100% system auslastung bei IE - Wieso?Thema ist geschlossen! |
||
|---|---|---|
Thema ist geschlossen! |
||
| #0
| ||
|
02.12.2003, 12:02
Moderator
Beiträge: 7805 |
||
 
|
|
|
|
02.12.2003, 20:07
...neu hier
Beiträge: 2 |
#47
Muss dazu sagen, dass ich einige Tipps hier im Forum schon umgesetzt hatte, findmich.net hat also nix damit zu tun!!!
CWSShredderlog nach Fixing: Done! Removed from your system: - CWS.Bootconf - CWS.Oslogo - CWS.Msinfo - CWS.Tapicfg - CWS.Msoffice - CWS.Mupdate - 1 infected IE registry values - Hosts file redirections Windows XP (5.01.2600 SP1) CWShredder v1.38.1 Written by Merijn - merijn@spywareinfo.com For any additional help with this program or removing CWS, visit http://forums.spywareinfo.com/ HiJackThis-Log nach CWSShredder: Logfile of HijackThis v1.97.7 Scan saved at 20:09:02, on 02.12.2003 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\htpatch.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Generic\USB Card Reader\Disk_Monitor.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Power Management\PwrGui.exe C:\WINDOWS\System32\PRISMSTA.EXE C:\Programme\ICQLite\ICQLite.exe C:\WINDOWS\System32\rundll32.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\ntvdm.exe C:\T-ONLINE\BSW3\ToDuCAlC.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE D:\Downloads und Tools\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.findmich.net/ O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {1F48AA48-C53A-4E21-85E7-AC7CC6B5FFAF} - C:\DOKUME~1\SkYlaX\LOKALE~1\Temp\mshkem.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [Disk Monitor] C:\Programme\Generic\USB Card Reader\Disk_Monitor.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [PowerManagement] C:\Programme\Power Management\PwrGui.exe O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Startup: PowerReg Scheduler.exe O9 - Extra button: ICQ Lite (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O9 - Extra button: MedionShop (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com/ O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/big/1.1.62-big/GoogleNav.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37703.0985185185 O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{417876C8-2CB8-46B9-9F85-FC7EE836BCEF}: NameServer = 217.237.159.1 194.25.2.129 Dieser Beitrag wurde am 02.12.2003 um 20:08 Uhr von SkYlaX editiert.
|
|
|
|
|
|
|
02.12.2003, 20:38
Moderator
Beiträge: 7805 |
#48
Das kann darf auch noch raus.
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.findmich.net/ O2 - BHO: (no name) - {1F48AA48-C53A-4E21-85E7-AC7CC6B5FFAF} - C:\DOKUME~1\SkYlaX\LOKALE~1\Temp\mshkem.dll O4 - Startup: PowerReg Scheduler.exe Du kannst es ja auch nochmal mit Adaware(www.lavasoft.com) und Spybot versuchen(security.kolla.de) __________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
03.12.2003, 11:45
Member
Beiträge: 37 |
#49
Zitat raman postete Das neue Windows-sp4 war dort nicht aufrufbar. Versuche es aber weiter. Nun zur Info: vqec.exe Infected: TrojanProxy.Win32.Ranky dxcqqijz.exe Infected: Backdoor.SdBot.gen Danke byby |
|
|
|
|
|
|
03.12.2003, 12:14
Moderator
Beiträge: 7805 |
#50
Du kannst es auch hier bekommen:
http://www.microsoft.com/downloads/details.aspx?FamilyID=dc27b8c6-2a5a-4399-ad3d-4a97a25f41d9&DisplayLang=de __________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
03.12.2003, 13:30
Member
Beiträge: 37 |
#51
Hi, raman
Danke hat hervorragend geklappt. sp4 ist nun drauf. IE habe ich sp1. Ist das aktuell ? Wo kann ich mich da demnächst informieren auf neue Sp ? Dieser Beitrag wurde am 03.12.2003 um 13:31 Uhr von seb-software editiert.
|
|
|
|
|
|
|
03.12.2003, 20:38
Moderator
Beiträge: 7805 |
#52
Besuche ab und zu www.windowsupdate.com . Wenn es was neues gibt, wird es dort angezeigt. Ist eigentlich ganz praktisch.
__________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
20.12.2003, 14:21
...neu hier
Beiträge: 4 |
#53
Hi Raman
kannst du mir helfen?? Mein PC macht dummerweise in letzter zeit sehr viel dummes zeugs! Ohne Grund geht er aus windows raus und dann kommt ein blauer bildschirm, dort steht etwas davon, dass die win32k.sys einen fehler verursacht hat. Nun ich habe keine ahnung von solch einem Zeugs also frage ich dich: Was muss ich tun um das abzustelln?? Danach muss man den PC resetten und dann gehts wieder ne zeit lang...  Ich hab mal mein log hier: Logfile of HijackThis v1.97.7 Scan saved at 14:14:50, on 20.12.2003 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\ICQLite\ICQLite.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\devldr32.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\David Eissel\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gamigo.de/news_overview/pc/ O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: ICQ Lite (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab |
|
|
|
|
|
|
20.12.2003, 14:41
Moderator
Beiträge: 7805 |
#54
Wie schon ein paar mal vermutet, sehe ich hier nichts verdaechtiges. Allerdings sieht man durch ein Hijackthis log keine Viren(fileinfector). Was du aber als erstes versuchen solltest, ist dein Windows auf einen neuen Stand zu bringen. Vieleicht bringt das ja schon die Loesung. Du hast noch kein SP1 Geschweige denn die nachfolgenden Patches.
Ohne Router haettest du wohl schon Erfahrungen mit dem Blaster Wurm gemacht.  BTW Router: Auch fuer Router gibt es Aktualisierungen (Firmware) die Probleme beheben koennte. __________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
21.12.2003, 01:34
...neu hier
Beiträge: 5 |
#55
Hallo raman
ohjee.. ich traue mich ja schon fast gar nicht zu fragen, ob du mir auch helfen kannst. Anscheinend haben so einige im Moment das Problem mit webcoolsearch & Co. :-( Ich habe mir mal dieses Hijack runtergeladen und ausgeführt und hier mal das Log vom Compi meines Sohnes... Logfile of HijackThis v1.97.7 Scan saved at 01:20:01, on 21.12.2003 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\svchost.exe C:\WINNT\System32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\WINNT\htpatch.exe C:\WINNT\system32\RunDll32.exe C:\WINNT\system32\SahAgent.exe C:\WINNT\system32\rundll32.exe C:\Programme\Common files\updater\wupdater.exe C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe C:\Programme\Save\Save.exe C:\Programme\DelFin\PromulGate\PgMonitr.exe C:\Programme\DownloadWare\dw.exe E:\Programme\Winamp2\Winamp\Winampa.exe C:\mssys.exe C:\Programme\Gemeinsame Dateien\GMT\GMT.exe C:\WINNT\system32\wuauclt.exe C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE C:\Programme\Sophos SWEEP for NT\ICMON.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE E:\Programme gepackt\HiJack\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://webcoolsearch.com/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.hand-book.com/search/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.hand-book.com/search/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.hand-book.com/search/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hand-book.com/hp/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.hand-book.com/search/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.hand-book.com/search/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.hand-book.com/search/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.hand-book.com/search/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.hand-book.com/search/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.hand-book.com/search/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=192.168.168.1 R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://www.hand-book.com/search/ R3 - URLSearchHook: PerfectNavBHO Class - {A045DC85-FC44-45be-8A50-E4F9C62C9A84} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet5_48.dll O2 - BHO: NavErrRedir Class - {A045DC85-FC44-45be-8A50-E4F9C62C9A84} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [HTpatch] C:\WINNT\htpatch.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SAHAgent] C:\WINNT\system32\SahAgent.exe O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup O4 - HKLM\..\Run: [updater] C:\Programme\Common files\updater\wupdater.exe O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe" O4 - HKLM\..\Run: [WhenUSave] C:\Programme\Save\Save.exe O4 - HKLM\..\Run: [PromulGate] "C:\Programme\DelFin\PromulGate\PgMonitr.exe" O4 - HKLM\..\Run: [MediaLoads Installer] "C:\Programme\DownloadWare\dw.exe" /H O4 - HKLM\..\Run: [WinampAgent] "E:\Programme\Winamp2\Winamp\Winampa.exe" O4 - HKLM\..\Run: [MsSystem] c:\mssys.exe O4 - HKCU\..\Run: [AddClass] C:\WINNT\AddClass.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe O4 - Global Startup: InterCheck Monitor.LNK = C:\Programme\Sophos SWEEP for NT\ICMON.EXE O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O10 - Hijacked Internet access by New.Net O10 - Broken Internet access because of LSP provider 'lsp.dll' missing O13 - DefaultPrefix: O13 - WWW Prefix: O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) - O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37954.4255671296 O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O19 - User stylesheet: C:\WINNT\my.css O19 - User stylesheet: C:\WINNT\my.css (HKLM) Leider weiß ich nicht, was ich da nun alles fixen muss :-( Könntest du mir bitte auch helfen ? :-) Danke und Liebe Grüße... Tinchen
|
|
|
|
|
|
|
21.12.2003, 09:37
Moderator
Beiträge: 7805 |
#56
Du brauchst (unter anderem) auch cswshredder:
http://www.merijn.org/cwschronicles.html oder gleich hier: http://www.spywareinfo.com/~merijn/junk/CWShredder.exe nach dem ausfuehren und nach einem neustart dieses fixen lassen: R3 - URLSearchHook: PerfectNavBHO Class - {A045DC85-FC44-45be-8A50-E4F9C62C9A84} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet5_48.dll O2 - BHO: NavErrRedir Class - {A045DC85-FC44-45be-8A50-E4F9C62C9A84} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup O4 - HKLM\..\Run: [WhenUSave] C:\Programme\Save\Save.exe O4 - HKLM\..\Run: [PromulGate] "C:\Programme\DelFin\PromulGate\PgMonitr.exe" O4 - HKLM\..\Run: [MediaLoads Installer] "C:\Programme\DownloadWare\dw.exe" /H O4 - HKLM\..\Run: [WinampAgent] "E:\Programme\Winamp2\Winamp\Winampa.exe" O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe O10 - Hijacked Internet access by New.Net O10 - Broken Internet access because of LSP provider 'lsp.dll' missing O13 - DefaultPrefix: O13 - WWW Prefix: O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) - Danach noch einen Neustart machen und ein neues Log posten. __________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
21.12.2003, 14:50
...neu hier
Beiträge: 5 |
#57
Hallo Raman
nach cswshredder, Neustart, fixen und nochmaligem Neustart hier das neue Log... Logfile of HijackThis v1.97.7 Scan saved at 14:31:29, on 21.12.2003 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\svchost.exe C:\WINNT\System32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\WINNT\htpatch.exe C:\WINNT\system32\RunDll32.exe C:\WINNT\system32\SahAgent.exe C:\Programme\Common files\updater\wupdater.exe C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe C:\mssys.exe C:\WINNT\system32\rundll32.exe C:\Programme\Sophos SWEEP for NT\ICMON.EXE C:\Programme\Gemeinsame Dateien\GMT\GMT.exe C:\WINNT\System32\svchost.exe E:\Programme gepackt\HiJack\hijackthis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=192.168.168.1 R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = , O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [HTpatch] C:\WINNT\htpatch.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SAHAgent] C:\WINNT\system32\SahAgent.exe O4 - HKLM\..\Run: [updater] C:\Programme\Common files\updater\wupdater.exe O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe" O4 - HKLM\..\Run: [MsSystem] c:\mssys.exe O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup O4 - Global Startup: InterCheck Monitor.LNK = C:\Programme\Sophos SWEEP for NT\ICMON.EXE O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37954.4255671296 O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab Sieht ja schon deutlich abgespeckter aus :-) Vielleicht muss ja noch was entfernt werden ? Menno... wie fängt man sich denn so einen Mist überhaupt ein ? :-( Mein Sohn hatte AntiVir als Virenscanner und ist über einen Router online. Vor ein paar Tagen hatte er erstmalig so einen Trojaner, der ihn immer über dieses ehttp.cc (?) auf eine andere Seite weitergeleitet hatte, egal was er aufgerufen hat :-( Den Trojaner haben wir dann mit Sophos entfernt und trotz aktivem Sophos hatte er den Trojaner anscheinend nochmal drauf. Aus der Reg hatte ich dann die Einträge von ehttp.cc manuel entfernt. Hab danach erst dieses Forum hier gefunden :-) Nochmal vielen lieben Dank für deine Hilfe, ohne die ich völlig aufgeschmissen wäre. Tinchen
|
|
|
|
|
|
|
21.12.2003, 15:07
Member
Beiträge: 3306 |
#58
So jetzt will ich auch mal damit hier nicht Raman alles machen muss
 O4 - HKLM\..\Run: [updater] C:\Programme\Common files\updater\wupdater.exe O4 - HKLM\..\Run: [SAHAgent] C:\WINNT\system32\SahAgent.exe O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe" O4 - HKLM\..\Run: [MsSystem] c:\mssys.exe O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup So das alles fixen lassen. O10 - Hijacked Internet access by New.Net Dafür und auch für das Zeug oben mal Spybot drüber laufen lassen: http://www.safer-networking.org/ Lies dir das auch mal durch: http://securityresponse.symantec.com/avcenter/venc/data/trojan.myss.b.html __________ Bitte keine Anfragen per PM, diese werden nicht beantwortet. Dieser Beitrag wurde am 21.12.2003 um 15:38 Uhr von asdrubael editiert.
|
|
|
|
|
|
|
21.12.2003, 15:13
Moderator
Beiträge: 7805 |
#59
@asdrubael
Mein Held! @Tinchen Wenn du diesen Sachen "ausweichen" willst, empfiehlt es sich immer den neusten Internetexplorer zu installieren( z.B. via www.windowsupdate.com), bzw einfach auf einen anderen Browser umzusteigen, wie Mozilla ist freeware/opensource(http://www.mozilla.org/) oder Opera ist shareware(http://www.opera.com/). Beide bieten auch einen Mailclient aehnlich Outlook __________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
21.12.2003, 22:52
...neu hier
Beiträge: 5 |
#60
Hallo asdrubael und Hallo raman
vielen Dank euch beiden... ich werde diese Einträge da oben morgen nochmal fixen und lasse dann auch mal Spybot drüberlaufen :-) man man man... was man so alles findet, wenn man mal gezielt sucht. Habe das alles (Hijack und Spybot) jetzt auch mal bei meinem Rechner laufen lassen und das sah eigentlich ganz gut aus ... oki, soweit ICH das beurteilen konnte *g* Eine Frage habe ich noch... Hat es auch etwas mit dem Betriebssystem selbst zu tun, ob man sich mehr oder weniger von so einem Müll einfängt ? Ich wundere mich ein wenig, weil mein Sohn erst seit ca. 3 Wochen einen Compi besitzt und bis dahin täglich an meinem Rechner war. Ich habe immer noch Win98 (bis vor 3 Wochen auch noch den IE 5.5, jetzt 6.0)... mein Sohn nun Win2000. Oder liegt es ganz allein am Browser ? (wahrscheinlich auch an den Seiten, die man besucht ? *lach*) Sorry wenn ich soviel frage, aber allein blicke ich da echt nicht durch. Tinchen
|
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
versuche es erst mal mit dem cwshredder.(Link irgendwo hier im Thread).
Wenn es damit nicht klappen sollte( Ich habe die Homepae in dem Zusammenhang noch nie mit Coolweb gesehen) koennen wir es auch via hijackthis machen.
__________
MfG Ralf
SEO-Spam Hunter