Internet Explorer\Main,Local Page = |
||
---|---|---|
#0
| ||
31.08.2005, 01:09
...neu hier
Beiträge: 6 |
||
|
||
01.09.2005, 14:40
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo@HerrOpfer
Bitte führe folgendes aus: Erstelle auf dem Desktop eine Datei findit.bat. Rechte Maustaste - Bearbeiten Dort fügst Du ein und speicherst: @echo off cd\ cd %windir%\system dir /a:-d /o:-d > %systemdrive%\system.txt cd\ cd %temp%\ dir /a:-d /o:-d > %systemdrive%\systemtemp.txt cd\ cd %windir% dir /a:-d /o:-d > %systemdrive%\win.txt cd\ dir /a:-d /o:-d > %systemdrive%\sys.txt exit Ausführen! Im Verzeichnis C:\ liegen nun vier Text-Dateien. Die öffnest Du bitte und kopierst alle Einträge der letzten 2 Wochen hier __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
02.09.2005, 00:07
...neu hier
Themenstarter Beiträge: 6 |
#3
Puh !
Ich dachte schon da kommt nichts mehr. Danke für die Antwort ! Inzwischen kann ich mit Bestimmtheit sagen das meine Festplatte sauber ist. ( ausgetauscht ) Gerade wollte ich mein Weblog aktualisieren und Pass wechseln, katastrophal ! Die Seiten gingen kaum auf. Einloggen klappte erst beim xten mal. Gefakte WindowsUpdate aufforderung und Dslmodemmeldung. Ich hab ne ziemliche Hasskappe weil mein Ebayhandel und meine Webseite betroffen sind. Ich vermute meine Pagebesucher wurden auf irgendeine Dialerseite umgeleitet, Besucherzahlen sind total eingebrochen. Wie kann das angehen ? Haben die meine Netzwerkarte oder das Modem gehackt oder was ? Gestern nacht wurde mein posting hier wieder sabotiert, Local Page= war wieder da ! Gefixt ! Außerdem wurde mehrfach versucht DOSVM auszuführen. möglicherweise neuinfektion über diskette ( Habe vergessen bios umzustellen, ich Schaf ) Heute morgen ging der Browser nicht mehr auf. Habe msyuv.dll aus der system.ini gelöscht und shellconcache weggeschmissen. Die Angriffe kommen hauptsächlich über DCOM, Microsoft_DS und netbios session. Ständige portscans auf Udp 1026,1027 Danke für Deine Mühe !!!! Datentr„ger in Laufwerk C: hat keine Bezeichnung Seriennummer des Datentr„gers: 3F28-1410 Verzeichnis von C:\ SYSTEM TXT 74.163 02.09.05 9:20 system.txt SYSTEM~1 TXT 633 02.09.05 9:20 systemtemp.txt WIN TXT 13.906 02.09.05 9:20 win.txt SYS TXT 0 02.09.05 9:20 sys.txt AUTOEXEC BAT 306 02.09.05 9:14 AUTOEXEC.BAT BOOTLOG TXT 58.974 02.09.05 9:14 BOOTLOG.TXT BOOTLOG PRV 64.432 02.09.05 9:12 BOOTLOG.PRV CONFIG BAK 0 02.09.05 9:12 CONFIG.BAK AUTOEXEC BAK 306 02.09.05 9:12 AUTOEXEC.BAK CONFIG SYS 0 02.09.05 9:12 Config.sys SCANDISK LOG 529 02.09.05 9:01 SCANDISK.LOG SETUPLOG TXT 173.964 31.08.05 16:52 SETUPLOG.TXT CONFIG CTL 0 31.08.05 14:02 Config.ctl NETLOG TXT 26.258 31.08.05 13:29 NETLOG.TXT MSDOS SYS 1.660 31.08.05 13:26 MSDOS.SYS VIDEOROM BIN 53.248 31.08.05 13:26 VIDEOROM.BIN DETLOG TXT 46.591 31.08.05 13:23 DETLOG.TXT SUHDLOG DAT 5.166 31.08.05 13:20 SUHDLOG.DAT SYSTEM 1ST 442.400 31.08.05 13:20 SYSTEM.1ST CLASSES 1ST 229.408 31.08.05 13:20 CLASSES.1ST MSDOS --- 22 31.08.05 13:04 MSDOS.--- IO SYS 110.592 08.06.00 17:00 io.sys COMMAND COM 95.504 08.06.00 17:00 command.com 23 Datei(en) 1.398.062 Bytes 0 Verzeichnis(se) 8.023,56 MB frei Datentr„ger in Laufwerk C: hat keine Bezeichnung Seriennummer des Datentr„gers: 3F28-1410 Verzeichnis von C:\WINDOWS CLASSES DAT 2.584.608 02.09.05 9:20 CLASSES.DAT USER DAT 393.248 02.09.05 9:20 USER.DAT WIN386 SWP 213.909.504 02.09.05 9:20 WIN386.SWP SYSTEM DAT 1.421.344 02.09.05 9:19 SYSTEM.DAT WIASERVC LOG 50 02.09.05 9:18 wiaservc.log SYSTEM INI 1.944 02.09.05 9:14 system.ini WAVEMIX INI 54 02.09.05 9:14 WAVEMIX.INI POWERPNT INI 60 02.09.05 9:14 POWERPNT.INI ODBC INI 152 02.09.05 9:14 ODBC.INI TRANSP GIF 49 02.09.05 9:14 transp.gif NOHIBER TXT 90 02.09.05 9:14 NOHIBER.TXT NDISLOG TXT 0 02.09.05 9:14 NDISLOG.TXT TTFCACHE 3.724 02.09.05 9:02 ttfCache SYSTEM CB 116 02.09.05 9:01 SYSTEM.CB WIN INI 8.406 01.09.05 20:43 WIN.INI FAULTLOG TXT 1.894 01.09.05 20:12 Faultlog.txt NSREG DAT 0 31.08.05 23:05 nsreg.dat UNINST~1 EXE 99.970 31.08.05 23:05 UninstallFirefox.exe MOZVER DAT 2.608 31.08.05 23:05 mozver.dat SCHEDLOG TXT 2.162 31.08.05 18:23 SchedLog.Txt SSDPCA~1 TXT 0 31.08.05 18:23 ssdpcache.txt RESUME TXT 24 31.08.05 17:42 RESUME.TXT SETUPAPI LOG 305.460 31.08.05 16:52 setupapi.log ADIRAS INI 344 31.08.05 16:49 adiras.ini ADIDSL INI 64 31.08.05 16:49 adidsl.ini DIRECTX LOG 72.834 31.08.05 15:51 Directx.log WININI~1 OLD 12.305 31.08.05 15:50 wininitlog.old WININIT SAV 5.487 31.08.05 15:49 WININIT.SAV TMPDELIS BAT 122 31.08.05 15:44 tmpdelis.bat TMPCPYIS BAT 291 31.08.05 15:43 tmpcpyis.bat BRNDLOG TXT 5.367 31.08.05 15:39 brndlog.txt OEWABLOG TXT 822 31.08.05 15:39 OEWABLog.txt RUNONC~1 TXT 17.046 31.08.05 15:38 RunOnceEx Log.txt BRNDLOG BAK 233 31.08.05 15:38 brndlog.bak ACTIVE~1 TXT 15.762 31.08.05 15:37 Active Setup Log.txt MAILMARK INI 0 31.08.05 15:17 Mailmark.ini MAXLINK INI 116 31.08.05 14:42 maxlink.ini TB96 INI 81 31.08.05 14:42 TB96.INI WATCH INI 52 31.08.05 14:40 watch.ini DOSSTART BAT 44 31.08.05 14:35 DOSSTART.BAT SBWIN INI 68 31.08.05 14:35 SBWIN.INI SBPCI INI 188 31.08.05 14:33 sbpci.ini WINSTART BAT 26 31.08.05 14:20 winstart.bat CONTROL INI 882 31.08.05 13:32 CONTROL.INI WMSYSPRX PRX 288.562 31.08.05 13:29 WMSysPrx.prx TELEPHON INI 225 31.08.05 13:29 TELEPHON.INI MODEMCPL TXT 514 31.08.05 13:29 ModemCpl.txt HWINFO DAT 184.352 31.08.05 13:29 HWINFO.DAT ODBCINST INI 1.443 31.08.05 13:29 ODBCINST.INI FOLDER HTT 23.272 31.08.05 13:28 folder.htt DESKTOP INI 271 31.08.05 13:28 desktop.ini STI_EV~1 LOG 0 31.08.05 13:26 Sti_Event.log STI_TR~1 LOG 0 31.08.05 13:26 Sti_Trace.log PROGMAN INI 0 31.08.05 13:26 progman.ini QTW INI 28 31.08.05 13:20 QTW.INI MSOFFICE INI 26 31.08.05 13:20 MSOFFICE.INI SETVER EXE 19.131 31.08.05 13:20 SETVER.EXE HIDCI DLL 3.232 31.08.05 13:19 HIDCI.DLL WINSOCK DLL 21.520 31.08.05 13:19 WINSOCK.DLL PIDGEN DLL 29.376 31.08.05 13:14 PIDGEN.DLL 9XADIRAS EXE 32.768 26.04.02 10:30 9xadiras.exe RESTART EXE 112.563 07.08.01 9:14 restart.exe WSCRIPT EXE 118.834 26.06.01 17:53 WSCRIPT.EXE PIXCACHE INI 160 29.02.96 14:36 pixcache.ini UNINST EXE 282.624 23.10.95 16:14 UNINST.EXE MSVCRT40 DLL 312.832 29.09.95 23:06 MSVCRT40.DLL 240 Datei(en) 230.652.633 Bytes 0 Verzeichnis(se) 8.023,59 MB frei Datentr„ger in Laufwerk C: hat keine Bezeichnung Seriennummer des Datentr„gers: 3F28-1410 Verzeichnis von C:\WINDOWS\SYSTEM SMBIOS DAT 1.173 31.08.05 17:59 SMBIOS.DAT SMBIOS EPS 31 31.08.05 17:59 SMBIOS.EPS LMSCRIPT PIF 995 31.08.05 16:58 LMSCRIPT.PIF NSCOMPAT TLB 23.392 31.08.05 15:38 nscompat.tlb AMCOMPAT TLB 16.832 31.08.05 15:38 amcompat.tlb EV19X8 INI 0 31.08.05 14:33 ev19x8.ini ATI64HLP STB 22 31.08.05 14:05 ati64hlp.stb ACPI SYS 84.896 31.08.05 13:57 ACPI.SYS PQ_DEBUG TXT 17.104 31.08.05 13:55 PQ_DEBUG.TXT PQ_BATCH PQB 1.182 31.08.05 13:54 PQ_BATCH.PQB PQ_DEBUG 001 26.003 31.08.05 13:47 PQ_DEBUG.001 PQ_BATCH 001 1.147 31.08.05 13:46 PQ_BATCH.001 WMPSCH~1 XML 19.012 31.08.05 13:30 wmpscheme.xml HWINFOD VXD 10.982 31.08.05 13:29 HwInfoD.vxd FOLDER HTT 23.272 31.08.05 13:28 folder.htt DESKTOP INI 271 31.08.05 13:28 desktop.ini VMM32 VXD 1.033.142 31.08.05 13:21 VMM32.VXD HIDCI DLL 3.232 31.08.05 13:19 HIDCI.DLL WSOCK32 DLL 36.864 31.08.05 13:19 WSOCK32.DLL COMMDLG DLL 89.559 31.08.05 13:19 COMMDLG.DLL SHELL DLL 134.915 31.08.05 13:19 SHELL.DLL VER DLL 12.847 31.08.05 13:19 VER.DLL NWNDS DLL 7.507 31.08.05 13:17 NWNDS.DLL PPPNDI DLL 2.259 31.08.05 13:17 PPPNDI.DLL RNASETUP DLL 8.803 31.08.05 13:17 RNASETUP.DLL SYSDETMG DLL 303.315 31.08.05 13:17 SYSDETMG.DLL MSTCP DLL 41.699 31.08.05 13:17 MSTCP.DLL NDSWAN16 DLL 1.728 31.08.05 13:17 NDSWAN16.DLL NETAPI DLL 106.787 31.08.05 13:17 NETAPI.DLL NETDI DLL 348.979 31.08.05 13:17 NETDI.DLL NETOS DLL 27.744 31.08.05 13:17 NETOS.DLL MSPRINT DLL 91.363 31.08.05 13:17 MSPRINT.DLL CFGWIZ DLL 2.560 31.08.05 13:17 CFGWIZ.DLL DINDI DLL 26.848 31.08.05 13:17 DINDI.DLL DLCNDI DLL 2.490 31.08.05 13:17 DLCNDI.DLL DSKMAINT DLL 238.467 31.08.05 13:17 DSKMAINT.DLL COMMCTRL DLL 155.411 31.08.05 13:17 COMMCTRL.DLL LZEXPAND DLL 23.696 31.08.05 13:17 LZEXPAND.DLL INFRARED DLL 68.691 31.08.05 13:14 INFRARED.DLL ISSETUP DLL 17.539 31.08.05 13:14 ISSETUP.DLL INETWH32 DLL 49.152 25.07.05 16:22 inetwh32.dll ROBOEX32 DLL 1.044.480 25.07.05 16:22 roboex32.dll WE DLL 1.113.088 13.09.04 16:59 we.dll WODKEYS DLL 467.040 07.09.04 23:26 wodKeys.dll WODSFTP OCX 471.184 07.09.04 23:25 wodSFTP.ocx WODSFTP DLL 430.224 07.09.04 23:25 wodSFTP.dll ACEBITAW DLL 371.712 01.06.04 16:03 acebitaw.dll Dieser Beitrag wurde am 02.09.2005 um 10:18 Uhr von HerrOpfer editiert.
|
|
|
||
02.09.2005, 12:56
Ehrenmitglied
Beiträge: 29434 |
#4
arbeite bitte ab:
Escan- logs !!!!!!!!!!--> nur was infiziert ist... http://virus-protect.org/silentrunner.html http://virus-protect.org/winpfind.html DLLCompare http://downloads.subratam.org/DllCompare.exe __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
02.09.2005, 22:44
...neu hier
Themenstarter Beiträge: 6 |
#5
Hallo,
ich habe einige jscripte gefunden die sich im Content IE befanden und gelöscht, sie stellen sich aber wieder her genauso wie die videorom bin in C:.Außerdem habe ich an der Reg. rumgefummelt und einträge gelöscht die mit Datei Setup.ilg verknüpft waren, diese war wohl für den Start von DOSVM verantwortlich. Ich vergaß zu erwähnen das ich auch sehr häufig Bootsektor und Cluster fehler gemeldet bekommen habe, vieleicht ist das ja hilfreich. Ich bin total überfordert mit dem ganzen Schei... und kurz davor das Handtuch zu schmeissen ! Dieser Beitrag wurde am 06.09.2005 um 09:21 Uhr von HerrOpfer editiert.
|
|
|
||
02.09.2005, 23:16
Ehrenmitglied
Beiträge: 29434 |
#6
es ist schwer fuer mich, was zu finden, wo ich anpacken kann....
weil du formatiert hast ....und somit fast alle Veraenderungen dokumentiert werden: CCleaner--> loesche alle *temp-Datein http://virus-protect.org/temp.html leere den Papierkorb: C:\RECYCLED\desktop.ini C:\RECYCLED\info2 C:\RECYCLED\dc85.dat C:\RECYCLED\dc86.dat C:\RECYCLED\dc120.dat mache dich auf und ....Onlinescans, einen nach dem andern und poste alles, was angezeigt wird http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
06.09.2005, 09:25
...neu hier
Themenstarter Beiträge: 6 |
#7
Hallo Sabina,
hier sind die Ergebnisse meiner Onlinescans ! Habe alle Onlinescanner durchlaufen lassen bis auf Bitdefender, da ist mir der Rechner abgeschmiert ! (abgeschossen ? ) Hinterher gab es Grafikprobleme, auch bei der Neuinstallation des Grakatreibers ! Mir fiel wieder die Ati2evxx.exe auf, die sich weiterhin Autostarten wollte. Habe dann nochmal formatiert. Der Rechner scheint jetzt sauber zu sein, allerdings werde ich weiterhin angegriffen, sobald ich mich einlogge, zack die ersten Portscans. Meistens die schon beschriebenen Angriffe und Dosvm sollte wieder gestartet werden. Ferner soll wininit.bak zur ausführung gebracht werden, diese läd dann die shellconcache, danach landet man wohl wieder bei local page=. Soweit meine stümperhafte Analyse. Ich bin jedenfalls nur noch mit total verammeltem Rechner unterwegs ! +++ Die einzigen die fündig wurden waren Panda ( Fehlalarm ? ) und Raw. RAW Scan started at 03.09.2005 17:46:59 Scanning memory... c:\WINDOWS\Desktop\down\WinRAR v3.20/wrar320.exe->(RARSfx)->Uninstall.exe - Backdoor:Win32/Poebot.E -> Suspicious c:\WINDOWS\Desktop\down\WinRaR_v3.30_Beta_1_by_mom.rar->WinRaR_v3.30_Beta_1_by_mom\WinRAR 3.30 beta 1.rar->WinRAR 3.30 beta 1\wrar33b1.exe->(RARSfx)->Uninstall.exe - Backdoor:Win32/Poebot.E -> Suspicious d:\poamt\PMPRINT.EXE - Trojan:Win32/AOL.PS.HH -> Infected d:\poamt\PMSEND.EXE - Trojan:Win32/AOL.PS.A -> Suspicious d:\poamt\PMPRINT.200 - Trojan:Win32/AOL.PS.HH -> Infected d:\poamt\PLUGINS\ATTMNG.EXE - Trojan:Win32/AOL.Load386 -> Suspicious d:\poamt\PLUGINS\DATAEXTR.EXE - Trojan:Win32/AOL.PS.JC -> Suspicious Scanned ============================ Objects: 8041 Directories: 844 Archives: 469 Size(Kb): 2061043 Infected files: 2 Found ============================ Viruses found: 1 Suspicious files: 7 Disinfected files: 0 Mail files: 39 Panda : First of all, uninstall BargainBuddy from the Add/Remove programs in the Control panel. Delete the entries that BargainBuddy has created in the Windows Registry </virus_info/glossary/>: HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run Bargains = "%Program files%\Bargain Buddy\bin\bargains.exe" where %Program files% is the Program files directory </virus_info/glossary/>, where BargainBuddy is installed. HKEY_LOCAL_MACHINE\ Software\ Bargains HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ explorer\ Browser Helper Objects\ {CE31A1F7-3D90-4874-8FBE-A5D97F8BC8F1} HKEY_LOCAL_MACHINE\ Software\ Classes\ CLSID\ {CE31A1F7-3D90-4874-8FBE-A5D97F8BC8F1} HKEY_LOCAL_MACHINE\ Software\ Classes\ Interface\ {C6906A23-4717-4E1F-F06EBED14177} HKEY_LOCAL_MACHINE\ Software\ Classes\ Apuc.UrlCatcher.1 HKEY_LOCAL_MACHINE\ Software\ Classes\ Apuc.UrlCatcher |
|
|
||
06.09.2005, 10:58
Ehrenmitglied
Beiträge: 29434 |
#8
Hallo@HerrOpfer
wininit.bak <--rechtklick, poste mir den Inhalt dieser Datei, bitte. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
06.09.2005, 12:23
...neu hier
Themenstarter Beiträge: 6 |
||
|
||
06.09.2005, 12:31
Ehrenmitglied
Beiträge: 29434 |
#10
Bitte führe folgendes aus:
Erstelle auf dem Desktop eine Datei find.bat. Rechte Maustaste - Bearbeiten Dort fügst Du ein und speicherst: @echo off cd\ cd %temp%\ dir /a:-d /o:-d > %systemdrive%\systemtemp.txt exit bitte posten ---------------------- (INFO A~NSISu_.exe file information The process BargainBuddy Module belongs to the software BullsEye Network by eXact Advertising (www.exactadvertising.com). __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
06.09.2005, 12:38
Ehrenmitglied
Beiträge: 29434 |
#11
gehe in die Registry
loesche: HKEY_LOCAL_MACHINE\ Software\ Bargains HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ explorer\ Browser Helper Objects\ {CE31A1F7-3D90-4874-8FBE-A5D97F8BC8F1} HKEY_LOCAL_MACHINE\ Software\ Classes\ CLSID\ {CE31A1F7-3D90-4874-8FBE-A5D97F8BC8F1} HKEY_LOCAL_MACHINE\ Software\ Classes\ Interface\ {C6906A23-4717-4E1F-F06EBED14177} HKEY_LOCAL_MACHINE\ Software\ Classes\ Apuc.UrlCatcher.1 HKEY_LOCAL_MACHINE\ Software\ Classes\ Apuc.UrlCatcher --------------------------------------------------------------------------- loesche die wininit.bak und starte den PC neu deinstalliere : BargainBuddy __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
06.09.2005, 13:38
...neu hier
Themenstarter Beiträge: 6 |
#12
Geht leider nicht ! Längst alles runtergeputzt !
Gerade als ich die findit.bat ausführen wollte (offline ) bekam ich wieder die OUTPOST Warnung über Firefox: Versteckter Prozeß : DOSVM !!! Ich finde dieses Prog nicht, weder auf dem Rechner noch in der Registry. Kannst Du mir sagen was das ist ? Noch etwas: Im Temp Ordner befindet sich häufiger ein Ordner namens XPCOM ! Ein Mozilla Tool zur Browseranpassung ? Den habe ich gezippt und aufgehoben,wohl das falsche aufbewahrt. Oder könnte das relevant sein ? Datentr„ger in Laufwerk C: hat keine Bezeichnung Seriennummer des Datentr„gers: 3F28-1410 Verzeichnis von C:\WINDOWS\TEMP JET494E TMP 0 06.09.05 11:53 JET494E.TMP JET4F2D TMP 0 05.09.05 20:34 JET4F2D.TMP JET4D3E TMP 0 05.09.05 8:58 JET4D3E.TMP 3 Datei(en) 0 Bytes 0 Verzeichnis(se) 8.430,55 MB frei Noch zu Bargain: Das war vor dem Formatieren ! Und da habe ich auch schon nichts diesbezüglich gefunden ! |
|
|
||
06.09.2005, 14:57
Ehrenmitglied
Beiträge: 29434 |
#13
kopiere bitte die komplette Meldung ab, welche die Firewall ausgibt.
und: versuche bitte, ob das Tool auf deinem PC funktioniert, es enthaelt drei DOS-Scanner. http://virus-protect.org/Artikel/Tools/multiavtool.html Vielleicht kann noch jemand anderes hier helfen................ http://computing.net/windows95/wwwboard/forum/166345.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
Alles wird sabotiert. Ständige Scans auf UDP 1026 und 1027. Angriffe über DCOM
und Microsoft ds ! Brauche dringend Hilfe ! Mist, ich versuche es morgen nochmal über einen anderen Rechner ! Ich kann auch keine Logs Posten ! Nichts funst mehr !
Klinkt dramatisch wie ! Ist es auch ! Ich brauch die Kiste dringend !
Danke erstmal !
Hallo,
entschuldigt mein konfuses posting von gestern, aber die Kommunikation
mit eurem lobenswerten Board wurde abgefangen und gestört, war kaum hinzukriegen !
Das Ding ist, ich habe es zu spät erkannt das ich gehackt werde ! Habe den Mist mindestens
1 Monat auf dem Rechner und es ist davon auszugehen das diese Verbrecher meine sämtlichen
Passwörter ( Websiten, Email, Ebay ) ausgespäht haben. Leider habe ich überhastet formatiert und
ein Ghost- Image wiederhergestellt, die HJ- logs dabei mitgelöscht. Ich poste hier mal die Reste,
ist kaum noch etwas auf dem Rechner was ich nicht kenne. Das letzte was ich an Autostarts rausgeschmissen habe ist "ati2evxx.exe" hat nur kurzfristig was gebracht, wie alles was ich
unternehme.
Logfile of HijackThis v1.99.1
Scan saved at 20:46:26, on 29.08.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Unable to get Internet Explorer version!
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\ATI2EVXX.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\STARTUPMONITOR.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\DESKTOP\VIRUS\HIJACKTHIS\HIJACKTHIS.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [Run StartupMonitor] StartupMonitor.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [ATIPOLL] ati2evxx.exe
O4 - HKLM\..\RunServices: [ATISmart] C:\WINDOWS\SYSTEM\ati2s9ag.exe
hier noch mein aktuelles Log:
Logfile of HijackThis v1.99.1
Scan saved at 11:26:39, on 31.08.2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MDM.EXE
C:\PROGRAMME\AGNITUM\OUTPOST FIREWALL\OUTPOST.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\THE CLEANER\TCA.EXE
C:\PROGRAMME\THE CLEANER\TCM.EXE
C:\PROGRAMME\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE
C:\WINDOWS\STARTUPMONITOR.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\PROGRAMME\AT-AR215\AT-AR215 USB ADSL WAN ADAPTER\DSLMON.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\DESKTOP\VIRUS\HIJACKTHIS\HIJACKTHIS.EXE
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\Scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [tcactive] C:\PROGRAMME\THE CLEANER\tca.exe
O4 - HKLM\..\Run: [tcmonitor] C:\PROGRAMME\THE CLEANER\tcm.exe
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRAMME\AGNITUM\OUTPOST FIREWALL\outpost.exe /waitservice
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Run StartupMonitor] StartupMonitor.exe
O4 - HKLM\..\Run: [9xadiras] 9xadiras.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM\..\RunServices: [Outpost Firewall] C:\PROGRAMME\AGNITUM\OUTPOST FIREWALL\outpost.exe /service
O4 - HKLM\..\RunServices: [ATISmart] C:\WINDOWS\SYSTEM\ati2s9ag.exe
O4 - Startup: DSLMON.lnk = C:\Programme\AT-AR215\AT-AR215 USB ADSL WAN Adapter\dslmon.exe
O9 - Extra button: Browser-Anpassung - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\PROGRAMME\AGNITUM\OUTPOST FIREWALL\PLUGINS\BROWSERBAR\IE_BAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
Ich hätte auch noch einige Escan- logs die ich posten könnte, es wurde unter anderen Backdoor " bifrose"erkannt.