Internet Explorer schließt von selbst und Win XP startet neu

#0
27.06.2004, 19:24
...neu hier
Avatar Oberon379

Beiträge: 5
#16 Hi
Danke für die schnelle Antwort :o)
Ich hab da nur 2 Kleine Probs:
1. "Deaktiviere die Wiederherstellung" wie? wo?
2. Das ich bei hijack this überhaupt bis zum log file gekommen bin war schon schwer... ich denke nicht das ich es in der kurzen Zeit schaffen werde die ganzen sachen zu markieren, bevor mir der Hijacker das Prog schliesst ;)
Seitenanfang Seitenende
27.06.2004, 20:05
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#17 http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

# Klicken Sie auf "Start" > "Alle Programme" > "Zubehör" > "Windows-Explorer".
# Klicken Sie mit der rechten Maustaste auf "Arbeitsplatz" und dann auf "Eigenschaften".
# Klicken Sie auf die Registerkarte "Systemwiederherstellung".
# Aktivieren Sie das Kontrollkästchen "Systemwiederherstellung deaktivieren" oder "Systemwiederherstellung auf allen Laufwerken deaktivieren" (siehe Abbildung).

Du musst nicht unbedingt mit dem HijackThis arbeiten

Gehe gleich in den abgesicherten Modus und sauebere die Host und dann alles andere.
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 27.06.2004 um 20:07 Uhr von Sabina editiert.
Seitenanfang Seitenende
28.06.2004, 13:22
...neu hier
Avatar Oberon379

Beiträge: 5
#18 Logfile of HijackThis v1.97.7
Scan saved at 13:03:17, on 28.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\j2re1.4.2_02\bin\jusched.exe
C:\WINDOWS\Mixer.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
E:\Programme\AVguard\AVGNT.EXE
E:\Programme\Tweak Xp\AdBlocker.exe
C:\WINDOWS\System32\ctfmon.exe
E:\ww\Webroot\Washer\wwDisp.exe
E:\StoneScanV3\StoneScan.exe
E:\Programme\AVguard\AVGUARD.EXE
C:\WINDOWS\system32\ati2sgag.exe
E:\Programme\AVguard\AVWUPSRV.EXE
C:\WINDOWS\system32\RAMASST.exe
C:\WINDOWS\System32\DVDRAMSV.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mvdmlb.outhost.info/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://mvdmlb.outhost.info/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://mvdmlb.outhost.info/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://mvdmlb.outhost.info/sp.php
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://mvdmlb.outhost.info/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://mvdmlb.outhost.info/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://mvdmlb.outhost.info/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Tobias Browser
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_02\bin\jusched.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] E:\Programme\AVguard\AVGNT.EXE /min
O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\TOBI~1.TOB\LOKALE~1\Temp\mwavscan.com" /s
O4 - HKLM\..\Run: [Network Service] C:\WINDOWS\svhost.exe -sr -0
O4 - HKCU\..\Run: [BlockAds] "E:\Programme\Tweak Xp\AdBlocker.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] e:\botSD\TeaTimer.exe
O4 - HKCU\..\Run: [Window Washer] E:\ww\Webroot\Washer\wwDisp.exe
O4 - HKCU\..\Run: [StoneScan] E:\StoneScanV3\StoneScan.exe
O4 - HKCU\..\Run: [Network Service] C:\WINDOWS\svhost.exe -sr -0
O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - D:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38159.5950115741
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6C8BD90B-63A3-45D8-B94C-699870479AC1}: NameServer = 192.168.0.254
O17 - HKLM\System\CCS\Services\Tcpip\..\{EA7AF2AE-F824-4E41-A858-8BEC7E81DF46}: NameServer = 192.168.0.254

PS: AntiVir findet: BDS/HacDef.073.B.1
trendmicro online scan findet nichts
Startseite und host sind wieder verändert worden, hijack this wir immernoch unterbrochen die andere seite von a2 wird geschlossen
svchost trägt sich sobald ich es aus der Registry hole nach 2 Sek wieder ein
systemsteuerung<Verwaltung<Dienste <Network Service gibts bei mir nicht
:.-(
Dieser Beitrag wurde am 28.06.2004 um 13:24 Uhr von Oberon379 editiert.
Seitenanfang Seitenende
28.06.2004, 15:16
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#19 @Oberon379

Lade
#Sygate free...Firewall
http://smb.sygate.com/products/spf_standard.htm

http://www.microsoft.com/technet/security/bulletin/MS03-001.mspx
http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx


Fixe mit dem HijackThis...falls es nicht deine Startseite ist.....

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mvdmlb.outhost.info/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://mvdmlb.outhost.info/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://mvdmlb.outhost.info/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://mvdmlb.outhost.info/sp.php
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://mvdmlb.outhost.info/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://mvdmlb.outhost.info/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://mvdmlb.outhost.info/sp.php

O4 - HKLM\..\Run: [Network Service] C:\WINDOWS\svhost.exe -sr -0
O4 - HKCU\..\Run: [Network Service] C:\WINDOWS\svhost.exe -sr -0


neustarten


#Gehe in den abgesicherten Modus und dann in die Registry

Start\Ausfuehren\regedit

loesche [Network Service

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\


schliesse die Registry

Loesche
C:\WINDOWS\svhost.exe

#HOSTS-Datei im Ordner <SYSTEM>\drivers\etc\hosts. ... nur einen Eintrag für localhost, der auf die Loopback-Adresse 127.0.0.1

........................................................................................................
Schau mal bitte, was unter diesen Schluesseln eingetragen ist >
Netzwerk-Registrierungseinträge unter
HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters:
"AutoShareWks"=
"AutoShareServer

#mache einen Vollscann mit dem Antivir. \alle Dateien scannen\ einstellen und ALLES loeschen, was angezeigt wird.

normal neustarten

#Lade escn mwav.exe und scanne \alle Dateien\.
http://www.mwti.net/antivirus/free_utilities.asp

#Dann lade CWShredder
http://www.spywareinfo.com/~merijn/downloads.html
#Lade AdAware free
http://www.lavasoft.de/
#Lade Spyware
http://beam.to/spybotsd


#Loesche unter InternetOptionen die TemporaryInternetFiles und auch die OfflineInhalte und stelle eine neue Startseite ein.

Dann poste das Log noch einmal.
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 28.06.2004 um 15:34 Uhr von Sabina editiert.
Seitenanfang Seitenende
28.06.2004, 20:20
...neu hier
Avatar Oberon379

Beiträge: 5
#20 Logfile of HijackThis v1.97.7
Scan saved at 18:19:46, on 28.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
E:\Sygate Wall\smc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\j2re1.4.2_02\bin\jusched.exe
C:\WINDOWS\Mixer.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
E:\Programme\AVguard\AVGNT.EXE
E:\Programme\Tweak Xp\AdBlocker.exe
C:\WINDOWS\System32\ctfmon.exe
E:\Programme\AVguard\AVGUARD.EXE
E:\ww\Webroot\Washer\wwDisp.exe
E:\StoneScanV3\StoneScan.exe
E:\Programme\AVguard\AVWUPSRV.EXE
C:\WINDOWS\System32\DVDRAMSV.exe
C:\WINDOWS\system32\RAMASST.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\Dokumente und Einstellungen\Tobi.TOBIAS\Desktop\Hallo Jack.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Tobias Browser
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_02\bin\jusched.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] E:\Programme\AVguard\AVGNT.EXE /min
O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\TOBI~1.TOB\LOKALE~1\Temp\mwavscan.com" /s
O4 - HKLM\..\Run: [SmcService] E:\SYGATE~1\smc.exe -startgui
O4 - HKCU\..\Run: [BlockAds] "E:\Programme\Tweak Xp\AdBlocker.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] e:\botSD\TeaTimer.exe
O4 - HKCU\..\Run: [Window Washer] E:\ww\Webroot\Washer\wwDisp.exe
O4 - HKCU\..\Run: [StoneScan] E:\StoneScanV3\StoneScan.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - D:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38159.5950115741
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6C8BD90B-63A3-45D8-B94C-699870479AC1}: NameServer = 192.168.0.254
O17 - HKLM\System\CCS\Services\Tcpip\..\{EA7AF2AE-F824-4E41-A858-8BEC7E81DF46}: NameServer = 192.168.0.254


svhost ist nicht mehr in der registry genauso die startsete toolbar etc :-)
Backdoor prog immernoch jedes mal in C:\Windows :-(
Hijack this läuft jetzt ohne Unterbrechung :-)
Im hosts File zwar immernoch die falschen hosts jetzt aber jeder unter 127.0.0.1 *g*
Antivir findet nichts neues (ausser den Backdoor Prog.)
C:\WINDOWS\svhost.exe gibtz bei mir nicht (mehr?) oder ist nicht sichtbar
A propos sichtbar einige Sicherheitstool verschwinden immernoch zb der cwshredder (lässt sich aber wenn ich schnell genug bin ohne unterbrechung ausführen

HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters:
"AutoShareWks"=
"AutoShareServer

gibt es bei mir nicht

http://www.microsoft.com/technet/security/bulletin/MS03-001.mspx
http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx

reagiert nicht auf download wünsch meinerseits die updates sollte ich aber bereits haben

Firewarll ist drauf AdAware 6 auch (hat nichts gefunden)
PS: manchmal fährt mein rechner nicht mehr richtig runter, und seit dem Hijacker geht der Neustart nicht mehr (er fährt nur runter )

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
sind entfernt
Seitenanfang Seitenende
29.06.2004, 01:24
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#21 Ich hoffe, du hast nicht die kompletten Schluessel geloescht, sondern nur den Virus Network Service....;) dann musst du neu XP installieren , falls du kein BackUp gemacht hast...
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
29.06.2004, 13:59
...neu hier
Avatar Oberon379

Beiträge: 5
#22 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run gibtz bei mir noch den starndard schlüssel
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
hab ich wohl ganz gelöscht O_o

Ps: hosts datei jetzt leer
hxdefdrv.sys ist übrigens die backdoordatei die bei jedem neusatrt entseht
dateien sind immernoch unsichtbarnach ein paar sek. (shredder + Hijackthis (wenn nicht umbenannt))

Logfile of HijackThis v1.97.7
Scan saved at 14:00:37, on 29.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
E:\Sygate Wall\smc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RAMASST.exe
E:\Programme\AVguard\AVGUARD.EXE
E:\Programme\AVguard\AVWUPSRV.EXE
C:\WINDOWS\System32\DVDRAMSV.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\System32\ctfmon.exe
D:\mozilla-win32-1.7rc3-de-AT\mozilla\mozilla.exe
C:\Dokumente und Einstellungen\Tobi.TOBIAS\Desktop\Hallo Jack.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Tobias Browser
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - D:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38159.5950115741
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6C8BD90B-63A3-45D8-B94C-699870479AC1}: NameServer = 192.168.0.254
O17 - HKLM\System\CCS\Services\Tcpip\..\{EA7AF2AE-F824-4E41-A858-8BEC7E81DF46}: NameServer = 192.168.0.254
Seitenanfang Seitenende
30.06.2004, 12:42
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#23 #Gehe noch einmal in die Registry
Start<Ausfuehren<regedit
Gehe zum Schluessel

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion


dort klickst du auf <CurrentVersion< mit der linken Maustaste.
Dann waehlst du <neu<und <Key< oder in Deutsch heisst das wahrscheinlich <Schluessel<
In das kleine Fenster, was sich oeffnet, schreibst du rein: Run

Dann drueckst du ebenfalls mit der linken Maustaste rechts von der Registry
Das kleine Fenster, was sich nun oeffnet...waehle
<REG SZ< und dann schreibst du in den neuen Schluessel: (default)

schliesse die Registry und starte den Computer neu
.........................................................................................................
dann
Fixe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://

neustarten


1. schau noch mal, ob da wirklich 127.0.0.1 lokalhost drinsteht ...alles andere loeschen
C:\WINNT\system32\drivers\etc\hosts

2.Lade Adaware free
Das duerfte die Malware loeschen
http://www.lavasoft.de/support/download/

3. Dann lade Die Firewall Sygate free, damit man sieht, ob sich wieder ein Programm im Autostart eintraegt
http://smb.sygate.com/products/spf_standard.htm

4 Loesche die TemporaryInternetFiles unter InternetOptionen und stelle eine neue Startseite ein.
Dann poste das Log noch mal.

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 30.06.2004 um 13:05 Uhr von Sabina editiert.
Seitenanfang Seitenende
18.12.2007, 14:16
...neu hier

Beiträge: 1
#24 Ich hatte auch das proplem nachdem ich ein programm installirt habe das ein troianer war :-( Ich habe also meine system 32 datei durchsucht und binn fündig geworden. Der troianer bei mir heist rundll32.exe (voll dumm der typ der den gemacht hat im namen mit dll un dann .exe lol ) Aufjeden fall habe ich meine firewall nach dieser exe suchen lassen und den internet zugriff gesperrt. Nur doof das nach jedem neustart der zugang wieder frei war (löschen ging nicht das din hing im bios fest und hat sich bei jedem systemstart neu installirt) dann habe ich in der windows config den autostart für dise datei gelöscht und nun fuktionirt alles wieder wie es soll nix beendet sich der computer bleibt an alles so wie es sein soll.

MFG Xasir
Dieser Beitrag wurde am 18.12.2007 um 14:20 Uhr von Xasir editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: