Hijacker Remove Tool läßt sich nicht starten!

#0
02.03.2004, 08:33
...neu hier

Beiträge: 4
#1 Tach

Ich hab einen Hijacker auf meinem Rechner. Dummerweise läßt sich Hijack.exe nicht starten.
Ich bekomme von Win ME die Meldung:"Hijack.exe ist keine zulässige Win32 Anwendung!"

Was ist denn da jetzt los?

Ich sitze hinter einem Router mit Firewall. Mich wundert sowieso, wie ich mir den einfangen konnte...

Mein Windoof läßt sich auch nicht updaten. Hängt das irgendiwe auch damit zusammen oder sind meine Security Einstellungen zu "scharf"?

doobie
Dieser Beitrag wurde am 02.03.2004 um 08:34 Uhr von doobie editiert.
Seitenanfang Seitenende
02.03.2004, 09:28
Moderator

Beiträge: 7805
#2 Dein Hijackthis( meinst du doch?) ist anscheinend defekt. du kannst die hier eine Neue Version herunterladen und das log dann hier posten: http://www.spywareinfo.com/~merijn/files/HijackThis.exe
__________
MfG Ralf
SEO-Spam Hunter
Dieser Beitrag wurde am 02.03.2004 um 09:28 Uhr von raman editiert.
Seitenanfang Seitenende
02.03.2004, 10:01
...neu hier

Themenstarter

Beiträge: 4
#3 Thx.
Der Link bzw. das Programm funzt.

Ich hab Hijacker jetzt mal scannen lassen und die komischen Einträge rausgelöscht, allerdings waren es wohl die falschen, weil nach einem Neustart hat sich nix geändert.
Hier kommt jetzt mal das log file. Welche Positionen muß ich den da fixen?

Zitat

Logfile of HijackThis v1.97.7
Scan saved at 10:09:04, on 02.03.2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\Trend Micro\PC-cillin 2002\Tmntsrv.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Trend Micro\PC-cillin 2002\PCCPFW.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
C:\WINNT\System32\khooker.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Trend Micro\PC-cillin 2002\pccguide.exe
C:\Programme\Trend Micro\PC-cillin 2002\PCCClient.exe
C:\Programme\Trend Micro\PC-cillin 2002\Pop3trap.exe
C:\WINNT\svchost.exe
C:\WINNT\vbrun.exe
C:\WINNT\System32\internat.exe
C:\Programme\Okidata\OKI LPR Utility\okilpr.exe
D:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://in.webcounter.cc/--/?toaqy (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.yoursearch247.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.yoursearch247.com/se.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.yoursearch247.com/se.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yoursearch247.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.yoursearch247.com/se.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://in.webcounter.cc/---/?toaqy (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://in.webcounter.cc/--/?toaqy (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.yoursearch247.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yoursearch247.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.yoursearch247.com/se.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.yoursearch247.com/se.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.yoursearch247.com/se.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://in.webcounter.cc/--/?toaqy (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.yoursearch247.com/se.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.68.135.150:8081
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://www.catlist.com/
R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://in.webcounter.cc/--/?toaqy (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://in.webcounter.cc/--/?toaqy (obfuscated)
O1 - Hosts: 1089288654 auto.search.msn.com
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SiS KHooker] C:\WINNT\System32\khooker.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programme\Trend Micro\PC-cillin 2002\pccguide.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "C:\Programme\Trend Micro\PC-cillin 2002\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Programme\Trend Micro\PC-cillin 2002\Pop3trap.exe"
O4 - HKLM\..\Run: [Soundmx] \soundmx.exe
O4 - HKLM\..\Run: [Online Service] C:\WINNT\svchost.exe
O4 - HKLM\..\Run: [VB_run] C:\WINNT\vbrun.exe
O4 - HKLM\..\Run: [Windows Security Assistant] C:\WINNT\system32\rundll32.vbe
O4 - HKLM\..\RunServices: [Windows Security Assistant] C:\WINNT\system32\rundll32.vbe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Windows Security Assistant] C:\WINNT\system32\rundll32.vbe
O4 - Global Startup: OKI LPR Utility.lnk = C:\Programme\Okidata\OKI LPR Utility\okilpr.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {486E48B5-ABF2-42BB-A327-2679DF3FB822} - http://akamai.downloadv3.com/binaries/IA/ia.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38047.9691898148
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://active.macromedia.com/flash2/cabs/swflash.cab
O16 - DPF: {FFFF0003-0001-101A-A3C9-08002B2F49FB} - http://sologratis.ath.cx/exe/ger***.xe
O17 - HKLM\System\CCS\Services\Tcpip\..\{3C7C9E56-0D1F-40B6-83D0-90AA32DE8C29}: NameServer = 192.68.135.150
O17 - HKLM\System\CS1\Services\Tcpip\..\{3C7C9E56-0D1F-40B6-83D0-90AA32DE8C29}: NameServer = 192.68.135.150
O17 - HKLM\System\CS2\Services\Tcpip\..\{3C7C9E56-0D1F-40B6-83D0-90AA32DE8C29}: NameServer = 192.68.135.150
O19 - User stylesheet: C:\WINNT\Web\tips.ini
O19 - User stylesheet: C:\WINNT\hh.htt (HKLM)
Die "neue" (ungewollte) Startseite ist yoursearch24.com...

doobie
Dieser Beitrag wurde am 02.03.2004 um 12:48 Uhr von raman editiert.
Seitenanfang Seitenende
02.03.2004, 10:20
Moderator

Beiträge: 7805
#4 Fix mal das:

O4 - HKLM\..\Run: [Soundmx] \soundmx.exe
O4 - HKLM\..\Run: [Online Service] C:\WINNT\svchost.exe
O4 - HKLM\..\Run: [VB_run] C:\WINNT\vbrun.exe
O4 - HKLM\..\Run: [Windows Security Assistant] C:\WINNT\system32\rundll32.vbe
O4 - HKLM\..\RunServices: [Windows Security Assistant] C:\WINNT\system32\rundll32.vbe
O4 - HKCU\..\Run: [Windows Security Assistant] C:\WINNT\system32\rundll32.vbe
O19 - User stylesheet: C:\WINNT\Web\tips.ini
O19 - User stylesheet: C:\WINNT\hh.htt (HKLM)

und alles mit "R" und "O1"

Dann neu starten und hier durcharbeiten: http://board.protecus.de/t9373.htm

Es waeere nett, wenn du mir diese Dateien schicken koenntest ( Adresse siehe mein Profil, oder virus@protecus.de):

C:\WINNT\vbrun.exe
C:\WINNT\system32\rundll32.vbe
C:\WINNT\Web\tips.ini
C:\WINNT\hh.htt
C:\WINNT\svchost.exe
soundmx.exe
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
02.03.2004, 12:22
Member

Beiträge: 1095
#5 Falls nach dem durcharbeiten von
http://board.protecus.de/t9373.htm

diese
O16 - DPF: {486E48B5-ABF2-42BB-A327-2679DF3FB822} - http://akamai.downloadv3.com/binaries/IA/ia.cab
016 - DPF: {FFFF0003-0001-101A-A3C9-08002B2F49FB} - http://sologratis.ath.cx/exe/ger***.xe
noch da sind
bitte fixen
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Dieser Beitrag wurde am 02.03.2004 um 12:48 Uhr von raman editiert.
Seitenanfang Seitenende
02.03.2004, 12:43
Member

Beiträge: 293
#6 hab das selbe problem, werde aber aus der log nicht schlau....

Zitat

Logfile of HijackThis v1.97.7
Scan saved at 12:41:14, on 02.03.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
D:\antivir\AVGUARD.EXE
D:\antivir\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Teledat\WCOM\SYSTEM\RVSCC.EXE
C:\WINNT\Explorer.EXE
C:\WINNT\system32\DeltTray.exe
D:\antivir\AVGNT.EXE
D:\Eumex\Capictrl.exe
D:\Winamp\Winamp.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Miranda IM\miranda32.exe
D:\antivir\INETUPD.EXE
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://81.211.105.43/search.php?v=5
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://81.211.105.43/index.php?v=5
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://81.211.105.43/index.php?v=5
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe Reader\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [PMXInit] C:\WINNT\system32\pmxinit.exe
O4 - HKLM\..\Run: [DeltTray] DeltTray.exe
O4 - HKLM\..\Run: [AVGCtrl] D:\antivir\AVGNT.EXE /min
O4 - Global Startup: CAPIControl.lnk = D:\Eumex\Capictrl.exe
O8 - Extra context menu item: Alles mit Net Transport downloaden - D:\XI\NETTRA~1\NTAddList.html
O8 - Extra context menu item: Mit Net Transport downloaden - D:\XI\NETTRA~1\NTAddLink.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea.com/downloads/rtpatch/EARTPX.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bul-online.de/scan/Msie/bitdefender.cab
O16 - DPF: {9F33B8BE-562D-11D6-B1AA-00E029347E53} (Recovery Class) - http://www.file-recovery.net/downloads/FileRecoveryDemo.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

startseite ist http://your-search.cc/.
außerdem hab ich das prog net transport schon vor längerer zeit wieder deinstalliert.... mit Regcleaner,trotzdem wird es noch im autorun angezeigt.
könnte mal jemand drüber gucken und mir sagen was ich fixen muss?
__________
Wir leben in einer kranken welt,aber ich bin stolz,dass ich dazu gehöre!
Seitenanfang Seitenende
02.03.2004, 12:52
Moderator

Beiträge: 7805
#7 Das ist auch ein Coolwebsearch hijacker. Einfach an den Rokop-security-Link halten.

@paff und doobie: Ich habe die Exedatei-Link aus dem Log entschaerft. Nicht das sich unbedacht da einer einen Dialer einfaengt!;)
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
02.03.2004, 13:55
Member

Beiträge: 1095
#8 @raman
Thanx for this ;)
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
02.03.2004, 19:57
...neu hier

Beiträge: 6
#9 ******* C:\WINNT\System32\khooker.exe ******** aus dem ersten Post kenne ich nicht....
Seitenanfang Seitenende
02.03.2004, 20:33
Moderator

Beiträge: 7805
#10 Die Datei gehoert wohl zu den Treibern des SIS Chipsatzes.
Gerade auf sysinfo gefunden: SiS Keyboard Daemon. System Tray utility which gets installed by the drivers of the latter day SiS VGA cards
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
02.03.2004, 22:32
Member

Beiträge: 1095
#11 @080815
Hier ein Heißer Tip
http://www.windowsstartup.com/wso/search.php

Dürfen aber auch andere benutzen ;)
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
02.03.2004, 23:00
...neu hier

Beiträge: 2
#12 Hallo. Ich hoffe, hier ist wer, der mir helfen kann. Ich habe - nach einigen Schwierigkeiten - die hijack.exe starten können. Hier mein log-file:
Logfile of HijackThis v1.97.7
Scan saved at 22:48:29, on 02.03.2004
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE
C:\WINNT\System32\svchost.exe
C:\Programme\F-Secure\Anti-Virus\fsgk32st.exe
C:\Programme\F-Secure\Anti-Virus\FSGK32.EXE
C:\WINNT\System32\mgabg.exe
C:\Programme\F-Secure\Anti-Virus\fssm32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\F-Secure\Common\FSMA32.EXE
C:\Programme\F-Secure\Common\FSMB32.EXE
C:\Programme\F-Secure\Common\FCH32.EXE
C:\Programme\F-Secure\BackWeb\7681197\Program\BackWeb-7681197.exe
C:\Programme\F-Secure\Common\FNRB32.EXE
C:\Programme\F-Secure\Common\FAMEH32.EXE
C:\Programme\F-Secure\Common\FIH32.EXE
C:\Programme\F-Secure\Anti-Virus\fsav32.exe
C:\WINNT\Explorer.exe
C:\WINNT\System32\PDesk\PDesk.exe
C:\Programme\F-Secure\Common\FSM32.EXE
C:\PROGRA~1\Adaptec\EASYCD~1\CreateCD\CreateCD.exe
C:\WINNT\System32\internat.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\wzip80d\winzip32.exe
C:\DOKUME~1\Silke\LOKALE~1\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.msn.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINNT\System32\PDesk\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [CreateCD] C:\PROGRA~1\Adaptec\EASYCD~1\CreateCD\CreateCD.exe -r
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O12 - Plugin for .jsp&time=1042891764539&topic1=immobilien&topic2=baufinanzierung&WebLogicSession=PilCp7AqVN03Dx2MtDmTVfJNJXdRM17qFNagjYul9g2HmEva37lL|2821092868997257061/-1: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {1E50B82A-0D78-48B9-97EC-391B2F81CE8A} (IELoaderCtl Class) - http://acxd.freeload.cc/ieloader.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://212.105.78.59/cult.cab
O16 - DPF: {AB1E62EB-3DE3-428F-A417-64AB3C9B6CF0} (eConn Class) - http://econnect.libereco.net/econnect.cab
O16 - DPF: {AE7E5F20-35C3-11D2-A16C-006008662F80} (Internet-Banking) - https://www.onlinebankservice.de/brokat/srwgib187.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{378AC590-D446-4C76-AE52-1119CC690511}: NameServer = 62.104.191.241 62.104.196.134


Sieht hier jemand etwas?
Ich hatte den lovesan auf meinem PC, der allerdings entfernt wurde. Ich erhalte jedoch immer noch die Meldung "scvhost.exe" hat Fehler verursacht. Ab und an stürzt Excel ab...etc ...etc..
Ich bitte um Hilfe.
Merci
Silke
Seitenanfang Seitenende
03.03.2004, 00:09
Member

Beiträge: 1095
#13 Hi Silke

Das hier bitte Fixen
O16 - DPF: {1E50B82A-0D78-48B9-97EC-391B2F81CE8A} (IELoaderCtl Class) - http://acxd.freeload.cc/ieloader.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://212.105.78.59/cult.cab
O16 - DPF: {AB1E62EB-3DE3-428F-A417-64AB3C9B6CF0} (eConn Class) - http://econnect.libereco.net/econnect.cab

Dann bitte mal das hier durcharbeiten
http://board.protecus.de/t9373.htm

und poste dann nochmal das HiJackThis Logfile

und ganz wichtig bei dir
machmal www.windowsupdate.com

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
03.03.2004, 12:05
...neu hier

Themenstarter

Beiträge: 4
#14 Danke an alle!
Der Hijacker ist weg. Wenn ich jetzt noch das blöde Windoof updaten kann, bin ich wirklich glücklich. Da bekomme ich nämlich auch so ne hübsche Fehlermeldung, obwohl Active X (noch) zugelassen ist.

Zitat

Windows Update Site meldete
Windows Update-Fehler

Es ist ein Fehler aufgetreten. Windows Update kann die gewünschte Seite nicht anzeigen.
Wählen Sie eine der folgenden Seiten, um Informationen über Windows Update-Dienste zu erhalten, oder senden Sie uns Ihr Feedback.

Windows Update-Homepage
Info
Supportinformationen

Nutzen Sie den Onlinesupport, falls bei Windows Update Fehler auftreten sollten.

Fehlernummer an Microsoft senden (0x800A138F)
Hinweis Hiermit werden Fehlerinformationen gesendet, jedoch kein Supportereignis erstellt. Möglicherweise erhalten Sie keine Antwort.
@raman: Die Dateien hab ich dir in ein zip File gepackt.

doobie
Dieser Beitrag wurde am 03.03.2004 um 12:12 Uhr von doobie editiert.
Seitenanfang Seitenende
03.03.2004, 22:48
...neu hier

Beiträge: 2
#15 Hallo Paff!
Die Dateien habe ich gefixt. Die File, den Du mir angegeben hast, kann ich nicht öffnen. Bleibe immer auf halber Stelle stehen.
Hier meine momentane Logfile. Kannst Du mir sagen, was hier bei mir schief läuft? Liegt das noch an dem lovesan, der drauf war oder ist hier ein Trojaner am Werk? Wer weiß was?
Merci vorab.
Gruss
Silke
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: