meine favoriten werden überschrieben. |
||
---|---|---|
#0
| ||
20.04.2004, 17:14
...neu hier
Beiträge: 10 |
||
|
||
20.04.2004, 18:17
Moderator
Beiträge: 6466 |
#2
Für alle, die das selbe Problem haben, können hier das erste Log von hyb338 und Korrekturen nachlesen.
Nachträgliche Updates beheben das Problem auch nicht, da der Schlamassel schon auf dem Rechner ist. folgendes kann noch raus: Zitat O4 - HKCU\..\Run: [WeatherCast] C:\Programme\WeatherCast\Weather.exe /qSchon mal dein Glück mit adaware und Spybot versucht ? Die finden das, was ich aufgelistet haben nämlich auch ! __________ Durchsuchen --> Aussuchen --> Untersuchen |
|
|
||
20.04.2004, 18:37
...neu hier
Themenstarter Beiträge: 10 |
#3
hi joschi,
man seid ihr schnell hier ! habe ad-aware 6 + spybot downgelowdet und mehrmals durchgeführt. war ne ganze menge schrott auf meinem rechner !! spybot zeigt mir an dass: O1 - Hosts: 205.177.124.66 auto.search.msn.com entfernt werden soll, klappt aber weder mit hijackthis noch mit spybot, die datei ist nach jedem neustart wieder vorhanden. hast du einen tipp ? vielen dank hyb338 mein aktuelles logfile: Logfile of HijackThis v1.97.7 Scan saved at 18:29:55, on 20.04.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\PackethSvc.exe C:\PROGRA~1\Iomega\System32\ActivityDisk.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Sygate\SPF\Smc.exe C:\WINDOWS\Explorer.EXE C:\Programme\Iomega\DriveIcons\ImgIcon.exe C:\Programme\Real\RealPlayer\RealPlay.exe C:\PROGRA~1\LEXMAR~1\ACMonitor_X73.exe C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X73.exe C:\Programme\QuickTime\qttask.exe C:\Programme\PestPatrol\PPMemCheck.exe C:\Programme\PestPatrol\CookiePatrol.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Iomega\AutoDisk\AD2KClient.exe C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Temp\Temporäres Verzeichnis 12 für hijackthis1977.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ddmp.net/ O1 - Hosts: 205.177.124.66 auto.search.msn.com O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers O4 - HKLM\..\Run: [Iomega Startup Options] C:\Programme\Iomega\Common\ImgStart.exe O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Programme\Iomega\DriveIcons\ImgIcon.exe O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\printray.exe O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [AVGuard] c:\PROGRA~1\AVGNT.EXE /min O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\Smc.exe -startgui O4 - HKLM\..\Run: [Lexmark X73 Button Monitor] C:\PROGRA~1\LEXMAR~1\ACMonitor_X73.exe O4 - HKLM\..\Run: [Lexmark X73 Button Manager] C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X73.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Iomega Active Disk] C:\Programme\Iomega\AutoDisk\AD2KClient.exe O4 - HKCU\..\Run: [YAW starten] "c:\programme\yaw 3.5\fast.exe" O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\PROGRA~1\NETSCAPE\NETSCAPE\NETSCP.EXE" -aim O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O8 - Extra context menu item: Read By Natural Voice Reader - C:\Programme\Natural Voice Reader\read.html O8 - Extra context menu item: Vorgelesen durch Natural Voice Reader - C:\Programme\Natural Voice Reader\read.html O9 - Extra button: Natural Reader (HKLM) O9 - Extra button: Real.com (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Messenger (HKLM) O14 - IERESET.INF: START_PAGE_URL=http://www.mediamarkt.de O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38097.0767939815 O19 - User stylesheet: C:\WINDOWS\hh.htt (HKLM) |
|
|
||
20.04.2004, 18:46
Moderator
Beiträge: 7805 |
#4
Bitte nochmal mit CWshredder nacharbeiten: http://www.spywareinfo.com/~merijn/files/CWShredder.exe
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
20.04.2004, 19:00
...neu hier
Themenstarter Beiträge: 10 |
#5
wow,
jetzt scheint es geklappt zu haben: Logfile of HijackThis v1.97.7 Scan saved at 18:58:18, on 20.04.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\PackethSvc.exe C:\PROGRA~1\Iomega\System32\ActivityDisk.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Sygate\SPF\Smc.exe C:\WINDOWS\Explorer.EXE C:\Programme\Iomega\DriveIcons\ImgIcon.exe C:\Programme\Real\RealPlayer\RealPlay.exe C:\PROGRA~1\LEXMAR~1\ACMonitor_X73.exe C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X73.exe C:\Programme\QuickTime\qttask.exe C:\Programme\PestPatrol\PPMemCheck.exe C:\Programme\PestPatrol\CookiePatrol.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Iomega\AutoDisk\AD2KClient.exe C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Temp\Temporäres Verzeichnis 11 für hijackthis1977.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ddmp.net/ O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers O4 - HKLM\..\Run: [Iomega Startup Options] C:\Programme\Iomega\Common\ImgStart.exe O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Programme\Iomega\DriveIcons\ImgIcon.exe O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\printray.exe O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [AVGuard] c:\PROGRA~1\AVGNT.EXE /min O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\Smc.exe -startgui O4 - HKLM\..\Run: [Lexmark X73 Button Monitor] C:\PROGRA~1\LEXMAR~1\ACMonitor_X73.exe O4 - HKLM\..\Run: [Lexmark X73 Button Manager] C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X73.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Iomega Active Disk] C:\Programme\Iomega\AutoDisk\AD2KClient.exe O4 - HKCU\..\Run: [YAW starten] "c:\programme\yaw 3.5\fast.exe" O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\PROGRA~1\NETSCAPE\NETSCAPE\NETSCP.EXE" -aim O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O8 - Extra context menu item: Read By Natural Voice Reader - C:\Programme\Natural Voice Reader\read.html O8 - Extra context menu item: Vorgelesen durch Natural Voice Reader - C:\Programme\Natural Voice Reader\read.html O9 - Extra button: Natural Reader (HKLM) O9 - Extra button: Real.com (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Messenger (HKLM) O14 - IERESET.INF: START_PAGE_URL=http://www.mediamarkt.de O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38097.0767939815 |
|
|
||
20.04.2004, 19:04
Moderator
Beiträge: 7805 |
||
|
||
20.04.2004, 20:29
...neu hier
Themenstarter Beiträge: 10 |
#7
falls mein problem gelöst ist, möchte ich mich recht herzlich bei allen bedanken, die mir geholfen haben !!
falls nicht poste ich wieder ; ) cu hyb338 ps: als rookie interessiert mich wahnsinnig, wo ihr euer wissen herhabt. hat jemand interesse zum gedankenaustausch ? |
|
|
||
20.04.2004, 20:35
Moderator
Beiträge: 7805 |
#8
Naja, es war schon fast alles einmal da, vieles ist Erfahrung, wenn man sich schon mal ein paar Rechner angesehen hat und man macht ja auch selber was falsch. Wenn man dann neugierig genug ist herauszufinden was da falsch ist, hilft am meisten......
Und wenn alles nichts hilft, hilft Google! __________ MfG Ralf SEO-Spam Hunter |
|
|
||
21.04.2004, 17:28
...neu hier
Themenstarter Beiträge: 10 |
#9
hast du einen tipp, wie man sich am besten in die materie reinarbeiten kann ?
ich frag das mal so naiv, aber vielleicht gibt es ja tatsächlich so was wie einen einfachen einstieg. >>> online-tutorials, lehrgänge, etc......? cu hyb338 |
|
|
||
21.04.2004, 17:37
Moderator
Beiträge: 7805 |
#10
Mir faellt so auf anhieb nicht wirklich was ein, von allem etwas. www.trojaner-info.de hat einige gute Artikel. Wenn man ein konkretes Problem hat, am besten mal bei Google durcharbeiten.
Grundwissen PC/Windows und (einigermassen) wissen wie es funktionier ist eh Voraussetzung. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
21.04.2004, 17:40
...neu hier
Themenstarter Beiträge: 10 |
#11
vielen dank, werde mich hier im forum mal durcharbeiten und mich bei google auf die suche begeben.
nochmals danke für den coolen job von euch ! |
|
|
||
da ich vorhin in einem verkehrtem thread gepostet habe, möchte ich hier mein problem nochmals schildern.
meine favoriten werden permanent von dubiosen xxx-websites , die sich als dialer entpuppen, überschrieben.
habe nun alle windows-updates getätigt,
meine festplatten mit dem cwshredder durchforstet, mit clearprog. gearbeitet
und einen letzten scan mit pestpatrol gemacht, trotzdem kommt das problem immer wieder.
hier nun mein aktuelles logfile:
Logfile of HijackThis v1.97.7
Scan saved at 17:07:24, on 20.04.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\PackethSvc.exe
C:\PROGRA~1\Iomega\System32\ActivityDisk.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Sygate\SPF\Smc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Iomega\DriveIcons\ImgIcon.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\PROGRA~1\LEXMAR~1\ACMonitor_X73.exe
C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X73.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\PestPatrol\PPMemCheck.exe
C:\Programme\PestPatrol\CookiePatrol.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Iomega\AutoDisk\AD2KClient.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Temp\Temporäres Verzeichnis 9 für hijackthis1977.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ddmp.net/
O1 - Hosts: 205.177.124.66 auto.search.msn.com
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {1F48AA48-C53A-4E21-85E7-AC7CC6B5FFAF} - C:\DOKUME~1\Andreas\LOKALE~1\Temp\comllbo.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [Iomega Startup Options] C:\Programme\Iomega\Common\ImgStart.exe
O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Programme\Iomega\DriveIcons\ImgIcon.exe
O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\printray.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [AVGuard] c:\PROGRA~1\AVGNT.EXE /min
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\Smc.exe -startgui
O4 - HKLM\..\Run: [Lexmark X73 Button Monitor] C:\PROGRA~1\LEXMAR~1\ACMonitor_X73.exe
O4 - HKLM\..\Run: [Lexmark X73 Button Manager] C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X73.exe
O4 - HKLM\..\Run: [MediaLoads Installer] "C:\Programme\DownloadWare\dw.exe" /H
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [msbb] C:\PROGRA~1\n-CASE\msbb.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Iomega Active Disk] C:\Programme\Iomega\AutoDisk\AD2KClient.exe
O4 - HKCU\..\Run: [YAW starten] "c:\programme\yaw 3.5\fast.exe"
O4 - HKCU\..\Run: [WeatherCast] C:\Programme\WeatherCast\Weather.exe /q
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\PROGRA~1\NETSCAPE\NETSCAPE\NETSCP.EXE" -aim
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: Read By Natural Voice Reader - C:\Programme\Natural Voice Reader\read.html
O8 - Extra context menu item: Vorgelesen durch Natural Voice Reader - C:\Programme\Natural Voice Reader\read.html
O9 - Extra button: Natural Reader (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.mediamarkt.de
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38097.0767939815
O17 - HKLM\System\CCS\Services\Tcpip\..\{601985BF-048E-49D4-BFDB-79131BFE3F6F}: NameServer = 195.71.159.58 193.189.244.205
vielen dank im voraus für euren support
hyb338