Hilfe!! WINDOWS\secure.html als Startseite |
||
---|---|---|
#0
| ||
15.03.2004, 20:45
...neu hier
Beiträge: 1 |
||
|
||
15.03.2004, 22:22
Moderator
Beiträge: 7805 |
#2
Das solltest du fixen:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\secure.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\secure.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\secure.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\secure.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\secure.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\secure.html O4 - HKLM\..\Run: [Dial32] C:\WINDOWS\dl.exe O4 - HKLM\..\Run: [Online Special] C:\WINDOWS\swchost.exe O4 - HKLM\..\Run: [Systems Restart] C:\WINDOWS\slchost.exe O4 - HKLM\..\Run: [System Restore] C:\WINDOWS\svahost.exe Die Dateien solltest du zusaetzlich noch an virus@protecus.de schicken aber das weisst du ja schon. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
06.07.2004, 22:08
...neu hier
Beiträge: 1 |
#3
Hi !
windows\secure.html habe ich unter Windows XP folgendermaßen erfolgreich gelöscht: 1. PC im abgesicherten Modus/Eingabeaufforderung neu starten (F8) 2. ins windows\system32 Verzeichnis gehen 3. nur im Verzeichnis windows\system32 Verzeichnis die beiden Dateien explorer.exe und system32.dll löschen 4. ins windows Verzeichnis gehen und dort die Datei secure.html löschen 5. den Computer neu starten 6. die Datei hosts (ohne Dateiendung) suchen und löschen 7. im IE die Einstellungen für die Homepage bzw. Startseite vornehmen 8. Computerneustart 9. Mit HijackThis.exe lassen sich jetzt die Seiten mit secure.html aufspüren und restlos ausmerzen. MfG Plato |
|
|
||
06.07.2004, 22:38
Moderator
Beiträge: 6466 |
#4
Sehr langer Thread zu dem Thema auch hier:
http://board.protecus.de/t8542.htm __________ Durchsuchen --> Aussuchen --> Untersuchen |
|
|
||
06.07.2004, 23:21
...neu hier
Beiträge: 1 |
#5
Hallo ihr lieben,
ich hoffe ihr könnt auch mir helfen, ich habe auch diese immer wiederkehrende startseite. Logfile of HijackThis v1.97.7 Scan saved at 23:13:52, on 06.07.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe C:\WINDOWS\System32\Ati2evxx.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\WINDOWS\system32\cisvc.exe C:\WINDOWS\system32\HPConfig.exe C:\Programme\HPQ\Notebook Utilities\HPWirelessMgr.exe C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe C:\WINDOWS\System32\carpserv.exe C:\PROGRA~1\HPQ\ONE-TO~1\OneTouch.EXE C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe C:\WINDOWS\System32\pupxpman.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\AOL 9.0\aoltray.exe C:\PROGRA~1\INCRED~2\bin\IMApp.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\AOL 9.0\waol.exe C:\Programme\AOL 9.0\shellmon.exe C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe C:\WINDOWS\system32\cidaemon.exe C:\Dokumente und Einstellungen\Claudia Bassler\Eigene Dateien\Download\Hjackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\CLAUDI~1\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\CLAUDI~1\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\CLAUDI~1\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\CLAUDI~1\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\CLAUDI~1\LOKALE~1\Temp\sp.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\CLAUDI~1\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.ashampoo.com/internet/trial/asv/0406d.htm O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {6D8C9B8F-EFB5-4923-B3A9-5A5780706C7C} - C:\WINDOWS\System32\gjno.dll O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: PowerSearch - {4E7BD74F-2B8D-469E-A08E-8E1CA787AD2D} - C:\Programme\PowerSearch\Toolbar\pwrs0102.dll O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [CARPService] carpserv.exe O4 - HKLM\..\Run: [Desktop Zoom] C:\Programme\HPQ\Desktop Zoom\hpwinadj.exe -s O4 - HKLM\..\Run: [PreloadApp] c:\hp\drivers\printers\photosmart\hphprld.exe c:\hp\drivers\printers\photosmart\setup.exe -d O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe O4 - HKLM\..\Run: [TV Now] C:\Programme\HPQ\Notebook Utilities\TvNow.exe /RK O4 - HKLM\..\Run: [Display Settings] C:\Programme\HPQ\Notebook Utilities\hptasks.exe /s O4 - HKLM\..\Run: [QT4HPOT] C:\PROGRA~1\HPQ\ONE-TO~1\OneTouch.EXE O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe" O4 - HKLM\..\Run: [mspwr] C:\WINDOWS\System32\pupxpman.exe O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~2\bin\IncMail.exe /c O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~2\bin\resources\WebMenuImg.htm O9 - Extra button: Real.com (HKLM) O16 - DPF: {11111111-1111-1111-1111-111111113456} - file://c:\info6_s.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/01779de24184bdcb3018/netzip/RdxIE601.cab O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://game14.zylomgames.com/activex/zylomloader.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{EACCA6C9-3E89-4898-9648-741B89D851C4}: NameServer = 195.93.64.134 wäre dankbar für eine antwort. gruss claudia |
|
|
||
06.07.2004, 23:35
Member
Beiträge: 1095 |
#6
@Oberhexi Hi und willkommen an Board
Gehe in den Safemode von XP http://www.bsi.de/av/texte/winsave.htm Dann fixe bitte folgendes in HiJackThis (ankreuzen + Fix Checked drücken) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\CLAUDI~1\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\CLAUDI~1\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\CLAUDI~1\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\CLAUDI~1\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\CLAUDI~1\LOKALE~1\Temp\sp.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\CLAUDI~1\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {6D8C9B8F-EFB5-4923-B3A9-5A5780706C7C} - C:\WINDOWS\System32\gjno.dll O3 - Toolbar: PowerSearch - {4E7BD74F-2B8D-469E-A08E-8E1CA787AD2D} - C:\Programme\PowerSearch\Toolbar\pwrs0102.dll O16 - DPF: {11111111-1111-1111-1111-111111113456} - file://c:\info6_s.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/01779de24184bdcb3018/netzip/RdxIE601.cab In dieser Zeit nicht den Internetexplorer öffnen Dann wieder normal booten und nochmal logfile posten In der Zwischenzeit das hier noch machen http://www.rokop-security.de/board/index.php?showtopic=3867 Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 06.07.2004 um 23:37 Uhr von paff editiert.
|
|
|
||
09.08.2004, 20:36
...neu hier
Beiträge: 3 |
#7
Hallo zusammen,
vielleicht könnt Ihr auch mir helfen, ich hab bereits die automatische Auswertung versucht, aber danach das gleiche Problem mit dieser vertrackten Startseite wieder gehabt, und auch das Log sieht wieder aus wie vorher. Hab auch ein Problem mit meinem Windows-Explorer/Systemsteuerung/Arbeitsplatz (die lassen sich nicht wirklich öffnen) wobei ich nicht weiss, ob das in Zusammenhang steht. Bitte seht euch mal dieses Log an. Besten Dank im Voraus Logfile of HijackThis v1.98.1 Scan saved at 22:04:28, on 04.08.04 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\SYSTEM\KHOOKER.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\PROGRAMME\HP\DIGITAL IMAGING\PROMOTIONS\HPPROMO.EXE C:\PROGRAMME\HP\HP SOFTWARE UPDATE\HPWUSCHD.EXE C:\PROGRAMME\HP\HPCORETECH\HPCMPMGR.EXE C:\PROGRAM FILES\WEBROOT\WASHER\WWDISP.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAMME\AVANT BROWSER\AVANT.EXE C:\PROGRAMME\AVANT BROWSER\AHTTP.EXE C:\WINDOWS\EXPLORER.EXE C:\PROGRAMME\WINZIP\WINZIP32.EXE C:\WINDOWS\TEMP\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\secure.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\secure.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\secure.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot\Installation\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\SYSTEM\khooker.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - HKLM\..\Run: [HPpromo psc 2500 series] "C:\PROGRAMME\HP\DIGITAL IMAGING\PROMOTIONS\HPPROMO.exe" /N "psc 2500 series" -r O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd.exe" O4 - HKLM\..\Run: [HP Component Manager] "C:\PROGRAMME\HP\HPCORETECH\HPCMPMGR.EXE" O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunOnce: [Index Washer] C:\Program Files\Webroot\Washer\WashIdx.exe "A$g´ö�" O4 - HKCU\..\Run: [Window Washer] C:\Program Files\Webroot\Washer\wwDisp.exe /startup O12 - Plugin for .php: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = 255.255.255.0 O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\PROGRAMME\HP\HPCORETECH\COMP\HPUIPROT.DLL O21 - SSODL: System - {9309D9C0-E653-11D8-A88C-000AE614A050} - C:\WINDOWS\system32\system32.dll |
|
|
||
10.08.2004, 09:24
Member
Beiträge: 1095 |
#8
@HarryB
Bitte lade dir ESCAN Entpacken und updaten wie angegeben Geh in den Abgesicherten Modus AB JETZT NICHT MEHR DEN INTERNET EXPLORER ÖFFNEN!!!!!!!!!!!!!! Fixe bitte das in HiJackThis (ankreuzen und FixChecked drücken) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\secure.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\secure.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\secure.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = O21 - SSODL: System - {9309D9C0-E653-11D8-A88C-000AE614A050} - C:\WINDOWS\system32\system32.dll Escan starten wie oben beschrieben Normal starten und nochmal das HiJackThis Logfile posten. Gruß paff P.S. Schick mir bitte mal das Logfile des EScan an mike_hangover@gozomail.com (Meine FakeEMail) __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
14.08.2004, 12:47
...neu hier
Beiträge: 5 |
#9
hi.
habe das selbe problem. kann mir bitte jemand helfen? das wäre nett... hab jetzt anscheinend nicht mehr windows secure als startseite, aber irgendetwas anderes das auch nicht weggeht. (habe bereits adaware, spybot und cwshredder laufen lassen.) hier ist meine logfile: Logfile of HijackThis v1.98.2 Scan saved at 12:38:08, on 14.08.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\wanmpsvc.exe C:\WINDOWS\ieeu.exe C:\PROGRA~1\TOBITC~1\Server\ClipInc-Server.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe C:\Programme\Winamp3\winampa.exe C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\QuickTime\qttask.exe C:\WINDOWS\System32\P2P Networking\P2P Networking.exe C:\Programme\HighCriteria\TotalRecorder\TotRecSched.exe C:\WINDOWS\System32\fxlgp.exe C:\Programme\AOL 8.0\aoltray.exe C:\Programme\DV Series\Console\Watch.exe C:\Programme\Realtek\Rtl8180\RtlWake.exe C:\Dokumente und Einstellungen\Jochen\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\secure.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\erkfj.dll/sp.html#96676 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://erkfj.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://erkfj.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\erkfj.dll/sp.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\erkfj.dll/sp.html#96676 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://erkfj.dll/index.html#96676 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\secure.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.web.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\secure.html R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=www.uni-duesseldorf.de:8080 R3 - Default URLSearchHook is missing F3 - REG:win.ini: run=C:\WINDOWS\System32\services\wmplayer.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {C2A684B3-70AD-3AEB-0E2E-015147F1B088} - C:\WINDOWS\system32\mfcbb32.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [IW ControlCenter] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\winampa.exe" O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe" O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART O4 - HKLM\..\Run: [AltnetPointsManager] C:\Program Files\Altnet\Points Manager\Points Manager.exe -s O4 - HKLM\..\Run: [TotalRecorderScheduler] "C:\Programme\HighCriteria\TotalRecorder\TotRecSched.exe" O4 - HKLM\..\Run: [WindUpdates] C:\Program Files\WindUpdates\WinUpdt.exe O4 - HKLM\..\Run: [d3gn.exe] C:\WINDOWS\system32\d3gn.exe O4 - HKLM\..\Run: [etshn] C:\WINDOWS\System32\etshn.exe O4 - HKLM\..\RunOnce: [ieeu.exe] C:\WINDOWS\ieeu.exe O4 - HKCU\..\Run: [\IEService.exe] C:\DOKUME~1\Jochen\ANWEND~1\IESERV~1\IEService.exe O4 - HKCU\..\Run: [\Pribi.exe] C:\DOKUME~1\Jochen\ANWEND~1\Pribi\Pribi.exe O4 - HKCU\..\Run: [Nels] C:\Dokumente und Einstellungen\Jochen\Anwendungsdaten\cosr.exe O4 - HKCU\..\Run: [Zpuorhi] C:\WINDOWS\System32\fxlgp.exe O4 - Global Startup: AOL 8.0 Tray-Symbol.lnk = C:\Programme\AOL 8.0\aoltray.exe O4 - Global Startup: RtlWake.lnk = ? O4 - Global Startup: Watch.lnk = C:\Programme\DV Series\Console\Watch.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: concept/design's onlineTV - {09A48B61-4ACC-44CF-A9E8-2AFB126F96E1} - C:\Programme\onlineTV\onlineTV.exe O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O15 - Trusted Zone: *.clickspring.net O15 - Trusted Zone: *.mt-download.com O15 - Trusted Zone: *.my-internet.info O15 - Trusted Zone: *.searchmiracle.com O15 - Trusted Zone: *.skoobidoo.com O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=49e422e7968751004a7c475f91f16bf5704ecd078aae7d3982a3508206fdc37f677f5429ee732a811e3c55f70527c293f863e8:8b5b4fff0cd3ceb2d022384e480b9c0d O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) - O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\msopt.dll |
|
|
||
14.08.2004, 13:23
Ehrenmitglied
Beiträge: 29434 |
#10
@flaminjoe
#Deaktiviere die Wiederherstellung http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 #Fixemit dem HijackThis: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\secure.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\erkfj.dll/sp.html#96676 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://erkfj.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://erkfj.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\erkfj.dll/sp.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\erkfj.dll/sp.html#96676 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://erkfj.dll/index.html#96676 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\secure.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.web.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\secure.html R3 - Default URLSearchHook is missing F3 - REG:win.ini: run=C:\WINDOWS\System32\services\wmplayer.exe O2 - BHO: (no name) - {C2A684B3-70AD-3AEB-0E2E-015147F1B088} - C:\WINDOWS\system32\mfcbb32.dll O4 - HKLM\..\Run: [WindUpdates] C:\Program Files\WindUpdates\WinUpdt.exe O4 - HKLM\..\Run: [d3gn.exe] C:\WINDOWS\system32\d3gn.exe O4 - HKLM\..\Run: [etshn] C:\WINDOWS\System32\etshn.exe O4 - HKLM\..\RunOnce: [ieeu.exe] C:\WINDOWS\ieeu.exe O4 - HKCU\..\Run: [\IEService.exe] C:\DOKUME~1\Jochen\ANWEND~1\IESERV~1\IEService.exe O4 - HKCU\..\Run: [\Pribi.exe] C:\DOKUME~1\Jochen\ANWEND~1\Pribi\Pribi.exe O4 - HKCU\..\Run: [Nels] C:\Dokumente und Einstellungen\Jochen\Anwendungsdaten\cosr.exe O4 - HKCU\..\Run: [Zpuorhi] C:\WINDOWS\System32\fxlgp.exe O4 - Global Startup: RtlWake.lnk = ? nicht <bad<, aber auch fixen O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\winampa.exe" O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe" O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART O15 - Trusted Zone: *.clickspring.net O15 - Trusted Zone: *.mt-download.com O15 - Trusted Zone: *.my-internet.info O15 - Trusted Zone: *.searchmiracle.com O15 - Trusted Zone: *.skoobidoo.com O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=49e422e7968751004a7c475f91f16bf5704ecd078aae7d3982a3508206fdc37f677f5429ee732a811e3c55f70527c293f863e8:8b5b4fff0cd3ceb2d022384e480b9c0d O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) - O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\msopt.dll neustarten Lade dieses Tool, http://www.diamondcs.com.au/index.php?page=apm klicke : C:\Windows\explorer.exe C:\WINDOWS\System32\mfcbb32.dll Dann druecke auf <unload dll< Dann suche und loesche : C:\WINDOWS\System32\mfcbb32.dll ............................................................................................................ 3.)<eScan< (in C:\base entpacken) http://www.mwti.net/antivirus/free_utilities.asp # "kavupd.exe" suchen und anklicken. Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt(dauert ein bisschen) #Gehe in den abgesicherten Modussuche dann dort eine "mwav.exe) http://www.bsi.de/av/texte/winsave.htm #den Scanner mit der "mwav.exe starten. Alle Häkchen setzen und "Clean-Scan" klicken. normal neustarten Lade Antivir.(falls du keinen Virenscanner hast) http://www.free-av.de/ nach dem Installscann stelle ein: <Guard aktivieren< <alle Dateien <Heuristik:mittel #Optimiere\reinige\repariere mit TuneUp (30 Tage free) http://www.tuneup.de/download/ #Lade ClearProg http://www.clearprog.de/ Loesche: - Cookies - Verlauf - Temporäre Internetfiles (Cache) .................................................................................................. Lade den Firefox http://www.firebird-browser.de/ stelle eine Startseite ein und surfe nur mit ihm. Dann muesste eigentlich wieder alles funktionieren. Es waere gut, wenn du mir dann posten wuerdest, was <eScan<NICHT geleoscht hat.(zur spaeteren manuellen Entfernung) #Stelle unter IE eine neue Startseite ein und poste das Log noch mal ...mit dem IE !(nicht mit dem Firefox) Mfg Nikita __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 14.08.2004 um 13:31 Uhr von Sabina editiert.
|
|
|
||
14.08.2004, 17:40
...neu hier
Beiträge: 5 |
#11
Zitat Lade dieses Tool,--------------------- ok, konnte... C:\WINDOWS\System32\mfcbb32.dll ...nich finden. is wohl schon nich mehr da... mache jetzt weiter mit escan... danke schonmal bis hierher... |
|
|
||
14.08.2004, 18:13
Member
Beiträge: 28 |
#12
Hi,
Schau dir auch mal diese Seiten an um diesem Problem mit der Startseite auch vorzubeugen. http://www.pc-today.de/browserhijacking2.htm http://www.bsi.de/av/hijack/browserhj.htm |
|
|
||
14.08.2004, 20:45
...neu hier
Beiträge: 5 |
#13
so, konnte jetzt google als startseite beim ie eingeben.
und alles andere auch soweit möglich befolgt. und anscheinend bleibt die auch. hatte allerdings ein paar mal probleme zwischendurch(u.a. wollte antivir erst nicht richtig installiert werden) naja, hier die logfile: Logfile of HijackThis v1.98.2 Scan saved at 20:44:13, on 14.08.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\wanmpsvc.exe C:\PROGRA~1\TOBITC~1\Server\ClipInc-Server.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe C:\Programme\HighCriteria\TotalRecorder\TotRecSched.exe C:\WINDOWS\system32\sdkse32.exe C:\WINDOWS\System32\P2P Networking\P2P Networking.exe C:\Programme\AOL 8.0\aoltray.exe C:\Programme\DV Series\Console\Watch.exe C:\WINDOWS\system32\appuk32.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\PROGRA~1\MOZILL~1\firefox.exe C:\Dokumente und Einstellungen\Jochen\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\yqsfm.dll/sp.html#96676 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://yqsfm.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://yqsfm.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\yqsfm.dll/sp.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\yqsfm.dll/sp.html#96676 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://yqsfm.dll/index.html#96676 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=www.uni-duesseldorf.de:8080 R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {213E8766-94A5-029E-C2EC-20035F037651} - C:\WINDOWS\appwt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [IW ControlCenter] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe O4 - HKLM\..\Run: [AltnetPointsManager] C:\Program Files\Altnet\Points Manager\Points Manager.exe -s O4 - HKLM\..\Run: [TotalRecorderScheduler] "C:\Programme\HighCriteria\TotalRecorder\TotRecSched.exe" O4 - HKLM\..\Run: [sdkse32.exe] C:\WINDOWS\system32\sdkse32.exe O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART O4 - HKLM\..\RunOnce: [oxzfy] C:\WINDOWS\DtcInstall.log:oxzfy O4 - Global Startup: AOL 8.0 Tray-Symbol.lnk = C:\Programme\AOL 8.0\aoltray.exe O4 - Global Startup: Watch.lnk = C:\Programme\DV Series\Console\Watch.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: concept/design's onlineTV - {09A48B61-4ACC-44CF-A9E8-2AFB126F96E1} - C:\Programme\onlineTV\onlineTV.exe O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE siehts jetzt etwas besser aus??? gruss, jochen |
|
|
||
14.08.2004, 20:52
Member
Beiträge: 28 |
#14
nee sieht gar nicht gut aus, stelle deinen logfile hier rein und schau dir das mal selbst an, ist erschreckend.
http://www.hijackthis.de/index.php und immer brav die erklärungen rechts dazu lesen Dieser Beitrag wurde am 14.08.2004 um 20:53 Uhr von unbenannt editiert.
|
|
|
||
14.08.2004, 20:59
Ehrenmitglied
Beiträge: 29434 |
#15
@flaminjoe
Es scheint, dass du nicht alles gemacht hast, was ich gepostet hatte... #Deaktiviere die Wiederherstellung http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 Fixe mit dem HijackThis: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\yqsfm.dll/sp.html#96676 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://yqsfm.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://yqsfm.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\yqsfm.dll/sp.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\yqsfm.dll/sp.html#96676 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://yqsfm.dll/index.html#96676 R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {213E8766-94A5-029E-C2EC-20035F037651} - C:\WINDOWS\appwt.dll O4 - HKLM\..\Run: [sdkse32.exe] C:\WINDOWS\system32\sdkse32.exe O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART O4 - HKLM\..\RunOnce: [oxzfy] C:\WINDOWS\DtcInstall.log:oxzfy NEUSTARTEN #ueberpruefe mit Kaspersky (berichte, was angezeigt wurde) C:\WINDOWS\system32\sdkse32.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\system32\appuk32.exe http://www.kaspersky.com/remoteviruschk.html #Lade Cwshredder http://www.chip.de/downloads/c_downloads_11353799.html schliesse alle Browser und scanne #Deinstalliere P2P Networking] (kannst du spaeter durch Kaaza Lite von www.Chip.de ersetzen) ....................................................................................................... #<eScan< (in C:\base entpacken) http://www.mwti.net/antivirus/free_utilities.asp # "kavupd.exe" suchen und anklicken. Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt(dauert ein bisschen) #den Scanner mit der "mwav.exe starten. Alle Häkchen setzen und "Clean-Scan" klicken. Poste dann bitte, was <infiziert< war (abkopieren aus <Logview)und das neue Log vom HijackThis)...vorher die TemporaryInternetfiles loeschen und eine neue Statseite einstellen. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 14.08.2004 um 21:11 Uhr von Sabina editiert.
|
|
|
||
bei mir hatsich folgende Startseite festgesetzt:
C:\WINDOWS\secure.html
Habe schon Ad-Aware & Spybot & CWShredder drübergejagt.
Dadurch habe ich zwar einige Einträge gefunden, welche ich bereits gelöscht habe, aber das Problem ist leider immer noch vorhanden.
Meine Log-Datei lautet:
Logfile of HijackThis v1.97.7
Scan saved at 20:14:21, on 15.03.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\TBPanel.exe
C:\WINDOWS\reg33.exe
C:\WINDOWS\dl.exe
C:\WINDOWS\swchost.exe
C:\WINDOWS\slchost.exe
C:\WINDOWS\svahost.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
D:\Programme\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\secure.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\secure.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\secure.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\secure.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\secure.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\secure.html
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [TCASUTIEXE] TCAUDIAG.EXE -off
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Dial32] C:\WINDOWS\dl.exe
O4 - HKLM\..\Run: [Online Special] C:\WINDOWS\swchost.exe
O4 - HKLM\..\Run: [Systems Restart] C:\WINDOWS\slchost.exe
O4 - HKLM\..\Run: [System Restore] C:\WINDOWS\svahost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: PHASE 26 USB ControlPanel.lnk = ?
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
Bitte helft mir.
Vielen Dank!
MfG,
Earl Aviv