hand-book.com CWS Problem |
||
---|---|---|
#0
| ||
05.02.2004, 21:31
...neu hier
Beiträge: 6 |
||
|
||
06.02.2004, 20:00
...neu hier
Beiträge: 1 |
#17
Hi! Bei mir zeigt sich das gleiche Problem. IE ist total langsam, die Eingaben erscheinen viel zu spät und wenn ich in die Adressleiste eine Adresse eingebe und auf "Enter" oder "Wechseln zu" drücke, passiert gar nichts. ehttp.cc wählt sich auch dazwischen und nach jedem neustart hat sich meine Startseite automatisch geändert. Komme nur noch über Favoriten oder Suchmaschine zu den gewollten Pages. Guckt mal bitte jemand über meine hijackthis?
Logfile of HijackThis v1.97.7 Scan saved at 19:54:42, on 06.02.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE C:\Programme\MultiMedia Keyboard\MultiMedia Keyboard\1.0\KbdAp32A.exe C:\Programme\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe C:\Programme\Hewlett-Packard\PhotoSmart\HP Share-to-Web\hpgs2wnd.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\PROGRA~1\HEWLET~1\PHOTOS~1\HPSHAR~1\hpgs2wnf.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE C:\WINDOWS\System32\svchost.exe C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\PROGRA~1\WINZIP\winzip32.exe C:\PROGRA~1\WINZIP\winzip32.exe C:\Programme\Outlook Express\msimn.exe C:\trojaner\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.haflinger-kremser.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R1 - HKCU\Software\Microsoft\Internet Explorer,SearchAssistant = , R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = , R3 - URLSearchHook: (no name) - {6CC1C918-AE8B-4373-A5B4-28BA1851E39A} - (no file) O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE O4 - HKLM\..\Run: [LWBKEYBOARD] C:\Programme\MultiMedia Keyboard\MultiMedia Keyboard\1.0\KbdAp32A.exe O4 - HKLM\..\Run: [CXMon] "C:\Programme\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe" O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\PhotoSmart\HP Share-to-Web\hpgs2wnd.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe O4 - HKLM\..\Run: [Truefonts] C:\WINDOWS\Fonts\fonts.hta O4 - HKCU\..\RunOnce: [sounddrv] C:\WINDOWS\system32\sndbdrv3104.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: ICQ (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O13 - DefaultPrefix: http://%65%68%74%74%70%2E%63%63/? O13 - WWW Prefix: http://%65%68%74%74%70%2E%63%63/? O13 - WWW. Prefix: http://%65%68%74%74%70%2E%63%63/? O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom.de/ieloader.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{96B987A6-F2E5-435E-8945-0324B35AEB25}: NameServer = 217.5.115.77 194.25.2.129 O19 - User stylesheet: C:\WINDOWS\my.css O19 - User stylesheet: C:\WINDOWS\my.css (HKLM) Vielen Dank! |
|
|
||
06.02.2004, 20:14
Moderator
Beiträge: 7805 |
#18
Folgendes bitte fixen:
O4 - HKLM\..\Run: [Truefonts] C:\WINDOWS\Fonts\fonts.hta O13 - DefaultPrefix: http://%65%68%74%74%70%2E%63%63/? O13 - WWW Prefix: http://%65%68%74%74%70%2E%63%63/? O13 - WWW. Prefix: http://%65%68%74%74%70%2E%63%63/? O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom.de/ieloader.cab R3 - URLSearchHook: (no name) - {6CC1C918-AE8B-4373-A5B4-28BA1851E39A} - (no file) O19 - User stylesheet: C:\WINDOWS\my.css O19 - User stylesheet: C:\WINDOWS\my.css (HKLM) dann bitte hier durcharbeiten: http://board.protecus.de/t9373.htm Ein Virenscanner waere auch nicht schlecht. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
06.02.2004, 20:45
...neu hier
Beiträge: 2 |
#19
Hallo zusammen,
Ich bin heute zum ersten mal hier (habe mich vor der Anmeldung natürlich schon mal durchgelesen) und will hier mal mein Prob. posten. Ich kriege immer eine "fremde Startseite" d.h. ich lege eine Startseite fest, aber wenn ich mich aus dem Netz ausklinke und wieder einwähle habe ich die gleiche Seite wieder... !?! (muß zugeben bin gelegentlich auch mal auf "Schmuddelseiten") Hier mein Log (wie das geht habe ich mir schon "erlesen") Wäre nett wenn sich was machen lassen könnte. Gruß : Jörg Logfile of HijackThis v1.97.7 Scan saved at 20:46:55, on 06.02.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\WINDOWS\System32\Ati2evxx.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\SYSTEM32\GEARSEC.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\FRITZ!DSL\Awatch.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\WinZip\WZQKPICK.EXE C:\Programme\Microsoft Office\Office\FINDFAST.EXE C:\Programme\Microsoft Office\Office\OSA.EXE C:\Programme\T-DSL SpeedManager\tsmsvc.exe C:\Programme\1&1 Internet\Profi-Dialer\ProfiDialer.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe G:\programme\Hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://webcoolsearch.com/?id=54 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://htbius.t.muxa.cc/s.php?aid=227 (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://htbius.t.muxa.cc/s.php?aid=227 (obfuscated) R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://htbius.t.muxa.cc/s.php?aid=227 (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://htbius.t.muxa.cc/h.php?aid=227 (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://htbius.t.muxa.cc/s.php?aid=227 (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://htbius.t.muxa.cc/s.php?aid=227 (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://htbius.t.muxa.cc/s.php?aid=227 (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://htbius.t.muxa.cc/h.php?aid=227 (obfuscated) R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.1und1.com/d1redirect O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe" O4 - HKLM\..\Run: [windows auto update] msblast.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [sys] regedit -s sys.reg O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38022.6477893519 O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab O16 - DPF: {BD11A280-2E73-11CF-B6CF-00AA00A74DAE} - file://C:\Info_sex4.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{03ACB17B-DE8D-400B-838A-E645C7EB0D2B}: NameServer = 212.185.252.201 194.25.2.129 O17 - HKLM\System\CCS\Services\Tcpip\..\{4D50615A-0A28-4C85-A37B-C80FA9DA96B5}: NameServer = 192.168.122.252,192.168.122.253 O17 - HKLM\System\CS3\Services\Tcpip\..\{03ACB17B-DE8D-400B-838A-E645C7EB0D2B}: NameServer = 212.185.252.201 194.25.2.129 Danke schon mal |
|
|
||
06.02.2004, 21:00
Member
Beiträge: 1095 |
#20
Bitte dies fixen
O4 - HKLM\..\Run: [windows auto update] msblast.exe Dann neustart Bitte das durcharbeiten http://board.protecus.de/t9373.htm Wenn dann einer dieser Einträge noch da ist, mit HijackThis fixen R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://webcoolsearch.com/?id=54 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://htbius.t.muxa.cc/s.php?aid=227 (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://htbius.t.muxa.cc/s.php?aid=227 (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://htbius.t.muxa.cc/s.php?aid=227 (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://htbius.t.muxa.cc/h.php?aid=227 (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://htbius.t.muxa.cc/s.php?aid=227 (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://htbius.t.muxa.cc/s.php?aid=227 (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://htbius.t.muxa.cc/s.php?aid=227 (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://htbius.t.muxa.cc/h.php?aid=227 (obfuscated) O4 - HKLM\..\Run: [sys] regedit -s sys.reg O16 - DPF: {BD11A280-2E73-11CF-B6CF-00AA00A74DAE} - file://C:\Info_sex4.cab Neustart Danach nochmal Log Posten __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
06.02.2004, 21:34
...neu hier
Beiträge: 2 |
#21
Hi,
Habe getan wie mir aufgetragen, (man lernt nie aus...) Hier mein neues Log. Logfile of HijackThis v1.97.7 Scan saved at 21:31:40, on 06.02.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\WINDOWS\System32\Ati2evxx.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\SYSTEM32\GEARSEC.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\FRITZ!DSL\Awatch.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\WinZip\WZQKPICK.EXE C:\Programme\Microsoft Office\Office\FINDFAST.EXE C:\Programme\Microsoft Office\Office\OSA.EXE C:\Programme\T-DSL SpeedManager\tsmsvc.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe G:\programme\Hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.1und1.com/d1redirect O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe" O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38022.6477893519 O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{4D50615A-0A28-4C85-A37B-C80FA9DA96B5}: NameServer = 192.168.122.252,192.168.122.253 Das sieht schon besser aus (das sehe sogar ich als Newbie) Gruß : Jörg Dieser Beitrag wurde am 07.02.2004 um 08:23 Uhr von prucker13 editiert.
|
|
|
||
28.02.2004, 20:05
...neu hier
Beiträge: 3 |
#22
Hei,
ich habe heute auch mein erstes Problem mit Trojaner zu melden... Bis jetzt noch Glück gehabt, heute nicht mehr.. Hier mein Hijack: Logfile of HijackThis v1.97.7 Scan saved at 20:01:48, on 28.02.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\LEXBCES.EXE C:\WINNT\system32\spoolsv.exe C:\WINNT\system32\LEXPPS.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINNT\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE C:\WINNT\system32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\WINNT\System32\LXSUPMON.EXE C:\WINNT\system32\MMTray2k.exe C:\WINNT\system32\MMTrayLSI.exe C:\WINNT\system32\SysUpd.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Program Files\N-case\msbb.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINNT\system32\P2P Networking\P2P Networking.exe C:\Program Files\Internet Optimizer\optimize.exe C:\WINNT\wt\updater\wcmdmgr.exe C:\Programme\Hotbar\bin\4.4.2.0\HbInst.exe C:\WINNT\system32\ctfmon.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Hotbar\bin\4.4.2.0\HbSrv.exe C:\Programme\ICQ\Icq.exe E:\Programme\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.blazefind.com/search.php?search=%s R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.blazefind.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.hotbar.com/dyn/hotbar/3.0/sb_searchPageHome.htm R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.blazefind.com R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) R3 - URLSearchHook: (no name) - _{A045DC85-FC44-45be-8A50-E4F9C62C9A84} - (no file) F1 - win.ini: run=c:\winnt\system32\mswavedll.exe O2 - BHO: (no name) - {000006B1-19B5-414A-849F-2A3C64AE6939} - C:\WINNT\bi.dll O2 - BHO: NavErrRedir Class - {0428FFC7-1931-45b7-95CB-3CBB919777E1} - (no file) O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {47CC9CB5-6DCA-F3E3-0B76-39ABC0B8BC43} - C:\WINNT\system32\txkdhlip.dll (file missing) O2 - BHO: (no name) - {53D3C442-8FEE-4784-9A21-6297D39613F0} - C:\WINNT\system32\Winad2.dll O2 - BHO: Freedom BHO - {56071E0D-C61B-11D3-B41C-00E02927A304} - C:\Programme\Zero Knowledge\Freedom\FreeBHOR.dll O2 - BHO: (no name) - {71ED4FBA-4024-4bbe-91DC-9704C93F453E} - (no file) O2 - BHO: (no name) - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINNT\wsem217.dll O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: Hotbar - {B195B3B3-8A05-11D3-97A4-0004ACA6948E} - C:\Programme\Hotbar\bin\4.4.2.0\HbHostIE.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O2 - BHO: (no name) - {DC6F8BCE-1CEC-DB9B-0B5F-0E93B6BDFF7A} - C:\WINNT\system32\dcmaxlvl.dll O2 - BHO: (no name) - {F7F808F0-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINNT\nem214.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O3 - Toolbar: &Hotbar - {B195B3B3-8A05-11D3-97A4-0004ACA6948E} - C:\Programme\Hotbar\bin\4.4.2.0\HbHostIE.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [LXSUPMON] C:\WINNT\System32\LXSUPMON.EXE RUN O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [MMTray2K] MMTray2k.exe O4 - HKLM\..\Run: [MMTrayLSI] MMTrayLSI.exe O4 - HKLM\..\Run: [SysUpd] C:\WINNT\system32\SysUpd.exe O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot O4 - HKLM\..\Run: [relkpohw] C:\WINNT\udpcudgf.exe O4 - HKLM\..\Run: [msbb] C:\Program Files\N-case\msbb.exe O4 - HKLM\..\Run: [DKRYCJL] C:\WINNT\DKRYCJL.exe O4 - HKLM\..\Run: [Belt] C:\WINNT\Belt.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE O4 - HKLM\..\Run: [] c:\WINNT\System32\ O4 - HKLM\..\Run: [nvid] C:\WINNT\system32\vxaihfqs.exe O4 - HKLM\..\Run: [blss] C:\Programme\blss\blss.exe O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [P2P Networking] C:\WINNT\system32\P2P Networking\P2P Networking.exe /AUTOSTART O4 - HKLM\..\Run: [QuickTime Task] "E:\programme\qttask.exe" -atboottime O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe" O4 - HKLM\..\Run: [wcmdmgr] C:\WINNT\wt\updater\wcmdmgrl.exe -launch O4 - HKLM\..\Run: [Mswavedll] c:\winnt\system32\mswavedll.exe O4 - HKLM\..\Run: [Hotbar] C:\Programme\Hotbar\bin\4.4.2.0\HbInst.exe /Upgrade O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe O4 - HKCU\..\Run: [] c:\WINNT\System32\ O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [Mswavedll] c:\winnt\system32\mswavedll.exe O4 - Startup: PowerReg Scheduler V3.exe O4 - Startup: PowerReg Scheduler.exe O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Bild in &Microsoft PhotoDraw öffnen - res://C:\PROGRA~1\MICROS~2\Office\1031\phdintl.dll/phdContext.htm O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: ICQ Pro (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O9 - Extra button: AIM (HKLM) O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {00000000-ABBA-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://dialer.memberarea.tv/IEloader.cab O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom.de/ieloader.cab O16 - DPF: {02BCC737-B171-4746-94C9-0D8A0B2C0089} (Microsoft Office Template and Media Control) - http://office.microsoft.com/templates/ieawsdc.cab O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://imgfarm.com/images/nocache/funwebproducts/MyMailStationeryInitialSetup1.0.0.6.cab O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) - O16 - DPF: {4B6015E7-3ABB-45DC-96B7-55A843751F28} (IntRuboskizo2 Class) - http://www.contenidospc.com/ruboskizo2.cab O16 - DPF: {52290B25-D07A-43B5-84D8-493116D50FA0} (WebPlugin Class) - http://webinstall.tscash.com/webinstall.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/043898cef6afd441b921/netzip/RdxIE601_de.cab O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20030625/qtinstall.info.apple.com/abarth/de/win/QuickTimeInstaller.exe O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37926.9084490741 O16 - DPF: {A0FEEBD0-29C4-DD14-0F5F-B1EEEB6BCF52} (DownloadUL Class) - http://public.searchbarcash.com/cab/016/gsqimkqo.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://active.macromedia.com/flash2/cabs/swflash.cab O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.serviceurl.de/StarInstall.ocx O16 - DPF: {FC87A650-207D-4392-A6A1-82ADBC56FA64} (MultiDist) - http://xbs.mtree.com/mt/dialers/fc/MultiDistFC.CAB HILFE! |
|
|
||
28.02.2004, 20:28
Moderator
Beiträge: 7805 |
#23
Bitte mal hier durcharbeiten. Besonders den Teil mit CWShredder: http://board.protecus.de/t9373.htm
Dann einen Onlinescann mit Trend und RAV machen: http://www.bul-online.de/av/onlinescan.shtml Danach bitte ein aktuelles log posten. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
29.02.2004, 17:39
...neu hier
Beiträge: 3 |
#24
Hi,
ich habe alles gemacht, Virenscannen usw. RAVAntiVir findet noch die 2 infizierte Dateien, aber ich finde sie nicht und auch kein anderes Programm. Wie werde ich sie los? C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\~alstmp.exe->(UPXW) - ToolornDialer.gen! -> Infected C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\~alstmp.exe_->(UPXW) - ToolornDialer.gen! -> Infected Hier auch mein aktuellste Logdatei: Logfile of HijackThis v1.97.7 Scan saved at 17:32:41, on 29.02.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\LEXBCES.EXE C:\WINNT\system32\spoolsv.exe C:\WINNT\system32\LEXPPS.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe E:\Programme\AVKService.exe E:\Programme\AVKWCtl.exe C:\WINNT\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE C:\WINNT\system32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\WINNT\System32\LXSUPMON.EXE C:\WINNT\system32\MMTray2k.exe C:\WINNT\system32\MMTrayLSI.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe E:\Programme\AVKPOP.EXE C:\WINNT\system32\ctfmon.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\ICQ\Icq.exe C:\WINNT\system32\notepad.exe E:\Programme\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) R3 - URLSearchHook: (no name) - _{A045DC85-FC44-45be-8A50-E4F9C62C9A84} - (no file) O2 - BHO: NavErrRedir Class - {0428FFC7-1931-45b7-95CB-3CBB919777E1} - (no file) O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {47CC9CB5-6DCA-F3E3-0B76-39ABC0B8BC43} - C:\WINNT\system32\txkdhlip.dll (file missing) O2 - BHO: (no name) - {53D3C442-8FEE-4784-9A21-6297D39613F0} - C:\WINNT\system32\Winad2.dll O2 - BHO: Freedom BHO - {56071E0D-C61B-11D3-B41C-00E02927A304} - C:\Programme\Zero Knowledge\Freedom\FreeBHOR.dll O2 - BHO: (no name) - {71ED4FBA-4024-4bbe-91DC-9704C93F453E} - (no file) O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O2 - BHO: (no name) - {DC6F8BCE-1CEC-DB9B-0B5F-0E93B6BDFF7A} - C:\WINNT\system32\dcmaxlvl.dll (file missing) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [LXSUPMON] C:\WINNT\System32\LXSUPMON.EXE RUN O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [MMTray2K] MMTray2k.exe O4 - HKLM\..\Run: [MMTrayLSI] MMTrayLSI.exe O4 - HKLM\..\Run: [SysUpd] C:\WINNT\system32\SysUpd.exe O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot O4 - HKLM\..\Run: [relkpohw] C:\WINNT\udpcudgf.exe O4 - HKLM\..\Run: [Belt] C:\WINNT\Belt.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE O4 - HKLM\..\Run: [] c:\WINNT\System32\ O4 - HKLM\..\Run: [nvid] C:\WINNT\system32\vxaihfqs.exe O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [P2P Networking] C:\WINNT\system32\P2P Networking\P2P Networking.exe /AUTOSTART O4 - HKLM\..\Run: [Mswavedll] c:\winnt\system32\mswavedll.exe O4 - HKLM\..\Run: [AVK Mail Checker] "E:\Programme\AVKPOP.EXE" O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe O4 - HKCU\..\Run: [] c:\WINNT\System32\ O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - Startup: PowerReg Scheduler V3.exe O4 - Startup: PowerReg Scheduler.exe O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Bild in &Microsoft PhotoDraw öffnen - res://C:\PROGRA~1\MICROS~2\Office\1031\phdintl.dll/phdContext.htm O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: ICQ Pro (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O9 - Extra button: AIM (HKLM) O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {02BCC737-B171-4746-94C9-0D8A0B2C0089} (Microsoft Office Template and Media Control) - http://office.microsoft.com/templates/ieawsdc.cab O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://imgfarm.com/images/nocache/funwebproducts/MyMailStationeryInitialSetup1.0.0.6.cab O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) - O16 - DPF: {4B6015E7-3ABB-45DC-96B7-55A843751F28} (IntRuboskizo2 Class) - http://www.contenidospc.com/ruboskizo2.cab O16 - DPF: {52290B25-D07A-43B5-84D8-493116D50FA0} (WebPlugin Class) - http://webinstall.tscash.com/webinstall.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/043898cef6afd441b921/netzip/RdxIE601_de.cab O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20030625/qtinstall.info.apple.com/abarth/de/win/QuickTimeInstaller.exe O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2003120501/housecall.antivirus.com/housecall/xscan53.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37926.9084490741 O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://active.macromedia.com/flash2/cabs/swflash.cab Vielen Dank im voraus |
|
|
||
29.02.2004, 17:56
Moderator
Beiträge: 7805 |
#25
Als erstes solltest du alle Eintraege fixen, die no file oder file missing enthalten. Fixe danach noch das:
O2 - BHO: (no name) - {53D3C442-8FEE-4784-9A21-6297D39613F0} - C:\WINNT\system32\Winad2.dll O4 - HKLM\..\Run: [SysUpd] C:\WINNT\system32\SysUpd.exe O4 - HKLM\..\Run: [Belt] C:\WINNT\Belt.exe O4 - HKLM\..\Run: [] c:\WINNT\System32\ O4 - HKLM\..\Run: [P2P Networking] C:\WINNT\system32\P2P Networking\P2P Networking.exe /AUTOSTART O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) - O16 - DPF: {4B6015E7-3ABB-45DC-96B7-55A843751F28} (IntRuboskizo2 Class) - http://www.contenidospc.com/ruboskizo2.cab O16 - DPF: {52290B25-D07A-43B5-84D8-493116D50FA0} (WebPlugin Class) - http://webinstall.tscash.com/webinstall.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/043898cef6afd441b921/netzip/RdxIE601_de.cab Mit folgenden Eintraegen kann ich nichts anfangen. Vieleicht solltest du Hijackthis in ein extra Ordner packen, damit du sie wieder aktivieren kannst, falls noetig: O4 - HKLM\..\Run: [nvid] C:\WINNT\system32\vxaihfqs.exe O4 - HKLM\..\Run: [Mswavedll] c:\winnt\system32\mswavedll.exe O4 - HKLM\..\Run: [relkpohw] C:\WINNT\udpcudgf.exe Es ware nett, wenn du mir die oberen Drei und C:\WINNT\system32\Winad2.dll schicken koenntest( Adresse im Profil, oder virus@protecus.de) __________ MfG Ralf SEO-Spam Hunter |
|
|
||
29.02.2004, 20:32
...neu hier
Beiträge: 3 |
#26
Danke
habe das alles gemacht. Mal sehen was die Zukunft mit sich bringt. |
|
|
||
25.03.2004, 21:55
...neu hier
Beiträge: 2 |
#27
Online Virenscan hab ich dürchgeführt. Leider ohne ergebnis. Bist jetzt hat KEIN Virenscanner was entdekt. Habe die Einträge mit den Startseiten schon mal gefixt aber nach neuanmeldun sin die einträge wieder da.
Vielen Dank für Eure Hilfe Gruß BeHappy ;-) Logfile of HijackThis v1.97.7 Scan saved at 21:58:51, on 25.03.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Symantec\pcAnywhere\awhost32.exe C:\WINNT\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\System32\mspmspsv.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\locator.exe C:\WINNT\Explorer.EXE C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINNT\system32\PRISMSTA.EXE C:\WINNT\system32\internat.exe C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE E:\Software Downloads\HiJackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://htniiu.t.muxa.cc/s.php?aid=420 (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://htniiu.t.muxa.cc/s.php?aid=420 (obfuscated) R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://htniiu.t.muxa.cc/h.php?aid=420 (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://htniiu.t.muxa.cc/s.php?aid=420 (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://htniiu.t.muxa.cc/h.php?aid=420 (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://htniiu.t.muxa.cc/s.php?aid=420 (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://htniiu.t.muxa.cc/s.php?aid=420 (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.de R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.google.de R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://htniiu.t.muxa.cc/s.php?aid=420 (obfuscated) R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.google.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.google.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://htniiu.t.muxa.cc/h.php?aid=420 (obfuscated) O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe O4 - HKLM\..\Run: [AtiQiPcl] AtiQiPcl.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [sys] regedit -s sys.reg O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Symantec Fax Starter Edition-Anschluss.lnk = C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2003120501/housecall.antivirus.com/housecall/xscan53.cab O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{C69F5698-6616-497D-B15A-7AE9B68D805F}: NameServer = 192.168.0.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{CC312567-5531-475C-B39D-176DEA173D15}: NameServer = 192.168.0.1 |
|
|
||
25.03.2004, 23:02
Member
Beiträge: 1095 |
#28
Hi behappy
Fixe mal das alle R0 R1 -Einträge und O4 - HKLM\..\Run: [sys] regedit -s sys.reg dann neustart dann nochmal logfile posten __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 25.03.2004 um 23:02 Uhr von paff editiert.
|
|
|
||
26.03.2004, 19:02
...neu hier
Beiträge: 2 |
#29
Ich denk es hat geklappt! :-)
Danke Euch! Hier noch die Logfile Gruß BeHappy Logfile of HijackThis v1.97.7 Scan saved at 19:09:40, on 26.03.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Symantec\pcAnywhere\awhost32.exe C:\WINNT\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\System32\mspmspsv.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\locator.exe C:\WINNT\System32\svchost.exe C:\WINNT\Explorer.EXE C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINNT\system32\PRISMSTA.EXE C:\WINNT\system32\internat.exe C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE E:\Software Downloads\HiJackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.google.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.google.de/ O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe O4 - HKLM\..\Run: [AtiQiPcl] AtiQiPcl.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Symantec Fax Starter Edition-Anschluss.lnk = C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2003120501/housecall.antivirus.com/housecall/xscan53.cab O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{C69F5698-6616-497D-B15A-7AE9B68D805F}: NameServer = 192.168.0.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{CC312567-5531-475C-B39D-176DEA173D15}: NameServer = 192.168.0.1 |
|
|
||
27.03.2004, 22:51
...neu hier
Beiträge: 3 |
#30
Endlich habe ich ein Formum gefunden, welches mir hoffentlich weiter helfen kann *bettel* ich hatte/habe ebenfalls das Problem mit hand-book.com. Diese Seite schleimt sich immer wieder als Startseite ein. Nun habe ich ad-aware und spybot drüber laufen lassen und sogar Windwos 98 drüber gezogen. Es ist der Rechner meiner Tochter. Sie sagt nun kommt sie nur noch bei ICQ rein und kann nun GAR KEINE Seiten mehr aufrufen. Wie kann ich den Rechner "reparieren", wenn er beim eingeben einer Seite sagt : Seit4e kann nicht aufgerufen werden und unten sehe ich eine Weiterleitung über : auto.search.msn.com..etc.
Ich bin kein Profi, und nun echt hilflos, weil ich ja auch nicht downloaden kann. Bekomme absolut keine Seite aufgerufen. Kann mir jemand helfen ?????????*hoff*bettel* |
|
|
||
ich habe getan wie mir aufgetragen wurde. jetzt weiss ich auch was fixen ist, bisher dachte ich immer dieses wort kommt nur in der drogenzene vor. nun bin ich schlauer.
ich möchte mich bei allen beteiligten bedanken die mir bei der behebung meines problem`s behilflich waren.
bis auf bald sams
wenn es am schönsten ist sollte man aufhören, nur wer will "am schönsten sein" definieren?
__________
ohne computer geht es nicht aber mit IHNEN hat man(n) nur ärger.