Kann bitte jemand mein Logfile Hijackthis überprüfen? |
||
---|---|---|
#0
| ||
04.04.2004, 17:34
...neu hier
Beiträge: 2 |
||
|
||
04.04.2004, 17:53
Member
Beiträge: 1095 |
#2
Hi Jann
das sieht aber heftig aus bei dir ALso los geht's Fixe mal das Alle mir R0,R1,R3 O1 - Hosts file is located at: C:\WINNT\nsdb\hosts O1 - Hosts: 81.211.105.69 lender-search.com O1 - Hosts: 81.211.105.68 hot-searches.com O2 - BHO: (no name) - {000006B1-19B5-414A-849F-2A3C64AE6939} - C:\WINNT\bi.dll O2 - BHO: (no name) - {F7F808F0-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINNT\nem214.dll O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\Programme\ISTbar\istbar.dll O4 - HKLM\..\Run: [sys] regedit -s sysdll.reg O4 - HKLM\..\Run: [Update] C:\WINNT\csrss.exe /i O4 - HKLM\..\Run: [Winhost] C:\WINNT\winh.exe O4 - HKLM\..\Run: [Belt] C:\WINNT\Belt.exe O4 - HKCU\..\Run: [rundll32] C:\winnt\rundll32.exe O4 - HKCU\..\Run: [System Update] C:\WINNT\System\taskmon.exe O4 - HKCU\..\Run: [pfufa87br3] C:\WINNT\k6vj3kvxbz.exe O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} - http://connect.online-dialer.com/cax.cab O16 - DPF: {11111111-1111-1111-1111-111111111123} - http://zalmancrave.ud-dial.biz/1/dexDE586.exe O16 - DPF: {A9AEE0DD-89E1-40EE-8749-A18650CC2175} - http://206.161.120.178/wyns.cab O16 - DPF: {F57D17AE-CE37-4BC8-B232-EA57747BE5E7} - http://www.real-euros.com/EPlugin.cab Dann neustart Dann folgendes ausführen http://board.protecus.de/t9373.htm besonders CWShredder Dann nochmal neustart und nochmal logfile posten Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
04.04.2004, 18:34
Moderator
Beiträge: 6466 |
||
|
||
05.04.2004, 15:30
...neu hier
Themenstarter Beiträge: 2 |
#4
Hallo paff, hallo joschi,
vielen, vielen dank: das ist ja der hammer, wie schnell man kompetente hilfe bekommt!!!! Habe alles ausgeführt, neue ie-version, alles wieder klar! mein neues logfile: Logfile of HijackThis v1.97.7 Scan saved at 15:14:49, on 05.04.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\svchost.exe C:\WINNT\System32\mgabg.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\WINNT\System32\PDesk\PDesk.exe C:\WINNT\SOUNDMAN.EXE C:\progra~1\scansoft\paperp~1\pptd40nt.exe C:\WINNT\system32\internat.exe E:\Eigene Dateien\Download\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINNT\System32\PDesk\PDesk.exe /Autolaunch O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [PaperPort PTD] c:\progra~1\scansoft\paperp~1\pptd40nt.exe O4 - HKCU\..\Run: [internat.exe] internat.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040105/qtinstall.info.apple.com/mickey/de/win/QuickTimeInstaller.exe O16 - DPF: {91413D86-9F27-402C-B5E3-DEBDD122C339} - http://content.netvenda.com/sites/games-intl/de/games5.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38082.2034953704 O16 - DPF: {A9AEE0DD-89E1-40EE-8749-A18650CC2175} - http://206.161.120.178/wyns.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{E1340A51-F8EC-4CA9-BB1D-8B843F832DD9}: NameServer = 195.94.90.10 O17 - HKLM\System\CCS\Services\Tcpip\..\{F72173FD-819B-4B40-A9DA-C2D22D5CE56E}: NameServer = 195.94.90.10 ist das jetzt so ok? ein paar fragen noch: auf einmal war ein programm namens powerscan 1.1 auf meinem rechner und hat auch gescannt. wo kam das denn her? es hat komischerweise in ordnern jpgs u andere dateien gefunden (history administrator@.. bla), die da aber nicht sind. wie kann ich die aufspüren, was ist das? ein link brachte mich dann zu einer seite "how to get porn from your computer" oder so. habe das programm gelöscht, weil es mir komisch vorkam habe nach wie vor eine datei "myrealpics" mit 0 kb in meinen favoriten, die ich nicht löschen kann, weil "vom quelldatenträger nicht gelesen werden kann". wie werde ich die los? cwshredder hat eine datei gefunden mit der frage "is this random?": c:\WINNT\k6vj3kvxbz.exe!! was ist das, kann ich die auch löschen? die restriktiven sicherheitseinstellungen von ie bringen mir nicht viel, weil dann so viel nicht möglich ist, ist mir auch zu nervig zu konfigurieren. wie wäre eine firewall für mich, agnitum oder andere? vielen dank, ihr seid klasse, freue mich auf antwort, Jann |
|
|
||
05.04.2004, 15:47
Member
Beiträge: 1095 |
#5
Wegen
"cwshredder hat eine datei gefunden mit der frage "is this random?": c:\WINNT\k6vj3kvxbz.exe!! was ist das, kann ich die auch löschen?" Einfach mal bei einem Onlinecheck die Datei überprüfen oder mir schicken (gezippt an mike_hangover@gozomail.com ). Würde aber zu 99% tippen, das Sie ein Virus/Trojaner ist Wegen: powerscan 1.1 Einfach mal ein bißchen googlen und informieren. Wenn du was findest, einfach hierein posten, ist immer interessant Wegen: "die restriktiven sicherheitseinstellungen von ie bringen mir nicht viel, weil dann so viel nicht möglich ist, ist mir auch zu nervig zu konfigurieren. wie wäre eine firewall für mich, agnitum oder andere?" Nimm einfach den "opera" oder "mozilla" zum surfen. Vergesse IE Ich halte "nichts" von Desktopfirewalls, da gibts hier im Forum aber verschiedenste Meinungen und sogar Unterforen. Ein Virenscanner hat auch noch nie geschadet!!!!!!!!!!!!!!!!!!!!!!!!! Folgendes bitte noch fixen R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe O16 - DPF: {A9AEE0DD-89E1-40EE-8749-A18650CC2175} - http://206.161.120.178/wyns.cab Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 05.04.2004 um 15:50 Uhr von paff editiert.
|
|
|
||
06.04.2004, 18:47
Member
Beiträge: 1095 |
#6
Nachtrag:
Die Datei k6vj3kvxbz.exe ist der Trojaner "Trojanische Pferd TR/Grek" laut AntiVir komischerweise findet der Onlinescan von Kaspersky nichts. Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 06.04.2004 um 20:00 Uhr von paff editiert.
|
|
|
||
06.04.2004, 20:29
Moderator
Beiträge: 7805 |
#7
Das liegt daran, das der Onlinescan nicht mit den erweiterten Signaturen arbeitet. Wenn du das genauer testen moectest, nimm diesen Scanner. Er hat die KAV Engine und die erweiterten Signaturen:
ftp://ftp.microworldsystems.com/download/tools/mwav.exe Achte bitte darauf, das du nur ein Verzeichniss scannst und du die Dateien in dem Verzeichniss noch als ackup irgendwo liegen hast, denn der Scanner loescht erbarmungslos, wenn er sie als Malware identifizierst. Es gibt inzwischen schon einen Updater fuer den Scanner! http://www.rjt.nu/downloads/mwav_updater.zip __________ MfG Ralf SEO-Spam Hunter |
|
|
||
07.04.2004, 00:15
Member
Beiträge: 1095 |
#8
@raman
Tja, leider findet die "mwav.exe" auch nichts. Die Signaturen waren vom 5.4.2004. Hab die "k6vj3kvxbz.exe" mal ausgeführt im VM. Trägt sich als <random>.exe in HKey_CurrentUser/././Run ein. Ist also definitiv "böse". Wie war nochmal der Link zum Schicken an Kaspersky ??? Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
07.04.2004, 05:36
Moderator
Beiträge: 7805 |
||
|
||
07.04.2004, 05:44
Member
Beiträge: 20 |
#10
Und nicht vergessen: die Datei innerhalb eines passwortgeschützten Archives versenden. Das Passwort ("virus" oder "infected") bitte in der Mail mit angeben.
|
|
|
||
12.04.2004, 17:35
...neu hier
Beiträge: 1 |
#11
Jez ist aber noch nicht das Problem mit MyRealPics gelöst... kann da einer helfen ich hab das auch
danke schon ma im vorraus mfg Fred |
|
|
||
12.04.2004, 17:42
Moderator
Beiträge: 7805 |
#12
Kann man das nicht einfach unter "favoriten"/"verwalten" loeschen?
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
12.04.2004, 21:23
Member
Beiträge: 19 |
#13
Bitte log mal anscchauen ob alles o.k. ist := :
Logfile of HijackThis v1.97.7 Scan saved at 21:24:32, on 12.04.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\Explorer.EXE C:\PROGRA~1\McAfee.com\Agent\mcupdui.exe C:\PROGRA~1\mcafee.com\agent\mcagent.exe C:\PROGRA~1\McAfee\SPAMKI~1\MSKAgent.exe C:\WINNT\system32\internat.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\Gemeinsame Dateien\Network Associates\On Demand Scanner\Scan32\SCAN32.EXE C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Wolfgang\Eigene Dateien\HijackThis.exe C:\Dokumente und Einstellungen\Wolfgang\Eigene Dateien\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/ O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_12_0.dll O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {4E7BD74F-2B8D-469E-92EA-EC65A294AE31} - C:\WINNT\DOWNLO~1\ALTAVI~1.DLL O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_12_0.dll O3 - Toolbar: AltaVista Toolbar - {4E7BD74F-2B8D-469E-92EA-EC65A294AE31} - C:\WINNT\DOWNLO~1\ALTAVI~1.DLL O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar\01.01.1501.0\de-at\msntb.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe O4 - HKLM\..\Run: [MCUpdateExe] c:\PROGRA~1\mcafee.com\agent\McUpdate.exe O4 - HKLM\..\Run: [MSKAGENTEXE] C:\PROGRA~1\McAfee\SPAMKI~1\MSKAgent.exe O4 - HKLM\..\Run: [MSKDetectorExe] C:\PROGRA~1\McAfee\SPAMKI~1\MSKDetct.exe /startup O4 - HKLM\..\Run: [CleanUp] C:\PROGRA~1\McAfee.com\Shared\mcappins.exe /v=3 /cleanup O4 - HKLM\..\Run: [McRegWiz] c:\PROGRA~1\mcafee.com\agent\mcregwiz.exe /autorun O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKLM\..\RunOnce: [MigrateMMDrivers] rundll32.exe mmsys.cpl,mmseRunOnce O4 - HKLM\..\RunOnce: [Q828026] "C:\WINNT\INF\unregmp2.exe" /UpdateWMP O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: AltaVista Suche - file://C:\Programme\ALTAVISTA Toolbar\Cache\SelectedContextSearch.htm O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O8 - Extra context menu item: Übersetzen - file://C:\Programme\ALTAVISTA Toolbar\Cache\SelectedContextTranslation.htm O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: ICQ Lite (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab O16 - DPF: {01FE8D0A-51AD-459B-B62B-85E135128B32} - http://www.drivershq.com/DD_v4.CAB O16 - DPF: {02BCC737-B171-4746-94C9-0D8A0B2C0089} (Microsoft Office Template and Media Control) - http://office.microsoft.com/templates/ieawsdc.cab O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} - http://www.apple.com/qtactivex/qtplugin.cab O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/SmileyCentralInitialSetup1.0.0.6.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/yinst0401.cab O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab O16 - DPF: {4E7BD74F-2B8D-469E-92EA-EC65A294AE31} (AltaVista Toolbar) - http://toolbar.altavista.com/static/toolbar/altavista.cab?r=1080914207 O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1408.g.akamai.net/7/1408/9955/20040106/akamai.info.apple.com/iTunes4/WW/win/D019-0123.20040106.vfp5a/iTunesSetup.exe O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} - http://a840.g.akamai.net/7/840/537/2003120501/housecall.antivirus.com/housecall/xscan53.cab O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} - http://www3.ca.com/virusinfo/webscan.cab O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} - http://www.bul-online.de/scan/Msie/bitdefender.cab O16 - DPF: {9059F30F-4EB1-4BD2-9FDC-36F43A218F4A} (Microsoft RDP Client Control (redist)) - http://www.winexperts.de/TSWeb/msrdp.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38014.2975925926 O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} - http://www.ravantivirus.com/scan/ravonline.cab O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab |
|
|
||
12.04.2004, 21:54
Moderator
Beiträge: 7805 |
#14
Vieleicht solltest du das herausnehmen und dir die Eigenschaften dieser Datei mal anzeigen lassen.:
O4 - HKLM\..\RunOnce: [Q828026] "C:\WINNT\INF\unregmp2.exe" /UpdateWMP __________ MfG Ralf SEO-Spam Hunter |
|
|
||
13.04.2004, 11:05
Member
Beiträge: 19 |
#15
die bezeichnung ist:windowsmedia-instalationsdienst.
|
|
|
||
bin ganz neu hier und weiß noch nicht so wie es läuft.
Habe folgendes Problem:
Habe mit spybot problematische registry eintraege gefunden und gelöscht, dann immunisiert. auch die einstellung der permanenten startseite konnte ich tätigen, doch da war eine falsche eingetragen. jetzt habe ich eine falsche startseite und kann das im ie nicht ändern. wie geht das, von spybot aus?
außerdem habe ich eine datei "myrealpics" in meinen favoriten, die o kb groß ist und die ich nicht löschen kann! wie könnte das gehen?
mit hijack this ist außerdem dieses log herausgekommen: was kann ich löschen, was nicht?
Logfile of HijackThis v1.97.7
Scan saved at 17:14:13, on 04.04.2004
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP2 (5.00.2920.0000)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\mgabg.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\PDesk\PDesk.exe
C:\WINNT\SOUNDMAN.EXE
C:\progra~1\scansoft\paperp~1\pptd40nt.exe
C:\WINNT\csrss.exe
C:\WINNT\winh.exe
C:\WINNT\System32\internat.exe
C:\winnt\rundll32.exe
C:\WINNT\System\taskmon.exe
C:\Programme\D-Link AirPlus\AirPlus.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\ISTsvc\istsvc.exe
C:\Internet Optimizer\optimize.exe
C:\Programme\180Solutions\msbb.exe
C:\Programme\ClockSync\Sync.exe
C:\Program Files\Internet Optimizer\actalert.exe
C:\Programme\Spybot\SpybotSD.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX00.844\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.windowws.cc/sp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.couldnotfind.com/search_page.html?&account_id=133849
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.couldnotfind.com/search_page.html?&account_id=133849
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.slotch.com/?&account_id=133849
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://awebfind.biz/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://awebfind.biz/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_page.html?&account_id=133849
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://awebfind.biz/sp.htm
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://riviera.cc (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://opti.riviera.cc (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://opti.riviera.cc (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://awebfind.biz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://awebfind.biz/sp.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://awebfind.biz/sp.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://opti.riviera.cc (obfuscated)
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *hot-searches.com*;*lender-search.com*
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.windowws.cc/hp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://riviera.cc (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O1 - Hosts file is located at: C:\WINNT\nsdb\hosts
O1 - Hosts: 81.211.105.69 lender-search.com
O1 - Hosts: 81.211.105.68 hot-searches.com
O2 - BHO: (no name) - {000006B1-19B5-414A-849F-2A3C64AE6939} - C:\WINNT\bi.dll
O2 - BHO: (no name) - {F7F808F0-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINNT\nem214.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\Programme\ISTbar\istbar.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINNT\System32\PDesk\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PaperPort PTD] c:\progra~1\scansoft\paperp~1\pptd40nt.exe
O4 - HKLM\..\Run: [sys] regedit -s sysdll.reg
O4 - HKLM\..\Run: [Update] C:\WINNT\csrss.exe /i
O4 - HKLM\..\Run: [Winhost] C:\WINNT\winh.exe
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [msbb] c:\programme\180solutions\msbb.exe
O4 - HKLM\..\Run: [Power Scan] C:\Programme\Power Scan\powerscan.exe
O4 - HKLM\..\Run: [Belt] C:\WINNT\Belt.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [rundll32] C:\winnt\rundll32.exe
O4 - HKCU\..\Run: [System Update] C:\WINNT\System\taskmon.exe
O4 - HKCU\..\Run: [pfufa87br3] C:\WINNT\k6vj3kvxbz.exe
O4 - HKCU\..\Run: [ClockSync] C:\Programme\ClockSync\Sync.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O13 - DefaultPrefix: http://list2004.com/p/
O13 - WWW Prefix: http://list2004.com/p/
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} - http://connect.online-dialer.com/cax.cab
O16 - DPF: {11111111-1111-1111-1111-111111111123} - http://zalmancrave.ud-dial.biz/1/dexDE586.exe
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040105/qtinstall.info.apple.com/mickey/de/win/QuickTimeInstaller.exe
O16 - DPF: {91413D86-9F27-402C-B5E3-DEBDD122C339} - http://content.netvenda.com/sites/games-intl/de/games5.cab
O16 - DPF: {A9AEE0DD-89E1-40EE-8749-A18650CC2175} - http://206.161.120.178/wyns.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F57D17AE-CE37-4BC8-B232-EA57747BE5E7} - http://www.real-euros.com/EPlugin.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E1340A51-F8EC-4CA9-BB1D-8B843F832DD9}: NameServer = 195.94.90.10
O17 - HKLM\System\CCS\Services\Tcpip\..\{F72173FD-819B-4B40-A9DA-C2D22D5CE56E}: NameServer = 195.94.90.10
oder brauche ich auch einfach mal einen neuen ie?
vielen dank im voraus,
so ein forum ist echt was geniales!
Jann