Home » Spyware & Browser Hijacker Support Forum » Internet Explorer schließt von selbst und Win XP startet neu » Themenansicht
Internet Explorer schließt von selbst und Win XP startet neu |
||
|---|---|---|
| #0
| ||
|
27.06.2004, 19:24
...neu hier
 Beiträge: 5 |
||
 
|
|
|
|
27.06.2004, 20:05
Ehrenmitglied
 Beiträge: 29434 |
#17
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924
# Klicken Sie auf "Start" > "Alle Programme" > "Zubehör" > "Windows-Explorer". # Klicken Sie mit der rechten Maustaste auf "Arbeitsplatz" und dann auf "Eigenschaften". # Klicken Sie auf die Registerkarte "Systemwiederherstellung". # Aktivieren Sie das Kontrollkästchen "Systemwiederherstellung deaktivieren" oder "Systemwiederherstellung auf allen Laufwerken deaktivieren" (siehe Abbildung). Du musst nicht unbedingt mit dem HijackThis arbeiten Gehe gleich in den abgesicherten Modus und sauebere die Host und dann alles andere. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 27.06.2004 um 20:07 Uhr von Sabina editiert.
|
|
|
|
|
|
|
28.06.2004, 13:22
...neu hier
Beiträge: 5 |
#18
Logfile of HijackThis v1.97.7
Scan saved at 13:03:17, on 28.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\userinit.exe C:\WINDOWS\Explorer.EXE C:\Programme\Java\j2re1.4.2_02\bin\jusched.exe C:\WINDOWS\Mixer.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe E:\Programme\AVguard\AVGNT.EXE E:\Programme\Tweak Xp\AdBlocker.exe C:\WINDOWS\System32\ctfmon.exe E:\ww\Webroot\Washer\wwDisp.exe E:\StoneScanV3\StoneScan.exe E:\Programme\AVguard\AVGUARD.EXE C:\WINDOWS\system32\ati2sgag.exe E:\Programme\AVguard\AVWUPSRV.EXE C:\WINDOWS\system32\RAMASST.exe C:\WINDOWS\System32\DVDRAMSV.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http:// R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http:// R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http:// R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mvdmlb.outhost.info/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://mvdmlb.outhost.info/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http:// R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://mvdmlb.outhost.info/sp.php R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://mvdmlb.outhost.info/sp.php R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http:// R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://mvdmlb.outhost.info/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http:// R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http:// R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://mvdmlb.outhost.info/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http:// R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://mvdmlb.outhost.info/sp.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Tobias Browser O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_02\bin\jusched.exe O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [AVGCtrl] E:\Programme\AVguard\AVGNT.EXE /min O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\TOBI~1.TOB\LOKALE~1\Temp\mwavscan.com" /s O4 - HKLM\..\Run: [Network Service] C:\WINDOWS\svhost.exe -sr -0 O4 - HKCU\..\Run: [BlockAds] "E:\Programme\Tweak Xp\AdBlocker.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] e:\botSD\TeaTimer.exe O4 - HKCU\..\Run: [Window Washer] E:\ww\Webroot\Washer\wwDisp.exe O4 - HKCU\..\Run: [StoneScan] E:\StoneScanV3\StoneScan.exe O4 - HKCU\..\Run: [Network Service] C:\WINDOWS\svhost.exe -sr -0 O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe O8 - Extra context menu item: &Add animation to IncrediMail Style Box - D:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 O9 - Extra button: ICQ Pro (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O9 - Extra button: Real.com (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Messenger (HKLM) O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38159.5950115741 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{6C8BD90B-63A3-45D8-B94C-699870479AC1}: NameServer = 192.168.0.254 O17 - HKLM\System\CCS\Services\Tcpip\..\{EA7AF2AE-F824-4E41-A858-8BEC7E81DF46}: NameServer = 192.168.0.254 PS: AntiVir findet: BDS/HacDef.073.B.1 trendmicro online scan findet nichts Startseite und host sind wieder verändert worden, hijack this wir immernoch unterbrochen die andere seite von a2 wird geschlossen svchost trägt sich sobald ich es aus der Registry hole nach 2 Sek wieder ein systemsteuerung<Verwaltung<Dienste <Network Service gibts bei mir nicht :.-( Dieser Beitrag wurde am 28.06.2004 um 13:24 Uhr von Oberon379 editiert.
|
|
|
|
|
|
|
28.06.2004, 15:16
Ehrenmitglied
Beiträge: 29434 |
#19
@Oberon379
Lade #Sygate free...Firewall http://smb.sygate.com/products/spf_standard.htm http://www.microsoft.com/technet/security/bulletin/MS03-001.mspx http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx Fixe mit dem HijackThis...falls es nicht deine Startseite ist..... R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http:// R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http:// R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http:// R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mvdmlb.outhost.info/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://mvdmlb.outhost.info/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http:// R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://mvdmlb.outhost.info/sp.php R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://mvdmlb.outhost.info/sp.php R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http:// R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://mvdmlb.outhost.info/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http:// R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http:// R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://mvdmlb.outhost.info/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http:// R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://mvdmlb.outhost.info/sp.php O4 - HKLM\..\Run: [Network Service] C:\WINDOWS\svhost.exe -sr -0 O4 - HKCU\..\Run: [Network Service] C:\WINDOWS\svhost.exe -sr -0 neustarten #Gehe in den abgesicherten Modus und dann in die Registry Start\Ausfuehren\regedit loesche [Network Service HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\ schliesse die Registry Loesche C:\WINDOWS\svhost.exe #HOSTS-Datei im Ordner <SYSTEM>\drivers\etc\hosts. ... nur einen Eintrag für localhost, der auf die Loopback-Adresse 127.0.0.1 ........................................................................................................ Schau mal bitte, was unter diesen Schluesseln eingetragen ist > Netzwerk-Registrierungseinträge unter HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters: "AutoShareWks"= "AutoShareServer #mache einen Vollscann mit dem Antivir. \alle Dateien scannen\ einstellen und ALLES loeschen, was angezeigt wird. normal neustarten #Lade escn mwav.exe und scanne \alle Dateien\. http://www.mwti.net/antivirus/free_utilities.asp #Dann lade CWShredder http://www.spywareinfo.com/~merijn/downloads.html #Lade AdAware free http://www.lavasoft.de/ #Lade Spyware http://beam.to/spybotsd #Loesche unter InternetOptionen die TemporaryInternetFiles und auch die OfflineInhalte und stelle eine neue Startseite ein. Dann poste das Log noch einmal. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 28.06.2004 um 15:34 Uhr von Sabina editiert.
|
|
|
|
|
|
|
28.06.2004, 20:20
...neu hier
Beiträge: 5 |
#20
Logfile of HijackThis v1.97.7
Scan saved at 18:19:46, on 28.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe E:\Sygate Wall\smc.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Java\j2re1.4.2_02\bin\jusched.exe C:\WINDOWS\Mixer.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe E:\Programme\AVguard\AVGNT.EXE E:\Programme\Tweak Xp\AdBlocker.exe C:\WINDOWS\System32\ctfmon.exe E:\Programme\AVguard\AVGUARD.EXE E:\ww\Webroot\Washer\wwDisp.exe E:\StoneScanV3\StoneScan.exe E:\Programme\AVguard\AVWUPSRV.EXE C:\WINDOWS\System32\DVDRAMSV.exe C:\WINDOWS\system32\RAMASST.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe C:\Dokumente und Einstellungen\Tobi.TOBIAS\Desktop\Hallo Jack.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http:// R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http:// R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http:// R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http:// R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http:// R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http:// R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http:// R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http:// R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Tobias Browser O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_02\bin\jusched.exe O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [AVGCtrl] E:\Programme\AVguard\AVGNT.EXE /min O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\TOBI~1.TOB\LOKALE~1\Temp\mwavscan.com" /s O4 - HKLM\..\Run: [SmcService] E:\SYGATE~1\smc.exe -startgui O4 - HKCU\..\Run: [BlockAds] "E:\Programme\Tweak Xp\AdBlocker.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] e:\botSD\TeaTimer.exe O4 - HKCU\..\Run: [Window Washer] E:\ww\Webroot\Washer\wwDisp.exe O4 - HKCU\..\Run: [StoneScan] E:\StoneScanV3\StoneScan.exe O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe O8 - Extra context menu item: &Add animation to IncrediMail Style Box - D:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 O9 - Extra button: ICQ Pro (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O9 - Extra button: Real.com (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Messenger (HKLM) O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38159.5950115741 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{6C8BD90B-63A3-45D8-B94C-699870479AC1}: NameServer = 192.168.0.254 O17 - HKLM\System\CCS\Services\Tcpip\..\{EA7AF2AE-F824-4E41-A858-8BEC7E81DF46}: NameServer = 192.168.0.254 svhost ist nicht mehr in der registry genauso die startsete toolbar etc :-) Backdoor prog immernoch jedes mal in C:\Windows :-( Hijack this läuft jetzt ohne Unterbrechung :-) Im hosts File zwar immernoch die falschen hosts jetzt aber jeder unter 127.0.0.1 *g* Antivir findet nichts neues (ausser den Backdoor Prog.) C:\WINDOWS\svhost.exe gibtz bei mir nicht (mehr?) oder ist nicht sichtbar A propos sichtbar einige Sicherheitstool verschwinden immernoch zb der cwshredder (lässt sich aber wenn ich schnell genug bin ohne unterbrechung ausführen HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters: "AutoShareWks"= "AutoShareServer gibt es bei mir nicht http://www.microsoft.com/technet/security/bulletin/MS03-001.mspx http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx reagiert nicht auf download wünsch meinerseits die updates sollte ich aber bereits haben Firewarll ist drauf AdAware 6 auch (hat nichts gefunden) PS: manchmal fährt mein rechner nicht mehr richtig runter, und seit dem Hijacker geht der Neustart nicht mehr (er fährt nur runter ) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\ sind entfernt |
|
|
|
|
|
|
29.06.2004, 01:24
Ehrenmitglied
Beiträge: 29434 |
#21
Ich hoffe, du hast nicht die kompletten Schluessel geloescht, sondern nur den Virus Network Service....
 dann musst du neu XP installieren , falls du kein BackUp gemacht hast...MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
29.06.2004, 13:59
...neu hier
Beiträge: 5 |
#22
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run gibtz bei mir noch den starndard schlüssel
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run hab ich wohl ganz gelöscht O_o Ps: hosts datei jetzt leer hxdefdrv.sys ist übrigens die backdoordatei die bei jedem neusatrt entseht dateien sind immernoch unsichtbarnach ein paar sek. (shredder + Hijackthis (wenn nicht umbenannt)) Logfile of HijackThis v1.97.7 Scan saved at 14:00:37, on 29.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe E:\Sygate Wall\smc.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\RAMASST.exe E:\Programme\AVguard\AVGUARD.EXE E:\Programme\AVguard\AVWUPSRV.EXE C:\WINDOWS\System32\DVDRAMSV.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe C:\WINDOWS\System32\ctfmon.exe D:\mozilla-win32-1.7rc3-de-AT\mozilla\mozilla.exe C:\Dokumente und Einstellungen\Tobi.TOBIAS\Desktop\Hallo Jack.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http:// R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http:// R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http:// R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http:// R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http:// R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http:// R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http:// R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http:// R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Tobias Browser O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe O8 - Extra context menu item: &Add animation to IncrediMail Style Box - D:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 O9 - Extra button: ICQ Pro (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O9 - Extra button: Real.com (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Messenger (HKLM) O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38159.5950115741 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{6C8BD90B-63A3-45D8-B94C-699870479AC1}: NameServer = 192.168.0.254 O17 - HKLM\System\CCS\Services\Tcpip\..\{EA7AF2AE-F824-4E41-A858-8BEC7E81DF46}: NameServer = 192.168.0.254 |
|
|
|
|
|
|
30.06.2004, 12:42
Ehrenmitglied
Beiträge: 29434 |
#23
#Gehe noch einmal in die Registry
Start<Ausfuehren<regedit Gehe zum Schluessel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion dort klickst du auf <CurrentVersion< mit der linken Maustaste. Dann waehlst du <neu<und <Key< oder in Deutsch heisst das wahrscheinlich <Schluessel< In das kleine Fenster, was sich oeffnet, schreibst du rein: Run Dann drueckst du ebenfalls mit der linken Maustaste rechts von der Registry Das kleine Fenster, was sich nun oeffnet...waehle <REG SZ< und dann schreibst du in den neuen Schluessel: (default) schliesse die Registry und starte den Computer neu ......................................................................................................... dann Fixe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http:// R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http:// R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http:// R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http:// R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http:// R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http:// R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http:// R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http:// neustarten 1. schau noch mal, ob da wirklich 127.0.0.1 lokalhost drinsteht ...alles andere loeschen C:\WINNT\system32\drivers\etc\hosts 2.Lade Adaware free Das duerfte die Malware loeschen http://www.lavasoft.de/support/download/ 3. Dann lade Die Firewall Sygate free, damit man sieht, ob sich wieder ein Programm im Autostart eintraegt http://smb.sygate.com/products/spf_standard.htm 4 Loesche die TemporaryInternetFiles unter InternetOptionen und stelle eine neue Startseite ein. Dann poste das Log noch mal. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 30.06.2004 um 13:05 Uhr von Sabina editiert.
|
|
|
|
|
|
|
18.12.2007, 14:16
...neu hier
Beiträge: 1 |
#24
Ich hatte auch das proplem nachdem ich ein programm installirt habe das ein troianer war :-( Ich habe also meine system 32 datei durchsucht und binn fündig geworden. Der troianer bei mir heist rundll32.exe (voll dumm der typ der den gemacht hat im namen mit dll un dann .exe
 ) Aufjeden fall habe ich meine firewall nach dieser exe suchen lassen und den internet zugriff gesperrt. Nur doof das nach jedem neustart der zugang wieder frei war (löschen ging nicht das din hing im bios fest und hat sich bei jedem systemstart neu installirt) dann habe ich in der windows config den autostart für dise datei gelöscht und nun fuktionirt alles wieder wie es soll nix beendet sich der computer bleibt an alles so wie es sein soll.MFG Xasir Dieser Beitrag wurde am 18.12.2007 um 14:20 Uhr von Xasir editiert.
|
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Danke für die schnelle Antwort :o)
Ich hab da nur 2 Kleine Probs:
1. "Deaktiviere die Wiederherstellung" wie? wo?
2. Das ich bei hijack this überhaupt bis zum log file gekommen bin war schon schwer... ich denke nicht das ich es in der kurzen Zeit schaffen werde die ganzen sachen zu markieren, bevor mir der Hijacker das Prog schliesst