Home » Spyware & Browser Hijacker Support Forum » Ntsearch Problem - Fragen & HijackThis Logs » hier rein! » Themenansicht
Ntsearch Problem - Fragen & HijackThis Logs » hier rein!Thema ist geschlossen! |
||
|---|---|---|
Thema ist geschlossen! |
||
| #0
| ||
|
09.02.2004, 18:02
Moderator
Beiträge: 7805 |
||
 
|
|
|
|
09.02.2004, 18:05
...neu hier
Beiträge: 4 |
#272
da ist sie und was jetzt
CWShredder v1.48.2 scan only report Windows XP (5.01.2600 ) Windows dir: C:\WINDOWS Windows system dir: C:\WINDOWS\system32 AppData folder: C:\Dokumente und Einstellungen\Dimi\Anwendungsdaten Username: Dimi Infected Registry value: HKCU\Software\Microsoft\Internet Explorer,Search Infected data: http://magicsearch.ws/?q= Infected Registry value: HKCU\Software\Microsoft\Internet Explorer,SearchURL Infected data: http://magicsearch.ws/?q= Infected Registry value: HKLM\Software\Microsoft\Internet Explorer,Search Infected data: http://magicsearch.ws/?q= Infected Registry value: HKLM\Software\Microsoft\Internet Explorer,SearchURL Infected data: http://magicsearch.ws/?q= Infected Registry value: HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL Infected data: http://magicsearch.ws Infected Registry value: HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL Infected data: http://magicsearch.ws/?q= Infected Registry value: HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar Infected data: http://magicsearch.ws/?q= Infected Registry value: HKCU\Software\Microsoft\Internet Explorer\Main,Search Page Infected data: http://magicsearch.ws/?q= Infected Registry value: HKCU\Software\Microsoft\Internet Explorer\Main,Start Page,about:blank Infected data: http://magicsearch.ws Infected Registry value: HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL Infected data: http://magicsearch.ws Infected Registry value: HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL Infected data: http://magicsearch.ws/?q= Infected Registry value: HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar Infected data: http://magicsearch.ws/?q= Infected Registry value: HKLM\Software\Microsoft\Internet Explorer\Main,Search Page Infected data: http://magicsearch.ws/?q= Infected Registry value: HKLM\Software\Microsoft\Internet Explorer\Main,Start Page,about:blank Infected data: http://magicsearch.ws Infected Registry value: HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant,http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm Infected data: http://magicsearch.ws/?q= Infected Registry value: HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch,http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm Infected data: http://magicsearch.ws/?q= Infected Registry value: HKLM\Software\Microsoft\Windows\CurrentVersion\URL\Prefixes,www,http:// Infected data: http://magicsearch.ws/?q= Found Hosts file: C:\WINDOWS\system32\drivers\etc\hosts (820 bytes, A) Shell Registry value: HKLM\..\WinLogon [Shell] Explorer.exe UserInit Registry value: HKLM\..\WinLogon [UserInit] C:\WINDOWS\system32\userinit.exe, Registry value: DefaultPrefix (should be http://) [] http://magicsearch.ws/?q= Registry value: WWW Prefix (should be http://) [www] http://magicsearch.ws/?q= Registry value: Mosaic Prefix (should be http://) [mosaic] http:// Registry value: Home Prefix (should be http://) [home] http:// Found Win.ini file: C:\WINDOWS\win.ini (600 bytes, A) Found System.ini file: C:\WINDOWS\system.ini (231 bytes, A) - END OF REPORT - |
|
|
|
|
|
|
09.02.2004, 18:22
Moderator
Beiträge: 7805 |
#273
Ganz einfach bei CWshredder auf "fix" druecken (nicht "scan only") Dann neu starten Windowsupdates installieren via www.windowsupdate.com und dann bitte ein neues Hijackthis log posten.
__________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
09.02.2004, 22:00
Member
Beiträge: 45 |
#274
Bitte Bitte Bitte entschuldigt, daß ich das hier doppelt poste - aber zunächst hatte ich diesen Thread hier wirklich nimmer finden können !!!
--- Anbei der Logfile einer Freundin, deren PC ein bißchen Mucken macht ... ich hoffe sehr (natürlich könnt Ihr das !), daß Ihr ein bißchen weiterhelfen könnt, was hier die Probleme verursacht !!! --- Logfile of HijackThis v1.97.7 Scan saved at 20:47:48, on 09.02.04 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\SA3DSRV.EXE C:\WINDOWS\CPQDIAG\CPQDFWAG.EXE C:\PROGRAMME\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\VSHWIN32.EXE C:\OFFICE51\SOINTGR.EXE C:\PROGRAMME\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\WEBSCANX.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\EXPLORER.EXE C:\PROGRAMME\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\VSSTAT.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAMME\SYNAPTICS\SYNTP\SYNTPLPR.EXE C:\PROGRAMME\SYNAPTICS\SYNTP\SYNTPENH.EXE C:\PROGRAMME\COMPAQ\EASY ACCESS BUTTON SUPPORT\CPQEADM.EXE C:\COMPAQ\INTERNET\CISRVR.EXE C:\CPQS\BWTOOLS\SCCENTER.EXE C:\PROGRAMME\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\AVCONSOL.EXE C:\PROGRAMME\REAL\REALPLAYER\REALPLAY.EXE C:\PROGRAMME\COMPAQ\EASY ACCESS BUTTON SUPPORT\BTTNSERV.EXE C:\PROGRAMME\OPENOFFICE.ORG1.0.1\PROGRAM\SOFFICE.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\PROGRAMME\COMPAQ\ON-SCREEN DISPLAY\OSD.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\WINDOWS\SYSTEM\PSTORES.EXE C:\WINDOWS\SYSTEM\SERVICES.EXE C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.presario.net/scripts/redirectors/presario/srchredir.dll?c=2c99&lc=0407&s=search&i=deu R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.presario.net/scripts/redirectors/presario/srchredir.dll?c=2c99&lc=0407&s=search&i=deu R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.presario.net/scripts/redirectors/presario/srchredir.dll?c=2c99&lc=0407&s=search&i=deu R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.presario.net/scripts/redirectors/presario/srchredir.dll?c=2c99&s=search&query=%s&i=enu O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [CPQEASYACC] C:\Programme\Compaq\Easy Access Button Support\cpqeadm.exe O4 - HKLM\..\Run: [EACLEAN] C:\Programme\Compaq\Easy Access Button Support\eaclean.exe O4 - HKLM\..\Run: [Aureal A3D Interactive Audio Init] A3dInit.exe O4 - HKLM\..\Run: [Compaq Internet Setup] C:\Compaq\Internet\InetWizard.exe /RUN O4 - HKLM\..\Run: [CISrvr Program] C:\COMPAQ\INTERNET\CISRVR.EXE O4 - HKLM\..\Run: [Service Connection] c:\cpqs\bwtools\sccenter.exe O4 - HKLM\..\Run: [AvconsoleEXE] C:\Programme\Network Associates\McAfee VirusScan\avconsol.exe /minimize O4 - HKLM\..\Run: [Vshwin32EXE] C:\PROGRAMME\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\VSHWIN32.EXE O4 - HKLM\..\Run: [VsStatEXE] C:\Programme\Network Associates\McAfee VirusScan\VSSTAT.EXE O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\OFFICE51\SOINTGR.EXE O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [McAfeeWebScanX] C:\PROGRAMME\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\WebScanX.Exe O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [Aureal A3D Interactive Audio] sa3dsrv.exe O4 - HKLM\..\RunServices: [CPQDFWAG] C:\WINDOWS\cpqdiag\CpqDfwAg.exe O4 - HKLM\..\RunServices: [Vshwin32EXE] C:\PROGRAMME\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\VSHWIN32.EXE O4 - HKLM\..\RunServices: [SO5 Integrator Pass One] C:\OFFICE51\SOINTGR.EXE O4 - HKLM\..\RunServices: [McAfeeWebScanX] C:\PROGRAMME\NETWORK ASSOCIATES\MCAFEE VIRUSSCAN\WebScanX.Exe O4 - HKCU\..\Run: [System Update] C:\WINDOWS\System\services.exe O4 - Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\SYSTEM\E_SRCV03.EXE O4 - Startup: OpenOffice.org 1.0.1.lnk = C:\Programme\OpenOffice.org1.0.1\program\quickstart.exe O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O9 - Extra button: Real.com (HKLM) O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll O12 - Plugin for .swf: C:\PROGRAMME\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\npswf32.dll O12 - Plugin for .wav: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab --- 1000 Danke (wie immer !) im Voraus !!! |
|
|
|
|
|
|
14.02.2004, 14:02
...neu hier
Beiträge: 1 |
#275
Servus
könnte mir bitte jemand helfen uns sagen was ich alles fixen kann. habe überhaupt keine ahnung davon. vielen dank im vorraus hier die log Logfile of HijackThis v1.97.7 Scan saved at 14:00:08, on 14.02.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\DOKUME~1\Shibbie\LOKALE~1\Temp\2004212203143_mcinfo.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\System32\rundll32.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartService.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\PROGRA~1\NORTON~3\NORTON~1\SPEEDD~1\NOPDB.EXE C:\WINDOWS\system32\ntvdm.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\LEXPPS.EXE C:\Programme\Messenger\msmsgs.exe C:\DOKUME~1\Shibbie\LOKALE~1\Temp\Rar$EX00.312\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.couldnotfind.com/search_page.html?&account_id=132564 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.couldnotfind.com/search_page.html?&account_id=132564 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_page.html?&account_id=132564 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.t-online.de/ O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file) O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [msci] C:\DOKUME~1\Shibbie\LOKALE~1\Temp\2004212203143_mcinfo.exe /insfin O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~2\AdvTools\ADVCHK.EXE O4 - HKLM\..\Run: [Lexmark X74-X75] "C:\Programme\Lexmark X74-X75\lxbbbmgr.exe" O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: ICQ Lite (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O16 - DPF: {018B7EC3-EECA-11D3-8E71-0000E82C6C0D} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v3.0/0006.cab O16 - DPF: {91413D86-9F27-402C-B5E3-DEBDD122C339} - http://content.netvenda.com/sites/games-intl/de/games4.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab |
|
|
|
|
|
|
14.02.2004, 14:16
Moderator
Beiträge: 7805 |
#276
Starte im abgesicherten Modus und fixe mal folgendes:
O16 - DPF: {018B7EC3-EECA-11D3-8E71-0000E82C6C0D} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v3.0/0006.cab O16 - DPF: {91413D86-9F27-402C-B5E3-DEBDD122C339} - http://content.netvenda.com/sites/games-intl/de/games4.cab R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.couldnotfind.com/search_page.html?&account_id=132564 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.couldnotfind.com/search_page.html?&account_id=132564 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_page.html?&account_id=132564 O4 - HKLM\..\Run: [msci] C:\DOKUME~1\Shibbie\LOKALE~1\Temp\2004212203143_mcinfo.exe /insfin Mal schauen, ob das den Coolwebsearch beseitigen kann. Es waere nett, wenn du diese Datei an virus@protecus.de schicken koenntest( oder an die Adresse in meinem Profil): C:\DOKUME~1\Shibbie\LOKALE~1\Temp\2004212203143_mcinfo.exe Nach einem Neustart, kannst du alles loeschen, was sich innerhalb dieses Ordners befindet C:\DOKUME~1\Shibbie\LOKALE~1\Temp __________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
14.02.2004, 14:30
Member
Beiträge: 45 |
||
|
|
|
|
|
14.02.2004, 14:37
Moderator
Beiträge: 7805 |
#278
Das Log habe ich uebersehen.
Ich denke das sollte raus: O4 - HKCU\..\Run: [System Update] C:\WINDOWS\System\services.exe Schicke die Datei bitt mal an virus@protecus.de oder an meine aus dem Profil. C:\WINDOWS\System\services.exe Oder wenn das nicht moeglich sein sollte, bitte die Datei hier testen: http://www.kaspersky.com/remoteviruschk.html __________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
18.02.2004, 20:52
...neu hier
Beiträge: 2 |
#279
Erstmal Hallo an alle hier.
Bin heute aufgrund einer Empfehlung auf das Forum hier gestossen. Hatte auch das Problem mit der sp.exe, habe jetzt mal ad-aware und cws shredder laufen lassen und die aufgetretenen probleme behoben. Hier ist nun mein log-file mit der bitte um Überprüfung ob man das jetzt so lassen kann, beziehungsweise, was muss raus? Logfile of HijackThis v1.97.7 Scan saved at 20:46:23, on 18.02.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: D:\WINNT\System32\smss.exe D:\WINNT\system32\winlogon.exe D:\WINNT\system32\services.exe D:\WINNT\system32\lsass.exe D:\WINNT\system32\svchost.exe D:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe D:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe D:\WINNT\system32\spoolsv.exe D:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe D:\WINNT\System32\svchost.exe D:\Programme\Norton SystemWorks\Norton Ghost\GhostStartService.exe D:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe D:\PROGRA~1\NORTON~3\NORTON~2\NPROTECT.EXE D:\WINNT\System32\nvsvc32.exe D:\WINNT\system32\regsvc.exe D:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe D:\WINNT\system32\MSTask.exe D:\WINNT\Explorer.EXE D:\Programme\Saitek\Software\Profiler.exe D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe D:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe D:\Programme\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe D:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe D:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe D:\PROGRA~1\NORTON~3\NORTON~2\SPEEDD~1\NOPDB.EXE D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe D:\WINNT\system32\stisvc.exe D:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe D:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe D:\WINNT\system32\internat.exe D:\WINNT\System32\WBEM\WinMgmt.exe D:\PROGRA~1\T-DSLS~1\tsmsvc.exe D:\WINNT\system32\rundll32.exe D:\WINNT\system32\ntvdm.exe C:\T-ONLINE\BSW4\ToDuCAlC.EXE D:\WINNT\system32\svchost.exe D:\WINNT\System32\svchost.exe D:\PROGRA~1\WINZIP\winzip32.exe D:\WINNT\system32\taskmgr.exe D:\PROGRA~1\WINZIP\winzip32.exe D:\PROGRA~1\WINZIP\winzip32.exe D:\Programme\Internet Explorer\iexplore.exe D:\Programme\Lavasoft\Ad-aware 6\Ad-aware.exe D:\PROGRA~1\MICROS~3\Office\OUTLOOK.EXE D:\Programme\Norton SystemWorks\Norton Antivirus\OPScan.exe D:\My Shared Folder\Neuer Ordner\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - D:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\System32\msdxm.ocx O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - D:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINNT\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Profiler] D:\Programme\Saitek\Software\Profiler.exe O4 - HKLM\..\Run: [TkBellExe] "D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [T-DSL SpeedMgr] "D:\Programme\T-DSL SpeedManager\SpeedMgr.exe" O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] D:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe O4 - HKLM\..\Run: [CamMonitor] D:\Programme\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe O4 - HKLM\..\Run: [NeroCheck] D:\WINNT\system32\\NeroCheck.exe O4 - HKLM\..\Run: [CloneCDTray] D:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "D:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [ccApp] "D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [SymTray - Norton SystemWorks] D:\Programme\Gemeinsame Dateien\Symantec Shared\Symtray.exe SetReg O4 - HKLM\..\Run: [GhostStartTrayApp] D:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe O4 - HKLM\..\Run: [AcctMgr] D:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe /startup O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [SSS5] "D:\Programme\Steganos Security Suite 5\steganos5.exe" /booting O4 - HKCU\..\Run: [SSS5SAFE] "D:\Programme\Steganos Security Suite 5\safe.exe" /booting O4 - HKCU\..\Run: [SSS5SPM] "D:\Programme\Steganos Security Suite 5\spm.exe" /booting O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook O4 - HKLM\..\RunOnce: [SymTray - Norton SystemWorks] D:\Programme\Gemeinsame Dateien\Symantec Shared\Symtrdr.exe O4 - HKLM\..\RunOnce: [SpyBotSnD] "D:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck O4 - Startup: PowerReg Scheduler V3.exe O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Ulead Photo Express SE Calendar Checker.lnk = D:\Programme\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe O9 - Extra button: Real.com (HKLM) O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38034.4779861111 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{4AD597DC-C800-4589-8E71-8696F9D2B269}: NameServer = 212.185.248.84 194.25.2.129 Vielen Dank schonmal im voraus Carsten |
|
|
|
|
|
|
19.02.2004, 19:37
...neu hier
Beiträge: 1 |
#280
Wo kann ich den cwsshredder download?
|
|
|
|
|
|
|
19.02.2004, 20:14
Moderator
Beiträge: 7805 |
#281
Nimm diesen Link: http://www.zerosrealm.com/downloads/CWShredder.zip
__________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
19.02.2004, 22:53
...neu hier
Beiträge: 2 |
#282
Hallo und schönen juten Abend
Ich habe derbe Probleme mit I.Explorer, friert immer nach Link-Klicks ein schätze mal das da nen Virus dahinter steckt. BitDefender hat mir Zwei Trojaner Warnungen gemeldet "Trojaner.Clicker.Small.B" und Trojaner in "C:\windows\sys_ext.dll>(Upx)" habe diese gleich gelöscht aber das Problem besteht weiterhin. Kann mir da mal einer nen Rat geben Habe mal nen Logfile von Hijackthis angehängt. Wäre super nett wenn sich das mal einer angucken könnte und mir nen Rat geben kann wie ich da jetzt weiter vorgehen kann. Logfile of HijackThis v1.97.7 Scan saved at 22:51:28, on 19.02.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\DVDRAMSV.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe C:\Programme\Softwin\BitDefender Professional Edition\vsserv.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\Zone Labs\ZoneAlarm\zapro.exe C:\Programme\Microsoft IntelliPoint\point32.exe C:\Programme\D-Tools\daemon.exe C:\Programme\Softwin\BitDefender Professional Edition\bdnagent.exe C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE C:\WINDOWS\System32\devldr32.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\E m u l e\E m u l e.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\Stinger\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.heute.de/ O2 - BHO: (no name) - {00110011-4B0B-44D5-9718-90C88817369B} - C:\WINDOWS\sys_ext.dll (file missing) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\Zone Labs\ZoneAlarm\zapro.exe O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe" O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [BDMCon] C:\Programme\Softwin\BitDefender Professional Edition\\bdmcon.exe O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender Professional Edition\\bdnagent.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O4 - HKCU\..\Run: [winlogon] c:\windows\winlogon.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: Mobilen Favoriten erstellen (HKLM) O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... (HKLM) O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38033.4553935185 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{57009DDB-2DD3-4E74-A6FE-7F6F769355F6}: NameServer = 194.97.173.125 62.104.64.3 O17 - HKLM\System\CS1\Services\Tcpip\..\{57009DDB-2DD3-4E74-A6FE-7F6F769355F6}: NameServer = 194.97.173.125 62.104.64.3 |
|
|
|
|
|
|
20.02.2004, 14:45
Member
Beiträge: 133 |
#283
hi bobbel
diese einträge mit hijackthis fixen: O2 - BHO: (no name) - {00110011-4B0B-44D5-9718-90C88817369B} - C:\WINDOWS\sys_ext.dll (file missing) O4 - HKCU\..\Run: [winlogon] c:\windows\winlogon.exe diese datei bitte an virus@protecus.de schicken : c:\windows\winlogon.exe um sie überprüfen zu lassen MfG aryn __________ Vielleicht ist es so, dass in den Momenten, wo wir uns am stärksten fühlen, wir am schwächsten sind. (AND ONE) Dieser Beitrag wurde am 20.02.2004 um 14:46 Uhr von arynsun editiert.
|
|
|
|
|
|
|
20.02.2004, 18:57
...neu hier
Beiträge: 2 |
#284
Jo supi, alles funzt wieder, kann wieder vernüftig surfen und Link´s anklicken :-)
War schon kurz davor Vitamin C zu spritzen (Format C  Die Datei habe ich an obengenannte E-Mail versendet. Könnt ihr mir nochmal nen kleinen Tip geben mit welchen Programm ich sowas in Zukunft verhindern kann. Habe Zonealarm, BitDefender u.s.w. Achso hier nochmal zur Nachkontrolle mein Logfile von Hijackthis Logfile of HijackThis v1.97.7 Scan saved at 18:56:03, on 20.02.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\DVDRAMSV.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe C:\Programme\Softwin\BitDefender Professional Edition\vsserv.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\Zone Labs\ZoneAlarm\zapro.exe C:\Programme\Microsoft IntelliPoint\point32.exe C:\Programme\D-Tools\daemon.exe C:\Programme\Softwin\BitDefender Professional Edition\bdnagent.exe C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE C:\WINDOWS\System32\devldr32.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\Stinger\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.heute.de/ O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1.1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\Zone Labs\ZoneAlarm\zapro.exe O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe" O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [BDMCon] C:\Programme\Softwin\BitDefender Professional Edition\\bdmcon.exe O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender Professional Edition\\bdnagent.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: Mobilen Favoriten erstellen (HKLM) O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... (HKLM) O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38033.4553935185 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{57009DDB-2DD3-4E74-A6FE-7F6F769355F6}: NameServer = 194.97.173.125 62.104.64.3 O17 - HKLM\System\CS1\Services\Tcpip\..\{57009DDB-2DD3-4E74-A6FE-7F6F769355F6}: NameServer = 194.97.173.125 62.104.64.3 Best Dank Bobbel |
|
|
|
|
|
|
21.02.2004, 09:31
Member
Beiträge: 133 |
#285
also sieht sauber aus
, diese beiden kannst du noch raus nehmen, muss aber nicht:O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install für die zukunft: http://board.protecus.de/t9373.htm&mode=thread&order=0  sollten davon einige seiten "down" sein: Seite für CWS Shredder http://www.chip.de/downloads/c_downloads_11353799.html ...sind echt super tools  MfG aryn __________ Vielleicht ist es so, dass in den Momenten, wo wir uns am stärksten fühlen, wir am schwächsten sind. (AND ONE) |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
__________
MfG Ralf
SEO-Spam Hunter