Ständig erscheinen Seiten wie "adultfriendfinder" bei google...

#0
07.03.2005, 16:49
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#16 Brianna

der Firefox ist ein Browser, der neben dem IE wunderbar funktioniert.
Man sollte ihn als Standard einstellen.

den IE nimmst du dann nur, um die SicherheitsUpdates zu machen ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.03.2005, 21:57
Member

Themenstarter

Beiträge: 12
#17 Hallo @Sabina!

Habe den Firefox installiert. War doch nicht so
schwierig wie ich dachte ;)

Leider hat das mit dem Löschen der Symantec-Quarantaine
nicht geklappt. Ich habe alles mit Löschen bei Reboot eingegeben,
aber er fährt dann zum Schluß wenn ich yes anklicke nicht runter.
Schreibt nur irgendwas von

PendingFileRenameOperations Registry Data has been Removed by
External Process.


Viele Grüße

Brianna
Seitenanfang Seitenende
10.03.2005, 21:40
...neu hier

Beiträge: 6
#18 Hi, könntest du auf mein logfile bitte auch mal einen Blick werfen?

Logfile of HijackThis v1.99.1
Scan saved at 21:27:27, on 10.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
d:\Programme\AVPersonal\AVGUARD.EXE
d:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\Winamp\winampa.exe
C:\WINDOWS\System32\RUNDLL32.EXE
D:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
D:\Programme\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exe
D:\PROGRA~1\ICQ\ICQ.exe
D:\Programme\Avant Browser\avant.exe
D:\Programme\Idoswin Pro\IdoswinPro.exe
C:\WINDOWS\System32\wuauclt.exe
D:\temp\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\WALDWI~1\LOKALE~1\Temp\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\WALDWI~1\LOKALE~1\Temp\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Adobe Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {739CC947-E900-4394-9A72-7ADE565105A4} - C:\WINDOWS\System32\khbn.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programme\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [WinampAgent] d:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] D:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVGCtrl] "d:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Acrobat Assistant.lnk = D:\Programme\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - D:\Programme\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Alles mit FlashGet laden - D:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Hervorheben - D:\Programme\Avant Browser\Highlight.htm
O8 - Extra context menu item: Mit FlashGet laden - D:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Suchen - D:\Programme\Avant Browser\Search.htm
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - D:\Programme\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - D:\Programme\Avant Browser\OpenAllLinks.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\flashget.exe
O18 - Filter: text/html - {B4CDEEC2-5D41-4C63-845F-66E445365462} - C:\WINDOWS\System32\khbn.dll
O18 - Filter: text/plain - {B4CDEEC2-5D41-4C63-845F-66E445365462} - C:\WINDOWS\System32\khbn.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - d:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - d:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Gruss Waldwichtel
Seitenanfang Seitenende
11.03.2005, 14:24
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#19 waldwichtel

Hijacker about:blank - se.dll\sp.html
http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html



dann poste das Log vom Scann + das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.03.2005, 15:54
...neu hier

Beiträge: 6
#20 Danke, du bist super. Antivier beshwert sich shon mal nicht mehr.


11.03.2005 15:50:34 SPSeHjFix started v1.06
11.03.2005 15:50:34 OS: 7
11.03.2005 15:50:34 Bad-Dll(IEP): se.dll
11.03.2005 15:50:34 Searchassistant Unintaller found
11.03.2005 15:50:34 File added to delete: C:\WINDOWS\System32\khbn.dll
11.03.2005 15:50:34 Searchassistant Unintaller - Keys Deleted
11.03.2005 15:50:34 UBF: 7
11.03.2005 15:50:34 UBB: 3
11.03.2005 15:50:34 FilterKey: HKEY_CLASSES_ROOT\text/html (deleted)
11.03.2005 15:50:34 FilterKey: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\text/html (deleted)
11.03.2005 15:50:34 FilterKey: HKEY_CLASSES_ROOT\CLSID\{B4CDEEC2-5D41-4C63-845F-66E445365462} (deleted)
11.03.2005 15:50:34 File added to delete: C:\WINDOWS\System32\khbn.dll
11.03.2005 15:50:34 FilterKey: HKEY_CLASSES_ROOT\text/plain (deleted)
11.03.2005 15:50:34 FilterKey: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\text/plain (deleted)
11.03.2005 15:50:34 FilterKey: HKEY_CLASSES_ROOT\CLSID\{B4CDEEC2-5D41-4C63-845F-66E445365462} (deleted)
11.03.2005 15:50:34 UBR: 8
11.03.2005 15:50:34 Run-Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\sp=rundll32 C:\DOKUME~1\WALDWI~1\LOKALE~1\Temp\se.dll,DllInstall (deleted)
11.03.2005 15:50:34 Bad IE-pages found:
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Bar: res://C:\DOKUME~1\WALDWI~1\LOKALE~1\Temp\se.dll/sp.html
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Page: about:blank
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, HomeOldSP: about:blank
deleted: HKCU\Software\Microsoft\Internet Explorer\Search, SearchAssistant: about:blank
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Bar: res://C:\DOKUME~1\WALDWI~1\LOKALE~1\Temp\se.dll/sp.html
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Page: about:blank
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, HomeOldSP: about:blank
deleted: HKLM\Software\Microsoft\Internet Explorer\Search, SearchAssistant: about:blank
11.03.2005 15:50:34 Reboot

Logfile of HijackThis v1.99.1
Scan saved at 15:53:54, on 11.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
d:\Programme\AVPersonal\AVGUARD.EXE
d:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\Winamp\winampa.exe
C:\WINDOWS\System32\RUNDLL32.EXE
D:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\ctfmon.exe
D:\Programme\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exe
D:\PROGRA~1\ICQ\ICQ.exe
D:\Programme\Idoswin Pro\IdoswinPro.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\temp\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\WALDWI~1\LOKALE~1\Temp\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\WALDWI~1\LOKALE~1\Temp\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Adobe Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {739CC947-E900-4394-9A72-7ADE565105A4} - C:\WINDOWS\System32\khbn.dll (file missing)
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programme\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [WinampAgent] d:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] D:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVGCtrl] "d:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [sp] rundll32 C:\DOKUME~1\WALDWI~1\LOKALE~1\Temp\se.dll,DllInstall
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Acrobat Assistant.lnk = D:\Programme\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - D:\Programme\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Alles mit FlashGet laden - D:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Hervorheben - D:\Programme\Avant Browser\Highlight.htm
O8 - Extra context menu item: Mit FlashGet laden - D:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Suchen - D:\Programme\Avant Browser\Search.htm
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - D:\Programme\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - D:\Programme\Avant Browser\OpenAllLinks.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\flashget.exe
O18 - Filter: text/html - {65AEC2D9-A144-4307-8F2F-5AB2956EF422} - C:\WINDOWS\System32\khbn.dll
O18 - Filter: text/plain - {65AEC2D9-A144-4307-8F2F-5AB2956EF422} - C:\WINDOWS\System32\khbn.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - d:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - d:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
Seitenanfang Seitenende
11.03.2005, 16:15
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#21 waldwichtel

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\WALDWI~1\LOKALE~1\Temp\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\WALDWI~1\LOKALE~1\Temp\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {739CC947-E900-4394-9A72-7ADE565105A4} - C:\WINDOWS\System32\khbn.dll (file missing)
O4 - HKLM\..\Run: [sp] rundll32 C:\DOKUME~1\WALDWI~1\LOKALE~1\Temp\se.dll,DllInstall
O18 - Filter: text/html - {65AEC2D9-A144-4307-8F2F-5AB2956EF422} - C:\WINDOWS\System32\khbn.dll
O18 - Filter: text/plain - {65AEC2D9-A144-4307-8F2F-5AB2956EF422} - C:\WINDOWS\System32\khbn.dl

PC neustarten

scanne noch einmal SPSeHjFix und poste das Log + das neue Log vom HijackTHis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.03.2005, 18:26
...neu hier

Beiträge: 6
#22 Das is die log nach dem entfernen der genanten sachen. es kommt aber immer noh ein fenster hoch mit blöden tricks um mih auf ne hp zu locken


Logfile of HijackThis v1.99.1
Scan saved at 18:21:14, on 11.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
d:\Programme\AVPersonal\AVGUARD.EXE
d:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\Winamp\winampa.exe
C:\WINDOWS\System32\RUNDLL32.EXE
D:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\ctfmon.exe
D:\Programme\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exe
D:\PROGRA~1\ICQ\ICQ.exe
D:\Programme\Idoswin Pro\IdoswinPro.exe
C:\WINDOWS\System32\wuauclt.exe
D:\temp\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Adobe Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programme\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [WinampAgent] d:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] D:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVGCtrl] "d:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [sp] rundll32 C:\DOKUME~1\WALDWI~1\LOKALE~1\Temp\se.dll,DllInstall
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Acrobat Assistant.lnk = D:\Programme\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - D:\Programme\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Alles mit FlashGet laden - D:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Hervorheben - D:\Programme\Avant Browser\Highlight.htm
O8 - Extra context menu item: Mit FlashGet laden - D:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Suchen - D:\Programme\Avant Browser\Search.htm
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - D:\Programme\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - D:\Programme\Avant Browser\OpenAllLinks.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\flashget.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - d:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - d:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
Dieser Beitrag wurde am 12.03.2005 um 01:11 Uhr von waldwichtel editiert.
Seitenanfang Seitenende
12.03.2005, 15:37
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#23 Hallo@waldwichtel

scanne mitte mit dem Tool SPSeHjFix (im abgesicherten Modus) und poste das Log vom Scann + das neue Log vom HijackThis , damit ich sehen kann, was los ist .....
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.03.2005, 16:44
...neu hier

Beiträge: 6
#24 wo kann ih denn das tool saugen? ich finds nirgends
Seitenanfang Seitenende
12.03.2005, 17:29
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#25 Hijacker about:blank - se.dll\sp.html
http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html

du hast es doch schon.....................
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.03.2005, 18:23
...neu hier

Beiträge: 6
#26 irgendwas is bei mir übel im Ar***. Jetzt shmiert mein rehner ohne vorwarung ab. Ich werd jetzt einfah die komplette Mühle neu Aufsetzten. Trotzdem danke für die Mühe die Du dir gemaht hast.
Seitenanfang Seitenende
11.06.2005, 21:41
...neu hier

Beiträge: 10
#27

Zitat

Sabina postete
Hallo@Brianna

HijackThis
http://www.downloads.subratam.org/hijackthis.zip
http://www.spywareinfo.com/~merijn/files/hijackthis.zip
Lade/entpacke HijackThis in einem Ordner -->None of the above,
just start the program --> Save--> Savelog -->es öffnet sich der
Editor -->

Do a system scan and save a logfile --> Save--> Savelog -->es öffnet sich der
Editor -->

nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins
Forum mit rechtem Mausklick "einfügen"
Hi leute.
Hab so ziemlich das selbe Problem, nur bei mir kommen ständig pop ups zu ner spyware seite bei google. Hab mir das Prog heruntergeladen, aber nach "just start the programm" finde ich nirgens nen Button auf dem "Save" steht

edit: mit dem zwiten Schritt klappts ;)
Kann mir jeman weiterhelfen?

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 21:40:53, on 11.06.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
D:\Trend Micro\Internet Security\pccguide.exe
D:\Trend Micro\Internet Security\PCClient.exe
D:\Trend Micro\Internet Security\TMOAgent.exe
D:\ICQLite\ICQLite.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Programme\QuickTime\qttask.exe
D:\MICROS~2\GAMECO~1\common\swtrayv4.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\sdkqb.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
D:\Sonique\sqstart.exe
D:\Desktop Wenger\skinkers.exe
D:\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\WINDOWS\twain_32\A4CIS600\WATCH.exe
C:\WINDOWS\System32\nvsvc32.exe
D:\Trend Micro\Internet Security\Tmntsrv.exe
D:\Trend Micro\Internet Security\tmproxy.exe
D:\Trend Micro\Internet Security\PccPfw.exe
C:\WINDOWS\system32\ienj32.exe
C:\WINDOWS\System32\wuauclt.exe
D:\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
D:\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
D:\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Outlook Express\msimn.exe
C:\Dokumente und Einstellungen\Christoph\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/service/redir/tosw5_webtour.htm
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {00B78A2F-66BE-9875-FBF9-E1F486C65401} - C:\WINDOWS\system32\crod32.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Microsoft Update Time] wuam.exe
O4 - HKLM\..\Run: [ati control panel] vrexfsom.exe
O4 - HKLM\..\Run: [Network protocol service] wintcp.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [pccguide.exe] "D:\Trend Micro\Internet Security\pccguide.exe"
O4 - HKLM\..\Run: [PCClient.exe] "D:\Trend Micro\Internet Security\PCClient.exe"
O4 - HKLM\..\Run: [TM Outbreak Agent] "D:\Trend Micro\Internet Security\TMOAgent.exe" /run
O4 - HKLM\..\Run: [ICQ Lite] D:\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "D:\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [AnyDVD] D:\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [SideWinderTrayV4] D:\MICROS~2\GAMECO~1\common\swtrayv4.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [IEXPLORE.EXE] C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
O4 - HKLM\..\Run: [sdkqb.exe] C:\WINDOWS\system32\sdkqb.exe
O4 - HKLM\..\RunServices: [Microsoft Update Time] wuam.exe
O4 - HKLM\..\RunServices: [ati control panel] vrexfsom.exe
O4 - HKLM\..\RunServices: [Network protocol service] wintcp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ati control panel] vrexfsom.exe
O4 - HKCU\..\Run: [Microsoft Update Time] wuam.exe
O4 - HKCU\..\Run: [Network protocol service] wintcp.exe
O4 - HKCU\..\Run: [SoniqueQuickStart] D:\Sonique\sqstart.exe -nostick
O4 - HKCU\..\Run: [DesktopWengerCluster] D:\Desktop Wenger\skinkers.exe
O4 - HKCU\..\Run: [Spamihilator] "D:\Spamihilator\spamihilator.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\A4CIS600\WATCH.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = D:\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\ICQLite\ICQLite.exe
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1B96324E-8595-416D-8955-A6412F4D3ABC}: NameServer = 217.237.150.141 217.237.150.97
O17 - HKLM\System\CS1\Services\Tcpip\..\{1B96324E-8595-416D-8955-A6412F4D3ABC}: NameServer = 217.237.150.141 217.237.150.97
O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\ienj32.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Trend Micro Personal Firewall (PccPfw) - Trend Micro Incorporated. - D:\Trend Micro\Internet Security\PccPfw.exe
O23 - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Incorporated. - D:\Trend Micro\Internet Security\Tmntsrv.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Incorporated. - D:\Trend Micro\Internet Security\tmproxy.exe

Dieser Beitrag wurde am 11.06.2005 um 21:43 Uhr von spooky-z editiert.
Seitenanfang Seitenende
11.06.2005, 22:27
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#28 Hallo@spooky-z

deinstalliere deinen Virenscanner + lade:
Kaspersky-Antivirus
Kaspersky.com/trials
Kaspersky Anti-Virus/Deutsch
http://virus-protect.org/antivirenshareware.html

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.



REGEDIT4

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ 11Fßä#·ºÄÖ`I]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ 11Fßä#·ºÄÖ`I]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\ 11Fßä#·ºÄÖ`I]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\ 11Fßä#·ºÄÖ`I]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 11Fßä#·ºÄÖ`I]


#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R3 - Default URLSearchHook is missing
O2 - BHO: Class - {00B78A2F-66BE-9875-FBF9-E1F486C65401} - C:\WINDOWS\system32\crod32.dll
O4 - HKLM\..\Run: [Microsoft Update Time] wuam.exe
O4 - HKLM\..\Run: [ati control panel] vrexfsom.exe
O4 - HKLM\..\Run: [Network protocol service] wintcp.exe
O4 - HKLM\..\Run: [IEXPLORE.EXE] C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
O4 - HKLM\..\Run: [sdkqb.exe] C:\WINDOWS\system32\sdkqb.exe
O4 - HKLM\..\RunServices: [Microsoft Update Time] wuam.exe
O4 - HKLM\..\RunServices: [ati control panel] vrexfsom.exe
O4 - HKLM\..\RunServices: [Network protocol service] wintcp.exe
O4 - HKCU\..\Run: [ati control panel] vrexfsom.exe
O4 - HKCU\..\Run: [Microsoft Update Time] wuam.exe
O4 - HKCU\..\Run: [Network protocol service] wintcp.exe
O4 - HKCU\..\Run: [SoniqueQuickStart] D:\Sonique\sqstart.exe -nostick
O4 - HKCU\..\Run: [DesktopWengerCluster] D:\Desktop Wenger\skinkers.exe
O4 - HKCU\..\Run: [Spamihilator] "D:\Spamihilator\spamihilator.exe"
O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\system32\ienj32.exe

PC neustarten
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken).
http://www.tu-berlin.de/www/software/virus/savemode.shtml

Die Datei "fixme.reg" auf dem Desktop doppelklicken.

-----------------------------------------------------------------------

mache einen Komplettscan mit dem Kaspersky

und poste das neue Log vom HijackThis



Zitat

---------------------------------------------------------------------------

Wenn ein System kompromittiert wurde, ist das System nicht mehr vertrauenswürdig. Das heißt, das Daten, Programme und Ports manipuliert und das alle Informationen, die auf dem System gespeichert waren oder verarbeitet worden sind, an Dritte weitergegeben worden sein könnten. ACHTUNG: Sobald der Computer durch einen Backdoor/Wurm angegriffen wurde, besteht die Möglichkeit, dass ein nicht autorisierter Benutzer auf Ihr System zugegriffen hat. Aus diesem Grund ist es nicht möglich, die Integrität eines Systems zu garantieren, auf dem eine solche Infektion stattgefunden hat.

Der Remote-Benutzer könnte in Ihrem System z. B. folgende Änderungen vorgenommen haben:

* Entwenden oder Ändern von Kennwörtern oder Kennwortdateien
* Installieren von Fernsteuerungssoftware, auch bekannt als "Backdoors" (Hintertüren)
* Installieren von Software zur Aufzeichnung von Tastatureingaben
* Konfigurieren von Firewall-Regeln
* Diebstahl von Kreditkartennummern, Bankdaten, persönlichen Daten usw.
* Löschen und Bearbeiten von Dateien
* Versenden von anstößigem/diskriminierendem Material (E-Mail-Benutzerkonto)
* Ändern von Zugriffsrechten auf Benutzerkonten oder Dateien
* Löschen von Protokolldateien, um solche Aktivitäten zu verbergen
http://virus-protect.org/seite1.html

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.06.2005, 00:29
...neu hier

Beiträge: 10
#29 Erstmal danke für die Anleitung, werde es morgen mal versuchen.
Muss ich unbedingt meinen Virenscanner deinstallieren oder kann ich den Kaspersky auch als zweiten dann vorrübergehend nehmen?
Seitenanfang Seitenende
12.06.2005, 13:26
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#30 nun, zwei Virenscanner,....dein System wird sehr belastet, aber du kannst deinen Virenscanner vorruebergehend deaktivieren.

Am besten waere--> formatieren, dein PC ist voellig verseucht mit Backdoors und Viren
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: