Home » Spyware & Browser Hijacker Support Forum » werde immer auf "http://t.swapx.cc/h.php?aid=20009" geleitet » Themenansicht
werde immer auf "http://t.swapx.cc/h.php?aid=20009" geleitet |
||
|---|---|---|
| #0
| ||
|
08.12.2004, 20:58
Ehrenmitglied
 Beiträge: 29434 |
||
 
|
|
|
|
09.12.2004, 00:21
...neu hier
Beiträge: 2 |
#152
Vielen dank, ich werde das die nächsten Tage mal versuchen. Ich melde mich dann nochmal.
MfG Blackcobraxx |
|
|
|
|
|
|
10.12.2004, 15:29
Member
Beiträge: 20 |
#153
Hallo Sabina,
habe das hier gar nicht drin stehen: # 102.54.94.97 rhino.acme.com # Quellserver # 38.25.63.10 x.acme.com # x-Clienthost 127.0.0.1 localhost ??? Gruss Kappo |
|
|
|
|
|
|
11.12.2004, 00:41
Ehrenmitglied
Beiträge: 29434 |
#154
Hallo@Kappo
was steht denn drin ??? Poste das neue Log vom HijackThis, bitte. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
11.12.2004, 14:15
Member
Beiträge: 20 |
#155
Hallo Sabina,
da steht nur: 127.0.0.1 localhost Und hier das Ergebnis vom Scan: Logfile of HijackThis v1.98.2 Scan saved at 14:13:57, on 11.12.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE C:\Programme\Norton AntiVirus\SAVScan.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Winamp\Winampa.exe C:\Dokumente und Einstellungen\MAX\Anwendungsdaten\boat.exe C:\WINDOWS\System32\NDrv.exe C:\Programme\eMule\emule.exe C:\WINDOWS\explorer.exe C:\Programme\Yahoo!\Messenger\YPager.exe C:\PROGRA~1\Netscape\Netscape\Netscp.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\MAX\Eigene Dateien\Anwendungen (exe)\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://win-eto.com/sp.htm?id=9 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://win-eto.com/sp.htm?id=9 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/hp.htm?id=9 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=9 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/hp.htm?id=9 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.stolenfilenetwork.com R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://win-eto.com/sp.htm?id=9 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://win-eto.com/hp.htm?id=9 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\system32\FXME8N~1.DLL O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: Yahoo! Assistent - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp5_3_18_0.dll O3 - Toolbar: duden.de Toolbar - {92F02779-6D88-4958-8AD3-83C12D86ADC7} - C:\Programme\Duden-Suche Toolbar\toolbar.dll O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [ScanRegistry] C:\W O4 - HKLM\..\Run: [xor] C:\WINDOWS\System32\x0r\svshost.exe O4 - HKLM\..\Run: [Control handler] C:\WINDOWS\system32\60bfx8evwnmnk5thd.exe O4 - HKLM\..\Run: [sais] c:\programme\180solutions\sais.exe O4 - HKLM\..\Run: [twhiryv] C:\WINDOWS\twhiryv.exe O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck O4 - HKCU\..\Run: [Tsnm] C:\Dokumente und Einstellungen\MAX\Anwendungsdaten\boat.exe O4 - HKCU\..\Run: [NDrv] C:\WINDOWS\System32\NDrv.exe O4 - HKCU\..\Run: [Tsa2] C:\PROGRA~1\COMMON~1\tsa\tsm2.exe O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: &Suche im Duden - res://C:\Programme\Duden-Suche Toolbar\toolbar.dll/SEARCH.HTML O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: duden.de Toolbar - {1AE2F26C-8E23-4930-A68D-9E681A764001} - C:\Programme\Duden-Suche Toolbar\toolbar.dll O9 - Extra 'Tools' menuitem: duden.de Toolbar - {1AE2F26C-8E23-4930-A68D-9E681A764001} - C:\Programme\Duden-Suche Toolbar\toolbar.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: Yahoo! Chess - http://download.games.yahoo.com/games/clients/y/ct2_x.cab O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/pote_x.cab O16 - DPF: Yahoo! Pyramids - http://download.games.yahoo.com/games/clients/y/pyt1_x.cab O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} (Loader2 Control) - http://static.topconverting.com/activex/loader2.ocx O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (Yahoo! Assistent) - http://us.dl1.yimg.com/download.companion.yahoo.com/dl/toolbar/yiebio5_3_18_0.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{F30D6D1C-008C-4981-92C7-6B659FEF1F6C}: NameServer = 192.168.2.1 O20 - AppInit_DLLs: r4cjusphxgm2m9.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll Gruss Kappo |
|
|
|
|
|
|
11.12.2004, 15:40
Ehrenmitglied
Beiträge: 29434 |
#156
Hallo@kappo
Sag mal, erlaubst du dir einen Spass mit mir ?????????Ich habe dir auf der vorangegangenen Seite einen ellenlangen Thread geschrieben, mit allem, was du abarbeiten sollst und nun postest du mir das gleiche verseuchte Log wie vorher . Formatiere den PC neu...mit Puritan und Krepper und und und ....lohnt sich eine Reinigung nicht , da unmoeglich. Zitat Sabina postete __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 11.12.2004 um 15:41 Uhr von Sabina editiert.
|
|
|
|
|
|
|
12.12.2004, 10:32
...neu hier
Beiträge: 1 |
#157
Hallo kann mir jemand bei dem -swapx- Ding helfen
Hier ist mein log. /////////////////////////////////////////////////////////////////////////////////////// Logfile of HijackThis v1.98.2 Scan saved at 10:29:58 AM, on 12/12/2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\GEARSec.exe C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe C:\Program Files\Norton SystemWorks\Norton Ghost\Agent\PQV2iSvc.exe C:\WINDOWS\Mixer.exe C:\Program Files\Common Files\Symantec Shared\ccApp.exe C:\Program Files\Norton SystemWorks\Norton Ghost\Agent\GhostTray.exe C:\Program Files\Messenger Plus! 3\MsgPlus.exe C:\Program Files\D-Tools\daemon.exe C:\WINDOWS\System32\rlmvl3lvg16zpnthd.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\WINDOWS\System32\Winregs32cdn.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Common Files\DataViz\DvzIncMsgr.exe C:\Program Files\ACD Systems\ImageFox\ImageFox.exe C:\Program Files\Folding@Home\winFAH.exe C:\Program Files\palmOne\HOTSYNC.EXE C:\Program Files\Messenger\msmsgs.exe C:\Program Files\Norton SystemWorks\Norton AntiVirus\IWP\NPFMntor.exe C:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE C:\WINDOWS\System32\nvsvc32.exe C:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe C:\Program Files\Folding@Home\FahCore_78.exe C:\Documents and Settings\game\Desktop\Revanche.exe C:\WINDOWS\explorer.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\Program Files\Windows Media Player\wmplayer.exe C:\DOCUME~1\game\LOCALS~1\Temp\Rar$EX12.616\HijackThis.exe C:\Program Files\Internet Explorer\iexplore.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://win-eto.com/sp.htm?id=31130123321001 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://win-eto.com/sp.htm?id=31130123321001 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/hp.htm?id=31130123321001 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=31130123321001 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/hp.htm?id=31130123321001 O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\CDRHIG~1.DLL O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [Norton Ghost 9.0] C:\Program Files\Norton SystemWorks\Norton Ghost\Agent\GhostTray.exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [Registry Checkup System32cd Monitor] Winregs32cdn.exe O4 - HKLM\..\Run: [msnmsg] C:\TBC.exe O4 - HKLM\..\Run: [Control handler] C:\WINDOWS\System32\rlmvl3lvg16zpnthd.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\RunServices: [Registry Checkup System32cd Monitor] Winregs32cdn.exe O4 - HKCU\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" /WinStart O4 - HKCU\..\Run: [Registry Checkup System32cd Monitor] Winregs32cdn.exe O4 - HKCU\..\Run: [Steam] "c:\program files\valve\steam\steam.exe" -silent O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - Startup: Folding@Home 5.03.lnk = ? O4 - Startup: HotSync Manager.lnk = C:\Program Files\palmOne\HOTSYNC.EXE O4 - Startup: PowerReg Scheduler.exe O4 - Global Startup: DataViz Inc Messenger.lnk = C:\Program Files\Common Files\DataViz\DvzIncMsgr.exe O4 - Global Startup: Image Fox Trial Version.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: winlogin.exe O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O16 - DPF: SNET_092005 - https://www.snet.lu/vprod/dusnet2b_v2050.cab O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://greg-tut.com/G7/chm10.chm::/ieloader.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{CD6B5139-7AD7-48EE-89B0-E7F344654798}: NameServer = 195.218.0.8 195.218.0.9 O20 - AppInit_DLLs: kdbe1xf5rr57epll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll. dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll /////////////////////////////////////////////////////////////////////////////////////// Dieser Beitrag wurde am 12.12.2004 um 12:59 Uhr von Sabina editiert.
|
|
|
|
|
|
|
12.12.2004, 12:31
Ehrenmitglied
Beiträge: 29434 |
#158
Hallo@weych
Deaktivieren Wiederherstellung «XP http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 Windows so einstellen, daß alle Dateien angezeigt werden (Systemsteuerung - Ordneroptionen - Ansicht - "Alle Dateien und Ordner anzeigen" aktivieren und "Geschützte Systemdateien ausblenden" deaktivieren). Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fix.reg auf dem Desktop speichern. REGEDIT4 [-HKEY_CLASSES_ROOT\Interface\{0D721150-AEF3-457B-B03A-5097B623CE45}] [-HKEY_CLASSES_ROOT\Plugin6.DNSErrObj] [-HKEY_CLASSES_ROOT\redalert.here] [-HKEY_CLASSES_ROOT\TypeLib\{444A5674-FF85-45D4-9AE2-4199D8D70C85}] LADE:und alles auf dem Desktop (Arbeitsplatz) lassen , ohne zu scannen, das machst du dann erst im abgesicherten Modus (!) #CWShredder 1.59 http://www.chip.de/downloads/c_downloads_11353799.html #AboutBuster--> updaten www.malwarebytes.biz/AboutBuster.zip <"cwsfix.reg" --> nicht öffnen (im abgesicherten Modus dann durch "yes" der Registry beifuegen von hier laden: http://d21c.com/Tom41/?D=A #cwsserviceremove lade:: http://d21c.com/Tom41/cwsserviceremove oder von hier: http://d21c.com/Tom41/?D=A Lade rem.zip entpacke es im verzeichnis C:\WINDOWS\System32\ (es ist wichtig, dass es in diesem verzeichnis ist!) aber ebenfalls noch nicht anwenden Rem.zip http://users.pandora.be/bluepatchy/www/rem.zip #KillBox http://www.bleepingcomputer.com/files/killbox.php #eScan-Trial (deaktiviere vorher deinen Virenscanner) http://www.mwti.net/antivirus/escan/escandl_antivirus.asp (15-Tage- trial-Freeversion) #AdAware (free) http://www.lavasoft.de/support/download/ kopiere in die Killbox: <C:\WINDOWS\System32\rlmvl3lvg16zpnthd.exe <C:\TBC.exe <C:\WINDOWS\System32\Winregs32cdn.exe <C:\Windows\System32\ieloader.dll geh auf Delete File on Reboot und klick auf das rote Kreuz, wenn gefragt wird, ob reboot-> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" Starte den PC neu und <gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://win-eto.com/sp.htm?id=31130123321001 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://win-eto.com/sp.htm?id=31130123321001 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/hp.htm?id=31130123321001 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=31130123321001 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/hp.htm?id=31130123321001 O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\CDRHIG~1.DLL O4 - Global Startup: winlogin.exe O16 - DPF: SNET_092005 - https://www.snet.lu/vprod/dusnet2b_v2050.cab O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://greg-tut.com/G7/chm10.chm::/ieloader.exe O20 - AppInit_DLLs: kdbe1xf5rr57epll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll. dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll Häkchen setzen -->> Button "Fix checked" "cwsfix.reg" --> durch "yes" der Registry beifuegen suche\loesche: mit der Suchfunktion von Windows: <kdbe1xf5rr57epll.dll ----> ueberpruefe den Zeitpunkt der Infektion und suche andere Dateien, die zum gleichen Zeitpunkt erstellt wurden und loesche alles zum Beispiel: C:\windows\system32 -->msdos.exe, mssys.com, p.exe, q.exe, m.exe, n.exe, x.exe, y.exe, q250204.exe, ntldr.exe und dll <C:\WINDOWS\System32\CDRHIG~1.DLL <winlogin.exe -->nicht verwechseln mit Winlogon.exe Datenträgerbereinigung: und Löschen der Temporary-Dateien <Start<Ausfuehren--> reinschreiben : cleanmgr loesche nur: #Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k. #Click:Temporäre Dateien, o.k scanne mit: <CWShredder 1.59 <AboutBuster <cwsserviceremove <AdAware -->"Perform full system scan" <eScan (trial) klicke auf: awn2k3e.exe Die Datei fix.reg auf dem Desktop doppelklicken. gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein 1)fuehre rem.zip aus: Rem.zip http://users.pandora.be/bluepatchy/www/rem.zip 2) entpacke es im verzeichnis C:\WINDOWS\System32\ (es ist wichtig, dass es in diesem verzeichnis ist!) 3) starte den rechner im abgesicherten modus. http://www.tu-berlin.de/www/software/virus/savemode.shtml 4) starte die datei rem.bat, scannen lassen. 5) starte den rechner anschließend im normalen modus. 6) unter C:\ sollte nun eine datei namens log.txt zu finden sein. 7) markiere den inhalt und füge ihn hier ein. erstelle ein aktuelles HijackThis log und poste es mit der log.txt von rem. HijackThis/1.99 BETA Version Download: http://www.merijn.org/files/beta/hijackthis199_beta.zip Gehe wieder in den Normalmodus und poste das Log noch mal. __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 12.12.2004 um 12:59 Uhr von Sabina editiert.
|
|
|
|
|
|
|
12.12.2004, 21:34
Member
Beiträge: 20 |
#159
Hallo Sabina,
im swap.txt steht nix drin und im log.txt steht: "The batch is run from.." C:\Dokumente und Einstellungen\MAX\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6HYN8PYR Hier das Ergebnis vom Scan nach den ganzen Schritten: Logfile of HijackThis v1.98.2 Scan saved at 21:28:28, on 12.12.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\PROGRA~1\eScan\TRAYSSER.EXE C:\Programme\Winamp\Winampa.exe C:\PROGRA~1\eScan\AVPMWrap.EXE C:\PROGRA~1\eScan\avpm.exe C:\PROGRA~1\eScan\MAILDISP.EXE C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE C:\PROGRA~1\eScan\TRAYICOS.EXE C:\PROGRA~1\eScan\MAILSCAN.EXE C:\PROGRA~1\eScan\SPOOLER.EXE C:\Programme\Yahoo!\Messenger\ypager.exe C:\Programme\Netscape\Netscape\Netscp.exe C:\Programme\Norton AntiVirus\SAVScan.exe C:\WINDOWS\System32\svchost.exe C:\PROGRA~1\eScan\kavss.exe C:\PROGRA~1\eScan\AvpM.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe C:\WINDOWS\System32\svchost.exe C:\Dokumente und Einstellungen\MAX\Eigene Dateien\Anwendungen (exe)\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/ O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: Yahoo! Assistent - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp5_3_18_0.dll O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE" O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\eScan\AVPMWrap.EXE O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: &Suche im Duden - res://C:\Programme\Duden-Suche Toolbar\toolbar.dll/SEARCH.HTML O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing O16 - DPF: Yahoo! Chess - http://download.games.yahoo.com/games/clients/y/ct2_x.cab O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/pote_x.cab O16 - DPF: Yahoo! Pyramids - http://download.games.yahoo.com/games/clients/y/pyt1_x.cab O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (Yahoo! Assistent) - http://us.dl1.yimg.com/download.companion.yahoo.com/dl/toolbar/yiebio5_3_18_0.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{F30D6D1C-008C-4981-92C7-6B659FEF1F6C}: NameServer = 192.168.2.1 Ich werde auch nicht mehr auf die berüchtigte Startseite geleitet, aber mein Rechner ist ungewöhnlich langsam geworden, seit ich die ganzen Schritte abgearbeitet habe. Ob off oder online, der hängt ohne Ende und quält sich zu tode, ehe er was anzeigt.... Bis hierhin vielen, vielen Dank Sabina, bist super!! Gruss Kappo |
|
|
|
|
|
|
12.12.2004, 22:02
Ehrenmitglied
Beiträge: 29434 |
#160
Hallo@kappo
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE" O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\eScan\AVPMWrap.EXE O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App neustarten deinstalliere den eSCan (Trial) Glueckwunsch...der Krepper ist besiegt !!!!!!! __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 12.12.2004 um 22:04 Uhr von Sabina editiert.
|
|
|
|
|
|
|
13.12.2004, 06:49
Member
Beiträge: 20 |
#161
Hallo Sabina,
der eScan läßt sich nicht deinstallieren, weil wie schon erwähnt, sich mein Rechner aufhängt!!! (Keine Rückmeldung) Keine Ahnung was los ist. Gruss Kappo |
|
|
|
|
|
|
13.12.2004, 12:23
Ehrenmitglied
Beiträge: 29434 |
#162
Hallo@Kappo
Das Problem ist, dass du den Norton nicht deaktiviert hast und zwei Virenscanner (aktiviert) bringen normalerweise Probleme mit sich ... starte den rechner im abgesicherten modus. http://www.tu-berlin.de/www/software/virus/savemode.shtml und versuche zuerst den eScan zu deinstallieren, wenn das nicht geht.... loesche alles, was mit dem eScan zusammenhaengt. C:\PROGRA~1\eScan Dann berichte __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 13.12.2004 um 12:25 Uhr von Sabina editiert.
|
|
|
|
|
|
|
13.12.2004, 17:00
Member
Beiträge: 20 |
#163
Hallo Sabina, "freu"
und ich sags noch mal: Du bist einfach super! Gute Arbeit, Hut ab! Vielen, vielen Dank Sabina!!! Gruss Kappo |
|
|
|
|
|
|
01.08.2005, 15:15
Ehrenmitglied
Beiträge: 29434 |
#164
Zitat Hallo Sabina, ich wollte dich nur fragen, ob du mir auch noch behilflich sein könntest? Ich habe nämlich das Gleiche Problem wie diese hier alleHallo HijackThis http://virus-protect.org/hjtkurz.html Lade/entpacke HijackThis in einem Ordner -->None of the above, just start the program --> Save--> Savelog -->es öffnet sich der Editor --> oder: Do a system scan and save a logfile --> Save--> Savelog -->es öffnet sich der Editor --> nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
21.01.2007, 02:47
Member
Beiträge: 17 |
#165
Hallo Sabina,
habe mir leider auch den Trojaner Adclicker eingefangen. Norton Internet Security meldet diesen Trojaner auch und schreibt dass er blockiert wurde bzw. der PC sicher sei. Jedoch würde ich den Trojaner sehr gerne wieder von meinem System entfernen. Folge ich der Anleitung von symantec wird der Trojaner jedoch nicht gefunden und kann folglich nicht erstellt werden. Alle anderen Versuche mein System zu säubern haben mir auch nicht geholfen - der Trojaner wird nie erkannt. Ich habe nun herausgefunden dass immer 2 Dateien (eine .dll und ein Cookie) im Ordner C:\Dokumente und Einstellungen\Freddy\Lokale Einstellungen\Temporary Internet Files erstellt werden, wenn der Trojaner versucht sich einzuwählen. Die Dateien heißen folgendermaßen: Cookie -> trest/ .dll -> lo1.dll?i=553&g=foobc91a+0AAC621C205740B690E31C45AF2428198&u=4d7d958ea8ea11dba7fe0015c55d3487&a=66973 Ich bin mir ziemlich sicher, dass der Trojaner in dieser Datei steckt. Denn sobald ich versuche diese Datei zu öffnen versucht der IE eine internet-seite zu öffnen. Diese wird jedoch von Norton verhindert und die Warnmeldung bzgl. des Trojaners ausgegeben. Lösche ich diese Datei wird sie jedoch nach einiger Zeit neu erstellt! Welches Programm / Eintrag registry / Befehl ist für den Aufruf bzw. die Erstellung dieser .dll zuständig? Würde ich diese entfernen wäre ich mein Problem doch los... Könntest Du mir bitte weiterhelfen? Wenn nicht muss ich wohl mein Systen komplett neu installieren... Vielen Dank, Freddy |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten
R3 - URLSearchHook: PerfectNavBHO Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
O2 - BHO: PerfectNavBHO Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [SearchUpgrader] C:\Programme\Common files\SearchUpgrader\SearchUpgrader.exe
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [FX] C:\WINDOWS\Downloaded Program Files\ieloader.exe
O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe"
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
PC neustarten
<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml
Loesche :
<C:\Programme\Gemeinsame Dateien\GMT\
<C:\Programme\Common files\SearchUpgrader\
<C:\Programme\Gemeinsame Dateien\CMEII\
<C:\Programme\MSN Apps\
<C:\Programme\MyWay\myBar\
1.) öffne das HijackThis:
2.) HijackThis starten, den Config Button klicken - MiscTools - "Delete a file on reboot" .
3.) In dem Fenster bei Dateiname einfügen\reinkopieren:
C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
4.) wenn dann die Frage kommt, ob neugestartet werden soll (will be deleted by Windows when the system restarts....Do you want to restart your computer now?" )-->>klicke "No"
5.)und füge das Nächste ein.
C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
Erst beim letzten klickst du "Yes" und startest den PC neu.
------------------------------------------------------------------------------
Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k
gehe wieder in den Normalmodus und arbeite das ab:
#eScan-Erkennungstool
http://www.rokop-security.de/board/index.php?showtopic=3867
#AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
waehrend des Scanvorganges müssen ALLE sonstige
Anwendungen beendet werden und alle Browserfenster müssen
geschlossen sein!
__________
MfG Sabina
rund um die PC-Sicherheit