O23 - Service: Remote Procedure Call (RPC) Helper - Unknown |
||
---|---|---|
#0
| ||
02.12.2004, 17:06
...neu hier
Beiträge: 4 |
||
|
||
03.12.2004, 15:55
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo@Jorge220187
HijackThis/1.99 BETA Version Download: http://www.merijn.org/files/beta/hijackthis199_beta.zip Alternativ: http://www.hijackthis.de/downloads/...his199_beta.zip 1.Log Lade/entpacke das Tool --> scan --> save--> es öffnet sich der Editor --> nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" ___________________________________________________________________- Ladet hier http://www.thespykiller.co.uk/files/ms4hd.zip das kleine Tool Ms4Hd_look herunter und entpackt die Zip-Datei in einen eigenem Ordner. Anschließend startet ihr aus diesem Ordner die Datei runme.bat. Ihr erhaltet zwei Log-Dateien. 1x eine look.log und eine err.log. Postet bitte dessen Inhalt hier. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 03.12.2004 um 16:18 Uhr von Sabina editiert.
|
|
|
||
03.12.2004, 17:46
...neu hier
Themenstarter Beiträge: 4 |
#3
danke schoen:
dieses andere Programm funktioniert nicht er sagt immer:"cannot find the MH4_Look.log file. Do you want to create a new file?" bei "no" gibt er mir ne Mh4_err file. bei "yes" bekomme ich das Notepad prog. geoeffnet und soll selber schreiben...kann ich nicht.Also ist die File leer. aber ich habe es irgendwie geschafft ne Ms4Hd_look file zu bekommen(weiss nicht ob das was bringt) An Ms4Hd_look by IMM (v0.003) Version Info: 5.1000 = Windows XP Pro SP1 (Build 2600) The volume containing the system directory is C: (NTFS) HKLM\SYSTEM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ms4Hd Error: Unable to open key (Return Code was 2) HKLM\SYSTEM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ms4Hd\Files Error: Unable to open key (Return Code was 2) HKLM\SYSTEM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ms4Hd\Processes Error: Unable to open key (Return Code was 2) HKLM\SYSTEM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ms4Hd\RegKeys Error: Unable to open key (Return Code was 2) HKLM\SYSTEM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ms4Hd\RegValues Error: Unable to open key (Return Code was 2) HKLM\Software\Microsoft\Windows\CurrentVersion\Run (1 subkey(s) and 13 values) last modified 16:14 3/12/2004 (UTC) [Smapp] "C:\Program Files\Analog Devices\SoundMAX\Smtray.exe" (SZ) [AtiPTA] "atiptaxx.exe" (SZ) [NeroCheck] "C:\WINDOWS\System32\NeroCheck.exe" (SZ) [Share-to-Web Namespace Daemon] "C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe" (SZ) [TaskScheduler] "C:\ProWin03\32bit\TaskSch.exe" (SZ) [winupdtl] "C:\WINDOWS\System32\winupdtl.exe" (SZ) [VBundleOuterDL] "C:\Program Files\VBouncer\BundleOuter.EXE" (SZ) [atlng.exe] "C:\WINDOWS\system32\atlng.exe" (SZ) [tibs3] "C:\WINDOWS\System32\tibs3.exe" (SZ) [Windows TaskAd] "C:\Program Files\Windows TaskAd\WinTaskAd.exe" (SZ) [USB controller] ""C:\DOCUME~1\user1\LOCALS~1\Temp\ICD2.tmp\svcmm32.exe" /startup" (SZ) [180ax] "c:\docume~1\user1\locals~1\temp\180ax.exe" (SZ) [adduz.exe] "C:\WINDOWS\system32\adduz.exe" (SZ) Logfile of HijackThis v1.99.0 (BETA) Scan saved at 11:28:47 AM, on 12/3/2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\sdkkv32.exe C:\Program Files\Analog Devices\SoundMAX\Smtray.exe C:\WINDOWS\System32\atiptaxx.exe C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe C:\WINDOWS\System32\tibs3.exe C:\Program Files\Windows TaskAd\WinTaskAd.exe C:\DOCUME~1\user1\LOCALS~1\Temp\ICD2.tmp\svcmm32.exe C:\WINDOWS\system32\adduz.exe C:\Documents and Settings\user1\Application Data\roei.exe C:\Program Files\Hewlett-Packard\AiO\hp officejet v series\Bin\hpoant07.exe C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe C:\Program Files\Windows TaskAd\WinSched.exe C:\Program Files\Microsoft Office\Office\1033\msoffice.exe C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe C:\WINDOWS\System32\hpoipm07.exe C:\Program Files\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe C:\Program Files\Hewlett-Packard\AiO\Shared\bin\hpOFXM07.exe C:\WINDOWS\System32\wuauclt.exe c:\docume~1\user1\locals~1\temp\180ax.exe C:\Program Files\Internet Explorer\iexplore.exe C:\WINDOWS\System32\winupdt.exe C:\Program Files\Microsoft Office\Office\WINWORD.EXE C:\Documents and Settings\user1\Local Settings\Temp\Temporary Directory 1 for hijackthis199_beta.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\oerkn.dll/sp.html#28129 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\oerkn.dll/sp.html#28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\oerkn.dll/sp.html#28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\oerkn.dll/sp.html#28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\oerkn.dll/sp.html#28129 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\oerkn.dll/sp.html#28129 R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {4C8BDCB8-9E1E-7CC1-32B2-743267DC8741} - C:\WINDOWS\system32\mfcax.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\Smtray.exe O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe O4 - HKLM\..\Run: [TaskScheduler] C:\ProWin03\32bit\TaskSch.exe O4 - HKLM\..\Run: [winupdtl] C:\WINDOWS\System32\winupdtl.exe O4 - HKLM\..\Run: [VBundleOuterDL] C:\Program Files\VBouncer\BundleOuter.EXE O4 - HKLM\..\Run: [atlng.exe] C:\WINDOWS\system32\atlng.exe O4 - HKLM\..\Run: [tibs3] C:\WINDOWS\System32\tibs3.exe O4 - HKLM\..\Run: [Windows TaskAd] C:\Program Files\Windows TaskAd\WinTaskAd.exe O4 - HKLM\..\Run: [USB controller] "C:\DOCUME~1\user1\LOCALS~1\Temp\ICD2.tmp\svcmm32.exe" /startup O4 - HKLM\..\Run: [180ax] c:\docume~1\user1\locals~1\temp\180ax.exe O4 - HKLM\..\Run: [adduz.exe] C:\WINDOWS\system32\adduz.exe O4 - HKCU\..\Run: [Iehr] C:\Documents and Settings\user1\Application Data\roei.exe O4 - Global Startup: HPAiODevice(hp officejet v series) - 1.lnk = C:\Program Files\Hewlett-Packard\AiO\hp officejet v series\Bin\hpoant07.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O15 - Trusted Zone: *.05p.com O15 - Trusted Zone: *.awmdabest.com O15 - Trusted Zone: *.frame.crazywinnings.com O15 - Trusted Zone: *.scoobidoo.com O15 - Trusted Zone: *.searchmiracle.com O16 - DPF: {10000000-1000-0000-1000-000000000000} - file://C:\Program Files\Internet Explorer\sfmnkooz.exe O16 - DPF: {11111111-1111-1111-1111-222222222222} - ms-its:mhtml:file://d:\foo.mht!http://008i.com/pic//28129.chm::/open.exe O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=fab19f64c271dfd5b772fcfb344ed 4d5f8217f7b03e9b7145eeb15c7b73869070b857bc819ac1ca41787ff055d83fcb743482bfaec: 0a002003c3f6d5950937c6314a45eb37 O17 - HKLM\System\CCS\Services\Tcpip\..\{4F72FC0F-6F33-445B-88FF-3FCFDB776566}: NameServer = 207.69.188.187 207.69.188.186 O23 - Service: Intuit Fuse Service - Unknown - C:\Program Files\Common Files\Intuit\Fuse\Service\Intuit Fuse Service.exe O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: Remote Procedure Call (RPC) Helper - Unknown - C:\WINDOWS\system32\sdkkv32.exe danke und sag bescheid was zu machen ist! Dieser Beitrag wurde am 04.12.2004 um 01:52 Uhr von Sabina editiert.
|
|
|
||
04.12.2004, 01:52
Ehrenmitglied
Beiträge: 29434 |
#4
Hallo@Jorge220187
CoolWebSearch Variante, die über einen Windows Dienst gestartet wird. Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein. #Deaktiviere den Dienst:..genau den, keinen anderen (!) Remote Procedure Call (RPC) Helper #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\oerkn.dll/sp.html#28129 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\oerkn.dll/sp.html#28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\oerkn.dll/sp.html#28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\oerkn.dll/sp.html#28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\oerkn.dll/sp.html#28129 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\oerkn.dll/sp.html#28129 R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {4C8BDCB8-9E1E-7CC1-32B2-743267DC8741} - C:\WINDOWS\system32\mfcax.dll O4 - HKLM\..\Run: [winupdtl] C:\WINDOWS\System32\winupdtl.exe O4 - HKLM\..\Run: [VBundleOuterDL] C:\Program Files\VBouncer\BundleOuter.EXE O4 - HKLM\..\Run: [atlng.exe] C:\WINDOWS\system32\atlng.exe O4 - HKLM\..\Run: [tibs3] C:\WINDOWS\System32\tibs3.exe O4 - HKLM\..\Run: [Windows TaskAd] C:\Program Files\Windows TaskAd\WinTaskAd.exe O4 - HKLM\..\Run: [USB controller] "C:\DOCUME~1\user1\LOCALS~1\Temp\ICD2.tmp\svcmm32.exe" /startup O4 - HKLM\..\Run: [180ax] c:\docume~1\user1\locals~1\temp\180ax.exe O4 - HKLM\..\Run: [adduz.exe] C:\WINDOWS\system32\adduz.exe O4 - HKCU\..\Run: [Iehr] C:\Documents and Settings\user1\Application Data\roei.exe O15 - Trusted Zone: *.05p.com O15 - Trusted Zone: *.awmdabest.com O15 - Trusted Zone: *.frame.crazywinnings.com O15 - Trusted Zone: *.scoobidoo.com O15 - Trusted Zone: *.searchmiracle.com O16 - DPF: {10000000-1000-0000-1000-000000000000} - file://C:\Program Files\Internet Explorer\sfmnkooz.exe O16 - DPF: {11111111-1111-1111-1111-222222222222} - ms-its:mhtml:file://d:\foo.mht!http://008i.com/pic//28129.chm::/open.exe O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=fab19f64c271dfd5b772fcfb344ed4d5f8217f7b03e9b7145eeb1 O23 - Service: Remote Procedure Call (RPC) Helper - Unknown - C:\WINDOWS\system32\sdkkv32.exe PC neustarten 1.) öffne das HijackThis: 2.) HijackThis starten, den Config Button klicken - MiscTools - "Delete a file on reboot" . 3.) In dem Fenster bei Dateiname einfügen\reinkopieren: C:\WINDOWS\system32\sdkkv32.exe 4.) wenn dann die Frage kommt, ob neugestartet werden soll (will be deleted by Windows when the system restarts....Do you want to restart your computer now?" )-->>klicke "No" 5.)und füge das Nächste ein. C:\WINDOWS\system32\mfcax.dll C:\WINDOWS\system32\oerkn.dll C:\WINDOWS\System32\winupdtl.exe C:\Program Files\VBouncer\BundleOuter.EXE C:\WINDOWS\system32\atlng.exe C:\WINDOWS\System32\tibs3.exe C:\Program Files\Windows TaskAd\WinTaskAd.exe c:\docume~1\user1\locals~1\temp\180ax.exe C:\WINDOWS\system32\adduz.exe C:\Program Files\Internet Explorer\sfmnkooz.exe Erst beim letzten klickst du "Yes" und startest den PC neu. #C\Windows\Downloaded Programm Files--> löschen #Datenträgerbereinigung: und Löschen der Temporary-Dateien <Start<Ausfuehren--> reinschreiben : cleanmgr loesche nur: Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k. Click:Temporäre Dateien, o.k <Lade "cwsfix.reg" + "cwsserviceremove.reg + AboutBuster-->updaten !" http://d21c.com/Tom41/?D=A www.malwarebytes.biz/AboutBuster.zip entpacke die drei Tools auf dem Desktop, aber noch nicht öffen--> gehe in den abgesicherten Modus <gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml und dort füge cwsfix.reg" + "cwsserviceremove.reg durch "yes" der Registry bei und scanne mit AboutBuster gehe wieder in den Normalmodus: arbeite das ab: #eScan-Erkennungstool http://www.rokop-security.de/board/index.php?showtopic=3867 Lade dieses Tool: Adding sites\servers to the Internet Explorer Restricted Zone http://www.mvps.org/winhelp2002/restricted.htm Download: Del_HKCU_Domains.inf - Right-click and select: Save Target As To use: right-click and select: Install (no need to restart) Note: This will remove all entries in the "Trusted Zone" also. Dann gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und poste das neue Log vom HijackThis. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 04.12.2004 um 21:00 Uhr von Sabina editiert.
|
|
|
||
04.12.2004, 04:02
...neu hier
Themenstarter Beiträge: 4 |
#5
wie soll ich danken...DANKE!!!
Und sie/du hattest mich einmal "gesiezt" heisst das ich sollte sie/dich "siezen" oder war das ein versehen von dir/ihnen. Wenn,versehen,dann bitte nicht,oder brauch man nicht.Bin 17.Nicht mal mit 83 braeuchte man das! Also alles hat geklappt und ich danke nochmals. Bist/Sind ziemlich intelligent!!!Respekt! Ich schau da nicht durch aber die "Anleitung" war perfekt!Danke schoen! Ach ja nicht denken bin ein Freak oder komisch,weil ich die Umlaute ausschreibe,bin im Ausland deshalb. Naja ich danke nochmals vielmals und konnte sogar auf die TU-Berlin Website gehen...meine Heimat.schnief! Also hilf bitte anderen genauso gut weiter du/sie haben's drauf! george Dieser Beitrag wurde am 04.12.2004 um 20:56 Uhr von Sabina editiert.
|
|
|
||
04.12.2004, 20:42
Ehrenmitglied
Beiträge: 29434 |
#6
Hallo@Jorge220187 (bom dia ? )
Ich habe gewisse Sachen "vorgefertigt", damit ich sie nicht immer neu schreiben muss...und da rutscht manchmal ein "SIE" mit rein. Gehe in die Registry Start<Ausfuehren<regedit: suche folgenden Schluessel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services __NS_Service __NS_Service_2 __NS_Service_3 die Eintraege mit Rechtsklick (Maus) loeschen =>Berechtigungen => Erweitert => Bearbeiten => Zugriff für Löschen ermöglichen => löschen HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root LEGACY___NS_Service LEGACY___NS_Service_2 LEGACY___NS_Service_3 die Eintraege mit Rechtsklick (Maus) loeschen =>Berechtigungen => Erweitert => Bearbeiten => Zugriff für Löschen ermöglichen => löschen Ich wuerde gern dein Log noch mal sehen. #Alternativbrowser zum IE Firefox http://www.mozilla-europe.org/de/ Installation+Konfiguration Firefox http://www.pcwelt.de/know-how/software/103924/index1.html Gruss aus Lissabon Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 04.12.2004 um 20:52 Uhr von Sabina editiert.
|
|
|
||
06.12.2004, 02:49
...neu hier
Themenstarter Beiträge: 4 |
#7
Ah!Alles klar!
"bom dia" und Lissabon und vorallem Gruss...lassen darauf hinaus schliessen,dass du n Portugal bist?!(rethorisch) Ich kann leider nur spanisch aber habe es trotzdem verstanden. undzwar habe ich: __NS_Service __NS_Service_2 __NS_Service_3 nicht gefunden. Aber mein System laeuft stabil und macht keine Probleme,darum... und hier LogF. Logfile of HijackThis v1.99.0 (BETA) Scan saved at 8:44:26 PM, on 12/5/2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Analog Devices\SoundMAX\Smtray.exe C:\WINDOWS\System32\atiptaxx.exe C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe C:\Program Files\Bcpc\bcpc.exe C:\Program Files\Hewlett-Packard\AiO\hp officejet v series\Bin\hpoant07.exe C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe C:\Program Files\Microsoft Office\Office\1033\msoffice.exe C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe C:\WINDOWS\System32\hpoipm07.exe C:\Program Files\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe C:\Program Files\Hewlett-Packard\AiO\Shared\bin\hpOFXM07.exe C:\Program Files\Internet Explorer\iexplore.exe C:\WINDOWS\System32\wuauclt.exe C:\Documents and Settings\user1\Local Settings\Temp\Temporary Directory 4 for hijackthis199_beta.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\oerkn.dll/sp.html#28129 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\oerkn.dll/sp.html#28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\oerkn.dll/sp.html#28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\oerkn.dll/sp.html#28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\oerkn.dll/sp.html#28129 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\oerkn.dll/sp.html#28129 R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {4C8BDCB8-9E1E-7CC1-32B2-743267DC8741} - C:\WINDOWS\system32\mfcax.dll (file missing) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\Smtray.exe O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe O4 - HKLM\..\Run: [TaskScheduler] C:\ProWin03\32bit\TaskSch.exe O4 - HKLM\..\Run: [BCPC] "C:\Program Files\Bcpc\bcpc.exe" O4 - HKLM\..\Run: [Breg] "C:\Program Files\Common Files\Java\bcre.exe" O4 - HKLM\..\Run: [Windows TaskAd] C:\Program Files\Windows TaskAd\WinTaskAd.exe O4 - HKLM\..\Run: [adduz.exe] C:\WINDOWS\system32\adduz.exe O4 - Global Startup: HPAiODevice(hp officejet v series) - 1.lnk = C:\Program Files\Hewlett-Packard\AiO\hp officejet v series\Bin\hpoant07.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O15 - Trusted Zone: *.frame.crazywinnings.com O17 - HKLM\System\CCS\Services\Tcpip\..\{4F72FC0F-6F33-445B-88FF-3FCFDB776566}: NameServer = 207.69.188.187 207.69.188.186 O23 - Service: Intuit Fuse Service - Unknown - C:\Program Files\Common Files\Intuit\Fuse\Service\Intuit Fuse Service.exe O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: Remote Procedure Call (RPC) Helper - Unknown - C:\WINDOWS\system32\sdkkv32.exe (file missing) danke gruesse aus USA. george Dieser Beitrag wurde am 06.12.2004 um 12:18 Uhr von Sabina editiert.
|
|
|
||
06.12.2004, 11:41
Ehrenmitglied
Beiträge: 29434 |
#8
Hallo@Jorge220187
Alles von vorn Deaktivieren Wiederherstellung «XP http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein. #Deaktiviere den Dienst:..genau den, keinen anderen (!) Remote Procedure Call (RPC) Helper http://forums.majorgeeks.com/showthread.php?t=35407 #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\oerkn.dll/sp.html#28129 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\oerkn.dll/sp.html#28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\oerkn.dll/sp.html#28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\oerkn.dll/sp.html#28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\oerkn.dll/sp.html#28129 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\oerkn.dll/sp.html#28129 R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {4C8BDCB8-9E1E-7CC1-32B2-743267DC8741} - C:\WINDOWS\system32\mfcax.dll (file missing) O4 - HKLM\..\Run: [TaskScheduler] C:\ProWin03\32bit\TaskSch.exe O4 - HKLM\..\Run: [BCPC] "C:\Program Files\Bcpc\bcpc.exe" [Adware.BroadcastPC.B] O4 - HKLM\..\Run: [Breg] "C:\Program Files\Common Files\Java\bcre.exe" O4 - HKLM\..\Run: [Windows TaskAd] C:\Program Files\Windows TaskAd\WinTaskAd.exe O4 - HKLM\..\Run: [adduz.exe] C:\WINDOWS\system32\adduz.exe O15 - Trusted Zone: *.frame.crazywinnings.com PC neustarten Gehe in die Registry Start<Ausfuehren<regedit: <HKEY_CURRENT_USER>Software>MIcrosoft>Windows>CurrentVersion>InternetSettings>ZoneMap>Domains> loesche den kompletten Schluessel, der verweist auf:*.frame.crazywinnings.com <HKEY_LOCAL_MACHINE\Software\ loesche: BTV Bcpc <HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall loesche: \BTV \Bcpc #Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK" KillBox geh auf Delete File on Reboot und klick auf das rote Kreuz, ..wenn die Frage kommt: reboot ? klicke auf no , und kopiere das naechste rein, erst beim letzten klickst du auf yes. loesche: C:\WINDOWS\system32\sdkkv32.exe C:\WINDOWS\system32\mfcax.dll C:\WINDOWS\system32\oerkn.dll C:\Program Files\Windows TaskAd C:\WINDOWS\system32\adduz.exe C:\Program Files\Bcpc\bcpc.exe C:\Program Files\Bcpc --> alles loeschen ! C:\Program Files\Common Files\Java\bcre.exe C:\Program Files\Common Files\Java\breg.cfg --------------------------------------------------------------- gehe in den abgesicherten Modus: Note: You must run this program as a user with Administrator privaleges. ->klicke auf "getservice.bat und poste, was im Editor erscheint. http://www.bleepingcomputer.com/files/getservices.php #Lade hier http://www.thespykiller.co.uk/files/ms4hd.zip das kleine Tool Ms4Hd_look herunter und entpacke die Zip-Datei in einen eigenem Ordner Anschließend starte aus diesem Ordner die Datei runme.bat. erhalte zwei Log-Dateien. 1x eine look.log und eine err.log. Poste bitte dessen Inhalt hier. Lade:Attached File(s) swap.zip ( 45.7k ) http://forums.skads.org/index.php?showtopic=81&st=0&p=187entry187 klicke auf: swap.bat PC neustarten suche: c:\swap.txt und c:\log.txt und poste den Text #eScan-Erkennungstool http://www.rokop-security.de/board/index.php?showtopic=3867 <Öffne die mwav.log [oder: -->klick: "view Log" ] -> Bearbeiten -> Suchen -> Wenn man infizierte Dateien in dem "eScan- Log" finden will, sollte man nach infected suchen und die Einträge hier posten, __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 06.12.2004 um 12:18 Uhr von Sabina editiert.
|
|
|
||
habe schon in euren forum gelesen,dass ihr das problem geloest habt.
Bitte helft auch mir.
Danke hier ist meine hijackthis log file:
Logfile of HijackThis v1.98.2
Scan saved at 10:26:59 AM, on 12/2/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\sdkkv32.exe
C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
C:\WINDOWS\System32\atiptaxx.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\WINDOWS\System32\tibs3.exe
C:\Program Files\Windows TaskAd\WinTaskAd.exe
C:\DOCUME~1\user1\LOCALS~1\Temp\ICD2.tmp\svcmm32.exe
C:\Program Files\Windows TaskAd\WinSched.exe
C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
C:\docume~1\user1\locals~1\temp\180ax.exe
C:\WINDOWS\system32\adduz.exe
C:\Documents and Settings\user1\Application Data\roei.exe
C:\Program Files\Hewlett-Packard\AiO\hp officejet v series\Bin\hpoant07.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Program Files\Microsoft Office\Office\1033\msoffice.exe
C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
C:\WINDOWS\System32\hpoipm07.exe
C:\Program Files\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe
C:\Program Files\Hewlett-Packard\AiO\Shared\bin\hpOFXM07.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\winupdt.exe
C:\Documents and Settings\user1\Local Settings\Temp\Temporary Directory 1 for hijackthis.zip\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\oerkn.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\oerkn.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\oerkn.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\oerkn.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\oerkn.dll/sp.html#28129
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\oerkn.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {4C8BDCB8-9E1E-7CC1-32B2-743267DC8741} - C:\WINDOWS\system32\mfcax.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [TaskScheduler] C:\ProWin03\32bit\TaskSch.exe
O4 - HKLM\..\Run: [winupdtl] C:\WINDOWS\System32\winupdtl.exe
O4 - HKLM\..\Run: [VBundleOuterDL] C:\Program Files\VBouncer\BundleOuter.EXE
O4 - HKLM\..\Run: [atlng.exe] C:\WINDOWS\system32\atlng.exe
O4 - HKLM\..\Run: [tibs3] C:\WINDOWS\System32\tibs3.exe
O4 - HKLM\..\Run: [Windows TaskAd] C:\Program Files\Windows TaskAd\WinTaskAd.exe
O4 - HKLM\..\Run: [USB controller] "C:\DOCUME~1\user1\LOCALS~1\Temp\ICD2.tmp\svcmm32.exe" /startup
O4 - HKLM\..\Run: [180ax] c:\docume~1\user1\locals~1\temp\180ax.exe
O4 - HKLM\..\Run: [adduz.exe] C:\WINDOWS\system32\adduz.exe
O4 - HKCU\..\Run: [Iehr] C:\Documents and Settings\user1\Application Data\roei.exe
O4 - Global Startup: HPAiODevice(hp officejet v series) - 1.lnk = C:\Program Files\Hewlett-Packard\AiO\hp officejet v series\Bin\hpoant07.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.awmdabest.com
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchmiracle.com
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=fab19f64c271dfd5b772fcfb344ed4d5f8217f7b03e9b7145eeb15c7b73869070b857bc819ac1ca41787ff0
55d83fcb743482bfaec:0a002003c3f6d5950937c6314a45eb37
danke