Home » Spyware & Browser Hijacker Support Forum » Search-company.com und awebfind.biz besetzen IE » Themenansicht
Search-company.com und awebfind.biz besetzen IE |
||
|---|---|---|
| #0
| ||
|
24.01.2004, 12:52
...neu hier
Beiträge: 5 |
||
 
|
|
|
|
24.01.2004, 13:05
Moderator
Beiträge: 7805 |
#2
Da ist so einiges. Bitte teste diese Datei C:\windows\winlogon.exe hier: http://www.kaspersky.com/remoteviruschk.html
und lade dir diesen Cleaner herunter und lasse ihn deinen Rechner saeubern: http://merijn.org/cwschronicles.html Wenn du beide Sachen erledigt hast, gib uns das Ergebniss vom Virenscanner und poste ein neues Log. Die Sache mit: Sie haben eine Netzwerkinformation angefordert (smutfantasy.com) koennte der Nachrichtendienst sein http://www.trojaner-info.de/nachrichtendienst/index.html ...und du solltest schleunigst dein Windows updaten via www.windowsupdate.com __________ MfG Ralf SEO-Spam Hunter Dieser Beitrag wurde am 24.01.2004 um 13:16 Uhr von raman editiert.
|
|
|
|
|
|
|
24.01.2004, 17:31
...neu hier
Themenstarter Beiträge: 5 |
#3
Vielen,vielen Dank ersteinmal für die schnelle Hilfe.
Ich habe den Trojaner: TrojanClicker.Win32.XMedia.g Habe mit dem angegebenen Cleaner einiges remoted. Ein neues Problem habe ich in windowsupdate. Wenn ich auf "Jetzt aktualisieren " drücke, kommt immer "Aktivx Steuerelement verhindert..." und es passiert gar nichts. Hier mein nuer Log: Logfile of HijackThis v1.97.7 Scan saved at 17:37:21, on 24.01.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\HP\KBD\KBD.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Teledat\IWatch.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\CMMON32.EXE C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Ronald Juntke\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis[1].zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://aifind.inf/?id=54 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://gmx.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Mannesmann Arcor R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=proxy.arcor-ip.de:80;http=proxy.arcor-ip.de:80 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = arcor-ip.de; arcor-ip.net;<local> R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = , R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = , R1 - HKCU\Software\Microsoft\Internet Explorer,SearchAssistant = , R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = , R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = , O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: ISDNWatch.lnk = C:\Programme\Teledat\IWatch.exe O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll O14 - IERESET.INF: START_PAGE_URL=http://www.arcor-online.de O17 - HKLM\System\CCS\Services\Tcpip\..\{0E830701-F92B-4C17-8E45-2AC653800FA1}: NameServer = 145.253.2.81 145.253.2.174 O17 - HKLM\System\CCS\Services\Tcpip\..\{A3DFFAA7-1AAC-46B4-9A3C-ADA89AFF6C09}: NameServer = 192.168.121.252,192.168.121.253 O17 - HKLM\System\CS1\Services\Tcpip\..\{0E830701-F92B-4C17-8E45-2AC653800FA1}: NameServer = 145.253.2.81 145.253.2.174 Dieser Beitrag wurde am 24.01.2004 um 17:38 Uhr von Dr.Tschuna editiert.
|
|
|
|
|
|
|
24.01.2004, 19:21
Member
Beiträge: 54 |
#4
Was ist denn das hier: O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe ?
Im Zweifelsfall einfach zu mir schicken: virus@protecus.de __________ (-- Rokop --) www.rokop-security.de |
|
|
|
|
|
|
24.01.2004, 19:27
Member
Beiträge: 133 |
#5
@Rokop
PS2: Multimedia Keyboard companion on HP computers. If this is prevented from starting, then some keyboard functionality will be lost. aber was ist mit diesem ganzem "arcor" zeug? absicht? MfG aryn __________ Vielleicht ist es so, dass in den Momenten, wo wir uns am stärksten fühlen, wir am schwächsten sind. (AND ONE) Dieser Beitrag wurde am 24.01.2004 um 19:29 Uhr von arynsun editiert.
|
|
|
|
|
|
|
24.01.2004, 20:18
...neu hier
Themenstarter Beiträge: 5 |
#6
Hä??
Vielen Dank für die Antworten aber kann man das auch einem Laien erklären mit dem ps2.exe. Arcor ist übrigems mein Internet-Provider |
|
|
|
|
|
|
24.01.2004, 20:23
Member
Beiträge: 1095 |
#7
Auf neumodischen Tastaturen gibt es so nette Tasten um z.b. den MailClient aufzumachen, den Computer in sleep-mode usw.
Dies funktioniert nicht von alleine, sondern wird wie in deinen Fall von der PS2.exe gesteuert. __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
|
|
|
|
25.01.2004, 20:19
...neu hier
Themenstarter Beiträge: 5 |
#8
Hallo!
Wie bekomme ich den jetzt den TrojaneClicker.Win32.XMedia .g raus? Irgendwie kann ich nicht updaten. S.o Was kann ich tun um in Zukunft derartige Probleme zu vermeiden? Ich danke Euch für die Hilfe |
|
|
|
|
|
|
25.01.2004, 21:06
Moderator
Beiträge: 7805 |
#9
Wo wird dieser TrojaneClicker.Win32.XMedia .g denn gefunden? In welcher Datei und in welchem Verzeichniss/Ordner? Aber dein Antivir sollte ihn im abgesicherten Modus(von Windows) loeschen koennen.
Verhindern kannst du das wohl nur indem du dein Windows immer auf dem neusten Stand haelst und einen alternativen Browser nutzt. Z.B. Mozilla www.mozilla.org . __________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
03.03.2004, 23:34
...neu hier
Beiträge: 2 |
#10
Zitat raman posteteAlso hab das selbe Problem der Trojaner sitzt in der datei winlogon.exe fest ja da gibts nur ein Prob die Datei hab ich doppelt. 1)C:\Windows\winlogon.exe Originalname = rslocal.exe und wurde erst am 12 Februar installiert hab PC schon seit 2001 2)C:\Windows\systeam32\winlogon.exe Originalname = WINLOGON.EXE und wurde am 23 August installiert und beim Produktname steht Windows Microsoft Operating System Bin schon mit Norton drüber hilft aber nix kann er ned löschen. Manuell gehts auch ned weil er bei den Prozessen läuft und dort ned zu beenden geht. Kann mir da vielleicht irgendwer helfen? |
|
|
|
|
|
|
04.03.2004, 05:45
Moderator
Beiträge: 7805 |
#11
Du kannst den Rechner im abgesicherten Modus starten un die Datei loeschen, oder mit MSCONFIG den Eintrag in den Startups deaktivieren, starten und dann einfach die DAtei loeschen.
Arbeite dich auch mal hier durch: http://board.protecus.de/t9373.htm __________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
04.03.2004, 18:58
...neu hier
Beiträge: 2 |
#12
ok thx für die schnelle Antwort werd ich mal probieren
|
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Seite(n): 1
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Ich habe gleich zwei sehr nervige Probleme.
Dauert kommt das Fenster "Sie haben eine Netzwerkinformation angefordert (smutfantasy.com),welche Verbindung soll gewählt werden.
Unter Internetoptionen habe ich die Standardseite "awebfind.biz" drinnen und bekomme sie nicht mehr raus.
Zweitens bekomme ich bei einer Googlesucheingabe immer die Seite der "Search-company.com".
Bitte helft mir. Das nervt sehr.
Danke Dr.Tschuna
Mein log
Logfile of HijackThis v1.97.7
Scan saved at 15:11:23, on 23.01.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\HP\KBD\KBD.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\windows\winlogon.exe
C:\Programme\Teledat\IWatch.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\mshta.exe
C:\WINDOWS\System32\CMMON32.EXE
C:\PROGRA~1\INTERN~1\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Ronald Juntke\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis[1].zip\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://aifind.inf/?id=54
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://t.rack.cc/s.php?aid=359
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://mshp.dll/sp.html#22776
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://mshp.dll/index.html#22776
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://awebfind.biz/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://1-se.com/home.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://t.rack.cc/s.php?aid=359
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://awebfind.biz/sp.htm
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://awebfind.biz/sp.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://mshp.dll/index.html#22776
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://t.rack.cc/s.php?aid=359
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://mshp.dll/sp.html#22776
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://mshp.dll/index.html#22776
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://mshp.dll/sp.html#22776
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://t.rack.cc/s.php?aid=359
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Mannesmann Arcor
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://1-se.com/home.html (obfuscated)
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=proxy.arcor-ip.de:80;http=proxy.arcor-ip.de:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = arcor-ip.de; arcor-ip.net;<local>
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://t.rack.cc/h.php?aid=359
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://1-se.com/srchasst.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://1-se.com/srchasst.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchAssistant = http://www.008i.com/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = http://www.008i.com/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://1-se.com/srchasst.html (obfuscated)
O1 - Hosts: 3466709097 auto.search.msn.com
O1 - Hosts: 3466709097 sitefinder.verisign.com
O1 - Hosts: 3466709097 sitefinder-idn.verisign.com
O2 - BHO: (no name) - {00110011-4B0B-44D5-9718-90C88817369B} - (no file)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {2E9CAFF6-30C7-4208-8807-E79D4EC6F806} - C:\Program Files\Submit\submithook.dll
O2 - BHO: . - {587DBF2D-9145-4c9e-92C2-1F953DA73773} - C:\Dokumente und Einstellungen\Ronald Juntke\Anwendungsdaten\iefeatsl\iefeatsl.dll
O2 - BHO: (no name) - {FD9BC004-8331-4457-B830-4759FF704C22} - C:\Dokumente und Einstellungen\Ronald Juntke\Anwendungsdaten\iefeatsl\msiesh.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [sys] regedit -s sys.reg
O4 - HKLM\..\Run: [Windows Shell Library Loader] load shell.dll /c /set
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [winlogon] c:\windows\winlogon.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\Teledat\IWatch.exe
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.arcor-online.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{0E830701-F92B-4C17-8E45-2AC653800FA1}: NameServer = 145.253.2.81 145.253.2.174
O17 - HKLM\System\CCS\Services\Tcpip\..\{A3DFFAA7-1AAC-46B4-9A3C-ADA89AFF6C09}: NameServer = 192.168.121.252,192.168.121.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{0E830701-F92B-4C17-8E45-2AC653800FA1}: NameServer = 145.253.2.81 145.253.2.174
O19 - User stylesheet: C:\WINDOWS\sample.txt
O19 - User stylesheet: C:\WINDOWS\hh.htt (HKLM)