tr/dldr.small.orThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
24.10.2004, 18:23
Member
Beiträge: 14 |
||
|
||
24.10.2004, 18:48
Moderator
Beiträge: 7805 |
#47
Lies dir das mal durch. Sind interessante und durchaus leicht verstraendliche Artikel dabei(Fachartikel links):
http://www.trojaner-info.de/hijacker/index.shtml hake Alle Eintraege an, die mit "O16" anfangen und druecke dann "fix checked" Starte neu und loesche alle deine Temporaeren Dateien. Dazu kannst du u.a. auch http://clearprog.de/ nutzen. Ein Besuch auf www.windowsupdate.com waere auch zu empfehlen. Dein Log sieht nicht schlecht aus. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
24.10.2004, 19:04
Member
Beiträge: 14 |
#48
danke ralf,
habe ich erstmal gemacht, bei windowsupdate war ich heute schon, irgendwie brach der download immer ab... okay, neustart fehlt noch... danke, tibby |
|
|
||
24.10.2004, 20:00
Member
Beiträge: 14 |
#49
tja, nun hab ich den neustart gemacht und trotzdem findet antivir diesen trojaner...
watnu?? tibby |
|
|
||
24.10.2004, 20:03
Moderator
Beiträge: 7805 |
||
|
||
24.10.2004, 22:08
Ehrenmitglied
Beiträge: 29434 |
#51
Hallo @tibby
#Datentraegerbereinigung: und Loeschen der Temporary-Dateien Start<Ausfuehren<cleanmgr #Click Temporary Internet Files, O.K #Temporary Files Sacnne mit eScan (mwav.exe) <Öffne die mwav.log -> Bearbeiten -> Suchen -> Wenn man infizierte Dateien in dem eScan Log finden will, sollte man nach infected suchen und die Eintraege hier posten mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 24.10.2004 um 22:10 Uhr von Sabina editiert.
|
|
|
||
25.10.2004, 00:46
Member
Beiträge: 14 |
||
|
||
25.10.2004, 16:34
Member
Beiträge: 13 |
#53
@sabina
hi hab alles gemacht was du mir geschrieben hast. nur 2 probleme sind aufgetreten: 1. ich konnte kaspersky nicht updaten, konnte angeblich keine verbindung aufbauen... 2. konnte windows nicht updaten da ich schon die neuste version besitze jedenfalls funktioniert sonst alles und ich hab nun den neuen log kopiert, vieleicht kannst du ja nocheinmal drüberschauen. Und nocheinmal ganz großen dank für deine Hilfe!!! mfg savas PS: hier die logdatei Logfile of HijackThis v1.98.2 Scan saved at 16:28:08, on 25.10.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Skoda Personal Firewall\driver\spfirewallsvc.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Skoda Personal Firewall\bin\sppfw.exe C:\Programme\Mozilla1.7.3\mozilla.exe C:\WINDOWS\system32\drwtsn32.exe C:\WINDOWS\system32\drwtsn32.exe C:\WINDOWS\explorer.exe C:\Dokumente und Einstellungen\- Mike -\Eigene Dateien\Downloads\systemcleaner\hijackthis1982\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [Securepoint Personal Firewall] "C:\Programme\Skoda Personal Firewall\bin\sppfw.exe" O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} - http://playroom.icq.com/odyssey_web11.cab |
|
|
||
26.10.2004, 10:12
Ehrenmitglied
Beiträge: 29434 |
||
|
||
26.10.2004, 13:19
Member
Beiträge: 13 |
#55
vielen Dank für deine mühe, sabina!
ich werde mich wieder melden sobald ich wieder irgendwelche probleme habe... bye mfg Savas |
|
|
||
26.10.2004, 14:59
...neu hier
Beiträge: 2 |
#56
Hi an alle,
habe aufmerksam diesen Thread gelesen, da ich ebenfalls das "Mistding" hatte. Ähnlicher Verlauf wie bei meinen Vorgängern: AntiVir hat's gefunden, aber nicht gelöscht. Hab ich manuell gemacht. Anschließend AntiVir aktualisiert, im abgesicherten und normalen Modus durchlaufen lassen, nichts mehr gefunden. Anschließend alte Firewall deinstalliert und aktuelle Version wieder installiert. Dann eScan installiert, im abgesicherten Modus durchlaufen lassen. Hat folgendes bemängelt: File C:\WINDOWS\COMMAND\EBD\EBD.CAB tagged as not-a-virus:Tool.DOS.Restart. No Action Taken. File E:\Disk\audio catalyst\acat15dt.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File E:\Disk\audio catalyst\adcat15.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File E:\Disk\CoDecs\DivX503Bundle.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Auch wenn im Log nicht "infected" stand, habe ich die Dateien mit Killbox gelöscht. Nun habe ich HijackThis durchlaufen lassen. Die Logfile: Logfile of HijackThis v1.98.2 Scan saved at 14:54:08, on 26.10.04 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v5.00 (5.00.2614.3500) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\SYSTEM\ATIPTAXX.EXE C:\WINDOWS\STARTER.EXE D:\TOOLS\ANTIVIR\AVGCTRL.EXE D:\TOOLS\ZONEALARM-FIREWALL\ZLCLIENT.EXE C:\WINDOWS\SYSTEM\LEXBCES.EXE D:\TOOLS\SPEEDCOMMANDER VII\SPEEDCOMMANDER.EXE D:\TOOLS\BROWSER MOUSE\LWBWHEEL.EXE C:\WINDOWS\SYSTEM\RPCSS.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\WINDOWS\SYSTEM\LEXPPS.EXE C:\WINDOWS\NOTEPAD.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE D:\TOOLS\OPERA7\OPERA.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE D:\TOOLS\HIJACKTHIS\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.schwarzes-leipzig.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://web.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\TOOLS\ADOBE\ACROBAT 5.0\ACROBAT\ACTIVEX\ACROIEHELPER.OCX O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [LexStart] Lexstart.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime O4 - HKLM\..\Run: [AVGCtrl] D:\TOOLS\ANTIVIR\AVGCTRL.EXE /min O4 - HKLM\..\Run: [Zone Labs Client] "D:\Tools\ZoneAlarm-Firewall\zlclient.exe" O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service O4 - Startup: SpeedCommander.lnk = D:\Tools\SpeedCommander VII\SpeedCommander.exe O4 - Startup: Browser Mouse 1.0.lnk = D:\Tools\Browser Mouse\LwbWheel.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Tools\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Tools\ICQ\ICQ.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/1945674c578d009c6005/netzip/RdxIE601_de.cab O16 - DPF: {11111111-1111-1111-1111-111111113456} - file://c:\info6_s.cab ... insbesondere die letzten beiden Einträge erscheinen mir nun nach den ganzen infizierten cab-Dateien verdächtig, aber das ist pure Vermutung. Was seht ihr? Sonstiges: IE nehme fast nie (sondern Opera), XP habe ich nicht (siehe Logfile) und gehe nur mit Modem online. Passwörter will ich erst ändern, wenn das "Biest" wirklich runter ist. Habe ich alles richtig gemacht? Sollte ich noch was machen? Wie sieht's mit möglichen Registry-Einträgen aus? (Nutze gelegentlich völlig veraltetes RegClean 4.1a, hilft das?) Vielen Dank für Eure Mühen! destiny.le PS: Habe gerade den Thread zum Selbstauswerten der Hijackthis-Logfile gefunden und entsprechend probiert. Mir kommt allerdings merkwürdig vor, dass "O4 - HKLM\..\Run: [Zone Labs Client] "D:\Tools\ZoneAlarm-Firewall\zlclient.exe" gefixt werden soll, schließlich ist dies der Zonelabs-Client... Also richtig sicher bin ich mir anhand der Auswertung nicht, deshalb nochmal die Bitte, über die Logfile zu schauen... DANKE! Dieser Beitrag wurde am 26.10.2004 um 15:01 Uhr von destiny.le editiert.
|
|
|
||
26.10.2004, 16:11
Ehrenmitglied
Beiträge: 29434 |
#57
Hallo@destiny.le
Fixe: O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {11111111-1111-1111-1111-111111113456} - file://c:\info6_s.cab neustarten Loesche: c:\info6_s.cab Dann aktualisiere den IE, auch wenn du nicht mit ihm surfst. #Internet Explorer 6 Service Pack 1 http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=1E1550CB-5E5D-48F5-B02B-20B602228DE6 mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 26.10.2004 um 16:12 Uhr von Sabina editiert.
|
|
|
||
26.10.2004, 17:16
...neu hier
Beiträge: 2 |
||
|
||
26.10.2004, 19:04
Member
Beiträge: 21 |
#59
hey leute,
ich hab mir auch son dummes teil eingefangen und würde den gerne schnell wieder los werden, weil bei mir ständig das inet abkackt... ich hab mit hijackthis gescannt un weiß aber net was ich jetz tun soll... kann mir bitte jemand helfen ?!? hier meine log datei... C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Executive Software\Diskeeper\DkService.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\ctfnom.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\MSI\Live Update 3\LMonitor.exe C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\WINDOWS\System32\svchost32.exe C:\Program Files\Win Comm\WinComm.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\SAGEM\SAGEM F@st840\DSLMON.exe C:\Programme\Mousometer\mousometer.exe C:\Programme\Warcraft III\war3.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\System32\taskmgr.exe C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.couldnotfind.com/search_page.html?&account_id=152555 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.couldnotfind.com/search_page.html?&account_id=152555 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.slotch.com/?&account_id=152555 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_page.html?&account_id=152555 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.chip.de/ R3 - URLSearchHook: IncrediFindBHO Class - {0199DF25-9820-4bd5-9FEE-5A765AB4371E} - C:\PROGRA~1\INCRED~1\BHO\INCFIN~1.DLL O2 - BHO: NavErrRedir Class - {0199DF25-9820-4bd5-9FEE-5A765AB4371E} - C:\PROGRA~1\INCRED~1\BHO\INCFIN~1.DLL O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\Programme\ISTbar\istbar.dll (file missing) O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [LiveMonitor] C:\Programme\MSI\Live Update 3\LMonitor.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [CRC Value Verifier] svchost32.exe O4 - HKLM\..\Run: [Win Comm] C:\Program Files\Win Comm\WinComm.exe O4 - HKLM\..\Run: [Win Updator Services] ctfnom.exe O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [SearchUpgrader] C:\Programme\Common files\SearchUpgrader\SearchUpgrader.exe O4 - HKLM\..\Run: [sais] c:\programme\180solutions\sais.exe O4 - HKLM\..\Run: [Power Scan] C:\Programme\Power Scan\powerscan.exe O4 - HKLM\..\Run: [Win32 USB2 Driver] rofl.exe O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe O4 - HKLM\..\Run: [TrojanScanner] C:\Programme\Trojan Remover\Trjscan.exe O4 - HKLM\..\RunServices: [Win32 USB2 Driver] rofl.exe O4 - HKLM\..\RunServices: [CRC Value Verifier] svchost32.exe O4 - HKLM\..\RunServices: [Win Updator Services] ctfnom.exe O4 - HKLM\..\RunOnce: [Win Updator Services] ctfnom.exe O4 - HKCU\..\Run: [Win Updator Services] ctfnom.exe O4 - HKCU\..\Run: [Win32 USB2 Driver] rofl.exe O4 - HKCU\..\RunOnce: [Win Updator Services] ctfnom.exe O4 - Startup: Mousometer.lnk = C:\Programme\Mousometer\mousometer.exe O4 - Global Startup: DSLMON.lnk = C:\Programme\SAGEM\SAGEM F@st840\DSLMON.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll (file missing) O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{8C5DD750-D426-466A-9A33-052166E90906}: NameServer = 217.237.150.33,194.25.2.129 O17 - HKLM\System\CCS\Services\Tcpip\..\{CCD7F439-7244-46E0-95E1-230F78A12805}: NameServer = 62.27.27.62 62.27.53.66 danke schonmal an alle die mir helfen können |
|
|
||
26.10.2004, 19:13
Moderator
Beiträge: 7805 |
#60
Dein Rechner ist ziemlich verseucht. Du solltest dir das hier mal durchlesen. Je nachdem was du moechtest das erste oder zweite Posting, bzw ein mix aus beidem. Danach solltest du noch ein Komplettes Log posten.
http://www.rokop-security.de/board/index.php?showtopic=3867 BZW werte dein Log mal hier aus: www.hijackthis.de und fixe alles, was als "boese" identifiziert wird, __________ MfG Ralf SEO-Spam Hunter |
|
|
||
könnt ihr mal schauen??
Logfile of HijackThis v1.97.7
Scan saved at 18:44:19, on 24.10.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\wampp2c\apache\bin\Apache.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\wampp2c\mysql\bin\mysqld.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\wampp2c\apache\bin\Apache.exe
C:\WINNT\Explorer.EXE
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\cFosNT6\cFosDNT.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\internat.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\antiviren\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.lycos.de/search/msie40.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [cFosDNT] C:\cFosNT6\cFosDNT.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\mwavscan.com" /s
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Office\OSA9.EXE
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.lycos.de/
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/071cc62145bbe92ba619/netzip/RdxIE601_de.cab
O16 - DPF: {5DBF08EF-4BDE-11D3-B8E4-0080C84E9C66} (Medi@Show Control) - http://www.berge-tirol.at/winterfilm/MediaShow.cab
O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://160.45.89.245/ruedersdorf/LiveMap/mapguide/download/mgaxctrl.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38284.1272222222
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2BF7F63D-AE90-4B8C-B2E2-2B8191313612}: NameServer = 217.237.151.33 217.237.149.225
tibby
asber ich will das ding auch loswerden...
bitte, für einen dummy...
außerdem hat er noch das gefunden:
[FUND!] Enthält Signatur eines kostenverursachenden Einwahlprogrammes DIAL/300945 (Dialer)
--> copytodvd.exe
dann noch das:
[FUND!] Ist das Trojanische Pferd TR/StartPage.ab
tibby