web rebates kehrt immer wieder |
||
---|---|---|
#0
| ||
31.10.2004, 11:21
...neu hier
Beiträge: 6 |
||
|
||
31.10.2004, 11:55
Moderator
Beiträge: 7805 |
#2
FIxe bitte folgendes:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:4001 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://tdak.com/searchbar.html F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe O4 - HKLM\..\Run: [Windows System Configure] C:\WINDOWS\system32\SystemConfig.exe O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe O4 - HKLM\..\Run: [susp] C:\WINDOWS\susp.exe O4 - HKLM\..\Run: [Win Comm] C:\Program Files\Win Comm\WinComm.exe O4 - HKLM\..\Run: [WebRebates0] C:\Programme\Web_Rebates\WebRebates0.exe O4 - HKLM\..\RunServices: [Windows System Configure] C:\WINDOWS\system32\SystemConfig.exe O4 - HKLM\..\RunOnce: [djtopr1150.exe] "C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\djtopr1150.exe" O4 - HKCU\..\Run: [Windows System Configure] C:\WINDOWS\system32\SystemConfig.exe O4 - Global Startup: Adobe Gamma Loader.lnk = ? O4 - Global Startup: Microsoft Office.lnk = D:\office\Office\OSA9.EXE O9 - Extra button: (no name) - {7F2 - (no file) (HKCU) O9 - Extra button: (no name) - {7F241C00 - (no file) (HKCU) O9 - Extra button: (no name) - {7F241C00-DAB6 - (no file) (HKCU) O9 - Extra button: (no name) - {7F241C00-DAB6-11d - (no file) (HKCU) O9 - Extra button: (no name) - {7F241C00-DAB6-11d5-AAA8-000 - (no file) (HKCU) O9 - Extra button: (no name) - {7F241C00-DAB6-11d5-AAA8-00010 - (no file) (HKCU) O9 - Extra button: (no name) - {7F241C00-DAB6-11d5-AAA8-000102 - (no file) (HKCU) O9 - Extra button: (no name) - {7F241C00-DAB6-11d5-AAA8-0001028 - (no file) (HKCU) O9 - Extra button: (no name) - {7F241C00-DAB6-11d5-AAA8-0001028DF1BC} - (no file) (HKCU) neu starten und folgnde Dateien hier testen: http://virusscan.jotti.dhs.org/ oder hierhin schicken: virus@protecus.de : C:\WINDOWS\system32\SystemConfig.exe C:\WINDOWS\susp.exe auf jedenfall schreiben, was dabei herausgekommen ist. Dieses Verzeichniss bitte loeschen: C:\Programme\Web_Rebates C:\Program Files\Win Comm __________ MfG Ralf SEO-Spam Hunter |
|
|
||
31.10.2004, 12:30
...neu hier
Themenstarter Beiträge: 6 |
#3
Zitat raman postetehabe alles gemacht wie beschrieben allerdings exestieren oben genannte dateien nun nicht mehr auf meiner platte?! |
|
|
||
31.10.2004, 12:39
Moderator
Beiträge: 7805 |
#4
Mache das und schaue, ob du sie immer noch nicht finden kannst:
Werden eine oder mehrere Dateien nicht angezeigt, muss im Windows Explorer unter 'Extras/Ordneroptionen' -> 'Ansicht' -> der Haken bei 'Geschützte Systemdateien ausblenden (empfohlen)' entfernt, sowie 'Alle Dateien und Ordner anzeigen' aktiviert werden.[aus dem Trojaner-info eScan artikel] __________ MfG Ralf SEO-Spam Hunter |
|
|
||
31.10.2004, 12:57
...neu hier
Themenstarter Beiträge: 6 |
#5
Bin wie oben beschrieben vorgegangen und die dateien sind immer noch nicht auffindbar.
Ist das jetzt gut oder schlecht? |
|
|
||
31.10.2004, 13:01
Moderator
Beiträge: 7805 |
#6
Das ist gut!
Nutze zur Kontrolle bitte eScan und schreibe, was es alles noch gefunden hat: http://www.rokop-security.de/board/index.php?showtopic=3867 __________ MfG Ralf SEO-Spam Hunter |
|
|
||
31.10.2004, 21:37
...neu hier
Themenstarter Beiträge: 6 |
#7
File C:\Gamers.Interactive\Gamers.IRC\mirc.exe tagged as not-a-virus:RiskWare.mIRC.6.02. No Action Taken.
File C:\WINDOWS\System32\id113.exe infected by "Trojan.Win32.SecondThought.ak" Virus. Action Taken: No Action Taken. File C:\WINDOWS\System32\istinstall_143666.exe infected by "TrojanDownloader.Win32.IstBar.er" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Christopher_Grob\Lokale Einstellungen\Temp\adlinstallwin32.exe infected by "TrojanDownloader.Win32.IstBar.er" Virus. Action Taken: No Action Taken. File C:\Gamers.Interactive\Gamers.IRC\add-on\minigames\sheep\esheep.exe tagged as not-a-virus:Simulator.Win16.Sheep. No Action Taken. File C:\Gamers.Interactive\Gamers.IRC\mirc.exe tagged as not-a-virus:RiskWare.mIRC.6.02. No Action Taken. File C:\Gamers.Interactive\Gamers.IRC\system\bin\dll\moo.dll tagged as not-a-virus:Tool.Win32.Moo. No Action Taken. File C:\instalationsdateien\irc\girc321.exe tagged as not-a-virus:RiskWare.mIRC.6.02. No Action Taken. File C:\instalationsdateien\irc\girc321update.exe tagged as not-a-virus:RiskWare.mIRC.6.02. No Action Taken. File C:\mIRC\backup\mirc.exe tagged as not-a-virus:RiskWare.mIRC.6.01. No Action Taken. File C:\mIRC\mirc.exe tagged as not-a-virus:RiskWare.mIRC.6.16. No Action Taken. File C:\Programme\AVPersonal\INFECTED\MSBB.EXE.VIR tagged as not-a-virus:AdWare.180Solutions. No Action Taken. File C:\RECYCLER\S-1-5-21-2188283067-2320958936-2409960447-1005\Dc189\disp1150.exe tagged as not-a-virus:AdWare.WebRebates.b. No Action Taken. File C:\RECYCLER\S-1-5-21-2188283067-2320958936-2409960447-1005\Dc189\WebRebates1.exe tagged as not-a-virus:AdWare.WebRebates.b. No Action Taken. File C:\RECYCLER\S-1-5-21-2188283067-2320958936-2409960447-1005\Dc192\sheep\esheep.exe tagged as not-a-virus:Simulator.Win16.Sheep. No Action Taken. File C:\temp\WebRebates_Auto_InstallSilent_Euro.exe tagged as not-a-virus:AdWare.WebRebates.b. No Action Taken. File C:\WINDOWS\Downloaded Program Files\WinCommX.dll tagged as not-a-virus:AdWare.WinAD. No Action Taken. File C:\WINDOWS\system32\id113.exe infected by "Trojan.Win32.SecondThought.ak" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\istinstall_143666.exe infected by "TrojanDownloader.Win32.IstBar.er" Virus. Action Taken: No Action Taken. File D:\DivXPro503GAINBundle.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File E:\Downloads\netpumper-1.20.1-setup.exe tagged as not-a-virus:AdWare.SaveNow.v. No Action Taken. File E:\Downloads\mirc616.exe tagged as not-a-virus:RiskWare.mIRC.6.16. No Action Taken. File E:\gr_plugin140.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. das wurde alles gefunden hab alle entfernt bis auf die irc dinger mittels killbox weil das benutz ich und hab bisher noch nie gehört das das gefährlich ist????? diese 2 waren als ich sie löschen wollte nichtmehr da: File C:\WINDOWS\system32\id113.exe infected by "Trojan.Win32.SecondThought.ak" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\istinstall_143666.exe infected by "TrojanDownloader.Win32.IstBar.er" Virus. Action |
|
|
||
31.10.2004, 21:50
Moderator
Beiträge: 7805 |
#8
Wenn sie laut Killbox und escan nicht mehr da sind ist es ja in Ordnung. Das mit mir wird ja auch "nur" als Riskware angesehen. Sprich man kann es fuer "boesses" gebrauchen, bzw wurde schon mal. Diese Meldung bekommst du bei Escan zwar immer, aber bei Kaspersky nur, wenn du einen Erweiterten Signatursatz laedst.
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
01.11.2004, 15:39
...neu hier
Themenstarter Beiträge: 6 |
#9
ok dann vielen dank für die hilfe
|
|
|
||
06.11.2004, 21:11
...neu hier
Beiträge: 1 |
#10
hy,
ich habe das selbe, oben genannte Problem mit Web Rebates... bei mir wurden auch immer auf D:\Temp\ Tronjaner gefunden, doch verschwanden, bevor Antivir sie löschen konnte, in D:\Temp ist aber auch eine setup.exe mit dem Namen Web_Rebates_silent-install_euro.exe welche ich bereits gelöscht habe... ich poste einfach mal den Hijack Log... und bitte um baldige Hilfe! _______________________ Logfile of HijackThis v1.98.2 Scan saved at 20:47:22, on 06.11.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\System32\aaksrv.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\Programme\TGTSoft\StyleXP\StyleXPService.exe D:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe D:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe D:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe D:\WINDOWS\system32\spoolsv.exe D:\Programme\AVPersonal\AVGUARD.EXE D:\Programme\AVPersonal\AVWUPSRV.EXE D:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe d:\PROGRA~1\mcafee.com\vso\mcvsrte.exe D:\Programme\Norton AntiVirus\IWP\NPFMntor.exe D:\WINDOWS\System32\tcpsvcs.exe D:\WINDOWS\System32\SLEE401.exe D:\WINDOWS\System32\svchost.exe D:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe D:\Programme\McAfee\McAfee Firewall\CPD.EXE d:\PROGRA~1\mcafee.com\vso\mcshield.exe D:\PROGRA~1\McAfee.com\Agent\mcupdui.exe D:\WINDOWS\Explorer.EXE D:\Programme\McAfee\McAfee Firewall\CPD.EXE D:\PROGRA~1\mcafee.com\agent\mcagent.exe D:\PROGRA~1\mcafee.com\vso\mcvsshld.exe D:\WINDOWS\Mixer.exe D:\Program Files\Win Comm\WinComm.exe D:\Programme\Logitech\iTouch\iTouch.exe d:\progra~1\mcafee.com\vso\mcvsescn.exe D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe D:\Programme\Java\j2re1.4.2_04\bin\jusched.exe D:\Programme\QuickTime\qttask.exe D:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe D:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe D:\WINDOWS\System32\ctfmon.exe D:\PROGRA~1\INCRED~1\bin\IncMail.exe D:\Programme\MSN Messenger\msnmsgr.exe D:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe D:\Programme\Logitech\iTouch\kbdtray.exe d:\progra~1\mcafee.com\vso\mcvsftsn.exe D:\Programme\Messenger\msmsgs.exe D:\Programme\ICQLite\ICQLite.exe D:\DOKUME~1\NADIAB~1\LOKALE~1\Temp\Rar$EX00.171\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchcentral.cc/search.php?v=4&aff=2142 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchcentral.cc/index.php?v=4&aff=2142 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.vol.at/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://rd.yahoo.com/customize/ymsgr/defaults/*http://my.yahoo.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://rd.yahoo.com/customize/ymsgr/defaults/*http://my.yahoo.com R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.windowenhancer.com/nph-WESearch.cgi?partner=wesearch&kw= R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.windowenhancer.com/nph-WESearch.cgi?partner=wesearch&kw= R3 - URLSearchHook: WebSearch Class - {9368D063-44BE-49B9-BD14-BB9663FD38FC} - D:\Programme\WindowEnhancer\v1\WindowEnhancer.DLL O1 - Hosts file is located at: D:\WINDOWS\nsdb\hosts O1 - Hosts: 81.211.105.69 lender-search.com O1 - Hosts: 81.211.105.68 hot-searches.com O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - D:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\programme\google\googletoolbar2.dll O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - D:\WINDOWS\System32\nvms.dll O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - D:\WINDOWS\System32\mscb.dll O2 - BHO: (no name) - {D8F7589D-D267-3B3A-0007-DCCA2C3772DD} - (no file) O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - D:\WINDOWS\System32\msbe.dll O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - d:\progra~1\mcafee.com\vso\mcvsshl.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [MCUpdateExe] D:\PROGRA~1\mcafee.com\agent\mcupdate.exe O4 - HKLM\..\Run: [MCAgentExe] d:\PROGRA~1\mcafee.com\agent\mcagent.exe O4 - HKLM\..\Run: [VSOCheckTask] "d:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask O4 - HKLM\..\Run: [VirusScan Online] "d:\PROGRA~1\mcafee.com\vso\mcvsshld.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [Winad Client] D:\Program Files\Winad Client\Winad.exe O4 - HKLM\..\Run: [Win Comm] D:\Program Files\Win Comm\WinComm.exe O4 - HKLM\..\Run: [service] D:\WINDOWS\services.exe -serv O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [zBrowser Launcher] D:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [WindowEnhancer] "D:\Programme\WindowEnhancer\v1\WindowEnhancer.EXE" /U O4 - HKLM\..\Run: [TkBellExe] "D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SysService] D:\Programme\NSkeylogger\SERVICES.EXE O4 - HKLM\..\Run: [Symantec NetDriver Monitor] D:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [SSC_UserPrompt] D:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [MessengerPlus2] "D:\Programme\Messenger Plus! 2\MsgPlus.exe" O4 - HKLM\..\Run: [EM_EXEC] D:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [ccApp] "D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [AdaptecDirectCD] "D:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe" O4 - HKLM\..\Run: [Accelerate] G:\Accelerate\accelerate.exe /S O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Yahoo! Pager] D:\Programme\Yahoo!\Messenger\ypager.exe -quiet O4 - HKCU\..\Run: [IncrediMail] D:\PROGRA~1\INCRED~1\bin\IncMail.exe /c O4 - HKCU\..\Run: [sws.exe] d:\programme\GlobalDialer\pntbo00000-37321a7\1450781.exe -remove O4 - HKCU\..\Run: [sp] D:\WINDOWS\sp.exe O4 - HKCU\..\Run: [msnmsgr] "D:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [STYLEXP] D:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Acrobat Assistant.lnk = D:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe O4 - Global Startup: PrecisionTime.lnk = D:\Programme\PrecisionTime\PrecisionTime.exe O4 - Global Startup: GStartup.lnk = D:\Programme\Gemeinsame Dateien\GMT\GMT.exe O8 - Extra context menu item: &Add animation to IncrediMail Style Box - D:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZSzfw001 O8 - Extra context menu item: Web Rebates - file://D:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\WINDOWS\System32\msjava.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\MSMSGS.EXE O12 - Plugin for .pdf: D:\Programme\Internet Explorer\PLUGINS\nppdf32.dll O16 - DPF: ChatSpace Java Client 2.1.0.88L - http://216.65.197.84:8080/Java/cs4msl088.cab O16 - DPF: ChatSpace Java Client 3.1.0.212 - http://209.120.156.26/Java/cms31212.cab O16 - DPF: {1230CB21-C88D-11CF-B347-000000000000} - http://www.browserplugin.com/eroticAccess/cabs/1759031.cab O16 - DPF: {14F65762-96FB-44B9-8DAC-93845F377A0E} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/de/filesharingctrl.cab O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=f3700d076eeaeca5a7f6c79a1268a6bd235f562e7e7f644ed9ad6d27363ea0905557407a09131ce1102d61ff488a283b943cc183:862fa71a683d4c83963a4ca9d760ebbd O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralInitialSetup1.0.0.8.exe O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_mp3.cab O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://sib1.od2.com/common/Member/ClientInstall/10.00.0036/OCI/setup.exe O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/de/win/QuickTimeInstaller.exe O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - https://www.gamespyid.com/alaunch.cab O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab O16 - DPF: {E3802230-F0E2-4A75-9947-EAB78DD8153F} (InstallerX Class) - http://www.euroklik.nl/cab/EasyWebInstaller.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{48464186-3246-471E-949B-B4118CA981B3}: NameServer = 194.183.128.35,194.183.128.36 O17 - HKLM\System\CCS\Services\Tcpip\..\{D6DAC4E7-DED4-4C4E-9DBC-D03D7CF773D7}: NameServer = 194.183.128.35,194.183.128.36 O17 - HKLM\System\CS1\Services\Tcpip\..\{48464186-3246-471E-949B-B4118CA981B3}: NameServer = 194.183.128.35,194.183.128.36 O17 - HKLM\System\CS2\Services\Tcpip\..\{48464186-3246-471E-949B-B4118CA981B3}: NameServer = 194.183.128.35,194.183.128.36 O20 - AppInit_DLLs: system32\aakah.dll habe die kästchen mit "Web Rebates" habe ich schon gefixt... was muss ich nun machen??? mfg FiReZz Dieser Beitrag wurde am 06.11.2004 um 21:13 Uhr von FiReZz editiert.
|
|
|
||
14.12.2004, 01:27
...neu hier
Beiträge: 2 |
#11
Hallo das ist ein Hilfreruf... Bin absoluter Internet Anfänger und nur über Zufall auf diese Seite gestoßen.. Auch ich habe Probleme mit "Webrebates". Kann mir jemand so weiterhelfen, dass ich es verstehe.
Hier der Scan der anscheinend wichtig ist: DANKE SCHON MAL IM VORAUS! Logfile of HijackThis v1.98.2 Scan saved at 01:19:36, on 14.12.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\ewido\security suite\ewidoctrl.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\igfxtray.exe C:\WINDOWS\System32\hkcmd.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\AGRSMMSG.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Launch Manager\QtZgAcer.EXE C:\Programme\Acer\Notebook Manager\almxptray.exe C:\WINDOWS\System32\msg32.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Program Files\Windows AdService\WinAdServ.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\QuickTime\qttask.exe C:\temp\salm.exe C:\Program Files\Windows ControlAd\WinCtlAd.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Windows ControlAd\WinCtlAdAlt.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\trojanhunter 3.9\submitfiles\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.couldnotfind.com/search_page.html?&account_id=67198 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://msaps.dll/search.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://msaps.dll/index.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://msaps.dll/search.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://msaps.dll/search.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://msaps.dll/index.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_page.html?&account_id=67198 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = res://msaps.dll/index.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.web.de/ R3 - URLSearchHook: (no name) - _{FDE3577A-6254-181C-4E11-339E4F746BD3} - (no file) R3 - URLSearchHook: MailTo Class - {FDE3577A-6254-181C-4E11-339E4F746BD3} - C:\WINDOWS\System32\wins32t.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: Search Relevancy - {1D7E3B41-23CE-469B-BE1B-A64B877923E1} - C:\PROGRA~1\SEARCH~1\SEARCH~1.DLL (file missing) O2 - BHO: (no name) - {59BA4017-4254-0E7E-9B33-D8C170AE5135} - C:\WINDOWS\system32\msadblock32.dll (file missing) O2 - BHO: Tubby - {9EAC0102-5E61-2312-BC2D-76746C56544C} - C:\WINDOWS\System32\vtlbar1.dll (file missing) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Search Toolbar - {9EAC0102-5E61-2312-BC2D-76746C56544C} - C:\WINDOWS\System32\vtlbar1.dll (file missing) O4 - HKLM\..\Run: [LaunchApp] Alaunch O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\QtZgAcer.EXE O4 - HKLM\..\Run: [AcerNotebookManager] C:\Programme\Acer\Notebook Manager\almxptray.exe O4 - HKLM\..\Run: [EW Message Server] msg32.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Windows TaskAd] C:\Program Files\Windows TaskAd\WinTaskAd.exe O4 - HKLM\..\Run: [Windows AdService] C:\Program Files\Windows AdService\WinAdServ.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [WebRebates0] C:\Programme\Web_Rebates\WebRebates0.exe O4 - HKLM\..\Run: [salm] c:\temp\salm.exe O4 - HKLM\..\Run: [Windows ControlAd] C:\Program Files\Windows ControlAd\WinCtlAd.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O15 - Trusted Zone: http://*.windupdates.com O15 - Trusted Zone: http://*.xxxtoolbar.com O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=f1be8880edb636b73fa27f6fcd08fb5b519f70b1d9b8e268cd15c1774202686c5ab30a37623052f16aff2a1f6cefa5397ebb544431:e95763ddefb15e38c92daddcab541bee O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v45/yacscom.cab O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/2122e5db96db45b40818/netzip/RdxIE601_de.cab O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20041101/qtinstall.info.apple.com/pthalo/de/win/QuickTimeInstaller.exe O16 - DPF: {7D1E9C49-BD6A-11D3-87A8-009027A35D73} (Yahoo! Audio UI1) - http://chat.yahoo.com/cab/yacsui.cab |
|
|
||
Es kommt immer wieder egal wie oft ich es entferne.
Mein Virenscanner(Antivir) findet immer wieder Trojaner im ordner C:/Temp, die aber sofort wieder verschwinden und deshalb nicht gelöscht werden können.
Hab webrebates jetzt gerade mal wieder mit adware away entfernt, das hatte ich schonmal deswegen hier mal das hijack log:
Logfile of HijackThis v1.98.2
Scan saved at 11:10:49, on 31.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\soundman.exe
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\Programme\Creative\SBLive\AudioHQ\AHQTB.EXE
C:\Programme\Creative\SBLive\Program\CTAvTray.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Win Comm\WinComm.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\PeerGuardian pr14\PeerGuardian_1.99b_pr14.exe
C:\Programme\NETGEAR\WG121 Configuration Utility\wlancfg8.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\PROGRA~1\INTERN~1\iexplore.exe
C:\Programme\Adware Away\AdAway.exe
C:\Programme\mozilla.org\Mozilla\mozilla.exe
C:\Programme\Web_Rebates\WebRebates1.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\Rar$EX00.719\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotmail.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aol.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://tdak.com/searchbar.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:4001
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [soundmanager] soundman.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [Windows System Configure] C:\WINDOWS\system32\SystemConfig.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [AHQInit] C:\Programme\Creative\SBLive\Program\AHQInit.exe
O4 - HKLM\..\Run: [AudioHQ] C:\Programme\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [CTAvTray] C:\Programme\Creative\SBLive\Program\CTAvTray.EXE
O4 - HKLM\..\Run: [susp] C:\WINDOWS\susp.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Win Comm] C:\Program Files\Win Comm\WinComm.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [WebRebates0] C:\Programme\Web_Rebates\WebRebates0.exe
O4 - HKLM\..\RunServices: [Windows System Configure] C:\WINDOWS\system32\SystemConfig.exe
O4 - HKLM\..\RunOnce: [CTAVTray] C:\Programme\Creative\SBLive\Program\CTAvStub.EXE EAX.AVI
O4 - HKLM\..\RunOnce: [djtopr1150.exe] "C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\djtopr1150.exe"
O4 - HKCU\..\Run: [Windows System Configure] C:\WINDOWS\system32\SystemConfig.exe
O4 - HKCU\..\Run: [Steganos3] C:\Programme\Steganos 3\Steganos3.exe /booting
O4 - HKCU\..\Run: [PeerGuardian] C:\Programme\PeerGuardian pr14\PeerGuardian_1.99b_pr14.exe
O4 - Startup: Verknüpfung mit AVGUARD.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: IDW Logging Tool.lnk = C:\WINDOWS\idwlog.exe
O4 - Global Startup: Microsoft Office.lnk = D:\office\Office\OSA9.EXE
O4 - Global Startup: Smart Wizard Wireless Settings.lnk = ?
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: AOL 7.0 - {19454A3D-27E1-4803-A857-B76F21B1680B} - C:\Programme\AOL 7.0\aol.exe (file missing) (HKCU)
O9 - Extra button: (no name) - {7F2 - (no file) (HKCU)
O9 - Extra button: (no name) - {7F241C00 - (no file) (HKCU)
O9 - Extra button: (no name) - {7F241C00-DAB6 - (no file) (HKCU)
O9 - Extra button: (no name) - {7F241C00-DAB6-11d - (no file) (HKCU)
O9 - Extra button: (no name) - {7F241C00-DAB6-11d5-AAA8-000 - (no file) (HKCU)
O9 - Extra button: (no name) - {7F241C00-DAB6-11d5-AAA8-00010 - (no file) (HKCU)
O9 - Extra button: (no name) - {7F241C00-DAB6-11d5-AAA8-000102 - (no file) (HKCU)
O9 - Extra button: (no name) - {7F241C00-DAB6-11d5-AAA8-0001028 - (no file) (HKCU)
O9 - Extra button: (no name) - {7F241C00-DAB6-11d5-AAA8-0001028DF1BC}
- (no file) (HKCU)
O9 - Extra button: MedionShop - {811DDDB7-933B-4717-8A6B-4F86A67E0F9F} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de
O15 - Trusted Zone: http://*.windowsupdate.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097683086421
ach ich weiß selber das ich noch sp1 drauf hab, aber unter sp 2 lief bei mir gar nichts mehr deshalb habe ich es wieder runtergeschmissen.
oben ist auch der ie als browser angegeben
benutz aber immer mozilla
schonmal danke für die Hilfe