Advt. -Troj.-2 Desktop SBs + Startseite unveränderbar, umgeleitet... |
||
---|---|---|
#0
| ||
13.02.2004, 15:48
Member
Beiträge: 1095 |
||
|
||
14.02.2004, 09:55
...neu hier
Beiträge: 3 |
#17
Guten Morgen,
auch mich hat es wohl erwischt, meine Startseite ist bei jedem Neustart www.viewpornkey.com und diverse Fenster öffnen sich in unregelmäßigen Abständen immer mal wieder. Neue Icons liegen in der Programmleiste etc. Allerdings bin ich weit davon entfernt, die ganzen technischen Dinge zu verstehen, die ich hier im Board so lese ;-) Würde sich eventuell jemand opfern, das ganze in "Blondinendeutsch" zu übersetzen und Erste Hilfe zu leisten? Grüße Tanja |
|
|
||
14.02.2004, 11:18
Moderator
Beiträge: 7805 |
#18
Du weisst ja, was du tun musst. Hijackthis log Posten!
Download hier http://www.chip.de/downloads/c_downloads_11353576.html (low speed!) infos wie=hier: www.hjt.klaffke.de __________ MfG Ralf SEO-Spam Hunter |
|
|
||
15.02.2004, 19:32
...neu hier
Beiträge: 3 |
#19
Hallo Raman,
war erst heute wieder online. So, nun das Log sieht so aus: Logfile of HijackThis v1.97.7 Scan saved at 19:22:54, on 15.02.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe C:\PROGRA~1\Ontrack\SYSTEM~1\mxserver.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\SOINTGR.EXE C:\WINDOWS\soundman.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE C:\Programme\QuickTime\qttask.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Microsoft IntelliPoint\point32.exe C:\Programme\Microsoft IntelliType Pro\type32.exe C:\Program Files\SCom\Dialers\XXXmovie_de\XXXmovie_de.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\System\update.exe C:\WINDOWS\twain_32\A4CIS600\WATCH.exe C:\Programme\E m u l e\E m u l e.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Downloads - Programme, Spiele\hijackthis1977\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.viewpornkey.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.viewpornkey.com/se.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.search-dot.com/1/search.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.search-dot.com/1/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.search-dot.com/1/search.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.search-dot.com/1/search.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.search-dot.com/1/search.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.viewpornkey.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.search-dot.com/1/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.search-dot.com/1/search.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.search-dot.com/1/search.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.viewpornkey.com/se.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.search-dot.com/1/search.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.search-dot.com/1/search.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://dhvlmw.t.muxa.cc/h.php?aid=227 (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer,SearchAssistant = http://www.sharempeg.com/find/ R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = http://www.sharempeg.com/find/ R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = about:blank O1 - Hosts: 66.98.142.143 #uto.search.msn.com O1 - Hosts: 66.98.142.143 search.msn.com O1 - Hosts: 66.98.142.143 msn.com O1 - Hosts: 66.98.142.143 www.msn.com O1 - Hosts: 66.98.142.143 yahoo.com O1 - Hosts: 66.98.142.143 www.yahoo.com O1 - Hosts: 66.98.142.143 google.com O1 - Hosts: 66.98.142.143 www.google.com O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {1F48AA48-C53A-4E21-85E7-AC7CC6B5FFB2} - C:\WINDOWS\mschmk.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE O4 - HKLM\..\Run: [soundmanager] soundman.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [EPSON Stylus C82 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C82 Series" /O6 "USB001" /M "Stylus C82" O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Fix-It AV] C:\PROGRA~1\Ontrack\SYSTEM~1\MemCheck.exe O4 - HKLM\..\Run: [Truefonts] C:\WINDOWS\Fonts\fonts.hta O4 - HKLM\..\Run: [sys] regedit -s sys.reg O4 - HKLM\..\Run: [Windows Security Assistant] C:\WINDOWS\system32\rundll32.vbe O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe" O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe" O4 - HKLM\..\Run: [host] C:\WINDOWS\system32\hosts.vbs O4 - HKLM\..\Run: [XXXmovie_de] C:\Program Files\SCom\Dialers\XXXmovie_de\XXXmovie_de.exe /dontdial O4 - HKLM\..\RunServices: [Windows Security Assistant] C:\WINDOWS\system32\rundll32.vbe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Windows Security Assistant] C:\WINDOWS\system32\rundll32.vbe O4 - HKCU\..\Run: [System Update] C:\WINDOWS\System\update.exe O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\A4CIS600\WATCH.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: Real.com (HKLM) O9 - Extra button: AOL 7.0 (HKCU) O9 - Extra button: MedionShop (HKCU) O13 - WWW. Prefix: http://ehttp.cc/? O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20021126/qtinstall.info.apple.com/dribnif/de/win/QuickTimeInstaller.exe O16 - DPF: {638AF6A2-81A1-4655-9FFA-9FC09CDE22CF} (CScanner Object) - http://www.pestscan.com/scanner/ppctlcab.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38031.0135185185 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{8732D518-7FA1-4F95-BDF8-7AAF8A8F22FE}: NameServer = 62.225.251.16 194.25.2.129 und was nun?? Grüße Tanja |
|
|
||
15.02.2004, 20:01
Member
Beiträge: 1122 |
#20
Lass das mal "fixen":
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.viewpornkey.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.viewpornkey.com/se.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.search-dot.com/1/search.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.search-dot.com/1/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.search-dot.com/1/search.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.search-dot.com/1/search.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.search-dot.com/1/search.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.viewpornkey.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.search-dot.com/1/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.search-dot.com/1/search.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.search-dot.com/1/search.html R1 - HKCU\Software\Microsoft\Internet Explorer,SearchAssistant = http://www.sharempeg.com/find/ R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = http://www.sharempeg.com/find/ O4 - HKLM\..\Run: [Fix-It AV] C:\PROGRA~1\Ontrack\SYSTEM~1\MemCheck.exe O4 - HKLM\..\Run: [Truefonts] C:\WINDOWS\Fonts\fonts.hta O4 - HKLM\..\Run: [host] C:\WINDOWS\system32\hosts.vbs O4 - HKLM\..\Run: [XXXmovie_de] C:\Program Files\SCom\Dialers\XXXmovie_de\XXXmovie_de.exe /dontdial O4 - HKLM\..\RunServices: [Windows Security Assistant] C:\WINDOWS\system32\rundll32.vbe O4 - HKCU\..\Run: [System Update] C:\WINDOWS\System\update.exe O13 - WWW. Prefix: http://ehttp.cc/? So ich denke das wars aber Raman bitte guck noch mal ob ich nix übersehen habt. @MissNaiv Lad dir mal den kostenlosen Virenscanner runter: http://www.antivir.de Da war ganz schön was los auf deinem PC hatte so was seit langem nicht mehr gesehen. MFG DAFRA |
|
|
||
15.02.2004, 20:14
Moderator
Beiträge: 7805 |
#21
Das muss auch noch weg:
O2 - BHO: (no name) - {1F48AA48-C53A-4E21-85E7-AC7CC6B5FFB2} - C:\WINDOWS\mschmk.dll O4 - HKCU\..\Run: [Windows Security Assistant] C:\WINDOWS\system32\rundll32.vbe O4 - HKLM\..\Run: [sys] regedit -s sys.reg O1 - Hosts: 66.98.142.143 #uto.search.msn.com O1 - Hosts: 66.98.142.143 search.msn.com O1 - Hosts: 66.98.142.143 msn.com O1 - Hosts: 66.98.142.143 www.msn.com O1 - Hosts: 66.98.142.143 yahoo.com O1 - Hosts: 66.98.142.143 www.yahoo.com O1 - Hosts: 66.98.142.143 google.com O1 - Hosts: 66.98.142.143 www.google.com Und nun muss ich nur noch "betteln"! Koenntest du folgende Dateien an virus@rokop-security, oder an die Adresse in meinem Profil schicken? C:\WINDOWS\system32\rundll32.vbe sys.reg (befindet sich wohl im Windows oder System32 ordner) C:\WINDOWS\mschmk.dll C:\WINDOWS\system32\hosts.vbs C:\WINDOWS\Fonts\fonts.hta C:\Program Files\SCom\Dialers\XXXmovie_de\XXXmovie_de.exe <---Dialer ! C:\WINDOWS\System\update.exe Diese Dateien kannst du danach (bzw nach einem Neustart) auch loeschen. Nutze zusaetzlich die Tipps aus diesem Artikel: http://board.protecus.de/t9373.htm __________ MfG Ralf SEO-Spam Hunter |
|
|
||
15.02.2004, 21:22
...neu hier
Beiträge: 3 |
#22
Hallo Raman,
habe nun brav alles befolgt, inklusive der Anweisungen aus dem verlinkten Artikel. Sollte also alles erledigt sein ;-) Beim Neustart kam zumindest wieder der gute alte Spiegel als Startseite, schon mal beruhigend... Vielen Dank für die Hilfe! Tanja |
|
|
||
gehen wir's an.
Also, deaktiviere mal die Systemwiederherstellung deines Windows.
http://www.treiber-world.de/article47.html
Dann alle Temp/Offline-Dateien löschen in Systemsteuerung/Internetoptionen
dann Neustart
Dann Fixe mit HiJackThis alles mit
R0
O1
dann Neustart
Dann teste nochmal mit Virenscanner.
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware