C:\WINNT\secure.html |
||
---|---|---|
#0
| ||
15.03.2004, 22:01
...neu hier
Beiträge: 4 |
||
|
||
15.03.2004, 22:06
Moderator
Beiträge: 7805 |
#17
Arbeite dich bitte mal hier durch:
http://board.protecus.de/t9373.htm Fixe alles, was mit "O16" anfaengt und poste dann ein neues Log. Es waere nett, wenn du diese Datei an virus@protecus.de schicken koenntest: C:\WINDOWS\SYSTEM\MSZTCE.EXE __________ MfG Ralf SEO-Spam Hunter |
|
|
||
15.03.2004, 22:47
...neu hier
Beiträge: 4 |
#18
Hi Raman
Ich habe nach deinen Anweisungen gearbeitet! Hier das neue Logfile: Logfile of HijackThis v1.97.7 Scan saved at 22:39:39, on 15.03.04 Platform: Windows 98 Gold (Win9x 4.10.1998) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\PROGRAMME\SYMANTEC_CLIENT_SECURITY\SYMANTEC ANTIVIRUS\RTVSCN95.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\PROGRAMME\SYMANTEC_CLIENT_SECURITY\SYMANTEC ANTIVIRUS\DEFWATCH.EXE C:\WINDOWS\EXPLORER.EXE C:\PROGRAMME\SYMANTEC_CLIENT_SECURITY\SYMANTEC ANTIVIRUS\VPTRAY.EXE C:\WINDOWS\SYSTEM\HPZTSB01.EXE C:\SUBPROGRAMME\0190 WARNER\WARN0190.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\1031\MSOFFICE.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\WINDOWS\SYSTEM\HPZSTATX.EXE C:\WINDOWS\DESKTOP\HJT.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\secure.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://teenhardporno.n69.net/next3.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\secure.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\secure.html R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://home.microsoft.com/access/autosearch.asp?p=%s R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\secure.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\secure.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.ch/ R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = , O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O2 - BHO: OsbornTech Popup Blocker - {C68AE9C0-0909-4DDC-B661-C1AFB9F5AE53} - C:\WINDOWS\SYSTEM\BHO\BHO.DLL O2 - BHO: (no name) - {53D3C442-8FEE-4784-9A21-6297D39613F0} - C:\WINDOWS\SYSTEM\WINAD2.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb01.exe O4 - HKLM\..\Run: [0190 Warner] C:\SUBPRO~1\0190WA~1\WARN0190.EXE O4 - HKLM\..\Run: [MSZTCE] C:\WINDOWS\SYSTEM\MSZTCE.EXE O4 - HKLM\..\RunServices: [rtvscn95] C:\PROGRA~1\SYMANT~1\SYMANT~1\rtvscn95.exe O4 - HKLM\..\RunServices: [defwatch] C:\PROGRA~1\SYMANT~1\SYMANT~1\defwatch.exe O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O14 - IERESET.INF: START_PAGE_URL=http://www.sunrise.ch/de/hom/default.asp Kann ich es so stehen lassen oder muss ich noch weitere Schritte tun? Ich bitte um weitere Instruktionen! Wie immer zum Voraus DANKE. Gruss Jimmy |
|
|
||
16.03.2004, 05:46
Moderator
Beiträge: 7805 |
#19
Weisst du was es mit dieser Datei auf sich hat?
O4 - HKLM\..\Run: [MSZTCE] C:\WINDOWS\SYSTEM\MSZTCE.EXE Ansonsten koenntest du noch mal www.windowsupdate.com besuchen. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
16.03.2004, 08:38
...neu hier
Beiträge: 4 |
#20
Hi Raman
Ich habe nach dieser Datei O4 - HKLM\..\Run: [MSZTCE] C:\WINDOWS\SYSTEM\MSZTCE.EXE gesucht, kann Sie leider nicht finden! Ist das gut oder schlecht? Kann es sein, dass ich in meinem neuen Logfile noch alle Einträge mit "secure.html" löschen sollte? Erbitte um weitere Angaben! Besten Dank. Gruss Jimmy |
|
|
||
16.03.2004, 09:18
Moderator
Beiträge: 7805 |
#21
Nutze mal die Windowssuche und hake bei "weitere Optionen die ersten drei Sachen an und lasse nach MSZTCE.EXE im Windows\system Ordner danach suchen. Wenn sie nicht da ist, einfach den Eintrag "fix"en und fertig.
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
17.03.2004, 23:43
...neu hier
Beiträge: 4 |
#22
Hi Raman
Vielen Dank für Deine Hilfe. Ich konnte trotzdem diese Datei "MSZTCE.EXE" nicht finden, somit habe ich den Eintrag "gefixt"! Nebenbei habe ich noch alle Einträge mit "secure.html" gelöscht! System läuft soweit einwandfrei! Bitte schaue dir noch zum letzten Mal mein Logfile an! Ich bedanke mich nochmals sehr für deine Hilfe! Freundliche Grüsse Jimmy Logfile of HijackThis v1.97.7 Scan saved at 23:42:53, on 17.03.04 Platform: Windows 98 Gold (Win9x 4.10.1998) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\PROGRAMME\SYMANTEC_CLIENT_SECURITY\SYMANTEC ANTIVIRUS\RTVSCN95.EXE C:\PROGRAMME\SYMANTEC_CLIENT_SECURITY\SYMANTEC ANTIVIRUS\DEFWATCH.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\EXPLORER.EXE C:\PROGRAMME\SYMANTEC_CLIENT_SECURITY\SYMANTEC ANTIVIRUS\VPTRAY.EXE C:\WINDOWS\SYSTEM\HPZTSB01.EXE C:\SUBPROGRAMME\0190 WARNER\WARN0190.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\1031\MSOFFICE.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\WINDOWS\70000041.EXE C:\WINDOWS\70000041.EXE C:\WINDOWS\DESKTOP\HJT.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/ R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://home.microsoft.com/access/autosearch.asp?p=%s R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.ch/ R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = , O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O2 - BHO: OsbornTech Popup Blocker - {C68AE9C0-0909-4DDC-B661-C1AFB9F5AE53} - C:\WINDOWS\SYSTEM\BHO\BHO.DLL O2 - BHO: (no name) - {53D3C442-8FEE-4784-9A21-6297D39613F0} - C:\WINDOWS\SYSTEM\WINAD2.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb01.exe O4 - HKLM\..\Run: [0190 Warner] C:\SUBPRO~1\0190WA~1\WARN0190.EXE O4 - HKLM\..\RunServices: [rtvscn95] C:\PROGRA~1\SYMANT~1\SYMANT~1\rtvscn95.exe O4 - HKLM\..\RunServices: [defwatch] C:\PROGRA~1\SYMANT~1\SYMANT~1\defwatch.exe O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O14 - IERESET.INF: START_PAGE_URL=http://www.sunrise.ch/de/hom/default.asp |
|
|
||
19.03.2004, 15:07
...neu hier
Beiträge: 3 |
#23
Schönen guten Tag
ich habe das gleiche Problem wie meine Vorgänger und auch schon mit allen Anti-Viren/Spyware Programmen, die ich besitze danach gesucht und sie auch upgedated - nix, ausser, dass CWShredder was gefunden hat, die Startseite aber immernoch die alte ist... Auch die neuesten Windows Updates hab ich schon drauf. Wäre nett wenn ihr nen Blick hier reinwerfen könntet. Dank im Vorraus Eddy Hier die LogFile: Logfile of HijackThis v1.97.7 Scan saved at 14:51:16, on 19.03.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\NVATray.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Browser mouse\1.3\mouse32a.exe C:\Programme\PTBSync\PTBSync.exe C:\PROGRA~1\AVG6\avgcc32.exe C:\Programme\AntiVirPersonal\AVSched32.EXE C:\Programme\Medionkeyboard\1.3\KbdAp32A.exe C:\WINDOWS\reg32.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\FRITZ!\IWatch.exe C:\Programme\Winamp5\winamp.exe C:\PROGRA~1\AVG6\avgserv.exe C:\Programme\AntiVirPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\pctspk.exe C:\Programme\ICQ\ICQ.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\Besitzer\LOKALE~1\Temp\Rar$EX00.562\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\secure.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\secure.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\secure.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\secure.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\secure.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\secure.html R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Core Library - {6CDF3C49-20E6-48d7-811B-9F5DD17F1D90} - C:\WINDOWS\System32\sfg3f20.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NVIDIA nForce APU1 Utilities] NVATray.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\NDetect.exe O4 - HKLM\..\Run: [FLMK08KB] C:\Programme\Medionkeyboard\1.3\MMKEYBD.EXE O4 - HKLM\..\Run: [FLMMEDIONMOUSE] C:\Programme\Browser mouse\1.3\mouse32a.exe O4 - HKLM\..\Run: [PTBSync] C:\Programme\PTBSync\PTBSync.exe /Start O4 - HKLM\..\Run: [sureshotpopupkiller] "C:\Programme\Stop-the-Pop-Up Demo\stopthepop.exe" -minimized O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\AVG6\avgcc32.exe /STARTUP O4 - HKLM\..\Run: [Openwares LiveUpdate] C:\Program Files\LiveUpdate\LiveUpdate.exe O4 - HKLM\..\Run: [Popup Blocker Updater] regsvr32 /s C:\WINDOWS\System32\sfg3f20.dll O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AntiVirPersonal\AVSched32.EXE /min O4 - HKLM\..\Run: [Reg32] C:\WINDOWS\reg32.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [AutoExit] C:\Programme\AutoExitWindows\AutoExit.exe O4 - HKCU\..\Run: [Ad Arrest] C:\Programme\Popup Killer - Ad Arrest IE\adarrest.exe O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Winamp.lnk = C:\Programme\Winamp5\winamp.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: ICQ (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Messenger (HKLM) O14 - IERESET.INF: START_PAGE_URL=http://www.internetcologne.de O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38065.1871180556 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} - http://www.stardialer.de/install/StarInstall.ocx O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = Eddy O17 - HKLM\Software\..\Telephony: DomainName = Eddy O17 - HKLM\System\CCS\Services\Tcpip\..\{B6073A52-4F24-46C3-B707-346C9586D6AB}: NameServer = 192.168.120.252,192.168.120.253 O17 - HKLM\System\CCS\Services\Tcpip\..\{F32DDACD-9680-4AEA-B37E-BF0960D421B7}: NameServer = 213.168.112.60 194.8.194.60 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = Eddy |
|
|
||
19.03.2004, 23:32
...neu hier
Beiträge: 1 |
#24
Hallo,
auf meinem Computer hat sich auch eine Startseite installiert, wenn ich ins Internet gehe. Ich bin bereits folgende Liste (http://board.protecus.de/t9373.htm) an Tipps durchgegangen aber nichts hat geholfen. Mit Hilfe von HijackThis habe ich ein paar Einträge gefixt aber es bleibt bei der Startseite und Fehlern. Ich würde mich rießig freuen wenn jemand von euch einen Tipp hat, welche Einträge ich noch fixen kann. Besten Dank, Johannes ----------------------------- Logfile of HijackThis v1.97.7 Scan saved at 23:32:41, on 19.03.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\COMPAQ\ACLIENT\ACLIENT.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Compaq\Compaq Management Agents\cpqalert.exe C:\WINNT\Cpqdiag\Cpqdfwag.exe C:\PROGRA~1\Compaq\COMPAQ~1\CPQWEB~1\WebDmi.exe C:\WINNT\System32\svchost.exe C:\Programme\Compaq\LCRMS\LCRMS.EXE C:\WINNT\System32\NMSSvc.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\Programme\Compaq\Compaq Management Agents\Dmi\Win32\bin\Win32sl.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\PROGRA~1\Compaq\COMPAQ~1\cpqdmi.exe C:\WINNT\Explorer.EXE C:\Programme\Analog Devices\SoundMAX\Smtray.exe C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE C:\WINNT\system32\Promon.exe C:\PROGRA~1\Compaq\COMPAQ~1\CHKADMIN.EXE C:\Programme\ahead\InCD\InCD.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINNT\cihost.exe C:\Programme\QuickTime\qttask.exe C:\WINNT\system32\internat.exe C:\WINNT\System\wininet.exe C:\MapundRoute\Das Telefonbuch Map&Route\OMAlarm.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\da.exe C:\Programme\ISTsvc\istsvc.exe C:\Programme\180Solutions\msbb.exe C:\Programme\Bargain Buddy\bin\bargains.exe C:\Programme\Spybot - Search & Destroy\SpybotSD.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\Michael Iffland\Desktop\Neuer Ordner (2)\hjt.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.couldnotfind.com/search_page.html?&account_id=133417 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.couldnotfind.com/search_page.html?&account_id=133417 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_page.html?&account_id=133417 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank O1 - Hosts: 213.159.117.235 auto.search.msn.com O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {53D3C442-8FEE-4784-9A21-6297D39613F0} - C:\WINNT\System32\Winad2.dll O2 - BHO: (no name) - {A6F42CAD-2559-48DF-AF30-89E480AF5DFA} - C:\WINNT\bho.dll O2 - BHO: Url Catcher - {CE31A1F7-3D90-4874-8FBE-A5D97F8BC8F1} - C:\PROGRA~1\BARGAI~1\bin\apuc.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\Programme\ISTbar\istbar.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\Smtray.exe O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [Promon.exe] Promon.exe O4 - HKLM\..\Run: [ChkAdmin] C:\PROGRA~1\Compaq\COMPAQ~1\CHKADMIN.EXE O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Programme\ahead\InCD\InCD.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [WinVNC] "C:\Programme\RealVNC\WinVNC\WinVNC.exe" -servicehelper O4 - HKLM\..\Run: [Winhost] C:\WINNT\winh.exe O4 - HKLM\..\Run: [cihost.exe] C:\WINNT\cihost.exe O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe O4 - HKLM\..\Run: [msbb] C:\Programme\180Solutions\msbb.exe O4 - HKLM\..\Run: [Bargains] C:\Programme\Bargain Buddy\bin\bargains.exe O4 - HKLM\..\Run: [Power Scan] C:\Programme\Power Scan\powerscan.exe O4 - HKLM\..\RunServices: [CPQDFWAG] C:\WINNT\Cpqdiag\CpqDfwAg.exe O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [xlnbddosmh] C:\WINNT\i38l5b16w8.exe O4 - HKCU\..\Run: [tal7o9vl3e] C:\WINNT\7e6nrtj6ko.exe O4 - HKCU\..\Run: [aimboot] %SystemRoot%\awinrar.exe O4 - HKCU\..\Run: [System Update] C:\WINNT\System\wininet.exe O4 - Startup: Microsoft Data Helper.lnk = C:\WINNT\SYSTEM32\cihost.exe O4 - Global Startup: OfficeManager Terminerinnerung.lnk = C:\MapundRoute\Das Telefonbuch Map&Route\OMAlarm.exe O16 - DPF: {018B7EC3-EECA-11D3-8E71-0000E82C6C0D} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v3.0/0006.cab O16 - DPF: {20309504-8D74-4762-82CE-856903876EEA} - http://66.154.18.136/npd/load8.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{3250E416-2B2C-47CC-AEEA-91631CAF5B85}: NameServer = 192.168.16.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{36FD74B1-2782-404C-8360-4240648ED2C6}: NameServer = 192.168.121.252,192.168.121.253 Dieser Beitrag wurde am 20.03.2004 um 13:11 Uhr von zuz editiert.
|
|
|
||
02.04.2004, 16:28
...neu hier
Beiträge: 4 |
#25
hallo könnte einer mal bitte auch meine liste durchsehen.
danke schon mal im voraus. Logfile of HijackThis v1.97.7 Scan saved at 16:23:35, on 02.04.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe D:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINNT\System32\svchost.exe C:\WINNT\system32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE D:\Programme\AVPersonal\AVGNT.EXE C:\WINNT\reg33.exe C:\WINNT\dl.exe C:\WINNT\dlm.exe C:\WINNT\consol32.exe D:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe D:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\Mahler\Desktop\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINNT\secure.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINNT\secure.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINNT\secure.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINNT\secure.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINNT\secure.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINNT\secure.html O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [dlr] C:\WINNT\netstat.exe O4 - HKLM\..\Run: [Reg32] C:\WINNT\reg33.exe O4 - HKLM\..\Run: [Dial32] C:\WINNT\dl.exe O4 - HKLM\..\Run: [Dial33] C:\WINNT\dlm.exe O4 - HKLM\..\Run: [Cons] C:\WINNT\consol32.exe O4 - Global Startup: Acrobat Assistant.lnk = D:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O13 - DefaultPrefix: http://www.msn.com@showresult.com/search.php? O13 - WWW Prefix: http://www.msn.com@showresult.com/search.php? O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://extreme-virgins.com/dl/judge/x.chm::/load.exe O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38012.4932291667 O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview Control) - file://D:\Programme\AutoCAD LT 2000i\AcPreview.ocx O17 - HKLM\System\CCS\Services\Tcpip\..\{74F946EA-3E9A-4736-B5D0-704345334C96}: NameServer = 192.168.1.1 |
|
|
||
02.04.2004, 16:42
Moderator
Beiträge: 7805 |
#26
Hm, ich weiss nicht, ob wir das so weg bekommen, aber versuchen wir es mal. FIx das:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINNT\secure.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINNT\secure.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINNT\secure.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINNT\secure.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINNT\secure.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINNT\secure.html O4 - HKLM\..\Run: [dlr] C:\WINNT\netstat.exe O4 - HKLM\..\Run: [Reg32] C:\WINNT\reg33.exe O4 - HKLM\..\Run: [Dial32] C:\WINNT\dl.exe O4 - HKLM\..\Run: [Dial33] C:\WINNT\dlm.exe O4 - HKLM\..\Run: [Cons] C:\WINNT\consol32.exe O4 - Global Startup: Acrobat Assistant.lnk = D:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE O13 - DefaultPrefix: http://www.msn.com@showresult.com/search.php? O13 - WWW Prefix: http://www.msn.com@showresult.com/search.php? O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://extreme-virgins.com/dl/judge/x.chm::/load.exe Das ganze am besten im abgesicherten Modus, dort auch bitte diese Dateien loeschen: C:\WINNT\dl.exe C:\WINNT\dlm.exe C:\WINNT\consol32.exe (*) C:\WINNT\netstat.exe (*) C:\WINNT\reg33.exe C:\WINNT\secure.html (*) c:\nosuch.mht (*) (*)= Bitte schicke die Dateien vorher an virus@protecus.de und arbeite dich nach einem Neustart hier durch: http://board.protecus.de/t9373.htm __________ MfG Ralf SEO-Spam Hunter Dieser Beitrag wurde am 02.04.2004 um 16:43 Uhr von raman editiert.
|
|
|
||
02.04.2004, 17:18
Moderator
Beiträge: 7805 |
#27
Bitte scanne deinen Rechner trotzdem noch mit MWAV :
ftp://ftp.microworldsystems.com/download/tools/ (Die Datei mwav.exe) __________ MfG Ralf SEO-Spam Hunter |
|
|
||
02.04.2004, 19:03
...neu hier
Beiträge: 2 |
#28
kann mal eben jemand einen Blick auf mein log werfen?
Logfile of HijackThis v1.97.7 Scan saved at 19:02:31, on 02.04.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\dlm.exe C:\WINDOWS\dl.exe C:\WINDOWS\msstasks.exe C:\WINDOWS\dkdial.exe C:\WINDOWS\consol32.exe C:\PROGRA~1\OFFICE~1\pccntmon.exe C:\PROGRA~1\TELEFO~1\OtbStart.EXE C:\PROGRA~1\MICROS~3\point32.exe C:\Programme\OfficeScan NT\ntrtscan.exe C:\WINDOWS\System32\Pffgic32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\OfficeScan NT\tmlisten.exe C:\PROGRA~1\INTERN~1\IEXPLORE.EXE C:\Programme\OfficeScan NT\ofcdog.exe C:\WINDOWS\System32\taskmgr.exe C:\PROGRA~1\SPYBOT~1\SpybotSD.exe C:\PROGRA~1\WinZip\winzip32.exe C:\DOKUME~1\ERIKAL~1\LOKALE~1\Temp\HIJACK~1.EXE C:\PROGRA~1\INTERN~1\IEXPLORE.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://greatsearch.biz/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://greatsearch.biz/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://greatsearch.biz/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://greatsearch.biz/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://greatsearch.biz/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://greatsearch.biz/ O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [OtbStart] C:\Programme\TelefonCD\OtbStart.EXE O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe" O4 - HKLM\..\Run: [IO-Monitor] "C:\Programme\OfficeScan NT\pccntmon.exe" O4 - HKLM\..\Run: [Dial32] C:\WINDOWS\dl.exe O4 - HKLM\..\Run: [DKDial] C:\WINDOWS\dkdial.exe O4 - HKLM\..\Run: [Serv] C:\WINDOWS\msstasks.exe O4 - HKLM\..\Run: [Cons] C:\WINDOWS\consol32.exe O4 - HKLM\..\Run: [Dial33] C:\WINDOWS\dlm.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O12 - Plugin for .tmp: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll O16 - DPF: {11111111-1111-1111-1111-111111111111} - mhtml:file://C:NXSFT.MHT!http://66.117.38.54:80/iex/ofile.exe?url=http://66.117.38.54:80/dexAT624.exe O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38078.2179050926 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{12C316A5-D78D-4490-972D-BA6F53D3F274}: NameServer = 195.3.96.67,195.3.96.68 O17 - HKLM\System\CCS\Services\Tcpip\..\{77C699F9-81DA-4379-974A-6B61C23125F0}: NameServer = 195.3.96.67 195.3.96.68 O17 - HKLM\System\CS1\Services\Tcpip\..\{12C316A5-D78D-4490-972D-BA6F53D3F274}: NameServer = 195.3.96.67,195.3.96.68 O17 - HKLM\System\CS2\Services\Tcpip\..\{12C316A5-D78D-4490-972D-BA6F53D3F274}: NameServer = 195.3.96.67,195.3.96.68 Besten Dank |
|
|
||
02.04.2004, 20:56
Moderator
Beiträge: 7805 |
#29
Das fixen und auch den MWAV scanner nutzen!:
O16 - DPF: {11111111-1111-1111-1111-111111111111} - mhtml:file://C:NXSFT.MHT!http://66.117.38.54:80/iex/ofile.exe?url=http://66.117.38.54:80/dexAT624.exe O4 - HKLM\..\Run: [Dial32] C:\WINDOWS\dl.exe O4 - HKLM\..\Run: [DKDial] C:\WINDOWS\dkdial.exe (*) O4 - HKLM\..\Run: [Serv] C:\WINDOWS\msstasks.exe (*) O4 - HKLM\..\Run: [Cons] C:\WINDOWS\consol32.exe O4 - HKLM\..\Run: [Dial33] C:\WINDOWS\dlm.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://greatsearch.biz/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://greatsearch.biz/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://greatsearch.biz/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://greatsearch.biz/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://greatsearch.biz/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://greatsearch.biz/ Hier durcharbeiten ist sowieso Pflicht: http://board.protecus.de/t9373.htm (*)= Bitte schicke die Dateien vorher an virus@protecus.de und loesche die Dateien danach, die ich unter "O4" aufgelistet habe. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
02.04.2004, 21:55
...neu hier
Beiträge: 2 |
||
|
||
ich habe folgendes Problem und bekomm es auch nicht weg!
Kann jemand mein logfile anschauen?. Ich würde mich sehr freuen, wenn mir jemand weiterhelfen könnte! DANKE
Hier das logfile:
Logfile of HijackThis v1.97.7
Scan saved at 21:41:02, on 15.03.04
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAMME\SYMANTEC_CLIENT_SECURITY\SYMANTEC ANTIVIRUS\RTVSCN95.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\PROGRAMME\SYMANTEC_CLIENT_SECURITY\SYMANTEC ANTIVIRUS\DEFWATCH.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\SYMANTEC_CLIENT_SECURITY\SYMANTEC ANTIVIRUS\VPTRAY.EXE
C:\WINDOWS\SYSTEM\HPZTSB01.EXE
C:\SUBPROGRAMME\0190 WARNER\WARN0190.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\1031\MSOFFICE.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TEMPORARY INTERNET FILES\CONTENT.IE5\0PYZOXU3\HJT[1].EXE
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://4-counter.com/?a=2
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\secure.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://teenhardporno.n69.net/next3.html
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://4-counter.com/?a=2
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\secure.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\secure.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\secure.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\secure.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = ,
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: OsbornTech Popup Blocker - {C68AE9C0-0909-4DDC-B661-C1AFB9F5AE53} - C:\WINDOWS\SYSTEM\BHO\BHO.DLL
O2 - BHO: (no name) - {53D3C442-8FEE-4784-9A21-6297D39613F0} - C:\WINDOWS\SYSTEM\WINAD2.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb01.exe
O4 - HKLM\..\Run: [0190 Warner] C:\SUBPRO~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [MSZTCE] C:\WINDOWS\SYSTEM\MSZTCE.EXE
O4 - HKLM\..\RunServices: [rtvscn95] C:\PROGRA~1\SYMANT~1\SYMANT~1\rtvscn95.exe
O4 - HKLM\..\RunServices: [defwatch] C:\PROGRA~1\SYMANT~1\SYMANT~1\defwatch.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.sunrise.ch/de/hom/default.asp
O16 - DPF: {52290B25-D07A-43B5-84D8-493116D50FA0} - http://webinstall.tscash.com/webinstall.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {4E15D681-1D20-11D4-8B72-000021DA1956} - http://www.trafficmanagers.nl/plugins/tranny-films_
O16 - DPF: {C3FDA8CE-9414-4E33-AC6B-4922922259A5} - http://www.book-mark.net/fla
O16 - DPF: {BD11A280-2E73-11CF-B6CF-00C0C0C0CDDD} - http://212.6.171.60/dialer/dac30.cab
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.accessoveloce.com/tg/x/tgmp
O16 - DPF: {42F2D240-B23C-11D6-8C73-70A05DC10000} - http://63.217.31.12/dial/058361c
O16 - DPF: {F57D17AE-CE37-4BC8-B232-EA57747BE5E7} - http://66.98.176.62/EPlugin_CH.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Macromedia Shockwave Director Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: Win32 Classes - file://C:\WINDOWS\Java\classes\win32ie4.cab
Zum Voraus besten Dank für Deine Hilfe.
Gruss Jimmy