Home » Spyware & Browser Hijacker Support Forum » Problem mit DSO-Exploit, was macht der » Themenansicht
Problem mit DSO-Exploit, was macht derThema ist geschlossen! |
||
|---|---|---|
Thema ist geschlossen! |
||
| #0
| ||
|
05.07.2004, 22:35
Ehrenmitglied
 Beiträge: 29434 |
||
 
|
|
|
|
05.07.2004, 22:42
Ehrenmitglied
Beiträge: 29434 |
#122
@Nexit
Hi, hier ist mein Log... ,) Was soll ich damit anfangen ??????????'Keine Problembeschreibung ? Soweit wie ich sehe, ist es o.k. Du kannst die mwav.exe laden und dann posten, ob das Tool was gefunden hat. http://www.mwti.net/antivirus/free_utilities.asp Gleiches mit Spysweeper http://www.spysweeper.com/ MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
05.07.2004, 22:50
...neu hier
Beiträge: 7 |
#123
HiJackTHis bringt mir nur diese Meldung:
An unexpected error has occurred at procedure: cmdFix_Click() Error #75 - Fehler beim Zugriff auf Pfad/Datei (39 items in results list) Please email me at merijn@spywareinfo.com, reporting the following: * What you were doing when the error occurred * How you can reproduce the error * A complete HijackThis scan log, if possible Windows version: Windows NT 5.01.2600 MSIE version: 6.0.2800.1106 HijackThis version: 1.98.0 This message has been copied to your clipboard. |
|
|
|
|
|
|
05.07.2004, 23:37
Ehrenmitglied
Beiträge: 29434 |
#124
Satyr
1.Schritt Ueberpruefe das bitte mit Kaspersky http://www.kaspersky.com/remoteviruschk.html C:\WINDOWS\System32\RunDll32.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\WINDOWS\System32\rundll32.exe was wird gesagt ?????????' Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 05.07.2004 um 23:38 Uhr von Sabina editiert.
|
|
|
|
|
|
|
05.07.2004, 23:40
Ehrenmitglied
Beiträge: 29434 |
#125
Satyr
2. Schritt Konfiguriere den Antivirus: Einstellungen : (Suchen: ALLE DATEIN, Reperatur: OHNE RÜCKFRAGEN, Löschen bei fehlgeschlagener Reperatur: LÖSCHEN OHNE RÜCKFRAGEN, Unerwünschte Programme: ALLE ausser spiele, Heuristik: Win32 Heuristik Priorität hoch) #Gehe in den abgesicherten Modus...F8 druecken, wenn der Comp. hochfaehrt #scanne mit dem Antivirus Gehe in die Registry Start<Ausfuehren<regedit suche nach Eintraegen, die die Startseite verstellen und loesche auf der rechten Seite der Registry HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = /sp.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = /sp.html#96676 schliesse die Registry Suche und loesche C:\WINDOWS\ntto.dll und falls eine von den RUND32.DLL ein Trojaner ist, laut Kaspersky..diesen auch loeschen ! 3. Schritt Lade mwav.exe ...30 Tage free und scanne <alle Dateien< http://www.mwti.net/antivirus/free_utilities.asp #Lade Spysweeper und scanne http://www.spysweeper.com/ #Lade AdAware free..update und scanne <alle Dateien< http://www.lavasoft.de/support/download/ #Lade Cwhredder http://www.chip.de/downloads/c_downloads_11353799.html #Loesche unter \InternetOptionen \die TemporatryInternetFiles und stelle eine neue Startseite ein und poste das Log noch mal. Tipp: surfe nur mit dem Firefox..ist ein bisschen sicherer als der IE http://www.firebird-browser.de/ 4.Schritt Das Log noch einmal posten MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 05.07.2004 um 23:41 Uhr von Sabina editiert.
|
|
|
|
|
|
|
05.07.2004, 23:53
...neu hier
Beiträge: 7 |
#126
Rundll32.exe habe ich nur ein File und das ist sauber. Wie gesagt, auch AntiVir und Adaware finden nix mehr.
HiJackThis funktioniert wie erwähnt nicht, CWS meint auch "not infected". Nur SpyBot findet jedesmal diesen DOS-Exploit: DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done) HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3 DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done) HKEY_USERS\S-1-5-21-839522115-926492609-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3 DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done) HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3 DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done) HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3 DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done) HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3 --- Spybot - Search && Destroy version: 1.3 --- 2004-06-16 Includes\Cookies.sbi 2004-06-16 Includes\Dialer.sbi 2004-06-17 Includes\Hijackers.sbi 2004-06-16 Includes\Keyloggers.sbi 2004-05-12 Includes\LSP.sbi 2004-06-16 Includes\Malware.sbi 2004-06-16 Includes\Revision.sbi 2004-06-16 Includes\Security.sbi 2004-06-16 Includes\Spybots.sbi 2004-06-16 Includes\Tracks.uti 2004-06-16 Includes\Trojans.sbi |
|
|
|
|
|
|
06.07.2004, 09:28
Ehrenmitglied
Beiträge: 29434 |
#127
satyr
ich habe aber drei gesehen C:\WINDOWS\System32\RunDll32.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\WINDOWS\System32\rundll32.exe Includes\Trojans.sbi und einen Trojaner, der die Startseite verstellt, ist dabei. #Mache bitte den Scann mit mwav.exe im abgesicherten Modus Lade mwav.exe ...30 Tage free und scanne <alle Dateien< http://www.mwti.net/antivirus/free_utilities.asp #Lade Spysweeper und scanne http://www.spysweeper.com/ #Gehe in die Registry Start<Ausfuehren<regedit HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = wpkwq.dll/sp.html#96676...loeschen ! HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = wpkwq.dll/sp.html#96676......loeschen dann lade diese zwei Tools..Spywareblaster und Spywarguard. http://www.javacoolsoftware.com/downloads.html #Lade ClearProg, die neuste Version und mache eine Totalsaeuberung des IE (schreib dir vorher die wichtigsten Favoriten, z.B. dieses Forum auf, denn es wird alles geloescht ! http://www.shtools.de/downloads.php #Loesche noch einmal unter <InternetOptionen< die TemporaryInternetfiles !!!!!!, stelle eine neue Startseite ein und poste das Log noch einmal, damit ich sehen kann, ob die 3 rund32.dll noch da sind. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 06.07.2004 um 09:32 Uhr von Sabina editiert.
|
|
|
|
|
|
|
06.07.2004, 09:50
...neu hier
Beiträge: 7 |
#128
Da Windows nicht zwischen Gross -und Kleinschreibung unterscheidet kann ich im Ordner System32 ja nur eine Datei haben. Windoof würde das ja eh nicht zulassen. Und die ist sauber.
Im Taskmanager wird der Prozess rundll32 auch drei mal angezeigt, svchost ebenfalls dreimal. Was soll das denn jetzt? Diese Einträge: HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = wpkwq.dll/sp.html#96676...loeschen ! HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = wpkwq.dll/sp.html#96676......loeschen habe ich auch draussen, nur das wird von SpyBot jedesmal gefunden: DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done) HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3 DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done) HKEY_USERS\S-1-5-21-839522115-926492609-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3 DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done) HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3 DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done) HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3 DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done) HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3 Aber eben, das Prob mit der Startseite ist verschwunden, dasselbe mit den zusätzlichen Buttons im IE. Auch meckern AntiVir und AdAware nicht mehr... |
|
|
|
|
|
|
06.07.2004, 10:00
Ehrenmitglied
Beiträge: 29434 |
#129
Da Windows nicht zwischen Gross -und Kleinschreibung unterscheidet kann ich im Ordner System32 ja nur eine Datei haben...............
Windows kann seht gut zwischen Gross -und Kleinschreibung unter scheiden....du musst es in der Suchfunktion nur einstellen. C:\WINDOWS\System32\RunDll32.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\WINDOWS\System32\rundll32.exe Dann ueberpruefe sie mit Kaspersky 2. Die 5 DSO Exploit von Spybot sind ein Bug, also keine Sorge. Poste das Log bitte noch einmal, MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 06.07.2004 um 10:07 Uhr von Sabina editiert.
|
|
|
|
|
|
|
06.07.2004, 10:08
...neu hier
Beiträge: 7 |
#130
Zwei Dateien im gleichen Ordner können unmöglich den gleichen Namen haben, unabhängig von der Schreibweise.
 Wenn sich eine Datei.txt befindet und du versuchst eine Datei zu speichern die DATEI.txt heisst wird Windoof meckern dass das nicht erlaubt ist. Und ich finde im Ordner System32 auch wirklich nur eine Datei. Über die Suchfunktion kommen noch ein paar Ergebnisse aus dem Ordner C:\WINDOWS\Prefetch Die Dateien haben dann Namen wie RUNDLL32.EXE-3715A58E.pf, jedoch scheint dies normal zu sein. Hier nochmal das HiJackThis-Log: Logfile of HijackThis v1.98.0 Scan saved at 10:07:57, on 06.07.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\snmp.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Logitech\iTouch\iTouch.exe C:\WINDOWS\Mixer.exe C:\WINDOWS\System32\RunDll32.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\ASUS\SmartDoctor\SmartDoctor.exe C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\Programme\MICROSTAR\Bluetooth Software\BTTray.exe C:\WINDOWS\System32\rundll32.exe C:\PROGRA~1\MICROS~3\BLUETO~1\BTSTAC~1.EXE C:\PROGRA~1\MICROS~2\OFFICE11\OUTLOOK.EXE C:\Programme\Winamp\winamp.exe C:\Programme\Adobe\Photoshop CS\Photoshop.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Spybot\SpybotSD.exe D:\AntiSpy\HijackThis\HijackThis.exe R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {248F4AA0-2FBE-AC94-9343-FA3E8832F5B2} - C:\WINDOWS\ntto.dll (file missing) O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [HGTXPEI] C:\WINDOWS\System32\FirstReboot.exe O4 - HKLM\..\Run: [SoundFusion] RunDll32 hercplgs.cpl,BootEntryPoint O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKCU\..\Run: [ASUS SmartDoctor] C:\Programme\ASUS\SmartDoctor\\SmartDoctor.exe /start O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: BTTray.lnk = ? O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O15 - Trusted Zone: http://www.baphomet.ch O15 - Trusted Zone: http://www.carstyle.ch O15 - Trusted Zone: http://www.darkness-inside.ch O15 - Trusted Zone: http://www.gothicmodels.net O15 - Trusted Zone: http://www.nightshadow.de O15 - Trusted Zone: http://www.uboot.com O16 - DPF: {14F65762-96FB-44B9-8DAC-93845F377A0E} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/de/filesharingctrl.cab O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab |
|
|
|
|
|
|
06.07.2004, 10:13
Ehrenmitglied
Beiträge: 29434 |
#131
Satyr
fixe O2 - BHO: (no name) - {248F4AA0-2FBE-AC94-9343-FA3E8832F5B2} - C:\WINDOWS\ntto.dll (file missing) neustarten Lad dir mal bitte diese Datei http://tools.zerosrealm.com/downloads/pv.zip und entpacke Sie in ein Verzeichnis. Dann die "runme.bat" starten Dann kannst du dir für den Explorer, den Internet Explorer jeweils die DLL's anziegen lassen. Mach dies mal für 1-5 Speichere jeweils die Dateien. Jetzt kannst du die Logfile mal selber durchschauen ob irgendwo eine "ominöse" DLL angezeigt wird, deren Namen so ähnlich ntto.dll. ist. Achte auch auf DLL's die hinter der Versionsnummer keine Beschreibung haben. Dann loesche die C:\WINDOWS\ntto.dll und/oder aehnliche. Dann poste das Log noch mal, aber bitte, MIT einer Startseite. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 06.07.2004 um 10:15 Uhr von Sabina editiert.
|
|
|
|
|
|
|
06.07.2004, 14:43
...neu hier
Beiträge: 5 |
#132
Hallo,
ich hatte letzte Woche ein paar Probleme mit Spyware und Viren und habe dank Euch alles wieder hin bekommen. Das einzige, was ich noch nicht verstehe ist, dass mwav.exe mir immer folgende drei Viren rausschmeißt: Tue Jul 06 13:25:28 2004 => File C:\RA\WinExe\32ADRSUP.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Tue Jul 06 13:26:15 2004 => File C:\RA\WinExe\CHECK.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Tue Jul 06 13:26:30 2004 => File C:\RA\WinExe\UNINSTAL.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Leider kenne ich mich nicht so gut aus, sind es nun Viren oder nicht? Kann ich das ignorieren oder sollte ich was machen? Vielen Dank für die Hilfe, henneline
|
|
|
|
|
|
|
06.07.2004, 15:37
Ehrenmitglied
Beiträge: 29434 |
#133
Das sind keine Viren, sondern duerften Reste von alter Software sein.
Also kein Problem. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
06.07.2004, 21:43
...neu hier
Beiträge: 5 |
#134
Hallo Sabina!
Toll, das du mir helfen kannst. Ich habe nun alles durchgeführt, was du vorgeschlagen hast und es scheint funktioniert zu haben. Ich habe den Rechner jetzt den ganzen abend so laufen, wie in den letzten Tagen auch, aber diese ausgeführte datei und die Popups kommen nicht mehr wieder. Auch dieStartseite ist wieder original (werde jetzt dennoch den Firefox nehmen, ist wirklich besser!) Kannst du mir denn jetzt sagen, was das war / ob es ganz weg ist oder wiederkommt / was habe ich deswegen zu befürchten (wichtige daten unterwegs oder weg, Programme zerstört o.ä.) oder ist jetzt wieder alles beim alten. Ich poste nochmal das neue Logfile nach der Säuberung: Logfile of HijackThis v1.98.0 Scan saved at 21:43:26, on 06.07.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe D:\programme\system\Norton\Internet Security\NISUM.EXE D:\programme\system\Norton\Internet Security\ccPxySvc.exe D:\programme\system\Norton\Anti Virus\navapsvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\explorer.exe C:\Programme\Mozilla Firefox\firefox.exe D:\Downloads\Neu\Schei...\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = F0 - system.ini: Shell= F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe, O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\diagnose\SPYBOT~1\SDHelper.dll O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\programme\system\Norton\Anti Virus\NavShExt.dll O2 - BHO: (no name) - {FFFFFEF0-5B30-21D4-945D-000000000000} - D:\PROGRA~1\system\STARDO~1\SDIEInt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\programme\system\Norton\Anti Virus\NavShExt.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE O8 - Extra context menu item: Download with Star Downloader - D:\programme\system\Star Downloader\sdie.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\programme\ICQLite\ICQLite.exe O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/de/win/QuickTimeInstaller.exe O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/activedata/SymAData.cab O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/techsupp/activedata/ActiveData.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{2E63358D-4200-4580-87CF-5721241E9D82}: NameServer = 192.168.1.1 Und? Was meinst du? Dieser Beitrag wurde am 06.07.2004 um 21:44 Uhr von sinned editiert.
|
|
|
|
|
|
|
07.07.2004, 00:09
...neu hier
Beiträge: 4 |
#135
Endschuldigt mich vielmals aber ich hab schonwieder das selbe problem! seit heute morgen is das schon wieder mit der startseite hab diesmal versucht es alleine wegzubekommen hat abe rnicht keklapt! könnt ihr mir bitte nochmal helfen?
Logfile of HijackThis v1.98.0 Scan saved at 00:07:02, on 06.08.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE C:\Programme\Logitech\ImageStudio\LogiTray.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Common files\updmgr\updmgr.exe C:\Programme\Messenger\msmsgs.exe C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Windows Media Player\wmplayer.exe C:\WINDOWS\sdkfi.exe C:\WINDOWS\system32\ipcv32.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\Sebastian\Eigene Dateien\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\hfrmx.dll/sp.html#96676 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://hfrmx.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://hfrmx.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\hfrmx.dll/sp.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\hfrmx.dll/sp.html#96676 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://hfrmx.dll/index.html#96676 R3 - Default URLSearchHook is missing F0 - system.ini: Shell= F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe, O2 - BHO: (no name) - {B12277E5-3C23-0E8D-AA5D-32EFD7D04A3A} - C:\WINDOWS\system32\d3rw32.dll O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp.dll O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Programme\Logitech\ImageStudio\ISStart.exe O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Programme\Logitech\ImageStudio\LogiTray.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE O4 - HKLM\..\Run: [updmgr] C:\Programme\Common files\updmgr\updmgr.exe O4 - HKLM\..\Run: [sdkfi.exe] C:\WINDOWS\sdkfi.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Programme\Zone Labs\ZoneAlarm\zapro.exe O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) - O17 - HKLM\System\CCS\Services\Tcpip\..\{26995102-B79D-439C-B97B-3863892384ED}: NameServer = 145.253.2.203 145.253.2.81 O17 - HKLM\System\CS1\Services\Tcpip\..\{26995102-B79D-439C-B97B-3863892384ED}: NameServer = 145.253.2.203 145.253.2.81 O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\msopt.dll |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Fixe
O4 - Startup: BHODemon 2.0.lnk = D:\Downloads\Neu\Schei...\BHODemon 2.0\BHODemon.exe
O9 - Extra button: Microsoft® JavaScript® Console - {D9F83FCE-B28B-46FB-9915-B4F05B65EB04} - C:\WINDOWS\System32\COMDLG32.OCX (file missing)
O9 - Extra 'Tools' menuitem: JavaScript Console - {D9F83FCE-B28B-46FB-9915-B4F05B65EB04} - C:\WINDOWS\System32\COMDLG32.OCX (file missing)
O9 - Extra button: Microsoft® JavaScript® Console - {D9F83FCE-B28B-46FB-9915-B4F05B65EB04} - C:\WINDOWS\System32\COMDLG32.OCX (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: JavaScript Console - {D9F83FCE-B28B-46FB-9915-B4F05B65EB04} - C:\WINDOWS\System32\COMDLG32.OCX (file missing) (HKCU)
neustarten
#Lade den Firefox...versuche die folgenden Tools mit diesem Browser zu laden
http://www.firebird-browser.de/
#mwav.exe , scanne <alle Dateien<
http://www.mwti.net/antivirus/free_utilities.asp
#Lade Spysweeper und scanne
http://www.spysweeper.com/
#Lade AdAware free..update und scanne <alle Dateien<
http://www.lavasoft.de/support/download/
#Lade Java-sun
#Loesche unter <InternetOptionen die Temporaryinternetfiles, stelle eine neue Startseite ein und poste das Log noch einmal.
MfG
Sabina
__________
MfG Sabina
rund um die PC-Sicherheit