hand-book - Hijacker. wer kenn sich aus?? |
||
---|---|---|
#0
| ||
10.12.2003, 20:55
...neu hier
Beiträge: 7 |
||
|
||
10.12.2003, 21:56
Moderator
Beiträge: 7805 |
#2
Das ist auch CWS infos dazu hier im Forum( mit der Boardsearch nach cwshredder suchen). Infos auch hier: http://www.merijn.org/cwschronicles.html
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
10.12.2003, 22:11
...neu hier
Themenstarter Beiträge: 7 |
#3
habe mir gerade hijackthis runter geladen ( in einem anderen forum linkg gefunden) hat ziemlich viel gefunden und zerstört. reicht das auch???
|
|
|
||
10.12.2003, 22:18
Moderator
Beiträge: 7805 |
#4
CWshredder ist in diesem Fall die erste Wahl! Wenn du das ausgefuehrt hast, kannst du ja ein Hijackthis log hier posten, um zu sehen, ob alles gereinigt wurde.
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
10.12.2003, 22:29
...neu hier
Themenstarter Beiträge: 7 |
#5
bin wie gesagt bin ein bisschen neu und versteh nicht ganz was ich bei merijn machen soll...
|
|
|
||
10.12.2003, 22:43
Member
Beiträge: 61 |
#6
Lade Dir das Programm cwshredder runter , wie es raman schrieb.
Lass den mehrmals laufen, bis er nichts mehr findet... dann mit hijackThis ein neues Log erstellen und hier posten. Gruß Philipp (der diesen Mist gerade los ist) |
|
|
||
11.12.2003, 00:21
...neu hier
Themenstarter Beiträge: 7 |
#7
hab jetzt alles gemacht wie oben beschrieben. hoffe jetzt ist alles gut!! dank euch, denke ist ne gute einrichtung hier. hier das log. wenn einer lust hat kann er noch kurz erklären was man daran sehen kann...
VIELEN DANK StartupList report, 11.12.2003, 00:14:26 StartupList version: 1.52 Started from : C:\Dokumente und Einstellungen\Ralf Coopmann\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis.zip\HijackThis.EXE Detected: Windows XP SP1 (WinNT 5.01.2600) Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106) * Using default options ================================================== Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\RAM Def XT\ramdef.exe C:\Programme\AVPersonal\AVSched32.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\WinBar\WinBar.exe C:\Programme\WebWasher\wwasher.exe C:\WINDOWS\System32\mshta.exe C:\WINDOWS\AddClass.exe C:\Dokumente und Einstellungen\Ralf Coopmann\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis.zip\HijackThis.exe -------------------------------------------------- Listing of startup folders: Shell folders Startup: [C:\Dokumente und Einstellungen\Ralf Coopmann\Startmenü\Programme\Autostart] WinBar.lnk = C:\Programme\WinBar\WinBar.exe -------------------------------------------------- Checking Windows NT UserInit: [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] UserInit = C:\WINDOWS\system32\userinit.exe, -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\Run NeroCheck = C:\WINDOWS\system32\NeroCheck.exe AVGCtrl = C:\Programme\AVPersonal\AVGNT.EXE /min RAMDef = C:\Programme\RAM Def XT\ramdef.exe -tray sys = AVSCHED32 = C:\Programme\AVPersonal\AVSched32.EXE /min StartupCleaner = C:\Programme\CM Data Software\CM DiskCleaner\StartupCleaner.exe -------------------------------------------------- Autorun entries from Registry: HKCU\Software\Microsoft\Windows\CurrentVersion\Run CTFMON.EXE = C:\WINDOWS\System32\ctfmon.exe YAW starten = "C:\Programme\YAW 3.5\yawguard.exe" MSMSGS = "C:\Programme\Messenger\msmsgs.exe" /background Schedule = C:\Programme\CM Data Software\CM DiskCleaner\Schedule.exe -------------------------------------------------- Shell & screensaver key from C:\WINDOWS\SYSTEM.INI: Shell=*INI section not found* SCRNSAVE.EXE=*INI section not found* drivers=*INI section not found* Shell & screensaver key from Registry: Shell=Explorer.exe SCRNSAVE.EXE=*Registry value not found* drivers=*Registry value not found* Policies Shell key: HKCU\..\Policies: Shell=*Registry key not found* HKLM\..\Policies: Shell=*Registry value not found* -------------------------------------------------- Enumerating Browser Helper Objects: (no name) - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (no name) - C:\PROGRA~1\SPYBOT~1\SDHelper.dll - {53707962-6F74-2D53-2644-206D7942484F} -------------------------------------------------- Enumerating Download Program Files: [EPSImageControl Class] InProcServer32 = C:\WINDOWS\Downloaded Program Files\EPScontrol.dll CODEBASE = http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab -------------------------------------------------- Enumerating ShellServiceObjectDelayLoad items: PostBootReminder: C:\WINDOWS\system32\SHELL32.dll CDBurn: C:\WINDOWS\system32\SHELL32.dll WebCheck: C:\WINDOWS\System32\webcheck.dll SysTray: C:\WINDOWS\System32\stobject.dll -------------------------------------------------- End of report, 4.419 bytes Report generated in 0,060 seconds Command line options: /verbose - to add additional info on each section /complete - to include empty sections and unsuspicious data /full - to include several rarely-important sections /force9x - to include Win9x-only startups even if running on WinNT /forcent - to include WinNT-only startups even if running on Win9x /forceall - to include all Win9x and WinNT startups, regardless of platform /history - to list version history only |
|
|
||
11.12.2003, 05:58
Moderator
Beiträge: 7805 |
#8
Das ist die Startupliste, wir braeuchten das Hijackthis.log.Hier kannst du sehen wie das geht: http://www.helpers.de/forum/message.php?forum_id=5&mess_id=200081&act=on
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
11.12.2003, 11:12
...neu hier
Themenstarter Beiträge: 7 |
#9
hab nur noch das bereinigte ergebnis. kann keinem helfen denke ich. weiss aber jetzt für das nächste mal bescheid...
|
|
|
||
11.12.2003, 12:29
Moderator
Beiträge: 7805 |
#10
Also so ganz sauber ist das noch nicht, aber du kannst ja selber folgende Startups in Hijackthis fixen;
C:\WINDOWS\System32\mshta.exe C:\WINDOWS\AddClass.exe __________ MfG Ralf SEO-Spam Hunter |
|
|
||
11.12.2003, 14:34
...neu hier
Themenstarter Beiträge: 7 |
#11
IST DAS JETZT SO IN ORDNUNG ??
Logfile of HijackThis v1.97.7 Scan saved at 14:31:29, on 11.12.2003 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\RAM Def XT\ramdef.exe C:\Programme\AVPersonal\AVSched32.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\WinBar\WinBar.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Ralf Coopmann\Desktop\utilities\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.google.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.de R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.goggle.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.de R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Explorer,SearchAssistant = http://www.google.de R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = http://www.google.de O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [RAMDef] C:\Programme\RAM Def XT\ramdef.exe -tray O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min O4 - HKLM\..\Run: [StartupCleaner] C:\Programme\CM Data Software\CM DiskCleaner\StartupCleaner.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [YAW starten] "C:\Programme\YAW 3.5\yawguard.exe" O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Schedule] C:\Programme\CM Data Software\CM DiskCleaner\Schedule.exe O4 - Startup: WinBar.lnk = C:\Programme\WinBar\WinBar.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{33C1CE15-EA38-4393-85FD-19C133657E55}: NameServer = 145.253.2.139 145.253.2.81 O17 - HKLM\System\CS1\Services\Tcpip\..\{33C1CE15-EA38-4393-85FD-19C133657E55}: NameServer = 145.253.2.139 145.253.2.81 |
|
|
||
11.12.2003, 14:59
Moderator
Beiträge: 7805 |
#12
Jepp, das sieht gut aus, obwohl du nicht unbedingt gleich schreien brauchst.
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
11.12.2003, 15:29
...neu hier
Themenstarter Beiträge: 7 |
#13
danke. lass mich mal überraschen....weiss ja jetzt wo ich hilfe finden kann
|
|
|
||
wer hat tipps??