Home » Spyware & Browser Hijacker Support Forum » LÖSUNG » NTSEARCH .com « Problematik » Themenansicht

LÖSUNG » NTSEARCH .com « Problematik
#0
03.01.2004, 13:27
Hawke
...neu hier
Avatar Hawke

Beiträge: 10
#31 Hi Raman;),

tze... wozu hat man die Dinger denn dann? *kopfkratz*. Nja... oki, bei Java fällt mir dazu eines ein...
Gerade kurz vor Weihnachten... in der Zeit allgemeiner Bastelwut, habe ich zwecks hübscherer Gestaltung meiner HP ettliche Java-Scripts ausprobiert.
Also... rieselnde Schneeflocken u.ä.!

Kann da der Hase im Pfeffer... mh... der Trojaner im System versteckt gewesen sein?

Sollte man Scripts vorsorglich lieber meiden oder recht es nun aus, wenn die Lücke, wie von Dir auf Seite 1 beschrieben, geschlossen worden ist?
Java besser komplett vom Rechner schmeissen, vielleicht?
Und bei der Gelegenheit die dusselige Frage... wozu ist's eigentlich überhaupt gut, ausser um sich gelegentliche Applet's im I-Net anzuschauen?

*höflichenknicksmach*

Hawke ;-)
Seitenanfang Seitenende
03.01.2004, 13:33
raman
Moderator
Themenstarter

Beiträge: 7805
#32 Mit Java wird es halt schoen bunt! ;)
Ich habe es hier nicht installiert(Mozilla) und die Seiten die ich mir ansehen will laufen auch ohne Java. Jeder sollte mit sich selber ausmachen, ob er es braucht oder nicht, aber auch wenn man es ausgeschaltet hat, sollte man ein durch den IE bereits installiertes Java natuerlich updaten.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
03.01.2004, 14:10
Hawke
...neu hier
Avatar Hawke

Beiträge: 10
#33 Oooooooooki!;-)

na, dann hoffe ich, bin ich soweit/sogut, gegen diesen Lümmel gewappnet.
*imübrigenliebmitdiewimpernklimper*
Ich mag's halt klein, bunt und komisch...
Meist schade, wenn einem hin und wieder der Umgang mit den hübscheren Dingen im Net leicht verleidet wird. Aber watt soll's.

Schön bunt, geht auch mit HTML, gell?!

Nu sage mir bitte nicht, dass es auch da Lücken gibt, die einem das Leben schwer machen können *gg*.

Lieben Gruss und Merci Vielmals,

Hawke ;-)
Seitenanfang Seitenende
03.01.2004, 15:59
ainstain
...neu hier

Beiträge: 1
#34 hallo computerfreaks
erst ma n gutes neues

könntet ihr mir bittte auch helfen, fänd ich echt super ich verzweifle noch an dem scheiss ding.... schon ma danke

hier mein log

Logfile of HijackThis v1.97.7
Scan saved at 15:47:40, on 03.01.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norman\NVC\BIN\Zanda.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Soundkarte\Bin\EchoCtrl.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\Dit.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\PROGRAMME\NORMAN\Nvc\BIN\ZLH.EXE
C:\Programme\Tweak-XP Pro\AdBlocker.exe
C:\Programme\Tweak-XP Pro\popup.exe
C:\WINDOWS\System32\rundll32.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\PROGRAMME\NORMAN\Nvc\BIN\nvcoas.exe
C:\PROGRAMME\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\PROGRAMME\NORMAN\Nvc\BIN\NYMSE.EXE
C:\PROGRAMME\NORMAN\Nvc\BIN\NJEEVES.EXE
C:\PROGRAMME\NORMAN\Nvc\BIN\npfmsg2.exe
C:\PROGRAMME\NORMAN\Nvc\BIN\cclaw.exe
C:\Programme\Spybot\SpybotSD.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\Berni\LOKALE~1\Temp\Rar$EX00.484\HijackThis.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Acrobat Reader 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [C-Media Echo Control] C:\Programme\Soundkarte\Bin\EchoCtrl.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\PROGRAMME\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [BlockAds] "C:\Programme\Tweak-XP Pro\AdBlocker.exe"
O4 - HKCU\..\Run: [Pop-Up-Blocker] "C:\Programme\Tweak-XP Pro\popup.exe"
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37989.2171643519
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Seitenanfang Seitenende
03.01.2004, 16:08
raman
Moderator
Themenstarter

Beiträge: 7805
#35 Was fuer ein Problem hast du denn ueberhaupt?
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
03.01.2004, 16:25
Ralf24
...neu hier

Beiträge: 1
#36 Hallo raman!

Ich bin neu hier und hab das selbe Problem wie viele andere auch hier!

Kannst du dir bitte mal folgende Zeilen anschauen und mir sagen was ich da machen muß. Ich hab nämlich so langsam die Schn..ze voll von diesem ntsearch. Für deine Bemühungen bedanke ich mich bereits im Voraus.
Vielen Dank!

Logfile of HijackThis v1.97.7
Scan saved at 16:08:41, on 03.01.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\spoolsv.exe
C:\WINXP\system32\cisvc.exe
C:\Norman\NVC\BIN\Zanda.exe
C:\WINXP\system32\slserv.exe
C:\Programme\RealVNC\WinVNC\WinVNC.exe
C:\WINXP\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
C:\WINXP\System32\rundll32.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\WINXP\System32\S3hotkey.exe
C:\WINXP\System32\S3tray2.exe
C:\WINXP\sp.exe
C:\Corel\Graphics8\Programs\MFIndexer.exe
C:\Programme\FinePixViewer\QuickDCF.exe
C:\Programme\SMC\SMC2835W 54 Mbps WLAN Utility\SMCUTIL.exe
C:\PROGRA~1\GEMEIN~1\Nokia\Services\SERVIC~1.EXE
C:\NORMAN\nvc\BIN\NJEEVES.EXE
C:\NORMAN\nvc\BIN\nvcoas.exe
C:\NORMAN\nvc\BIN\NVCSCHED.EXE
C:\WINXP\System32\wuauclt.exe
C:\WINXP\system32\cidaemon.exe
C:\Programme\Kazaa\kazaa.exe
C:\Dokumente und Einstellungen\H.EINCK\Eigene Dateien\Webdownload_ralf\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet5_48.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINXP\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINXP\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] REM C:\Programme\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Norman ZANDA] REM C:\NORMAN\nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [PromulGate] REM "C:\Programme\DelFin\PromulGate\PgMonitr.exe"
O4 - HKLM\..\Run: [ServiceLayer] REM C:\Programme\Gemeinsame Dateien\Nokia\Services\ServiceLayer.exe
O4 - HKLM\..\Run: [DataLayer] REM C:\Programme\Nokia\Nokia PC Suite 5\DataLayer\Application\DataLayer.exe
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\RealVNC\WinVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup
O4 - HKLM\..\Run: [mmtask] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [S3hotkey] S3hotkey.exe
O4 - HKLM\..\Run: [S3TRAY2] S3tray2.exe
O4 - HKCU\..\Run: [CTFMON.EXE] REM C:\WINXP\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] REM "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Microsoft Works Update Detection] \WkDetect.exe
O4 - HKCU\..\Run: [YAW starten] "C:\Programme\YAW 3.5\yawguard.exe"
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Exif Launcher.lnk = C:\Programme\FinePixViewer\QuickDCF.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O4 - Global Startup: SMC2835W 54 Mbps WLAN Utility.lnk = C:\Programme\SMC\SMC2835W 54 Mbps WLAN Utility\SMCUTIL.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom.de/ieloader.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20021126/qtinstall.info.apple.com/dribnif/de/win/QuickTimeInstaller.exe
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37876.4316666667
O16 - DPF: {B1953AD6-C50E-11D3-B020-00A0C9251384} (O2C-Player (mb Software AG)) - http://www.o2c.de/download/o2cplayer.cab
O16 - DPF: {BF3CD111-6278-11D2-9EA3-00A0C9251384} (O2C-Player Version 1.x) - http://www.o2c.de/download/O2CPlayer.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3DC0D729-6DAC-4FF4-BF4D-9CAF92CF0C6E}: NameServer = 192.168.1.254
Seitenanfang Seitenende
03.01.2004, 16:42
raman
Moderator
Themenstarter

Beiträge: 7805
#37 Nutze mal alle Tipps von Seite eins, incl. Adaware Spybot Windowsupdates und den "Taskmanager" Tipp von offense.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
04.01.2004, 22:39
itze80
...neu hier

Beiträge: 5
#38 Hallo zusammen,

ich hatte auch das Problem mit diesem blöden ntsearch.
Ich habe das mal zum Anlass genommen um ein kleines Skript zu schreiben, dass den Wurm automatisch beendet und anschließend vom System verbannt.

Ist natürlich recht einfach selbst zu erledigen (danke an offense) aber ich hab's für Leute geschrieben, die sich nicht so gut auskennen oder sich nicht trauen irgendwas zu löschen.

Zu finden ist es auf meiner Homepage unter

www.protokolle.de.tt

in der Rubrik 'Rund um den PC' und da im Download-Bereich.

Hoffe das hilft noch dem einen oder anderen.


Zum Schluss noch ein großes Dankeschön an euch alle. Prima Forum.

Bis denne

Gruss

Itze


P.S.: Über positive oder negative Kritik würde ich mich sehr freuen. Entweder hier, oder per mail oder im Forum auf meiner Homepage.

Hab' nur leider im Moment viel zu tun. Kann daher dauern bis ich mal antworte.
Schon mal sorry dafür.
Seitenanfang Seitenende
04.01.2004, 22:52
coder
Member

Beiträge: 45
#39 moin,

hab mal mit euren tips einen kleinen deinstaller gecodet.
zur zeit löscht das programm die 'sp.exe' aus dem speicher, dann von der festplatte und den autostartkey aus der registry.

das tool funktioniert auf win98,win2k,winxp
ist gerade mal 11kb klein

sehe mir mal die sp.exe an und werde dann noch was einbauen damit man nicht einfach den filenamen ändert...

gruss coder

link zum tool http://www.lunatic-skydance.de/mr/soft/SpoonWeg.exe
Seitenanfang Seitenende
04.01.2004, 22:57
AngelKeeper
Member

Beiträge: 22
#40 Hi,
also erstmal find ich s echt cool das es so n forum gibt ;) ihr werdet mich sicherlich noch öfters hier sehen, da ich mit meinem PC immer allen möglichen schrott anstelle ;) obwohl ich nur von der hälfte von dem was ich tuhe bescheidweiss ;)
bin halt ein ambizionierter Ahnungsloser ;)

nun zu meinem Problem...
den trojaner hab ich mit antivir von meinem pc geholt...
ging ganz gut und hat auch keine probleme gemacht.
allerdings ist die startseite C:\WINDOWS\blank.html immernoch vorhanden und lässt sich nicht entfernen.
hab mir den thread etwas weiter unten durchgelesen und alles gemacht was dort stand allerdings will diese seite einfach nicht weg =( ich verzweifle...

hier mal mein log... vielleicht könnt ihr was damit anfangen =/



Logfile of HijackThis v1.97.7
Scan saved at 22:50:35, on 04.01.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Telekom\Eumex 704PC LAN\Capictrl.exe
C:\Programme\Telekom\Eumex 704PC LAN\HNetCtrl.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\AngelKeeper\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:\WINDOWS\blank.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file:///C:\WINDOWS\search.html
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [UPSUtl] C:\WINDOWS\web.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: HomeNet Control.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab


und noch eine frage... ist diese sache mit dem windows updeaten wirklich notwendig, oder ist es möglich sie irgendwie zu umgehen... ~schäm~

danke schonmal im vorraus

MfG
Angel
__________
Scio, ut nescio
Seitenanfang Seitenende
04.01.2004, 23:21
itze80
...neu hier

Beiträge: 5
#41 Hallo Angel,

also ich bevorzuge für meine Updates die Patch-Pakete von www.winfuture.de.
die bringen alle paar Wochen die gesammelten Windows XP-Patches inkl. einiger Patches für den IE und DirectX etc. raus.
Voraussetzung ist da ein installiertes SP1(a).
Das sind dann einmal um die 60 MB (ca. 80 Patches seit dem SP1). Aber dann hat man sie wenigstens alle und kann sie auch nach einer System- Neuistallation wieder einspielen.

Mittlerweile gibt's da auch Updates auf vorangegangene Pakete.

Wenn man die Windowsupdate Seiten scheut (so wie ich) dann sind die winfuture-pakete auf jeden Fall einen Blick wert.


Bis neulich

Itze
Dieser Beitrag wurde am 04.01.2004 um 23:42 Uhr von itze80 editiert.
Seitenanfang Seitenende
05.01.2004, 14:13
NormanBates
...neu hier

Beiträge: 7
#42 tach leude,
also nachdem ich mir (bin auch nt-search geschädigt) alle postings durchgelesen habe, alle tools die ihr empfehlt runtergeladen habe werde ich mich hoffentlich heute abend von dem gerät (troj) hoffentlich befreien können.
sonst hört ihr morgen in form eines logs von mir ;-)

vorab, sehr geil wie hier geholfen wird. bedanken und knicksen tue ich erst wenn der mistbock von meinem pc verbannt ist.

bis morgen, nen nt-search-freien tag noch.

Norm
Seitenanfang Seitenende
05.01.2004, 14:35
nixverstehen
...neu hier

Beiträge: 1
#43 Hey bin neu hier und brauch gleich hilfe!
Könnte einer von euch mal diese Zeilen durchchecken weil ich versteh hier GARNICHTS! :-(
Logfile of HijackThis v1.97.7
Scan saved at 20:19:39, on 03.01.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\PackethSvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\System32\mslaugh.exe
C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\PROGRA~2\Altnet\DOWNLO~1\asm.exe
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\unzipped\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.aol.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startseite.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.startseite.de/searchbar
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Windows Automation] mslaugh.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [KAZAA] D:\Programme\Kazaa\Kazaa.exe /SYSTRAY
O4 - HKLM\..\Run: [AltnetPointsManager] c:\program files\altnet\points manager\points manager.exe -s
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
O4 - HKCU\..\Run: [YAW Autostart] "D:\Programme\YAW\yaw.exe"
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [YAW starten] "c:\programme\yaw 3.5\fast.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren (HKLM)
O9 - Extra button: Recherche-Assistent (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O9 - Extra button: MedionShop (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37989.4314236111
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.serviceurl.de/StarInstall.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{75361DB4-E7FB-491A-8539-152958381BB4}: NameServer = 195.71.231.3 193.189.244.205
Seitenanfang Seitenende
05.01.2004, 16:09
raman
Moderator
Themenstarter

Beiträge: 7805
#44 @angelkeeper dein Problem ist diese Datei(bitte fixen):

O4 - HKLM\..\Run: [UPSUtl] C:\WINDOWS\web.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:\WINDOWS\blank.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file:///C:\WINDOWS\search.html

Nach einem Neustart bitte die beiden HTML und die Exe Datei loeschen.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
05.01.2004, 16:11
raman
Moderator
Themenstarter

Beiträge: 7805
#45 @nixverstehen:

Du hast noch eine MSBLASTER Variante auf deinem Rechner diese Zeile fixen:

O4 - HKLM\..\Run: [Windows Automation] mslaugh.exe

und nach einem Neustart mit hilfe dieses Links Dcom deaktivieren und dein System Updaten!
http://www.kssysteme.de/s_content.php?id=fk2002-01-31-3823#xp2a
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: