Google Problem bei Suche ständig seltsame Seiten |
||
---|---|---|
#0
| ||
07.02.2007, 12:37
...neu hier
Beiträge: 7 |
||
|
||
07.02.2007, 13:29
Ehrenmitglied
Beiträge: 29434 |
#2
Melli04
die Internetverbindung wird auf einen Server in die Ukraine umgeleitet und dein Rechner hat noch nie ein WindowsUpdates gesehen «« offne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" Zitat O17 - HKLM\System\CCS\Services\Tcpip\..\{A07681E3-F1D1-4499-94A9-348DD979D790}: NameServer = 85.255.115.36 85.255.112.83«« arbeite das ab und poste den scanreport http://virus-protect.org/artikel/tools/fixwareout.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
07.02.2007, 13:48
...neu hier
Themenstarter Beiträge: 7 |
#3
Hi,
danke schonmal. Werde jetzt gleich noch die Windowsupdates machen *schäm* LG Melli Fixwareout Last edited 1/30/2007 Post this report in the forums please ... Prerun check »»»»» HKLM run and Winlogon System values C:\WINDOWS\System32\kdjtc.exe will be moved to C:\WINDOWS\temp\kdjtc.ren at reboot. »»»»» System restarted Reg Entries that were deleted ... Random Runs removed from HKLM ... »»»»» Misc files. »»»»» Checking for older varients. »»»»» Postrun check »»»»» HKLM run »»»»» Winlogon System value "system"="" »»»»» PLEASE NOTE, There CAN be LEGITIMATE FILES LISTED IN THIS SECTION. This WILL/CAN also list Legit Files, Submit them at Virustotal Search five digit cs, dm kd and jb files. »»»»» »»»»» Current runs [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "RegistryMechanic"="" "NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvCpl.dll,NvStartup" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL] "Installed"="1" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI] "Installed"="1" "NoChange"="1" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS] "Installed"="1" [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] Hosts file was reset, If you use a custom hosts file please replace it |
|
|
||
07.02.2007, 14:13
Ehrenmitglied
Beiträge: 29434 |
#4
Melli04
«« SDFix.zip entpacken http://virus-protect.org/artikel/tools/sdfix.html es erscheint folgende Meldung: "The SDFix Folder has been extracted to %systemdrive% - Please run from that location. (%systemdrive% = drive that contains the Windows directory - typically C:\SDFix )" unter C:\ findet man nun den SDFix-Ordner boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet) gehe in den Ordner C:\SDFix RunThis.bat doppelt klicken schreibe: Y folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag, «« poste das neue log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
07.02.2007, 15:55
...neu hier
Themenstarter Beiträge: 7 |
#5
Hi,
SDFix: Version 1.63 07.02.2007 - 15:38:33,16 Microsoft Windows XP [Version 5.1.2600] Running From: C:\SDFix Safe Mode: Checking Services: Name: Path: Restoring Windows Registry Entries Restoring Default Hosts File Rebooting... Normal Mode: Checking Files: Below files will be copied to Backups folder then removed: C:\WINDOWS\system32\ksl48.bin - Deleted C:\WINDOWS\system32\TFTP3096 - Deleted C:\WINDOWS\system32\TFTP3856 - Deleted C:\WINDOWS\system32\TFTP736 - Deleted ADS Check: C:\WINDOWS\system32 No streams found. Final Check: Remaining Services: ------------------ Authorized Application Key Export: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "\\??\\C:\\WINDOWS\\system32\\winlogon.exe"="\\??\\C:\\WINDOWS\\system32\\winlogon.exe:*:Enabled:explorer" Remaining Files: --------------- Backups Folder: - C:\SDFix\backups\backups.zip Checking For Files with Hidden Attributes : C:\WINDOWS\LastGood.Tmp\INF\oem0.inf C:\WINDOWS\LastGood.Tmp\INF\oem0.PNF C:\WINDOWS\LastGood.Tmp\INF\oem4.inf C:\WINDOWS\LastGood.Tmp\INF\oem4.PNF C:\WINDOWS\system32\config\default.tmp.LOG C:\WINDOWS\system32\config\software.tmp.LOG C:\WINDOWS\system32\config\system.tmp.LOG Finished und Hijackthis Logfile of HijackThis v1.99.1 Scan saved at 15:55:25, on 7.2.2007 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\notepad.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\IncrediMail\bin\IncMail.exe C:\PROGRA~1\IncrediMail\bin\IMApp.exe C:\Dokumente und Einstellungen\melanie\Desktop\Neuer Ordner\hijackthis\HijackThis.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1170852547618 O17 - HKLM\System\CCS\Services\Tcpip\..\{A07681E3-F1D1-4499-94A9-348DD979D790}: NameServer = 85.255.115.36 85.255.112.83 |
|
|
||
07.02.2007, 16:43
Ehrenmitglied
Beiträge: 29434 |
#6
Melli04
«« öffne das HijackThis -- Button "scan" -- vor diesen Eintrag Häkchen setzen -- Button "Fix checked" -- PC neustarten Zitat O17 - HKLM\System\CCS\Services\Tcpip\..\{A07681E3-F1D1-4499-94A9-348DD979D790}: NameServer = 85.255.115.36 85.255.112.83+ PC neustarten «« im Normalmodus http://virus-protect.org/artikel/tools/sdfix.html RunThis.bat doppelt klicken reinschreiben: 3 3 : wird Sophos geladen - waehle 6 - scanne und poste den scanreport + poste das neue log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
07.02.2007, 19:49
...neu hier
Themenstarter Beiträge: 7 |
#7
Hi,
Sophos Anti-Virus Version 4.14.0 [Win32/Intel] Virus data version 4.14, February 2007 Includes detection for 216220 viruses, trojans and worms Copyright (c) 1989-2007 Sophos Plc, www.sophos.com System time 17:57:51, System date 07 February 2007 Command line qualifiers are: -f -remove -nc -nb --stop-scan IDE directory is: C:\SDFix\IDE Password protected file C:\Dokumente und Einstellungen\melanie\Eigene Dateien\igarbeit\cr_2004_01_web_bw2.pdf Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\Messages\DEU\RdrMsgDEU.pdf Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\Messages\ENU\RdrMsgENU.pdf Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\Messages\RdrMsgSplash.pdf Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\WebSearch\WebSearchENU.pdf >>> Virus 'Mal/Packer' found in file >>> Virus 'Troj/Zlob-VH' found in file C:\System Volume Information\_restore{CB7D74C2-092C-4DBC-8487-3A17956161F9}\RP11\A0011092.exe Removal successful >>> Virus 'Mal/Packer' found in file C:\System Volume Information\_restore{CB7D74C2-092C-4DBC-8487-3A17956161F9}\RP23\A0012808.exe Removal successful >>> Virus 'Mal/Packer' found in file C:\System Volume Information\_restore{CB7D74C2-092C-4DBC-8487-3A17956161F9}\RP23\A0012809.exe Removal successful Could not check D:\Downloads\Spiele\140.MiniGames.from.GameHouse.PopCap.Reflexsive.4.orangejuice.6x.to\over 140 MiniGames from GameHouse PopCap Reflexsive 4 orangejuice.6x.to\GameHouse\Super Gamehouse Solitaire2.EXE (virus scan failed) Could not check D:\Downloads\Spiele\140.MiniGames.from.GameHouse.PopCap.Reflexsive.4.orangejuice.6x.to\over 140 MiniGames from GameHouse PopCap Reflexsive 4 orangejuice.6x.to\GameHouse\Super Gamehouse Solitaire3.EXE (virus scan failed) Could not check D:\Downloads\Spiele\140.MiniGames.from.GameHouse.PopCap.Reflexsive.4.orangejuice.6x.to\over 140 MiniGames from GameHouse PopCap Reflexsive 4 orangejuice.6x.to\GameHouse\Tennis Titans.EXE (virus scan failed) Could not check D:\Downloads\Spiele\140.MiniGames.from.GameHouse.PopCap.Reflexsive.4.orangejuice.6x.to\over 140 MiniGames from GameHouse PopCap Reflexsive 4 orangejuice.6x.to\GameHouse\Trivia Machine.EXE (virus scan failed) Could not check D:\Downloads\Spiele\140.MiniGames.from.GameHouse.PopCap.Reflexsive.4.orangejuice.6x.to\over 140 MiniGames from GameHouse PopCap Reflexsive 4 orangejuice.6x.to\GameHouse\Tumblebugs.EXE (virus scan failed) Could not check D:\Downloads\Spiele\140.MiniGames.from.GameHouse.PopCap.Reflexsive.4.orangejuice.6x.to\over 140 MiniGames from GameHouse PopCap Reflexsive 4 orangejuice.6x.to\GameHouse\Turtle Bay.EXE (virus scan failed) Could not check D:\Downloads\Spiele\CivCity.Rom.GERMAN-SiLENTGATE\Autorun\images\background_rome.jpg (virus scan failed) 2 boot sectors swept. 47983 files swept in 1 hour, 48 minutes and 3 seconds. 12 errors were encountered. 5 viruses were discovered. 5 files out of 47983 were infected. Please send infected samples to Sophos for analysis. For advice consult www.sophos.com, email support@sophos.com or telephone +44 1235 559933 5 encrypted files were not checked. Ending Sophos Anti-Virus. und Hijack this Logfile of HijackThis v1.99.1 Scan saved at 19:49:15, on 7.2.2007 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32\nvsvc32.exe C:\PROGRA~1\IncrediMail\bin\IMApp.exe C:\PROGRA~1\IncrediMail\bin\IncMail.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Dokumente und Einstellungen\melanie\Desktop\Neuer Ordner\hijackthis\HijackThis.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1170852547618 O17 - HKLM\System\CCS\Services\Tcpip\..\{A07681E3-F1D1-4499-94A9-348DD979D790}: NameServer = 85.255.115.36 85.255.112.83 LG Melli Dieser Beitrag wurde am 07.02.2007 um 20:15 Uhr von Melli04 editiert.
|
|
|
||
07.02.2007, 20:39
Ehrenmitglied
Beiträge: 29434 |
#8
Melli04
warum fixt du das nicht mit hijackThis ????????????????? - du musst machen, was ich schreibe O17 - HKLM\System\CCS\Services\Tcpip\..\{A07681E3-F1D1-4499-94A9-348DD979D790}: NameServer = 85.255.115.36 85.255.112.83 diese Verbindung geht in die Ukraine, nicht zu deinem Provider........ Zitat canonical name 85.255.115.36-xbox.dedi.inhoster.com.------------------------------------------------------------------- Download Registry Search by Bobbi Flekman http://virus-protect.org/artikel/tools/regsearch.html und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) {A07681E3-F1D1-4499-94A9-348DD979D790} in edit und klicke "Ok". Notepad wird sich öffnen -- kopiere den Text ab und poste ihn. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
08.02.2007, 07:59
...neu hier
Themenstarter Beiträge: 7 |
#9
Hi,
ich fixe das Ding jedes Mal wenn der Rechner neu gestartet ist :-(( aber es ist immer wieder da :-(( Hier der Text Windows Registry Editor Version 5.00 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.2.0 ; Results at 8.2.2007 07:57:16 for strings: ; '{a07681e3-f1d1-4499-94a9-348dd979d790}' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\lanmanserver\Linkage] ; Contents of value: ; \Device\NetbiosSmb ; \Device\NetBT_Tcpip_{B5C208A7-9E6A-46E6-8795-DE9DBF541399} ; \Device\NetBT_Tcpip_{38A7C0CD-3B95-4DB0-954D-DB024943725D} ; \Device\NetBT_Tcpip_{46E167BF-C412-4852-8CE7-6DE789260388} ; \Device\NetBT_Tcpip_{FBCCD9A4-44AB-4902-8AF2-C61F74C60F59} ; \Device\NetBT_Tcpip_{A07681E3-F1D1-4499-94A9-348DD979D790} « |
|
|
||
08.02.2007, 11:07
Ehrenmitglied
Beiträge: 29434 |
#10
1.
Um die Diensteverwaltung explizit aufzurufen, eingeben unter: Start - Ausführen : services.msc Nun werden alle laufenden Dienste angezeigt. TCP/IP-NetBIOS-Hilfsprogramm - deaktivieren 2. fixe noch mal mit hijackThis betreffenden 017-Eintrag O17 - HKLM\System\CCS\Services\Tcpip\..\{A07681E3-F1D1-4499-94A9-348DD979D790}: NameServer = 85.255.115.36 85.255.112.83 und starte den Rechner neu ------------------------------------------------ 3. bevor du ins internet gehst: Arbeitsplatz - Systemsteuerung - Netzwerk Eigenschaften von TCP/IP, Register Allgemein, Option: IP-Adresse automatisch + DNS-Server-Adresse automatisch beziehen - anhaken 4. poste das neue Log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
08.02.2007, 11:28
...neu hier
Themenstarter Beiträge: 7 |
#11
Hi,
danke für deine Mühe aber es ist schon wieder da ... Logfile of HijackThis v1.99.1 Scan saved at 11:27:15, on 8.2.2007 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32\nvsvc32.exe C:\Dokumente und Einstellungen\melanie\Desktop\Neuer Ordner\hijackthis\HijackThis.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1170852547618 O17 - HKLM\System\CCS\Services\Tcpip\..\{A07681E3-F1D1-4499-94A9-348DD979D790}: NameServer = 217.237.150.188 217.237.151.142 « |
|
|
||
08.02.2007, 11:31
Ehrenmitglied
Beiträge: 29434 |
#12
nein, nun ist dein richtiger, korrekter Provider eingetragen
«« lade firefox als Alternativbrowser zum IE http://virus-protect.org/firefox.html «« bringe den Guard vom Antivirus in den Autostart - kann man einstellen http://virus-protect.org/antivirus.html «« mache die Windowsupdates, sonst wirst du hier Dauergast - und alles gute fuer dich + PC __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
08.02.2007, 11:33
...neu hier
Themenstarter Beiträge: 7 |
||
|
||
nach langem probieren das Problem selbst in den Griff zu bekommen hoffe ich das ihr mir helfen könnt.
Ich hab ein Problem mit Google und zwar öffnet er mir seltsame Seiten anstatt die gewünschte wenn ich auf ein Suchergebnis klicke :-(
hier mal mein Hijack Protokoll
Logfile of HijackThis v1.99.1
Scan saved at 12:33:59, on 7.2.2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\IncrediMail\bin\IMApp.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\PROGRA~1\IncrediMail\bin\IncMail.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\melanie\Desktop\Neuer Ordner\hijackthis\HijackThis.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O17 - HKLM\System\CCS\Services\Tcpip\..\{A07681E3-F1D1-4499-94A9-348DD979D790}: NameServer = 85.255.115.36 85.255.112.83
Danke schonmal im Vorraus.
LG
Melli