tr/dldr.small.or

Thema ist geschlossen!
Thema ist geschlossen!
#0
24.10.2004, 18:23
Member

Beiträge: 14
#46 sorry, ich hab das ding auch durch antivir gefunden, ich weiß jedoch weder, was ein hijack noch was fixen ist...

könnt ihr mal schauen??

Logfile of HijackThis v1.97.7
Scan saved at 18:44:19, on 24.10.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\wampp2c\apache\bin\Apache.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\wampp2c\mysql\bin\mysqld.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\wampp2c\apache\bin\Apache.exe
C:\WINNT\Explorer.EXE
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\cFosNT6\cFosDNT.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\internat.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\antiviren\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.lycos.de/search/msie40.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [cFosDNT] C:\cFosNT6\cFosDNT.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\mwavscan.com" /s
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Office\OSA9.EXE
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.lycos.de/
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/071cc62145bbe92ba619/netzip/RdxIE601_de.cab
O16 - DPF: {5DBF08EF-4BDE-11D3-B8E4-0080C84E9C66} (Medi@Show Control) - http://www.berge-tirol.at/winterfilm/MediaShow.cab
O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://160.45.89.245/ruedersdorf/LiveMap/mapguide/download/mgaxctrl.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38284.1272222222
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2BF7F63D-AE90-4B8C-B2E2-2B8191313612}: NameServer = 217.237.151.33 217.237.149.225

tibby


asber ich will das ding auch loswerden...

bitte, für einen dummy...

außerdem hat er noch das gefunden:

[FUND!] Enthält Signatur eines kostenverursachenden Einwahlprogrammes DIAL/300945 (Dialer)
--> copytodvd.exe

dann noch das:

[FUND!] Ist das Trojanische Pferd TR/StartPage.ab

tibby
Dieser Beitrag wurde am 24.10.2004 um 18:48 Uhr von tibby editiert.
Seitenanfang Seitenende
24.10.2004, 18:48
Moderator

Beiträge: 7805
#47 Lies dir das mal durch. Sind interessante und durchaus leicht verstraendliche Artikel dabei(Fachartikel links):
http://www.trojaner-info.de/hijacker/index.shtml

hake Alle Eintraege an, die mit "O16" anfangen und druecke dann "fix checked"
Starte neu und loesche alle deine Temporaeren Dateien. Dazu kannst du u.a. auch http://clearprog.de/ nutzen.

Ein Besuch auf www.windowsupdate.com waere auch zu empfehlen.

Dein Log sieht nicht schlecht aus.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
24.10.2004, 19:04
Member

Beiträge: 14
#48 danke ralf,

habe ich erstmal gemacht,
bei windowsupdate war ich heute schon, irgendwie brach der download immer ab...

okay, neustart fehlt noch...

danke, tibby
Seitenanfang Seitenende
24.10.2004, 20:00
Member

Beiträge: 14
#49 tja, nun hab ich den neustart gemacht und trotzdem findet antivir diesen trojaner...

watnu??

tibby
Seitenanfang Seitenende
24.10.2004, 20:03
Moderator

Beiträge: 7805
#50 Wo genau findet es diese. in welchem Verzeichniss?
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
24.10.2004, 22:08
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#51 Hallo @tibby

#Datentraegerbereinigung: und Loeschen der Temporary-Dateien
Start<Ausfuehren<cleanmgr
#Click Temporary Internet Files, O.K
#Temporary Files

Sacnne mit eScan (mwav.exe)
<Öffne die mwav.log -> Bearbeiten -> Suchen ->
Wenn man infizierte Dateien in dem eScan Log finden will, sollte man nach infected suchen und die Eintraege hier posten

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 24.10.2004 um 22:10 Uhr von Sabina editiert.
Seitenanfang Seitenende
25.10.2004, 00:46
Member

Beiträge: 14
#52 scanne gerade, werde morgen abend posten... danke erstmal.
bis morgen, oki?

tibby
Seitenanfang Seitenende
25.10.2004, 16:34
Member

Beiträge: 13
#53 @sabina
hi hab alles gemacht was du mir geschrieben hast. nur 2 probleme sind aufgetreten:
1. ich konnte kaspersky nicht updaten, konnte angeblich keine verbindung aufbauen...
2. konnte windows nicht updaten da ich schon die neuste version besitze
jedenfalls funktioniert sonst alles und ich hab nun den neuen log kopiert, vieleicht kannst du ja nocheinmal drüberschauen.
Und nocheinmal ganz großen dank für deine Hilfe!!!

mfg savas

PS: hier die logdatei
Logfile of HijackThis v1.98.2
Scan saved at 16:28:08, on 25.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Skoda Personal Firewall\driver\spfirewallsvc.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Skoda Personal Firewall\bin\sppfw.exe
C:\Programme\Mozilla1.7.3\mozilla.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\- Mike -\Eigene Dateien\Downloads\systemcleaner\hijackthis1982\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [Securepoint Personal Firewall] "C:\Programme\Skoda Personal Firewall\bin\sppfw.exe"
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} - http://playroom.icq.com/odyssey_web11.cab
Seitenanfang Seitenende
26.10.2004, 10:12
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#54 Hallo@Savas|2006

Es ist alles sauber ;)

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
26.10.2004, 13:19
Member

Beiträge: 13
#55 vielen Dank für deine mühe, sabina!

ich werde mich wieder melden sobald ich wieder irgendwelche probleme habe...
bye

mfg
Savas
Seitenanfang Seitenende
26.10.2004, 14:59
...neu hier

Beiträge: 2
#56 Hi an alle,

habe aufmerksam diesen Thread gelesen, da ich ebenfalls das "Mistding" hatte. Ähnlicher Verlauf wie bei meinen Vorgängern: AntiVir hat's gefunden, aber nicht gelöscht. Hab ich manuell gemacht. Anschließend AntiVir aktualisiert, im abgesicherten und normalen Modus durchlaufen lassen, nichts mehr gefunden. Anschließend alte Firewall deinstalliert und aktuelle Version wieder installiert. Dann eScan installiert, im abgesicherten Modus durchlaufen lassen. Hat folgendes bemängelt:

File C:\WINDOWS\COMMAND\EBD\EBD.CAB tagged as not-a-virus:Tool.DOS.Restart. No Action Taken.
File E:\Disk\audio catalyst\acat15dt.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File E:\Disk\audio catalyst\adcat15.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File E:\Disk\CoDecs\DivX503Bundle.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.


Auch wenn im Log nicht "infected" stand, habe ich die Dateien mit Killbox gelöscht.

Nun habe ich HijackThis durchlaufen lassen. Die Logfile:

Logfile of HijackThis v1.98.2
Scan saved at 14:54:08, on 26.10.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.00 (5.00.2614.3500)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
C:\WINDOWS\STARTER.EXE
D:\TOOLS\ANTIVIR\AVGCTRL.EXE
D:\TOOLS\ZONEALARM-FIREWALL\ZLCLIENT.EXE
C:\WINDOWS\SYSTEM\LEXBCES.EXE
D:\TOOLS\SPEEDCOMMANDER VII\SPEEDCOMMANDER.EXE
D:\TOOLS\BROWSER MOUSE\LWBWHEEL.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\LEXPPS.EXE
C:\WINDOWS\NOTEPAD.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
D:\TOOLS\OPERA7\OPERA.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
D:\TOOLS\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.schwarzes-leipzig.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://web.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\TOOLS\ADOBE\ACROBAT 5.0\ACROBAT\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [LexStart] Lexstart.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] D:\TOOLS\ANTIVIR\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] "D:\Tools\ZoneAlarm-Firewall\zlclient.exe"
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - Startup: SpeedCommander.lnk = D:\Tools\SpeedCommander VII\SpeedCommander.exe
O4 - Startup: Browser Mouse 1.0.lnk = D:\Tools\Browser Mouse\LwbWheel.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Tools\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Tools\ICQ\ICQ.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/1945674c578d009c6005/netzip/RdxIE601_de.cab
O16 - DPF: {11111111-1111-1111-1111-111111113456} - file://c:\info6_s.cab




... insbesondere die letzten beiden Einträge erscheinen mir nun nach den ganzen infizierten cab-Dateien verdächtig, aber das ist pure Vermutung. Was seht ihr?

Sonstiges: IE nehme fast nie (sondern Opera), XP habe ich nicht (siehe Logfile) und gehe nur mit Modem online. Passwörter will ich erst ändern, wenn das "Biest" wirklich runter ist.

Habe ich alles richtig gemacht? Sollte ich noch was machen? Wie sieht's mit möglichen Registry-Einträgen aus? (Nutze gelegentlich völlig veraltetes RegClean 4.1a, hilft das?)

Vielen Dank für Eure Mühen!

destiny.le

PS: Habe gerade den Thread zum Selbstauswerten der Hijackthis-Logfile gefunden und entsprechend probiert. Mir kommt allerdings merkwürdig vor, dass "O4 - HKLM\..\Run: [Zone Labs Client] "D:\Tools\ZoneAlarm-Firewall\zlclient.exe" gefixt werden soll, schließlich ist dies der Zonelabs-Client... Also richtig sicher bin ich mir anhand der Auswertung nicht, deshalb nochmal die Bitte, über die Logfile zu schauen... DANKE!
Dieser Beitrag wurde am 26.10.2004 um 15:01 Uhr von destiny.le editiert.
Seitenanfang Seitenende
26.10.2004, 16:11
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#57 Hallo@destiny.le

Fixe:
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {11111111-1111-1111-1111-111111113456} - file://c:\info6_s.cab

neustarten

Loesche:
c:\info6_s.cab

Dann aktualisiere den IE, auch wenn du nicht mit ihm surfst.
#Internet Explorer 6 Service Pack 1
http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=1E1550CB-5E5D-48F5-B02B-20B602228DE6

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 26.10.2004 um 16:12 Uhr von Sabina editiert.
Seitenanfang Seitenende
26.10.2004, 17:16
...neu hier

Beiträge: 2
#58 ... auch Dank von mir an Dich, Sabina!

destiny
Seitenanfang Seitenende
26.10.2004, 19:04
Member

Beiträge: 21
#59 hey leute,
ich hab mir auch son dummes teil eingefangen und würde den gerne schnell wieder los werden, weil bei mir ständig das inet abkackt...

ich hab mit hijackthis gescannt un weiß aber net was ich jetz tun soll...

kann mir bitte jemand helfen ?!? hier meine log datei...

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Executive Software\Diskeeper\DkService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\ctfnom.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\MSI\Live Update 3\LMonitor.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\System32\svchost32.exe
C:\Program Files\Win Comm\WinComm.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\SAGEM\SAGEM F@st840\DSLMON.exe
C:\Programme\Mousometer\mousometer.exe
C:\Programme\Warcraft III\war3.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.couldnotfind.com/search_page.html?&account_id=152555
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.couldnotfind.com/search_page.html?&account_id=152555
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.slotch.com/?&account_id=152555
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_page.html?&account_id=152555
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.chip.de/
R3 - URLSearchHook: IncrediFindBHO Class - {0199DF25-9820-4bd5-9FEE-5A765AB4371E} - C:\PROGRA~1\INCRED~1\BHO\INCFIN~1.DLL
O2 - BHO: NavErrRedir Class - {0199DF25-9820-4bd5-9FEE-5A765AB4371E} - C:\PROGRA~1\INCRED~1\BHO\INCFIN~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\Programme\ISTbar\istbar.dll (file missing)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [LiveMonitor] C:\Programme\MSI\Live Update 3\LMonitor.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [CRC Value Verifier] svchost32.exe
O4 - HKLM\..\Run: [Win Comm] C:\Program Files\Win Comm\WinComm.exe
O4 - HKLM\..\Run: [Win Updator Services] ctfnom.exe
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SearchUpgrader] C:\Programme\Common files\SearchUpgrader\SearchUpgrader.exe
O4 - HKLM\..\Run: [sais] c:\programme\180solutions\sais.exe
O4 - HKLM\..\Run: [Power Scan] C:\Programme\Power Scan\powerscan.exe
O4 - HKLM\..\Run: [Win32 USB2 Driver] rofl.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [TrojanScanner] C:\Programme\Trojan Remover\Trjscan.exe
O4 - HKLM\..\RunServices: [Win32 USB2 Driver] rofl.exe
O4 - HKLM\..\RunServices: [CRC Value Verifier] svchost32.exe
O4 - HKLM\..\RunServices: [Win Updator Services] ctfnom.exe
O4 - HKLM\..\RunOnce: [Win Updator Services] ctfnom.exe
O4 - HKCU\..\Run: [Win Updator Services] ctfnom.exe
O4 - HKCU\..\Run: [Win32 USB2 Driver] rofl.exe
O4 - HKCU\..\RunOnce: [Win Updator Services] ctfnom.exe
O4 - Startup: Mousometer.lnk = C:\Programme\Mousometer\mousometer.exe
O4 - Global Startup: DSLMON.lnk = C:\Programme\SAGEM\SAGEM F@st840\DSLMON.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll (file missing)
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8C5DD750-D426-466A-9A33-052166E90906}: NameServer = 217.237.150.33,194.25.2.129
O17 - HKLM\System\CCS\Services\Tcpip\..\{CCD7F439-7244-46E0-95E1-230F78A12805}: NameServer = 62.27.27.62 62.27.53.66

danke schonmal an alle die mir helfen können
Seitenanfang Seitenende
26.10.2004, 19:13
Moderator

Beiträge: 7805
#60 Dein Rechner ist ziemlich verseucht. Du solltest dir das hier mal durchlesen. Je nachdem was du moechtest das erste oder zweite Posting, bzw ein mix aus beidem. Danach solltest du noch ein Komplettes Log posten.

http://www.rokop-security.de/board/index.php?showtopic=3867

BZW werte dein Log mal hier aus:
www.hijackthis.de und fixe alles, was als "boese" identifiziert wird,
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: