meine favoriten werden überschrieben.

#0
20.04.2004, 17:14
...neu hier

Beiträge: 10
#1 hallo noch mal,
da ich vorhin in einem verkehrtem thread gepostet habe, möchte ich hier mein problem nochmals schildern.

meine favoriten werden permanent von dubiosen xxx-websites , die sich als dialer entpuppen, überschrieben.

habe nun alle windows-updates getätigt,
meine festplatten mit dem cwshredder durchforstet, mit clearprog. gearbeitet
und einen letzten scan mit pestpatrol gemacht, trotzdem kommt das problem immer wieder.

hier nun mein aktuelles logfile:

Logfile of HijackThis v1.97.7
Scan saved at 17:07:24, on 20.04.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\PackethSvc.exe
C:\PROGRA~1\Iomega\System32\ActivityDisk.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Sygate\SPF\Smc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Iomega\DriveIcons\ImgIcon.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\PROGRA~1\LEXMAR~1\ACMonitor_X73.exe
C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X73.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\PestPatrol\PPMemCheck.exe
C:\Programme\PestPatrol\CookiePatrol.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Iomega\AutoDisk\AD2KClient.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Temp\Temporäres Verzeichnis 9 für hijackthis1977.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ddmp.net/
O1 - Hosts: 205.177.124.66 auto.search.msn.com
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {1F48AA48-C53A-4E21-85E7-AC7CC6B5FFAF} - C:\DOKUME~1\Andreas\LOKALE~1\Temp\comllbo.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [Iomega Startup Options] C:\Programme\Iomega\Common\ImgStart.exe
O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Programme\Iomega\DriveIcons\ImgIcon.exe
O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\printray.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [AVGuard] c:\PROGRA~1\AVGNT.EXE /min
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\Smc.exe -startgui
O4 - HKLM\..\Run: [Lexmark X73 Button Monitor] C:\PROGRA~1\LEXMAR~1\ACMonitor_X73.exe
O4 - HKLM\..\Run: [Lexmark X73 Button Manager] C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X73.exe
O4 - HKLM\..\Run: [MediaLoads Installer] "C:\Programme\DownloadWare\dw.exe" /H
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [msbb] C:\PROGRA~1\n-CASE\msbb.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Iomega Active Disk] C:\Programme\Iomega\AutoDisk\AD2KClient.exe
O4 - HKCU\..\Run: [YAW starten] "c:\programme\yaw 3.5\fast.exe"
O4 - HKCU\..\Run: [WeatherCast] C:\Programme\WeatherCast\Weather.exe /q
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\PROGRA~1\NETSCAPE\NETSCAPE\NETSCP.EXE" -aim
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: Read By Natural Voice Reader - C:\Programme\Natural Voice Reader\read.html
O8 - Extra context menu item: Vorgelesen durch Natural Voice Reader - C:\Programme\Natural Voice Reader\read.html
O9 - Extra button: Natural Reader (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.mediamarkt.de
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38097.0767939815
O17 - HKLM\System\CCS\Services\Tcpip\..\{601985BF-048E-49D4-BFDB-79131BFE3F6F}: NameServer = 195.71.159.58 193.189.244.205

vielen dank im voraus für euren support
hyb338
Seitenanfang Seitenende
20.04.2004, 18:17
Moderator
Avatar joschi

Beiträge: 6466
#2 Für alle, die das selbe Problem haben, können hier das erste Log von hyb338 und Korrekturen nachlesen.

Nachträgliche Updates beheben das Problem auch nicht, da der Schlamassel schon auf dem Rechner ist.

folgendes kann noch raus:

Zitat

O4 - HKCU\..\Run: [WeatherCast] C:\Programme\WeatherCast\Weather.exe /q
O4 - HKLM\..\Run: [msbb] C:\PROGRA~1\n-CASE\msbb.exe
Schon mal dein Glück mit adaware und Spybot versucht ? Die finden das, was ich aufgelistet haben nämlich auch !
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
20.04.2004, 18:37
...neu hier

Themenstarter

Beiträge: 10
#3 hi joschi,
man seid ihr schnell hier !

habe ad-aware 6 + spybot downgelowdet und mehrmals durchgeführt.
war ne ganze menge schrott auf meinem rechner !!

spybot zeigt mir an dass:

O1 - Hosts: 205.177.124.66 auto.search.msn.com

entfernt werden soll, klappt aber weder mit hijackthis noch mit spybot, die datei ist nach jedem neustart wieder vorhanden.

hast du einen tipp ?

vielen dank
hyb338

mein aktuelles logfile:

Logfile of HijackThis v1.97.7
Scan saved at 18:29:55, on 20.04.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\PackethSvc.exe
C:\PROGRA~1\Iomega\System32\ActivityDisk.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Sygate\SPF\Smc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Iomega\DriveIcons\ImgIcon.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\PROGRA~1\LEXMAR~1\ACMonitor_X73.exe
C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X73.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\PestPatrol\PPMemCheck.exe
C:\Programme\PestPatrol\CookiePatrol.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Iomega\AutoDisk\AD2KClient.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Temp\Temporäres Verzeichnis 12 für hijackthis1977.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ddmp.net/
O1 - Hosts: 205.177.124.66 auto.search.msn.com
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Iomega Startup Options] C:\Programme\Iomega\Common\ImgStart.exe
O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Programme\Iomega\DriveIcons\ImgIcon.exe
O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\printray.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [AVGuard] c:\PROGRA~1\AVGNT.EXE /min
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\Smc.exe -startgui
O4 - HKLM\..\Run: [Lexmark X73 Button Monitor] C:\PROGRA~1\LEXMAR~1\ACMonitor_X73.exe
O4 - HKLM\..\Run: [Lexmark X73 Button Manager] C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X73.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Iomega Active Disk] C:\Programme\Iomega\AutoDisk\AD2KClient.exe
O4 - HKCU\..\Run: [YAW starten] "c:\programme\yaw 3.5\fast.exe"
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\PROGRA~1\NETSCAPE\NETSCAPE\NETSCP.EXE" -aim
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: Read By Natural Voice Reader - C:\Programme\Natural Voice Reader\read.html
O8 - Extra context menu item: Vorgelesen durch Natural Voice Reader - C:\Programme\Natural Voice Reader\read.html
O9 - Extra button: Natural Reader (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.mediamarkt.de
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38097.0767939815
O19 - User stylesheet: C:\WINDOWS\hh.htt (HKLM)
Seitenanfang Seitenende
20.04.2004, 18:46
Moderator

Beiträge: 7805
#4 Bitte nochmal mit CWshredder nacharbeiten: http://www.spywareinfo.com/~merijn/files/CWShredder.exe
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
20.04.2004, 19:00
...neu hier

Themenstarter

Beiträge: 10
#5 wow,

jetzt scheint es geklappt zu haben:

Logfile of HijackThis v1.97.7
Scan saved at 18:58:18, on 20.04.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\PackethSvc.exe
C:\PROGRA~1\Iomega\System32\ActivityDisk.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Sygate\SPF\Smc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Iomega\DriveIcons\ImgIcon.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\PROGRA~1\LEXMAR~1\ACMonitor_X73.exe
C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X73.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\PestPatrol\PPMemCheck.exe
C:\Programme\PestPatrol\CookiePatrol.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Iomega\AutoDisk\AD2KClient.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Temp\Temporäres Verzeichnis 11 für hijackthis1977.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ddmp.net/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Iomega Startup Options] C:\Programme\Iomega\Common\ImgStart.exe
O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Programme\Iomega\DriveIcons\ImgIcon.exe
O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\printray.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [AVGuard] c:\PROGRA~1\AVGNT.EXE /min
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\Smc.exe -startgui
O4 - HKLM\..\Run: [Lexmark X73 Button Monitor] C:\PROGRA~1\LEXMAR~1\ACMonitor_X73.exe
O4 - HKLM\..\Run: [Lexmark X73 Button Manager] C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X73.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Iomega Active Disk] C:\Programme\Iomega\AutoDisk\AD2KClient.exe
O4 - HKCU\..\Run: [YAW starten] "c:\programme\yaw 3.5\fast.exe"
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\PROGRA~1\NETSCAPE\NETSCAPE\NETSCP.EXE" -aim
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: Read By Natural Voice Reader - C:\Programme\Natural Voice Reader\read.html
O8 - Extra context menu item: Vorgelesen durch Natural Voice Reader - C:\Programme\Natural Voice Reader\read.html
O9 - Extra button: Natural Reader (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.mediamarkt.de
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38097.0767939815
Seitenanfang Seitenende
20.04.2004, 19:04
Moderator

Beiträge: 7805
#6 Bitte denke daran www.windowsupdate.com zu besuchen! ;)
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
20.04.2004, 20:29
...neu hier

Themenstarter

Beiträge: 10
#7 falls mein problem gelöst ist, möchte ich mich recht herzlich bei allen bedanken, die mir geholfen haben !!

falls nicht poste ich wieder ; )

cu hyb338

ps:
als rookie interessiert mich wahnsinnig, wo ihr euer wissen herhabt.
hat jemand interesse zum gedankenaustausch ?
Seitenanfang Seitenende
20.04.2004, 20:35
Moderator

Beiträge: 7805
#8 Naja, es war schon fast alles einmal da, vieles ist Erfahrung, wenn man sich schon mal ein paar Rechner angesehen hat und man macht ja auch selber was falsch. Wenn man dann neugierig genug ist herauszufinden was da falsch ist, hilft am meisten......

Und wenn alles nichts hilft, hilft Google!;)
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
21.04.2004, 17:28
...neu hier

Themenstarter

Beiträge: 10
#9 hast du einen tipp, wie man sich am besten in die materie reinarbeiten kann ?
ich frag das mal so naiv, aber vielleicht gibt es ja tatsächlich so was wie einen einfachen einstieg.
>>> online-tutorials, lehrgänge, etc......?

cu hyb338
Seitenanfang Seitenende
21.04.2004, 17:37
Moderator

Beiträge: 7805
#10 Mir faellt so auf anhieb nicht wirklich was ein, von allem etwas. www.trojaner-info.de hat einige gute Artikel. Wenn man ein konkretes Problem hat, am besten mal bei Google durcharbeiten.

Grundwissen PC/Windows und (einigermassen) wissen wie es funktionier ist eh Voraussetzung.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
21.04.2004, 17:40
...neu hier

Themenstarter

Beiträge: 10
#11 vielen dank, werde mich hier im forum mal durcharbeiten und mich bei google auf die suche begeben.

nochmals danke für den coolen job von euch !
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
  • »
  • »
  • »
  • »
  • »