2 kleine Fragen zu Hijackthis-log |
||
---|---|---|
#0
| ||
23.04.2004, 10:12
...neu hier
Beiträge: 2 |
||
|
||
23.04.2004, 11:25
Moderator
Beiträge: 6466 |
#2
Schon mit adaware und Spybot gescannt ?
Verdächtige Dateien mal bei http://www.kaspersky.com/remoteviruschk.html scannen. __________ Durchsuchen --> Aussuchen --> Untersuchen |
|
|
||
23.04.2004, 11:32
...neu hier
Themenstarter Beiträge: 2 |
#3
Jo, Spyware hab ich durchlaufen lassen, hat auch die Sachen die unter Neu stehen entfernt und den kaspersky.com link auch schon probiert,allerdings sind die Dateien nicht da wenn ich nachsehe (Einstellungen:Versteckte Dateien anzeigen und Systemdateien nicht ausblenden)
Norton will nix finden... Update: Dieses Sche*** Norton...findet nix und hab jetzt AntiVir6 druf da klingelt es fast im Sekundentakt Danach noch Ad-aware Spyware und Hijack und wenn es denn net wech is muß ich wohl den Rechner neu aufsetzen Danke für die schnelle Hilfe MfG silo2001 Dieser Beitrag wurde am 23.04.2004 um 11:59 Uhr von silo2001 editiert.
|
|
|
||
23.04.2004, 11:56
Ehrenmitglied
Beiträge: 29434 |
#4
1. Gehe in den abgesicherten Modus (vorher die Wiederherstellung deaktivieren)
Mache den Scann mit HijackThis im abgesicherten Modus und fixe: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.couldnotfind.com/search_page.html?&account_id=138442 Neu R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.couldnotfind.com/search_page.html?&account_id=138442 Neu R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_page.html?&account_id=138442 Neu R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://riviera.cc (obfuscated) Neu R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://opti.riviera.cc (obfuscated) Neu R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://opti.riviera.cc (obfuscated) Neu R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://opti.riviera.cc (obfuscated) Neu R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://riviera.cc (obfuscated) Neu R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://riviera.cc (obfuscated) Neu R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) Neu O2 - BHO: (no name) - {F7F808F0-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINNT\nem214.dll Neu O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe" Neu O4 - HKLM\..\Run: [sys] regedit -s sysdll.reg O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\Programme\ISTbar\istbar.dll Neu O4 - HKLM\..\Run: [JobHisInit] C:\Programme\RMClient\JobHisInit.exe Neu O4 - HKLM\..\Run: [MplSetUp] C:\Programme\RMClient\MplSetUp.exe Neu O4 - HKLM\..\Run: [sys] regedit -s sysdll.reg O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe Neu O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe" Neu O4 - HKLM\..\Run: [tsh] C:\WINNT\tsh.exe Neu O4 - HKLM\..\Run: [Power Scan] C:\Programme\Power Scan\powerscan.exe Neu O4 - HKCU\..\Run: [ClockSync] C:\Programme\ClockSync\Sync.exe Neu ------------------------------------------------------------------------ Manuelle Entfernung vonFALLS ES MIT DEM FIXEN ALLEIN NICHT WEGGEHT.) O2 - BHO: (no name) - {F7F808F0-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINNT\nem214.dll Gehen Sie auf «Start / Ausführen» und tippen Sie «regedit» ein. Nach dem Klick auf OK erscheint der Registrierungseditor. Klicken Sie sich jetzt im linken Fenster über die Pluszeichen bis zum Schlüssel 'HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run' # In the right pane, delete the value called 'Internet Optimizer', if it exists. # Delete 'HKEY_LOCAL_MACHINE \ SOFTWARE \ Classes \ CLSID \ {F7F808F0-6F7D-442C-93E3-4A4827C2E4C8}', if it exists. # Delete 'HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Browser Helper Objects \ {F7F808F0-6F7D-442C-93E3-4A4827C2E4C8}', if it exists. # Exit the registry editor. # Restart your computer. # Delete the following files and directories: C:\Program Files\Internet Optimizer\ %WinDir%\iopti130.dll %WinDir%\nem207.dll %WinDir%\nem212.dll %WinDir%\nem214.dll %WinDir%\wsem210.dll %WinDir%\wsem216.dll Note: %WinDir% is a variable (?). By default, this is C:\Windows (Windows 95/98/Me/XP) or C:\WINNT (Windows NT/2000). # Start Microsoft Internet Explorer. # In Internet Explorer, click Tools -> Internet Options. # Click the Programs tab -> Reset Web Settings. Manuelle Entfernung (falls das Fixen mit dem HijackThis nicht klappt) O4 - HKLM\..\Run: [sys] regedit -s sysdll.reg REG-Dateien können per Aufruf Änderungen in der Windows-Registry vornehmen. Im Fall der «Sysdll.reg» besteht die Änderung wohl aus dem Überschreiben der Startseite. Damit die Startseite jedoch wirklich bei jedem Start wieder überschrieben wird, muss die «Sysdll.reg» beim Start kurz ausgeführt werden. Dazu hat das Installationsprogramm für den Schädling zusätzlich einen Eintrag im Autostart-Schlüssel der Registry versteckt, welche die Datei aufruft. Wenn Sie nun die Datei löschen, kommt eine Fehlermeldung, weil Windows die Datei, die es ausführen soll, nicht findet. Um die Plage loszuwerden, müssen Sie sowohl die «Sysdll.reg», als auch den Autostart-Eintrag entfernen. So löschen Sie den Autostart-Eintrag: Gehen Sie auf «Start / Ausführen» und tippen Sie «regedit» ein. Nach dem Klick auf OK erscheint der Registrierungseditor. Klicken Sie sich jetzt im linken Fenster über die Pluszeichen bis zum Schlüssel «HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run». Nun sollten Sie rechts eine Liste von Einträgen sehen. Löschen Sie den Eintrag «sys»=«regedit -s sysdll.reg» per Rechtsklick und schliessen Sie den Registrierungseditor. -------------------------------------------------------------------------- Lade den CWShredder...scannen...fix...im abgesicherten Modus. Lade den ClearProg....saeubere den Browser und stelle dann unter Internetoptionen die Startpage neu ein. http://www.clearprog.de/ __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 23.04.2004 um 14:25 Uhr von Sabina editiert.
|
|
|
||
23.04.2004, 12:14
Moderator
Beiträge: 7805 |
#5
Bitte keine Links geben, auf denen es nur alte Versionen von CWS (oder anderer sicherheitsrelevanter Software) gibt posten. Bitte nur die CWS Homepage, da kann man sich dann seinen Mirror heraussuchen: http://www.spywareinfo.com/~merijn/
__________ MfG Ralf SEO-Spam Hunter Dieser Beitrag wurde am 23.04.2004 um 12:15 Uhr von raman editiert.
|
|
|
||
23.04.2004, 12:19
Moderator
Beiträge: 7805 |
#6
Kleiner Nachtrag/info: Wer CWS und Hijackthis nuetzlich findet, darf natuerlich auch eine Kleinigkeit spenden! http://www.spywareinfo.com/~merijn/donate.html
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
23.04.2004, 14:02
Ehrenmitglied
Beiträge: 29434 |
#7
O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\Programme\ISTbar\istbar.dll Neu
Manuelles entfernen (in Englisch) http://www.doxdesk.com/parasite/ISTbar.html Ad-Aware reflist 20.04.2003 and Spybot S&D update 2003-04-24 kann as beseitigen...ISTbar/AUpdate. (Im abgesicherten Modus scannen) ------------------------------------------------------------------------- O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe Neu (im abgesicherten Modus) manuelle Entfernung: http://www.symantec.de/avcenter/venc/data/pf/adware.istbar.html ------------------------------------------------------------------------- O4 - HKLM\..\Run: [tsh] C:\WINNT\tsh.exe Neu O4 - HKLM\..\Run: [Power Scan] C:\Programme\Power Scan\powerscan.exe Neu <<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<< Dein Comp. ist dermassen "verseucht", dass ich eine Neuinstallation empfehle.... MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 23.04.2004 um 14:28 Uhr von Sabina editiert.
|
|
|
||
hab des meiste aus meinem log entschlüsselt, sind aber 2 Fragen übrig geblieben:
R3 - URLSearchHook: (no name) _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - (no file)
und
O4 - HKLM\..\Run: [nmpch] C:\WINNT\nmpch.exe
O4 - HKLM\..\Run: [ynip] C:\WINNT\ynip.exe
Ok oder net ok?
MfG
silo2001
Nachtrag:
Is wohl schwerwiegender als ich dachte, habe oben genannte sachen gefixt und nach einem Neustart wieder diese blöde Startseite und n paar neue Sachen kamen auch noch hinzu, hier mal des komplette log:
Alles was im alten Log net da war is jetzt rot:
Logfile of HijackThis v1.97.7
Scan saved at 10:57:50, on 23.04.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Symantec_Client_Security\Symantec Client Firewall\NISUM.EXE
C:\Programme\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\Programme\Symantec_Client_Security\Symantec Client Firewall\SymPxSvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\svchost.exe
C:\Programme\Symantec_Client_Security\Symantec Client Firewall\NISSERV.EXE
C:\WINNT\system32\atiptaxx.exe
C:\Programme\Creative\Audio2K\PROGRAM\CTMIX32.EXE
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\PROGRA~1\SYMANT~1\SYMANT~2\IAMAPP.EXE
C:\WINNT\System32\SlpV24s.exe Neu
C:\Programme\180Solutions\msbb.exe Neu
C:\Programme\ClockSync\Sync.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Administrator\Desktop\Hijack This\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.couldnotfind.com/search_page.html?&account_id=138442 Neu
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.couldnotfind.com/search_page.html?&account_id=138442 Neu
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_page.html?&account_id=138442 Neu
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://riviera.cc (obfuscated) Neu
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://opti.riviera.cc (obfuscated) Neu
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://opti.riviera.cc (obfuscated) Neu
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://opti.riviera.cc (obfuscated) Neu
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://riviera.cc (obfuscated) Neu
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://riviera.cc (obfuscated) Neu
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) Neu
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {F7F808F0-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINNT\nem214.dll Neu
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\Programme\ISTbar\istbar.dll Neu
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [CreativeMixer] C:\Programme\Creative\Audio2K\PROGRAM\CTMIX32.EXE /t
O4 - HKLM\..\Run: [JobHisInit] C:\Programme\RMClient\JobHisInit.exe Neu
O4 - HKLM\..\Run: [MplSetUp] C:\Programme\RMClient\MplSetUp.exe Neu
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [iamapp] C:\PROGRA~1\SYMANT~1\SYMANT~2\IAMAPP.EXE
O4 - HKLM\..\Run: [sys] regedit -s sysdll.reg
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe Neu
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe" Neu
O4 - HKLM\..\Run: [msbb] c:\programme\180solutions\msbb.exe
O4 - HKLM\..\Run: [tsh] C:\WINNT\tsh.exe Neu
O4 - HKLM\..\Run: [Power Scan] C:\Programme\Power Scan\powerscan.exe Neu
O4 - HKCU\..\Run: [ClockSync] C:\Programme\ClockSync\Sync.exe Neu
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)