Probleme mit aifind.info |
||
---|---|---|
#0
| ||
25.05.2004, 14:55
...neu hier
Beiträge: 5 |
||
|
||
25.05.2004, 15:08
Member
Beiträge: 1095 |
#17
@ laguna
Log sieht gut aus. Nichts verdächtiges Scan nochmal deien Rechner ganz durch mit einen Virenscanner. updaten nicht vergessen Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
25.05.2004, 17:06
...neu hier
Beiträge: 5 |
#18
was fürn glück das ich noch einen 2. rechner habe !!!!
habe mir dort den CWshredder bei chip noch mal runtergeladen, der andere war... weiß net woher !? jedenfalls habe ich den neuen nun hier mal seine arbeit machen lassen und er hat was gefunden und es gefixt das war der übeltäter den er gefunden hat: CWS.Searchx thx an alle die mir mit ihren ratschlägen geholfen haben... auch wenns im endeffekt ein reiner glücksfall war der mein problem löste ! habe durch diesen unglücksfall aber auch mitbekommen das das zur zeit gut verbreitet ist ! bei chip waren alle oben genannten programme in den top 50 der downloads ! joa mei, gruzifix ! |
|
|
||
31.05.2004, 19:40
...neu hier
Beiträge: 2 |
#19
Hallo ,
habe auch das problem mit dem aifind.info. Immer kommt diese Seite als Startseite. Ich bin wirklich kein <span id="COMPUTER" class=xxxxkeyword onmouseover="onmo(this);" onmouseout="inMenu=false;hide(this);">Computer</span> Profi und das was ich alles schon darüber hier gelesen habe...ich glaube ich bekomme das nicht hin. Aber ich habe schonmal hijack this gemacht. vielleicht kann mir dann einer helfen welche Zeilen ich " fixen" muß. Aber wie fixe ich? ist das das selbe wie löschen? Bin für jede hilfe sehr dankbar. Aber bitte sehr verständlich und einfach erklären. Logfile of HijackThis v1.97.7 Scan saved at 19:11:17, on 31.05.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\htpatch.exe C:\WINDOWS\System32\RunDll32.exe C:\Programme\Coolspot\Dialer Control\dc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\Messenger\msmsgs.exe C:\Programme\3 Mega Digital Camera\ICON.EXE C:\Programme\WinZip\WZQKPICK.EXE C:\WINDOWS\system32\ntvdm.exe C:\VSTASCAN\vsaccess.exe C:\OPLIMIT\ocrawr32.exe C:\Programme\Geizkragen\_Geizkragen.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Besitzer.MC\Desktop\hjjack this.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://aifind.info/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://aifind.info/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://aifind.info/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://aifind.info/ O1 - Hosts: 213.159.117.235 auto.search.msn.com O2 - BHO: (no name) - {00000000-0000-0000-0000-000000000000} - C:\WINDOWS\System32\msxslab.dll O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [Dialer Control] C:\Programme\Coolspot\Dialer Control\dc.exe O4 - HKLM\..\Run: [DB9CAAA0] C:\WINDOWS\System32\natgxbp.exe O4 - HKLM\..\Run: [bcmmmcc] "C:\WINDOWS\System32\bcmmmcc.exe" O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Startup: OCRAWARE.lnk = C:\OPLIMIT\OCRAWARE.EXE O4 - Startup: UMAX VistaAccess.lnk = C:\VSTASCAN\vsaccess.exe O4 - Global Startup: 3 Mega Digital Camera Monitor.lnk = ? O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{19717863-DCEE-43E0-B43B-8C8AA127F8C2}: NameServer = 213.20.53.131 193.189.244.205 Danke Daniel >Psychonaut1< Dieser Beitrag wurde am 31.05.2004 um 19:41 Uhr von Psychonaut1 editiert.
|
|
|
||
01.06.2004, 09:08
Member
Beiträge: 1095 |
#20
@Psychonaut1
Fixe bitte das R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://aifind.info/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://aifind.info/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://aifind.info/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://aifind.info/ O1 - Hosts: 213.159.117.235 auto.search.msn.com O2 - BHO: (no name) - {00000000-0000-0000-0000-000000000000} - C:\WINDOWS\System32\msxslab.dll O4 - HKLM\..\Run: [DB9CAAA0] C:\WINDOWS\System32\natgxbp.exe O4 - HKLM\..\Run: [bcmmmcc] "C:\WINDOWS\System32\bcmmmcc.exe" Dann das hier durchführen http://www.rokop-security.de/main/article.php?sid=703 besonders CWShredder Dann neustart machen (WICHTIG!!!!!) Dann nochmal Logfile posten Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
01.06.2004, 22:15
...neu hier
Beiträge: 2 |
#21
Hier der neue Logfile,nachdem ich alles gemacht habe wie es auf der seite hier steht.
scheint aber alles ok zu sein. Habe im moment keine probleme mehr. Logfile of HijackThis v1.97.7 Scan saved at 22:13:17, on 01.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\htpatch.exe C:\WINDOWS\System32\RunDll32.exe C:\Programme\Coolspot\Dialer Control\dc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\Messenger\msmsgs.exe C:\Programme\3 Mega Digital Camera\ICON.EXE C:\Programme\WinZip\WZQKPICK.EXE C:\WINDOWS\system32\ntvdm.exe C:\VSTASCAN\vsaccess.exe C:\OPLIMIT\ocrawr32.exe C:\Dokumente und Einstellungen\Besitzer.MC\Desktop\hjjack this.exe O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [Dialer Control] C:\Programme\Coolspot\Dialer Control\dc.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Startup: OCRAWARE.lnk = C:\OPLIMIT\OCRAWARE.EXE O4 - Startup: UMAX VistaAccess.lnk = C:\VSTASCAN\vsaccess.exe O4 - Global Startup: 3 Mega Digital Camera Monitor.lnk = ? O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab Falls hier noch etwas gefixt qwerden muß bitte nochmal aufschreiben,ok. Nochmals danke für die schnelle hilfe. |
|
|
||
03.06.2004, 18:16
...neu hier
Themenstarter Beiträge: 4 |
#22
Hallo!
Wollt mich nur mal für die schnelle Hilfe bedanken... Hab den Eintrag (aifind.info) raus, allerdings erscheint jetzt immer about:blank; trotz das ich so ungefähr alle Programm die mir unter die Finger gekommen sind drüberlaufen lassen hab... Viele Grüße und vielen Dank nochmal CCthefirst |
|
|
||
03.06.2004, 18:17
Member
Beiträge: 1122 |
||
|
||
03.06.2004, 22:57
...neu hier
Themenstarter Beiträge: 4 |
#24
@ Dafra
Ich hab gemeint, dass die Startseite immer raus"fällt". Kann Sie dann neu eigeben, aber beim nächsten Start des I-Explorers ist sie wieder draussen. Hab nochmal nen Hijackthis-log gemacht: Logfile of HijackThis v1.97.7 Scan saved at 22:54:37, on 03.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\System32\drivers\CDAC11BA.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\wanmpsvc.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Browser Mouse\Browser Mouse\1.0\mouse32a.exe C:\Programme\QuickTime\qttask.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Spyware\freescan.exe C:\Programme\Realtek\Rtl8180\RtlWake.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Microsoft Office\Office10\WINWORD.EXE C:\Programme\Microsoft Works\WkDStore.exe C:\Programme\Messenger\msmsgs.exe C:\Dokumente und Einstellungen\cc1\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis1977.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\kemgk.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\kemgk.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\kemgk.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\kemgk.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\kemgk.dll/sp.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\kemgk.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://windowsupdate.microsoft.com/ O2 - BHO: (no name) - {FF1951FE-F1FD-4E0A-93F5-80AB97BD3616} - C:\WINDOWS\System32\kemgk.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [IW ControlCenter] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [FLMBROWSEMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\mouse32a.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Spyware Begone] C:\Programme\Spyware\freescan.exe -FastScan O4 - Global Startup: AOL 8.0 Tray-Symbol.lnk = C:\Programme\AOL 8.0\aoltray.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: RtlWake.lnk = ? O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O9 - Extra button: Real.com (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM) O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom.de/ieloader.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37881.1413078704 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab Mfg CCthefirst |
|
|
||
04.06.2004, 09:15
Member
Beiträge: 1095 |
#25
@CCFirst
Probiers mal hiermit http://www.rokop-security.de/main/article.php?sid=746 wenn das nicht hilft dann das hier runterladen und entpacken http://tools.zerosrealm.com/pv.zip runme.bat starten 1 drücken und das Ergebnis hier posten Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
22.06.2004, 20:14
...neu hier
Themenstarter Beiträge: 4 |
#26
@Paff
Da hab ich mich so sehr gefreut, dass alles wieder normal läuft, dass ich doch glatt vergessen hab das zu schreiben... Vielen Dank für den Link |
|
|
||
23.06.2004, 08:13
...neu hier
Beiträge: 4 |
#27
HAllo Ihr da draussen,
auch ich ärgere mich mit diesem Hijack-Zeug rum. Kann mal bitte jemand auf meinen Scan schauen, und mir ein paar Tipps geben. Hab schon was gefixt, das kam dann aber wieder. Muß ich zum fixen unbedigt in den abgesicherten Windows-Modus gehn ??? Logfile of HijackThis v1.97.7 Scan saved at 08:05:17, on 23.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\ehome\ehSched.exe C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe C:\PROGRA~1\NORTON~1\NORTON~3\NPROTECT.EXE C:\WINDOWS\System32\nvsvc32.exe C:\PROGRA~1\NORTON~1\NORTON~3\SPEEDD~1\NOPDB.EXE C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\ehome\ehtray.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Real\RealPlayer\RealPlay.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\ehome\ehmsas.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\Messenger\msmsgs.exe C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe C:\Dokumente und Einstellungen\Papa\Eigene Dateien\hijackthis1977\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Papa\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Papa\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Papa\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Papa\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Papa\LOKALE~1\Temp\sp.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Papa\LOKALE~1\Temp\sp.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.google.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.google.de O2 - BHO: (no name) - {00000000-0000-0000-0000-000000000000} - C:\WINDOWS\System32\msxslab.dll O2 - BHO: (no name) - {A1479923-13F3-4D01-8B31-690333656A2A} - C:\WINDOWS\System32\ilekeaa.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NAV_Update] C:\NAV_Update.exe O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Startup: wkcalrem.LNK = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/20b6a39a06e9ee9e7818/netzip/RdxIE601_de.cab O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab Danke euch !! susimaus |
|
|
||
23.06.2004, 08:49
Ehrenmitglied
Beiträge: 29434 |
#28
@Susimaus
Deaktiviere die Wiederherstellung http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 Scanne mit dem HijackThis, dann hake an, was ich poste und dann fix R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Papa\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Papa\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Papa\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Papa\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Papa\LOKALE~1\Temp\sp.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Papa\LOKALE~1\Temp\sp.html O2 - BHO: (no name) - {00000000-0000-0000-0000-000000000000} - C:\WINDOWS\System32\msxslab.dll O2 - BHO: (no name) - {A1479923-13F3-4D01-8B31-690333656A2A} - C:\WINDOWS\System32\ilekeaa.dll O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe neustarten #Gehe in den abgesicherten Modus...dazu drueckst du beim Hochfahren vom Computer die Taste F8 #Loesche C:\WINDOWS\System32\ilekeaa.dll #Loesche C:\WINDOWS\System32\msxslab.dll Trojan.Bookmarker oder Trojan.StartPage, Gehe in die Registry und loesche jewils auf der rechten Seite Start\Ausfuehren\regedit HKEY_LOCAL_MACHINE\TypeLib\{53B95204-7D77-11D2-9F80-00104B107C96} HKEY_CLASSES_ROOT\Interface\{53B95210-7D77-11D2-9F80-00104B107C96} HKEY_CLASSES_ROOT\Xmlmimefilter.XMLMimeFilterPP.1 HKEY_CLASSES_ROOT\CLSID\{53B95211-7D77-11D2-9F80-00104B107C96} HKEY_CLASSES_ROOT\{53B95211-7D77-11D2-9F80-00104B107C96} HKEY_CLASSES_ROOT\PROTOCOLS\Handler\about In the right pane, restore "CLSID" to it's original value. The probable original value is: "CLSID" = "{53B95211-7D77-11D2-9F80-00104B107C96}" schliesse die Registry # Start Internet Explorer. # Click Favorites, and then Organize Favorites. # Delete the links to the pornographic Web sites that the Trojan inserted. normal neustarten #.Mit dem XP/Clean, Version 5.5. http://www.xpclean.de/index.htm?http://www.xpclean.de/xpcleangold.htm musst du die Hostdatei ueberpruefen, es darf nicht drinstehen 213.159.117.235. sondern nur 127.0.0.1 localhost #Lade AdAware, update und scanne den Comp. http://www.lavasoft.de/support/download/ #Lade Spybot, aktualisieren vor dem scannen http://www.safer-networking.org/index.php?lang=de&page=news #Klicke auf "Extras" > "Internetoptionen". Das folgende Dialogfeld wird geöffnet: Klicke auf die Schaltfläche "Dateien löschen" in der Mitte. Dadurch wird ein zweites Dialogfeld geöffnet: Aktiviere die Option "Alle Offlineinhalte löschen", und klicke auf "OK" #lade die mwav.exe ...30 Tage free und scanne \alles Dateien\ http://www.mwti.net/antivirus/free_utilities.asp Loesche manuell, wenn angezeigt wird...no taken #Lade den Firefox als AlternativBrowser...ist hijackerfrei http://www.firebird-browser.de/ #Stelle im IE und im Firefox eine Startseite ein und poste das Log noch einmal. MfG Sabina http://securityresponse.symantec.com/avcenter/venc/data/trojan.bookmarker.f.html http://securityresponse.symantec.com/avcenter/venc/data/adware.findemnow.html __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 23.06.2004 um 09:02 Uhr von Sabina editiert.
|
|
|
||
23.06.2004, 17:12
...neu hier
Beiträge: 4 |
#29
Hallo Sabina !
DAnke für die schnelle ANtwort. Ich komme nicht weiter bei der regsitry: Folgende Einträge finde ich nicht !!! HKEY_LOCAL_MACHINE\TypeLib\{53B95204-7D77-11D2-9F80-00104B107C96} HKEY_CLASSES_ROOT\Interface\{53B95210-7D77-11D2-9F80-00104B107C96} HKEY_CLASSES_ROOT\Xmlmimefilter.XMLMimeFilterPP.1 HKEY_CLASSES_ROOT\CLSID\{53B95211-7D77-11D2-9F80-00104B107C96} HKEY_CLASSES_ROOT\{53B95211-7D77-11D2-9F80-00104B107C96} Habe auch nicht Trojan.Bookmarker oder Trojan.StartPage gefunden. Habe vor deiner Antwort schonmal ad-aware, Spybot und den CWShredder drüber laufen lassen. Kann es sein , dass die einträge schon gefixt wurden ??? Danke im voraus, susimausi |
|
|
||
23.06.2004, 17:53
Ehrenmitglied
Beiträge: 29434 |
#30
Das kann sein, das alles schon sauber ist.
#C:\WINDOWS\System32\ilekeaa.dll # C:\WINDOWS\System32\msxslab.dll das ist der Trojan.Bookmarker oder Trojan.StartPage, Poste bitte noch einmal das Log. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 23.06.2004 um 17:56 Uhr von Sabina editiert.
|
|
|
||
hui ne ganze menge, dann werde ich mich mal ans werk machen wenn ich heute abend die zeit finde *such*
@ paff
... , klar bin ich doof ! hab den ja abgespeichert...
hier mal der aktuelle,
Logfile of HijackThis v1.97.7
Scan saved at 14:51:53, on 25.05.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\Symphony\sw_serv.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Analog Devices\SoundMAX\Smtray.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\internat.exe
C:\WINNT\system32\wuauclt.exe
C:\Programme\Java\j2re1.4.2_03\bin\javaw.exe
C:\Programme\Symphony\maestro.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Dokumente und Einstellungen\René\Desktop\Neuer Ordner (2)\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Steam] C:\Sierra\Counter-Strike\Steam.exe -silent
O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Dokumente und Einstellungen\René\Desktop\Neuer Ordner (2)\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: T-Sinus 930 Konfiguration.lnk = C:\Programme\Symphony\maestro.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab