O23 - Service: Remote Procedure Call (RPC) Helper - Unknown

#0
02.12.2004, 17:06
...neu hier

Beiträge: 4
#1 ich habe dieses home search assistant tool irgendwie auf meinem PC und ich bekomme dieses nicht weg habe schon es mit cwsshredder,system clean up und vielen anderen programmen versucht.
habe schon in euren forum gelesen,dass ihr das problem geloest habt.
Bitte helft auch mir.
Danke hier ist meine hijackthis log file:

Logfile of HijackThis v1.98.2
Scan saved at 10:26:59 AM, on 12/2/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\sdkkv32.exe
C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
C:\WINDOWS\System32\atiptaxx.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\WINDOWS\System32\tibs3.exe
C:\Program Files\Windows TaskAd\WinTaskAd.exe
C:\DOCUME~1\user1\LOCALS~1\Temp\ICD2.tmp\svcmm32.exe
C:\Program Files\Windows TaskAd\WinSched.exe
C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
C:\docume~1\user1\locals~1\temp\180ax.exe
C:\WINDOWS\system32\adduz.exe
C:\Documents and Settings\user1\Application Data\roei.exe
C:\Program Files\Hewlett-Packard\AiO\hp officejet v series\Bin\hpoant07.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Program Files\Microsoft Office\Office\1033\msoffice.exe
C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
C:\WINDOWS\System32\hpoipm07.exe
C:\Program Files\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe
C:\Program Files\Hewlett-Packard\AiO\Shared\bin\hpOFXM07.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\winupdt.exe
C:\Documents and Settings\user1\Local Settings\Temp\Temporary Directory 1 for hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\oerkn.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\oerkn.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\oerkn.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\oerkn.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\oerkn.dll/sp.html#28129
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\oerkn.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {4C8BDCB8-9E1E-7CC1-32B2-743267DC8741} - C:\WINDOWS\system32\mfcax.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [TaskScheduler] C:\ProWin03\32bit\TaskSch.exe
O4 - HKLM\..\Run: [winupdtl] C:\WINDOWS\System32\winupdtl.exe
O4 - HKLM\..\Run: [VBundleOuterDL] C:\Program Files\VBouncer\BundleOuter.EXE
O4 - HKLM\..\Run: [atlng.exe] C:\WINDOWS\system32\atlng.exe
O4 - HKLM\..\Run: [tibs3] C:\WINDOWS\System32\tibs3.exe
O4 - HKLM\..\Run: [Windows TaskAd] C:\Program Files\Windows TaskAd\WinTaskAd.exe
O4 - HKLM\..\Run: [USB controller] "C:\DOCUME~1\user1\LOCALS~1\Temp\ICD2.tmp\svcmm32.exe" /startup
O4 - HKLM\..\Run: [180ax] c:\docume~1\user1\locals~1\temp\180ax.exe
O4 - HKLM\..\Run: [adduz.exe] C:\WINDOWS\system32\adduz.exe
O4 - HKCU\..\Run: [Iehr] C:\Documents and Settings\user1\Application Data\roei.exe
O4 - Global Startup: HPAiODevice(hp officejet v series) - 1.lnk = C:\Program Files\Hewlett-Packard\AiO\hp officejet v series\Bin\hpoant07.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.awmdabest.com
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchmiracle.com
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=fab19f64c271dfd5b772fcfb344ed4d5f8217f7b03e9b7145eeb15c7b73869070b857bc819ac1ca41787ff0
55d83fcb743482bfaec:0a002003c3f6d5950937c6314a45eb37

danke
Dieser Beitrag wurde am 04.12.2004 um 20:59 Uhr von Sabina editiert.
Seitenanfang Seitenende
03.12.2004, 15:55
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo@Jorge220187

HijackThis/1.99 BETA Version
Download: http://www.merijn.org/files/beta/hijackthis199_beta.zip
Alternativ: http://www.hijackthis.de/downloads/...his199_beta.zip

1.Log
Lade/entpacke das Tool --> scan --> save--> es öffnet sich der Editor -->
nun das
KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
___________________________________________________________________-

Ladet hier http://www.thespykiller.co.uk/files/ms4hd.zip das kleine Tool Ms4Hd_look herunter und entpackt die Zip-Datei in einen eigenem Ordner.
Anschließend startet ihr aus diesem Ordner die Datei runme.bat. Ihr erhaltet zwei Log-Dateien. 1x eine look.log und eine err.log. Postet bitte dessen Inhalt hier.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 03.12.2004 um 16:18 Uhr von Sabina editiert.
Seitenanfang Seitenende
03.12.2004, 17:46
...neu hier

Themenstarter

Beiträge: 4
#3 danke schoen:

dieses andere Programm funktioniert nicht er sagt immer:"cannot find the MH4_Look.log file. Do you want to create a new file?"

bei "no" gibt er mir ne Mh4_err file.
bei "yes" bekomme ich das Notepad prog. geoeffnet und soll selber schreiben...kann ich nicht.Also ist die File leer.

aber ich habe es irgendwie geschafft ne Ms4Hd_look file zu bekommen(weiss nicht ob das was bringt)
An Ms4Hd_look by IMM (v0.003)
Version Info: 5.1000 = Windows XP Pro SP1 (Build 2600)
The volume containing the system directory is C: (NTFS)

HKLM\SYSTEM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ms4Hd
Error: Unable to open key (Return Code was 2)

HKLM\SYSTEM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ms4Hd\Files
Error: Unable to open key (Return Code was 2)

HKLM\SYSTEM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ms4Hd\Processes
Error: Unable to open key (Return Code was 2)

HKLM\SYSTEM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ms4Hd\RegKeys
Error: Unable to open key (Return Code was 2)

HKLM\SYSTEM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ms4Hd\RegValues
Error: Unable to open key (Return Code was 2)

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
(1 subkey(s) and 13 values) last modified 16:14 3/12/2004 (UTC)
[Smapp] "C:\Program Files\Analog Devices\SoundMAX\Smtray.exe" (SZ)
[AtiPTA] "atiptaxx.exe" (SZ)
[NeroCheck] "C:\WINDOWS\System32\NeroCheck.exe" (SZ)
[Share-to-Web Namespace Daemon] "C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe" (SZ)
[TaskScheduler] "C:\ProWin03\32bit\TaskSch.exe" (SZ)
[winupdtl] "C:\WINDOWS\System32\winupdtl.exe" (SZ)
[VBundleOuterDL] "C:\Program Files\VBouncer\BundleOuter.EXE" (SZ)
[atlng.exe] "C:\WINDOWS\system32\atlng.exe" (SZ)
[tibs3] "C:\WINDOWS\System32\tibs3.exe" (SZ)
[Windows TaskAd] "C:\Program Files\Windows TaskAd\WinTaskAd.exe" (SZ)
[USB controller] ""C:\DOCUME~1\user1\LOCALS~1\Temp\ICD2.tmp\svcmm32.exe" /startup" (SZ)
[180ax] "c:\docume~1\user1\locals~1\temp\180ax.exe" (SZ)
[adduz.exe] "C:\WINDOWS\system32\adduz.exe" (SZ)



Logfile of HijackThis v1.99.0 (BETA)
Scan saved at 11:28:47 AM, on 12/3/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\sdkkv32.exe
C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
C:\WINDOWS\System32\atiptaxx.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\WINDOWS\System32\tibs3.exe
C:\Program Files\Windows TaskAd\WinTaskAd.exe
C:\DOCUME~1\user1\LOCALS~1\Temp\ICD2.tmp\svcmm32.exe
C:\WINDOWS\system32\adduz.exe
C:\Documents and Settings\user1\Application Data\roei.exe
C:\Program Files\Hewlett-Packard\AiO\hp officejet v series\Bin\hpoant07.exe
C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Program Files\Windows TaskAd\WinSched.exe
C:\Program Files\Microsoft Office\Office\1033\msoffice.exe
C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
C:\WINDOWS\System32\hpoipm07.exe
C:\Program Files\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe
C:\Program Files\Hewlett-Packard\AiO\Shared\bin\hpOFXM07.exe
C:\WINDOWS\System32\wuauclt.exe
c:\docume~1\user1\locals~1\temp\180ax.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\winupdt.exe
C:\Program Files\Microsoft Office\Office\WINWORD.EXE
C:\Documents and Settings\user1\Local Settings\Temp\Temporary Directory 1 for hijackthis199_beta.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\oerkn.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\oerkn.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\oerkn.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\oerkn.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\oerkn.dll/sp.html#28129
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\oerkn.dll/sp.html#28129
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {4C8BDCB8-9E1E-7CC1-32B2-743267DC8741} - C:\WINDOWS\system32\mfcax.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [TaskScheduler] C:\ProWin03\32bit\TaskSch.exe
O4 - HKLM\..\Run: [winupdtl] C:\WINDOWS\System32\winupdtl.exe
O4 - HKLM\..\Run: [VBundleOuterDL] C:\Program Files\VBouncer\BundleOuter.EXE
O4 - HKLM\..\Run: [atlng.exe] C:\WINDOWS\system32\atlng.exe
O4 - HKLM\..\Run: [tibs3] C:\WINDOWS\System32\tibs3.exe
O4 - HKLM\..\Run: [Windows TaskAd] C:\Program Files\Windows TaskAd\WinTaskAd.exe
O4 - HKLM\..\Run: [USB controller] "C:\DOCUME~1\user1\LOCALS~1\Temp\ICD2.tmp\svcmm32.exe" /startup
O4 - HKLM\..\Run: [180ax] c:\docume~1\user1\locals~1\temp\180ax.exe
O4 - HKLM\..\Run: [adduz.exe] C:\WINDOWS\system32\adduz.exe
O4 - HKCU\..\Run: [Iehr] C:\Documents and Settings\user1\Application Data\roei.exe
O4 - Global Startup: HPAiODevice(hp officejet v series) - 1.lnk = C:\Program Files\Hewlett-Packard\AiO\hp officejet v series\Bin\hpoant07.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.awmdabest.com
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchmiracle.com
O16 - DPF: {10000000-1000-0000-1000-000000000000} - file://C:\Program Files\Internet Explorer\sfmnkooz.exe
O16 - DPF: {11111111-1111-1111-1111-222222222222} - ms-its:mhtml:file://d:\foo.mht!http://008i.com/pic//28129.chm::/open.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=fab19f64c271dfd5b772fcfb344ed
4d5f8217f7b03e9b7145eeb15c7b73869070b857bc819ac1ca41787ff055d83fcb743482bfaec:
0a002003c3f6d5950937c6314a45eb37
O17 - HKLM\System\CCS\Services\Tcpip\..\{4F72FC0F-6F33-445B-88FF-3FCFDB776566}: NameServer = 207.69.188.187 207.69.188.186
O23 - Service: Intuit Fuse Service - Unknown - C:\Program Files\Common Files\Intuit\Fuse\Service\Intuit Fuse Service.exe
O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Remote Procedure Call (RPC) Helper - Unknown - C:\WINDOWS\system32\sdkkv32.exe

danke und sag bescheid was zu machen ist!
Dieser Beitrag wurde am 04.12.2004 um 01:52 Uhr von Sabina editiert.
Seitenanfang Seitenende
04.12.2004, 01:52
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Hallo@Jorge220187

CoolWebSearch Variante, die über einen Windows Dienst gestartet wird.

Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein.

#Deaktiviere den Dienst:..genau den, keinen anderen (!)
Remote Procedure Call (RPC) Helper

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\oerkn.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\oerkn.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\oerkn.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\oerkn.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\oerkn.dll/sp.html#28129
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\oerkn.dll/sp.html#28129
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {4C8BDCB8-9E1E-7CC1-32B2-743267DC8741} - C:\WINDOWS\system32\mfcax.dll
O4 - HKLM\..\Run: [winupdtl] C:\WINDOWS\System32\winupdtl.exe
O4 - HKLM\..\Run: [VBundleOuterDL] C:\Program Files\VBouncer\BundleOuter.EXE
O4 - HKLM\..\Run: [atlng.exe] C:\WINDOWS\system32\atlng.exe
O4 - HKLM\..\Run: [tibs3] C:\WINDOWS\System32\tibs3.exe
O4 - HKLM\..\Run: [Windows TaskAd] C:\Program Files\Windows TaskAd\WinTaskAd.exe
O4 - HKLM\..\Run: [USB controller] "C:\DOCUME~1\user1\LOCALS~1\Temp\ICD2.tmp\svcmm32.exe" /startup
O4 - HKLM\..\Run: [180ax] c:\docume~1\user1\locals~1\temp\180ax.exe
O4 - HKLM\..\Run: [adduz.exe] C:\WINDOWS\system32\adduz.exe
O4 - HKCU\..\Run: [Iehr] C:\Documents and Settings\user1\Application Data\roei.exe
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.awmdabest.com
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchmiracle.com
O16 - DPF: {10000000-1000-0000-1000-000000000000} - file://C:\Program Files\Internet Explorer\sfmnkooz.exe
O16 - DPF: {11111111-1111-1111-1111-222222222222} - ms-its:mhtml:file://d:\foo.mht!http://008i.com/pic//28129.chm::/open.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=fab19f64c271dfd5b772fcfb344ed4d5f8217f7b03e9b7145eeb1
O23 - Service: Remote Procedure Call (RPC) Helper - Unknown - C:\WINDOWS\system32\sdkkv32.exe

PC neustarten

1.) öffne das HijackThis:
2.) HijackThis starten, den Config Button klicken - MiscTools - "Delete a file on reboot" .
3.) In dem Fenster bei Dateiname einfügen\reinkopieren:

C:\WINDOWS\system32\sdkkv32.exe

4.) wenn dann die Frage kommt, ob neugestartet werden soll (will be deleted by Windows when the system restarts....Do you want to restart your computer now?" )-->>klicke "No"
5.)und füge das Nächste ein.

C:\WINDOWS\system32\mfcax.dll
C:\WINDOWS\system32\oerkn.dll
C:\WINDOWS\System32\winupdtl.exe
C:\Program Files\VBouncer\BundleOuter.EXE
C:\WINDOWS\system32\atlng.exe
C:\WINDOWS\System32\tibs3.exe
C:\Program Files\Windows TaskAd\WinTaskAd.exe
c:\docume~1\user1\locals~1\temp\180ax.exe
C:\WINDOWS\system32\adduz.exe
C:\Program Files\Internet Explorer\sfmnkooz.exe

Erst beim letzten klickst du "Yes" und startest den PC neu.

#C\Windows\Downloaded Programm Files--> löschen

#Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
Click:Temporäre Dateien, o.k

<Lade "cwsfix.reg" + "cwsserviceremove.reg + AboutBuster-->updaten !"
http://d21c.com/Tom41/?D=A
www.malwarebytes.biz/AboutBuster.zip
entpacke die drei Tools auf dem Desktop, aber noch nicht öffen--> gehe in den abgesicherten Modus

<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

und dort füge cwsfix.reg" +
"cwsserviceremove.reg durch "yes" der Registry bei und scanne mit
AboutBuster

gehe wieder in den Normalmodus:
arbeite das ab:
#eScan-Erkennungstool
http://www.rokop-security.de/board/index.php?showtopic=3867

Lade dieses Tool:
Adding sites\servers to the Internet Explorer Restricted Zone
http://www.mvps.org/winhelp2002/restricted.htm
Download: Del_HKCU_Domains.inf - Right-click and select: Save Target As
To use: right-click and select: Install (no need to restart)
Note: This will remove all entries in the "Trusted Zone" also.

Dann
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken

und poste das neue Log vom HijackThis.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 04.12.2004 um 21:00 Uhr von Sabina editiert.
Seitenanfang Seitenende
04.12.2004, 04:02
...neu hier

Themenstarter

Beiträge: 4
#5 wie soll ich danken...DANKE!!!
Und sie/du hattest mich einmal "gesiezt" heisst das ich sollte sie/dich "siezen" oder war das ein versehen von dir/ihnen.
Wenn,versehen,dann bitte nicht,oder brauch man nicht.Bin 17.Nicht mal mit 83 braeuchte man das!
Also alles hat geklappt und ich danke nochmals.
Bist/Sind ziemlich intelligent!!!Respekt!
Ich schau da nicht durch aber die "Anleitung" war perfekt!Danke schoen!
Ach ja nicht denken bin ein Freak oder komisch,weil ich die Umlaute ausschreibe,bin im Ausland deshalb.
Naja ich danke nochmals vielmals und konnte sogar auf die TU-Berlin Website gehen...meine Heimat.schnief!
Also hilf bitte anderen genauso gut weiter du/sie haben's drauf!
george
Dieser Beitrag wurde am 04.12.2004 um 20:56 Uhr von Sabina editiert.
Seitenanfang Seitenende
04.12.2004, 20:42
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Hallo@Jorge220187 (bom dia ? )

Ich habe gewisse Sachen "vorgefertigt", damit ich sie nicht immer neu schreiben muss...und da rutscht manchmal ein "SIE" mit rein.

Gehe in die Registry
Start<Ausfuehren<regedit:
suche folgenden Schluessel:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
__NS_Service
__NS_Service_2
__NS_Service_3

die Eintraege mit Rechtsklick (Maus) loeschen
=>Berechtigungen => Erweitert => Bearbeiten => Zugriff für Löschen ermöglichen => löschen

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root
LEGACY___NS_Service
LEGACY___NS_Service_2
LEGACY___NS_Service_3

die Eintraege mit Rechtsklick (Maus) loeschen
=>Berechtigungen => Erweitert => Bearbeiten => Zugriff für Löschen ermöglichen => löschen

Ich wuerde gern dein Log noch mal sehen.

#Alternativbrowser zum IE
Firefox
http://www.mozilla-europe.org/de/
Installation+Konfiguration Firefox
http://www.pcwelt.de/know-how/software/103924/index1.html

Gruss aus Lissabon
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 04.12.2004 um 20:52 Uhr von Sabina editiert.
Seitenanfang Seitenende
06.12.2004, 02:49
...neu hier

Themenstarter

Beiträge: 4
#7 Ah!Alles klar!
"bom dia" und Lissabon und vorallem Gruss...lassen darauf hinaus schliessen,dass du n Portugal bist?!(rethorisch)
Ich kann leider nur spanisch aber habe es trotzdem verstanden.

undzwar habe ich:
__NS_Service
__NS_Service_2
__NS_Service_3
nicht gefunden.
Aber mein System laeuft stabil und macht keine Probleme,darum...

und hier LogF.

Logfile of HijackThis v1.99.0 (BETA)
Scan saved at 8:44:26 PM, on 12/5/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
C:\WINDOWS\System32\atiptaxx.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Program Files\Bcpc\bcpc.exe
C:\Program Files\Hewlett-Packard\AiO\hp officejet v series\Bin\hpoant07.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
C:\Program Files\Microsoft Office\Office\1033\msoffice.exe
C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
C:\WINDOWS\System32\hpoipm07.exe
C:\Program Files\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe
C:\Program Files\Hewlett-Packard\AiO\Shared\bin\hpOFXM07.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\user1\Local Settings\Temp\Temporary Directory 4 for hijackthis199_beta.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\oerkn.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\oerkn.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\oerkn.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\oerkn.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\oerkn.dll/sp.html#28129
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\oerkn.dll/sp.html#28129
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {4C8BDCB8-9E1E-7CC1-32B2-743267DC8741} - C:\WINDOWS\system32\mfcax.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [TaskScheduler] C:\ProWin03\32bit\TaskSch.exe
O4 - HKLM\..\Run: [BCPC] "C:\Program Files\Bcpc\bcpc.exe"
O4 - HKLM\..\Run: [Breg] "C:\Program Files\Common Files\Java\bcre.exe"
O4 - HKLM\..\Run: [Windows TaskAd] C:\Program Files\Windows TaskAd\WinTaskAd.exe
O4 - HKLM\..\Run: [adduz.exe] C:\WINDOWS\system32\adduz.exe
O4 - Global Startup: HPAiODevice(hp officejet v series) - 1.lnk = C:\Program Files\Hewlett-Packard\AiO\hp officejet v series\Bin\hpoant07.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O15 - Trusted Zone: *.frame.crazywinnings.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{4F72FC0F-6F33-445B-88FF-3FCFDB776566}: NameServer = 207.69.188.187 207.69.188.186
O23 - Service: Intuit Fuse Service - Unknown - C:\Program Files\Common Files\Intuit\Fuse\Service\Intuit Fuse Service.exe
O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Remote Procedure Call (RPC) Helper - Unknown - C:\WINDOWS\system32\sdkkv32.exe (file missing)


danke gruesse aus USA.
george
Dieser Beitrag wurde am 06.12.2004 um 12:18 Uhr von Sabina editiert.
Seitenanfang Seitenende
06.12.2004, 11:41
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 Hallo@Jorge220187

Alles von vorn

Deaktivieren Wiederherstellung
«XP
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

Um die Diensteverwaltung
explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein.

#Deaktiviere den Dienst:..genau den, keinen anderen (!)
Remote Procedure Call (RPC) Helper
http://forums.majorgeeks.com/showthread.php?t=35407

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\oerkn.dll/sp.html#28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\oerkn.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\oerkn.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\oerkn.dll/sp.html#28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\oerkn.dll/sp.html#28129
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\oerkn.dll/sp.html#28129
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {4C8BDCB8-9E1E-7CC1-32B2-743267DC8741} - C:\WINDOWS\system32\mfcax.dll (file missing)
O4 - HKLM\..\Run: [TaskScheduler] C:\ProWin03\32bit\TaskSch.exe
O4 - HKLM\..\Run: [BCPC] "C:\Program Files\Bcpc\bcpc.exe" [Adware.BroadcastPC.B]
O4 - HKLM\..\Run: [Breg] "C:\Program Files\Common Files\Java\bcre.exe"
O4 - HKLM\..\Run: [Windows TaskAd] C:\Program Files\Windows TaskAd\WinTaskAd.exe
O4 - HKLM\..\Run: [adduz.exe] C:\WINDOWS\system32\adduz.exe
O15 - Trusted Zone: *.frame.crazywinnings.com

PC neustarten

Gehe in die Registry
Start<Ausfuehren<regedit:
<HKEY_CURRENT_USER>Software>MIcrosoft>Windows>CurrentVersion>InternetSettings>ZoneMap>Domains>
loesche den kompletten Schluessel, der verweist auf:*.frame.crazywinnings.com

<HKEY_LOCAL_MACHINE\Software\
loesche:
BTV
Bcpc

<HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall
loesche:
\BTV
\Bcpc

#Windows Explorer -> "Extras/Ordneroptionen" ->
"Ansicht" -> Haken entfernen bei "Geschützte Systemdateien
ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen"
aktivieren -> "OK"

KillBox
geh auf Delete File on Reboot und klick auf das rote Kreuz, ..wenn die Frage kommt: reboot ? klicke auf no , und kopiere das naechste rein, erst beim letzten klickst du auf yes.

loesche:
C:\WINDOWS\system32\sdkkv32.exe
C:\WINDOWS\system32\mfcax.dll
C:\WINDOWS\system32\oerkn.dll
C:\Program Files\Windows TaskAd
C:\WINDOWS\system32\adduz.exe

C:\Program Files\Bcpc\bcpc.exe
C:\Program Files\Bcpc --> alles loeschen !
C:\Program Files\Common Files\Java\bcre.exe
C:\Program Files\Common Files\Java\breg.cfg
---------------------------------------------------------------

gehe in den abgesicherten Modus:
Note: You must run this program as a user with Administrator privaleges.
->klicke auf "getservice.bat und poste, was im Editor erscheint.
http://www.bleepingcomputer.com/files/getservices.php

#Lade hier http://www.thespykiller.co.uk/files/ms4hd.zip das kleine Tool Ms4Hd_look herunter und entpacke die Zip-Datei in einen eigenem Ordner
Anschließend starte aus diesem Ordner die Datei runme.bat. erhalte zwei Log-Dateien. 1x eine look.log und eine err.log. Poste bitte dessen Inhalt hier.

Lade:Attached File(s)
swap.zip ( 45.7k )
http://forums.skads.org/index.php?showtopic=81&st=0&p=187&#entry187
klicke auf: swap.bat
PC neustarten
suche: c:\swap.txt und c:\log.txt und poste den Text

#eScan-Erkennungstool
http://www.rokop-security.de/board/index.php?showtopic=3867
<Öffne die mwav.log [oder: -->klick: "view Log" ] -> Bearbeiten -> Suchen ->
Wenn man infizierte Dateien in dem "eScan- Log" finden will, sollte
man nach infected suchen und die Einträge hier posten,
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 06.12.2004 um 12:18 Uhr von Sabina editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: