Tr/drop.delf.dj.4\djtopr1150.exe\\[Start Upping] qtask.exe |
||
---|---|---|
#0
| ||
09.10.2004, 17:12
...neu hier
Beiträge: 2 |
||
|
||
09.10.2004, 20:40
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo @Desiree
Fixe: ?? R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\ger.htm ?? O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe" O4 - HKLM\..\Run: [msbb] c:\temp\msbb.exe O4 - HKLM\..\RunOnce: [djtopr1150.exe] "C:\DOKUME~1\DSI~1\LOKALE~1\Temp\djtopr1150.exe" O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=77443ac5da96f89e5d08ba4608f7c4c53bb5cc26920dae43dbde433474f5523575911e061c10952786793d88cfdd992ec73e7e9dad171af0cc174c:5e6ae3f8fe977347df35a291e5ba0160 ???? O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\ger.htm ???? Neustarten #LSPfix.exe http://www10.brinkster.com/expl0iter/freeatlast/L2M/ts.htm bringe die newdotnet5_48.dll von der linken auf die rechte Seite und loesche die dll. (Falls sie vorhanden ist <gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml Deinstalliere: <C:\PROGRA~1\NEWDOT~1\NEWDOT <C:\Programme\Web_Rebates\WebRebates0.exe" <C:\Programme\Web_Rebates\WebRebates1.exe <C:\Program Files\Windows SyncroAd\SyncroAd.exe <C:\Program Files\Windows SyncroAd\WinSync.exe #Datentraegerbereinigung: und Loeschen der Temporary-Dateien Disk Cleanup Wizard 1. Start<Ausfuehren<cleanmgr 2. Click Temporary Internet Files, O.K #Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK" Loesche: <C:\Programme\Web_Rebates\WebRebates0.exe" <C:\Programme\Web_Rebates\WebRebates1.exe <C:\Program Files\Windows SyncroAd\SyncroAd.exe <C:\Program Files\Windows SyncroAd\WinSync.exe <c:\temp\msbb.exe <C:\DOKUME~1\DSI~1\LOKALE~1\Temp\djtopr1150.exe" <localNrd.cab=>enthaelt polall1l.exe (unter WinRar suchen, denn es ist eine gepackte Datei) [Trj/Downloader.GK] <Polall1.exe #Leere die Odner (nicht die Ordner selbst loeschen: C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temp\*.* C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\*.* C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\*.* besonders diese hier: C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\THI12B65.tmp C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temp\THI389A.tmp\localNrd.cab[polall1l.exe] C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temp\THI389A.tmp\polall1l.exe C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temp\THI3DCB.tmp\localNrd.cab[polall1l.exe] C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temp\THI3DCB.tmp\polall1l.exe #Normal neustarten #Search&Destroy http://www.safer-networking.org/de/download/index.html #Onlinescann" eTrust Antivirus"(nur mit IE moeglich) http://www3.ca.com/securityadvisor/virusinfo/scan.aspx #Online-Scann <f-secure< http://support.f-secure.com/enu/home/ols.shtml Dann poste das neue Log noch mal. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 09.10.2004 um 21:50 Uhr von Sabina editiert.
|
|
|
||
09.10.2004, 22:10
...neu hier
Themenstarter Beiträge: 2 |
#3
danke für die tipps, sorry das ich doppelt gepostet hab. wollt nur was hinzufügen.
|
|
|
||
21.10.2004, 05:05
...neu hier
Beiträge: 5 |
#4
hallo,
sorry falls ich nerve aber ich habe das selbe Problem und da ich mich nicht damit auskenne frag ich mich ob die problembehebung bei jedem logfile anders ist daher geb ich mal hier mein logfile ein und hoffe auf hilfe von eurer seite bei meiner behebung des trojaners....... ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Logfile of HijackThis v1.98.2 Scan saved at 04:43:26, on 21.10.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\Explorer.EXE C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\wuauclt.exe C:\WINDOWS\System32\wmplayer612.exe C:\Program Files\Win Comm\WinComm.exe C:\Program Files\Win Comm\WinLock.exe C:\Programme\Web_Rebates\WebRebates1.exe C:\Programme\Web_Rebates\WebRebates0.exe C:\Dokumente und Einstellungen\Juri\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/ O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINDOWS\EliteToolBar\EliteToolBar version 53.dll O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINDOWS\EliteToolBar\EliteToolBar version 53.dll O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe O4 - HKLM\..\Run: [Windows Media Player 6.1.2] wmplayer612.exe O4 - HKLM\..\Run: [Start Upping] qtask.exe O4 - HKLM\..\Run: [Win Comm] C:\Program Files\Win Comm\WinComm.exe O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe" O4 - HKLM\..\RunServices: [Windows Media Player 6.1.2] wmplayer612.exe O4 - HKLM\..\RunServices: [Start Upping] qtask.exe O4 - HKLM\..\RunOnce: [djtopr1150.exe] "C:\DOKUME~1\Juri\LOKALE~1\Temp\djtopr1150.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Windows Media Player 6.1.2] wmplayer612.exe O4 - HKCU\..\Run: [Start Upping] qtask.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=3669f00b266159f91d5a5e5f7d6c7fe45a212eca0eb53d155f7f2d75349fd95cf44b264f2c38b3fa227dc8071b2b0dfdd561eaa0398dd574e24fccdf5dd61755:e71668d3bfa7fc19043f7497194f6505 O17 - HKLM\System\CCS\Services\Tcpip\..\{1460C76E-FA91-42BC-B7FB-C8779880A5B8}: NameServer = 192.168.122.252,192.168.122.253 ein großes dankeschön im voraus für die mühe mfG Cheers |
|
|
||
21.10.2004, 10:39
Ehrenmitglied
Beiträge: 29434 |
#5
Hallo@Cheers
Registry sichern http://www.chip.de/artikel/c_artikelunterseite_8817258.html?tid1=&tid2= Gehe in die Registry Start<Ausfuehren<regedit gib oben links in die Suchfunktion der Registry ein: (und loesche dann rechts in der Registry alles, was du findest) <SyncroAd <Syncro <wmplayer612 <qtask <WebRebates <WinComm <djtopr1150 loesche auch folgende Eintraege (rechts) "Start Upping"="qtask.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run". "Start Upping"="qtask.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices". "Start Upping"="qtask.exe" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Run". ****************************************************** "HKLM\System\CurrentControlSet\Control\Lsa <"restrictanonymous"="" in key " HKLM\System\CurrentControlSet\Control\Lsa" --aendere den Wert in "0 " <"restrictanonymoussam"="" in key " HKLM\System\CurrentControlSet\Control\Lsa" --aendere den Wert in "1 " Die Einstellung HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous = "1" lässt keine Aufzählrung von SAM-Konten und -Namen zu. Der Standardwert ist "0". Er kann über die Lokale Sicherheitsrichtlinie geändert werden. Lesen Sie dazu Microsoft Artikel 246261. <HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM = "N"--in "Y" aendern Fixe mit dem HijackThis, dann PC neustarten O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINDOWS\EliteToolBar\EliteToolBar version 53.dll O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINDOWS\EliteToolBar\EliteToolBar version 53.dll O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe O4 - HKLM\..\Run: [Windows Media Player 6.1.2] wmplayer612.exe O4 - HKLM\..\Run: [Start Upping] qtask.exe O4 - HKLM\..\Run: [Win Comm] C:\Program Files\Win Comm\WinComm.exe O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe" O4 - HKLM\..\RunServices: [Windows Media Player 6.1.2] wmplayer612.exe O4 - HKLM\..\RunServices: [Start Upping] qtask.exe O4 - HKLM\..\RunOnce: [djtopr1150.exe] "C:\DOKUME~1\Juri\LOKALE~1\Temp\djtopr1150.exe" O4 - HKCU\..\Run: [Windows Media Player 6.1.2] wmplayer612.exe O4 - HKCU\..\Run: [Start Upping] qtask.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=3669f00b266159f91d5a5e5f7d6c7fe45a212eca0eb53d155f7f2d75349fd95cf44b264f2c neustarten un im abgesicherten Modus als Administrator anmelden (waehle den abges. Modus mit Internetverbindung) #Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK" #Suchfunktion von Windows: 1. "Bevorzugte Einstellungen ändern | Datei- und Ordnersuchverhalten ändern | Erweitert [...] Empfohlen für fortgeschrittene Benutzer" 2. Über "OK" auf "Weitere Optionen" gehen und die folgenden Optionen auswählen: [x] Systemordner durchsuchen [x] Versteckte Elemente durchsuchen [x] Unterordner durchsuchen #Loesche manuell: <C:\WINDOWS\EliteToolBar\EliteToolBar version 53.dll <C:\Programme\Web_Rebates\WebRebates1.exe <C:\Programme\Web_Rebates\WebRebates0.exe <C:\Program Files\Windows SyncroAd\SyncroAd.exe <C:\WINDOWS\System32\wmplayer612.exe <C:\Program Files\Win Comm\WinComm.exe <C:\Program Files\Win Comm\WinLock.exe <C:\WINDOWS\SYSTEM\qtask.exe. <mutex <<<"football" Start<Ausfuehren< (reinkopieren) %temp% <C:\DOKUME~1\Juri\LOKALE~1\Temp\djtopr1150.exe loeschen (!) Datentraegerbereinigung: und Loeschen der Temporary-Dateien 1. Start<Ausfuehren<cleanmgr #Click Temporary Internet Files, O.K #Temporary Files Deinstalliere fuer 15 Tage den Antivirus und lade: #Testversion "Antivirus Personal 5.0" http://www.kaspersky.com/trials #Deaktiviere die Wiederherstellung und poste das Log vom HijackThis nochmal. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 21.10.2004 um 15:33 Uhr von Sabina editiert.
|
|
|
||
21.10.2004, 14:13
...neu hier
Beiträge: 5 |
#6
hi,
ich weiß net ob ich es hinbekommen habe aber mal schaun....... Logfile of HijackThis v1.98.2 Scan saved at 14:11:11, on 21.10.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\qtask.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\wuauclt.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\Opera\opera.exe C:\Dokumente und Einstellungen\Juri\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/ O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [Start Upping] qtask.exe O4 - HKLM\..\RunServices: [Start Upping] qtask.exe O4 - HKCU\..\Run: [Start Upping] qtask.exe O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{1460C76E-FA91-42BC-B7FB-C8779880A5B8}: NameServer = 192.168.122.252,192.168.122.253 O17 - HKLM\System\CCS\Services\Tcpip\..\{182BDA33-87B9-4C00-86B7-31CF41A645FF}: NameServer = 62.27.27.62 62.27.53.66 alles richtig? weil manchmal gab es die sachen nicht die ich löschen sollte und die datei C:\DOKUME~1\Juri\LOKALE~1\Temp\djtopr1150.exe konnte ich auch nicht löschen da ich sie nciht mal gefunden habe........ bin ich damit jetzt fertig? danke im voraus für die antworten...... mfG Cheers |
|
|
||
21.10.2004, 15:28
Ehrenmitglied
Beiträge: 29434 |
#7
Hallo@Cheers
Du hast den Backdoor noch drauf Gehe in die Registry loesche folgende Eintraege (rechts) "Start Upping"="qtask.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run". "Start Upping"="qtask.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices". "Start Upping"="qtask.exe" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Run". "HKLM\System\CurrentControlSet\Control\Lsa <"restrictanonymous"="" in key " HKLM\System\CurrentControlSet\Control\Lsa" --aendere den Wert in "0 " <"restrictanonymoussam"="" in key " HKLM\System\CurrentControlSet\Control\Lsa" --aendere den Wert in "1 " <HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM = "N"--in "Y" aendern Fixe mit dem HijackThis: O4 - HKLM\..\Run: [Start Upping] qtask.exe O4 - HKLM\..\RunServices: [Start Upping] qtask.exe O4 - HKCU\..\Run: [Start Upping] qtask.exe neustarten Suche und loesche: C:\WINDOWS\System32\qtask.exe Lade Antivirus #Antivirus (free) http://www.free-av.de/ konfiguriere: alle Dateien< und Heuristik: mittel und mache einen Komplettscenn. Dann deaktiviere die Wiederherstellung und poste das Log noch mal. mfg Sabina ```` http://sandbox.norman.no/live_2.html?logfile=4810 __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 27.10.2004 um 10:39 Uhr von Sabina editiert.
|
|
|
||
21.10.2004, 16:58
...neu hier
Beiträge: 5 |
#8
Logfile of HijackThis v1.98.2
Scan saved at 16:57:11, on 21.10.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\nvsvc32.exe C:\Dokumente und Einstellungen\Juri\Desktop\HijackThis.exe C:\WINDOWS\System32\wuauclt.exe C:\WINDOWS\System32\wuauclt.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/ O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{1460C76E-FA91-42BC-B7FB-C8779880A5B8}: NameServer = 192.168.122.252,192.168.122.253 bin ich nun fertisch? daaaaaaaankeschön sabine p.s.: davor hast du mir gesagt ich soll mir kaspersky holn und jetzt soll ich mir doch antivir holn, was soll ich denn nun holen? hab z.Z. kaspersky. Dieser Beitrag wurde am 21.10.2004 um 17:01 Uhr von Cheers editiert.
|
|
|
||
22.10.2004, 12:59
Ehrenmitglied
Beiträge: 29434 |
#9
Hallo @Cheers
Das mit dem Kaspersky, das geht schon in Ordnung...ich habe nur den Antivirus empfohlen, weil der Kaspersky den Virus augenscheinlich nicht erkannt\geloescht hat. Nun hast du es manuell erledigt...Glueckwunsch ! Das Log ist sauber Vergiss nicht, die Wiederherstellung zu deaktivieren, dann boote und aktiviere sie wieder.. http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 In 15 Tagen, wenn der Kaspersky (Trial) ablaueft, laedst du den Antivirus . Der ist free. #Alternativbrowser zum IE Firefox http://www.mozilla.org/products/firefox/download.html?http%3A//ftp.mozilla.org/pub/mozilla.org/firefox/releases/0.10/Firefox%20Setup%201.0PR.exe Sygate free installieren <Sygate (Deutsch)Firewall http://www.sygate.de/ Danach www.windowsupdate.com besuchen und alle Updates installieren Falls der Sygate installiert ist, ihn solange freischalten, weil sonst die Updates nicht funktionieren) <PC-Selbsttest http://check.lfd.niedersachsen.de/start.php mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 27.10.2004 um 10:40 Uhr von Sabina editiert.
|
|
|
||
26.10.2004, 18:49
...neu hier
Beiträge: 5 |
#10
danke sabine!!!!!!!!!!!!
|
|
|
||
Hab schonmal ein Eintrag drin, aber hab mein Problem schon geschildert und jetzt noch was dazugehängt.
Habs nochmal gemacht, da stehen noch ein paar mehr drin als das vorige z.B. Web Rebates??????
Logfile of HijackThis v1.98.2
Scan saved at 17:06:10, on 09.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Program Files\Windows SyncroAd\SyncroAd.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
c:\temp\msbb.exe
C:\Programme\Web_Rebates\WebRebates1.exe
C:\Programme\Web_Rebates\WebRebates0.exe
C:\Programme\Anti-Trojan-55\Anti-Trojan.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Dési\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\ger.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [hp Update 2100C] c:\sj644\hpupdate.exe
O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [SpyHunter] C:\Programme\Enigma Software Group\SpyHunter\SpyHunter.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AT-Watch] C:\Programme\Anti-Trojan-55\ATWatch.exe
O4 - HKLM\..\Run: [Anti-Trojan-Watch] C:\Programme\Anti-Trojan-55\ATWatch.exe
O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe"
O4 - HKLM\..\Run: [msbb] c:\temp\msbb.exe
O4 - HKLM\..\RunOnce: [djtopr1150.exe] "C:\DOKUME~1\DSI~1\LOKALE~1\Temp\djtopr1150.exe"
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\ger.htm
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=77443ac5da96f89e5d08ba4608f7c4c53bb5cc26920dae43dbde433474f5523575911e061c10952786793d88cfdd992ec73e7e9dad171af0cc174c:5e6ae3f8fe977347df35a291e5ba0160
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-9.cab
O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/suite/autocomplete.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab