ewige popups / 1 Minute Benutzereinstellungen laden |
||
---|---|---|
#0
| ||
21.03.2004, 15:55
...neu hier
Beiträge: 10 |
||
|
||
21.03.2004, 17:31
Moderator
Beiträge: 7805 |
#2
Ich gehe davon aus, das du Adarware und Spybot vorher aktualisiert hast!?
Fix das: O4 - HKLM\..\Run: [oo4] RunDLL32.EXE C:\WINDOWS\oo4.dll,DllRun O4 - HKLM\..\Run: [Belt] C:\Dokumente und Einstellungen\Max\Lokale Einstellungen\Temp\Belt.exe O4 - HKLM\..\Run: [slmss] C:\Programme\Common Files\slmss\slmss.exe O4 - HKLM\..\Run: [version] C:\WINDOWS\System32\version.exe O4 - HKLM\..\Run: [SQInstaller] C:\Dokumente und Einstellungen\Anne\igetnet_3845_3645.exeSQInstaller.exe O3 - Toolbar: (no name) - {80E81A0E-9741-4FBC-8EE3-3B78C04ADA1D} - (no file) und ich hoffe, das du Norton ghost nicht nur installiert hast, sondern auch regelmaessig nutzt! __________ MfG Ralf SEO-Spam Hunter |
|
|
||
21.03.2004, 17:36
Member
Beiträge: 1095 |
#3
Hi Stephanius
Fixe bitte dies hier O3 - Toolbar: (no name) - {80E81A0E-9741-4FBC-8EE3-3B78C04ADA1D} - (no file) O4 - HKLM\..\Run: [oo4] RunDLL32.EXE C:\WINDOWS\oo4.dll,DllRun O4 - HKLM\..\Run: [Belt] C:\Dokumente und Einstellungen\Max\Lokale Einstellungen\Temp\Belt.exe O4 - HKLM\..\Run: [slmss] C:\Programme\Common Files\slmss\slmss.exe O4 - HKLM\..\Run: [SQInstaller] C:\Dokumente und Einstellungen\Anne\igetnet_3845_3645.exeSQInstaller.exe Überprüfe bitte diese Datei erst mal bei http://www.kaspersky.com/de/remoteviruschk.html O4 - HKLM\..\Run: [version] C:\WINDOWS\System32\version.exe Wenn Virus/Malware sind dann fixen Das hier kann, muß aber nicht gefixt werden O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL Dann bitte Neustart dann mal dies durchführen http://board.protecus.de/t9373.htm und nochmal Logfile posten, falls noch was übrig ist Grüße paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
21.03.2004, 17:52
Moderator
Beiträge: 7805 |
#4
Vorsicht mit dem incd Eintrag! Nicht herausnehmen, wenn du incd nutzt, wenn du es nicht nutzt, INCD via Software deinstallieren. Meiner Meinung nach ist "incd" nur eine Systembremse und macht den Rechner auch nicht unbedingt stabiler.
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
10.04.2004, 17:11
...neu hier
Themenstarter Beiträge: 10 |
#5
Danke für die guten Tipps.
Das Servicepack-Update kann ich mit meinem Modem nicht durchführen, da es Stunden dauern würde. Ich konnte mit Hilfe von Spybot einige Hijacker entfernen, jedoch öffnet sich Zestyfind.com immernoch als Popup beim eingeben einer Domain. Es wird weder von Ad-Aware noch von Spybot erkannt. Sobald ich mich ins Netz einwähle erscheinen in der Hijack-Logfile die Einträge unter 017! Ich könnte wetten das jene mein Problem auslösen. Aber wie kann ich das Ausführen dieser Einträge unterbinden? Logfile of HijackThis v1.97.7 Scan saved at 17:08:59, on 10.04.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\Norton Personal Firewall\NISUM.EXE C:\WINDOWS\System32\drivers\CDAC11BA.EXE C:\Programme\Norton Personal Firewall\ccPxySvc.exe C:\PROGRA~1\NORTON~1\NORTON~2\GHOSTS~2.EXE C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe C:\WINDOWS\System32\ctfmon.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\Programme\Oleco\_Oleco.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Stephan\Desktop\HijackThis.exe O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [PCMService] C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: WebSpeech (HKLM) O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) (HKLM) O9 - Extra button: AIM (HKLM) O9 - Extra button: ICQ Lite (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O17 - HKLM\System\CCS\Services\Tcpip\..\{0E2D9A8F-5466-4C43-9A64-363B0E548489}: NameServer = 62.53.166.67 193.189.244.205 O17 - HKLM\System\CS1\Services\Tcpip\..\{0E2D9A8F-5466-4C43-9A64-363B0E548489}: NameServer = 62.53.166.67 193.189.244.205 Nette Grüße |
|
|
||
10.04.2004, 17:55
Moderator
Beiträge: 7805 |
#6
Schau mal hier: http://sarc.com/avcenter/venc/data/adware.zestyfind.html
oder hier: http://www.spywareinfo.com/~merijn/files/kill2me.zip oder suche mal nach einer msg(zahl).dll in deinem System32 Ordner. Adaware und Spybot waren up do date? __________ MfG Ralf SEO-Spam Hunter Dieser Beitrag wurde am 10.04.2004 um 17:56 Uhr von raman editiert.
|
|
|
||
10.04.2004, 18:02
Moderator
Beiträge: 6466 |
#7
Zitat O17 - HKLM\System\CCS\Services\Tcpip\..\{0E2D9A8F-5466-4C43-9A64-363B0E548489}: NameServer = 62.53.166.67 193.189.244.205Das sind die bei deiner einwahl vom Provider zugewiesenen DNS-server. Stellen kein Problem dar. __________ Durchsuchen --> Aussuchen --> Untersuchen |
|
|
||
12.04.2004, 01:36
...neu hier
Themenstarter Beiträge: 10 |
#8
Guten Morgen!
Die Tipps sind gut, aber haben leider allesamt nichts geholfen. Die Popups treten nun leider noch vermehrt auf. 1) Adawatch registriert folgendes: VX2.BetterInternet File Data Miner c:\windows\system32\3sapi.cpy.dll Possible Browser Hijack attempt RegData Data Miner HKEY_USERS:.Default\Software\Microsoft\Internet Explorer\Main"Start Page" ("www.zestyfind.com/") Possible browser hijack attempt VX2.BetterInternet RegKey Data Miner HKEY_LOCAL_MACHINE:SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Guardian\ was ist die 3sapi.cpy.dll ? die lässt sich auch von adawatch nach dem neustart nicht entfernen. 2)spybot fährt den rechner seit neuestem auf 100% und scannt damit nicht mehr. 3) den hijack-log erspar ich euch mal. gruß |
|
|
||
12.04.2004, 09:28
Moderator
Beiträge: 7805 |
#9
Nutz mal cwshredder. http://www.spywareinfo.com/~merijn/files/CWShredder.exe
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
20.04.2004, 14:37
...neu hier
Beiträge: 1 |
#10
Hallo freunde,
Ich schreibe leider nicht so gut Deutch, und hoffe dabei dass es auch geht wenn ich english schreiben, so here we go I have had the same problem lately, and also tried to eliminate it with the currently available S/W tools, only to find out that they could not identify and remove the problem. Here is what I found out ! In my Windows/system directory there was 2 files which did not seem to belong there as follows: dtndi.cpy.dll and dtndi.dll The first one ensures that the precesense of the second is maintained, so it is important to delete both, however the one in use cannot be deleted when the PC is operating in Windows, so you have to start your PC up in plain DOS mode and delete it from there. However before you close the system down, you should run regedit and search for the precesense of "dtndi" (utilising the search function of regedit) and delete all entries referring to this file. The files are seemingly distributed by a company that calls themselves "Nictech", which is some sort of advertising agency !?"#¤ In my opinion his company should have it's brains examined, what they do to peoples PC's aught to be illegal, and I can't realy see the point in anoying people in this way. One of their advertisings (yyy6.html as far as I remember) is looking like it is some sort of "warning" related to your PC's memory and speed performance, don't ever react to or try to follow the steps in this so called "warning". I am fairly sure that this company has other names for their malicious software, so if you cannot find the filenames mentioned above, try searching for the textstring "nictech" in all files within the windows/system directory and if you find any then treat them in the same way as I have just described. You could also start your search by looking for *.cpy.dll or *.cpy.* only to narrow it down, I am fairly certain that they use this concept of having a .cpy file to reactiavte the S/W whenever someone manages to get rid of the running application, which by the way does not appear on any taskmonitoring systems ! (very slick and very devious) . A very good tool to search within files is the "Total Commander" (previously called Windows Commander in earlier versions) it is a very easy and powerfull tool for handling files on your PC, much better than the standard Windows "pathfinder". I hope this will help you out, in any case please report back here. kind regards IC_man |
|
|
||
05.05.2004, 13:24
Ehrenmitglied
Beiträge: 29434 |
#11
Stephanius
Entfernen von Adware.ZestyFind http://www.sarc.com/avcenter/venc/data/adware.zestyfind.html -------------------------------------------------------------------------------------------------------------- -Die Wiederherstellung deaktivieren http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 -Start<Ausfuehren<regedit reinschreiben Es oeffnet sich die Registry folgendes loeschen ...immer auf der rechten Seite # HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Guardian # HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Shell Extensions\Approved\{DDFFA75A-E81D-4454-89FC-B9FD0631E726} # HKEY_CLASSES_ROOT\CLSID\{DDFFA75A-E81D-4454-89FC-B9FD0631E726} # HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DDFFA75A-E81D-4454-89FC-B9FD0631E726} -umbenennen msg117.dll. ------------------------ 1. Shut down the computer and turn off the power. Wait for at least 30 seconds, and then restart the computer. 2. Press the F8 key while rebooting, then select "Safe mode command prompt only" in Windows 95/98/Me or "Safe Mode with Command Prompt" in Windows NT/2000/XP. 3. At the command prompt, type: ren %system%\msg117.dll zesty.nav 4. Shut down the computer and turn off the power. Wait for at least 30 seconds, and then restart the compute http://www.sarc.com/avcenter/venc/data/adware.zestyfind.html MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 05.05.2004 um 13:29 Uhr von Sabina editiert.
|
|
|
||
Sobald ich mich ins Netz einlog, erscheinen Popups beim drücken von Buttons oder beim eingeben von Internetadressen.
Folgende Seiten werden immerwieder aufgerufen:
http://clicks.emarketmakers.com/redir.aspx?id=177231
http://69.20.62.53/yyy6.html
auch zestyfind.com schreibt sich als Startseite des öfteren in die Registry.
desweiteren benötigt der rechner seit neuestem genau eine minute um die benutzereinstellungen beim hochfahren zu laden. viel zu lang, oder?
nun zu den programmen.
Ad-Aware:
"folgende reg-Einträge kann ich so oft ich will mit der Software löschen, sie tauchen immerwieder auf!"
Vendor Type Category Object Comment
RemanentBHO RegKey Malware HKEY_CLASSES_ROOT:AppID\BookedSpace.DLL\
RemanentBHO RegKey Malware HKEY_CLASSES_ROOT:BookedSpace.Extension\
VX2.BetterInternet RegValue Data Miner HKEY_LOCAL_MACHINE:SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ SimilarSingles
RemanentBHO RegKey Malware HKEY_LOCAL_MACHINE:SOFTWARE\BookedSpace\
hijack this:
Logfile of HijackThis v1.97.7
Scan saved at 15:51:15, on 21.03.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton Personal Firewall\NISUM.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\Norton Personal Firewall\ccPxySvc.exe
C:\PROGRA~1\NORTON~1\NORTON~2\GHOSTS~2.EXE
C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Oleco\_Oleco.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Stephan\Desktop\HijackThis.exe
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: (no name) - {80E81A0E-9741-4FBC-8EE3-3B78C04ADA1D} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [PCMService] C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
O4 - HKLM\..\Run: [oo4] RunDLL32.EXE C:\WINDOWS\oo4.dll,DllRun
O4 - HKLM\..\Run: [Belt] C:\Dokumente und Einstellungen\Max\Lokale Einstellungen\Temp\Belt.exe
O4 - HKLM\..\Run: [slmss] C:\Programme\Common Files\slmss\slmss.exe
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [version] C:\WINDOWS\System32\version.exe
O4 - HKLM\..\Run: [SQInstaller] C:\Dokumente und Einstellungen\Anne\igetnet_3845_3645.exeSQInstaller.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: WebSpeech (HKLM)
O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) (HKLM)
O9 - Extra button: AIM (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\..\{0E2D9A8F-5466-4C43-9A64-363B0E548489}: NameServer = 195.71.127.6 193.189.244.205
O17 - HKLM\System\CS1\Services\Tcpip\..\{0E2D9A8F-5466-4C43-9A64-363B0E548489}: NameServer = 195.71.127.6 193.189.244.205
spybot und cws-shredder können nichts finden.
Wäre echt nett, wenn das einer von euch Profis mal durchcheckt und mir ein paar Tipps geben kann.
Liebe Grüße, Stephanius