.g" Virus. Action Taken: No Action Taken. Mon Feb 07 21:41:31 2005 => File C:\System Volume Information\_restore{992D4F43-123E-4BB4-8AF2-FC7D9AE40553}\RP24\A0010410.dll infected by "not-a-virus:AdWare.Puper.c" Virus. Action Taken: No Action Taken. Mon Feb 07 21:41:31 2005 => File C:\System Volume Information\_restore{992D4F43-123E-4BB4-8AF2-FC7D9AE40553}\RP24\A0010411.exe infected by "Trojan-Downloader.Win32.IstBar.gm" Virus. Action Taken: No Action Taken. Mon Feb 07 21:41:31 2005 => File C:\System Volume Information\_restore{992D4F43-123E-4BB4-8AF2-FC7D9AE40553}\RP24\A0010441.dll infected by "not-a-virus:AdWare.Puper.c" Virus. Action Taken: No Action Taken. Mon Feb 07 21:41:31 2005 => File C:\System Volume Information\_restore{992D4F43-123E-4BB4-8AF2-FC7D9AE40553}\RP24\A0010442.exe infected by "Trojan-Downloader.Win32.IstBar.gm" Virus. Action Taken: No Action Taken. Mon Feb 07 21:42:11 2005 => File C:\System Volume Information\_restore{992D4F43-123E-4BB4-8AF2-FC7D9AE40553}\RP32\A0012003.dll infected by "not-a-virus:AdWare.Puper.c" Virus. Action Taken: No Action Taken. Mon Feb 07 21:42:11 2005 => File C:\System Volume Information\_restore{992D4F43-123E-4BB4-8AF2-FC7D9AE40553}\RP32\A0012004.dll infected by "not-a-virus:AdWare.ToolBar.SBSoft.g" Virus. Action Taken: No Action Taken. Mon Feb 07 21:42:12 2005 => File C:\System Volume Information\_restore{992D4F43-123E-4BB4-8AF2-FC7D9AE40553}\RP32\A0012038.dll infected by "not-a-virus:AdWare.ToolBar.BHO.j" Virus. Action Taken: No Action Taken. Mon Feb 07 21:42:16 2005 => File C:\!Submit\DSMANA~1.DLL infected by "not-a-virus:AdWare.ToolBar.BHO.j" Virus. Action Taken: No Action Taken. Mon Feb 07 21:43:27 2005 => Scanning Folder: E:\Programme\AVPersonal\INFECTED\*.* Mon Feb 07 22:05:08 2005 => File I:\Setup\Browser\new\SlimBrowser 3.81.001\sbsetup.exe infected by "not-a-virus:AdWare.MetaDirect.b" Virus. Action Taken: No Action Taken. Mon Feb 07 22:12:06 2005 => File I:\Setup\Screensaver\spiderman2install.exe infected by "not-a-virus:AdWare.180Solutions" Virus. Action Taken: No Action Taken. Mon Feb 07 22:16:48 2005 => File I:\Setup\Windows schöner machen\69babes61.exe infected by "not-a-virus:AdWare.ToolBar.Quick.a" Virus. Action Taken: No Action Taken. Mon Feb 07 22:16:48 2005 => File I:\Setup\Windows schöner machen\77726.exe infected by "Virus.Win32.Parite.b" Virus. Action Taken: No Action Taken. Mon Feb 07 22:16:49 2005 => File I:\Setup\Windows schöner machen\illusionxs.exe infected by "not-a-virus:AdWare.ToolBar.Quick.a" Virus. Action Taken: No Action Taken. Mon Feb 07 22:16:58 2005 => File I:\Setup\Windows schöner machen\xpdeluxe.exe infected by "not-a-virus:AdWare.ToolBar.Quick.a" Virus. Action Taken: No Action Taken. Mon Feb 07 22:20:26 2005 => File K:\Blabla\Java\Downloads\MP3-WAV.ZIP infected by "not-a-virus:AdWare.BookedSpace.a" Virus. Action Taken: No Action Taken. Das ist alles mfg Bozoman |
|
|
||
Es geht um ein Sicherheitsproblem mit dem Internet Explorer, das ich vor kurzem zufällig entdeckt habe. Ich verwende die Version 5.5, aber ich kann mir vorstellen, daß auch andere Versionen betroffen sind.
Durch eine Spam-Mail wurde ich auf eine Webseite mit schmuddeligem Inhalt gelockt und habe diese dann auch gleich wieder verlassen. Beim nächsten Einwählen bemerkte ich allerdings, daß die Verbindungsdaten im DFÜ-Netzwerk von dieser Seite geändert wurden. Ich habe dies verifiziert, indem ich die Telfonnummer korrigiert und die Seite abermals besucht habe - mit dem gleichen Resultat. Die Telefonnummer, die die Seite setzt, ist übrigens "0068261301" - vermutlich weit, weit weg...
Natürlich werde ich die besagte Seite in Zukunft meiden, allerdings möchte ich verhindern, daß andere Webseiten ähnliches tun. Ich habe daher in den Internetoptionen alles deaktiviert (ActiveX, Java, Scripts ect.), und zwar für alle Seiten mit Ausnahme einiger weniger, die ich als vertrauenswürdig eingestuft habe. Leider hilft dies offenbar nichts, denn die Seite ist immer noch in der Lage, meine Einträge im DFÜ-Netzwerk zu manipulieren.
Ich poste hier mal die Seite, falls es jemand testen möchte. Aber ich WARNE ausdrücklich vor der oben beschriebenen Manipulation. Außerdem kann bei weiterem Navigieren auf dieser Seite eine Datei namens "internet.exe" ins Windows-Verzeichnis heruntergeladen und zwei Verknüpfungen dazu auf dem Desktop erstellt werden:
http://www.thebestmail.org/rastplatz/
Vielleicht hat jemand von Internetangelegenheiten mehr Ahnung als ich und kann mir sagen, was da vor sich geht. Vermutlich ist auch jeder Versuch vergeblich, gegen den Autor dieser Seite in irgendeiner Weise vorzugehen... Offenbar ist mir bisher kein Schaden entstanden, da mein Modem beim Verbindungsaufbau gescheitert ist (wodurch ich die geänderte Einwahlnummer erst bemerkt habe).
Gruß
Matthias