Trojanische Pferd TR/StartPage.qr.DLL |
||
---|---|---|
#0
| ||
11.04.2005, 15:27
...neu hier
Beiträge: 1 |
||
|
||
26.04.2005, 14:11
Ehrenmitglied
Beiträge: 29434 |
#47
Hallo@bonsaitt
1.Schritt: Hijacker about:blank - se.dll\sp.html--> scannen http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html 2. Schritt: Start-->Ausfuehren--> regedit +HKEY_CURRENT_USER\Software\Microsoft\Internet \Explorer\Desktop\Components falls du es findest--> loesche auf der rechten Seite der Registry den Unterschluessel "0" mit Rechtsklick HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0\ loeschen.--> "FriendlyName" = "Security" "Source" = "C:\WINDOWS\Web\desktop.html" "SubscribedURL" = "C:\WINDOWS\Web\desktop.html" #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\WERNER~1\LOKALE~1\Temp\se.dll/spage.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\WERNER~1\LOKALE~1\Temp\se.dll/spage.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: Related Page - {9A9C9B69-F908-4AAB-8D0C-10EA8997F37E} - C:\WINDOWS\System32\WinNB57.dll O3 - Toolbar: Related Page - {9A9C9B68-F908-4AAB-8D0C-10EA8997F37E} - C:\WINDOWS\System32\WinNB57.dll O4 - HKLM\..\Run: [winshost.exe] C:\WINDOWS\System32\winshost.exe O4 - HKLM\..\Run: [sp] rundll32 C:\DOKUME~1\WERNER~1\LOKALE~1\Temp\se.dll,DllInstall O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe O4 - HKCU\..\Run: [winshost.exe] C:\WINDOWS\System32\winshost.exe<--Troj/BagleDl-G O4 - HKCU\..\Run: [wingo] C:\WINDOWS\System32\wingo.exe<<-I-Worm.Bagle.AT O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe O15 - Trusted Zone: http://awbeta.net-nucleus.com (HKLM) O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} - http://install.global-netcom.de/ieloader.cab O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cab O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab O16 - DPF: {11111111-1111-1111-1111-511111193457} - file://c:\x.cab O16 - DPF: {11111111-1111-1111-1111-511111193458} - file://c:\x.cab O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q330995.exe O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab O16 - DPF: {43331111-1111-1111-1111-611111195622} - file://c:\ex.cab O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://www.service-url.de/install/StarInstall.ocx O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll (file missing) PC neustarten •KillBox http://www.bleepingcomputer.com/files/killbox.php •Delete File on Reboot <--anhaken und klick auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\WINDOWS\System32\runsrv32.exe C:\WINDOWS\System32\runsrv32.dll C:\WINDOWS\System32\txfdb32.dll C:\WINDOWS\System32\srpcsrv32.dll C:\WINDOWS\System32\runsvc32.exe C:\WINDOWS\System\runsrv32.dll C:\WINDOWS\System32\spoolsrv32.exe C:\WINDOWS\System32\runoledb32.exe C:\Program Files\TopAntiSpyware C:\WINDOWS\desktop.html C:\WINDOWS\Web\desktop.html C:\r.exe C:\Recycled\Q330995.exe C:\WINDOWS\System32\WinNB57.dll C:\WINDOWS\System32\vbsys2.dll C:\Windows\Downloaded Program Files\StarInstall.ocx c:\ex.cab c:\eied_s7.cab c:\explorer.cab c:\ieloader.cab C:Windows\System32\MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D C:\WINDOWS\_re_file.exe C:windows\e_file.exe C:windows\_e_file.exe C:\WINDOWS\re_file.exe C:\WINDOWS\System32\winshost.exe C:\WINDOWS\System32\wingo.exe PC neustarten •Stinger http://vil.nai.com/vil/stinger/ Suche:/LoeSche: g.jpg ZOO.JPG How can I try F-Secure BlackLight Rootkit Elimination Technology? A free beta version of F-Secure BlackLight is available for download. The beta is fully featured and works until April 30th 2005. http://www.f-secure.com/blacklight/cure.shtml Graphical user interface version: (Recommended for most users) lade: fsbl.exe Command line version: Lade:fsblc.exe CCleaner--> loesche alle *temp-Datein http://www.ccleaner.com/ccdownload.asp C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temporary Internet Files\Content.IE5--alles loeschen (lasse nur die index.dat) C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CLA7KTIF\eied_s7[1].chm so kann man C:\WINDOWS\Web\desktop.html loeschen Geht auf Start -> Einstellungen -> Systemsteuerung und klickt dort auf "Anzeige" Darin gibt es ein Register "Desktop" und die Möglichkeit "Desktop anpassen". Darin wiederum klickt ihr auf das Register "Web" und entfernt dort "Security" in der Liste deinstallie den Antivirus lade: avast_4_home http://www.avast.com/eng/avast_4_home.html installieren--> dann wird ein Boots-Scann angeboten-->akzeptieren und danach das Log vom Scann suchen und posten aswclnr.log DATA/report/aswboot.txt •eScan-Erkennungstool eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich: http://www.mwti.net/antivirus/free_utilities.asp oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche kavupd.exe, die klickst du an--> (Update- in DOS) ausführen gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen : Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory -->und "Scan " klicken. •Gehe wieder in den Normalmodus: •mache bitte folgendes: nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du "infected" ein •jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw. •und ganz unten steht die zusammenfassung, diese auch hier posten ---------------------- INFO. http://www.sophos.de/virusinfo/analyses/trojbagledlg.html http://www.f-secure.de/v-desk/small_tl.shtml Troj/BagleDl-G ist ein Downloader-Trojaner für die Windows-Plattform. Troj/BagleDl-G versucht, die Datei ZOO.JPG von zahlreichen URLs herunterzuladen. Wenn er damit erfolgreich ist, startet der Trojaner diese Datei als Programm. Troj/BagleDl-G versucht, zahlreiche Antiviren- und Sicherheits-Anwendungen zu beenden. Wenn er erstmals ausgeführt wird, kopiert sich Troj/BagleDl-G als WINSHOST.EXE in den Windows-Systemordner. Der Trojaner legt dann eine DLL namens WITSHOST.EXE ab und fügt sie in den EXPLORER-EXE Prozess ein, um sich vor dem Benutzer zu verstecken. Die DLL wird ebenfalls als Troj/BagleDl-G erkannt. Anschließend startet der Trojaner einen Thread, der in folgenden Registrierungsschlüsseln die Schlüssel selbst oder bestimmte Werte löscht: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,Symantec NetDriver Monitor HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,ccApp HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,NAV CfgWiz HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,SSC_UserPrompt HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,McAfee Guardian HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,McAfee.InstantUpdate.Monitoder HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,APVXDWIN HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,KAV50 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,avg7_cc HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,avg7_emc HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,Zone Labs Client HKLM\SOFTWARE\Symantec HKLM\SOFTWARE\McAfee HKLM\SOFTWARE\KasperskyLab HKLM\SOFTWARE\Agnitum HKLM\SOFTWARE\Panda Software HKLM\SOFTWARE\Zone Labs ---------------- http://www.ikarus-software.at/portal/modules.php?name=News&file=article&sid=107 Es erstellt den Mutex: MuXxXxTENYKSDesignedAsTheFollowerOfSkynet-D (normalerweise ist %System% der Windows system Ordner der unter win9x/ME unter C:windowssystem zu finden ist, das Equivalent dazu unter WIN NT/2K/XP ist normalerweise C:WINNT\System32\ (bei NT) und 2000 sowie C:Windows\System32\ bei WindowsXP). Es erzeugt folgenden Schlüssel in der Registry der beim nächsten Windows Start ausgeführt werden: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun wingo = %SYSTEM%wingo.exe Zudem öffnet der Wurm Port 80 und versucht von einer im Wurm enthaltenen Adresse (z.B. http://www.xxxombouncer.com/g.jpg") die Datei g.jpg Datei nachzuladen, die eine ausführbare Datei darstellt und dann nach C:winnt\e_file.exe kopiert wird. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
26.04.2005, 14:49
Ehrenmitglied
Beiträge: 29434 |
#48
Hallo@hansjosef
Hijacker about:blank - se.dll\sp.html--> scannen http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html suche das Log vom Scann--poste es #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank O2 - BHO: (no name) - {DE4561A1-899D-11D9-B1A0-00805921E790} - C:\WINDOWS\SYSTEM\MPEI.DLL O4 - HKLM\..\Run: [SyGateManager] C:\PROGRAMME\SYGATE\SHN\Sygate.exe O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\SYSTEM\SysUpd.exe PC neustarten •KillBox http://www.bleepingcomputer.com/files/killbox.php •Delete File on Reboot <--anhaken und klick auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\WINDOWS\SYSTEM\MPEI.DLL C:\WINDOWS\SYSTEM\SysUpd.exe PC neustarten C:\PROGRAMME\SYGATE\SHN<--deinstallieren CCleaner--> loesche alle *temp-Datein http://www.ccleaner.com/ccdownload.asp •eScan-Erkennungstool eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich: http://www.mwti.net/antivirus/free_utilities.asp -->mwav.exe oeffnen-->alle Haekchen setzen-->scannen-->View Log anklicken--> Bearbeiten anklicken--> "infected" reinschreiben und nun alles rauskopieren, was angezeigt wird--> ----------------------- INFO: Troj/Tinytest-A ist ein Downloader-Trojaner, der versucht, eine ausführbare Datei von einem remoten Speicherort herunterzuladen und zu starten. Troj/Tinytest-A ist typischerweise so konfiguriert, das ein Adware-Programm von webinstall.tscash.com heruntergeladen wird. Das Adware-Programm wird als SysUpd.exe in den Windows-Systemordner heruntergeladen und ausgeführt. Der folgende Registrierungseintrag wird erstellt, so dass SysUpd.exe automatisch beim Start ausgeführt wird: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ SysUpd = %SYSTEM%\SysUpd.exe __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
26.04.2005, 15:05
Ehrenmitglied
Beiträge: 29434 |
#49
Hallo@ERTAY
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten nur fixen, falls du es nicht kennst...... O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://62.109.87.237/locke/progress/XUpload.ocx PC neustarten Start-->alle Programme-->Zubehoer-->Editor und kopiere folgenden Text rein: dir c:\WINDOWS\System32\LgNotify.dll /a h > files.txt notepad files.txt <Speichern als: Findfile.bat <abspeichern unter : Dateityp: alle Dateien <speichere auf dem Desktop Locate FindFile.bat--> doppelklick auf die bat-Datei , der Editor oeffnet sich-->poste den Text --------------------------------------------------------------------------------- •eScan-Erkennungstool eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich: http://www.mwti.net/antivirus/free_utilities.asp oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche kavupd.exe, die klickst du an--> (Update- in DOS) ausführen gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen : Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory -->und "Scan " klicken. •Gehe wieder in den Normalmodus: •mache bitte folgendes: nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du "infected" ein •jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw. •und ganz unten steht die zusammenfassung, diese auch hier posten ------------------------------------------------------------------------------------------- # Laden Sie L2mfix von hier : # http://bilder.informationsarchiv.net/Nikitas_Tools/l2mfix.exe # Speichern Sie die Datei auf Ihren Desktop und doppel-klicken Sie click l2mfix.exe. # Klicken Sie auf Installieren um die Dateien zu extrahieren und folgen Sie den Anweisungen während der Installation. # Dann öffnen Sie den auf Ihrem Desktop neuerstellten Ordner l2mfix # Doppel-klicken Sie die Datei l2mfix.bat und tippen sie eine 1 und drücken Sie [Enter], um Find log laufen zu lassen. Dies wird Ihren Computer scannen. Es kann sein, das es so aussieht als ob nichts passiert, aber nach 1 oder 2 Minuten wird sich Notepad mit einem Log öffnen. # Kopieren Sie den Inhalt durch Strg+A und fügen Sie den Inhalt in Ihren Thread durch Strg+V...oder einfach mit der Maus abkopieren. WICHTIG:Nutzen Sie nicht Option 2, oder jegliche andere Dateien aus dem l2mfix Ordner, bis Sie dazu aufgefordert werden! # Schließen Sie alle offenen Programme , da der nächste Schritt einen Neustart erfordert. Klicken Sie erneut auf l2mfix.bat und tippen Sie 2 ein --> [Enter]. # Drücken Sie eine beliebige Taste um einen Systemneustart einzuleiten. # Nach dem Neustart, werden Ihre Icons auf dem Desktop kurz erscheinen und kurz verschwinden - dies ist NORMAL. # L2mfix wird den Systemscan fortsetzen und wenn es fertig ist, wird sich Notepad öffnen und einen Log anzeigen. Kopieren Sie auch diesen hier in den Thread/ins Forum (Strg+C & Strg+V). Posten Sie ausserdem einen aktuellen HijackThis Log. WICHTIG: Nutzen Sie nicht Option 2, oder jegliche andere Dateien aus dem l2mfix Ordner, bis Sie dazu aufgefordert werden! # Doppel-klicken Sie erneut auf l2mfix.bat und geben Sie 4 ein. Bestätigen Sie mit [Enter]. # Dies stellt die Winlogon Standardeinstellungen wieder her. # Posten Sie einen aktuellen HijackThis Log __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
26.04.2005, 15:17
Ehrenmitglied
Beiträge: 29434 |
#50
Hallo@Johnny99
Jotti's malware scan 2.4 - einzelne "exe" ueberpruefen http://virusscan.jotti.org/de/ C:\WINDOWS\tktlpsaw.exe C:\WINDOWS\System32\dbjb.dll Oben auf der Seite auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten und danach das Ergebnis abkopieren und hier im Beitrag posten #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank O2 - BHO: (no name) - {B45361C4-7B13-41FF-ACE1-711E6DCBE56D} - C:\WINDOWS\System32\dbjb.dll O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file) O4 - HKLM\..\Run: [RecoverFromReboot] C:\WINDOWS\Temp\RecoverFromReboot.exe O4 - HKLM\..\Run: [1HphD] C:\WINDOWS\tktlpsaw.exe O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cab PC neustarten •eScan-Erkennungstool eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich: http://www.mwti.net/antivirus/free_utilities.asp oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche kavupd.exe, die klickst du an--> (Update- in DOS) ausführen gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen : Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory -->und "Scan " klicken. •Gehe wieder in den Normalmodus: •mache bitte folgendes: nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du "infected" ein •jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw. •und ganz unten steht die zusammenfassung, diese auch hier posten __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
26.04.2005, 15:21
Ehrenmitglied
Beiträge: 29434 |
#51
Hallo@Marcus87
Hijacker about:blank - se.dll\sp.html--> scanne http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\se.dll/sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\se.dll/sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: 24T - {4E7BD74F-2B8D-469E-C68A-8D2CF4D5FA7D} - C:\WINNT\system\ppc.dll (file missing) O3 - Toolbar: 24T - {4E7BD74F-2B8D-469E-C68A-8D2CF4D5FA7D} - C:\WINNT\system\ppc.dll (file missing) O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) PC neustarten •KillBox http://www.bleepingcomputer.com/files/killbox.php •Delete File on Reboot <--anhaken C:\WINNT\system\ppc.dll und klick auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "yes" PC neustarten CWShredder http://www.intermute.com/spysubtract/cwshredder_download.html * Double-click on CWShredder.exe. * Click "Fix ->" and click "OK" at the prompt. * CWShredder will scan and clean your system of CWS files. * Click "Next->" and then "Exit". Log-->"make Report" Please download DllCompare from here http://www.atribune.org/downloads/DllCompare.exe <klick: Locate.com button. wenn der Scan beendet ist <klick:Compare button <klick: und erstelle das Log--->bitte posten __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
26.04.2005, 15:25
Ehrenmitglied
Beiträge: 29434 |
#52
Hallo@onkel_gonz
Hijacker about:blank - se.dll\sp.html--> scanne http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html und poste das neue Log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
26.04.2005, 15:49
Ehrenmitglied
Beiträge: 29434 |
#53
Hallo@Valrag
Hijacker about:blank - se.dll\sp.html--> scanne http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. REGEDIT4 [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\drct16] #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://D:\DOKUME~1\GRAVE~1.GRA\LOKALE~1\Temp\se.dll/sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://D:\DOKUME~1\GRAVE~1.GRA\LOKALE~1\Temp\se.dll/sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 219.249.220.229:80 R3 - URLSearchHook: PerfectNavBHO Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - D:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL O1 - Hosts: 127.0.0.3 www.greg-tut.com O1 - Hosts: http://213.159.117.203/dkprogs/hosts.txt O2 - BHO: PerfectNavBHO Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - D:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - D:\Programme\MyWay\myBar\1.bin\MYBAR.DLL O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file) O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - D:\Programme\MyWay\myBar\1.bin\MYBAR.DLL O4 - HKLM\..\Run: [CMESys] "D:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe" O4 - HKLM\..\Run: [WinUpdate] C:\windows\100087.exe O4 - HKLM\..\Run: [WinUpdatea] C:\windows\hta1.hta O4 - HKLM\..\Run: [AltnetPointsManager] c:\program files\altnet\points manager\points manager.exe -s O4 - HKLM\..\Run: [SysTime] D:\WINDOWS\System32\systime.exe O4 - HKLM\..\Run: [MsgCenterExe] "D:\Programme\Gemeinsame Dateien\Real\Update_OB\RealOneMessageCenter.exe" -osboot O4 - HKCU\..\Run: [SysTime] D:\WINDOWS\System32\systime.exe O4 - Global Startup: GStartup.lnk = D:\Programme\Gemeinsame Dateien\GMT\GMT.exe O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=41175144d 329ec2fa8acf696f1d2d da5cce112aae5247202f9b0e81cbaae21a36d33a6636d10c66c8 3e7e59fae96fc7bb98f2f:a3d46d 85250213fcc0de3673ae9ac4b9 O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) - O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab O20 - Winlogon Notify: drct16 - D:\WINDOWS\SYSTEM32\drct16.dll PC neustarten--> in den abgesicherten Modus und die fixme.reg durch doppelklicken der Registry beifuegen. •KillBox http://www.bleepingcomputer.com/files/killbox.php •Delete File on Reboot <--anhaken und klick auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" D:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL D:\Programme\MyWay\myBar\1.bin\MYBAR.DLL D:\Programme\MyWay\myBar\1.bin\MY2NS.EXE D:\Programme\MyWay\myBar\1.bin\NPMYWAY.DLL D:\WINDOWS\SYSTEM32\drct16.dll D:\WINDOWS\SYSTEM32\WINLOW.SYS D:\WINDOWS\ms2.exe D:\WINDOWS\System32\wz.sys D:\WINDOWS\System32\systime.exe C:\windows\100087.exe C:\windows\hta1.hta C:\Programme\Gemeinsame Dateien\GMT\gtrawbm.fil C:\Programme\Gemeinsame Dateien\GMT\EGGCEngine.dll C:\Programme\Gemeinsame Dateien\GMT\egIEEngine.dll C:\Programme\Gemeinsame Dateien\GMT\EGIEProcess.dll C:\Programme\Gemeinsame Dateien\GMT\EGNSEngine.dll C:\Programme\Gemeinsame Dateien\GMT\GatorRes.dll C:\Programme\Gemeinsame Dateien\GMT\GatorStubSetup.exe C:\Programme\Gemeinsame Dateien\GMT\GUninstaller.exe C:\Programme\Gemeinsame Dateien\GMT\GMT.exe C:\Programme\Gemeinsame Dateien\CMEII\CMEIIAPI.dll C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe C:\Programme\Gemeinsame Dateien\CMEII\GAppMgr.dll C:\Programme\Gemeinsame Dateien\CMEII\GController.dll C:\Programme\Gemeinsame Dateien\CMEII\GDwldEng.dll C:\Programme\Gemeinsame Dateien\CMEII\GIocl.dll C:\Programme\Gemeinsame Dateien\CMEII\GIoclClient.dll C:\Programme\Gemeinsame Dateien\CMEII\GMTProxy.dll C:\Programme\Gemeinsame Dateien\CMEII\GObjs.dll C:\Programme\Gemeinsame Dateien\CMEII\GStore.dll C:\Programme\Gemeinsame Dateien\CMEII\GStoreServer.dll C:\Programme\Gemeinsame Dateien\CMEII\Gtools.dll C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe D:\WINDOWS\System32\P2P Networking\P2P Networking.exe C:\program files\altnet\points manager\points manager.exe D:\Programme\AceGain\LiveUpdate\aceagent.exe D:\WINDOWS\System32\lxbycoms.exe PC neustarten "Backdoor.Win32.Haxdoor.cg/cn" http://bilder.informationsarchiv.net/Nikitas_Tools/HSFix.zip 1. Extract the folder to C:\ 2. So now you have a folder C:\HSFIX 3. Boot to Safe mode 4. open the hsfix folder and Double click on hsfix.bat 5. You'll lose your desktop and taskbar. That's normal because This process kills explorer 6. Double click on hsfix.bat to run it again 7. reboot 8. Find this file :- C:\hslog.txt 9. Post its contents into your next reply 10. post a new hijackthis log •HOSTFILE: #öffne das HijackThis "Do a system scan only"-->Config--> Misc Tools-->Open Hosts file Manager--> delet line(s) -->/Click the "Open In Notepad" button lösche alles , lasse nur stehen: 127.0.0.1 localhost Falls es nicht da ist--schreib es rein) wenn du dir nicht sicher bist, was du löschen sollst, dann klicke "open in notepad" ud kopiere den Text ab •Online-Scann (Panda)--> berichte vom Onlinescann (falls dein Antivirus "meckert"--> nicht beachten http://www.pandasoftware.com/activescan/com/activescan_principal.htm __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
29.04.2005, 22:41
...neu hier
Beiträge: 1 |
#54
Habe auch diesen Trojaner und schon alles versucht! Kann mir jemand helfen? Hier is mein Logfile:
Logfile of HijackThis v1.99.1 Scan saved at 22:20:45, on 29.04.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Java\jre1.5.0_02\bin\jusched.exe C:\Programme\Trojancheck 6\tcguard.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\Nikon\NkView4\NkVwMon.exe C:\Programme\Trillian\trillian.exe C:\Dokumente und Einstellungen\Franko\Lokale Einstellungen\Temp\Temporäres Verzeichnis 4 für hijackthis.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Franko\LOKALE~1\Temp\se.dll/spage.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Franko\LOKALE~1\Temp\se.dll/spage.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: (no name) - {569222B7-FECB-4984-8E67-C266B831D0D2} - C:\WINDOWS\System32\badh.dll (file missing) O4 - HKLM\..\Run: [sp] rundll32 C:\DOKUME~1\Franko\LOKALE~1\Temp\se.dll,DllInstall O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - Global Startup: NkVwMon.exe.lnk = C:\Programme\Nikon\NkView4\NkVwMon.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - (Link: http://i.a.cnn.net/cnn/resources/cult3d/cult.cab)http://i.a.cnn.net/cnn/resources/cult3d/cult.cab O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - (Link: http://by16fd.bay16.hotmail.msn.com/resources/MsnPUpld.cab)http://by16fd.bay16.hotmail.msn.com/resources/MsnPUpld.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - (Link: http://software-dl.real.com/220dd051bebfc74f6705/netzip/RdxIE601_de.cab)http://software-dl.real.com/220dd051bebfc74f6705/netzip/RdxIE601_de.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{8DCA2EF5-5705-43A0-894A-AE2038FE6EF6}: NameServer = 217.237.151.33 217.237.149.225 O18 - Filter: text/html - {85B2ED07-0409-4FCF-A383-2D76CC1408DC} - C:\WINDOWS\System32\badh.dll O18 - Filter: text/plain - {85B2ED07-0409-4FCF-A383-2D76CC1408DC} - C:\WINDOWS\System32\badh.dll O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe |
|
|
||
29.04.2005, 23:34
Ehrenmitglied
Beiträge: 29434 |
#55
Hallo@Undertaker86
Hijacker about:blank - se.dll\sp.html http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html dann poste das neue Log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
04.05.2005, 21:04
...neu hier
Beiträge: 1 |
#56
sorry leutz ich bin voll der anäfnger in sachen pc(14 jahre alt) un spiele meistens gg.nun heute bin ich auf ein hp wei net merh welche genau gewesen ist( war nur ein world of warcraft fan hp) kurz darauf wurd ich zugemült un sowas von diesen ganzen werbungen danach bin ich natrülciha uf internetoptions un datein löschen + alle offlineinhalte alle cookies un den verlauf weil ich immer wenn ich den internet bexplorer gestaret habe diese meldung kam C:\DOKUME~1\MARCEL\LOKALE~1\TEMP\SE.DLL
Ist das Trojanische Pferd TR/StartPage.qr.DLL nun die medlung von anti vir kommt immer wieder sooft ich ach löschen drücke mit diesem viruskille auf dne vorhin jemand verlink hat habe ich den path eingegebn komischerweise wurde der path nicht gefunden wenn. danach hab ich mich selbst auf die suche gemahct alles befolgt doch irgendwie fidne ich den den oderner LOKALE~ nicht war dasds überhaupt richtig kann mir jemadn auf anfängersaprche erkälre was zu tun ist??? ich möchte den pc nicht wieder neu insatlien bitte um hilfe |
|
|
||
05.05.2005, 13:21
Ehrenmitglied
Beiträge: 29434 |
#57
Hallo@massel
Hijacker about:blank - se.dll\sp.html http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html HijackThis http://www.downloads.subratam.org/hijackthis.zip http://www.spywareinfo.com/~merijn/files/hijackthis.zip Lade/entpacke HijackThis in einem Ordner -->None of the above, just start the program --> Save--> Savelog -->es öffnet sich der Editor --> oder: Do a system scan and save a logfile --> Save--> Savelog -->es öffnet sich der Editor --> nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
02.08.2005, 23:00
Ehrenmitglied
Beiträge: 29434 |
||
|
||
03.08.2005, 15:17
...neu hier
Beiträge: 1 |
#59
Hallo ... auch mich hat er erwischt ... was soll ich tun? ... irgendwie krieg ich das nicht weg ... Hijacker sagt folgendes:
Logfile of HijackThis v1.99.1 Scan saved at 15:09:56, on 03.08.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\PDesk\PDesk.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Winamp\winampa.exe C:\Programme\AVPersonal\AVSched32.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\mgabg.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\FRITZ!DSL\FritzDSL.exe C:\Programme\Internet Explorer\iexplore.exe C:\HJT\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Sid\LOKALE~1\Temp\se.dll/space.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Sid\LOKALE~1\Temp\se.dll/space.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: (no name) - {E3AF46DA-9098-4303-AD96-90AD3BF741D0} - C:\WINDOWS\system32\ehjg.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINDOWS\System32\PDesk\PDesk.exe /Autolaunch O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" O4 - HKLM\..\Run: [sp] rundll32 C:\DOKUME~1\Sid\LOKALE~1\Temp\se.dll,DllInstall O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O16 - DPF: {ABC1D8DE-CAB5-4FB7-BCD0-137BAB9F09DC} (aldisued-fotos-druck_de_bilduebertragung) - http://www.aldisued-fotos-druck.de/upload/aldi_sued_bilduebertragung.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{D85A1925-ACC7-446A-85CF-92FCE0EC04C2}: NameServer = 192.168.122.252,192.168.122.253 O18 - Filter: text/html - {7476084B-725A-4703-9E35-769C47319397} - C:\WINDOWS\system32\ehjg.dll O18 - Filter: text/plain - {7476084B-725A-4703-9E35-769C47319397} - C:\WINDOWS\system32\ehjg.dll O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINDOWS\System32\mgabg.exe |
|
|
||
04.08.2005, 00:02
Ehrenmitglied
Beiträge: 29434 |
#60
Hallo@orangeschlum
Hijacker about:blank - se.dll\sp.html-->scannen http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Sid\LOKALE~1\Temp\se.dll/space.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Sid\LOKALE~1\Temp\se.dll/space.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {E3AF46DA-9098-4303-AD96-90AD3BF741D0} - C:\WINDOWS\system32\ehjg.dll O4 - HKLM\..\Run: [sp] rundll32 C:\DOKUME~1\Sid\LOKALE~1\Temp\se.dll,DllInstall O18 - Filter: text/html - {7476084B-725A-4703-9E35-769C47319397} - C:\WINDOWS\system32\ehjg.dll O18 - Filter: text/plain - {7476084B-725A-4703-9E35-769C47319397} - C:\WINDOWS\system32\ehjg.dll PC neustarten ClaerProg..lade die neuste Version http://virus-protect.org/temp.html <und saeubere den Browser. Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera: - Verlauf - Temporäre Internetfiles (Cache) - index.dat #neue Startseite gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein + poste das neue log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
Kann mir bitte jemand mit der Logfile HIJACKTHIS helfen? Was muss ich fixen?
Logfile of HijackThis v1.99.1
Scan saved at 15:20:23, on 11.04.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\Mustek 1200 UB PLUS\Driver\WATCH.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\System32\cmd.exe
C:\Programme\AOL 8.0\waol.exe
C:\Programme\AOL 8.0\shellmon.exe
C:\Programme\Ad-Protect\ad-protect.exe
C:\Programme\Ad-Protect\ad-protect.exe
C:\KillBox.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\WERNER~1\LOKALE~1\Temp\se.dll/spage.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\WERNER~1\LOKALE~1\Temp\se.dll/spage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Related Page - {9A9C9B69-F908-4AAB-8D0C-10EA8997F37E} - C:\WINDOWS\System32\WinNB57.dll
O2 - BHO: CIEExtension Object - {B51DC573-E998-4834-9B45-BAB7C2AE0A75} - C:\Programme\Ad-Protect\ADPIEmonitor.dll
O2 - BHO: (no name) - {F37A4563-0580-485B-891D-9AA11454D601} - C:\WINDOWS\System32\kiae.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Related Page - {9A9C9B68-F908-4AAB-8D0C-10EA8997F37E} - C:\WINDOWS\System32\WinNB57.dll
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [winshost.exe] C:\WINDOWS\System32\winshost.exe
O4 - HKLM\..\Run: [sp] rundll32 C:\DOKUME~1\WERNER~1\LOKALE~1\Temp\se.dll,DllInstall
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Ad-Protect] C:\Programme\Ad-Protect\ad-protect.exe /s
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [winshost.exe] C:\WINDOWS\System32\winshost.exe
O4 - HKCU\..\Run: [wingo] C:\WINDOWS\System32\wingo.exe
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: AOL 8.0 Tray-Symbol.lnk = C:\Programme\AOL 8.0\aoltray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Tutorial_SW.lnk = C:\WINDOWS\twain_32\S6U12BX\sw_tuto.exe
O4 - Global Startup: Watch.lnk = C:\Programme\Mustek 1200 UB PLUS\Driver\WATCH.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.1_02\bin\npjpi141_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.1_02\bin\npjpi141_02.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O15 - Trusted Zone: http://awbeta.net-nucleus.com (HKLM)
O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} - http://install.global-netcom.de/ieloader.cab
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cab
O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab
O16 - DPF: {11111111-1111-1111-1111-511111193457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111193458} - file://c:\x.cab
O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q330995.exe
O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
O16 - DPF: {43331111-1111-1111-1111-611111195622} - file://c:\ex.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1099319241230
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://www.service-url.de/install/StarInstall.ocx
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{506BF469-B7F1-496C-A906-B327AD91B55E}: NameServer = 205.188.146.145
O18 - Filter: text/html - {9E4AE787-3CA7-4406-98C1-8AEB56B0DE2D} - C:\WINDOWS\System32\kiae.dll
O18 - Filter: text/plain - {9E4AE787-3CA7-4406-98C1-8AEB56B0DE2D} - C:\WINDOWS\System32\kiae.dll
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe