Home » Spyware & Browser Hijacker Support Forum » http://utruuh.globe-finder.cc/atgkn/ - http://rl.webtracer.cc/-/?skyny » Themenansicht

http://utruuh.globe-finder.cc/atgkn/ - http://rl.webtracer.cc/-/?skyny
#0
28.04.2005, 09:40
harald tappe
...neu hier

Beiträge: 6
#1 Hallo

Diese Startseite lädt sich immer von selbst und kann nicht geändert werden.

Kann mir jemand helfen? Bitte für einen Laien antworten

Vielen Dank
Seitenanfang Seitenende
28.04.2005, 10:48
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo@harald tappe

HijackThis
http://www.downloads.subratam.org/hijackthis.zip
http://www.spywareinfo.com/~merijn/files/hijackthis.zip
Lade/entpacke HijackThis in einem Ordner
-->None of the above,
just start the program --> Save--> Savelog -->es öffnet sich der
Editor -->
oder:
Do a system scan and save a logfile --> Save--> Savelog -->es öffnet sich der
Editor -->
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins
Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
28.04.2005, 19:03
harald tappe
...neu hier

Themenstarter

Beiträge: 6
#3 sabina/harald

habe die anweisung bisher befolgt - hier das resultat

Logfile of HijackThis v1.99.1
Scan saved at 19:00:20, on 28.04.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Telekom\Eumex 504PC USB\Capictrl.exe
C:\Programme\Gemeinsame Dateien\Sonic Shared\CineTray.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINDOWS\LogWatNT.exe
C:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE
C:\WINDOWS\system32\r_server.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe
C:\Programme\Teledat\WCOM\SYSTEM\RVSCC.EXE
C:\Programme\Trend Micro\OfficeScan Client\ofcdog.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\harald.tappert\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.efinder.cc/search/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://rl.webtracer.cc/-/?skyny (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://rl.webtracer.cc/-/?skyny (obfuscated)
R3 - URLSearchHook: (no name) - {30192F8D-0958-44E6-B54D-331FD39AC959} - (no file)
O1 - Hosts: 1159680172 auto.search.msn.com
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Sonic CinePlayer Quick Launch.lnk = C:\Programme\Gemeinsame Dateien\Sonic Shared\CineTray.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &AroundWeb Search - res://C:\Programme\AroundWeb\awtoolb.dll/MENUSEARCH.HTM
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {869EE607-5376-486d-8DAC-EDC8E239AD5F} - C:\WINDOWS\System32\crt32_v2.dll (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra button: (no name) - {869EE607-5376-486d-8DAC-EDC8E239AD5F} - C:\WINDOWS\System32\crt32_v2.dll (file missing) (HKCU)
O9 - Extra button: Microsoft® JavaScript® Console - {B63B6F0D-E2C4-439F-B799-4FF45E4510DF} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: JavaScript Console - {B63B6F0D-E2C4-439F-B799-4FF45E4510DF} - (no file) (HKCU)
O13 - DefaultPrefix:
O17 - HKLM\System\CCS\Services\Tcpip\..\{9C258DF5-E198-464D-8EAD-AF0D3C82D732}: NameServer = 192.168.1.2,194.25.2.129
O17 - HKLM\System\CCS\Services\Tcpip\..\{C33F4FEB-CD8D-4F7E-A10F-3FA04D99B9D8}: NameServer = 217.237.150.225 217.237.150.141
O19 - User stylesheet: C:\WINDOWS\stsheets.dat
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll
O23 - Service: Event Log Watch (LogWatch) - Unknown owner - C:\WINDOWS\LogWatNT.exe
O23 - Service: OfficeScanNT Echtzeitsuche (ntrtscan) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: RVS CommCenter (RvsCC) - Unknown owner - C:\Programme\Teledat\WCOM\SYSTEM\RVSCC.EXE
O23 - Service: RvscomSv - RVS Datentechnik GmbH, München - C:\Programme\Teledat\WCOM\SYSTEM\RVSCOMSV.EXE
O23 - Service: RVS Installer (RVSINST) - RVS Datentechnik GmbH, München - C:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\system32\r_server.exe" /service (file missing)
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe

wie verfahre ich weiter ?? höre gerne

mfg
harald
Seitenanfang Seitenende
29.04.2005, 00:47
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Hallo@harald tappe

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.efinder.cc/search/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://rl.webtracer.cc/-/?skyny (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://rl.webtracer.cc/-/?skyny (obfuscated)
R3 - URLSearchHook: (no name) - {30192F8D-0958-44E6-B54D-331FD39AC959} - (no file)
O1 - Hosts: 1159680172 auto.search.msn.com
O8 - Extra context menu item: &AroundWeb Search - res://C:\Programme\AroundWeb\awtoolb.dll/MENUSEARCH.HTM
O9 - Extra button: (no name) - {869EE607-5376-486d-8DAC-EDC8E239AD5F} - C:\WINDOWS\System32\crt32_v2.dll (file missing)<--TrojanDownloader.Win32.Small.hz
O9 - Extra button: (no name) - {869EE607-5376-486d-8DAC-EDC8E239AD5F} - C:\WINDOWS\System32\crt32_v2.dll (file missing) (HKCU)
O19 - User stylesheet: C:\WINDOWS\stsheets.dat
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll

PC neustarten

•KillBox
http://www.bleepingcomputer.com/files/killbox.php

•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINDOWS\System32\crt32_v2.dll
C:\WINDOWS\System32\vbsys2.dll

PC neustarten

Lade es bitte von hier: startdreck.exe
http://www.spyware911.net/downloads/startdreck.zip ,
- entpacke es in einen extra ordner
- starte die startdreck.exe
- waehle config/unmark all
- hake "nt-Kernel and FS-drivers" an,
- druecke OK
- druecke Save
speichere Das log und poste es bitte.

Start-->alle Programme-->Zubehoer-->Editor und kopiere folgenden Text rein:

dir C:\WINDOWS\stsheets.dat /a h > files.txt
notepad files.txt

<Speichern als: Findfile.bat
<abspeichern unter : Dateityp: alle Dateien
<speichere auf dem Desktop

Locate FindFile.bat--> doopelklick auf die bat-Datei , der Editor oeffnet sich-->poste den Text

Start--> Ausfuehren--> cmd--> kopiere nur die Eintraege der letzten Tage raus

cd\
cd %windir%\system32
dir /a:-d /o:-d > %systemdrive%\system32.txt
start %systemdrive%\system32.txt
cls
exit

cd\
cd %temp%\
dir /a:-d /o:-d > %systemdrive%\systemtemp.txt
start %systemdrive%\systemtemp.txt
cls
exit

cd\
cd %windir%
dir /a:-d /o:-d > %systemdrive%\system.txt
start %systemdrive%\system.txt
cls
exit

cd\
dir /a:-d /o:-d > %systemdrive%\sys.txt
start %systemdrive%\sys.txt
cls
exit


•Download Registry Search Tool :
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
Doppelklick:regsrch.vbs

reinkopieren:

User stylesheet

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)

stsheets.dat

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
29.04.2005, 19:53
harald tappe
...neu hier

Themenstarter

Beiträge: 6
#5 sabina/harald

vielen dank für die antwort -vielleicht bin ich etwas unbedarft - wo muss ich denn des häkchen setzen in hijackthis -<--TrojanDownloader.Win32.Small.hz - ist nicht vorhanden nach dem scan ??
Seitenanfang Seitenende
30.04.2005, 00:43
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6

Zitat

harald tappe postete
sabina/harald

vielen dank für die antwort -vielleicht bin ich etwas unbedarft - wo muss ich denn des häkchen setzen in hijackthis -<--TrojanDownloader.Win32.Small.hz - ist nicht vorhanden nach dem scan ??
Ich versteh nichts......zuerst fixt man mit dem HijackHis und dann macht man alles andere.......
Wenn es nicht mehr da ist, setzt du natuerlich auch kein Haekchen.....

<--TrojanDownloader.Win32.Small.hz...habe ich geschrieben ;)

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.efinder.cc/search/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://rl.webtracer.cc/-/?skyny (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://rl.webtracer.cc/-/?skyny (obfuscated)
R3 - URLSearchHook: (no name) - {30192F8D-0958-44E6-B54D-331FD39AC959} - (no file)
O1 - Hosts: 1159680172 auto.search.msn.com
O8 - Extra context menu item: &AroundWeb Search - res://C:\Programme\AroundWeb\awtoolb.dll/MENUSEARCH.HTM
O9 - Extra button: (no name) - {869EE607-5376-486d-8DAC-EDC8E239AD5F} - C:\WINDOWS\System32\crt32_v2.dll (file missing)
O9 - Extra button: (no name) - {869EE607-5376-486d-8DAC-EDC8E239AD5F} - C:\WINDOWS\System32\crt32_v2.dll (file missing) (HKCU)
O19 - User stylesheet: C:\WINDOWS\stsheets.dat
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.04.2005, 02:59
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#7 harald tappe

Zitat

hallo
auch ich habe ein problem mit utruuh-global-finder
die startseite lässt sich nicht mehr ändern - versucht habe ich es schon mit der anweisung 12mfix - klappt aber nicht
kann man das simpel lösen ?? ich bin nicht sehr geschickt mit dieser maschine
höre gerne
schönen abend
Fuehre bitte die Tools aus, um die ich dich gebeten habe...von einem 12mfix war wenigstens in diesem Thread nicht die rede,

Du musst mir alles posten, was ich sehen will, sonst finden wir die sys nicht, die Schuld an der Verseuchung ist.....
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.05.2005, 13:04
harald tappe
...neu hier

Themenstarter

Beiträge: 6
#8 sabina/harald
vielen dank

startdreck :
StartDreck (build 2.1.7 public stable) - 2005-05-01 @ 12:35:58 (GMT +02:00)
Platform: Windows XP (Win NT 5.1.2600 Service Pack 1)
Internet Explorer: 6.0.2800.1106
Logged in as harald.tappert at TAPPERT

»Registry
»Files
»System/Drivers
»NT Kernel- and FS-drivers
*Abiosdsk Abiosdsk - disabled
*abp480n5 abp480n5 - disabled
*Microsoft ACPI-Treiber ACPI running boot
*ACPIEC ACPIEC - disabled
*adpu160m adpu160m - disabled
*Microsoft Kernel-Echounterdrückung aec - on demand
*Umgebung für die AFD-Netzwerkunterstützung AFD running auto
*Aha154x Aha154x - disabled
*aic78u2 aic78u2 - disabled
*aic78xx aic78xx - disabled
*AliIde AliIde - disabled
*amsint amsint - disabled
*asc asc - disabled
*asc3350p asc3350p - disabled
*asc3550 asc3550 - disabled
*Asynchroner RAS -Medientreiber AsyncMac - on demand
*Standard-IDE/ESDI-Festplattencontroller atapi running boot
*Atdisk Atdisk - disabled
*Protokoll für ATM ARP-Client Atmarpc - on demand
*Audiostubtreiber audstub running on demand
*Beep Beep running system
*Eumex 504PC USB CAPI20 running auto
*cbidf2k cbidf2k - disabled
*Untertiteldecoder CCDECODE - on demand
*cd20xrnt cd20xrnt - disabled
*Cdaudio Cdaudio - system
*Cdfs Cdfs running disabled
*CD-ROM-Laufwerktreiber Cdrom running system
*Changer Changer - system
*Cinemsup Cinemsup running system
*CmdIde CmdIde - disabled
*Cpqarray Cpqarray - disabled
*dac960nt dac960nt - disabled
*Telekom CapiPort DETEWECP running auto
*Laufwerktreiber Disk running boot
*dmboot dmboot - disabled
*Treiber für die Verwaltung logischer Datenträge dmio running boot
`r
*dmload dmload running boot
*Microsoft Kernel-DLS-Synthesizer DMusic - on demand
*dpti2o dpti2o - disabled
*Microsoft Kernel-DRM-Audioentschlüsselung drmkaud - on demand
*Creative AudioPCI (ES1371,ES1373) (WDM) es1371 running on demand
*Fastfat Fastfat running disabled
*Diskettencontrollertreiber Fdc running on demand
*Fips Fips running system
*Diskettenlaufwerktreiber Flpydisk running on demand
*Treiber für Volume-Manager Ftdisk running boot
*Gameport-Enumerator gameenum running on demand
*Standardpaketklassifizierung Gpc running on demand
*hidclaso hidclaso running auto
*Microsoft HID Class-Treiber HidUsb - on demand
*hpn hpn - disabled
*i2omgmt i2omgmt - system
*i2omp i2omp - disabled
*i8042-Tastatur- und PS/2-Mausanschluss-Treiber i8042prt running system
*Filtertreiber für CD-Brennen Imapi running system
*ini910u ini910u - disabled
*IntelIde IntelIde - disabled
*Filtertreiber für IP-Verkehr IpFilterDriver - on demand
*IP/IP-Tunneltreiber IpInIp - on demand
*Übersetzer für IP-Netzwerkadressen IpNat running on demand
*IPSEC-Treiber IPSec running system
*IR-Enumeratordienst IRENUM - on demand
*PnP-ISA/EISA-Bus-Treiber isapnp running boot
*Tastaturklassentreiber Kbdclass running system
*Microsoft Kernel-Waveaudiomixer kmixer - on demand
*KSecDD KSecDD running boot
*lbrtfdc lbrtfdc - system
*mnmdd mnmdd running system
*Modem Modem running on demand
*Mausklassentreiber Mouclass running system
*Maus-HID-Treiber mouhid - on demand
*MountMgr MountMgr running boot
*mraid35x mraid35x - disabled
*Redirector für WebDav-Client MRxDAV running on demand
*MRxSmb MRxSmb running system
*Msfs Msfs running system
*Microsoft Streaming Service Proxy MSKSSRV - on demand
*Microsoft Proxy für Streaming Clock MSPCLOCK - on demand
*Microsoft Proxy für Streaming Quality Manager MSPQM - on demand
*Microsoft Streaming Tee/Sink-to-Sink-Konvertier MSTEE - on demand
`ung
*Mup Mup running boot
*NABTS/FEC VBI-Codec NABTSFEC - on demand
*NDIS-Systemtreiber NDIS running boot
*Microsoft TV-/Videoverbindung NdisIP - on demand
*RAS-NDIS-TAPI-Treiber NdisTapi running on demand
*NDIS-Benutzermodus-E/A-Protokoll Ndisuio - on demand
*RAS-NDIS-WAN-Treiber NdisWan running on demand
*NDIS-Proxy NDProxy running on demand
*NetBIOS-Schnittstelle NetBIOS running system
*NetBios über TCP/IP NetBT running system
*Npfs Npfs running system
*Ntfs Ntfs running disabled
*Null Null running system
*nv nv running on demand
*Filtertreiber für IPX-Verkehr NwlnkFlt - on demand
*Treiber für IPX-Verkehrsweiterleitung NwlnkFwd - on demand
*Intel PentiumIII-Prozessortreiber P3 running system
*Treiber für parallelen Anschluss Parport running on demand
*PartMgr PartMgr running boot
*ParVdm ParVdm running auto
*PCI-Bus-Treiber PCI running boot
*PCIDump PCIDump - system
*PCIIde PCIIde - disabled
*Pcmcia Pcmcia - disabled
*PDCOMP PDCOMP - on demand
*PDFRAME PDFRAME - on demand
*PDRELI PDRELI - on demand
*PDRFRAME PDRFRAME - on demand
*perc2 perc2 - disabled
*perc2hib perc2hib - disabled
*WAN-Miniport (PPTP) PptpMiniport running on demand
*QoS-Paketplaner PSched running on demand
*Treiber für direkte Parallelverbindung Ptilink running on demand
*Logitech QuickCam Messenger QCMerced - on demand
*ql1080 ql1080 - disabled
*Ql10wnt Ql10wnt - disabled
*ql12160 ql12160 - disabled
*ql1240 ql1240 - disabled
*ql1280 ql1280 - disabled
*Treiber für automatische RAS-Verbindung RasAcd running system
*WAN-Miniport (L2TP) Rasl2tp running on demand
*Remotezugriff-PPPOE-Treiber RasPppoe running on demand
*Parallelanschluss (direkt) Raspti running on demand
*Rdbss Rdbss running system
*RDPCDD RDPCDD running system
*Treiber für Terminalserver-Geräteumleitung rdpdr running on demand
*RDPWD RDPWD running on demand
*Filtertreiber für digitale CD-Audiowiedergabe redbook running system
*Microsoft Legacy Modem Driver ROOTMODEM running on demand
*NT-Treiber für Realtek RTL8139(A/B/C)-basierten rtl8139 running on demand
` PCI-Fast Ethernet-Adapter
*RVS Virtual COM Port rvsport running auto
*Secdrv Secdrv - on demand
*Serenum-Filtertreiber serenum running on demand
*Treiber für seriellen Anschluss Seri*hier nicht!* running system
*Sfloppy Sfloppy - system
*Simbad Simbad - disabled
*BDA Slip De-Framer SLIP - on demand
*Sparrow Sparrow - disabled
*Microsoft Kernel-Audiosplitter splitter - on demand
*Filtertreiber für Systemwiederherstellung sr running boot
*Srv Srv running on demand
*BDA-IPSink streamip - on demand
*Software-Bus-Treiber swenum running on demand
*Microsoft Kernel GS Wavetablesynthesizer swmidi - on demand
*symc810 symc810 - disabled
*symc8xx symc8xx - disabled
*SymEvent SymEvent - on demand
*sym_hi sym_hi - disabled
*sym_u3 sym_u3 - disabled
*Microsoft Kernel-Systemaudiogerät sysaudio running on demand
*TCP/IP-Protokolltreiber Tcpip running system
*TDPIPE TDPIPE - on demand
*TDTCP TDTCP running on demand
*Terminal-Gerätetreiber TermDD running system
*Trend Micro Filter TmFilter running auto
*Trend Micro PreFilter TmPreFilter running auto
*TosIde TosIde - disabled
*Udfs Udfs - disabled
*Telekom ISDN-Adapter (USB) ulisa running on demand
*ultra ultra - disabled
*Microcode Updatetreiber Update running on demand
*USB-Audiotreiber (WDM) usbaudio - on demand
*Microsoft Standard-USB-Haupttreiber usbccgp - on demand
*Microsoft USB-Standardhubtreiber usbhub running on demand
*USB-Scannertreiber usbscan running on demand
*USB-Massenspeichertreiber USBSTOR - on demand
*Miniporttreiber für universellen Microsoft USB- usbuhci running on demand
`Hostcontroller
*VgaSave VgaSave running system
*VIA AGP-Bus-Filter viaagp running boot
*ViaIde ViaIde running boot
*VolSnap VolSnap running boot
*Trend Micro VSAPI NT VSApiNt running auto
*RAS-IP-ARP-Treiber Wanarp running on demand
*WDICA WDICA - on demand
*Treiber für Microsoft WINMM-WDM-Audiokompatibil wdmaud running on demand
`ität
*World Standard Teletext-Codec WSTCODEC - on demand
»Application specific

+++++

findfile.bat :

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 48A6-1AEB

Verzeichnis von C:\WINDOWS

02.04.2005 12:33 12.894 stsheets.dat
1 Datei(en) 12.894 Bytes

Verzeichnis von C:\Dokumente und Einstellungen\harald.tappert\Desktop

+++++

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 48A6-1AEB

Verzeichnis von C:\WINDOWS\system32

01.05.2005 12:10 13.646 wpa.dbl
27.03.2005 13:29 314.644 perfh009.dat
27.03.2005 13:29 40.972 perfc009.dat
27.03.2005 13:29 320.424 perfh007.dat
27.03.2005 13:29 49.372 perfc007.dat
27.03.2005 13:29 732.342 PerfStringBackup.INI

+++++

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 48A6-1AEB

Verzeichnis von C:\DOKUME~1\HARALD~1.TAP\LOKALE~1\Temp

01.05.2005 12:31 152 kb.log
29.04.2005 19:42 4.683 hijackthis.log
28.04.2005 19:47 2.048.000 AcrF.tmp
28.04.2005 19:42 0 AcrD.tmp
28.04.2005 19:42 179 Acr1.tmp
28.04.2005 19:42 426 Acr3.tmp
27.04.2005 21:02 16.384 ~DFB502.tmp
27.04.2005 20:51 5.890 Startup Programs (TAPPERT) 2005-04-27 20.49.42.txt
27.04.2005 20:51 5.890 Startup Programs (TAPPERT) 2005-04-27 20.49.27.txt
26.04.2005 18:52 5.120 sys4D29.tmp

+++++

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 48A6-1AEB

Verzeichnis von C:\WINDOWS

01.05.2005 12:33 0 0.log
01.05.2005 12:33 159 wiadebug.log
01.05.2005 12:33 50 wiaservc.log
01.05.2005 12:33 0 AUTOEXEC.BAT
01.05.2005 12:33 0 CONFIG.SYS
01.05.2005 12:33 2.048 bootstat.dat
01.05.2005 12:32 32.540 SchedLgU.Txt
01.05.2005 12:25 21 hosts.new
27.04.2005 21:03 916 TMFilter.log
26.04.2005 20:14 908.886 setupapi.log
26.04.2005 18:36 6.038 switchagreement.txt
26.04.2005 18:36 1 twain.bin
25.04.2005 20:24 40.960 internt.exe
25.04.2005 19:18 24 pccntmon.INI
16.04.2005 18:21 33 LVMMail.INI

+++++

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 48A6-1AEB

Verzeichnis von C:\

01.05.2005 12:56 0 sys.txt
01.05.2005 12:53 6.817 system.txt
01.05.2005 12:50 846 systemtemp.txt
01.05.2005 12:46 92.079 system32.txt
01.05.2005 12:33 0 CONFIG.SYS
01.05.2005 12:33 0 AUTOEXEC.BAT
01.05.2005 12:33 267.964.416 hiberfil.sys
01.05.2005 12:33 402.653.184 pagefile.sys
28.04.2005 19:28 195.496 OfcDebug.log
28.04.2005 19:23 19 PccntIOT.log
27.04.2005 21:02 62 direct.txt
26.04.2005 18:48 9.964 eied_s7.cab

+++++

REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "user stylesheet" 01.05.2005 13:00:50

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Styles]
"User Stylesheet"="C:\\WINDOWS\\stsheets.dat"

[HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\Styles]
"User Stylesheet"="C:\\WINDOWS\\stsheets.dat"

[HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\Styles]
"User Stylesheet"="C:\\WINDOWS\\stsheets.dat"

[HKEY_USERS\S-1-5-21-73586283-839522115-1957994488-1004\Software\Microsoft\Internet Explorer\Styles]
"User Stylesheet"="C:\\WINDOWS\\stsheets.dat"

[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Styles]
"User Stylesheet"="C:\\WINDOWS\\stsheets.dat"

+++++

REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "stsheets.dat" 01.05.2005 13:02:52

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\hidclaso]
"StsPath"="\\??\\C:\\WINDOWS\\stsheets.dat"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\hidclaso]
"StsPath"="\\??\\C:\\WINDOWS\\stsheets.dat"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\hidclaso]
"StsPath"="\\??\\C:\\WINDOWS\\stsheets.dat"

[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Styles]
"User Stylesheet"="C:\\WINDOWS\\stsheets.dat"

[HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\Styles]
"User Stylesheet"="C:\\WINDOWS\\stsheets.dat"

[HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\Styles]
"User Stylesheet"="C:\\WINDOWS\\stsheets.dat"

[HKEY_USERS\S-1-5-21-73586283-839522115-1957994488-1004\Software\Microsoft\Internet Explorer\Styles]
"User Stylesheet"="C:\\WINDOWS\\stsheets.dat"

[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Styles]
"User Stylesheet"="C:\\WINDOWS\\stsheets.dat"

+++++

höre gerne wie es weiter geht

mfg
harald
Seitenanfang Seitenende
01.05.2005, 15:06
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#9 Hallo@harald tappe

Start-->Ausfuehren-->regedit

Bearbeiten--> suchen

hidclaso
stsheets.dat

Loeschen (was fett gekennzeichnet ist--> mit rechtsklick)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\hidclaso
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\hidclaso
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\hidclaso

[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Styles]
"User Stylesheet"="C:\\WINDOWS\\stsheets.dat

HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\Styles]
"User Stylesheet"="C:\\WINDOWS\\stsheets.dat

HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\Styles]
"User Stylesheet"="C:\\WINDOWS\\stsheets.dat"

[HKEY_USERS\S-1-5-21-73586283-839522115-1957994488-1004\Software\Microsoft\Internet Explorer\Styles]
"User Stylesheet"="C:\\WINDOWS\\stsheets.dat"

[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Styles]
"User Stylesheet"="C:\\WINDOWS\\stsheets.dat"

Sollte man Probleme haben, die Einträge zu löschen,

Klicke auf Bearbeiten-->Berechtigung und klicke dann auf Vollzugriff -->[Übernehmen] und auf [OK]. Erneuter [Rechtsklick] auf den Schlüssel und versuche diesen zu löschen.



-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------

•KillBox
http://www.bleepingcomputer.com/files/killbox.php

•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\Dokumente und Einstellungen\harald.tappert\Lokale Einstellungen\Temp\sys4D29.tmp
C:\eied_s7.cab
C:\Windows\System32\Drivers\hidclaso.sys
C:\WINDOWS\System32\vbsys2.dll
C:\WINDOWS\System32\crt32_v2.dll
C:\WINDOWS\stsheets.dat
C:\WINDOWS\internt.exe

PC neustarten

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten --> natuerlich nur fixen, was noch da ist

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.efinder.cc/search/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://rl.webtracer.cc/-/?skyny (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://rl.webtracer.cc/-/?skyny (obfuscated)
R3 - URLSearchHook: (no name) - {30192F8D-0958-44E6-B54D-331FD39AC959} - (no file)
O1 - Hosts: 1159680172 auto.search.msn.com
O8 - Extra context menu item: &AroundWeb Search - res://C:\Programme\AroundWeb\awtoolb.dll/MENUSEARCH.HTM
O9 - Extra button: (no name) - {869EE607-5376-486d-8DAC-EDC8E239AD5F} - C:\WINDOWS\System32\crt32_v2.dll (file missing)
O9 - Extra button: (no name) - {869EE607-5376-486d-8DAC-EDC8E239AD5F} - C:\WINDOWS\System32\crt32_v2.dll (file missing) (HKCU)
O19 - User stylesheet: C:\WINDOWS\stsheets.dat
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll

PC neustarten

•HOSTFILE:
#öffne das HijackThis
"Do a system scan only"-->Config--> Misc Tools-->Open Hosts file Manager--> delet line(s) -->/Click the "Open In Notepad" button

loesche:
1159680172 auto.search.msn.com

lasse nur stehen:

127.1.1.0 localhost

dann abspeichern, damit die Aenderung erhalten bleibt.
........................................................................................................

ClaerProg..lade die neuste Version <1.5.1
http://www.clearprog.de/programme/clearprog/index_new.php
http://www.clearprog.de/downloads.php
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Verlauf
- Temporäre Internetfiles (Cache)
- index.dat

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

+
poste das neue Log vom HijackTHis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.05.2005, 19:52
harald tappe
...neu hier

Themenstarter

Beiträge: 6
#10 sabina/harald

besten dank

regedit hidclaso habe ich schwierigkeiten, dieses zu löschen - trotz vollzugriff

das hijackthis sieht nun wie folgt aus

Logfile of HijackThis v1.99.1
Scan saved at 19:46:46, on 02.05.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Telekom\Eumex 504PC USB\Capictrl.exe
C:\Programme\Gemeinsame Dateien\Sonic Shared\CineTray.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINDOWS\LogWatNT.exe
C:\Dokumente und Einstellungen\harald.tappert\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE
C:\WINDOWS\system32\r_server.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\harald.tappert\Trend Micro\OfficeScan Client\tmlisten.exe
C:\Programme\Teledat\WCOM\SYSTEM\RVSCC.EXE
C:\Dokumente und Einstellungen\harald.tappert\Trend Micro\OfficeScan Client\PccNTMon.exe
C:\Dokumente und Einstellungen\harald.tappert\Trend Micro\OfficeScan Client\pccntupd.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\harald.tappert\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://rl.webtracer.cc/-/?skyny (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://rl.webtracer.cc/-/?skyny (obfuscated)
O1 - Hosts: 1159680172 auto.search.msn.com
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Sonic CinePlayer Quick Launch.lnk = C:\Programme\Gemeinsame Dateien\Sonic Shared\CineTray.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra button: Microsoft® JavaScript® Console - {B63B6F0D-E2C4-439F-B799-4FF45E4510DF} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: JavaScript Console - {B63B6F0D-E2C4-439F-B799-4FF45E4510DF} - (no file) (HKCU)
O13 - DefaultPrefix:
O17 - HKLM\System\CCS\Services\Tcpip\..\{9C258DF5-E198-464D-8EAD-AF0D3C82D732}: NameServer = 192.168.1.2,194.25.2.129
O17 - HKLM\System\CCS\Services\Tcpip\..\{C33F4FEB-CD8D-4F7E-A10F-3FA04D99B9D8}: NameServer = 217.237.150.225 217.237.150.141
O19 - User stylesheet: C:\WINDOWS\stsheets.dat
O23 - Service: Event Log Watch (LogWatch) - Unknown owner - C:\WINDOWS\LogWatNT.exe
O23 - Service: OfficeScanNT Echtzeitsuche (ntrtscan) - Trend Micro Inc. - C:\Dokumente und Einstellungen\harald.tappert\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: RVS CommCenter (RvsCC) - Unknown owner - C:\Programme\Teledat\WCOM\SYSTEM\RVSCC.EXE
O23 - Service: RvscomSv - RVS Datentechnik GmbH, München - C:\Programme\Teledat\WCOM\SYSTEM\RVSCOMSV.EXE
O23 - Service: RVS Installer (RVSINST) - RVS Datentechnik GmbH, München - C:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\system32\r_server.exe" /service (file missing)
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Dokumente und Einstellungen\harald.tappert\Trend Micro\OfficeScan Client\tmlisten.exe

eine neue startseite kann ich nicht einrichten - diese wird immer wieder überschrieben

mfg
harald
Seitenanfang Seitenende
02.05.2005, 23:48
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#11 Hallo@harald tappe

HijackThis-->Config
<List also minor sections (full) -->Häkchen setzen
<List empty sections (complete) -->Häkchen setzen
HijackThis-->Config-->MiscTools-->Generate StartupListlog
-->es öffnet sich der [Texteditor]-->
-->nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

•eScan-Erkennungstool
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp
oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche
kavupd.exe, die klickst du an--> (Update- in DOS) ausführen

gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen :
Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory

-->und "Scan " klicken.

•Gehe wieder in den Normalmodus:

•mache bitte folgendes:
nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du "infected" ein

•jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
•und ganz unten steht die zusammenfassung, diese auch hier posten
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
03.05.2005, 07:37
harald tappe
...neu hier

Themenstarter

Beiträge: 6
#12 sabina/harald

vielen dank für die prompte antwort

bei hijackthis sagte man mir gestern, dass ich keine berechtigung habe die files zu löschen

probiere gerade auf einem anderen computer escan - habe download 1 gestartet - bei ausführen kavupd.exe - sagt man mir - nicht vorhanden

ist das nur bei mir zu hause vorhanden ??

mfg
harald
Seitenanfang Seitenende
04.05.2005, 14:04
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#13

Zitat

harald tappe postete
sabina/harald

vielen dank für die prompte antwort

bei hijackthis sagte man mir gestern, dass ich keine berechtigung habe die files zu löschen

probiere gerade auf einem anderen computer escan - habe download 1 gestartet - bei ausführen kavupd.exe - sagt man mir - nicht vorhanden

ist das nur bei mir zu hause vorhanden ??

mfg
harald
mit dem HijackThis (Log2 ) sollst du nichts loeschen, sondern nur das Log posten, damit ich die sys.-Dateien sehen kann.

HijackThis-->Config
<List also minor sections (full) -->Häkchen setzen
<List empty sections (complete) -->Häkchen setzen
HijackThis-->Config-->MiscTools-->Generate StartupListlog
-->es öffnet sich der [Texteditor]-->
-->nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"


Lade den escan noch einmal neu, es kann sein, dass die Datei kavupd.exe (Updater) geloescht wurde, als du die temp-Datein geloeschst hast.

Ansonsten scanne mit escan im abgesicherten Modus und kopiere alle "infected" raus ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.05.2005, 11:49
d0DDa
...neu hier

Beiträge: 10
#14 hi all,

hab wieder einmal probs mit meinem Browser
hab mir einige posts und threads durchgelesen aber bin noch ned wirklich weiter gekommen :/
hier einmal die log für euch!

ich hoffe ihr könnt mir helfen

Logfile of HijackThis v1.99.1
Scan saved at 11:48:03, on 05.05.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe
C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe
C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\teamspeak2_RC2\TeamSpeak.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://rl.webtracer.cc/-/?atgkn
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://rl.webtracer.cc/-/?atgkn
O1 - Hosts: 1159680172 auto.search.msn.com
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck /autofix /autoclose
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CCF09A52-B3DF-4795-8FDE-79C0604E7D88}: NameServer = 217.237.150.33 217.237.151.161
O19 - User stylesheet: (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe


Danke

Gruss d0DDa

p.s. hab nen eigenen Thrad für mich erstellt auf den leider keiner antwortet ;)
ich hoffe ihr könnt mir helfen!!
Seitenanfang Seitenende
06.05.2005, 10:36
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#15 Hallo@harald tappe

Deas ist natuerlich eine Ueberraschung, wenn der Spysweeper dieses Problem geloest hat.
Kannst du bitte das neue Log vom HijackTHis posten, damit ich es ueberpruefen kann????
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 123