Ntsearch Problem - Fragen & HijackThis Logs » hier rein!

Thema ist geschlossen!
Thema ist geschlossen!
#0
03.01.2004, 15:16
Moderator

Beiträge: 7805
#76 Ja, einfach einen Ordner anlegen.. Z.B. Hijackthis und da die Exedatei hinkopieren.

Wegen der Datei. Ich konnte sie nicht einordnen und auch so keine Infos dazu finden. Es ist aber definitiv "werbemalware" Du kannst diese Datei auch loeschen.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
03.01.2004, 15:34
...neu hier

Beiträge: 10
#77 das problem mit dem taskmanager besteht aber immer noch
Seitenanfang Seitenende
03.01.2004, 16:00
Moderator

Beiträge: 7805
#78 Du hast alle Windowsupdates gemacht? Vieleicht solltest du mal ein Onlinescan mit RAV machen: http://www.bul-online.de/av/onlinescan.shtml

Du koenntest auch mal eine Startuplist mit Hijackthis erstellen und hier posten. Einfach bei Hijackthis auf config/misc tools/generate Startuplist log gehen und das Log hier posten.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
03.01.2004, 16:09
...neu hier

Beiträge: 5
#79 Kann einer sich das ansehen und mir sagen was ich machen muss?
Ich check das alles nicht!

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\Dit.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\RUNDLL32.EXE
E:\Kram\windowblock\Window!Block.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Outlook Express\msimn.exe
C:\Dokumente und Einstellungen\wiesmann\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = "C:\Programme\Outlook Express\msimn.exe"
O2 - BHO: (no name) - {C1E58A84-95B3-4630-B8C2-D06B77B7A0FC} - C:\Programme\NavExcel\NavHelper\v2.0.4\NHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [CHotKey] mHotkey.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [Steam] C:\Programme\Steam\Steam.exe -silent
O4 - HKCU\..\Run: [Window!Block] "E:\Kram\windowblock\Window!Block.exe" "autostart"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37988.5841550926
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0509E90F-1C88-4382-B20A-E37824F01280}: NameServer = 212.185.253.70 194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{0509E90F-1C88-4382-B20A-E37824F01280}: NameServer = 212.185.253.70 194.25.2.129
Seitenanfang Seitenende
03.01.2004, 16:21
Moderator

Beiträge: 7805
#80 Wenn du weisst, was das hier ist: E:\Kram\windowblock\Window!Block.exe dann nichts!;)
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
03.01.2004, 16:28
...neu hier

Beiträge: 5
#81 Das ist mir klar, aber das Problem hab ich trotzdem, ntsearch.
windowblock ist ein anti popup prog.
Dieser Beitrag wurde am 03.01.2004 um 16:30 Uhr von DaWiesel editiert.
Seitenanfang Seitenende
03.01.2004, 16:38
...neu hier

Beiträge: 10
#82 StartupList report, 03.01.2004, 16:37:45
StartupList version: 1.52
Started from : C:\Dokumente und Einstellungen\Dr. Hans-Martin\Eigene Dateien\Fi\HijackThis.EXE
Detected: Windows XP SP1 (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)
* Using default options
==================================================

Running processes:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVWin\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\AVWin\AVGUARD.EXE
C:\Programme\AVWin\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Dr. Hans-Martin\Eigene Dateien\Fi\HijackThis.exe

--------------------------------------------------

Listing of startup folders:

Shell folders Common Startup:
[C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart]
Erinnerungen in Microsoft Works-Kalender.lnk = ?

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

NvCplDaemon = RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
nwiz = nwiz.exe /install
KAZAA = C:\Programme\Kazaa\kazaa.exe /SYSTRAY
AVGCtrl = C:\Programme\AVWin\AVGNT.EXE /min
KDA = C:\Programme\KaZaA Download Accelerator\KDA.exe

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

CTFMON.EXE = C:\WINDOWS\System32\ctfmon.exe
MSMSGS = "C:\Programme\Messenger\msmsgs.exe" /background

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce

ICQ Lite = C:\Programme\ICQLite\ICQLite.exe -trayboot

--------------------------------------------------

Enumerating ICQ Agent Autostart apps:
HKCU\Software\Mirabilis\ICQ\Agent\Apps

C:\Programme\LingoCom\LingoWare.exe\

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=C:\WINDOWS\System32\sspipes.scr
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry key not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------


Enumerating Browser Helper Objects:

(no name) - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}

--------------------------------------------------

Enumerating Download Program Files:

[QuickTime Object]
InProcServer32 = C:\Programme\QuickTime\QTPlugin.ocx
CODEBASE = http://www.apple.com/qtactivex/qtplugin.cab

[RdxIE Class]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\RdxIE.dll
CODEBASE = http://207.188.7.150/27dea88f90edb94abc05/netzip/RdxIE601_de.cab

[Update Class]
InProcServer32 = C:\WINDOWS\System32\iuctl.dll
CODEBASE = http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37862.2226851852

[CRAVOnline Object]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\ravonline.dll
CODEBASE = http://www.ravantivirus.com/scan/ravonline.cab

[Shockwave Flash Object]
InProcServer32 = C:\WINDOWS\System32\macromed\flash\Flash.ocx
CODEBASE = http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

[MSN Chat Control 4.5]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\MSNChat45.ocx
CODEBASE = http://fdl.msn.com/public/chat/msnchat45.cab

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
CDBurn: C:\WINDOWS\system32\SHELL32.dll
WebCheck: C:\WINDOWS\System32\webcheck.dll
SysTray: C:\WINDOWS\System32\stobject.dll

--------------------------------------------------
End of report, 5.291 bytes
Report generated in 0,060 seconds

Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only
Seitenanfang Seitenende
03.01.2004, 16:40
Moderator

Beiträge: 7805
#83 Also ich sehe so keinen Task/Prozess, der das verursachen koennte. Starte mal den IE und gebe dort eine neue Startseite an(z.B. www.google.de). Ich glaube zwar nicht, das es etwas bringt, aber du kannst ja den CWshredder mal laufen lassen: http://www.merijn.org/cwschronicles.html Adaware oder Spybot vieleicht auch noch
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
03.01.2004, 16:49
...neu hier

Beiträge: 10
#84 startseite bringt nix.
zuvor www.fcb.de , jetzt www.google.de , dann www.cycling-game.de.ms , jetzt weider www.fcb.de immer der gleiche fehler
Seitenanfang Seitenende
03.01.2004, 17:10
Moderator

Beiträge: 7805
#85 Du warst zu schnell mit dem posten, ich meinte DaWiesel!;)

Was genau meintest du mit Taskmanager und dem grauen Hintergrund?
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
03.01.2004, 17:28
...neu hier

Beiträge: 5
#86 Welsches dieser cwshredder dinger soll ich nehmen, könntest du das schnell sagen?Spybot hat nix geholfen und adaware hat nich nie was geholfen.
Dieser Beitrag wurde am 03.01.2004 um 17:29 Uhr von DaWiesel editiert.
Seitenanfang Seitenende
03.01.2004, 17:39
Moderator

Beiträge: 7805
#87 Du hast beide Programme vor dem Start ein Update machen lassen, neu gestartet, eine Homepage eingetragen und mal den Browser Cache geloescht(via Datentraegerbereinigung)?

Diese CWSHREDDER Datei musst du starten: http://www.spywareinfo.com/~merijn/junk/CWShredder.exe
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
03.01.2004, 21:24
...neu hier

Beiträge: 10
#88 naja, mir fehlTE die blaue systemleistung, also nehm einfach den Taskmanager, und nach raadier alle symbolleisten raus.

also di mim blauen hintergrund, dann die mit datei und optionen und ansicht, udn die mit anwendungen, rozesse usw.

aber das problem hat sich erledigt, bei mir läuft wieder alles. riesendank an dich, raman, ohne dich würd ich jetzt immer noch dumm in der gegend rumschaun
Seitenanfang Seitenende
03.01.2004, 21:33
Moderator

Beiträge: 7805
#89 Wie hast du das Problem erledigt? ;)
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
04.01.2004, 00:04
...neu hier

Beiträge: 5
#90 wo find ich datenträgerberinigung?
der cwshredder meint es war ales okay
Seitenanfang Seitenende