C:\WINNT\secure.html |
||
---|---|---|
#0
| ||
03.04.2004, 03:36
...neu hier
Beiträge: 3 |
||
|
||
03.04.2004, 05:45
Moderator
Beiträge: 7805 |
#32
Arbeite dic mal ein wenig durch die Links aus meinen vorherigen Postings und poste, wenn du das alles gemacht hast, ein neues log.
Diesen Eintrag solltest du aber vorher noch fixen: O16 - DPF: {11111111-1111-1111-1111-111111111123} - http://zalmancrave.ud-dial.biz/1/dexDE5XX.exe __________ MfG Ralf SEO-Spam Hunter |
|
|
||
03.04.2004, 13:26
...neu hier
Beiträge: 3 |
#33
Hallo Raman, ich habe die vorherigen Postings mal alle durchgearbeitet und mit meinem Logfile verglichen.
Die start seite ist weg! JUHU Sieht mein Log jetzt besser aus? Vielen Dank für deine Hilfe MfG Eddeee Logfile of HijackThis v1.97.7 Scan saved at 13:23:30, on 03.04.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\NVATray.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Browser mouse\1.3\mouse32a.exe C:\Programme\PTBSync\PTBSync.exe C:\Programme\Medionkeyboard\1.3\KbdAp32A.exe C:\PROGRA~1\AVG6\avgcc32.exe C:\Programme\AntiVirPersonal\AVSched32.EXE C:\Programme\Winamp5\winampa.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\FRITZ!\IWatch.exe C:\Programme\Winamp5\winamp.exe C:\PROGRA~1\AVG6\avgserv.exe C:\Programme\AntiVirPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\pctspk.exe C:\Programme\ICQ\ICQ.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Core Library - {6CDF3C49-20E6-48d7-811B-9F5DD17F1D90} - C:\WINDOWS\System32\sfg3f20.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NVIDIA nForce APU1 Utilities] NVATray.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\NDetect.exe O4 - HKLM\..\Run: [FLMK08KB] C:\Programme\Medionkeyboard\1.3\MMKEYBD.EXE O4 - HKLM\..\Run: [FLMMEDIONMOUSE] C:\Programme\Browser mouse\1.3\mouse32a.exe O4 - HKLM\..\Run: [PTBSync] C:\Programme\PTBSync\PTBSync.exe /Start O4 - HKLM\..\Run: [sureshotpopupkiller] "C:\Programme\Stop-the-Pop-Up Demo\stopthepop.exe" -minimized O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\AVG6\avgcc32.exe /STARTUP O4 - HKLM\..\Run: [Openwares LiveUpdate] C:\Program Files\LiveUpdate\LiveUpdate.exe O4 - HKLM\..\Run: [Popup Blocker Updater] regsvr32 /s C:\WINDOWS\System32\sfg3f20.dll O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AntiVirPersonal\AVSched32.EXE /min O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp5\winampa.exe" O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [AutoExit] C:\Programme\AutoExitWindows\AutoExit.exe O4 - HKCU\..\Run: [Ad Arrest] C:\Programme\Popup Killer - Ad Arrest IE\adarrest.exe O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Winamp.lnk = C:\Programme\Winamp5\winamp.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: ICQ (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Messenger (HKLM) O14 - IERESET.INF: START_PAGE_URL=http://www.internetcologne.de O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38065.1871180556 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = Eddy O17 - HKLM\Software\..\Telephony: DomainName = Eddy O17 - HKLM\System\CCS\Services\Tcpip\..\{B6073A52-4F24-46C3-B707-346C9586D6AB}: NameServer = 192.168.120.252,192.168.120.253 O17 - HKLM\System\CCS\Services\Tcpip\..\{F32DDACD-9680-4AEA-B37E-BF0960D421B7}: NameServer = 213.168.112.60 194.8.194.60 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = Eddy |
|
|
||
03.04.2004, 14:08
Moderator
Beiträge: 7805 |
#34
Kopiere Hijackthis in ein extra Verzeichniss( damit Backups von HJT estellt werden) und nimm nochmal folgendes raus:
O2 - BHO: Core Library - {6CDF3C49-20E6-48d7-811B-9F5DD17F1D90} - C:\WINDOWS\System32\sfg3f20.dll (*) O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [sureshotpopupkiller] "C:\Programme\Stop-the-Pop-Up Demo\stopthepop.exe" -minimized (*) O4 - HKLM\..\Run: [Openwares LiveUpdate] C:\Program Files\LiveUpdate\LiveUpdate.exe O4 - HKLM\..\Run: [Popup Blocker Updater] regsvr32 /s C:\WINDOWS\System32\sfg3f20.dll O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp5\winampa.exe" O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [AutoExit] C:\Programme\AutoExitWindows\AutoExit.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Winamp.lnk = C:\Programme\Winamp5\winamp.exe (*) = Schicke die Dateien bitte an virus@protecus.de __________ MfG Ralf SEO-Spam Hunter |
|
|
||
03.04.2004, 14:12
...neu hier
Beiträge: 4 |
#35
danke noch mal hat alles geklappt.
|
|
|
||
07.04.2004, 14:41
Mushroom
zu Gast
|
#36
hallo raman
Ich weiß das du dir bestimmt schon 100 von logfiles aungeschaut und den jeweiligen benutzern die probleme behoben hast ich habe aber auch schon tausende von treaths durchgelesen und echt alles versucht was in meiner macht steht aber bekomm es einfach nicht gebacken. wenn du mir vielleicht helfen könntest ? Also als erstes hab ich mit hijackthis alle R0 und R1 einträge gefixt aber ein paar davon kommen immer wieder. Dann hab ich unter HKEY_LOCAL_MACHINE den eintrag der START PAGE unter HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ Reg32= C:\Windows\Reg32.exe wieder in about:blank umbenannt aber das ändert sich auch immer hab dort dann auch die reg32.exe (welche bei mir irgendwie unter dem namen reg33.exe steht ) gelöscht kommt aber auch immer wieder. Wenn du mal in den Logfile reinschauen könntest : Logfile of HijackThis v1.97.7 Scan saved at 14:35:59, on 09.04.2003 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\htpatch.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\MMTrayLSI.exe C:\WINDOWS\System32\MMTray2k.exe C:\WINDOWS\System32\MMTray.exe C:\WINDOWS\System32\qttask.exe C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe C:\WINDOWS\System32\taskswitch.exe C:\dokume~1\daniel~1\lokale~1\temp\msbb.exe C:\WINDOWS\System32\Fast.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\dsndsa.exe C:\WINDOWS\reg33.exe C:\WINDOWS\reg33.exe C:\WINDOWS\dl.exe C:\WINDOWS\dlm.exe C:\WINDOWS\dl.exe C:\WINDOWS\dlm.exe C:\WINDOWS\System32\appsys.exe C:\Program Files\mIRC\mirc.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\Daniel-PC1\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\secure.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\secure.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\secure.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\secure.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\secure.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\secure.html O1 - Hosts file is located at: C:\WINDOWS\nsdb\hosts O1 - Hosts: 81.211.105.69 lender-search.com O1 - Hosts: 81.211.105.68 hot-searches.com O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll O2 - BHO: (no name) - {71ED4FBA-4024-4bbe-91DC-9704C93F453E} - (no file) O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll O2 - BHO: (no name) - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - C:\WINDOWS\System32\bridge.dll O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [MMTrayLSI] C:\WINDOWS\System32\MMTrayLSI.exe O4 - HKLM\..\Run: [MMTray2K] C:\WINDOWS\System32\MMTray2k.exe O4 - HKLM\..\Run: [MMTray] C:\WINDOWS\System32\MMTray.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\System32\qttask.exe" -atboottime O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe" O4 - HKLM\..\Run: [Belt] C:\WINDOWS\Belt.exe O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe O4 - HKLM\..\Run: [FastUser] C:\WINDOWS\System32\fast.exe O4 - HKLM\..\Run: [msbb] c:\dokume~1\daniel~1\lokale~1\temp\msbb.exe O4 - HKLM\..\Run: [jun] C:\WINDOWS\jun.exe O4 - HKLM\..\Run: [alchem] C:\WINDOWS\alchem.exe O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\System32\bridge.dll",Load O4 - HKLM\..\Run: [systray] C:\WINDOWS\System32\a.exe O4 - HKLM\..\Run: [dsndsa] C:\WINDOWS\System32\dsndsa.exe O4 - HKLM\..\Run: [Dial32] C:\WINDOWS\dl.exe O4 - HKLM\..\Run: [Dial33] C:\WINDOWS\dlm.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - HKLM\..\RunOnce: [tlc] C:\WINDOWS\update12.js O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_all.htm O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_link.htm O9 - Extra button: Preispiraten (HKLM) O9 - Extra button: SchnapperPlus (HKLM) O9 - Extra button: FlashGet (HKLM) O9 - Extra 'Tools' menuitem: &FlashGet (HKLM) O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://hard-virgins.com/dl/dmitriy/x.chm::/load.exe Ich danke dir jetzt schonmal und muss sagen das ich grossen respekt vor leuten wie dir habe !! Mushroom |
|
|
||
07.04.2004, 15:50
Moderator
Beiträge: 7805 |
#37
Du kannst es ja mal mit den Programmen aus diesem Link probieren: http://board.protecus.de/t9373.htm
oder fix das, vorher bitte Hijackthis in ein Extra Ordner verschieben, damit du auf die Backups zurueckgreifen kannst, falls noetig: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\secure.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\secure.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\secure.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\secure.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\secure.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\secure.html O1 - Hosts file is located at: C:\WINDOWS\nsdb\hosts O1 - Hosts: 81.211.105.69 lender-search.com O1 - Hosts: 81.211.105.68 hot-searches.com O2 - BHO: (no name) - {71ED4FBA-4024-4bbe-91DC-9704C93F453E} - (no file) O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll O2 - BHO: (no name) - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - C:\WINDOWS\System32\bridge.dll O4 - HKLM\..\Run: [Belt] C:\WINDOWS\Belt.exe O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe O4 - HKLM\..\Run: [FastUser] C:\WINDOWS\System32\fast.exe O4 - HKLM\..\Run: [msbb] c:\dokume~1\daniel~1\lokale~1\temp\msbb.exe O4 - HKLM\..\Run: [jun] C:\WINDOWS\jun.exe (*) O4 - HKLM\..\Run: [alchem] C:\WINDOWS\alchem.exe (*) O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\System32\bridge.dll",Load O4 - HKLM\..\Run: [systray] C:\WINDOWS\System32\a.exe (*) O4 - HKLM\..\Run: [dsndsa] C:\WINDOWS\System32\dsndsa.exe (*) O4 - HKLM\..\Run: [Dial32] C:\WINDOWS\dl.exe O4 - HKLM\..\Run: [Dial33] C:\WINDOWS\dlm.exe O4 - HKLM\..\RunOnce: [tlc] C:\WINDOWS\update12.js O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://hard-virgins.com/dl/dmitriy/x.chm::/load.exe (*) = Es waere nett, wenn du diese Dateien an virus@protecus.de schicken koenntest. Bitte denke daran, das wenn du die "fixvariante" waehlst, das die Dateien nachher immer noch auf deiner Festplatte sind(nicht alle Dateien die ich oben angegeben habe sind "boese"!) Also vieleicht nimmst du erst Spybot, adaware und cWshredder, und schaust danach, was noch uebrig geblieben ist. Nach der ganzen Aktion poste nbitte noch ein aktuelles Log. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
08.04.2004, 13:59
Mushroom
zu Gast
|
#38
Ok
habe jetzt spybot und cwshredder drüberlaufen lassen die haben da auch so einiges an dateien gefunden, hab dann auch die einträge gefixt wie du gesagt hast und siehe da es funktioniert. Keine meldung mehr. Hier trotzdem noch der logfile: Logfile of HijackThis v1.97.7 Scan saved at 13:51:55, on 10.04.2003 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\Fast.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\htpatch.exe C:\WINDOWS\System32\RunDll32.exe C:\WINDOWS\System32\MMTrayLSI.exe C:\WINDOWS\System32\MMTray2k.exe C:\WINDOWS\System32\MMTray.exe C:\WINDOWS\System32\qttask.exe C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe C:\WINDOWS\System32\taskswitch.exe C:\dokume~1\daniel~1\lokale~1\temp\msbb.exe C:\WINDOWS\dl.exe C:\WINDOWS\dlm.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\a2\a2guard.exe C:\WINDOWS\System32\tkrnlpan.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Daniel-PC1\Desktop\CWShredder.exe C:\Dokumente und Einstellungen\Daniel-PC1\Desktop\Neuer Ordner\HijackThis.exe O2 - BHO: (no name) - {000006B1-19B5-414A-849F-2A3C64AE6939} - C:\WINDOWS\bi.dll O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: (no name) - {71ED4FBA-4024-4bbe-91DC-9704C93F453E} - (no file) O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [MMTrayLSI] C:\WINDOWS\System32\MMTrayLSI.exe O4 - HKLM\..\Run: [MMTray2K] C:\WINDOWS\System32\MMTray2k.exe O4 - HKLM\..\Run: [MMTray] C:\WINDOWS\System32\MMTray.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\System32\qttask.exe" -atboottime O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe" O4 - HKLM\..\Run: [tkrnlpan] C:\WINDOWS\System32\tkrnlpan.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - HKCU\..\Run: [a²] "C:\Programme\a2\a2guard.exe" O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_all.htm O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_link.htm O9 - Extra button: Preispiraten (HKLM) O9 - Extra button: SchnapperPlus (HKLM) O9 - Extra button: FlashGet (HKLM) O9 - Extra 'Tools' menuitem: &FlashGet (HKLM) Ich muss dir wirklich danken es müsste mehr leute wie dich geben !!! RESPEKT und nochmals DANKE Ps: Welche datei soll ich denn an virus@protecus.de schicken den Logfile??? |
|
|
||
08.04.2004, 15:02
Moderator
Beiträge: 7805 |
#39
Nimm das bitte auch noch heraus:
O2 - BHO: (no name) - {000006B1-19B5-414A-849F-2A3C64AE6939} - C:\WINDOWS\bi.dll O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll O3 - Toolbar: (no name) - {71ED4FBA-4024-4bbe-91DC-9704C93F453E} - (no file) O4 - HKLM\..\Run: [tkrnlpan] C:\WINDOWS\System32\tkrnlpan.exe und die Datei C:\WINDOWS\System32\tkrnlpan.exe bitte an virus@protecus.de schicken. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
08.04.2004, 15:29
Mushroom
zu Gast
|
#40
ja hab ich gemacht
logfile sieht jetzt so aus : O2 - BHO: (no name) - {000006B1-19B5-414A-849F-2A3C64AE6939} - (no file) O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [MMTrayLSI] C:\WINDOWS\System32\MMTrayLSI.exe O4 - HKLM\..\Run: [MMTray2K] C:\WINDOWS\System32\MMTray2k.exe O4 - HKLM\..\Run: [MMTray] C:\WINDOWS\System32\MMTray.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\System32\qttask.exe" -atboottime O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - HKCU\..\Run: [a²] "C:\Programme\a2\a2guard.exe" O4 - HKLM\..\RunOnce: [SpyBotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_all.htm O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_link.htm O9 - Extra button: Preispiraten (HKLM) O9 - Extra button: SchnapperPlus (HKLM) O9 - Extra button: FlashGet (HKLM) O9 - Extra 'Tools' menuitem: &FlashGet (HKLM) Datei ist auch verschickt und noch vielmals danke für die mühe. |
|
|
||
08.04.2004, 15:41
Moderator
Beiträge: 7805 |
#41
Zur Kosmetik das noch raus und ich bin zufrieden! und danke fuer die DAtei.
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
08.04.2004, 15:57
Member
Beiträge: 1122 |
#42
@raman du hast die fixes vergessen
@Mushroom nimm das noch mal zur Kosmetik raus : O2 - BHO: (no name) - {000006B1-19B5-414A-849F-2A3C64AE6939} - (no file) O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe MFG DAFRA |
|
|
||
08.04.2004, 16:00
Moderator
Beiträge: 7805 |
||
|
||
08.04.2004, 17:20
Mushroom
zu Gast
|
||
|
||
09.04.2004, 21:05
artist
zu Gast
|
#45
Hallo Raman,
reicht es auch, wenn ich die Dateien reg33.exe, dlm.exe, dl.exe und sercure.html einfach lösche ? Und... macht dieses, was immer es auch sein mag, Virus oder was, irgendwas schlimmes außer die Startseite zu verändern ? |
|
|
||
Hatte mein Logfile auch schon mal geposted (am 19.3.)
Es wäre nett wenn du auch mal einen Blick hier rein werfen könntest
Vielen Dank
Logfile of HijackThis v1.97.7
Scan saved at 03:35:29, on 03.04.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\NVATray.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Browser mouse\1.3\mouse32a.exe
C:\Programme\PTBSync\PTBSync.exe
C:\Programme\Medionkeyboard\1.3\KbdAp32A.exe
C:\PROGRA~1\AVG6\avgcc32.exe
C:\Programme\AntiVirPersonal\AVSched32.EXE
C:\Programme\Winamp5\winampa.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\Winamp5\winamp.exe
C:\PROGRA~1\AVG6\avgserv.exe
C:\Programme\AntiVirPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\pctspk.exe
C:\Programme\ICQ\ICQ.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\Besitzer\LOKALE~1\Temp\xwxload.exe
C:\DOKUME~1\Besitzer\LOKALE~1\Temp\msldf.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Besitzer\LOKALE~1\Temp\Rar$EX00.156\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\secure.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\secure.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\secure.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\secure.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\secure.html
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Core Library - {6CDF3C49-20E6-48d7-811B-9F5DD17F1D90} - C:\WINDOWS\System32\sfg3f20.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NVIDIA nForce APU1 Utilities] NVATray.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\NDetect.exe
O4 - HKLM\..\Run: [FLMK08KB] C:\Programme\Medionkeyboard\1.3\MMKEYBD.EXE
O4 - HKLM\..\Run: [FLMMEDIONMOUSE] C:\Programme\Browser mouse\1.3\mouse32a.exe
O4 - HKLM\..\Run: [PTBSync] C:\Programme\PTBSync\PTBSync.exe /Start
O4 - HKLM\..\Run: [sureshotpopupkiller] "C:\Programme\Stop-the-Pop-Up Demo\stopthepop.exe" -minimized
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [Openwares LiveUpdate] C:\Program Files\LiveUpdate\LiveUpdate.exe
O4 - HKLM\..\Run: [Popup Blocker Updater] regsvr32 /s C:\WINDOWS\System32\sfg3f20.dll
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AntiVirPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp5\winampa.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [AutoExit] C:\Programme\AutoExitWindows\AutoExit.exe
O4 - HKCU\..\Run: [Ad Arrest] C:\Programme\Popup Killer - Ad Arrest IE\adarrest.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Winamp.lnk = C:\Programme\Winamp5\winamp.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.internetcologne.de
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {11111111-1111-1111-1111-111111111123} - http://zalmancrave.ud-dial.biz/1/dexDE5XX.exe
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38065.1871180556
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} - http://www.stardialer.de/install/StarInstall.ocx
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = Eddy
O17 - HKLM\Software\..\Telephony: DomainName = Eddy
O17 - HKLM\System\CCS\Services\Tcpip\..\{B6073A52-4F24-46C3-B707-346C9586D6AB}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{F32DDACD-9680-4AEA-B37E-BF0960D421B7}: NameServer = 213.168.112.60 194.8.194.60
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = Eddy