Hilfe!! WINDOWS\secure.html als Startseite |
||
---|---|---|
#0
| ||
14.08.2004, 23:36
Member
Beiträge: 28 |
||
|
||
15.08.2004, 01:02
...neu hier
Beiträge: 5 |
#17
stimmt.
das war etwas voreilig. aber jetzt scheint die startseite zu halten. sorry für den ganzen stress. ok. das ist meine letzte logfile für heute: Logfile of HijackThis v1.98.2 Scan saved at 00:58:41, on 15.08.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe C:\Programme\HighCriteria\TotalRecorder\TotRecSched.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\AOL 8.0\aoltray.exe C:\Programme\DV Series\Console\Watch.exe C:\WINDOWS\System32\Ati2evxx.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\DtcInstall.log:oxzfy C:\WINDOWS\System32\svchost.exe C:\WINDOWS\wanmpsvc.exe C:\PROGRA~1\TOBITC~1\Server\ClipInc-Server.exe C:\Programme\Mozilla Firefox\firefox.exe C:\DOKUME~1\Jochen\LOKALE~1\Temp\Temporäres Verzeichnis 8 für hijackthis.zip\HijackThis.exe C:\WINDOWS\system32\wuauclt.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=www.uni-duesseldorf.de:8080 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {C4843FF7-AE70-BF42-6057-827D9D3007CE} - C:\WINDOWS\apiji32.dll O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [IW ControlCenter] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe O4 - HKLM\..\Run: [TotalRecorderScheduler] "C:\Programme\HighCriteria\TotalRecorder\TotRecSched.exe" O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - Global Startup: AOL 8.0 Tray-Symbol.lnk = C:\Programme\AOL 8.0\aoltray.exe O4 - Global Startup: Watch.lnk = C:\Programme\DV Series\Console\Watch.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: concept/design's onlineTV - {09A48B61-4ACC-44CF-A9E8-2AFB126F96E1} - C:\Programme\onlineTV\onlineTV.exe O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe gute nacht. |
|
|
||
15.08.2004, 01:17
Member
Beiträge: 28 |
#18
sieht doch fast gut aus,
da wäre nur noch zu kläre was mit fogenden einträgen ist, O2 - BHO: (no name) - {C4843FF7-AE70-BF42-6057-827D9D3007CE} - C:\WINDOWS\apiji32.dll und C:\Programme\HighCriteria\TotalRecorder\TotRecSched.exe zum O2 - BHO eintrg lese bitte hier nach http://www.trojaner-info.de/anleitungen/hijackthis/htlogtutorial.html#o2 zum C:\Programme\HighCr............ wenn du es nicht kennst dann lösche es. |
|
|
||
15.08.2004, 06:28
Moderator
Beiträge: 7805 |
#19
Interessant. Was ist das:
C:\WINDOWS\DtcInstall.log:oxzfy , als laufender Prozess? Koenntest du diese DAtei an virus@protecus.de schicken? Dazu brauchst du aber Winrar von http://www.winrar-rog.de/html-ger/download/dl-winrar.htm . Wenn du winrar gestartet hast um die Datei zu packen, musst du bei "Hinzufuegen" unter "erweitert" die beiden NTFS OPtionen anhaken, sonst wird das :oxzfy nicht mitgepackt. ( das :oxzfy siehst du im Exporer/Winrar nicht) __________ MfG Ralf SEO-Spam Hunter |
|
|
||
15.08.2004, 13:08
...neu hier
Beiträge: 3 |
#20
Zitat Harryb postete |
|
|
||
15.08.2004, 13:24
Ehrenmitglied
Beiträge: 29434 |
#21
@HarryB
Fixe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\secure.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\secure.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\secure.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = O21 - SSODL: System - {9309D9C0-E653-11D8-A88C-000AE614A050} - C:\WINDOWS\system32\system32.dll neustarten #Lade Cwhredder(schliesse alle Browserfenster) http://www.chip.de/downloads/c_downloads_11353799.html #eScan< (in C:\base entpacken) http://www.mwti.net/antivirus/free_utilities.asp # "kavupd.exe" suchen und anklicken. Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt(dauert ein bisschen) #den Scanner mit der "mwav.exe starten. Alle Häkchen setzen und "Clean-Scan" klicken. #Lade ClearProg http://www.clearprog.de/ Loesche: - Cookies - Verlauf - Temporäre Internetfiles (Cache) #Stelle unter <Internetoptionen< eine neue Startseite ein und poste das Log noch mal. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 15.08.2004 um 13:38 Uhr von Sabina editiert.
|
|
|
||
15.08.2004, 13:28
...neu hier
Beiträge: 3 |
#22
Hallo Paff,
hab deine Anweisungen durchgeführt, jetzt scheint wieder alles normal zu laufen; recht herzlichen dank für deine Unterstützung. Hier noch das HiJackThis Logfile.: Logfile of HijackThis v1.98.1 Scan saved at 13:04:26, on 15.08.04 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\SYSTEM\KHOOKER.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\PROGRAMME\HP\DIGITAL IMAGING\PROMOTIONS\HPPROMO.EXE C:\PROGRAMME\HP\HP SOFTWARE UPDATE\HPWUSCHD.EXE C:\PROGRAMME\HP\HPCORETECH\HPCMPMGR.EXE C:\PROGRAM FILES\WEBROOT\WASHER\WWDISP.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAMME\WINZIP\WINZIP32.EXE C:\WINDOWS\TEMP\HIJACKTHIS.EXE O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot\Installation\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\SYSTEM\khooker.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - HKLM\..\Run: [HPpromo psc 2500 series] "C:\PROGRAMME\HP\DIGITAL IMAGING\PROMOTIONS\HPPROMO.exe" /N "psc 2500 series" -r O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd.exe" O4 - HKLM\..\Run: [HP Component Manager] "C:\PROGRAMME\HP\HPCORETECH\HPCMPMGR.EXE" O4 - HKLM\..\Run: [mwavscan] "C:\WINDOWS\TEMP\MWAVSCAN.COM" /s O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunOnce: [Index Washer] C:\Program Files\Webroot\Washer\WashIdx.exe "A$g´ö" O4 - HKCU\..\Run: [Window Washer] C:\Program Files\Webroot\Washer\wwDisp.exe /startup O4 - HKCU\..\RunServices: [Window Washer] C:\Program Files\Webroot\Washer\wwDisp.exe /startup O4 - HKCU\..\RunOnce: [Index Washer] C:\Program Files\Webroot\Washer\WashIdx.exe "A$g´ö" O4 - HKCU\..\RunServicesOnce: [Index Washer] C:\Program Files\Webroot\Washer\WashIdx.exe "A$g´ö" O12 - Plugin for .php: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = 255.255.255.0 O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\PROGRAMME\HP\HPCORETECH\COMP\HPUIPROT.DLL Danke, Tschüssi |
|
|
||
15.08.2004, 17:40
...neu hier
Beiträge: 5 |
#23
so, habe jetzt auch
C:\WINDOWS\apiji32.dll und C:\WINDOWS\DtcInstall.log:oxzfy gelöscht. die logfile ist jetzt in ordnung. danke nochmal. läuft alles wieder gut. gruss, jochen ---------------- Logfile of HijackThis v1.98.2 Scan saved at 17:39:57, on 15.08.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\wanmpsvc.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Jochen\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=www.uni-duesseldorf.de:8080 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [IW ControlCenter] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - Global Startup: AOL 8.0 Tray-Symbol.lnk = C:\Programme\AOL 8.0\aoltray.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: concept/design's onlineTV - {09A48B61-4ACC-44CF-A9E8-2AFB126F96E1} - C:\Programme\onlineTV\onlineTV.exe O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe |
|
|
||
15.08.2004, 18:01
Ehrenmitglied
Beiträge: 29434 |
#24
@flaminjoe
JETZT ist alles o.k...... Allerdings hast du ploetzlich diese <slserv.exe< aktiv. Ueberpreufe das mal mit Kaspersky http://www.kaspersky.com/remoteviruschk.html C:\WINDOWS\system32\slserv.exe das kann der <Virus Gaobot.CR < sein oder (harmlos, SIS Treiber installiert) Gruss Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 15.08.2004 um 18:09 Uhr von Sabina editiert.
|
|
|
||
15.08.2004, 18:45
Member
Beiträge: 441 |
#25
@ Sabina
Zitat C:\WINDOWS\system32\slserv.exeDas ist eine Falschmeldung seitens HiJackThis.de. Mir ist kein Fall bekannt, das die slserv.exe (im übrigen SLServ.exe (SmartLink), SmartLink’s User-Level Modem Service http://www.answersthatwork.com/Tasklist_pages/tasklist_s.htm ) jemals mit Gaobot infiziert worden ist und auch Google bestätigt dies. Im Gegenteil, Gaobot versucht diesen Prozess zu beenden bzw. zu löschen: http://www.symantec.fr/avcenter/venc/data/w32.hllw.gaobot.ee.html __________ Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen. Neuaufsetzen des Systems/Absicherung! HJT Anleitung |
|
|
||
15.08.2004, 20:24
Ehrenmitglied
Beiträge: 29434 |
#26
@Cidre
Hast recht! Program Information for slserv.exe: Program Name: Modem Company: N/A Description: User-Level Modem Service mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
06.09.2004, 13:30
...neu hier
Beiträge: 3 |
#27
Hallo Leute,
ich hoffe mir kann jemand helfen, ich hab die secure.html als Startseite und bekomme sie nicht weg, hier mal der log: Logfile of HijackThis v1.98.2 Scan saved at 13:31:27, on 06.09.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\csrss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\NavNT\defwatch.exe C:\WINNT\System32\svchost.exe C:\Programme\NavNT\rtvscan.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\MsgSys.EXE C:\WINNT\Explorer.EXE C:\Programme\Winamp\Winampa.exe C:\Programme\NavNT\vptray.exe G:\Seti\setiathome-3.08.i386-winnt-cmdline.exe C:\WINNT\system32\wuauclt.exe C:\Programme\eMule\emule.exe C:\Programme\Logitech\MouseWare\System\Em_exec.exe F:\emule\Inc_neu\hijackthis\HijackThis.exe C:\Programme\Internet Explorer\IEXPLORE.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINNT\secure.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINNT\secure.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINNT\secure.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINNT\secure.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINNT\secure.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINNT\secure.html O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [MSConfig Manager] C:\WINNT\msupdate.exe O4 - HKLM\..\Run: [vptray] C:\Programme\NavNT\vptray.exe O4 - HKLM\..\RunOnce: [vidccleaner] C:\Programme\HelDecPack\vidccleaner.exe -a O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [MSConfig Manager] C:\WINNT\msupdate.exe O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0 O4 - Startup: Verknüpfung mit setiathome-3.08.i386-winnt-cmdline.exe.lnk = G:\Seti\setiathome-3.08.i386-winnt-cmdline.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O17 - HKLM\System\CCS\Services\Tcpip\..\{F69B2234-5C34-4F1C-850F-A855DF4D0DD1}: NameServer = 192.168.1.1 Was muss ich noch entfernen ausser allem was mit secure.html zu tun hat um das Problem zu lösen? Vielen Dank im Voraus Dave |
|
|
||
06.09.2004, 13:54
Member
Beiträge: 1095 |
#28
@Dave aus Hst
Bitte lade dir ESCAN Entpacken und updaten wie angegeben Geh in den Abgesicherten Modus AB JETZT NICHT MEHR DEN INTERNET EXPLORER ÖFFNEN!!!!!!!!!!!!!! Fixe bitte das in HiJackThis (ankreuzen und FixChecked drücken) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINNT\secure.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINNT\secure.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINNT\secure.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINNT\secure.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINNT\secure.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINNT\secure.html O4 - HKLM\..\Run: [MSConfig Manager] C:\WINNT\msupdate.exe O4 - HKCU\..\Run: [MSConfig Manager] C:\WINNT\msupdate.exe ACHTUNG WIRKLICH 2* vorhanden beides fixen!!!!!!!!!!!!!!! Dann Scannen mit Escan wie oben beschrieben Dann normal starten und nochmal HiJackThis Logfile posten Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 06.09.2004 um 13:55 Uhr von paff editiert.
|
|
|
||
07.09.2004, 07:28
...neu hier
Beiträge: 3 |
#29
Hi Paff,
erstmal vielen Dank für deine Hilfe, hier ist mein aktuelles Log: Logfile of HijackThis v1.98.2 Scan saved at 07:30:54, on 07.09.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\NavNT\defwatch.exe C:\WINNT\System32\svchost.exe C:\Programme\NavNT\rtvscan.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\MsgSys.EXE C:\WINNT\Explorer.EXE C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE C:\Programme\Winamp\Winampa.exe C:\Programme\NavNT\vptray.exe C:\WINNT\system32\internat.exe G:\Seti\setiathome-3.08.i386-winnt-cmdline.exe C:\WINNT\system32\wuauclt.exe C:\Programme\eMule\emule.exe C:\Programme\The Bat!\thebat.exe C:\Programme\Internet Explorer\iexplore.exe F:\emule\Inc_neu\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [vptray] C:\Programme\NavNT\vptray.exe O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0 O4 - Startup: Verknüpfung mit setiathome-3.08.i386-winnt-cmdline.exe.lnk = G:\Seti\setiathome-3.08.i386-winnt-cmdline.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O17 - HKLM\System\CCS\Services\Tcpip\..\{F69B2234-5C34-4F1C-850F-A855DF4D0DD1}: NameServer = 192.168.1.1 Ich hoffe es ist jetzt sauber. |
|
|
||
07.09.2004, 08:47
Member
Beiträge: 1095 |
#30
@Dave
Das Log sieht jetzt sauber aus Schick mir mal mit die mwav.log Datei des EScan an mike_hangover@gozomail.com (Meine FakeEMail) Bitte mit Link auf diesen Thread Danke paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
schaue auch mal hier nach zu diesem thema,
http://www.pc-today.de/browserhijacking2.htm
http://www.bsi.de/av/hijack/browserhj.htm