Home » Spyware & Browser Hijacker Support Forum » LÖSUNG » NTSEARCH .com « Problematik » Themenansicht
LÖSUNG » NTSEARCH .com « Problematik |
||
|---|---|---|
| #0
| ||
|
11.02.2004, 09:27
Member
Beiträge: 133 |
||
 
|
|
|
|
13.02.2004, 18:23
...neu hier
Beiträge: 4 |
#122
Danke @arynsun!
Also, nachdem ich das jetzt schon mal geschaftt hätte fänd ich es echt super, wenn mir einer sagen könnte was ich löschen oder fixen soll. Danke schon mal Lg Jule Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\SSDPSRV.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\VS7DEBUG\MDM.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAMME\CREATIVE\NEWS\NEWSUPD.EXE C:\PROGRAMME\DOWNLOADWARE\DW.EXE C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\WINDOWS\SYSTEM\CTFMON.EXE C:\PROGRAMME\ICQ\ICQ.EXE C:\WINDOWS\WUAUCLT.EXE C:\WINDOWS\SYSTEM\MOSTAT.EXE C:\WINDOWS\SYSTEM\PSTORES.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.scourweb.net/nph-search.cgi?partner=wesb1&look=sbar1_srchbtn R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.scourweb.net/nph-search.cgi?partner=wesrch1&look=stmpl1&kw= R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.firemail.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.scourweb.net/nph-search.cgi?partner=wesrch1&look=stmpl1&kw= R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.scourweb.net/nph-search.cgi?partner=wesb1&look=sbar1_srchbtn R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.scourweb.net/nph-search.cgi?partner=wesrch1&look=stmpl1&kw= R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.scourweb.net/nph-search.cgi?partner=wesrch1&look=stmpl1&kw= R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.scourweb.net/nph-search.cgi?partner=wesrch1&look=stmpl1&kw= R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.scourweb.net/nph-search.cgi?partner=wesrch1&look=stmpl1&kw= R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = 192.168.100.254 R3 - URLSearchHook: WebSearch Class - {9368D063-44BE-49B9-BD14-BB9663FD38FC} - C:\PROGRAMME\WINEX\V9\WINEX.DLL O2 - BHO: UCmore toolbar - {ED8DB0FD-D8F4-4b2c-BB5B-9EF040FE104D} - C:\PROGRAMME\UCMORE\UCMIE.DLL O2 - BHO: (no name) - {60AF0B21-4FA9-41F4-8E5A-969ED9B6749D} - C:\WINDOWS\SYSTEM\MOAA030425S.DLL O2 - BHO: (no name) - {4601654F-035D-47FC-8135-D5338125F9CF} - C:\WINDOWS\SYSTEM\MOAA030425S.DLL O2 - BHO: (no name) - {31064F72-FD63-4B49-94C8-D6154745309F} - C:\WINDOWS\SYSTEM\OTIJY.DLL O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\PROGRAMME\MEDIALOADS ENHANCED\ME2.DLL (file missing) O2 - BHO: (no name) - {00041A26-7033-432C-94C7-6371DE343822} - C:\PROGRAMME\WINEX\V9\WINEX.DLL O3 - Toolbar: UCmore Toolbar - {53CBEE82-D747-11d3-9ED0-005004189684} - C:\PROGRAMME\UCMORE\UCMIE.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [NewsUpd] C:\Programme\Creative\News\NewsUpd.EXE /q O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\SYSTEM\pmxinit.exe -SetupRunOnce O4 - HKLM\..\Run: [BearShare] C:\PROGRAMME\BEARSHARE\BEARSHARE.EXE /pause O4 - HKLM\..\Run: [MediaLoads Installer] "C:\Programme\DownloadWare\dw.exe" /H O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min O4 - HKLM\..\Run: [WindowEnhancer] "C:\PROGRAMME\WINEX\V9\WINEX.EXE" /H O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~2\ICQ\ICQNet.exe O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe O4 - HKLM\..\RunServices: [MOSearch] C:\PROGRA~1\GEMEIN~1\SYSTEM\MOSEARCH\BIN\MOSEARCH.EXE O4 - HKLM\..\RunServices: [MDM7] "C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\VS7DEBUG\MDM.EXE" O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe O4 - HKLM\..\RunOnce: [PMXInit] C:\WINDOWS\SYSTEM\pmxinit.exe O4 - Startup: EPSON Background Monitor.lnk = C:\ESM2\Stms.exe O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Startup: WAVEline Wireless USB Adapter.lnk = C:\Programme\Compu-Shack\WAVEline Wireless USB Adapter\usbu.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000 O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: MSN Messenger Service (HKLM) O9 - Extra button: ICQ Pro (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O9 - Extra button: Recherche-Assistent (HKLM) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?37892.1177083333 O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/1859307ee820c99a1418/netzip/RdxIE601_de.cab O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 62.225.252.244,194.25.1.129 |
|
|
|
|
|
|
13.02.2004, 20:32
Member
 Beiträge: 1122 |
#123
Lass das mal "fixen"
C:\PROGRAMME\CREATIVE\NEWS\NEWSUPD.EXE (siehe : http://cexx.org/newsupd.htm) C:\WINDOWS\SYSTEM\MOSTAT.EXE O4 - HKLM\..\Run: [NewsUpd] C:\Programme\Creative\News\NewsUpd.EXE /q Lass das mal im Abgesicherten Modus "fixen". Dann Neustart, und lad dir mal Ad-aware runter. http://www.lavasoftusa.com/software/adaware/ MFG DAFRA |
|
|
|
|
|
|
13.02.2004, 21:21
...neu hier
Beiträge: 9 |
#124
Hi Leute...
bei mir ist dank Eurer Hilfe auch wieder alles soweit ok! Das einzige was noch ist, ist das ich nicht auf die Seite von Spywareinfo.com komme, woran kann das liegen??? Ich poste mal mein Logfile von HijackThis: Logfile of HijackThis v1.97.7 Scan saved at 21:28:18, on 13.02.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\taskswitch.exe C:\WINDOWS\System32\fast.exe C:\Programme\Roxio\WinOnCD\DirectCD\DirectCD.exe C:\Programme\1&1 Programme\cFos\cFosDNT.exe C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe C:\Programme\AVPersonal\AVSched32.EXE C:\Programme\Tweak-XP\blads.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\Fast.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Kolja\Desktop\Diverses\hijackthis1977\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://66.40.21.68/search.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://66.40.21.68/search.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://66.40.21.68/search.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.einsundeins.com R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://66.40.21.68/search.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Netzwühler R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\WS_FTP\wsbho2k0.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe O4 - HKLM\..\Run: [FastUser] C:\WINDOWS\System32\fast.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\WinOnCD\DirectCD\DirectCD.exe" O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [cFosDNT] C:\Programme\1&1 Programme\cFos\cFosDNT.exe O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\System32\SysUpd.exe O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min O4 - HKCU\..\Run: [BlockAds] C:\Programme\Tweak-XP\blads.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: Rain.lnk = C:\Rain\Rain.exe O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll O16 - DPF: Win32 Classes - O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20021126/qtinstall.info.apple.com/dribnif/de/win/QuickTimeInstaller.exe O16 - DPF: {CAFEEFAC-0014-0000-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0_01) - O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - http://us.dl1.yimg.com/download.yahoo.com/dl/toolbar/my/yiebio5_0_2_7.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{5265C671-B216-41CC-AC65-B124E8E7C2DD}: NameServer = 62.225.252.244 194.25.2.129 Vielleicht hab ich was übersehen... Für eure Hilfe wäre ich dankbar ;-) Viele Grüße Rokka |
|
|
|
|
|
|
14.02.2004, 11:31
Moderator
Themenstarter Beiträge: 7805 |
#125
Das ist coolwebsearch. du brauchst CWshredder zum entfernen. Allle infos dazu und ein paar mehr sachen, die du machen solltest, findest du hier:
http://board.protecus.de/t9373.htm alternativer Downloadlink fuer CWshredder: http://www.chip.de/downloads/c_downloads_11353799.html (low speed!) @Jule_Fox das gilt auch fuer dich und danach bitte ein aktuelles Log posten.  __________ MfG Ralf SEO-Spam Hunter Dieser Beitrag wurde am 14.02.2004 um 11:32 Uhr von raman editiert.
|
|
|
|
|
|
|
14.02.2004, 12:50
...neu hier
Beiträge: 9 |
#126
Hi...
füe alle die nicht auf die Seiten von spyware und so kommen um den Shredder runter zu laden poste ich hier mal nen Link, ich glaube die Version ist ziemlich aktuell... http://download.computer.msn.de/syndication/msn/downloads/msn_download_11353808.html Gruß Rokka |
|
|
|
|
|
|
14.02.2004, 13:01
Moderator
Themenstarter Beiträge: 7805 |
||
|
|
|
|
|
14.02.2004, 13:14
...neu hier
Beiträge: 9 |
#128
Hi raman,
ich hab jetzt den Shredder noch mal drüber laufen lassen...der sagt das System ist sauber. Auf die Seite Spywareinfo.com komm ichaber immer noch nicht... Hier das aktuelle Hijackfile Logfile of HijackThis v1.97.7 Scan saved at 13:21:55, on 14.02.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\taskswitch.exe C:\WINDOWS\System32\fast.exe C:\Programme\Roxio\WinOnCD\DirectCD\DirectCD.exe C:\Programme\1&1 Programme\cFos\cFosDNT.exe C:\WINDOWS\System32\SysUpd.exe C:\Programme\Tweak-XP\blads.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\Fast.exe C:\Dokumente und Einstellungen\Kolja\Desktop\Diverses\hijackthis1977\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://66.40.21.68/search.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://66.40.21.68/search.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://66.40.21.68/search.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.einsundeins.com R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://66.40.21.68/search.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Netzwühler R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\WS_FTP\wsbho2k0.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe O4 - HKLM\..\Run: [FastUser] C:\WINDOWS\System32\fast.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\WinOnCD\DirectCD\DirectCD.exe" O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [cFosDNT] C:\Programme\1&1 Programme\cFos\cFosDNT.exe O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\System32\SysUpd.exe O4 - HKCU\..\Run: [BlockAds] C:\Programme\Tweak-XP\blads.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: Rain.lnk = C:\Rain\Rain.exe O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20021126/qtinstall.info.apple.com/dribnif/de/win/QuickTimeInstaller.exe O16 - DPF: {CAFEEFAC-0014-0000-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0_01) - O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - http://us.dl1.yimg.com/download.yahoo.com/dl/toolbar/my/yiebio5_0_2_7.cab Gruß Rokka P.S. bei meinem Link mußt du nix bezahlen ;-) |
|
|
|
|
|
|
14.02.2004, 13:35
Moderator
Themenstarter Beiträge: 7805 |
#129
Starte deinen Rechner im abgesicherten Modus und fixe dort folgendes:
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://66.40.21.68/search.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://66.40.21.68/search.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://66.40.21.68/search.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.einsundeins.com R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://66.40.21.68/search.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe O4 - HKLM\..\Run: [FastUser] C:\WINDOWS\System32\fast.exe O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\System32\SysUpd.exe Schicke dann bitte folgende Datei an die adresse aus meinem Profil, oder an virus@protecus.de C:\WINDOWS\System32\taskswitch.exe C:\WINDOWS\System32\fast.exe C:\WINDOWS\System32\SysUpd.exe P.S. bei meinem Link auch nicht, wenn du die low Variante nimmst, die genauso lam ist, wie die aus deinem Link! __________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
14.02.2004, 15:54
...neu hier
Beiträge: 9 |
#130
Hi Raman,
ich hab dir die 3 Dateien an deine email aus dem Profil geschickt... ansonsten hab ich die entsprechenden einträge gefixt...aber auf Spyware komm ich trotzdem nicht :-O Gruß Rokka |
|
|
|
|
|
|
14.02.2004, 18:19
...neu hier
Beiträge: 4 |
#131
Hi Raman!
Also hab jetzt alle Programme die auf rokop-security standen scanen lassen und alles gelöscht was sie gefunden haben. Vielleicht kannst du ja nochmal schauen ob du noch was findest was ich noch löschen soll. Auf jeden Fall schon mal Danke :-) Logfile of HijackThis v1.97.7 Scan saved at 18:16:51, on 14.02.2004 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\SSDPSRV.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\VS7DEBUG\MDM.EXE C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE C:\WINDOWS\SYSTEM\CTFMON.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\WINDOWS\WUAUCLT.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\WINDOWS\SYSTEM\PSTORES.EXE C:\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.scourweb.net/nph-search.cgi?partner=wesb1&look=sbar1_srchbtn R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.scourweb.net/nph-search.cgi?partner=wesrch1&look=stmpl1&kw= R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.firemail.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.scourweb.net/nph-search.cgi?partner=wesrch1&look=stmpl1&kw= R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.scourweb.net/nph-search.cgi?partner=wesb1&look=sbar1_srchbtn R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.scourweb.net/nph-search.cgi?partner=wesrch1&look=stmpl1&kw= R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.scourweb.net/nph-search.cgi?partner=wesrch1&look=stmpl1&kw= R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.scourweb.net/nph-search.cgi?partner=wesrch1&look=stmpl1&kw= R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.scourweb.net/nph-search.cgi?partner=wesrch1&look=stmpl1&kw= R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = 192.168.100.254 R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {31064F72-FD63-4B49-94C8-D6154745309F} - C:\WINDOWS\SYSTEM\OTIJY.DLL O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~2\SPYBOT~1\SDHELPER.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\SYSTEM\pmxinit.exe -SetupRunOnce O4 - HKLM\..\Run: [BearShare] C:\PROGRAMME\BEARSHARE\BEARSHARE.EXE /pause O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~2\ICQ\ICQNet.exe O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe O4 - HKLM\..\RunServices: [MOSearch] C:\PROGRA~1\GEMEIN~1\SYSTEM\MOSEARCH\BIN\MOSEARCH.EXE O4 - HKLM\..\RunServices: [MDM7] "C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\VS7DEBUG\MDM.EXE" O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe O4 - HKLM\..\RunOnce: [PMXInit] C:\WINDOWS\SYSTEM\pmxinit.exe O4 - HKLM\..\RunOnce: [Ad-aware] "C:\PROGRAMME\LAVASOFT\AD-AWARE 6\AD-AWARE.EXE" "+b1" O4 - HKLM\..\RunOnce: [SpyBotSnD] "C:\PROGRAMME\SPYBOT - SEARCH & DESTROY\SPYBOTSD.EXE" /autocheck O4 - Startup: EPSON Background Monitor.lnk = C:\ESM2\Stms.exe O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Startup: WAVEline Wireless USB Adapter.lnk = C:\Programme\Compu-Shack\WAVEline Wireless USB Adapter\usbu.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000 O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: MSN Messenger Service (HKLM) O9 - Extra button: ICQ Pro (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O9 - Extra button: Recherche-Assistent (HKLM) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?37892.1177083333 O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/1859307ee820c99a1418/netzip/RdxIE601_de.cab O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 62.225.252.244,194.25.1.129 Gruß Jule |
|
|
|
|
|
|
14.02.2004, 19:20
Moderator
Themenstarter Beiträge: 7805 |
#132
Starte deinen Rechner im abgesicherten Modus und "fix"e dieses:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.scourweb.net/nph-search.cgi?partner=wesb1&look=sbar1_srchbtn R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.scourweb.net/nph-search.cgi?partner=wesrch1&look=stmpl1&kw= R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.firemail.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.scourweb.net/nph-search.cgi?partner=wesrch1&look=stmpl1&kw= R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.scourweb.net/nph-search.cgi?partner=wesb1&look=sbar1_srchbtn R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.scourweb.net/nph-search.cgi?partner=wesrch1&look=stmpl1&kw= R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.scourweb.net/nph-search.cgi?partner=wesrch1&look=stmpl1&kw= R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.scourweb.net/nph-search.cgi?partner=wesrch1&look=stmpl1&kw= R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.scourweb.net/nph-search.cgi?partner=wesrch1&look=stmpl1&kw= R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {31064F72-FD63-4B49-94C8-D6154745309F} - C:\WINDOWS\SYSTEM\OTIJY.DLL O4 - HKLM\..\Run: [BearShare] C:\PROGRAMME\BEARSHARE\BEARSHARE.EXE /pause O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\RunServices: [MOSearch] C:\PROGRA~1\GEMEIN~1\SYSTEM\MOSEARCH\BIN\MOSEARCH.EXE O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/1859307ee820c99a1418/netzip/RdxIE601_de.cab Es waere nett, wenn du diese Dateien, nach einem Neustart an virus@protecus.de oder an die Adresse in meinem Profil schicken koenntest: C:\WINDOWS\SYSTEM\CTFMON.EXE C:\WINDOWS\SYSTEM\OTIJY.DLL C:\PROGRA~1\GEMEIN~1\SYSTEM\MOSEARCH\BIN\MOSEARCH.EXE @rokka zur Info. Das waren einmal ein Coolwebsearch hijacker und eine "Werbeprogramm" welches Kaspersky als Adware.tscash identifiziert. __________ MfG Ralf SEO-Spam Hunter Dieser Beitrag wurde am 14.02.2004 um 19:22 Uhr von raman editiert.
|
|
|
|
|
|
|
14.02.2004, 20:47
...neu hier
Beiträge: 9 |
#133
Hi Raman,
du meinst doch die 3 Dateien die ich dir geschickt habe oder? Die habe ich immer noch auf dem Rechner. Ich hab sie gefixt und dann an dichgeschickt...soll ich die 3 jetzt löschen ??? Vielen Dank nochmal Gruß Rokka |
|
|
|
|
|
|
14.02.2004, 20:58
Moderator
Themenstarter Beiträge: 7805 |
#134
Ja, bis auf die fast.exe. Das scheint eine Datei von Microsoft zu sein.
__________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
14.02.2004, 21:36
...neu hier
Beiträge: 9 |
#135
...Ok wird gemacht...
Vielen Dank noch mal für deine Mühen ;-) noch ein schönes Wochenende und feier gut! |
|
|
|
|
|
Ist also der selbe...Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
du mußt nach dem scan mit hijackthis auf "save log" drücken und dort kannst du das file dann kopieren
MfG aryn
__________
Vielleicht ist es so, dass in den Momenten, wo wir uns am stärksten fühlen, wir am schwächsten sind. (AND ONE)