"search for" noch nicht ganz verschwunden |
||
---|---|---|
#0
| ||
02.05.2004, 15:32
Member
Beiträge: 13 |
||
|
||
02.05.2004, 15:40
...neu hier
Beiträge: 3 |
#2
Boah ich bekomm nen Affen... so was hartnäckiges hab ich echt noch nicht erlebt! Ich komme net mehr weiter, hab schon so einiges deleted in der Registry aber trotzdem immer wieder diese search for... startseite. Ich wäre wirklich sehr froh wenn jemand helfen könnte, danke!
Logfile of HijackThis v1.97.7 Scan saved at 15:38:53, on 02.05.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\McAfee\McAfee VirusScan\Avsynmgr.exe C:\PROGRA~1\DIRECT~1\DUService.exe C:\Programme\DriveCrypt\DcrServ.exe C:\WINDOWS\System32\inetsrv\inetinfo.exe c:\Aston\aston.exe C:\Programme\Jana2\janad.exe C:\Programme\McAfee\McAfee VirusScan\VsStat.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\mysql\bin\mysqld-nt.exe C:\WINDOWS\system32\service.exe C:\WINDOWS\System32\nvsvc32.exe C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe C:\PROGRA~1\Serv-U\ServUDaemon.exe C:\WINDOWS\System32\svchost.exe C:\Programme\McAfee\McAfee VirusScan\Avconsol.exe C:\Aston\XP\internat.exe C:\WINDOWS\System32\CTHELPER.EXE C:\Programme\Winamp\winampa.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\System32\rmctrl.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe C:\Programme\McAfee\McAfee Shared Components\Guardian\CMGRDIAN.EXE C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE C:\Programme\Logitech\ImageStudio\LogiTray.exe C:\Programme\MSI\Live Update 3\LMonitor.exe C:\PROGRA~1\LEXMAR~1\ACMonitor_X84-X85.exe C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X84-X85.exe C:\Programme\DirectUpdate\DUControl.exe C:\Programme\D-Tools\daemon.exe C:\cFosNT\cFosDNT.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\MSN Messenger\MsnMsgr.Exe C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe C:\Programme\DriveCrypt\DriveCrypt.exe C:\Programme\Logitech\ImageStudio\LowLight.exe C:\Programme\WinZip\WZQKPICK.EXE C:\Programme\Microsoft Office\Office10\msoffice.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\System32\dllhost.exe C:\WINDOWS\System32\inetsrv\DavCData.exe D:\High Priority Mails.Apps.Private.Driver\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\System32\ F0 - system.ini: Shell=c:\Aston\aston.exe ,svchost.exe F2 - REG:system.ini: Shell=c:\Aston\aston.exe ,svchost.exe O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {0CF0B8EE-6596-11D5-A98E-0003470BB48E} - C:\Programme\Panicware\Pop-Up Stopper Companion\CCHelper.dll O2 - BHO: (no name) - {BBE59AF5-EE22-4A3A-AB26-3F774D1B4216} - C:\Programme\FolderBox\FolderBox.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Pop-Up Stopper &Companion - {8F05B1A8-9D77-4B8F-AF54-6B2202066F95} - C:\Programme\Panicware\Pop-Up Stopper Companion\popupus.dll O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - C:\Programme\McAfee\McAfee VirusScan\VSCShellExtension.dll O4 - HKLM\..\Run: [zinit32] C:\WINDOWS\ZInit32.exe O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\System32\rmctrl.exe O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe /waitservice O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [McAfee Guardian] "C:\Programme\McAfee\McAfee Shared Components\Guardian\CMGRDIAN.EXE" /SU O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Programme\Logitech\ImageStudio\LogiTray.exe O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Programme\Logitech\ImageStudio\ISStart.exe O4 - HKLM\..\Run: [LiveMonitor] C:\Programme\MSI\Live Update 3\LMonitor.exe O4 - HKLM\..\Run: [Lexmark X84-X85 Button Monitor] C:\PROGRA~1\LEXMAR~1\ACMonitor_X84-X85.exe O4 - HKLM\..\Run: [Lexmark X84-X85 Button Manager] C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X84-X85.exe O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [DUControl] C:\Programme\DirectUpdate\DUControl.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [cFosDNT] C:\cFosNT\cFosDNT.exe O4 - HKCU\..\Run: [winlogon] c:\windows\winlogon.exe O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR O4 - HKCU\..\Run: [DriveCrypt Startup] C:\Programme\DriveCrypt\DriveCrypt.exe /WS O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Startup: WinMySQLadmin.lnk = C:\mysql\bin\winmysqladmin.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Save Current Web Page by WinSuperKit - C:\Programme\WinSuperKit\save.htm O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM) O9 - Extra button: ICQ Pro (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O9 - Extra button: Recherchieren (HKLM) O9 - Extra button: ICQ 4.0 (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM) O9 - Extra button: Trashcan (HKCU) O9 - Extra 'Tools' menuitem: Show Trashcan (HKCU) O15 - Trusted Zone: www.bursasporum.com O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37975.6510300926 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{CA6A296F-01C4-4519-900B-079A62B55B7B}: NameServer = 217.237.149.161 194.25.2.129 |
|
|
||
02.05.2004, 16:07
Moderator
Beiträge: 7805 |
#3
Versuch es mal so: lade dir xfind.zip(*) herunter entpacke es in ein extra Verzeichniss und starte die find.bat und wenn das "Dosfenster" wieder verschwunden ist schaue dir die files.txt in dem selben Verzeichniss an, und schreibe dir den Dateinamen, der dort auftaucht, auf.
Lade dir killbox herunter: http://download.broadbandmedic.com/VbStuff/KillBox.zip entpacke das auch in ein extra Verzeichniss, starte es und trage in das weisse Feld den Dateinamen, der in der fie.txt stand, mit dazugehoerigem Pfad( also z.b. c:\windows\system32\diel.dll) ein, waehle action/delete on reboot/file/add/action/process and reboot. (*)=http://www10.brinkster.com/expl0iter/freeatlast/PVtool.htm Wenn killbox die Datei nicht loeschen kann, musst du mit Hilfe der Wiederherstellungskonsole oder einer Startdisk/CD, die schreiben auf NTFS erlaubt, sie loeschen oder umbenennen. Etwaige referenzen auf die Datei in der Registrierung must du nach dem Neustart ebenfalls loeschen. Andere Moeglichkeit hier: http://www.trojaner-info.de/anleitungen/hijackthis/yellow_page.html obwohl meine Version bei XP und NTFS wohl besser funktionieren sollte. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
02.05.2004, 17:04
...neu hier
Beiträge: 3 |
#4
Ähm Raman war diese Hilfe jetzt für thor37 gedacht oder für mich?
Jedenfalls hat bei mir xfind nichts gefunden |
|
|
||
02.05.2004, 17:09
Member
Themenstarter Beiträge: 13 |
#5
SUPER!!! Danke Roman, hat funktioniert ... zumindest Adware findet nun keine Dateien mehr!!
|
|
|
||
02.05.2004, 17:20
Moderator
Beiträge: 7805 |
#6
Fuer "thor37", aber das ist fuer dich
Fix bitte das: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\System32\ O4 - HKLM\..\Run: [zinit32] C:\WINDOWS\ZInit32.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKCU\..\Run: [winlogon] c:\windows\winlogon.exe Dann neu starten und bitte diese Dateien an virus@protecus.de schicken: C:\WINDOWS\ZInit32.exe C:\WINDOWS\svchost.exe c:\windows\winlogon.exe ziemlich "verwurmt " dein Rechner by the way: In der System.ini solltest du diese Eintraege per Hand, mit Sysedit, herausnehmen: svchost.exe, da du den aston Eintrag wohl noch brauchst. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
02.05.2004, 19:23
Member
Themenstarter Beiträge: 13 |
#7
Hi Raman, welche Einträge kann ich nun fixen?
Logfile of HijackThis v1.97.7 Scan saved at 19:25:19, on 02.05.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\RunDll32.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE C:\Programme\Logitech\ImageStudio\LogiTray.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\AOL 9.0\aoltray.exe C:\Tools\Common\Bin\WinCinemaMgr.exe C:\Programme\Microsoft Office\Office\OSA.EXE C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe C:\WINDOWS\System32\Ati2evxx.exe C:\Programme\Logitech\ImageStudio\LowLight.exe C:\Programme\AntiVirenKit\AVKService.exe C:\Programme\AntiVirenKit\AVKWCtl.exe C:\WINDOWS\System32\svchost.exe C:\Tools\WinSweep\WSMonitor.exe C:\Dokumente und Einstellungen\Freeware\Sonstige Programme\hijackthis1977\HijackThis.exe R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R3 - URLSearchHook: (no name) - {1C78AB3F-A857-482e-80C0-3A1E5238A565} - (no file) O1 - Hosts: 127.0.0.9 doxdesk.com O1 - Hosts: 127.0.0.90 www.safer-networking.org O1 - Hosts: 127.0.0.91 www.secureie.com O1 - Hosts: 127.0.0.92 www.security.kolla.de O1 - Hosts: 127.0.0.93 www.spybot.info O1 - Hosts: 127.0.0.94 www.spychecker.com O1 - Hosts: 127.0.0.95 www.spychecker.com O1 - Hosts: 127.0.0.96 www.spycop.com O1 - Hosts: 127.0.0.97 www.spyguard.com O1 - Hosts: 127.0.0.98 www.spykiller.com O1 - Hosts: 127.0.0.99 www.spyware.co.uk O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Tools\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Tools\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {93FFFF8F-18A9-4B1C-B90D-131D983C74DC} - (no file) O2 - BHO: (no name) - {CB2EAB80-AA3C-433B-9AC4-9414328B6AC4} - (no file) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Tools\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Tools\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Programme\Logitech\ImageStudio\ISStart.exe O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Programme\Logitech\ImageStudio\LogiTray.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Tools\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O8 - Extra context menu item: &iSearch The Web - res://C:\WINDOWS\System32\toolbar.dll/SEARCH.HTML O9 - Extra button: AIM (HKLM) O9 - Extra button: Real.com (HKLM) O9 - Extra button: Yahoo! Messenger (HKLM) O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Messenger (HKLM) O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37885.4241898148 |
|
|
||
02.05.2004, 19:43
Member
Beiträge: 1122 |
#8
Fix mal:
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R3 - URLSearchHook: (no name) - {1C78AB3F-A857-482e-80C0-3A1E5238A565} - (no file) O1 - Hosts: 127.0.0.9 doxdesk.com O1 - Hosts: 127.0.0.90 www.safer-networking.org O1 - Hosts: 127.0.0.91 www.secureie.com O1 - Hosts: 127.0.0.92 www.security.kolla.de O1 - Hosts: 127.0.0.93 www.spybot.info O1 - Hosts: 127.0.0.94 www.spychecker.com O1 - Hosts: 127.0.0.95 www.spychecker.com O1 - Hosts: 127.0.0.96 www.spycop.com O1 - Hosts: 127.0.0.97 www.spyguard.com O1 - Hosts: 127.0.0.98 www.spykiller.com O1 - Hosts: 127.0.0.99 www.spyware.co.uk O2 - BHO: (no name) - {93FFFF8F-18A9-4B1C-B90D-131D983C74DC} - (no file) O2 - BHO: (no name) - {CB2EAB80-AA3C-433B-9AC4-9414328B6AC4} - (no file) O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O8 - Extra context menu item: &iSearch The Web - res://C:\WINDOWS\System32\toolbar.dll/SEARCH.HTML Sonst ists clear. MFG DAFRA |
|
|
||
02.05.2004, 19:45
...neu hier
Beiträge: 3 |
#9
hallo
hab auch dieses problem! hab alle 3 proggs durchlaufen lassen! ad aware sagt er hätte es gefixt ist aber nicht meine LOG: ############################################### Logfile of HijackThis v1.97.7 Scan saved at 19:45:49, on 02.05.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\ZONEAL~1\zlclient.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\GetRight\getright.exe C:\Programme\GetRight\getright.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\drwtsn32.exe C:\WINDOWS\System32\drwtsn32.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\System32\drwtsn32.exe C:\WINDOWS\System32\drwtsn32.exe C:\WINDOWS\System32\drwtsn32.exe C:\WINDOWS\System32\drwtsn32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\E m u l e\E m u l e.exe C:\WINDOWS\System32\drwtsn32.exe C:\WINDOWS\explorer.exe C:\Programme\Internet Explorer\iexplore.exe C:\Downloads\HijackThis.exe O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONEAL~1\zlclient.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [winlogon] c:\windows\winlogon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Programme\GetRight\getright.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm O17 - HKLM\System\CCS\Services\Tcpip\..\{4D075342-F0EC-4457-B372-50098F75471C}: NameServer = 145.253.2.196 145.253.2.81 |
|
|
||
02.05.2004, 19:48
Member
Beiträge: 1122 |
||
|
||
02.05.2004, 19:53
...neu hier
Beiträge: 3 |
#11
also ich hab das mal gemacht! nix passiert immer noch da!
HILFE! ;( neuer log: Logfile of HijackThis v1.97.7 Scan saved at 19:53:36, on 02.05.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\ZONEAL~1\zlclient.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\GetRight\getright.exe C:\Programme\GetRight\getright.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\AVPersonal\AVWIN.EXE C:\Programme\Internet Explorer\iexplore.exe C:\Downloads\HijackThis.exe C:\Programme\Internet Explorer\iexplore.exe C:\Downloads\HijackThis.exe O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONEAL~1\zlclient.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Programme\GetRight\getright.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm O17 - HKLM\System\CCS\Services\Tcpip\..\{4D075342-F0EC-4457-B372-50098F75471C}: NameServer = 145.253.2.196 145.253.2.81 achja dieser scheiss speichert sich local! denn ohne inet gehts auch! Dieser Beitrag wurde am 02.05.2004 um 19:54 Uhr von 2fa editiert.
|
|
|
||
03.05.2004, 12:50
Ehrenmitglied
Beiträge: 29434 |
#12
2fa
Deinstalliere den GetRight und fixe dann: C:\Programme\GetRight\getright.exe C:\Programme\GetRight\getright.exe O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Programme\GetRight\getright.exe O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm in dem anderen Log hattest du ein Problem...ist aber wahrscheinlich schon behoben: C:\WINDOWS\System32\drwtsn32.exe C:\WINDOWS\System32\drwtsn32.exe C:\WINDOWS\System32\drwtsn32.exe C:\WINDOWS\System32\drwtsn32.exe Geh mal in den abgesicherten Modus und scanne dort mit dem Antivir, AdAware und Saerch&Destroy.(alle drei vorher aktualisieren) Lade den CWShredder (von dieser Site laden )...ist der aktuellste http://board.protecus.de/t9373.htm Lade ClearProg und saeubere den IE , dann kannst du unter InternetOptionen die Startseite neu einstellen. http://www.clearprog.de/ Dann mache noch einen Onlinescann mit Pestpatrol http://www.pestscan.com/Scan.asp Und diesen OnlineVirenscann: http://housecall.trendmicro.com/ Lade diesen Firewall, falls du noch keinen hast http://smb.sygate.com/products/spf_standard.htm Lade den Firefox als Zweitbrowser...ist viel sicherer...aber trotzdem den IE immer aktualisieren ! http://firebird.stw.uni-duisburg.de/windows.php MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 03.05.2004 um 12:56 Uhr von Sabina editiert.
|
|
|
||
03.05.2004, 18:16
Member
Themenstarter Beiträge: 13 |
#13
DER MIST IST WIEDER DA!!!!!!!!!! WAS MACHE ICH NUN??
***** Mein Logfile: Logfile of HijackThis v1.97.7 Scan saved at 18:07:17, on 03.05.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\RunDll32.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE C:\Programme\Logitech\ImageStudio\LogiTray.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\AOL 9.0\aoltray.exe C:\Tools\Common\Bin\WinCinemaMgr.exe C:\Programme\Microsoft Office\Office\OSA.EXE C:\Programme\Logitech\ImageStudio\LowLight.exe C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe C:\WINDOWS\System32\Ati2evxx.exe C:\Programme\AntiVirenKit\AVKService.exe C:\Programme\AntiVirenKit\AVKWCtl.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Freeware\Sonstige Programme\hijackthis1977\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\nbl.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\nbl.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\nbl.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\nbl.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\nbl.dll/sp.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\nbl.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Tools\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {37652C00-7963-4C3A-A45A-1809271587A0} - C:\WINDOWS\System32\nbl.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Tools\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Tools\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Tools\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Programme\Logitech\ImageStudio\ISStart.exe O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Programme\Logitech\ImageStudio\LogiTray.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Tools\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O9 - Extra button: AIM (HKLM) O9 - Extra button: Real.com (HKLM) O9 - Extra button: Yahoo! Messenger (HKLM) O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM) O9 - Extra button: Messenger (HKLM) |
|
|
||
03.05.2004, 18:31
Moderator
Beiträge: 7805 |
#14
Die harte Tour( sprich plattmachen) oder hier lesen:
Versuch es mal so: lade dir xfind.zip(*) herunter entpacke es in ein extra Verzeichniss und starte die find.bat und wenn das "Dosfenster" wieder verschwunden ist schaue dir die files.txt in dem selben Verzeichniss an, und schreibe dir den Dateinamen, der dort auftaucht, auf. Lade dir killbox herunter: http://download.broadbandmedic.com/VbStuff/KillBox.zip entpacke das auch in ein extra Verzeichniss, starte es und trage in das weisse Feld den Dateinamen, der in der fie.txt stand, mit dazugehoerigem Pfad( also z.b. c:\windows\system32\diel.dll) ein, waehle action/delete on reboot/file/add/action/process and reboot. (*)=http://www10.brinkster.com/expl0iter/freeatlast/PVtool.htm Wenn killbox die Datei nicht loeschen kann, musst du mit Hilfe der Wiederherstellungskonsole oder einer Startdisk/CD, die schreiben auf NTFS erlaubt, sie loeschen oder umbenennen. Etwaige Referenzen auf die Datei in der Registrierung must du nach dem Neustart ebenfalls loeschen. Andere Moeglichkeit hier: http://www.trojaner-info.de/anleitungen/hijackthis/yellow_page.html obwohl meine Version bei XP und NTFS wohl besser funktionieren sollte. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
03.05.2004, 18:37
Member
Themenstarter Beiträge: 13 |
#15
Hi Raman danke für die schnelle Antwort! xFind zeigt: C:\WINDOWS\System32\KBDAJ.DLL +++ File read error ... KillBox macht die KBDAJ.DLL leider nicht platt bzw. xFind zeigt anschl. wieder diese komische Meldung! War eben auf www.trojaner-info.de unterwegs und habe mir die Anleitung angesehen ... kann aber die IEFIX.reg nicht downloaden.
Nun wird es wirklich seltsam ... habe mal den Prozess-Viewer ausprobiert (wie auf yellow_page.html beschrieben) ... er findet bei mir keine DLL mit dem Wert 61c00000 61440!!! Welchen Schrott habe ich mir nun gefangen? Kann der ganze Mist auch damit zusammenhängen, dass ich gelegentlich den Browser unter AOL nutze? Dieser Beitrag wurde am 03.05.2004 um 18:49 Uhr von Thor37 editiert.
|
|
|
||
Logfile of HijackThis v1.97.7
Scan saved at 15:32:34, on 02.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
C:\Programme\Logitech\ImageStudio\LogiTray.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AOL 9.0\aoltray.exe
C:\Tools\Common\Bin\WinCinemaMgr.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\Programme\Logitech\ImageStudio\LowLight.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AntiVirenKit\AVKService.exe
C:\Programme\AntiVirenKit\AVKWCtl.exe
C:\WINDOWS\System32\svchost.exe
C:\Tools\WinSweep\WSMonitor.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\AOL 9.0\waol.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Freeware\Sonstige Programme\hijackthis1977\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://C:\Tools\WinSweep\ws.js
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: (no name) - {1C78AB3F-A857-482e-80C0-3A1E5238A565} - (no file)
O1 - Hosts: 127.0.0.9 doxdesk.com
O1 - Hosts: 127.0.0.90 www.safer-networking.org
O1 - Hosts: 127.0.0.91 www.secureie.com
O1 - Hosts: 127.0.0.92 www.security.kolla.de
O1 - Hosts: 127.0.0.93 www.spybot.info
O1 - Hosts: 127.0.0.94 www.spychecker.com
O1 - Hosts: 127.0.0.95 www.spychecker.com
O1 - Hosts: 127.0.0.96 www.spycop.com
O1 - Hosts: 127.0.0.97 www.spyguard.com
O1 - Hosts: 127.0.0.98 www.spykiller.com
O1 - Hosts: 127.0.0.99 www.spyware.co.uk
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Tools\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Tools\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {93FFFF8F-18A9-4B1C-B90D-131D983C74DC} - (no file)
O2 - BHO: (no name) - {CB2EAB80-AA3C-433B-9AC4-9414328B6AC4} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Tools\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Tools\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Programme\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Programme\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Tools\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O8 - Extra context menu item: &iSearch The Web - res://C:\WINDOWS\System32\toolbar.dll/SEARCH.HTML
O9 - Extra button: AIM (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37885.4241898148
O17 - HKLM\System\CCS\Services\Tcpip\..\{C724ADCF-5279-49B4-B7D2-0F1D83B6CEE8}: NameServer = 195.93.68.134