Home » Spyware & Browser Hijacker Support Forum » Startseite im IE verändert sich permanent selbst » Themenansicht
Startseite im IE verändert sich permanent selbst |
||
|---|---|---|
| #0
| ||
|
14.01.2004, 10:56
...neu hier
Beiträge: 8 |
||
 
|
|
|
|
22.01.2004, 15:35
...neu hier
Beiträge: 1 |
#32
tach leutz, habe das selbe problem mit search-space.com. Ich habe mir das log mal gezogen nur leider finde ich keinen Link und auch keine navext.dll gelistet. hier das log dazu:
Logfile of HijackThis v1.97.7 Scan saved at 12:36:03, on 22.01.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\System32\mspmspsv.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\WINNT\System32\atiptaxx.exe C:\WINNT\Mixer.exe C:\WINNT\System32\internat.exe C:\Programme\Microsoft Office\Office\EXCEL.EXE C:\WINNT\System32\MsiExec.exe C:\WINNT\system32\ntvdm.exe C:\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.webtvparty.com/search.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.webtvparty.com/searchbar.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.webtvparty.com/searchbar.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.webtvparty.com/searchbar.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.webtvparty.com/searchbar.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer by Maxdata O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: (no name) - {CD4C3CF0-4B15-11D1-ABED-709549C10000} - C:\Programme\Go!Zilla\GoIEHlp.dll (file missing) O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb05.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - Startup: Microsoft Outlook.lnk = C:\Programme\Microsoft Office\Office\OUTLOOK.EXE O4 - Startup: FRITZ!web.lnk = C:\Programme\FRITZ!\FriWeb32.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Download with Go!Zilla - file://C:\Programme\Go!Zilla\download-with-gozilla.html O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O17 - HKLM\System\CCS\Services\Tcpip\..\{08E1EC85-4D6A-41C0-BA01-35BC867B3D84}: NameServer = 192.168.120.252,192.168.120.253 O17 - HKLM\System\CCS\Services\Tcpip\..\{17B15F41-1D1E-462F-BEB9-7603E1AFFD2B}: NameServer = 192.168.1.254 O17 - HKLM\System\CCS\Services\Tcpip\..\{79D10E5F-150E-4B53-9C0A-34BF42FC3C54}: NameServer = 128.1.1.254 O17 - HKLM\System\CS1\Services\Tcpip\..\{08E1EC85-4D6A-41C0-BA01-35BC867B3D84}: NameServer = 192.168.120.252,192.168.120.253 O17 - HKLM\System\CS2\Services\Tcpip\..\{08E1EC85-4D6A-41C0-BA01-35BC867B3D84}: NameServer = 192.168.120.252,192.168.120.253 Klar ist mir, dass ich diese webtvlinks rausnehmen muss, werde ich auch nun machen. aber wo ist diese dll? bzw, ich bekomme eine meldung vom antivirus, dass diese datei nicht sicher ist. |
|
|
|
|
|
|
22.01.2004, 15:45
Moderator
Beiträge: 7805 |
#33
Okay, welches AV meldet welche DLL? Poste mal (aus reiner neugier) eine Startuplist mit Hijackthis log. Das geht ueber Config/misc tools, generate startuplist.
Danach kannst du cwshredder nehmen zum entfernen oder dein AV Programm. Letzteres musst du wohl im abgesicherten Modus nutzen, damit es klappt. CWshredder: http://merijn.org/cwschronicles.html#cwshredder __________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
07.02.2004, 22:03
...neu hier
Beiträge: 2 |
#34
Hi Leute wie es aussieht bin ich auch ein Opfer des Browser Hijacking. Ich habe schon einen Antivierenscan mit der neusten AntiVir Software gemacht, einen Scan mit der neusten Ad Aware Software, einen Scan mit SpyBot 1.2 (nicht die neuste Version weil der Updateserver anscheinend down ist), dann hab ich noch die neuste Version des CWShredders durchlaufen lassen aber all das ohne Erfolg. Hijack this liefert schließlich folgendes:
Logfile of HijackThis v1.97.7 Scan saved at 21:14:43, on 07.02.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE F:\Programme\Logitch\iTouch\iTouch.exe C:\WINDOWS\System32\Ati2evxx.exe f:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Internet Explorer\iexplore.exe G:\Downloads\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mysite.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mysite.com R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = ftp://rene@aldi/ O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - f:\programme\Adobe Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [zBrowser Launcher] F:\Programme\Logitch\iTouch\iTouch.exe O9 - Extra button: ICQ Pro (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab Wäre echt cool wenn mir jemand von euch helfen könnte. |
|
|
|
|
|
|
08.02.2004, 08:25
Moderator
Beiträge: 7805 |
#35
Hm, das log ist nicht komplett, da fehlt einiges. Starte deinen Rechner mal im abgesicherten Modus und mache dann nochmal ein Hijackthis log.
Du muesstest dein Windows noch mal updaten. __________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
08.02.2004, 13:16
...neu hier
Beiträge: 9 |
#36
Hallo,
nun habe ich Cwshredder, Adaware, Spyboot und Antivir in aktueller Form laufen lassen, (haben einiges gefunden und gelöscht, und trotzdem versuchen immer noch einige Prozesse sich ins Internet einzuwählen. Im wesentlichen ist es die Svchost.exe, die nach dem Zulassen verhindert, dass sich der IE mit dem Internet (via Fritz-Card) verbinden kann. Hier mein HijackThis-Log: Logfile of HijackThis v1.97.7 Scan saved at 13:14:02, on 08.02.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\logonui.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\D-Tools\daemon.exe C:\PROGRA~1\0190WA~1\WARN0190.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe C:\Programme\FRITZ!\IWatch.exe C:\PROGRA~1\0190WA~1\w0svc.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Promise\FastTrak\FtrakSvc.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\McAfee\McAfee Firewall\CPD.EXE C:\Programme\McAfee\McAfee Firewall\CPD.EXE C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\system32\mspaint.exe C:\WINDOWS\System32\svchost.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = <local> R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=runonce&pver=6.0&plcid=0x0407 O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file) O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O17 - HKLM\System\CCS\Services\Tcpip\..\{FBF79E5E-BF82-4C13-B934-CCF2818169FC}: NameServer = 192.168.120.252,192.168.120.253 Wer kann helfen? |
|
|
|
|
|
|
08.02.2004, 15:11
...neu hier
Beiträge: 2 |
#37
HI hab mein Windows jetzt mal geupt und ne log im abgesicherten modus erstellt doch die liefert auch nicht wirklich mehr
Logfile of HijackThis v1.97.7 Scan saved at 15:06:36, on 08.02.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE G:\Downloads\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mysite.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mysite.com R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = ftp://rene@aldi/ O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - f:\programme\Adobe Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [zBrowser Launcher] F:\Programme\Logitch\iTouch\iTouch.exe O9 - Extra button: ICQ Pro (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38025.1143865741 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab aber vielleicht hilfts ja trotzdem |
|
|
|
|
|
|
08.02.2004, 15:45
Moderator
Beiträge: 7805 |
#38
Viel aktualisiert(windows) hast du aber nicht. Immer noch kein SP1, genauso wie beim IE. Es fehlen immer noch die aufrufe von Antivir unter "O4", komisch.... .
Was man aus den Logs sehen kann, ist dein Rechner sauber. __________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
08.02.2004, 19:15
...neu hier
Beiträge: 2 |
#39
Logfile of HijackThis v1.97.7
Scan saved at 19:09:35, on 08.02.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\sstray.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\tppaldr.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\rundll.exe E:\Shrouded Isles\game.dll C:\Programme\Teamspeak2_RC2\TeamSpeak.exe C:\WINDOWS\winhlp32.exe C:\WINDOWS\winhlp32.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\tilt\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://webcoolsearch.com/?id=54 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://webcoolsearch.com/?id=54 O1 - Hosts: 213.159.117.235 auto.search.msn.com O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [TPP Auto Loader] C:\WINDOWS\tppaldr.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [rundll] rundll.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [Winsock2 driver] AMSNMGR.EXE O4 - HKLM\..\RunServices: [rundll] rundll.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [System Update] C:\WINDOWS\System\taskmon.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{133D1417-FE5A-4127-921C-750F1E08B00A}: NameServer = 213.148.129.10 213.148.130.10 O17 - HKLM\System\CS1\Services\Tcpip\..\{133D1417-FE5A-4127-921C-750F1E08B00A}: NameServer = 213.148.129.10 213.148.130.10 O17 - HKLM\System\CS2\Services\Tcpip\..\{133D1417-FE5A-4127-921C-750F1E08B00A}: NameServer = 213.148.129.10 213.148.130.10 O19 - User stylesheet: C:\WINDOWS\hh.htt (HKLM) Bitte, helft mir...weiss nicht weiter 
|
|
|
|
|
|
|
08.02.2004, 20:32
Moderator
Beiträge: 7805 |
#40
http://www.merijn.org/files/CWShredder.exe nutzen und dann bitte ein neues Log posten.
 Und den Rest dieser Infos abarbeiten: http://board.protecus.de/t9373.htm __________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
08.02.2004, 21:20
...neu hier
Beiträge: 2 |
#41
CWShredder v1.48.1 scan only report
Windows XP (5.01.2600 SP1) Windows dir: C:\WINDOWS Windows system dir: C:\WINDOWS\system32 AppData folder: C:\Dokumente und Einstellungen\tilt\Anwendungsdaten Username: tilt Infected Registry value: HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak Infected data: http://webcoolsearch.com/?id=54 Infected Registry value: HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP Infected data: http://webcoolsearch.com/?id=54 Found Hosts file: C:\WINDOWS\system32\drivers\etc\hosts (56 bytes, R) Shell Registry value: HKLM\..\WinLogon [Shell] Explorer.exe UserInit Registry value: HKLM\..\WinLogon [UserInit] C:\WINDOWS\system32\userinit.exe, Registry value: Stylesheet (HKLM) [User Stylesheet] C:\WINDOWS\hh.htt Found file: C:\WINDOWS\hh.htt (486 bytes, RH) Registry value: DefaultPrefix (should be http://) [] http:// Registry value: WWW Prefix (should be http://) [www] http:// Registry value: Mosaic Prefix (should be http://) [mosaic] http:// Registry value: Home Prefix (should be http://) [home] http:// Found Win.ini file: C:\WINDOWS\win.ini (472 bytes, A) Found System.ini file: C:\WINDOWS\system.ini (250 bytes, A) - END OF REPORT - |
|
|
|
|
|
|
08.02.2004, 21:56
Moderator
Beiträge: 7805 |
#42
Ich hoffe du hast nicht nur den Report gemacht, sondern CWshredder den Uebelaeter killen lassen!?
Danach bitte ein neues Hijackthis log posten. Es kann sein, das da noch mehr uebrig geblieben ist. Dein Antivir ist auf dem neusten stand? __________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
09.02.2004, 01:54
...neu hier
Beiträge: 2 |
#43
Hallo!
Ich hab ein ähnliches Problem mit der veränderten Startseite und oftmaligem extrem langsamen Reagieren der Adresszeile auf Eingaben. Hab Antivir aufm neuestem Stand, Ad-Aware, Spybot und CWShredder. Soeben einen Trojaner gekillt, das Hijackdings kann der shredder aber komischerweise nicht fixen. Hier mein Log, bitte um Hilfe! Logfile of HijackThis v1.97.7 Scan saved at 01:44:38, on 09.02.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\CTHELPER.EXE C:\Programme\Ahead\InCD\InCD.exe C:\Programme\ZoneAlarm\zlclient.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\InterChat3\IC3.exe C:\Programme\FRITZ!\FriWeb32.exe C:\Programme\ACD Systems\ImageFox\ImageFox.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\CTsvcCDA.EXE C:\WINDOWS\System32\gearsec.exe C:\WINDOWS\system32\ZONELABS\vsmon.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchcentral.cc/search.php?v=4&aff=3806 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchcentral.cc/index.php?v=4&aff=3806 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://searchcentral.cc/index.php?v=4&aff=3806 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\System32\pmxinit.exe O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Inter-Chat] C:\Programme\InterChat3\IC3 O4 - Global Startup: FRITZ!web.lnk = C:\Programme\FRITZ!\FriWeb32.exe O4 - Global Startup: ImageFox.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRA~1\FLASHGET\jc_all.htm O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRA~1\FLASHGET\jc_link.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: FlashGet (HKLM) O9 - Extra 'Tools' menuitem: &FlashGet (HKLM) O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/swdir.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{29C42BB7-3B65-49DF-BFF2-10326F8F0DCE}: NameServer = 192.168.120.252,192.168.120.253 O17 - HKLM\System\CS1\Services\Tcpip\..\{29C42BB7-3B65-49DF-BFF2-10326F8F0DCE}: NameServer = 192.168.120.252,192.168.120.253 O17 - HKLM\System\CS2\Services\Tcpip\..\{29C42BB7-3B65-49DF-BFF2-10326F8F0DCE}: NameServer = 192.168.120.252,192.168.120.253 |
|
|
|
|
|
|
09.02.2004, 03:55
...neu hier
Beiträge: 4 |
#44
Hallo
Ich weiß nicht so recht in welchem thread ich das posten soll, aber da es mit dem IE zu tun hat wäre wohl hier am besten. Anyway und zwar öffnet mein IE überhaupt keine seiten mehr, es kommt immer die seite kann nicht gefunden werden. Hier mein log. Ich hab auch schon einige einstellungen ausprobiert aber ohne erfolg. Vielleicht kann mir einer von euch helfen Logfile of HijackThis v1.97.7 Scan saved at 03:50:04, on 09.02.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe C:\WINDOWS\system32\slserv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\WINDOWS\wanmpsvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe C:\WINDOWS\System32\ezSP_Px.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Microsoft IntelliPoint\point32.exe C:\Programme\AOL 8.0\aoltray.exe C:\Programme\AOL 8.0\waol.exe C:\Programme\AOL 8.0\shellmon.exe C:\Programme\Messenger\msmsgs.exe C:\Dokumente und Einstellungen\Achim\Eigene Dateien\Bittorrent files\HijackThis.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:7212 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: (no name) - {9527D42F-D666-11D3-B8DD-00600838CD5F} - C:\WINDOWS\System32\IETie.dll O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe" O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe" O4 - HKLM\..\Run: [MediaKey] C:\PROGRA~1\MediaKey\MediaKey.EXE O4 - Global Startup: AOL 8.0 Tray-Symbol.lnk = C:\Programme\AOL 8.0\aoltray.exe O8 - Extra context menu item: Download All by FlashGet - C:\Programme\FlashGet\jc_all.htm O8 - Extra context menu item: Download using FlashGet - C:\Programme\FlashGet\jc_link.htm O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM) O9 - Extra button: ICQ Lite (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O9 - Extra button: Real.com (HKLM) O9 - Extra button: FlashGet (HKLM) O9 - Extra 'Tools' menuitem: &FlashGet (HKLM) O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab O16 - DPF: {02BCC737-B171-4746-94C9-0D8A0B2C0089} (Microsoft Office Template and Media Control) - http://office.microsoft.com/templates/ieawsdc.cab O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst0309.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38024.6155787037 O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab O16 - DPF: {B942A249-D1E7-4C11-98AE-FCB76B08747F} (RealArcadeRdxIE Class) - http://games-dl.real.com/gameconsole/Bundler/CAB/RealArcadeRdxIE.cab O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} - http://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{621481C2-2F4F-48C2-B03F-6E159EC021D4}: NameServer = 195.93.68.134 |
|
|
|
|
|
|
09.02.2004, 05:38
Moderator
Beiträge: 7805 |
#45
Schlecht zu sagen, aber kopiere Hijackthis in einen Extra Ordner und lasse dann folgendes fixen:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:7212 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: (no name) - {9527D42F-D666-11D3-B8DD-00600838CD5F} - C:\WINDOWS\System32\IETie.dll Danach lies dich hier mal durch: http://board.protecus.de/t9373.htm __________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
dank dir. falls du mal was wissen, hab von anderen sachen ne menge ahnung.
einfach fragen.
grosses thx
gruss sonique