http://your-search.cc/ als Startseite.. weiss nicht was nun |
||
---|---|---|
#0
| ||
30.03.2004, 14:37
...neu hier
Beiträge: 4 |
||
|
||
30.03.2004, 15:09
Member
Beiträge: 1095 |
#2
Hi
führe bitte das hier aus http://board.protecus.de/t9373.htm besonders den Teil mit CWShredder dann dashier fixen (wenn's noch da ist) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://81.211.105.43/search.php?v=5 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://81.211.105.43/index.php?v=5 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://81.211.105.43/index.php?v=5 dann neustart dann nochmal logfile posten Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 30.03.2004 um 15:14 Uhr von paff editiert.
|
|
|
||
30.03.2004, 15:27
...neu hier
Themenstarter Beiträge: 4 |
#3
hi paff.
Ich glaube ich habe etwas voreilig gepostet, tut mir leid. Auf jedenfall habe ich jetzt mal alle möglichen Tools (welche auf dieser Page waren) laufen lassen und ich kann meine Startseite wieder ändern. Allerdings sind jetzt diese Einträge drin: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://81.211.105.43/search.php?v=5 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://81.211.105.43/index.php?v=5 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.ch/ soll ich den letzen (Start Page = http://google.ch/) auch fixen? Oder habe ich sonst gar keine Startseite mehr? Gruss |
|
|
||
30.03.2004, 15:46
Member
Beiträge: 1122 |
#4
Nein, den kannst du stehen lassen.
Wenn du ihn fixen würdest hättest du keine Start-Seite mehr, könntest aber einfach wieder eine einstellen. MFG DAFRA |
|
|
||
30.03.2004, 16:13
Member
Beiträge: 1095 |
#5
Hi hashpipe
Die Startseite kannst du jederzeit wieder über Start/Systemsteuerung/Internetoptionen wieder setzen. Fixe bitte die Einträge R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://81.211.105.43/search.php?v=5 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://81.211.105.43/index.php?v=5 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://81.211.105.43/index.php?v=5 soweit vorhanden zur Sicherheit kannst du ja nochmal das gesamte Logfile posten Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
31.03.2004, 08:27
...neu hier
Themenstarter Beiträge: 4 |
#6
Ok hier nochmals das Logfile:
Logfile of HijackThis v1.97.7 Scan saved at 08:27:36, on 31.03.2004 Platform: Windows NT 4 SP6 (WinNT 4.00.1381) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\nddeagnt.exe C:\WINNT\Explorer.exe C:\WINNT\System32\SysTray.Exe C:\WINNT\System32\PROMon.exe C:\WINNT\System32\loadwc.exe C:\Programme\mouse\system\em_exec.exe C:\Programme\Compaq\Easy Access Keyboard\MMKeybd.exe C:\Programme\Network Associates\Common Framework\UpdaterUI.exe C:\Programme\Network Associates\VirusScan\SHSTAT.EXE C:\Programme\Notes\NLNOTES.EXE C:\Programme\Notes\naldaemn.EXE C:\PROGRA~1\INTERN~1\iexplore.exe G:\tools\hijackthis\hjt.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.ch/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Lista AG R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = F2 - REG:system.ini: UserInit=userinit,nddeagnt.exe O2 - BHO: (no name) - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Programme\DAP\DAPBHO.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Programme\DAP\DAPIEBar.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [PROMon.exe] PROMon.exe O4 - HKLM\..\Run: [BrowserWebCheck] loadwc.exe O4 - HKLM\..\Run: [SchedulingAgent] mstinit.exe /logon O4 - HKLM\..\Run: [EM_EXEC] C:\Programme\mouse\system\em_exec.exe O4 - HKLM\..\Run: [Easy Access Keyboard] C:\Programme\Compaq\Easy Access Keyboard\MMKeybd.exe O4 - HKLM\..\Run: [AutoInst] \\ERLSV055\Inst$\Prg\AutoInstall.exe O4 - HKLM\..\Run: [mdac_runonce] C:\WINNT\System32\runonce.exe O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKCU\..\Run: [LDM] C:\Programme\Desktop Messenger\8876480\Program\BackWeb-8876480.exe O4 - Global Startup: Lotus Notes.lnk = C:\Programme\Notes\notes.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm O9 - Extra button: Run DAP (HKLM) O9 - Extra button: Real.com (HKLM) O13 - WWW. Prefix: http:// O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = inhouse.lista.ch O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = inhouse.lista.ch O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 172.16.1.11 172.16.1.1 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = inhouse.lista.ch O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 172.16.1.11 172.16.1.1 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 172.16.1.11 172.16.1.1 hey aber ich hätte noch eine andere Frage: Was war das genau? Und wieso wird es nicht von einem aktuellen Virenscanner erkannt? Danke für eure Hilfe :o) |
|
|
||
31.03.2004, 09:35
Member
Beiträge: 1095 |
#7
Hi
Das kann noch raus O4 - HKLM\..\Run: [mdac_runonce] C:\WINNT\System32\runonce.exe (Achtung: Nur diesen Eintrag löschen. Nicht die Datei selber.) O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER Diese beiden Starten LotusNotes und MSOffice beim Start von Windows.Sind meistens für die Office bzw Lotus Startleiste zuständig. Kann raus wenn du willst! O4 - Global Startup: Lotus Notes.lnk = C:\Programme\Notes\notes.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE Den hier kenn ich nicht. Scheint ein Installationsprogramm von irgendeinem Server bei euch im Netzwerk zun sein. Kannst du ja mal überprüfen. O4 - HKLM\..\Run: [AutoInst] \\ERLSV055\Inst$\Prg\AutoInstall.exe Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
31.03.2004, 17:12
...neu hier
Themenstarter Beiträge: 4 |
#8
O4 - HKLM\..\Run: [mdac_runonce] C:\WINNT\System32\runonce.exe <-- was ist denn das?
AutoInstall.exe ist ein kleines Tool von uns, ist schon gut so wie es ist :) |
|
|
||
31.03.2004, 17:13
Member
Beiträge: 1122 |
||
|
||
Ich habe auf einmal die Seite: http://your-search.cc/ als Startseite.
Ich habe mal HijackThis ausgeführt, das kam dabei raus:
Code
--------------------Was kann ich nun mit diesem Log anfangen?
Was muss ich unternehmen?
Und was mich auch sehr interessieren würde, wie kam das auf mein System? und ist das ein Virus oder Wurm oder was?
Danke für eure Hilfe!
Gruss