Home » Spyware & Browser Hijacker Support Forum » Probleme: Backdoor.Hackdefender + DSO Exploit » Themenansicht
Probleme: Backdoor.Hackdefender + DSO Exploit |
||
|---|---|---|
| #0
| ||
|
19.09.2004, 18:03
...neu hier
Beiträge: 8 |
||
 
|
|
|
|
19.09.2004, 18:32
Ehrenmitglied
 Beiträge: 29434 |
#2
Hallo@Nachtmar
 #Deaktivieren Wiederherstellung XP http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 #scanne mit dem HijackThis und fixe(dann sofort neustarten) R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://odachs.out%68o%73t.info/ O1 - Hosts: 213.159.118.228 collections.inhost.info O1 - Hosts: 213.159.118.228 collections.inhost2.info O1 - Hosts: 213.159.118.228 1-se.com O1 - Hosts: 213.159.118.228 58q.com O1 - Hosts: 213.159.118.228 aifind.cc O1 - Hosts: 213.159.118.228 aifind.info O1 - Hosts: 213.159.118.228 allneedsearch.com O1 - Hosts: 213.159.118.228 approvedlinks.com O1 - Hosts: 213.159.118.228 auto.ie.searchforge.com O1 - Hosts: 213.159.118.228 awebfind.biz O1 - Hosts: 213.159.118.228 best.royalsearch.net O1 - Hosts: 213.159.118.228 Cra*hier nicht!*.am O1 - Hosts: 213.159.118.228 default-homepage-network.com O1 - Hosts: 213.159.118.228 find.microgirls.com O1 - Hosts: 213.159.118.228 find4u.net O1 - Hosts: 213.159.118.228 freshvideogals.com O1 - Hosts: 213.159.118.228 i-lookup.com O1 - Hosts: 213.159.118.228 ie-search.com O1 - Hosts: 213.159.118.228 in.webcounter.cc O1 - Hosts: 213.159.118.228 itseasy.us O1 - Hosts: 213.159.118.228 just.find-itnow.com O1 - Hosts: 213.159.118.228 link.startmake.com O1 - Hosts: 213.159.118.228 mysearchnow.com O1 - Hosts: 213.159.118.228 nativehardcore.com O1 - Hosts: 213.159.118.228 qwertysearch123.biz O1 - Hosts: 213.159.118.228 search.ieplugin.com O1 - Hosts: 213.159.118.228 search.psn.cn O1 - Hosts: 213.159.118.228 searchbar.findthewebsiteyouneed.com O1 - Hosts: 213.159.118.228 searchcentrix.com O1 - Hosts: 213.159.118.228 searchmyrequest.com O1 - Hosts: 213.159.118.228 super-spider.com O1 - Hosts: 213.159.118.228 t.rack.cc O1 - Hosts: 213.159.118.228 teen-biz.com O1 - Hosts: 213.159.118.228 teenhqpics.com O1 - Hosts: 213.159.118.228 tits.hardcore4ever.net O1 - Hosts: 213.159.118.228 webcoolsearch.com O1 - Hosts: 213.159.118.228 wmmse.com O1 - Hosts: 213.159.118.228 www.008i.com O1 - Hosts: 213.159.118.228 www.2fastsearch.net O1 - Hosts: 213.159.118.228 www.8095.com O1 - Hosts: 213.159.118.228 www.alfa-search.com O1 - Hosts: 213.159.118.228 www.boredlife.com O1 - Hosts: 213.159.118.228 www.couldnotfind.com O1 - Hosts: 213.159.118.228 www.Cra*hier nicht!*.am O1 - Hosts: 213.159.118.228 www.daum.net O1 - Hosts: 213.159.118.228 www.dreamwiz.com O1 - Hosts: 213.159.118.228 www.find-itnow.com O1 - Hosts: 213.159.118.228 www.find-itnow.com O1 - Hosts: 213.159.118.228 www.find4u.net O1 - Hosts: 213.159.118.228 www.firstbookmark.com O1 - Hosts: 213.159.118.228 www.gajai.com O1 - Hosts: 213.159.118.228 www.hand-book.com O1 - Hosts: 213.159.118.228 www.hao123.com O1 - Hosts: 213.159.118.228 www.hotsearchbox.com O1 - Hosts: 213.159.118.228 www.hotwebsearch.com O1 - Hosts: 213.159.118.228 www.hugesearch.net O1 - Hosts: 213.159.118.228 www.iquicksearch.com O1 - Hosts: 213.159.118.228 www.lookfor.cc O1 - Hosts: 213.159.118.228 www.maxxxhosters.com O1 - Hosts: 213.159.118.228 www.naver.com O1 - Hosts: 213.159.118.228 www.nkvd.us O1 - Hosts: 213.159.118.228 www.F***.com O1 - Hosts: 213.159.118.228 www.ohcorea.com O1 - Hosts: 213.159.118.228 www.omega-search.com O1 - Hosts: 213.159.118.228 www.onet.pl O1 - Hosts: 213.159.118.228 www.power-search.info O1 - Hosts: 213.159.118.228 www.rightfinder.net O1 - Hosts: 213.159.118.228 www.search-1.net O1 - Hosts: 213.159.118.228 www.search-and-go.com O1 - Hosts: 213.159.118.228 www.search-dot.com O1 - Hosts: 213.159.118.228 www.search-space.com O1 - Hosts: 213.159.118.228 www.searchforge.com O1 - Hosts: 213.159.118.228 www.searching-the-net.com O1 - Hosts: 213.159.118.228 www.searchv.com O1 - Hosts: 213.159.118.228 www.searchxl.com O1 - Hosts: 213.159.118.228 www.seznam.cz O1 - Hosts: 213.159.118.228 www.slotch.com O1 - Hosts: 213.159.118.228 www.spidersearch.com O1 - Hosts: 213.159.118.228 www.startium.com O1 - Hosts: 213.159.118.228 www.therealsearch.com O1 - Hosts: 213.159.118.228 www.ttjj.com O1 - Hosts: 213.159.118.228 www.viewpornkey.com O1 - Hosts: 213.159.118.228 www.wazzupnet.com O1 - Hosts: 213.159.118.228 www.websearch.com O1 - Hosts: 213.159.118.228 www.windowws.cc O1 - Hosts: 213.159.118.228 www.xgmm.com O1 - Hosts: 213.159.118.228 xwebsearch.biz O1 - Hosts: 213.159.118.228 yourbookmarks.ws O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\SDHelper.dll (file missing) O4 - HKLM\..\Run: [Network Service] C:\WINDOWS\svhost.exe -sr -0 neustarten 1.)um zu sehen, welche Dienste unter dem Namen svchost.exe laufen muss man im Kommandozeilenfenster nur den Befehl: tasklist /svc eingeben und dann nach den verschiedenen Prozessen suchen das ganze kann man auch noch filtern sieh ,ob "svhost.exe -sr -0 " noch aktiv ist 2. Loesche: svhost.exe -sr -0 (aber nur diese, nicht mit den Windows-Diensten svhost.exe verwechseln)...wenn du dir nicht sicher bist, lasse den Escan das erledigen) 3.)Lade dieses Tool und versetze so die Hosts-Datei in den Originalzustand: die Host-Datei: in c:\Windows\System32\drivers\etc\hosts 127.0.0.1 localhost #Hoster-Tool : http://members.aol.com/toadbee/hoster.zip Press 'Restore Original Hosts' and press 'OK' Exit Program. 4.Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein. Suche einen Dienst:HackerDefender und deaktiviere ihn (!) 5.CLRAV> Kaspersky DOS-Scanner http://www.vsantivirus.com/util-clrav.htm 6.)Virenscanner unter DOS Besitzen Sie bereits Norton Antivirus, suchen Sie nach der DOS-Version auf Ihrem Rechner (navdx.exe) Scanne mit diesem Tool (!) 7.)Das eScan AV Toolkit (mwav.exe) herunterladen,(um den "Troj/HacDef-F" zu loeschen: http://www.mwti.net/antivirus/free_utilities.asp die Datei in den Ordner "c:\base" entpacken und danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen. <Abgesicherter Modus http://www.bsi.de/av/texte/winsave.htm und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen : Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives und "Scan clean" klicken. Poste danach Virus Log Information: was als <deleted< und <renamed< und <no action taken< gefunden wurde und das neue Log vom HijackThis noch mal posten. 8)Lade xp-AntiSpy (offizielle Homepage) http://www.xp-antispy.org/index.php? beim kästchen "auslagerungsdatei beim herunterfahren löschen" ein häkchen reinmachen und neustarten Tip: neuladen. #Search&Destroy http://www.safer-networking.org/de/download/index.html mfg Sabina ----------------------------------------------------------------------------------------------------------- Troj/HacDef-F ist ein Backdoor-Trojaner, der das NT/2000/XP-Betriebssystem zum Ziel hat. Dieser Trojaner ermöglicht nicht nur unbefugten Fernzugriff auf den Computer des Opfers, sondern er kann auch Daten über das System des Opfers verstecken, darunter Dateien, Ordner, Prozesse, Dienste und Registrierungseinträge. Wenn er gestartet wird, kopiert sich der Trojaner als svchost.exe in das Windows-Verzeichnis und erstellt und lädt einen Treiber (hxdefdrv.sys). Außerdem erstellt er die folgenden Registrierungseinträge, so dass er beim Systemstart oder bei der Benutzeranmeldung automatisch aktiviert wird: HKLM\Software\Microsoft\Windows\CurrentVersion\Run Network Service = C:\<Windows-Ordner>\svhost.exe Troj/HacDef-F fängt verschiedene Systemdienste ab und versucht, verschiedene Sicherheits- und Überwachungsprozesse zu beenden. Der Trojaner verändert die aktuelle Internet-Startseite und den Internet-SearchAssistant. __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 19.09.2004 um 19:11 Uhr von Sabina editiert.
|
|
|
|
|
|
|
19.09.2004, 18:55
...neu hier
Themenstarter Beiträge: 8 |
#3
thx schon mal ich lad mir grad die tools dieste aufgeschreiben hast...
Allerdings kann ich das "O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\SDHelper.dll (file missing) " nicht löschen da kommt fehler... |
|
|
|
|
|
|
19.09.2004, 19:03
Ehrenmitglied
Beiträge: 29434 |
#4
Das macht nichts, das ist das kleinste Uebel.
Versuche unbedingt einen Virenscann in DOS zu machen (!) Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 19.09.2004 um 19:04 Uhr von Sabina editiert.
|
|
|
|
|
|
|
19.09.2004, 22:41
...neu hier
Themenstarter Beiträge: 8 |
#5
So also soweit ich des seh schaut des ganz gut aus...
der Scan hat zwar über 2 Stunden gedauert allerdings hatter allerhand zeugs gefunden und renamed (wobei auch teils sachen von spielen). Ich hab weitgehend die "renamed" files gelöscht. Der log schaut wie folgt aus: Zitat Sun Sep 19 22:04:28 2004 => ***** Checking for specific ITW Viruses *****nur der untere teil das ganze war ja ewig lang mit allen dateien... Zitat Logfile of HijackThis v1.98.2Müsste alles wegsein oder ? Außerdem hab ich die "notepad.exe" von nem Kumpel in c:\windows und in c:\windows\system32 eingefügt damit ich wieder txt datein mitn editor öffnen kann... Thx jedenfalls mal für die schnelle Hilfe /edit: grbml die Backdoor.Hackdefender Datei wird wiederrum bei jedem Neustart erstellt nun... Wenn ich jetzt nochmal restart mach werd ich vermutlich wieder alles haben grmbbllj Dieser Beitrag wurde am 19.09.2004 um 22:51 Uhr von Nachtmar editiert.
|
|
|
|
|
|
|
20.09.2004, 09:55
Ehrenmitglied
Beiträge: 29434 |
#6
Fixe:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://odachs.out%68o%73t.info/ O16 - DPF: {10000000-0000-0000-0000-000000000000} - http://213.159.118.226/x.exe neustarten 1.Loesche: <x.exe 2.Scanne noch mal mit mwav.exe 3.Deaktiviere die Wiederherstellung. boote und aktiviere sie wieder. 4.Dann poste das Log noch mal. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 20.09.2004 um 09:56 Uhr von Sabina editiert.
|
|
|
|
|
|
|
20.09.2004, 10:39
Member
Beiträge: 48 |
#7
Du solltest dir der Tatsache bewusst sein, dass es längere Zeit möglich war (oder sogar noch ist) deinen Rechner von Außen nach Belieben zu manipulieren und zu verändern. Die gefundenen Trojaner können nur der Anfangspunkt gewesen sein, während im Hintergrund versteckte Ordner, Dateien und Prozesse agieren, die von allen Reinigungsversuchen unberührt bleiben:
http://oschad.de/wiki/index.php/Kompromittierung Wenn du ein definitiv vertrauenswürdiges System möchtest, solltest du über eine Neuinstallation nachdenken. Auf jeden Fall solltest du XP und den IE auf den neuesten Stand bringen und alle deine Passworte ändern. Besser: 1.) Neu formatieren und installieren (Anleitung: http://8ung.at/chemikers-home/SETUP.html) 2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen 3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren (http://www.microsoft.com/germany/ms/security/windowsxp.mspx) 4.) Ebenfalls VOR dem Onlinegehen unnötige Dienste deaktivieren siehe www.dingens.org 5.) Danach zuerst www.windowsupdate.com besuchen (dies wöchentlich wiederholen) und alle Updates installieren oder alternativ vorher noch Service Pack 2 downloaden oder von CD installieren 6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera, Firefox oder Mozilla umsteigen 7.) Browser und Emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail) sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Java-Script, Active-X, VBS) 8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vorher überprüfen, ob sie Spyware oder Adware enthalten können (http://virgolamobile.50megs.com/spyware/spyware.htm http://www.spywareguide.com/spywarelist.html), besondere Vorsicht ist bei allen erotischen und war*hier nicht!*-Seiten geboten 9) ein Antivirenprogramm schadet auch nichts (Antivir ist kostenlos und halbwegs brauchbar www.free-av.de ), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen 10) Nicht gleich alle Programme, die früher installiert waren, sofort erneut aufs System lassen, sondern zuerst informieren, ob sie Spy/Adware enthalten (siehe 8.) 11) Bei Infektion mit Trojanern/Keyloggern: keine alten Passworte wiederverwenden, sondern alle neu anlegen |
|
|
|
|
|
|
20.09.2004, 13:11
...neu hier
Themenstarter Beiträge: 8 |
#8
Ich hatte permanent Aktuelle Norton 03 Installiert .... Nur um einige Online Spiele zu zocken hatte ich kurzzeitig die Firewall Deaktiviert => da kam der Virus - fortan habe ich alles geblockt was die firewall auslies (inklusive scvhost, was wohl der Trojaner war).
Ich habe glücklicherweise auf meinem PC auch nicht allzu viele Intressante Daten, also zumindest keine womit man phsysischen Schaden anrichten könnte. Die Wiederherstellung war bisher immer deaktiviert ich schau nunmal was sich machen lässt. Zitat Logfile of HijackThis v1.98.2 Zitat File C:\WINDOWS\hxdefdrv.sys infected by "Backdoor.HacDef.073.b" Virus. Action Taken: File Renamed.Das sind noch die Files beim zweiten Scan von mwav.exe Es werden allerdings immer noch Dateien mit den Keywords von Spybot und Highjack gelöscht /edit: In dem logfile von escan hab ich auch noch folgendes gefunden: Zitat Sun Sep 19 20:14:06 2004 => ERROR!!! Invalid Entry Network Service = C:\WINDOWS\svhost.exe -sr -0. Removing it.vllt hat das ja auch irgendwas zu bedeuten Hab gerade noch ein Anderes anti-Trojan tool drüber laufen lassen (ANTS), weiß allerdings nicht wasses wirklich bringt, es ergab folgende Ergebnisse: Zitat Beginne mit Scanvorgang ...Ob diese Dateien Trojaner sind/behinhalten weiß ich leider nicht... Dieser Beitrag wurde am 20.09.2004 um 14:34 Uhr von Nachtmar editiert.
|
|
|
|
|
|
|
20.09.2004, 14:32
Member
Beiträge: 48 |
#9
"Ich hatte permanent Aktuelle Norton 03 Installiert .... Nur um einige Online Spiele zu zocken hatte ich kurzzeitig die Firewall Deaktiviert => da kam der Virus - fortan habe ich alles geblockt was die firewall auslies (inklusive scvhost, was wohl der Trojaner war)."
Nein, so läuft das nicht, auch wenn viele das glauben und deswegen auch Firewalls völlig falsch einsetzen, aber der Schädling "kommt" nicht, weil du die FW deaktiviert hast, der war mit ziemlicher Wahrscheinlichkeit bereits auf deinem Rechner, weil du ihn selbst irgendwann installiert hast. Es sei denn, er hat eine Sicherheitslücke in Windows ausgenutzt (kommt drauf an, ob du diese Patches installert hast und wie deine Dienste konfiguriert sind). Es KANN sein (muss aber nicht), dass die FW den Kontakt von Trojanern nach Außen blockiert hat und der erst zustande kam, als du gespielt hast, aber das ist dann auch egal, das System ist, wie gesagt, nicht mehr voll vertrauenswürdig. http://www.nabooisland.com/publications/pffaq/ "Ich habe glücklicherweise auf meinem PC auch nicht allzu viele Intressante Daten, also zumindest keine womit man phsysischen Schaden anrichten könnte." Das ist in dem Zusammenhang leider nicht mehr von Belang, denn es geht nicht mehr nur um deine eigenen Daten, dein Rechner kann im Extremfall zu einem Fileserver oder zur Wurm- und Virenschleuder umfunktioniert worden sein und gefährdet dadurch auch andere im Netzwerk. Lektüre: http://www.mathematik.uni-marburg.de/~wetzmj/index.php?viewPage=sec-compromise.html http://faq.underflow.de/#SECTION000120000000000000000 Es MUSS nicht der schlimmste Fall eingetreten sein, es ist auch möglich, dass du mit E-Scan und dem Fixen dein System gesäubert hast. Das ist aber, wenn einmal eine Backdoorfunktion bereitstand, nicht mehr ohne größeren Aufwand definitiv sicherzustellen und das ist das Problem. |
|
|
|
|
|
|
20.09.2004, 16:11
Ehrenmitglied
Beiträge: 29434 |
#10
Hallo@Nachtmar
C:\WINDOWS\svhost.exe -sr -0. Das ist ein Dienst, der noch laeuft. Den Hackdefender wegzubekommen, ist sehr schwer und die englische Anleitung, die ich dafuer habe, kann ich nicht sicher erklaeren. http://bagpuss.swan.ac.uk/comms/hxdef.htm (zu kompliziert)....falls es nicht jemand anderes hier im Forum erklaeren kann. FINDEST DU EINEN EINTRAG VON:svhost.exe -sr -0. in der Registry??? start<ausfuehren<regedit: SYSTEM\CurrentControlSet\Services\NT Services.. ................................................................................................... Norton ist zerstoert: O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton AntiVirus\NavShExt.dll (file missing mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 20.09.2004 um 17:48 Uhr von Sabina editiert.
|
|
|
|
|
|
|
20.09.2004, 21:53
...neu hier
Themenstarter Beiträge: 8 |
#11
Den eintrag in der Registry hab ich gefunden (allerdings unter nem anderne Pfad)...
Auch noch paar andere Registrys auf der suchseite nun probier ich des mal mit der Console was da steht und versuch des zu deaktivieren - immer wieder erwisch ein Stück mehr von dem Virus^^ AAllerdings sollt ich wohl Norton neu Installieren.... |
|
|
|
|
|
|
21.09.2004, 00:04
...neu hier
Beiträge: 8 |
#12
Hi, irgendwie bin ich anscheinend immer in den falschen Foren. Kann mir hier jemand bitte helfen:
Logfile of HijackThis v1.98.0 Scan saved at 18:18:15, on 20.09.04 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\AOL\ACS\AOLACSD.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\EXPLORER.EXE C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\AOL\ACS\AOLDIAL.EXE C:\PROGRAMME\0190 WARNER PRäSENTIERT VON AOL\WARN0190.EXE C:\PROGRAMME\MUSICMATCH\MUSICMATCH JUKEBOX\MM_TRAY.EXE C:\WINDOWS\SVCHST.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\PROGRAMME\AOL 9.0\WAOL.EXE C:\PROGRAMME\AOL 9.0\SHELLMON.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\AOL\AOLTPSPD.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\SYSTEM\WINOA386.MOD C:\WINDOWS\SYSTEM\WINOA386.MOD C:\PROGRAMME\WINZIP\WINZIP32.EXE C:\WINDOWS\TEMP\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;<local> O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE O4 - HKLM\..\Run: [MMTray] C:\Programme\MusicMatch\MusicMatch Jukebox\mm_tray.exe O4 - HKLM\..\Run: [SchedulerMgr] C:\WINDOWS\qservice.exe /i O4 - HKLM\..\Run: [SheduIer] C:\WINDOWS\svchst.exe /i O4 - HKLM\..\RunServices: [AolAcsDaemon1] "C:\PROGRAMME\GEMEINSAME DATEIEN\AOL\ACS\AOLACSD.EXE" O4 - Startup: Logitech Desktop Messenger.lnk = C:\Programme\Desktop Messenger\8876480\Program\LDMConf.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000 O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net |
|
|
|
|
|
|
21.09.2004, 09:58
Ehrenmitglied
Beiträge: 29434 |
#13
@olli2301
dreimal musst du wirklich nicht posten..... Einen von den Threads habe ich schon beantwortet. Bleibe bitte dabei, sonst wird es ein Durcheinander. Gruss Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
21.09.2004, 10:14
Member
Beiträge: 3306 |
#14
Hat die Anti-PF Fraktion nicht mal ein paar neue Links auf Lager? Irgendwann werden Sachen die 2001 aktuell waren doch auch mal unglaubwürdig
 __________ Bitte keine Anfragen per PM, diese werden nicht beantwortet. Dieser Beitrag wurde am 21.09.2004 um 10:15 Uhr von asdrubael editiert.
|
|
|
|
|
|
|
21.09.2004, 10:58
Ehrenmitglied
Beiträge: 29434 |
#15
Zitat asdrubael posteteAnti-PF Fraktion ???????????? mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Rechtsklick auf dessen verknüpfungen (bzw. NotePad.exe) führten zur schließung der aktuell offenen Browserfenster.
Nebenbei wird nun beim Ausführen von .txt Dateien eine diverse Webside geöffnet:
Diese Seite wird auch als Startseite festgelegt...
Es findet sich im Übrigen im Windows-Verzeichnis die Datei: "hxdefdrv.sys", welche von Norton als Backdoor.Hackdefender identifiziert wird.
Löschen bringt nichts, da dieser nach Neustart wieder auftaucht.
Spybot S&D findet auch das so gennante "DSO Exploit", welcher sich zwar entfernen lässt, jedoch kurz darauf wieder auftaucht.
Adaware habe ich auch bereits durchlaufen lassen - bringt aber nix.
Zitat
Die oberen "host: xxx..." einträge lassen sich zwar fixen - aber erscheinen auch nach Neustart wieder...Nebenbei noch als Anmerkung: Spybot und Highjack lassen sich nur noch unter "falschen Namen" auf der Festplatte halten...Installationsdatein werden zwar dann auch gelöscht, jedoch kann ichs ausführen.
Ich bin nun eigentlich so ziehmlich Ratlos, da eigentlich das was ich bisher gemacht hab völlig sinnlos war....Auch Anweisungen diverse Regediteinträge zu löschen haben bisher keinen Erfolg erzielt, die auf der Norton hompage zu finden waren....
würde mich auf Eure Hilfe freuen