Home » Viren, Trojaner & Malware Forum » 100% system auslastung bei IE - Wieso? » Themenansicht

100% system auslastung bei IE - Wieso?

Thema ist geschlossen!
Thema ist geschlossen!
#0
28.11.2003, 16:33
raman
Moderator

Beiträge: 7805
#16 Du hast das selbe Problem. Du hast eien Coolwebsearch Hijacker.
Sprich dr selbe Tipp an dich: Wenn du willst, kannst du dich ja mal dadurchkaempfen und mit dem dort angebotenen Tool schauen, ob auch alles weg ist: http://www.spywareinfo.com/~merijn/cwschronicles.html

und danach ein neues Log posten!;)
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
29.11.2003, 12:13
Fällix
...neu hier

Beiträge: 2
#17 wunderbar, raman. funzt wieder alles wie es soll. hab einfach mal die klamotten gelöscht die swantje auch löschen sollte und jetz läuts. auf die möglichkeit mit dem link da oben hab ich mal verzichtet. hier das neue log:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svcpack.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\program files\altnet\points manager\points manager.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\msreg.exe
C:\WINDOWS\msreg.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\ICQ\ICQ.exe
C:\PROGRA~2\Altnet\DOWNLO~1\asm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\~590.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\svchosts.exe
C:\WINDOWS\System32\svchostc.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\FELIXM~1\LOKALE~1\Temp\Rar$EX00.016\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\System32\svcpack.exe
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: HTML Source Editor - {086AE192-23A6-48D6-96EC-715F53797E85} - C:\WINDOWS\System32\DReplace.dll
O2 - BHO: (no name) - {1F48AA48-C53A-4E21-85E7-AC7CC6B5FFAF} - C:\DOKUME~1\FELIXM~1\LOKALE~1\Temp\msnfnp.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [KAZAA] C:\Programme\Kazaa\Kazaa.exe /SYSTRAY
O4 - HKLM\..\Run: [AltnetPointsManager] c:\program files\altnet\points manager\points manager.exe -s
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [putil] C:\WINDOWS\~590.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunOnce: [ICQ] C:\Programme\ICQ\ICQ.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Recherche-Assistent (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O13 - WWW Prefix:
O13 - FTP Prefix: http://
O13 - Gopher Prefix: http://
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37953.2887384259
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O19 - User stylesheet: C:\WINDOWS\my.css (HKLM)
Seitenanfang Seitenende
29.11.2003, 12:27
raman
Moderator

Beiträge: 7805
#18 Das reicht aber leider nicht. CW ist schwer manuell zu entfernen. Nutze mal den VW cleaner denn den hast du noch:
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\System32\svcpack.exe
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
29.11.2003, 15:41
swantje
Member

Themenstarter

Beiträge: 30
#19 gibt es ne seite wo diese ganzen regedit sachen erklärt sind? wo man nachlesen kann was die einträge alle bewirken?
Seitenanfang Seitenende
29.11.2003, 15:55
raman
Moderator

Beiträge: 7805
#20 Google ist bei solchen Sachen recht hilfreich, aber man hat sehr schnell raus, was zu einem Betriebssystem gehoert und wo es da hingehoert. Man muss sich halt ueberall ein wenig aneignen und lernen.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
29.11.2003, 19:41
seb-software
Member

Beiträge: 37
#21 Hallo allerseits.
Habe mich gerade erst angemeldet. (Super-Forum) - Lob an die Admins.
Hi, raman
ich habe auf meinem Rechner zu Haus diesen "Wurm" scvhost drauf.
Ich habe mich ja in diesem Forum schon durch ca 50 Seiten gearbeitet.
Aber das Material ist für einen Neuling doch sehr umfangreich. Kurz gesagt
ich weiß nicht, wie ich anfangen soll. Habe gemerkt, daß Fragen an
Dich von dir kompetent und ausführlich beantwortet werden. Darf ich Dich also
mit meiner Angelegenheit auch mal nerven ?
Danke im voraus
seb - Dieter
Dieser Beitrag wurde am 29.11.2003 um 19:43 Uhr von seb-software editiert.
Seitenanfang Seitenende
29.11.2003, 19:53
raman
Moderator

Beiträge: 7805
#22 Dann poste mal ein Hijackthis log!;)
Wie, steht auf der ersten Seite dieses Threads(Themas)
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
29.11.2003, 20:10
seb-software
Member

Beiträge: 37
#23 Danke für die Antwort, raman
Bin noch auf der Arbeit. Aber so gegen 2100 Uhr könnte ich posten.
Seitenanfang Seitenende
29.11.2003, 21:35
seb-software
Member

Beiträge: 37
#24 Hi, raman
Hier ist mein log.
Logfile of HijackThis v1.97.7
Scan saved at 00:25:49, on 04.11.2000
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\scvhost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svcinit.exe
C:\WINNT\Explorer.EXE
C:\Programme\System Security\System Security.exe
C:\Programme\1&1 Programme\cFos\cFosDNT.exe
C:\WINNT\SYSTEM32\kp.exe
C:\WINNT\System32\teekids.exe
C:\WINNT\System32\mslaugh.exe
C:\WINNT\SYSTEM32\vevq.exe
C:\WINNT\System32\ngfqes.exe
C:\WINNT\SYSTEM32\sefss.exe
C:\WINNT\System32\vqz.exe
C:\WINNT\System32\SahAgent.exe
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\WINNT\SYSTEM32\vqec.exe
C:\WINNT\System32\dxcqqijz.exe
C:\WINNT\System32\internat.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\WINNT\System32\mdm.exe
C:\WINNT\System32\wuauclt.exe
C:\WINNT\System32\rundll32.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Anwendungen\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://teen-biz.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://teen-biz.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://teen-biz.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nexgo.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://teen-biz.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 218.65.206.116:80
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://xwebsearch.biz/
F2 - REG:system.ini: UserInit=C:\WINNT\System32\userinit.exe,C:\WINNT\System32\svcinit.exe
O2 - BHO: (no name) - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: HTML Source Editor - {086AE192-23A6-48D6-96EC-715F53797E85} - C:\WINNT\System32\DReplace.dll
O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet5_48.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [System Security] C:\Programme\System Security\System Security.exe
O4 - HKLM\..\Run: [cFosDNT] C:\Programme\1&1 Programme\cFos\cFosDNT.exe
O4 - HKLM\..\Run: [windows auto update] msblast.exe
O4 - HKLM\..\Run: [Mspatch69] C:\WINNT\SYSTEM32\kp.exe
O4 - HKLM\..\Run: [Microsoft Inet Xp..] teekids.exe
O4 - HKLM\..\Run: [Windows Automation] mslaugh.exe
O4 - HKLM\..\Run: [rtmf] C:\WINNT\SYSTEM32\vevq.exe
O4 - HKLM\..\Run: [Postfix patch] ngfqes.exe
O4 - HKLM\..\Run: [caqvevch] C:\WINNT\SYSTEM32\sefss.exe
O4 - HKLM\..\Run: [xghfgdr] vqz.exe
O4 - HKLM\..\Run: [SAHAgent] C:\WINNT\System32\SahAgent.exe
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [nmihyv] C:\WINNT\SYSTEM32\vqec.exe
O4 - HKLM\..\Run: [ktubqr] dxcqqijz.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup
O4 - HKLM\..\RunServices: [Postfix patch] ngfqes.exe
O4 - HKLM\..\RunServices: [xghfgdr] vqz.exe
O4 - HKLM\..\RunServices: [ktubqr] dxcqqijz.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [YAW starten] "C:\Programme\YAW 3.5\yawguard.exe"
O4 - HKCU\..\Run: [sws.exe] c:\programme\GlobalDialer\domer00046\gd-domer00046_de.exe -remove
O4 - Startup: iMesh.lnk = C:\Programme\iMesh\Client\iMeshClient.exe
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O10 - Hijacked Internet access by New.Net
O10 - Broken Internet access because of LSP provider 'lsp.dll' missing
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C7540EBD-5947-4013-91E8-44F738A6607A}: NameServer = 62.225.253.9 194.25.2.129
Seitenanfang Seitenende
29.11.2003, 21:55
raman
Moderator

Beiträge: 7805
#25 Junge iunge, da gibt es einiges. Du hast mehrere Msblaster Varianten, einen Randex, sdbots, einen Downloader, einen Dialer, Coolwebsearch und andere Spyware! ;)

Wie gehen wir das denn an? Wie du den Coolwebsearcher los wirst, siehst du ja aus diesem Thread, dann nutze mal einen Onlinescanner. Am besten RAV: http://www.bul-online.de/av/onlinescan.html oder wenn es sein muss trend micro.
Dann das Patch fuer die RPC Sicherheitsluecke einspielen: http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=C8B8A846-F541-4C15-8C9F-220354449117
und dann nochmal ein Log posten.
__________
MfG Ralf
SEO-Spam Hunter
Dieser Beitrag wurde am 29.11.2003 um 21:55 Uhr von raman editiert.
Seitenanfang Seitenende
29.11.2003, 22:21
raman
Moderator

Beiträge: 7805
#26 Du kannst auch einfach den Dcomdienst deaktivieren, nicht das du gleich wieder von RPC Malware torpediert wirst: http://www.kssysteme.de/s_content.php?id=fk2002-02-02-3414#w2kmsds

Die besten Ideen kommen einem immer dann, wenn man sein Posting schon abgesetzt hat.;) ;)
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
29.11.2003, 22:25
seb-software
Member

Beiträge: 37
#27 Ohoh, daß hört sich nicht gut an.
Ich habe das Programm CWShredder gestartet. Meintest Du das?
Seitenanfang Seitenende
29.11.2003, 22:29
raman
Moderator

Beiträge: 7805
#28 Ja, wenn du das durchlaufen lassen hast und den Dcom Dienst beendet hast, poste nocmal ein log. Wir koennen die Viren auch per Hand/hijackthis loeschen.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
29.11.2003, 23:23
seb-software
Member

Beiträge: 37
#29 Hi, raman
die neue log
Logfile of HijackThis v1.97.7
Scan saved at 02:16:59, on 04.11.2000
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\System Security\System Security.exe
C:\Programme\1&1 Programme\cFos\cFosDNT.exe
C:\WINNT\SYSTEM32\kp.exe
C:\WINNT\System32\teekids.exe
C:\WINNT\System32\mslaugh.exe
C:\WINNT\SYSTEM32\vevq.exe
C:\WINNT\System32\ngfqes.exe
C:\WINNT\SYSTEM32\sefss.exe
C:\WINNT\System32\vqz.exe
C:\WINNT\System32\SahAgent.exe
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\WINNT\SYSTEM32\vqec.exe
C:\WINNT\System32\dxcqqijz.exe
C:\WINNT\System32\rundll32.exe
C:\WINNT\System32\internat.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\WINNT\System32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINNT\System32\mdm.exe
D:\Anwendungen\Tresor\Tresor.exe
D:\Anwendungen\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nexgo.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 218.65.206.116:80
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet5_48.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [System Security] C:\Programme\System Security\System Security.exe
O4 - HKLM\..\Run: [cFosDNT] C:\Programme\1&1 Programme\cFos\cFosDNT.exe
O4 - HKLM\..\Run: [windows auto update] msblast.exe
O4 - HKLM\..\Run: [Mspatch69] C:\WINNT\SYSTEM32\kp.exe
O4 - HKLM\..\Run: [Microsoft Inet Xp..] teekids.exe
O4 - HKLM\..\Run: [Windows Automation] mslaugh.exe
O4 - HKLM\..\Run: [rtmf] C:\WINNT\SYSTEM32\vevq.exe
O4 - HKLM\..\Run: [Postfix patch] ngfqes.exe
O4 - HKLM\..\Run: [caqvevch] C:\WINNT\SYSTEM32\sefss.exe
O4 - HKLM\..\Run: [xghfgdr] vqz.exe
O4 - HKLM\..\Run: [SAHAgent] C:\WINNT\System32\SahAgent.exe
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [nmihyv] C:\WINNT\SYSTEM32\vqec.exe
O4 - HKLM\..\Run: [ktubqr] dxcqqijz.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup
O4 - HKLM\..\RunServices: [Postfix patch] ngfqes.exe
O4 - HKLM\..\RunServices: [xghfgdr] vqz.exe
O4 - HKLM\..\RunServices: [ktubqr] dxcqqijz.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C7540EBD-5947-4013-91E8-44F738A6607A}: NameServer = 62.225.253.9 194.25.2.129
Seitenanfang Seitenende
30.11.2003, 00:10
raman
Moderator

Beiträge: 7805
#30 Also, das muss alles mit Hijackthis gefixt werden. Vorher bitte alle Browserfenster schliessen. Es kann sein, das du es im abgesicherten Modus machen musst.

O2 - BHO: (no name) - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet5_48.dll
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [windows auto update] msblast.exe
O4 - HKLM\..\Run: [Mspatch69] C:\WINNT\SYSTEM32\kp.exe
O4 - HKLM\..\Run: [Microsoft Inet Xp..] teekids.exe
O4 - HKLM\..\Run: [Windows Automation] mslaugh.exe
O4 - HKLM\..\Run: [rtmf] C:\WINNT\SYSTEM32\vevq.exe
O4 - HKLM\..\Run: [Postfix patch] ngfqes.exe
O4 - HKLM\..\Run: [caqvevch] C:\WINNT\SYSTEM32\sefss.exe
O4 - HKLM\..\Run: [xghfgdr] vqz.exe
O4 - HKLM\..\Run: [SAHAgent] C:\WINNT\System32\SahAgent.exe
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [nmihyv] C:\WINNT\SYSTEM32\vqec.exe
O4 - HKLM\..\Run: [ktubqr] dxcqqijz.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup
O4 - HKLM\..\RunServices: [Postfix patch] ngfqes.exe
O4 - HKLM\..\RunServices: [xghfgdr] vqz.exe
O4 - HKLM\..\RunServices: [ktubqr] dxcqqijz.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net

Ich hoffe, das ich alles erwischt habe. Einfach nach dem Neustart ein aktuelles log posten.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: