funnywebsearch\blah service = "MSNMSGRR.EXE[WORM_RBOT.PZ] |
||
---|---|---|
#0
| ||
14.10.2004, 12:09
...neu hier
Beiträge: 6 |
||
|
||
14.10.2004, 15:16
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo @FeierfoxX
Oeffne das HijackThis, hake an, was ich schreibe und <fix<, dann den PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\kndpf.dll/sp.html#29126 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\kndpf.dll/sp.html#29126 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\kndpf.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\kndpf.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\kndpf.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\kndpf.dll/sp.html#29126 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\kndpf.dll/sp.html#29126 O2 - BHO: (no name) - {BEB3DE2F-ABB6-49E3-ADD2-AAD9AEF30853} - C:\WINNT\system32\sdkfj32.dll vorher im Taskmanager den Prozess beenden (!) O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe O4 - HKLM\..\Run: [javacs32.exe] C:\WINNT\system32\javacs32.exe O4 - HKLM\..\RunOnce: [iptt.exe] C:\WINNT\system32\iptt.exe neustarten Gehe in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt melde dich als Administrator an. #oeffne noch mal das HijackThis. HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:C:\WINNT\system32\sdkfj32.dll <PC neustarten (immer wieder in den abgesicherten Modus gehen) HijackThis<Config<Misc Tools<Delete a file on reboot< C:\WINNT\system32\javacs32.exe <PC neustarten HijackThis<Config<Misc Tools<Delete a file on reboot< C:\WINNT\system32\iptt.exe <PC neustarten Gehe in die Registry Start<Ausfuehren<regedit: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\Windows SyncroAd (loesche rechts in der Registry diesen Eintrag) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Windows SyncroAd" = "<filepath to SyncroAd.exe>" (loesche rechts in der Registry diesen Eintrag) Deinstalliere: <Windows SyncroAd Loesche: <C:\Program Files\Windows SyncroAd\SyncroAd.exe C:\WINNT\system32\ide21201.vxd #Datentraegerbereinigung: und Loeschen der Temporary-Dateien Disk Cleanup Wizard 1. Start<Ausfuehren<cleanmgr 2. Click Temporary Internet Files, O.K # AboutBuster www.malwarebytes.biz/AboutBuster.zip Alle Dateien in einen Ordner entpacken, die Readme Datei lesen, dann das Programm ausführen (evtl auch im abgesicherten Modus) #AdAware (free) http://www.lavasoft.de/support/download/ VOR jedem Scanvorgang das Programm Updaten! WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!. Files, die Adaware findet, können bedenkenlos gelöscht werden. #Deaktiviere den Symantec und lade Antivirus (free)..scanne alle Festplatten (stelle ein: <alle Dateien< http://www.free-av.de/ _________________________________________________________________________ #Um die Diensteverwaltung explizit aufzurufen, geben Sie ein unter Start > Ausführen den Befehl services.msc Die REGSVC.EXE (Remote Registry Service) ist ein Systemprozess. Mit dieser kann man von einem anderen Rechner auf die Registry zugreifen und sie bearbeiten. Wer diesen Dienst nicht nutzt (was wohl für die Meisten zutrifft) kann ihn deaktivieren....Sicherheitsrisiko !!!!!! #Nachrichtendienst Starttyp-Empfehlung: DEAKTIVIERT "Überträgt NET SEND- und Warndienstnachrichten zwischen Clients und Servern. (wird auch von Spyware-Software "gekapert #Windows-Dienste abschalten"! http://www.dingens.org/ http://www.ntsvcfg.de/kss_xp/kss_xp.html#smb #Internet Explorer 6 Service Pack 1 http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=1E1550CB-5E5D-48F5-B02B-20B602228DE6 Dann poste das Log noch mal. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 14.10.2004 um 15:26 Uhr von Sabina editiert.
|
|
|
||
19.10.2004, 08:34
...neu hier
Themenstarter Beiträge: 6 |
#3
also im moment läuft alles soweit ganz gut hier nochmal das log:
Logfile of HijackThis v1.97.7 Scan saved at 08:28:10, on 19.10.2004 Platform: Windows 2000 SP3 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINNT\system32\spoolsv.exe C:\Programme\Symantec AntiVirus\DefWatch.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\regsvc.exe C:\Programme\Symantec AntiVirus\SavRoam.exe C:\WINNT\system32\MSTask.exe C:\Programme\Symantec AntiVirus\Rtvscan.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\msnmsgrr.exe C:\Dokumente und Einstellungen\User13\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [blah service] msnmsgrr.exe O4 - HKLM\..\RunServices: [blah service] msnmsgrr.exe O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{FAA47F52-9ECF-44E6-A18C-1A680B7D2C29}: NameServer = 212.185.251.136,145.253.2.196 |
|
|
||
19.10.2004, 10:32
Ehrenmitglied
Beiträge: 29434 |
#4
Hallo@FeierfoxX
WORM_RBOT.PZ Gehe in die Registry Start<Ausfuehren <regedit # HKEY_LOCAL_MACHINE>Software>Microsoft> Windows>CurrentVersion>Run loesche rechts: blah service = "MSNMSGRR.EXE" #HKEY_LOCAL_MACHINE>Software>Microsoft> Windows>CurrentVersion>RunServices loesche rechts: blah service = "MSNMSGRR.EXE" #HKEY_CURRENT_USER>Software>Microsoft>OLE loesche rechts: blah service = "MSNMSGRR.EXE" schliesse die registry #Beende im Taskmanager [blah service] msnmsgrr.exe fixe es mit dem hijackThis O4 - HKLM\..\Run: [blah service] msnmsgrr.exe O4 - HKLM\..\RunServices: [blah service] msnmsgrr.exe ,starte neu und <gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml Dort suche und loesche C:\WINNT\system32\msnmsgrr.exe Dann ,mache aus dem abgesicherten Modus heraus folgende Onlinescanns (immer darauf achten, dass der Wuirm nicht im Taskmanager aktiv ist #Onlinescann" eTrust Antivirus"(nur mit IE moeglich) #Trend-Micro (Online) http://de.trendmicro-europe.com/enterprise/products/housecall_pre.php http://www.my-etrust.com/products/pestscan/pestscan.cfm?WebRefferalAffiliate=pscanca%20 #McAfee FreeScan (Online) www.mcafee.com/myapps/mfs/default.asp Dann mache unbedingt die WindowsUpdates * Microsoft Security Bulletin MS04-011 * Microsoft Security Bulletin MS03-026 * Microsoft Security Bulletin MS03-001 * Microsoft Security Bulletin MS03-007 und aktualisiere den IE #Internet Explorer 6 Service Pack 1 http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=1E1550CB-5E5D-48F5-B02B-20B602228DE6 #Um die Diensteverwaltung explizit aufzurufen, geben Sie ein unter Start > Ausführen den Befehl services.msc Die REGSVC.EXE (Remote Registry Service) ist ein Systemprozess. Mit dieser kann man von einem anderen Rechner auf die Registry zugreifen und sie bearbeiten. Wer diesen Dienst nicht nutzt (was wohl für die Meisten zutrifft) kann ihn deaktivieren....Sicherheitsrisiko !!!!!! <Zone Labs ZoneAlarm von Zone Labs ist in der Grundversion kostenlos und besonders für Einsteiger geeignet. http://www.zonelabs.de/download/znalm.html <Zone Alarm Deutsche Bedienungsanleitung Kleines Manual auf trojaner-info.de, auch zum Download. http://www.trojaner-info.de/zone/zonealarm.html mfg Sabina http://uk.trendmicro-europe.com/enterprise/security_info/ve_detail.php?VName=WORM_RBOT.PZ __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 19.10.2004 um 10:40 Uhr von Sabina editiert.
|
|
|
||
19.10.2004, 11:56
...neu hier
Themenstarter Beiträge: 6 |
#5
da ich langsam am verzweifeln bin hier nochmal das log vom besagtem rechner:
Logfile of HijackThis v1.97.7 Scan saved at 11:52:11, on 19.10.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINNT\system32\spoolsv.exe C:\Programme\Symantec AntiVirus\DefWatch.exe C:\WINNT\System32\svchost.exe C:\Programme\Symantec AntiVirus\SavRoam.exe C:\WINNT\system32\MSTask.exe C:\Programme\Symantec AntiVirus\Rtvscan.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\explorer.exe C:\Dokumente und Einstellungen\User13\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\RunOnce: [BrandClearStubs] RUNDLL32 IEDKCS32.DLL,BrandCleanInstallStubs >{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS O4 - HKLM\..\RunOnce: [Regsister WScript] wscript -regserver O4 - HKLM\..\RunOnce: [Q828026] "C:\WINNT\INF\unregmp2.exe" /UpdateWMP O4 - HKLM\..\RunOnce: [RunOnceEx] rundll32.exe C:\WINNT\system32\iernonce.dll,RunOnceExProcess O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O16 - DPF: ppctlcab - http://www.my-etrust.com/includes/pscanner/ppctlcab.CAB O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.my-etrust.com/includes/pscanner/axscanner.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{FAA47F52-9ECF-44E6-A18C-1A680B7D2C29}: NameServer = 212.185.251.136,145.253.2.196 und da ich mich nicht mehr sicher fühle hier das log von meinem pers. rechner da muss ich bestimmt auch einiges machen: Logfile of HijackThis v1.98.0 Scan saved at 11:55:43, on 19.10.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\cisvc.exe C:\Programme\Symantec AntiVirus\DefWatch.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINNT\system32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\Programme\Symantec AntiVirus\SavRoam.exe C:\WINNT\system32\stisvc.exe C:\Programme\Symantec AntiVirus\Rtvscan.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\System32\svchost.exe C:\WINNT\Explorer.EXE C:\WINNT\SOUNDMAN.EXE C:\WINNT\system32\rundll32.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\PROGRA~1\SYMANT~2\VPTray.exe C:\Programme\FreePDF_XP\fpassist.exe C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE C:\WINNT\system32\ctfmon.exe C:\Programme\enormasoft\CDeskPlus\CDeskPlus.exe C:\Programme\enormasoft\CDeskPlus\CDeskPlus.exe C:\Programme\RMClient\PMCTray.exe C:\WINNT\System32\cidaemon.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Outlook Express\msimn.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Büro\Diverses\Sicherheitstools\HijackThis.exe O2 - BHO: (no name) - {FD3A6AB4-5527-4B52-90AF-F90CD3270861} - C:\WINNT\system32\inetconnect.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [JobHisInit] C:\Programme\RMClient\JobHisInit.exe O4 - HKLM\..\Run: [MplSetUp] C:\Programme\RMClient\MplSetUp.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~2\VPTray.exe O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [RegistryMonitor] c:\registry.pif O4 - HKLM\..\Run: [Microsoft Security Hot Fix Update] "%SystemRoot%\mshotfix.exe" O4 - HKLM\..\Run: [MSUpdate] c:\CriticalUpdate.exe O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe O4 - Startup: SmartNetMonitor for Client.lnk = C:\Programme\RMClient\PMClient.exe O4 - Startup: enormasoft Desktop Plus.lnk = C:\Programme\enormasoft\CDeskPlus\CDeskPlus.exe O4 - Global Startup: SmartNetMonitor for Client.lnk = C:\Programme\RMClient\PMClient.exe O4 - Global Startup: enormasoft Desktop Plus.lnk = C:\Programme\enormasoft\CDeskPlus\CDeskPlus.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\inetrepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\inetrepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\inetrepl.dll O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/01dad4cd3d29af0c6206/netzip/RdxIE601_de.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{2D61B3EC-3704-4E2E-BB37-48CB7C937B88}: NameServer = 145.253.2.196,194.25.2.132,212.185.251.136,217.237.150.225,212.185.251.41,217.237.149.161,194.25.0.54,194.25.2.133,194.25.2.129,194.25.2.131,193.158.141.116,212.185.253.136,217.5.112.21,217.237.150.97 Dieser Beitrag wurde am 19.10.2004 um 11:57 Uhr von FeierfoxX editiert.
|
|
|
||
19.10.2004, 14:22
Ehrenmitglied
Beiträge: 29434 |
#6
Hallo @FeierfoxX
#das scheint o.k. zu sein InternetInitializeAutoProxyDll InternetInitializeAutoProxyDll Lib "iedkcs32.dll" ( _ PC 1: #Gehe in die Registry und loesche: <HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runonce\ loesche: <kb837272 und <[Q828026] "C:\WINNT\INF\unregmp2.exe" /UpdateWMP und [Regsister WScript] wscript -regserver HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ loesche: <[Regsister WScript] wscript -regserver __________________________________________________________________________ Fixe (deaktiviere auch im Taskmanager O4 - HKLM\..\RunOnce: [Regsister WScript] wscript -regserver [Wscript.KakWorm] O4 - HKLM\..\RunOnce: [Q828026] "C:\WINNT\INF\unregmp2.exe" /UpdateWMP [spyware] O4 - HKLM\..\RunOnce: [RunOnceEx] rundll32.exe C:\WINNT\system32\iernonce.dll,RunOnceExProcess neustarten gehe in den abgeicherten Modus, #Lade dieses Tool \Wscript.Kakworm Removal Tool To use the tool, we recommend you download the Fixkak.exe file to your Windows desktop http://securityresponse.symantec.com/avcenter/venc/data/wscript.kakworm.removal.tool.html http://securityresponse.symantec.com/avcenter/venc/data/wscript.kakworm.html und dann loesche: <Unregmp2.exe <C:\WINNT\INF\unregmp2.exe" deaktiviere den Symantec und lade: #Testversion "Antivirus Personal 5.0" http://www.kaspersky.com/trials und scanne. #und lade das: / nach der Entfernung des Wurms To install the Microsoft patch: If you have not already done so, install the Microsoft Scripting update, which is available at http://www.microsoft.com/technet/ie/tools/scrpteye.asp For help with this, see the document How to download and install the Microsoft Scripting update. http://securityresponse.symantec.com/avcenter/venc/data/wscript.kakworm.html To disable the Windows Scripting Host in Microsoft Outlook Express only, see the Microsoft Knowledge Base document OLEXP: How to Disable Active Scripting in Outlook Express, Article ID: Q192846. Dann poste das Log noch mal. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 19.10.2004 um 15:45 Uhr von Sabina editiert.
|
|
|
||
19.10.2004, 14:30
...neu hier
Themenstarter Beiträge: 6 |
#7
hmm ich kann den symmantec nicht deaktivieren das ist ne coorporated edition also vom server aus nur hat die wohl ihre macken.
|
|
|
||
19.10.2004, 15:15
Ehrenmitglied
Beiträge: 29434 |
#8
@FeierfoxX
PC 2 Gehe in die Registry HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ loesche: MSUpdate = C:\CriticalUpdate.exe HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ loesche: RegistryMonitor = C:\registry.pif HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ loesche: Microsoft Security Hot Fix Update = \"%SystemRoot%\mshotfix.exe\" Eine Library-DLL namens inetconnect.dll wird im Windows-Systemordner erstellt und als COM-Objekt sowie als Browser Helper Object für den Microsoft Internet Explorer registriert, indem Registrierungseinträge erstellt werden unter: HKCR\CLSID\ loesche: (FD3A6AB4-5527-4B52-90AF-F90CD3270861) HKLM\Software\Microsoft\Windows\Currentversion\Explorer\ Browser Helper Objects\ loesche: (FD3A6AB4-5527-4B52-90AF-F90CD3270861) HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\ loesche: (0CDAAEC2-E245-44CC-8357-CAB70172D017)\ HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\ loesche: (8E668361-C801-41B7-BF89-2FC2C8DE9167)\ __________________________________________________________________ Fixe O2 - BHO: (no name) - {FD3A6AB4-5527-4B52-90AF-F90CD3270861} - C:\WINNT\system32\inetconnect.dll [Troj/Adclick-X] O4 - HKLM\..\Run: [RegistryMonitor] c:\registry.pif O4 - HKLM\..\Run: [MSUpdate] c:\CriticalUpdate.exe O4 - HKLM\..\Run: [Microsoft Security Hot Fix Update] "%SystemRoot%\mshotfix.exe" neustarten und UNBEDINGT in den abgesicherten Modus gehen (also alles nur im abges. Modus machen) #oeffne noch mal das HijackThis Config< Misc Tools < Open Hosts file Manager < Delete line < loesche alles , lasse nur stehen: 127.1.1.0 localhost #Original Host Datei Troj/Adclick-X erstellt eine neue Version der HOSTS-Datei in: C:\WINNT\SYSTEM32\DRIVERS\ETC\hosts C:\WINDOWS\SYSTEM32\DRIVERS\ETC\hosts or C:\WINDOWS\hosts Oeffne noch mal das HijackThis <HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:C:\WINNT\system32\inetconnect.dll <PC neustarten #Start<Ausfuehren (reinkopieren) regsvr32 /u [systemroot]\mshotfix.exe <enter< <HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:%SystemRoot%\mshotfix.exe <neustarten #dann ueberpruefen, ob die <mshotfix.exe< geloescht ist (!) <HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren: c:\registry.pif < PC neustarten loesche auch: <twain_32.exe <CriticalUpdate.exe ____________________________________________________________________ Lade den Kaspersky und scanne im abgesicHerten Modus. mfg Sabina http://www.sophos.de/virusinfo/analyses/trojadclickx.html __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 19.10.2004 um 15:38 Uhr von Sabina editiert.
|
|
|
||
Logfile of HijackThis v1.97.7
Scan saved at 11:03:01, on 14.10.2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Symantec AntiVirus\DefWatch.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\Programme\Symantec AntiVirus\SavRoam.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\Symantec AntiVirus\Rtvscan.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Windows SyncroAd\SyncroAd.exe
C:\WINNT\system32\javacs32.exe
C:\Program Files\Windows SyncroAd\WinSync.exe
C:\WINNT\system32\iptt.exe
C:\Dokumente und Einstellungen\User13\Desktop\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\kndpf.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\kndpf.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\kndpf.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\kndpf.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\kndpf.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\kndpf.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\kndpf.dll/sp.html#29126
O2 - BHO: (no name) - {BEB3DE2F-ABB6-49E3-ADD2-AAD9AEF30853} - C:\WINNT\system32\sdkfj32.dll
O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe
O4 - HKLM\..\Run: [javacs32.exe] C:\WINNT\system32\javacs32.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\RunOnce: [iptt.exe] C:\WINNT\system32\iptt.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FAA47F52-9ECF-44E6-A18C-1A680B7D2C29}: NameServer = 212.185.251.136,145.253.2.196
eine exe die webrabtes oder so hieß habe ich schon entfernt nur komme ich leider nich mehr weiter da das hijackproblem immernoch auftritt.