Home » Spyware & Browser Hijacker Support Forum » Problem mit DSO-Exploit, was macht der » Themenansicht
Problem mit DSO-Exploit, was macht derThema ist geschlossen! |
||
|---|---|---|
Thema ist geschlossen! |
||
| #0
| ||
|
18.09.2004, 16:51
...neu hier
Beiträge: 6 |
||
 
|
|
|
|
18.09.2004, 17:49
...neu hier
Beiträge: 8 |
#377
Und hier das eScan-Ergebnis.. Ich habe das mal editiert weil wie auf dem Screen zu sehen ist, sind es viele Ergebnisse, aber davon nur 20 relevant eigentlich
  File C:\Dokumente und Einstellungen\MaxMan\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\ar3.jar-588fab9e-250532e8.zip infected by "Trojan.Java.ClassLoader.i" Virus. Action Taken: File Deleted. File C:\Programme\Norton SystemWorks\Norton Antivirus\Quarantine\0AE9459A.class infected by "Trojan.Java.ClassLoader.i" Virus. Action Taken: File Deleted. File C:\Programme\Norton SystemWorks\Norton Antivirus\Quarantine\0E5439D7.class infected by "Trojan.Java.ClassLoader.i" Virus. Action Taken: File Deleted. File C:\Programme\Norton SystemWorks\Norton Antivirus\Quarantine\0EFA3CDF.htm infected by "Exploit.CodeBaseExec" Virus. Action Taken: File Renamed. File C:\Programme\Norton SystemWorks\Norton Antivirus\Quarantine\129770B8.class infected by "Trojan.Java.ClassLoader.k" Virus. Action Taken: File Deleted. File C:\Programme\Norton SystemWorks\Norton Antivirus\Quarantine\2C395A71.class infected by "Trojan.Java.ClassLoader.k" Virus. Action Taken: File Deleted. File C:\Programme\Norton SystemWorks\Norton Antivirus\Quarantine\2CA71A33.class infected by "Trojan.Java.ClassLoader.k" Virus. Action Taken: File Deleted. File C:\Programme\Norton SystemWorks\Norton Antivirus\Quarantine\34601EB0.class infected by "Trojan.Java.ClassLoader.k" Virus. Action Taken: File Deleted. File C:\Programme\Norton SystemWorks\Norton Antivirus\Quarantine\39C741B9.class infected by "Trojan.Java.ClassLoader.k" Virus. Action Taken: File Deleted. File C:\Programme\Norton SystemWorks\Norton Antivirus\Quarantine\3FF05AAF.class infected by "Trojan.Java.ClassLoader.b" Virus. Action Taken: File Deleted. File C:\Programme\Norton SystemWorks\Norton Antivirus\Quarantine\40B42BDF.htm infected by "Exploit.CodeBaseExec" Virus. Action Taken: File Renamed. File C:\Programme\Norton SystemWorks\Norton Antivirus\Quarantine\40CB51C6.exe infected by "TrojanDownloader.Win32.Nex.b" Virus. Action Taken: File Deleted. File C:\Programme\Norton SystemWorks\Norton Antivirus\Quarantine\4AC168CF.class infected by "Trojan.Java.ClassLoader.i" Virus. Action Taken: File Deleted. File C:\Programme\Norton SystemWorks\Norton Antivirus\Quarantine\4AC512CC.class infected by "Exploit.Java.Bytverify" Virus. Action Taken: File Renamed. File C:\Programme\Norton SystemWorks\Norton Antivirus\Quarantine\4AC83CC8.class infected by "TrojanDownloader.Java.OpenConnection.l" Virus. Action Taken: File Deleted. File C:\Programme\Norton SystemWorks\Norton Antivirus\Quarantine\4EBD52E6.class infected by "Exploit.Java.Bytverify" Virus. Action Taken: File Renamed. File C:\Programme\Norton SystemWorks\Norton Antivirus\Quarantine\50EB572A.class infected by "Trojan.Java.ClassLoader.i" Virus. Action Taken: File Deleted. File C:\Programme\Norton SystemWorks\Norton Antivirus\Quarantine\51B718B2.class infected by "Exploit.Java.Bytverify" Virus. Action Taken: File Renamed. File C:\Programme\Norton SystemWorks\Norton Antivirus\Quarantine\5439736B.class infected by "Trojan.Java.ClassLoader.i" Virus. Action Taken: File Deleted. File C:\Programme\Norton SystemWorks\Norton Antivirus\Quarantine\5B512371.exe infected by "TrojanDropper.Win32.Small.ig" Virus. Action Taken: File Deleted. File C:\Programme\Norton SystemWorks\Norton Antivirus\Quarantine\5B512371.htm infected by "Exploit.HTML.Mht" Virus. Action Taken: File Renamed. File C:\Programme\Norton SystemWorks\Norton Antivirus\Quarantine\5B58776A.htm infected by "Exploit.CodeBaseExec" Virus. Action Taken: File Renamed. File C:\Programme\Norton SystemWorks\Norton Antivirus\Quarantine\5B62755F.exe infected by "TrojanDownloader.Win32.Nex.b" Virus. Action Taken: File Deleted. File C:\Programme\Norton SystemWorks\Norton Antivirus\Quarantine\683948CD.htm infected by "Exploit.HTML.Mht" Virus. Action Taken: File Renamed. File C:\Programme\Norton SystemWorks\Norton Antivirus\Quarantine\7A287CAF.class infected by "Trojan.Java.ClassLoader.r" Virus. Action Taken: File Deleted. File C:\System Volume Information\_restore{351A1153-9CAE-40EB-B03D-4A6E76694119}\RP45\A0016748.exe infected by "TrojanDownloader.Win32.Nex.b" Virus. Action Taken: File Deleted. File C:\System Volume Information\_restore{351A1153-9CAE-40EB-B03D-4A6E76694119}\RP45\A0016749.exe infected by "TrojanDropper.Win32.Small.ig" Virus. Action Taken: File Deleted. File C:\System Volume Information\_restore{351A1153-9CAE-40EB-B03D-4A6E76694119}\RP45\A0016750.exe infected by "TrojanDownloader.Win32.Nex.b" Virus. Action Taken: File Deleted. File D:\Desktopmodding\styles\62235.exe infected by "not-a-virus:AdvWare.Toolbar.Quick.a" Virus. Action Taken: File Renamed. File D:\Downloads\benaliasger_v55.zip tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File D:\Downloads\dxball17.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File D:\Downloads\gun.exe tagged as not-a-virus:Simulator.Win16.Gun. No Action Taken. File D:\Downloads\setiathome-3.08.i386-winnt-cmdline.exe tagged as not-a-virus:NetCalc.SETI@Home.a. No Action Taken. File D:\Downloads\sex2000.exe tagged as not-a-virus  ornWare.Dialer.Generic. No Action Taken.File D:\Downloads\UT2003_NOCD.rar tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File D:\ogame\fun\benji\Spass\von Lok-Thomas\SCHAF.EXE tagged as not-a-virus:Simulator.Win16.Sheep. No Action Taken. File D:\RECYCLER\NPROTECT\00000024. infected by "BkCln.Unknown" Virus. Action Taken: File Renamed. File D:\RECYCLER\NPROTECT\00000032. infected by "BkCln.Unknown" Virus. Action Taken: File Renamed. File D:\RECYCLER\NPROTECT\00000033. infected by "BkCln.Unknown" Virus. Action Taken: File Renamed. File ...ein paar Tausend Files später... D:\Steam\SteamApps\maxolomeus@web.de\counter-strike\cstrike\ProblemFixer.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File D:\Steam\SteamApps\maxolomeus@web.de\counter-strike\cstrike\SayscriptKonfiguration.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File D:\Steam\SteamApps\maxolomeus@web.de\counter-strike\cstrike\UninstallEsseX.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File D:\System Volume Information\_restore{351A1153-9CAE-40EB-B03D-4A6E76694119}\RP45\A0016751.exe infected by "not-a-virus:AdvWare.Toolbar.Quick.a" Virus. Action Taken: File Renamed. File E:\Counter-Strike\cstrike\ben\setup.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File E:\Counter-Strike\hltv.exe tagged as not-a-virus:RiskWare.Proxy.Hltv. No Action Taken. File E:\RECYCLER\NPROTECT\00000000. infected by "BkCln.Unknown" Virus. Action Taken: File Renamed. File ... ein paar Tausend Einträge später... G:\Max Safe\Programme\SETI@home\setiathome-3.08.i386-winnt-cmdline.exe tagged as not-a-virus:NetCalc.SETI@Home.a. No Action Taken. File G:\RECYCLER\S-1-5-21-839522115-1343024091-854245398-1004\Dg4\Eigene Dateien\benaliasger_v55.zip tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File G:\Treiber-Utilities-Safes\Tools\Passwortfinder\password.exe tagged as not-a-virus:RiskWare.PSWTool.Finder.a. No Action Taken. File G:\Treiber-Utilities-Safes\Tools\Startdiskette 98-ME\DISK\RESTART.COM tagged as not-a-virus:Tool.DOS.Restart. No Action Taken. File H:\RECYCLER\NPROTECT\00000014. infected by "BkCln.Unknown" Virus. Action Taken: File Renamed. File H:\RECYCLER\NPROTECT\00000027. infected by "BkCln.Unknown" Virus. Action Taken: File Renamed. File H:\RECYCLER\NPROTECT\00000048. infected by "BkCln.Unknown" Virus. Action Taken: File Renamed. File H:\RECYCLER\NPROTECT\00000088. infected by "BkCln.Unknown" Virus. Action Taken: File Renamed. File H:\RECYCLER\NPROTECT\00000128. infected by "BkCln.Unknown" Virus. Action Taken: File Renamed. File ... ein paar tausend Einträge später... H:\RECYCLER\NPROTECT\00004825. infected by "BkCln.Unknown" Virus. Action Taken: File Renamed. File J:\Downloads\fakefmt.exe infected by "not-virus:Joke.Win32.FakeFormat.105" Virus. Action Taken: File Renamed. File J:\Downloads\gemein\burp.exe tagged as not-a-virus:Joke.Win32.Rubis. No Action Taken. File J:\Downloads\gemein\runit.exe tagged as not-a-virus:Joke.Win16.Jeff. No Action Taken. File J:\Downloads\gemein\upsddown.EXE tagged as not-a-virus:Joke.BadDay. No Action Taken. File J:\Sindarin\Eigene Dateien\downloads\XGUYP.EXE tagged as not-a-virus:Simulator.Win16.MessageMates. No Action Taken. File J:\Spiele\fakefmt.exe infected by "not-virus:Joke.Win32.FakeFormat.105" Virus. Action Taken: File Renamed. File J:\System Volume Information\_restore{351A1153-9CAE-40EB-B03D-4A6E76694119}\RP45\A0016752.exe infected by "not-virus:Joke.Win32.FakeFormat.105" Virus. Action Taken: File Renamed. File J:\System Volume Information\_restore{351A1153-9CAE-40EB-B03D-4A6E76694119}\RP45\A0016753.exe infected by "not-virus:Joke.Win32.FakeFormat.105" Virus. Action Taken: File Renamed. File J:\Wave-Dateien\Witzige Programme\Freibiersj.exe tagged as not-a-virus:Joke.Win32.FreiBier. No Action Taken. File J:\Wave-Dateien\Witzige Programme\Geschenk.exe tagged as not-a-virus:Joke.Win32.Coke. No Action Taken. So die Log, nur der Eintrag O16 wurde entfernt  Logfile of HijackThis v1.98.2 Scan saved at 17:48:21, on 18.09.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Ahead\InCD\InCDsrv.exe C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Norton Personal Firewall\NISUM.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Norton Personal Firewall\ccPxySvc.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\Motherboard Monitor 5\MBM5.EXE C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Y's Dock Toolbar 2\YzToolBar.exe C:\Programme\Y's Dock Toolbar\YzDock.exe C:\Programme\NoPopUp 2003\nopopup.exe C:\Programme\WhatPulse\WhatPulse.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\GetRight\GETRIGHT.EXE C:\Programme\GetRight\GETRIGHT.EXE D:\Programme\ICQ\ICQ.exe E:\eMule 0.30c\eMule.exe C:\Programme\TGTSoft\StyleXP\StyleXP.exe C:\Dokumente und Einstellungen\MaxMan\Lokale Einstellungen\Temp\mwavscan.com C:\Dokumente und Einstellungen\MaxMan\Lokale Einstellungen\Temp\kavss.exe C:\WINDOWS\System32\notepad.exe C:\Programme\Internet Explorer\iexplore.exe D:\Downloads\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [MBM 5] "C:\Programme\Motherboard Monitor 5\MBM5.EXE" O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Toolbar_Changer] "C:\Programme\Y's Dock Toolbar 2\YzToolBar.exe" -atboottime O4 - HKLM\..\Run: [Sidebar_Desktop] "C:\Programme\Y's Dock Toolbar\YzDock.exe" -atboottime O4 - HKCU\..\Run: [NoPopUp] C:\Programme\NoPopUp 2003\nopopup.exe /autorun O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKCU\..\Run: [WhatPulse] C:\Programme\WhatPulse\WhatPulse.exe O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - HKCU\..\RunOnce: [ICQ] D:\Programme\ICQ\ICQ.exe -trayboot O4 - Startup: Remember!.LNK = C:\Programme\Hallerdei\Remember!\rem.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Programme\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Programme\ICQ\ICQ.exe O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - C:\PROGRA~1\NEOTRA~1\NTXtoolbar.htm (HKCU) O17 - HKLM\System\CCS\Services\Tcpip\..\{B9FC37C2-0104-4206-BD8F-F560C24B5755}: NameServer = 213.20.88.4 193.189.244.205 Und jetzt? |
|
|
|
|
|
|
18.09.2004, 18:14
...neu hier
Beiträge: 3 |
#378
@ Sabina.
Hab jetzt die Systemsteurung deaktiviert, neu gebootet und wieder aktiviert. War das nun alles oder soll ich nochmal den neuen Logfile posten??? |
|
|
|
|
|
|
18.09.2004, 18:32
Ehrenmitglied
 Beiträge: 29434 |
#379
Hallo @MaxMan
Vielleicht gibst du mir nun doch Recht... D:\Desktopmodding\styles\62235.exe..INFIZIERT AdvWare.Toolbar.Quick.a Mache nun folgendes: 1.Deaktiviere die Wiederherstellung 2.Scanne noch mal im Normalmodus (auch wenn es lange dauert.) Erst, wenn dann ausser den not-a-virus:Tool.Win32.Reboot.-Eintraegen nichts mehr angezeigt wird, aktiviere wieder die Wiederherstellung. Dann wird dein Outlook bestimmt wieder funktionieren, denn es war von Java-Trojanern nur so verseucht. Uebrigens: #Backdoor Functionality http://www.trojaner-board.de/showpost.php?p=71796&postcount=9 #Wenn ein System kompromittiert wurde, ist das System nicht mehr vertrauenswürdig http://oschad.de/wiki/index.php/Kompromittierung mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 18.09.2004 um 18:34 Uhr von Sabina editiert.
|
|
|
|
|
|
|
18.09.2004, 18:34
Ehrenmitglied
Beiträge: 29434 |
#380
Hallo @ecn75
es ist alles o.k. 2.ALTERNATIVBROWSER : (der IE ist nicht sicher, es reicht, sich obrigen Virenscann und die Java-Trojaner anzusehen) #Firefox http://www.mozilla.org/products/firefox/download.html?http%3A//ftp.mozilla.org/pub/mozilla.org/firefox/releases/0.10/Firefox%20Setup%201.0PR.exe Gruss Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 18.09.2004 um 18:36 Uhr von Sabina editiert.
|
|
|
|
|
|
|
18.09.2004, 18:56
...neu hier
Beiträge: 8 |
#381
@Sabrina.. Das war nur ein Style in ner Zip. Der war noch nichtmal benutzt
 Aber ich werde jetzt erstmal nochmal scannen (Wiederherstellung gerade deaktiviert) Soll ich mir deine beiden Links genauer zu Gemüte führen?
|
|
|
|
|
|
|
18.09.2004, 19:02
Ehrenmitglied
Beiträge: 29434 |
#382
Zitat MaxMan posteteZur letzten Frage...bleibt dir ueberlassen. Ich weiss nicht, ob du wichtige Daten auf dem PC hast, Passworte, usw. Falls ja, empfehle ich eine Neuinstallation . mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
18.09.2004, 23:23
...neu hier
Beiträge: 8 |
#383
So, ich hab diesen Test jetzte knapp 3mal durchlaufen lassen mit allen Files
Das einzige was er jetzt noch sagt, sind Einträge, die er in Ruhe gelassen hat weil sie ungefährlich sind und Dateien, die er umbenannt hat (befinden sich allesamt im Norton Recycler Ordner, also ungefährlich)... Ansonsten nochmal mit Ad-Aware rüber und Spybot S&D... Mit Norton Antivirus auch nochmal geguckt. Und von Hand die Internetdateien gelöscht Jetzt dürfte das System weitestgehend sauber sein. Aber leider funktioniert mein OE immer noch nicht... Aber danke für die ganze Hilfe P.S. auf meinen Partition sind keine relevanten Daten, von denen kein Backup existiert und PWs speichert man eh nicht aufm Rechner Der Rest schlummert im Steganos Safe...
|
|
|
|
|
|
|
19.09.2004, 13:52
...neu hier
Beiträge: 1 |
#384
Hi Sabina!
Ich hab auch das Problem mit DSO Exploit. Hier meine log.thx schon mal im voraus.. Logfile of HijackThis v1.97.7 Scan saved at 13:44:00, on 19.09.04 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\ATI2EVXX.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\SYSTEM\ATIPTAXX.EXE C:\WINDOWS\SYSTEM\STIMON.EXE E:\PROGRAMME\DAEMON-TOOLS\DAEMON.EXE C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE C:\WINDOWS\SYSTEM\USBMONIT.EXE C:\WINDOWS\SOUNDMAN.EXE C:\PROGRAMME\CANON\SCANGEAR TOOLBOX CS\SGTBOX.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\WINDOWS\SYSTEM\PSTORES.EXE C:\PROGRAMME\ICQLITE\ICQLITE.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE D:\EIGENE DATEIEN\BASTI\QUATSCH\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://qucwhi.t.muxa.cc/s.php?aid=614 (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://qucwhi.t.muxa.cc/s.php?aid=614 (obfuscated) R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://qucwhi.t.muxa.cc/s.php?aid=614 (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://qucwhi.t.muxa.cc/h.php?aid=614 (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://qucwhi.t.muxa.cc/s.php?aid=614 (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://qucwhi.t.muxa.cc/s.php?aid=614 (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://qucwhi.t.muxa.cc/s.php?aid=614 (obfuscated) R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://qucwhi.t.muxa.cc/h.php?aid=614 (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank F1 - win.ini: run=hpfsched O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - HKLM\..\Run: [DAEMON Tools-1033] "E:\Programme\Daemon-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min O4 - HKLM\..\Run: [Gene USB Monitor] C:\WINDOWS\SYSTEM\USBMonit.exe O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakLogon O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [ATIPOLL] ati2evxx.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\PROGRAMME\ICQLITE\ICQLITE.EXE -trayboot O4 - Startup: Canon ScanGear Toolbox CS 2.1.lnk = C:\Programme\Canon\ScanGear Toolbox CS\SGTBox.exe O9 - Extra button: ICQ 4.0 (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O9 - Extra button: ICQ Pro (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O12 - Plugin for .mp3: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin4.dll O12 - Plugin for .png: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin5.dll O12 - Plugin for .mpeg: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin3.dll O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {E87A6788-1D0F-4444-8898-1D25829B6755} - http://fdl.msn.com/public/chat/msnchat4.cab O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab O16 - DPF: {AB29A544-D6B4-4E36-A1F8-D3E34FC7B00A} - http://install.wildtangent.com/bgn/partners/shockwave/meninblackII/install.cab O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} - http://www.apple.com/qtactivex/qtplugin.cab O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://213.153.36.19/activex/AxisCamControl.cab O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} - http://install.power-url.de/StarInstall.ocx |
|
|
|
|
|
|
19.09.2004, 16:17
Ehrenmitglied
Beiträge: 29434 |
#385
@batzi
Fixe: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://qucwhi.t.muxa.cc/s.php?aid=614 (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://qucwhi.t.muxa.cc/s.php?aid=614 (obfuscated) R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://qucwhi.t.muxa.cc/s.php?aid=614 (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://qucwhi.t.muxa.cc/h.php?aid=614 (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://qucwhi.t.muxa.cc/s.php?aid=614 (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://qucwhi.t.muxa.cc/s.php?aid=614 (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://qucwhi.t.muxa.cc/s.php?aid=614 (obfuscated) R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://qucwhi.t.muxa.cc/h.php?aid=614 (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank O16 - DPF: {AB29A544-D6B4-4E36-A1F8-D3E34FC7B00A} - http://install.wildtangent.com/bgn/partners/shockwave/meninblackII/install.cab O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} - http://install.power-url.de/StarInstall.ocx neustarten 1.Leere folgende Ordner: (nicht die Ordner selbst loeschen !) C:\Dokumente und Einstellungen\Default User\Cookies\*.* C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temp\*.* C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\*.* 2.AdAware (free) http://www.lavasoft.de/support/download/ VOR jedem Scanvorgang das Programm Updaten! WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!. Files, die Adaware findet, können bedenkenlos gelöscht werden. 3.Das eScan AV Toolkit (mwav.exe) herunterladen, http://www.mwti.net/antivirus/free_utilities.asp die Datei in den Ordner "c:\base" entpacken und danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen. und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen : Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives und "Scan clean" klicken. Poste danach Virus Log Information: was als <deleted< und <renamed< und <no action taken< gefunden wurde und das neue Log vom HijackThis noch mal posten. (der Dialer muss manuell geloescht werden....StarInstall.ocx) ________________________________________________________________________________________________ Tip::Aktualisiere den IE #Internet Explorer 6 Service Pack 1 http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=1E1550CB-5E5D-48F5-B02B-20B602228DE6 #Spybot Search & Destroy\ DSO Exploit http://www.trojaner-board.de/showpost.php?p=70985&postcount=6 Das ist eine Sicherheitslücke im Internet Explorer die inzwischen geschlossen wurde, vorausgesetzt das dein System mit den entsprechenden Updates versorgt worden ist. Wenn Spybot Search & Destroy diese Meldung noch bringt, dann ist das ein Bug von Spybot. Manuelle Beseitigung: http://www.wintotal.de/Tipps/Eintrag.php?TID=959 oder du benutzt ein Tool wie "dsostop": http://www.nsclean.com/dsostop.html oder am Besten ganz auf den IE verzichten: #Alternativbrowser zum IE Firefox http://www.mozilla.org/products/firefox/download.html?http%3A//ftp.mozilla.org/pub/mozilla.org/firefox/releases/0.10/Firefox%20Setup%201.0PR.exe mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 19.09.2004 um 16:22 Uhr von Sabina editiert.
|
|
|
|
|
|
|
21.09.2004, 17:40
...neu hier
Beiträge: 1 |
#386
Hi, hab das anscheinend auch, da ich im Hintergrund immer Prozesse laufen habe, wo ich nicht weiss was die da zu suchen haben. Erst ging es los mit einer calc.exe die andauernd Prozessorleistung in anspruch nahm, dann verschwand die nach paar tagen, dafür war eine hards.exe am laufen und das selbe dann nach 2 tagen mit ner exp.exe. zur zeit heisst dieser prozess ass.exe und nunja ich bekomme ihn nicht beendet, nicht gelöscht, da die verweise auf die festplatte ungültig sind (die datei gibs anscheinend garnicht) und alle versuchten ins internet zu connection.
hier mein hijack log: Logfile of HijackThis v1.98.2 Scan saved at 17:10:40, on 21.09.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\Norton Personal Firewall\NISUM.EXE C:\Programme\Norton Personal Firewall\ccPxySvc.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Apache Group\Apache2\mysql-4.0.18-win-noinstall\mysql-4.0.18\bin\mysqld-nt.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\D-Tools\daemon.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe C:\WINDOWS\inf\ass.exe C:\WINDOWS\System32\devldr32.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\PROGRA~1\DAP\DAP.EXE C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\Home\LOKALE~1\Temp\Rar$EX00.703\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.iquicksearch.net/search.htm R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.iquicksearch.net/search.htm R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.iquicksearch.net/search.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.webmasterpark.net/forum/index.php?s= R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.iquicksearch.net/search.htm R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.misp.com:8080 O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Programme\DAP\DAPBHO.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: CATLEvents Object - {77849D67-5672-4B68-93E2-CCEFF1E3949E} - C:\DOKUME~1\Home\LOKALE~1\Temp\ssa.dat O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Programme\DAP\DAPIEBar.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe O4 - HKLM\..\Run: [*exp] C:\WINDOWS\addins\exp.exe O4 - HKLM\..\Run: [*ass] C:\WINDOWS\inf\ass.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\RunOnce: [*ass] C:\WINDOWS\inf\ass.exe rerun O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll Hoffe mir kann jemand helfen, denn ich hab so ziemloich alles probiert, was hier in dem thread vorher drin stand! Danke! |
|
|
|
|
|
|
22.09.2004, 12:57
Ehrenmitglied
Beiträge: 29434 |
#387
Hallo @maddiN
Fixe: R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.iquicksearch.net/search.htm R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.iquicksearch.net/search.htm R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.iquicksearch.net/search.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.webmasterpark.net/forum/index.php?s= R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.iquicksearch.net/search.htm O4 - HKLM\..\Run: [*exp] C:\WINDOWS\addins\exp.exe O4 - HKLM\..\Run: [*ass] C:\WINDOWS\inf\ass.exe O4 - HKLM\..\RunOnce: [*ass] C:\WINDOWS\inf\ass.exe rerun O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) neustarten #Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK" #Leere die Odner (nicht die Ordner selbst loeschen: C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temp\*.* C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\*.* #Loesche: C:\WINDOWS\inf\ass.exe C:\WINDOWS\addins\exp.exe #Das eScan AV Toolkit (mwav.exe) herunterladen, http://www.rokop-security.de/board/index.php?showtopic=3867 http://www.mwti.net/antivirus/free_utilities.asp die Datei in den Ordner "c:\base" entpacken und danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen. <gehe in den abgesicherten Modus http://www.bsi.de/av/texte/winsave.htm und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen : Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives und "Scan clean" klicken. #im Normalmodus noch mal mit #Escan# scannen Poste danach Virus Log Information  aus Log abkopieren)was als <deleted< und <renamed< und <no action taken< gefunden wurde und das neue Log vom HijackThis noch mal MFGSabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 22.09.2004 um 12:59 Uhr von Sabina editiert.
|
|
|
|
|
|
|
22.09.2004, 20:52
...neu hier
Beiträge: 1 |
#388
ist da alles in ordnung? denk ma nisch
Logfile of HijackThis v1.98.2 Scan saved at 20:39:22, on 27.09.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\nvsvc32.exe F:\Programme\mIRC\mirc.exe C:\WINDOWS\explorer.exe F:\Programme\Spybot - Search & Destroy\SpybotSD.exe F:\PROGRA~1\AD-AWA~2\Ad-Aware.exe C:\Programme\Internet Explorer\iexplore.exe C:\DOKUME~1\-sTylEr-\LOKALE~1\Temp\mwavscan.com C:\DOKUME~1\-sTylEr-\LOKALE~1\Temp\kavss.exe F:\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://de.rd.yahoo.com/slv/ycheck/as/*http://de.docs.yahoo.com/info/ie6.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/slv/ycheck/as/*http://www.yahoo.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.rd.yahoo.com/slv/ycheck/hp/*http://de.yahoo.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/slv/ycheck/as/*http://search.yahoo.com/search?p=%s R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - F:\Programme\ICQToolbar\toolbaru.dll (file missing) O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - F:\Programme\ICQToolbar\toolbaru.dll (file missing) O4 - HKLM\..\Run: [ICQ Lite] F:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKCU\..\Run: [AIM] F:\Programme\AIM95\aim.exe -cnetwait.odl O4 - HKCU\..\Run: [Yahoo! Pager] F:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet O8 - Extra context menu item: &ICQ Toolbar Search - res://F:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - F:\Programme\AIM95\aim.exe O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - F:\PROGRA~1\MESSEN~1\YPager.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - F:\PROGRA~1\MESSEN~1\YPager.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} - http://playroom.icq.com/odyssey_web8.cab |
|
|
|
|
|
|
23.09.2004, 11:23
Ehrenmitglied
Beiträge: 29434 |
#389
Hi@supihucki
fixe: R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - F:\Programme\ICQToolbar\toolbaru.dll (file missing) O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - F:\Programme\ICQToolbar\toolbaru.dll (file missing) O8 - Extra context menu item: &ICQ Toolbar Search - res://F:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML 1.aktiviere den Guard:von Antivirus, damit er im Autostart unter 04 im HijackThis erscheint. 2.AdAware (free) http://www.lavasoft.de/support/download/ VOR jedem Scanvorgang das Programm Updaten! WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!. Files, die Adaware findet, können bedenkenlos gelöscht werden. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
24.09.2004, 14:24
...neu hier
Beiträge: 1 |
#390
Hallo.
Auch bei mir schmeißt hijackthis DSO Exploit raus. Hier das Log.Kann mir jemand helfen? Hab auch Norten komplett drauf. Logfile of HijackThis v1.98.2 Scan saved at 14:12:49, on 24.09.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe C:\WINDOWS\System32\hphmon03.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe C:\WINDOWS\system32\ctfmon.exe C:\Treiber\FreeRAM\FreeRAM.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Medion\ScanPanel\ScnPanel.exe C:\Programme\A4Proxy\A4Proxy.exe C:\Programme\OnlineCounter 2004\OnlineCounter.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\PROGRA~1\NORTON~1\NORTON~2\GHOSTS~2.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe C:\Programme\Norton Internet Security\NISUM.EXE C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Norton Internet Security\ccPxySvc.exe C:\WINDOWS\System32\HPHipm09.exe C:\Programme\Mozilla Firefox\firefox.exe C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis_198.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:80 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe O4 - HKLM\..\Run: [HPHmon03] C:\WINDOWS\System32\hphmon03.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [BySoft FreeRAM] C:\Treiber\FreeRAM\FreeRAM.exe O4 - Startup: A4Proxy.lnk = C:\Programme\A4Proxy\A4Proxy.exe O4 - Startup: OnlineCounter 2004-Autostart.lnk = C:\Programme\OnlineCounter 2004\OnlineCounter-Autostart.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: ScanPanel.lnk = C:\Programme\Medion\ScanPanel\ScnPanel.exe O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll O12 - Plugin for .wav: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093169434609 O17 - HKLM\System\CCS\Services\Tcpip\..\{3DFEDEEB-AC75-4551-81C3-95811B8862C4}: NameServer = 212.62.64.34 212.62.68.34 O17 - HKLM\System\CS2\Services\Tcpip\..\{3DFEDEEB-AC75-4551-81C3-95811B8862C4}: NameServer = 212.62.64.34 212.62.68.34 |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Naja von Mozilla halt ich nix, den DSO Exploit hatte ich deswegen immer wieder drauf und irgendwie finde ich (leider) den IE am besten
Danke für das tool, hoffentlich funktioniert das nun