Was tun gegen "ntsearch"?Thema ist geschlossen! |
||
|---|---|---|
Thema ist geschlossen! |
||
| #0
| ||
|
25.12.2003, 20:00
...neu hier
Beiträge: 3 |
||
 
|
|
|
|
25.12.2003, 21:52
Member
Beiträge: 15 |
#2
genau das habe ich auch seit gestern....und laut antivir-dingen hatt ich da 2 Trojanische Pferde.....die irgendwie immer wieder kommen. und auch wenn sie gelöscht sind, komm ich immer noch nicht auf die Internet-seiten.....
HILFEEE! |
|
|
|
|
|
|
26.12.2003, 10:03
...neu hier
Themenstarter Beiträge: 3 |
#3
Naja... schade nur, dass ich nicht Informatik studiert hab und grad mal hier "Bahnhof" verstehe!! Ich hab schon ein Windowsupdate drauf gemacht. Keine Ahnung, ob das das richtige war.
Naja, ich poste jetzt mal dieses / diesen Hijackthis: Logfile of HijackThis v1.97.7 Scan saved at 10:05:12, on 26.12.2003 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\MSSQL7\binn\sqlservr.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\DelFin\PromulGate\PgMonitr.exe C:\Programme\DownloadWare\dw.exe C:\WINDOWS\System32\rundll32.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\sp.exe C:\MSSQL7\Binn\sqlmangr.exe C:\Programme\FRITZ!\IWatch.exe C:\MSSQL7\binn\sqlagent.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\ntvdm.exe C:\T-ONLI~1\EMAIL4\mail.exe C:\Dokumente und Einstellungen\Yvonne\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.laufer-burgfalken.de/ O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet5_48.dll O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\Programme\MediaLoads Enhanced\ME2.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [PromulGate] "C:\Programme\DelFin\PromulGate\PgMonitr.exe" O4 - HKLM\..\Run: [MediaLoads Installer] "C:\Programme\DownloadWare\dw.exe" /H O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [li-hsnot00000] c:\programme\Webdialer\li-hsnot00000.exe -m O4 - HKCU\..\Run: [sp] C:\WINDOWS\sp.exe O4 - Global Startup: Dienst-Manager.lnk = C:\MSSQL7\Binn\sqlmangr.exe O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37980.4268402778 O17 - HKLM\System\CCS\Services\Tcpip\..\{D234559F-DEAC-4707-B56D-B9D7F559C8BA}: NameServer = 192.168.120.252,192.168.120.253 O17 - HKLM\System\CCS\Services\Tcpip\..\{EA5AE88E-436D-4384-AAF2-585238E42175}: NameServer = 217.5.99.105 194.25.2.129 Dieser Beitrag wurde am 26.12.2003 um 10:11 Uhr von Willuffy editiert.
|
|
|
|
|
|
|
26.12.2003, 10:34
Moderator
Beiträge: 7805 |
#4
Das was ich auf Anhieb sehe ist, das du einen Dialer hast, wie der Name Webdialer vermuten laesst!
 Du nutzt SQL? Lasse folgendes von Hijackthis "fix"en: O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet5_48.dll O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\Programme\MediaLoads Enhanced\ME2.DLL O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [PromulGate] "C:\Programme\DelFin\PromulGate\PgMonitr.exe" O4 - HKLM\..\Run: [MediaLoads Installer] "C:\Programme\DownloadWare\dw.exe" /H O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup O4 - HKCU\..\Run: [li-hsnot00000] c:\programme\Webdialer\li-hsnot00000.exe -m O4 - HKCU\..\Run: [sp] C:\WINDOWS\sp.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net Vor dem "fix"en alle Browserfenster schliessen, danach bitte einen Restart machen und ein aktuelles Log Posten. Du solltest dir mal Adaware(www.lavasoft.de) und SpybotSD(security.kolla.de) einsetzen. Es kann danach aber sein, das einige werbefinanzierte Software nicht mehr funktioniert(z.B. Kazaa). Nach dem Neustart bitte folgende Dateien bzw Ordner loeschen: C:\WINDOWS\sp.exe C:\Programme\MediaLoads Enhanced\ C:\Programme\DelFin\ C:\Programme\NewDotNet\ C:\Programme\DownloadWare\ c:\programme\Webdialer\ __________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
26.12.2003, 12:16
Member
Beiträge: 15 |
#5
Ich lese hier ja seit gestern schon fleißig mit, mit der Hoffnung hier ein wenig Hilfe zu finden...
Habe das mit dem cws shredder ja auch schon bereits durchgeführt...er hatt auch was gefunden und so....jedes besteht mein Problem weiterhin. Und jetzt wollte ich auch mal das mit dem Hijackthis durchführen...nur was kommt wenn ich auf download klick? coolwebsearch lässt wieder einmal grüßen.. |
|
|
|
|
|
|
26.12.2003, 12:30
...neu hier
Beiträge: 3 |
#6
Hallo Zusammen!
Habe seit einigen Tagen das gleiche Problem. Hijjackthis zeigtmir nach Löschen sämtlichen Schrotts noch folgendes: Logfile of HijackThis v1.97.7 Scan saved at 11:36:11, on 26.12.2003 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\OfficeScan NT\ntrtscan.exe C:\OfficeScan NT\tmlisten.exe C:\WINDOWS\Explorer.EXE C:\OfficeScan NT\pccntmon.exe C:\Programme\DownloadWare\dw.exe C:\Programme\DelFin\PromulGate\PgMonitr.exe C:\PROGRA~1\Save\Save.exe C:\Programme\Real\RealPlayer\RealPlay.exe C:\Programme\Winamp\Winampa.exe C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\sp.exe C:\WINDOWS\Downloaded Program Files\eBayTBar.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe C:\WINDOWS\System32\winhlp32.exe C:\WINDOWS\winhlp32.exe C:\Programme\Internet Explorer\iexplore.exe C:\DOKUME~1\CHRIST~1\EIGENE~1\EIGENE~3\DOWNLO~1\WinZip\winzip32.exe C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tsf-bracht.de/ O2 - BHO: (no name) - {001F2570-5DF5-11d3-B991-00A0C9BB0874} - (no file) O4 - HKLM\..\Run: [IO-Monitor] "C:\OfficeScan NT\pccntmon.exe" O4 - HKLM\..\Run: [WhenUSave] C:\PROGRA~1\Save\Save.exe O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [Camera Detector] C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE -autorun O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [sp] C:\WINDOWS\sp.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/swdir.cab O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} (InstallShield International Setup Player) - http://www.installengine.com/engine/isetup.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37981.1300578704 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab Auch tcpview habe ich schon verwendet und den cwsshredder. Dennoch besteht das Problem immer noch. Welche Möglichkeiten habe ich noch? Wäre nett, wenn Ihr mir helfen könntet. Besten Dank bereits jetzt! |
|
|
|
|
|
|
26.12.2003, 12:39
Moderator
Beiträge: 7805 |
#7
Als erstes solltest du deinen IE auf den neusten Stand bringen(www.windowsupdate.com) und folgendes fixen lassen:
O2 - BHO: (no name) - {001F2570-5DF5-11d3-B991-00A0C9BB0874} - (no file) O4 - HKLM\..\Run: [WhenUSave] C:\PROGRA~1\Save\Save.exe O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKCU\..\Run: [sp] C:\WINDOWS\sp.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} (InstallShield International Setup Player) - http://www.installengine.com/engine/isetup.cab Wenn du nicht weisst, wofuer dieser Eintrag da ist, deaktiviere ihn mit Hilfe von MSCONFIG: O4 - HKLM\..\Run: [Camera Detector] C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE -autorun Diese "dusselige" mit ASPACK gepackte SP.EXE ist mir jetzt schon drei mal ueber den Weg gelaufen und ich weiss immer noch nicht wofuer sie da ist.  Poste nach dem Neustart bitte ein neues Log. __________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
26.12.2003, 12:48
...neu hier
Themenstarter Beiträge: 3 |
#8
Zitat raman posteteTAUSEND DANK!!!!! Jetzt funktioniert alles wieder wir vorher! Wenn Du mich sehen könntest, würdest Du mich gerade den Monitor abknutschen sehen :o) Ne, also eigentlich nutze ich SQL nicht... Ist mir auch noch gar nie aufgefallen! Hab's jetzt auch gleich mal im Autostart gelöscht und werde natürlich auch alle Deine anderen Vorschläge befolgen! Nochmal vieeeelen Dank für Deine Hilfe! Hier noch der aktuellste Hijackthis: Logfile of HijackThis v1.97.7 Scan saved at 12:47:11, on 26.12.2003 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\MSSQL7\binn\sqlservr.exe C:\Programme\FRITZ!\IWatch.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\MSSQL7\binn\sqlagent.exe C:\WINDOWS\system32\ntvdm.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Yvonne\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.laufer-burgfalken.de/ O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37980.4268402778 O17 - HKLM\System\CCS\Services\Tcpip\..\{D234559F-DEAC-4707-B56D-B9D7F559C8BA}: NameServer = 192.168.120.252,192.168.120.253 O17 - HKLM\System\CCS\Services\Tcpip\..\{EA5AE88E-436D-4384-AAF2-585238E42175}: NameServer = 217.5.99.105 194.25.2.129 |
|
|
|
|
|
|
26.12.2003, 12:53
Moderator
Beiträge: 7805 |
#9
Gern geschehen!
Wenn du SQL nicht brauchst, solltest du es via Software mal entfernen, nicht das dich noch eine Sicherheitsluecke/Dienst trifft.__________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
26.12.2003, 13:17
Moderator
Beiträge: 7805 |
#10
Nutze diesen Link: http://www.merijn.org/files/HijackThis.exe
oder http://download.com.com/3000-2144-10227352.html __________ MfG Ralf SEO-Spam Hunter Dieser Beitrag wurde am 26.12.2003 um 13:18 Uhr von raman editiert.
|
|
|
|
|
|
|
26.12.2003, 13:20
...neu hier
Beiträge: 3 |
#11
Kann leider nicht updaten, da ich einen Kopie von Windows XP auf dem Rechner habe!
Habe die Änderungen dennoch vorgenommen, der Logfile sieht nun folgendermaßen aus: Logfile of HijackThis v1.97.7 Scan saved at 12:16:08, on 26.12.2003 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\OfficeScan NT\ntrtscan.exe C:\OfficeScan NT\tmlisten.exe C:\WINDOWS\Explorer.EXE C:\OfficeScan NT\pccntmon.exe C:\PROGRA~1\Save\Save.exe C:\Programme\Winamp\Winampa.exe C:\PROGRA~1\ACDSYS~1\DEVDET~1\DEVDET~1.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\sp.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\DOKUME~1\CHRIST~1\EIGENE~1\EIGENE~3\DOWNLO~1\WinZip\winzip32.exe C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tsf-bracht.de/ O4 - HKLM\..\Run: [IO-Monitor] "C:\OfficeScan NT\pccntmon.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/swdir.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37981.1300578704 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab Das Problem besteht aber nach wie vor! |
|
|
|
|
|
|
26.12.2003, 13:22
Member
Beiträge: 15 |
#12
oh, vielen dank! Das klappte...:
Logfile of HijackThis v1.97.7 Scan saved at 13:24:40, on 26.12.2003 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\Dit.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Classic PhoneTools\CapFax.EXE C:\Programme\Medion\PowerCinema\My_TV\Agent.exe C:\Programme\Real\RealPlayer\RealPlay.exe C:\WINDOWS\Twain_32\FlatBed\HotKey.exe C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\DownloadWare\dw.exe C:\Programme\DelFin\PromulGate\PgMonitr.exe C:\Programme\Winamp\Winampa.exe C:\WINDOWS\System32\rundll32.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\sp.exe C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe C:\Programme\TextBridge Pro 9.0\Bin\Ereg\Remind32.exe C:\WINDOWS\DitExp.exe C:\Programme\ICQ\ICQ.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\PMJ151LA.BIN C:\WINDOWS\System32\svchost.exe C:\Programme\ICQ\ICQSRP.exe C:\Dokumente und Einstellungen\Fam. Rosendahl\Eigene Dateien\Eigene Downloads\HijackThis.exe C:\Programme\Internet Explorer\iexplore.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.com/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.search-exe.com/nph-search.cgi?tcode=exesrch&fw= R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.search-exe.com/searchbar/iev1.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.search-exe.com/nph-search.cgi?tcode=exesrch&fw= R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.search-exe.com/nph-search.cgi?tcode=exesrch&fw= R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.search-exe.com/nph-search.cgi?tcode=exesrch&fw= R3 - URLSearchHook: WebSearch Class - {9368D063-44BE-49B9-BD14-BB9663FD38FC} - C:\Programme\se\v2\se.DLL O2 - BHO: (no name) - {00041A26-7033-432C-94C7-6371DE343822} - C:\Programme\se\v2\se.DLL O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet5_48.dll O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\Programme\MediaLoads Enhanced\ME2.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [CapFax] C:\Programme\Classic PhoneTools\CapFax.EXE O4 - HKLM\..\Run: [Agent] C:\Programme\Medion\PowerCinema\My_TV\Agent.exe O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\NDetect.exe O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\FlatBed\HotKey.exe O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [MediaLoads Installer] "C:\Programme\DownloadWare\dw.exe" /H O4 - HKLM\..\Run: [PromulGate] "C:\Programme\DelFin\PromulGate\PgMonitr.exe" O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN O4 - HKLM\..\Run: [Configuration Loader] LL O4 - HKLM\..\Run: [Search-Exe] "C:\Programme\se\v2\se.EXE" /U O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE O4 - HKLM\..\RunServices: [Configuration Loader] LL O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\AOLSHARE\AOLMIcon.exe O4 - HKCU\..\Run: [sp] C:\WINDOWS\sp.exe O4 - Startup: reminder-ScanSoft Produkt Registrierung.lnk = C:\Programme\TextBridge Pro 9.0\Bin\Ereg\Remind32.exe O4 - Global Startup: Ulead Kalendar Checker 4.0 SE.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe O9 - Extra button: WebSpeech (HKLM) O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) (HKLM) O9 - Extra button: ICQ (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O9 - Extra button: AOL Instant Messenger (TM) (HKLM) O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O9 - Extra button: Real.com (HKLM) O9 - Extra button: MedionShop (HKCU) O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de O16 - DPF: {67B15B0B-160C-4579-95AF-858169659092} (IELoaderCtl Class) - http://freeload.cc/secure/ieloader.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37980.5680092593 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{1C4479F9-D337-40DF-A5E2-6B6158CD6CBC}: NameServer = 217.237.159.193 194.25.2.129 O17 - HKLM\System\CS1\Services\Tcpip\..\{1C4479F9-D337-40DF-A5E2-6B6158CD6CBC}: NameServer = 217.237.159.193 194.25.2.129 |
|
|
|
|
|
|
26.12.2003, 13:24
...neu hier
Beiträge: 2 |
#13
Mich hats auch erwischt. Mann O Mann bin ich sauer.
Haenge mal mein log an. Waere supernett, wenn mir jemand sagen koennte, was ich tilten soll. Besten Dank im Vor´raus & trotzdem Frohe Weihnachten ... Logfile of HijackThis v1.97.7 Scan saved at 13:18:43, on 26.12.2003 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\PROGRA~1\Grisoft\AVG6\avgserv.exe C:\Programme\AliasWavefront\Maya5.0\docs\Wrapper.exe C:\WINNT\System32\DRIVERS\CDANTSRV.EXE C:\WINNT\System32\Clamp.exe C:\Programme\AliasWavefront\Maya5.0\docs\jre\bin\java.exe C:\WINNT\System32\svchost.exe C:\WINNT\runservice.exe C:\WINNT\System32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\Tablet.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\System32\mspmspsv.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\WINNT\Mixer.exe C:\WINNT\system32\Grxp4exe.exe C:\Programme\Winamp\winampa.exe C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\DIGStream\digstream.exe C:\Programme\Messenger\msmsgs.exe C:\WINNT\system32\RUNDLL32.EXE C:\WINNT\sp.exe C:\WINNT\system32\rundll32.exe C:\Programme\Microsoft Office\Office\OSA.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Tools\HijackThis.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.168.1:3128 O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programme\WS_FTP Pro\wsbho2k0.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [Gravis Xperience Driver Support] Grxp4exe.exe /init O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\winampa.exe" O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [DIGStream] C:\Programme\DIGStream\digstream.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKCU\..\Run: [Ultimate Popup Killer] C:\Programme\Ultimate Popup Killer\Popupkiller.exe O4 - HKCU\..\Run: [MSMSGS] C:\Programme\Messenger\msmsgs.exe /background O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook O4 - HKCU\..\Run: [sp] C:\WINNT\sp.exe O4 - HKCU\..\Run: [SpyKiller] C:\Programme\SpyKiller\spykiller.exe /startup O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: Allow popups - file://C:\Programme\Ultimate Popup Killer\Popupkiller.html O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: MSN Messenger Service (HKLM) O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MTSInstallers/MetaStream3.cab?url=http://www.viewpoint.com/demos/vpdemos/zoomview/medical/index.html O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20020713/qtinstall.info.apple.com/samantha/us/win/QuickTimeInstaller.exe O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/2564c0ccec2ec33ae022/netzip/RdxIE601.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37980.4312962963 O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://player.virtools.com/downloads/player/Install2.0/Installer.exe O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab |
|
|
|
|
|
|
26.12.2003, 13:39
Moderator
Beiträge: 7805 |
#14
Fixe mal folgendes:
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\winampa.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [DIGStream] C:\Programme\DIGStream\digstream.exe O4 - HKCU\..\Run: [MSMSGS] C:\Programme\Messenger\msmsgs.exe /background O4 - HKCU\..\Run: [sp] C:\WINNT\sp.exe O4 - HKCU\..\Run: [SpyKiller] C:\Programme\SpyKiller\spykiller.exe /startup O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MTSInstallers/MetaStream3.cab?url=http://www.viewpoint.com/demos/vpdemos/zoomview/medical/index.html O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/2564c0ccec2ec33ae022/netzip/RdxIE601.cab O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://player.virtools.com/downloads/player/Install2.0/Installer.exe __________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
26.12.2003, 13:43
...neu hier
Beiträge: 3 |
#15
Problem scheint nach Update des Sicherheitspacks von IE gelöst zu sein, besten Dank!
Hoffe, daß dieser Sch... nicht wieder auftaucht!! |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
// Lösung um Ntsearch zu entfernen findet ihr hier!
Hallo User! Ich bin hier gerade nach langem Suchen gelandet und hoffe, dass Ihr mir helfen könnt!! Als ich mich heute morgen in einem Gästebuch eingetragen hab, hat auf einmal "ntsearch" auf alle möglichen Wörter einen Hyperlink gesetzt und nun gehen bei mir einige Homepages nicht mehr richtig! Z. B. wird eine Seite geladen, und sobald diese geladen ist, ist die Seite nur noch grau... Könnt Ihr mir sagen, ob das zusammenhängt und wenn "ja" wie ich dieses sch... ntsearch weg bekommen????