C:\WINNT\secure.html

#0
18.07.2004, 13:23
Moderator

Beiträge: 7805
#91 Fixe mal folgendes im abgesicherten Modus:


R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://gkn.directwebsearch.net/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://gkn.directwebsearch.net/search.php
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://gkn.directwebsearch.net/search.php
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://gkn.directwebsearch.net/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\secure.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://gkn.directwebsearch.net/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://gkn.directwebsearch.net/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://gkn.directwebsearch.net/search.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\secure.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\secure.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://gkn.directwebsearch.net/search.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://gkn.directwebsearch.net/search.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://gkn.directwebsearch.net/search.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\secure.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://gkn.directwebsearch.net/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://gkn.directwebsearch.net/search.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://gkn.directwebsearch.net/search.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://gkn.directwebsearch.net/search.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\secure.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\secure.html
O2 - BHO: NavErrRedir Class - {0428FFC7-1931-45b7-95CB-3CBB919777E1} - (no file)
O2 - BHO: Cls - {CF021F40-3E14-23A5-CBA2-717765721306} - C:\WINDOWS\SYSTEM\WER1306.DLL
O4 - HKLM\..\Run: [winupd] C:\WINDOWS\SYSTEM\winupd.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\RunServices: [Vshwin32EXE] C:\PROGRAMME\PLUS!\VIRUSCAN\VSHWIN32.EXE
O4 - HKCU\..\Run: [FolderShare] "C:\PROGRAMME\FOLDERSHARE\FOLDERSHARE.EXE" /background
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.xxxtoolbar.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O16 - DPF: ConferenceRoom Java Client - http://irc1.bluewin.ch/java/cr.cab
O16 - DPF: {C723F10A-3D1B-44DA-BEFC-1E464EAED096} (Flatcast Producer 4.7) - http://www.flatcast.com/objects/NpFp47.dll
O16 - DPF: {13B03B06-C0DF-4522-BDBA-E0B2365C72A5} (Flatcast Viewer 4.7) - http://www.interactiv-plus.de/flatcast/NpFv47.dll
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/09cc0249da84626f7a06/netzip/RdxIE601_de.cab
O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C5} (GameDesire Snooker) - http://67.15.48.49/g_bin/eng/snooker_2_0_0_20.cab
O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C1} (GINBILLARD8 Class) - http://66.98.132.156/g_bin_eng/billard8_2_0_0_17.cab
O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C4} (GINBILLARDT Class) - http://66.98.132.156/g_bin_eng/billardt_2_0_0_17.cab
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: Win32 Classes - file://C:\WINDOWS\Java\classes\win32ie4.cab
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!http://69.50.173.252/bonus.chm::/winpromo.exe
O21 - SSODL: System - {798D1A80-D59A-11D8-9E35-0040F479B295} - C:\WINDOWS\system32\system32.dll
O21 - SSODL: OLE Automation Module - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - C:\WINDOWS\SYSTEM\child.dll
Starte dann neu und schicke bitte folgende Dateien an virus@protecus.de:
C:\WINDOWS\system32\system32.dll
C:\WINDOWS\SYSTEM\child.dll
C:\WINDOWS\SYSTEM\WER1306.DLL
__________
MfG Ralf
SEO-Spam Hunter
Dieser Beitrag wurde am 18.07.2004 um 13:26 Uhr von raman editiert.
Seitenanfang Seitenende
18.07.2004, 13:41
...neu hier

Beiträge: 4
#92 Hi, vielen vielen Dank für die Antwort. Ich verstehe nur nicht ganz was fixen heisst, tönt jetzt vielleicht ein bisschen dumm, ist aber so. Wie fixe ich etwas? Fixen = Registereintrag löschen?
Seitenanfang Seitenende
18.07.2004, 13:43
Moderator

Beiträge: 7805
#93 Nein fixen bedeutet, die Eintraege die ichdir genannt habe zu markieren und dann "fix checked" druecken.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
18.07.2004, 13:50
...neu hier

Beiträge: 4
#94 Aso in diesem Programm. Dann mach ich das mal, danke für die schnelle Antwort ;)

EDIT:
Also ich hab das jetzt bis auf die Mail schicken gemacht und die Startseite ist weg ;) Vielen Dank. Doch seit ich diese Startseite hatte können meine beiden Browser Javascripts irgendwie nicht mehr ausführen :\ Und deshalb komm ich beim Bluewin nicht mal zu meinem Mailaccount und bei Yahoo kann ich nichts anhängen... Ist dir so ein Problem im Zusammenhang bekannt?

Nochmal viiiiiieeelen DANK!!!
Dieser Beitrag wurde am 18.07.2004 um 14:13 Uhr von Benj editiert.
Seitenanfang Seitenende
18.07.2004, 15:36
Moderator

Beiträge: 7805
#95 Wuesste so nicht, warum es daran liegen sollte, aber du kannst ja mal deinen Browser(Mozilla oder Opera?) neu installieren. Oder beim IE mal die Sicherheitsoptionen(internet) wieder auf Standardstufe "mittel" stellen.

Du solltest dir vieleicht mal ueberlegen, dir einen Mailer(von Opera oder Mozilla) einzurichten.
__________
MfG Ralf
SEO-Spam Hunter
Dieser Beitrag wurde am 18.07.2004 um 15:37 Uhr von raman editiert.
Seitenanfang Seitenende
18.07.2004, 15:38
...neu hier

Beiträge: 4
#96 Ah, hab den IE nochmal neu installiert und jetzt klappts wieder ;) Nur die Datei WER1306.DLL finde ich nicht, ich hab nur ne .ini-Datei die so heisst... Meinst du die?
Seitenanfang Seitenende
18.07.2004, 16:15
Moderator

Beiträge: 7805
#97 Nein, eigentlich nicht, aber schicke die ini mal.....
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
30.10.2004, 22:58
Member

Beiträge: 13
#98 hallöchen Leute
Bitte, was muss ich hier fixen ?
Danke im Voraus ;)

Logfile of HijackThis v1.98.2
Scan saved at 21:24:41, on 30.10.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\ELABORATE BYTES\CLONEDVD\ANYDVD\ANYDVD.EXE
C:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\AOL\ACS\AOLACSD.EXE
C:\PROGRAMME\AOL 9.0\WAOL.EXE
C:\PROGRAMME\AOL 9.0\SHELLMON.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\AOL\AOLTPSPD.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\SPYBOT - SEARCH & DESTROY\UPDATE.EXE
C:\PROGRAMME\SPYWAREGUARD\SGMAIN.EXE
C:\PROGRAMME\SPYWAREGUARD\SGBHP.EXE
C:\PROGRAMME\ZUSATZPROGRAMME\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.com/0SEENUS/SAOS10
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aol.de/e60/
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\PROGRAMME\SPYWAREGUARD\DLPROTECT.DLL
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE"
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRA~1\AVPERS~1\AVGCTRL.EXE /min
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SPYSWEEPER.EXE" /0
O4 - HKCU\..\RunServices: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SPYSWEEPER.EXE" /0
O4 - Startup: SpywareGuard.lnk = C:\Programme\SpywareGuard\sgmain.exe
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net
Seitenanfang Seitenende
31.10.2004, 00:29
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#99 Hallo@schnappi

Lade dieses Tool
#LSPfix.exe
http://www10.brinkster.com/expl0iter/freeatlast/L2M/ts.htm
<"I know what I'm doing"

Deinstalliere ein Programm unter "Software" , es muesste <NewDotNet< heissen.
Dann bringst du mit dem Tool <LSPfix.exe< die <newdotnet5_48.dll< von der linken auf die rechte Seite und loescht sie.

Dann poste das Log noch mal.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
03.11.2004, 10:15
Member

Beiträge: 13
#100 @ sabina
ok ... hat etwas gedauert, aber es ist nicht mein rechner und mein kumpel kennt sich nicht so aus, da anfänger.

NächsterLogfile of HijackThis v1.98.2
Scan saved at 04:04:28, on 03.11.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\AOL\ACS\AOLACSD.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\AOL\ACS\AOLDIAL.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE
C:\PROGRAMME\AOL 9.0A\AOLTRAY.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\ZUSATZPROGRAMME\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aol.de/e60/
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\PROGRAMME\SPYWAREGUARD\DLPROTECT.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [AVSCHED32] C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE /min
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe
O4 - HKLM\..\RunServices: [AolAcsDaemon1] "C:\PROGRAMME\GEMEINSAME DATEIEN\AOL\ACS\AOLACSD.EXE"
O4 - Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0a\aoltray.exe
O4 - Startup: 96053GPF.gdp
O4 - Global Startup: ~msexist.tmp
Seitenanfang Seitenende
03.11.2004, 10:20
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#101 Hallo@schnappi

Fixe:
O4 - Startup: 96053GPF.gdp
O4 - Global Startup: ~msexist.tmp

neustarten

Deinstalliere fuer 15 Tage das Free-Antivirentool und lade.
#eScan-Trial
http://www.mwti.net/antivirus/escan/escandl_antivirus.asp (15-Tage- trial-Freeversion)
klicke auf: awn2k3e.exe
scanne und dann poste das neue Log noch mal.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 03.11.2004 um 10:20 Uhr von Sabina editiert.
Seitenanfang Seitenende
03.11.2004, 10:31
Member

Beiträge: 13
#102 @ sabina
werde meinem kumpel bescheid sagen ... danke dir.
frage:
was für ein prog soll ich deinstallieren ?
oder war es ein verschreiber und du meintest installieren?
gruss schnappi
Seitenanfang Seitenende
03.11.2004, 10:41
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#103 Deinstalliere= Loeschen (den Free-Antivirus, weil man nicht zwei Antivirentools haben soll.)

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
03.11.2004, 10:42
Member

Beiträge: 13
#104 @ sabina
ah schooooo .... ;)
Seitenanfang Seitenende
03.11.2004, 20:55
Member

Beiträge: 13
#105 @ sabina
ich hoffe, mein kumpel hat alles richtig gemacht ?!
hier sein logfile, dass er mir geschickt hat.

iLogfile of HijackThis v1.98.2
Scan saved at 15:45:16, on 03.11.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\AOL\ACS\AOLACSD.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\AOL\ACS\AOLDIAL.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\AOL 9.0A\AOLTRAY.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\ZUSATZPROGRAMME\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aol.de/e60/
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\PROGRAMME\SPYWAREGUARD\DLPROTECT.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe
O4 - HKLM\..\RunServices: [AolAcsDaemon1] "C:\PROGRAMME\GEMEINSAME DATEIEN\AOL\ACS\AOLACSD.EXE"
O4 - Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0a\aoltray.exe
Seitenanfang Seitenende