Home » Spyware & Browser Hijacker Support Forum » Ntsearch Problem - Fragen & HijackThis Logs » hier rein! » Themenansicht
Ntsearch Problem - Fragen & HijackThis Logs » hier rein!Thema ist geschlossen! |
||
|---|---|---|
Thema ist geschlossen! |
||
| #0
| ||
|
26.01.2004, 21:30
Moderator
Beiträge: 7805 |
||
 
|
|
|
|
27.01.2004, 02:25
...neu hier
Beiträge: 2 |
#197
hi
hab seit heute 100% cpu auslastung (leerlaufprozess) Zitat raman postete:hab ich auch alles erledigt... kann zwar wieder annähernd surfen... aber trotzdem ziehts den rechner in die knie... slidshows, popups, open in new window & co versagen noch immer... hier mein logfile - kanst ma mal helfen? Logfile of HijackThis v1.97.7 Scan saved at 02:20:52, on 27.01.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\BlackICE\blackd.exe C:\WINNT\System32\svchost.exe C:\WINNT\System32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\Programme\Internet Explorer\iexplore.exe C:\PROGRA~1\WinZip\winzip32.exe C:\DOKUME~1\Narri\LOKALE~1\Temp\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tibia.com/ O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe O4 - HKLM\..\Run: [DownloadAccelerator] C:\PROGRA~1\DAP\DAP.EXE /STARTUP O4 - HKLM\..\Run: [SysGen] C:\WINNT\system\color\sysgen.exe O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] C:\Programme\CloneCD\ElbyCheck.exe /L ElbyCDFL O4 - HKLM\..\Run: [vsmon] C:\winnt\ServicePackFiles\i386\vsmon.exe O4 - HKLM\..\Run: [System Initialization] C:\WINNT\system32\msmsgri32.exe O4 - HKLM\..\Run: [AVPCC] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /wait O4 - Global Startup: BlackICE Utility.lnk = C:\Programme\BlackICE\blackice.exe O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bul-online.de/scan/Msie/bitdefender.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38012.5690046296 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{2651EAE2-C1E8-40D1-A886-5D7729D293D7}: NameServer = 195.3.96.67 195.3.96.68 O17 - HKLM\System\CCS\Services\Tcpip\..\{44110868-76BF-422E-BF63-AB82AB4C92F1}: NameServer = 195.3.96.67,195.3.96.68 donk da recht rakrisch :cool: Dieser Beitrag wurde am 27.01.2004 um 02:27 Uhr von cult editiert.
|
|
|
|
|
|
|
27.01.2004, 02:38
Member
Beiträge: 1095 |
#198
Hi Cult
Fixe mal folgendes O4 - HKLM\..\Run: [System Initialization] C:\WINNT\system32\msmsgri32.exe Ist wohl RANDEX.D VIRUS! Link Dazu http://www.liutilities.com/products/wintaskspro/processlibrary/msmsgri32 Bei O4 - HKLM\..\Run: [vsmon] C:\winnt\ServicePackFiles\i386\vsmon.exe bin ich mir nicht sicher. Ist aber sehr komisch das eine Datei aus ServicePackFiles im Autorun steht. Würde ich nochmal googlen P.S. Für die Dateien sysgen.exe und Blackice bist du selber verantwortlich  __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
|
|
|
|
27.01.2004, 10:29
Member
Beiträge: 133 |
#199
dein kaspersky auf dem neusten stand,hat das noch nicht gemeckert???
MfG aryn __________ Vielleicht ist es so, dass in den Momenten, wo wir uns am stärksten fühlen, wir am schwächsten sind. (AND ONE) |
|
|
|
|
|
|
27.01.2004, 20:35
...neu hier
Beiträge: 2 |
#200
ach da smekert dauernd... hab aber alle dateien händisch gelöscht
seitdem meckerts zwar net... die probleme sind noch immer da...@ Pfaff: danke ich probiers heute nacht noch aus und berichte Zitat P.S.und das mit recht 
|
|
|
|
|
|
|
29.01.2004, 23:21
...neu hier
Beiträge: 3 |
#201
Sorry bin PC newbie und möchte wissen was ich hier alles löschen kann, da ich ja nicht zu viel löschen will, obwohl einiges kann ich mir denken :-)
Logfile of HijackThis v1.97.7 Scan saved at 23:16:29, on 29.01.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE C:\WINDOWS\System32\RUNDLL32.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\ICQ\ICQ.exe C:\Programme\HLSW\hlsw_1_0_0.exe C:\Programme\wincmd\WINCMD32.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVGNT.EXE e:\Programme\Steam1\steam.exe C:\Programme\AVPersonal\AVWIN.EXE C:\WINDOWS\System32\taskmgr.exe C:\Programme\Internet Explorer\iexplore.exe c:\Programme\ReGetDx\REGETDX_.EXE C:\DOKUME~1\Basti\LOKALE~1\Temp\$wc\HIJACK~1.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O1 - Hosts: 81.211.105.5 www.0190-dialer.com O1 - Hosts: 81.211.105.5 www.22469.com O1 - Hosts: 81.211.105.5 www.3wisp.com O1 - Hosts: 81.211.105.5 www.adult-cinema.org O1 - Hosts: 81.211.105.5 www.adultfreehosting.com O1 - Hosts: 81.211.105.5 www.adulthosting.com O1 - Hosts: 81.211.105.5 www.adultlinks1.com O1 - Hosts: 81.211.105.5 www.adultmegamovies.com O1 - Hosts: 81.211.105.5 www.adultsexmovie.net O1 - Hosts: 81.211.105.5 www.adultwall.com O1 - Hosts: 81.211.105.5 www.afro-sex.com O1 - Hosts: 81.211.105.5 www.agreathost.net O1 - Hosts: 81.211.105.5 www.alehina.com O1 - Hosts: 81.211.105.5 www.allnichestgp.com O1 - Hosts: 81.211.105.5 www.allowednet.com O1 - Hosts: 81.211.105.5 www.amateurlips.com O1 - Hosts: 81.211.105.5 www.amateurnudephoto.com O1 - Hosts: 81.211.105.5 www.amateursgonebad.com O1 - Hosts: 81.211.105.5 www.ambersamateurhardcore.com O1 - Hosts: 81.211.105.5 www.anyamateur.com O1 - Hosts: 81.211.105.5 www.apornhost.com O1 - Hosts: 81.211.105.5 www.findmodels.com O1 - Hosts: 81.211.105.5 www.asianscum.com O1 - Hosts: 81.211.105.5 www.awethumbs.com O1 - Hosts: 81.211.105.5 www.badassxxx.com O1 - Hosts: 81.211.105.5 www.badbimbo.com O1 - Hosts: 81.211.105.5 www.beautifulbondage.com O1 - Hosts: 81.211.105.5 www.bestpornhost.com O1 - Hosts: 81.211.105.5 www.biggestdickinporn.net O1 - Hosts: 81.211.105.5 www1.3wisp.com O1 - Hosts: 81.211.105.5 www1.kinghost.com O1 - Hosts: 81.211.105.5 www1.ndhosting.com O1 - Hosts: 81.211.105.5 www1.sexls.com O1 - Hosts: 81.211.105.5 www1.smutserver.com O1 - Hosts: 81.211.105.5 www1.toptgphost.com O1 - Hosts: 81.211.105.5 www1.xfreehosting.com O1 - Hosts: 81.211.105.5 www10.kinghost.com O1 - Hosts: 81.211.105.5 www10.smutserver.com O1 - Hosts: 81.211.105.5 www11.kinghost.com O1 - Hosts: 81.211.105.5 www11.smutserver.com O1 - Hosts: 81.211.105.5 www12.kinghost.com O1 - Hosts: 81.211.105.5 www12.smutserver.com O1 - Hosts: 81.211.105.5 www13.smutserver.com O1 - Hosts: 81.211.105.5 www14.smutserver.com O1 - Hosts: 81.211.105.5 www15.smutserver.com O1 - Hosts: 81.211.105.5 www16.smutserver.com O1 - Hosts: 81.211.105.5 www17.smutserver.com O1 - Hosts: 81.211.105.5 www18.smutserver.com O1 - Hosts: 81.211.105.5 www19.smutserver.com O1 - Hosts: 81.211.105.5 www2.3wisp.com O1 - Hosts: 81.211.105.5 www2.kinghost.com O1 - Hosts: 81.211.105.5 www2.ndhosting.com O1 - Hosts: 81.211.105.5 www2.smutserver.com O1 - Hosts: 81.211.105.5 www2.toptgphost.com O1 - Hosts: 81.211.105.5 www2.xfreehosting.com O1 - Hosts: 81.211.105.5 www2.zpornstars.com O1 - Hosts: 81.211.105.5 www20.smutserver.com O1 - Hosts: 81.211.105.5 www21.smutserver.com O1 - Hosts: 81.211.105.5 www22.smutserver.com O1 - Hosts: 81.211.105.5 www23.smutserver.com O1 - Hosts: 81.211.105.5 www24.smutserver.com O1 - Hosts: 81.211.105.5 www25.smutserver.com O1 - Hosts: 81.211.105.5 www26.smutserver.com O1 - Hosts: 81.211.105.5 www27.smutserver.com O1 - Hosts: 81.211.105.5 www28.smutserver.com O1 - Hosts: 81.211.105.5 www29.smutserver.com O1 - Hosts: 81.211.105.5 www3.kinghost.com O1 - Hosts: 81.211.105.5 www3.ndhosting.com O1 - Hosts: 81.211.105.5 www3.smutserver.com O1 - Hosts: 81.211.105.5 www3.xfreehosting.com O1 - Hosts: 81.211.105.5 www3.zpornstars.com O1 - Hosts: 81.211.105.5 www30.smutserver.com O1 - Hosts: 81.211.105.5 www31.smutserver.com O1 - Hosts: 81.211.105.5 www32.smutserver.com O1 - Hosts: 81.211.105.5 www4.kinghost.com O1 - Hosts: 81.211.105.5 www4.smutserver.com O1 - Hosts: 81.211.105.5 www4.xfreehosting.com O1 - Hosts: 81.211.105.5 www4.zpornstars.com O1 - Hosts: 81.211.105.5 www5.kinghost.com O1 - Hosts: 81.211.105.5 www5.smutserver.com O1 - Hosts: 81.211.105.5 www6.kinghost.com O1 - Hosts: 81.211.105.5 www6.smutserver.com O1 - Hosts: 81.211.105.5 www7.kinghost.com O1 - Hosts: 81.211.105.5 www7.smutserver.com O1 - Hosts: 81.211.105.5 www8.kinghost.com O1 - Hosts: 81.211.105.5 www8.smutserver.com O1 - Hosts: 81.211.105.5 www9.kinghost.com O1 - Hosts: 81.211.105.5 www9.smutserver.com O1 - Hosts: 81.211.105.5 www.bigmovies.com O1 - Hosts: 81.211.105.5 www.bigpornvideos.com O1 - Hosts: 81.211.105.5 www.big-xxx-movies.com O1 - Hosts: 81.211.105.5 www.samplehosting.com O1 - Hosts: 81.211.105.5 www.blinghosting.com O1 - Hosts: 81.211.105.5 www.blitz-hosting.com O1 - Hosts: 81.211.105.5 www.boyanxxx.com O1 - Hosts: 81.211.105.5 www.bustyx.com O1 - Hosts: 81.211.105.5 www.cleanadulthost.com O1 - Hosts: 81.211.105.5 www.cleanpornhost.com O1 - Hosts: 81.211.105.5 www.cyberxxxhost.com O1 - Hosts: 81.211.105.5 www.dialcom.com O1 - Hosts: 81.211.105.5 www.eldererotica.tv O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {16664845-0E00-11D2-8059-000000000000} - C:\Programme\Gemeinsame Dateien\ReGet Shared\Catcher.dll O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: (no name) - {C1E58A84-95B3-4630-B8C2-D06B77B7A0FC} - C:\Programme\NavExcel\NavHelper\v2.0.4\NHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - C:\Programme\ReGetDx\iebar.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\ICQNet.exe O4 - HKLM\..\Run: [svchost.exe] C:\WINDOWS\svchost.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O4 - HKCU\..\Run: [Steam] e:\Programme\Steam1\Steam.exe -silent O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\RunOnce: [ICQ] C:\Programme\ICQ\ICQ.exe -trayboot O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: A&lles mit ReGet Deluxe herunterladen - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_All.htm O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Herunterladen mit Re&Get Deluxe - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_Link.htm O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: Mobilen Favoriten erstellen (HKLM) O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... (HKLM) O9 - Extra button: ICQ Pro (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O9 - Extra button: Translate (HKLM) O9 - Extra 'Tools' menuitem: LingoWare Translator... (HKLM) O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea.com/downloads/rtpatch/EARTPX.cab O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://cam1.broadband.nine.se/activex/AxisCamControl.ocx O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37822.5468634259 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{12FCED17-4962-4C5D-916E-84023A7F12A9}: NameServer = 192.168.1.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{28DE550D-F86F-40A8-B2C2-916F909A3B8D}: NameServer = 192.168.1.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{9476B5F4-CB96-447D-A31E-3624CF239236}: NameServer = 194.25.2.129 O17 - HKLM\System\CS1\Services\Tcpip\..\{12FCED17-4962-4C5D-916E-84023A7F12A9}: NameServer = 192.168.1.1 O17 - HKLM\System\CS2\Services\Tcpip\..\{12FCED17-4962-4C5D-916E-84023A7F12A9}: NameServer = 192.168.1.1 |
|
|
|
|
|
|
30.01.2004, 09:45
Member
Beiträge: 1095 |
#202
Hallo
Wie du dir bestimmt schon denken kannst, muß alles mit "O1" gefixt werden. Dann der Eintrag O2 - BHO: (no name) - {C1E58A84-95B3-4630-B8C2-D06B77B7A0FC} - C:\Programme\NavExcel\NavHelper\v2.0.4\NHelper.dll Die Liste http://www.spy-bot.net/list_bho.asp führt das als Spyware Wenn du das Programm "NavExcel" nicht installiert hast , Fixen! Dann diesen Eintag fixen O4 - HKLM\..\Run: [svchost.exe] C:\WINDOWS\svchost.exe Link: http://www.sophos.com/virusinfo/analyses/w32morbexa.html Dann die DAtei auch löschen, wenn vorhanden. Diese Einträge sind unnötig O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE kannst du auch Fixen Danach Neustart Virenscanner updaten Scannen lassen, wegen des "w32morbexa" Kannst danach nochmal den log posten __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 30.01.2004 um 09:47 Uhr von paff editiert.
|
|
|
|
|
|
|
30.01.2004, 19:50
...neu hier
Beiträge: 6 |
#203
huhu ;-)
also hab da auch mal ne frage... hab heut mal wieder cwshredder, spybot, adaware und hijackthis laufenlaufen da ich mal wieder diesen sch**** von nkvd.us etc hatte und bin da auf ne komische meldung gestossen.. ich poste hier jetzt einfach mal meinen log ;-) Logfile of HijackThis v1.97.7 Scan saved at 19:42:08, on 30.01.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\CA\eTrust\InoculateIT\realmon.exe C:\Programme\FRITZ!DSL\Awatch.exe C:\Programme\CA\eTrust\InoculateIT\InoRpc.exe C:\Programme\CA\eTrust\InoculateIT\InoRT.exe C:\Programme\CA\eTrust\InoculateIT\InoTask.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\FRITZ!DSL\FritzDsl.exe J:\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx (file missing) O2 - BHO: Microsoft Excel - {17DA0C9E-4A27-4ac5-BB75-5D24B8CDB972} - C:\DOKUME~1\FAB&ST~1\ANWEND~1\MICROS~1\Office\Excel10.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file) O4 - HKLM\..\Run: [Realtime Monitor] C:\Programme\CA\eTrust\InoculateIT\realmon.exe O4 - HKLM\..\Run: [AWatch] "C:\Programme\FRITZ!DSL\Awatch.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKCU\..\Run: [Steam] J:\Programme\Steam\Steam.exe -silent O4 - HKCU\..\RunOnce: [ICQ] C:\Programme\ICQ\Icq.exe -trayboot O4 - Startup: FRITZ!dsl.lnk = C:\Programme\FRITZ!DSL\FritzDsl.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: ICQ Pro (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O10 - Broken Internet access because of LSP provider 'rpc32vm.dll' missing O16 - DPF: WebWorks Help 2.0 - file://C:\Programme\Corel\Bryce 5\Help\wwhelp2.cab O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} - http://www.apple.com/qtactivex/qtplugin.cab O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{65F3AA67-365C-407C-A43E-5A2D2538A540}: NameServer = 192.168.122.252,192.168.122.253 O17 - HKLM\System\CCS\Services\Tcpip\..\{CF49D945-3C78-42BF-9507-91F6C564F73C}: NameServer = 192.168.120.252,192.168.120.253 kann mir mal jemand sagen was O10 bedeutet??? falls jemand noch was auffällt was da bei mir gravierend nicht in ordnung ist, wäre es lieb mich auf zu klären *gggg* danke schonmal im vorraus, liebes grüssle ;-) ps: dieser prefix http://www.nkvd.us kommt ständig und ich hab keine ahnung wieso?! hab schonmal in der registry geschaut aber irgendwie find ich da nicht direkt was. ich lass alle meine programme laufen, die fixen das dann und wenig später ist dieses nkvd miit der startseite smart-finder.biz wieder da *wunder* wäre lieb wenn mir auch da jemand helfen würde *grins* Dieser Beitrag wurde am 30.01.2004 um 19:55 Uhr von Krümel_w editiert.
|
|
|
|
|
|
|
30.01.2004, 20:08
Moderator
Beiträge: 7805 |
#204
Poste mal eine Startuplist: in Hijackthis config/misc tools/generate Startuplist
__________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
30.01.2004, 20:12
...neu hier
Beiträge: 6 |
#205
hmmm scheint mir ein bissle lang zu sein, oder ist das normal? *ggg*
StartupList report, 30.01.2004, 20:40:50 StartupList version: 1.52 Started from : J:\hijackthis\HijackThis.EXE Detected: Windows XP SP1 (WinNT 5.01.2600) Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106) * Using default options ================================================== Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\CA\eTrust\InoculateIT\realmon.exe C:\Programme\FRITZ!DSL\Awatch.exe C:\Programme\CA\eTrust\InoculateIT\InoRpc.exe C:\Programme\CA\eTrust\InoculateIT\InoRT.exe C:\Programme\CA\eTrust\InoculateIT\InoTask.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\explorer.exe C:\Programme\FRITZ!DSL\FritzDsl.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\PowerArchiver\POWERARC.EXE J:\hijackthis\HijackThis.exe -------------------------------------------------- Listing of startup folders: Shell folders Startup: [C:\Dokumente und Einstellungen\Fab&Steffi\Startmenü\Programme\Autostart] FRITZ!dsl.lnk = C:\Programme\FRITZ!DSL\FritzDsl.exe -------------------------------------------------- Checking Windows NT UserInit: [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] UserInit = C:\WINDOWS\System32\userinit.exe, -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\Run Realtime Monitor = C:\Programme\CA\eTrust\InoculateIT\realmon.exe AWatch = "C:\Programme\FRITZ!DSL\Awatch.exe" NvCplDaemon = RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup MSConfig = C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto -------------------------------------------------- Autorun entries from Registry: HKCU\Software\Microsoft\Windows\CurrentVersion\Run Steam = J:\Programme\Steam\Steam.exe -silent -------------------------------------------------- Load/Run keys from C:\WINDOWS\WIN.INI: load= run= Load/Run keys from Registry: HKLM\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found* HKLM\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found* HKLM\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found* HKLM\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found* HKCU\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found* HKCU\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found* HKCU\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found* HKCU\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found* HKCU\..\Windows NT\CurrentVersion\Windows: load= HKCU\..\Windows NT\CurrentVersion\Windows: run=*Registry value not found* HKLM\..\Windows NT\CurrentVersion\Windows: load=*Registry value not found* HKLM\..\Windows NT\CurrentVersion\Windows: run=*Registry value not found* HKLM\..\Windows NT\CurrentVersion\Windows: AppInit_DLLs=ctrlpan.dll -------------------------------------------------- Shell & screensaver key from C:\WINDOWS\SYSTEM.INI: Shell=*INI section not found* SCRNSAVE.EXE=*INI section not found* drivers=*INI section not found* Shell & screensaver key from Registry: Shell=Explorer.exe SCRNSAVE.EXE=C:\WINDOWS\System32\logon.scr drivers=*Registry value not found* Policies Shell key: HKCU\..\Policies: Shell=*Registry key not found* HKLM\..\Policies: Shell=*Registry value not found* -------------------------------------------------- Enumerating Browser Helper Objects: (no name) - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx (file missing) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} Microsoft Excel - C:\DOKUME~1\FAB&ST~1\ANWEND~1\MICROS~1\Office\Excel10.dll - {17DA0C9E-4A27-4ac5-BB75-5D24B8CDB972} (no name) - C:\PROGRA~1\SPYBOT~1\SDHelper.dll - {53707962-6F74-2D53-2644-206D7942484F} -------------------------------------------------- Enumerating Download Program Files: [{02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}] CODEBASE = http://www.apple.com/qtactivex/qtplugin.cab [Shockwave ActiveX Control] InProcServer32 = C:\WINDOWS\system32\Macromed\Director\SwDir.dll CODEBASE = http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab -------------------------------------------------- Enumerating Winsock LSP files: Protocol #1: rpc32vm.dll (file MISSING) Protocol #2: rpc32vm.dll (file MISSING) Protocol #3: rpc32vm.dll (file MISSING) Protocol #4: rpc32vm.dll (file MISSING) Protocol #5: rpc32vm.dll (file MISSING) Protocol #6: rpc32vm.dll (file MISSING) Protocol #7: rpc32vm.dll (file MISSING) Protocol #8: rpc32vm.dll (file MISSING) Protocol #9: rpc32vm.dll (file MISSING) Protocol #10: rpc32vm.dll (file MISSING) Protocol #11: rpc32vm.dll (file MISSING) Protocol #12: rpc32vm.dll (file MISSING) Protocol #13: rpc32vm.dll (file MISSING) Protocol #14: rpc32vm.dll (file MISSING) Protocol #15: rpc32vm.dll (file MISSING) Protocol #31: rpc32vm.dll (file MISSING) -------------------------------------------------- Enumerating Windows NT logon/logoff scripts: *No scripts set to run* Windows NT checkdisk command: BootExecute = autocheck autochk * Windows NT 'Wininit.ini': PendingFileRenameOperations: c:\dokumente und einstellungen\fab&steffi\cookies\fab&steffi@adserver.geizkragen[1].txt||c:\dokumente und einstellungen\fab&steffi\cookies\fab&steffi@cgi-bin[2].txt||c:\dokumente und einstellungen\fab&steffi\cookies\fab&steffi@spylog[1].txt||c:\dokumente und einstellungen\fab&steffi\cookies\fab&steffi@tribalfusion[2].txt -------------------------------------------------- Enumerating ShellServiceObjectDelayLoad items: PostBootReminder: C:\WINDOWS\system32\SHELL32.dll CDBurn: C:\WINDOWS\system32\SHELL32.dll WebCheck: C:\WINDOWS\System32\webcheck.dll SysTray: C:\WINDOWS\System32\stobject.dll -------------------------------------------------- End of report, 6.740 bytes Report generated in 0,078 seconds Command line options: /verbose - to add additional info on each section /complete - to include empty sections and unsuspicious data /full - to include several rarely-important sections /force9x - to include Win9x-only startups even if running on WinNT /forcent - to include WinNT-only startups even if running on Win9x /forceall - to include all Win9x and WinNT startups, regardless of platform /history - to list version history only Dieser Beitrag wurde am 30.01.2004 um 20:44 Uhr von Krümel_w editiert.
|
|
|
|
|
|
|
30.01.2004, 20:18
Member
Beiträge: 1095 |
#206
Dies sollte unbedingt raus
O2 - BHO: Microsoft Excel - {17DA0C9E-4A27-4ac5-BB75-5D24B8CDB972} - C:\DOKUME~1\FAB&ST~1\ANWEND~1\MICROS~1\Office\Excel10.dll Link:http://www.symantec.com/avcenter/venc/data/trojan.digits.html Ist nur 'ne Zwischenbemerkung. Poste bitte noch die Startup-Liste __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 31.01.2004 um 09:42 Uhr von paff editiert.
|
|
|
|
|
|
|
30.01.2004, 20:24
Moderator
Beiträge: 7805 |
#207
Wenn dein Internetzugang wieder vernuenftig funktionieren sollte, ist es nicht zwingend notwendig O10 zu fixen, aber du kannst es gerne(auf eigene Gefahr
) machen lassen.__________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
30.01.2004, 20:27
...neu hier
Beiträge: 6 |
#208
@ paff hab ich die nicht gerade gepostet???? *amkopfkratzundüberleg* ;-)))) also hab sie grad eben im vorigen beitrag nochmal aktualisiert, das spart platz ;-) vielen dank im übrigen für den tip mit der O2!
@ raman hmmmm also wenn es nicht arg notwendig ist dieses berüchtigte O10 zu fixen dann lass ich es lieber *grins* nicht dass ich nachher noch mehr schaden anrichte *lach* Dieser Beitrag wurde am 30.01.2004 um 20:45 Uhr von Krümel_w editiert.
|
|
|
|
|
|
|
30.01.2004, 20:51
...neu hier
Beiträge: 3 |
#209
so habe jetzt die sachen gefixt neustart gemacht virenscanner geupdatet aber der hat nix gefunden so und hier ist meine neue liste
Logfile of HijackThis v1.97.7 Scan saved at 20:49:38, on 30.01.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE E:\Programme\Steam1\Steam.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE C:\WINDOWS\system32\crypserv.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\ICQ\ICQ.exe C:\WINDOWS\System32\svchost.exe C:\Programme\HLSW\hlsw_1_0_0.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Teamspeak2_RC2\TeamSpeak.exe C:\Programme\wincmd\WINCMD32.EXE C:\DOKUME~1\Basti\LOKALE~1\Temp\$wc\HIJACK~1.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O1 - Hosts: 81.211.105.12 www.globe-finder.cc O1 - Hosts: 81.211.105.12 globe-finder.cc O1 - Hosts: 81.211.105.12 searchscout.com O1 - Hosts: 81.211.105.12 www.searchscout.com O1 - Hosts: 81.211.105.12 193.125.201.50 O1 - Hosts: 81.211.105.12 206.161.200.105 O1 - Hosts: 81.211.105.12 209.66.114.130 O1 - Hosts: 81.211.105.12 216.200.3.32 O1 - Hosts: 81.211.105.12 64.124.45.181 O1 - Hosts: 81.211.105.12 66.250.130.194 O1 - Hosts: 81.211.105.12 66.40.16.131 O1 - Hosts: 81.211.105.12 alfa-search.com O1 - Hosts: 81.211.105.12 allhyperlinks.com O1 - Hosts: 81.211.105.12 approvedlinks.com O1 - Hosts: 81.211.105.12 bestcrawler.com O1 - Hosts: 81.211.105.12 ewebsearch.net O1 - Hosts: 81.211.105.12 global-finder.com O1 - Hosts: 81.211.105.12 idgsearch.com O1 - Hosts: 81.211.105.12 ie-search.com O1 - Hosts: 81.211.105.12 itseasy.us O1 - Hosts: 81.211.105.12 jetseeker.com O1 - Hosts: 81.211.105.12 martfinder.com O1 - Hosts: 81.211.105.12 rightfinder.net O1 - Hosts: 81.211.105.12 runsearch.com O1 - Hosts: 81.211.105.12 search.unipages.cc O1 - Hosts: 81.211.105.12 search.xrenoder.com O1 - Hosts: 81.211.105.12 search-2003.com O1 - Hosts: 81.211.105.12 searchdot.net O1 - Hosts: 81.211.105.12 searchv.com O1 - Hosts: 81.211.105.12 searchxp.com O1 - Hosts: 81.211.105.12 seekwell.net O1 - Hosts: 81.211.105.12 slawsearch.com O1 - Hosts: 81.211.105.12 srch-us6.hpwis.com O1 - Hosts: 81.211.105.12 start-space.com O1 - Hosts: 81.211.105.12 searchmyrequest.com O1 - Hosts: 81.211.105.12 therealsearch.com O1 - Hosts: 81.211.105.12 topsearcher.com O1 - Hosts: 81.211.105.12 unipages.cc O1 - Hosts: 81.211.105.12 webcoolsearch.com O1 - Hosts: 81.211.105.12 worldnet.att.net O1 - Hosts: 81.211.105.12 yourbookmarks.ws O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {16664845-0E00-11D2-8059-000000000000} - C:\Programme\Gemeinsame Dateien\ReGet Shared\Catcher.dll O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - C:\Programme\ReGetDx\iebar.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\ICQNet.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O4 - HKCU\..\Run: [Steam] e:\Programme\Steam1\Steam.exe -silent O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\RunOnce: [ICQ] C:\Programme\ICQ\ICQ.exe -trayboot O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: A&lles mit ReGet Deluxe herunterladen - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_All.htm O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Herunterladen mit Re&Get Deluxe - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_Link.htm O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: Mobilen Favoriten erstellen (HKLM) O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... (HKLM) O9 - Extra button: ICQ Pro (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O9 - Extra button: Translate (HKLM) O9 - Extra 'Tools' menuitem: LingoWare Translator... (HKLM) O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea.com/downloads/rtpatch/EARTPX.cab O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://cam1.broadband.nine.se/activex/AxisCamControl.ocx O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37822.5468634259 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{12FCED17-4962-4C5D-916E-84023A7F12A9}: NameServer = 192.168.1.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{28DE550D-F86F-40A8-B2C2-916F909A3B8D}: NameServer = 192.168.1.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{9476B5F4-CB96-447D-A31E-3624CF239236}: NameServer = 194.25.2.129 O17 - HKLM\System\CS1\Services\Tcpip\..\{12FCED17-4962-4C5D-916E-84023A7F12A9}: NameServer = 192.168.1.1 O17 - HKLM\System\CS2\Services\Tcpip\..\{12FCED17-4962-4C5D-916E-84023A7F12A9}: NameServer = 192.168.1.1 |
|
|
|
|
|
|
30.01.2004, 21:01
...neu hier
Beiträge: 6 |
#210
@neb0x
also die ganzen O1 kannst eigentlich fixen ;-) hast du es eigentlich schonmal mit dem cwshredder versucht? den gibt es zum beispiel bei http://www.chip.de/downloads/c_downloads_11353799.html lass den mal laufen. und dann gibt es ja auch noch adaware und spybot ;-) liebes grüssle Dieser Beitrag wurde am 30.01.2004 um 21:08 Uhr von Krümel_w editiert.
|
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
O16 - DPF: {36C66BBD-E667-4DAD-9682-58050E7C9FDC} (CDKey Class) - http://www.cdkeybonus.com/cdkey/ITCDKey.cab
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.140/code/PWActiveXImgCtl.CAB
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
Ein Windowsupdate ist schon wichtig. Das mit der Datensicherung ist nie falsch, aber ich habe bis jetzt noch kein System erlebt, das durch ein Update unbrauchbar geworden ist. Der Nutzen ist groesser als der Schaden, den man erleiden koennte.
Um den Messenger loszuwerden, kannst du dich hier "schlau"lesen: http://www.pctip.ch/helpdesk/kummerkasten/archiv/internet/25891.asp
__________
MfG Ralf
SEO-Spam Hunter