"Search for..." Startseite kommt immer wieder!Thema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
05.07.2004, 13:37
Ehrenmitglied
Beiträge: 29434 |
||
|
||
05.07.2004, 13:39
Member
Beiträge: 1095 |
#167
Hi CHeesy
Hier ist der Lösungsvorschlag(englisch) http://www.wilderssecurity.com/showpost.php?p=199716&postcount=27 Die Namen der DLL's varieren, davon nicht verrückt machen lassen Das "NOTE:" in dieser Anwesiung kannst du ignorieren Gruß paff P.S. Wenn du Probleme hast einfach nochmal posten __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
05.07.2004, 15:12
...neu hier
Beiträge: 2 |
#168
@ sabina
Herzlichen Dank, es scheint jetzt alles wieder zu funktionieren. Du bist einfach Klasse !!!!! anbei nochmal das Logfile: Logfile of HijackThis v1.98.0 Scan saved at 15:11:13, on 05.07.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINNT\System32\svchost.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\atiptaxx.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\QuickTime\qttask.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Corel\Graphics8\Programs\MFIndexer.exe C:\Programme\Microsoft Office\Office\OUTLOOK.EXE C:\Programme\iPod\bin\iPodService.exe C:\Programme\Hardcopy\hardcopy.exe C:\PROGRA~1\WINZIP\winzip32.exe C:\Dokumente und Einstellungen\Käser\Lokale Einstellungen\TEMP\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\aibdf.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\aibdf.dll/sp.html (obfuscated) R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.goggle.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\aibdf.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\aibdf.dll/sp.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.goggle.de R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\aibdf.dll/sp.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\aibdf.dll/sp.html (obfuscated) R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R3 - Default URLSearchHook is missing F0 - system.ini: Shell= F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe, O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {79F73D49-991C-41E7-B884-2DBF75C9308C} - C:\WINNT\system32\aibdf.dll (file missing) O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [SpySweeper] C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe /0 O4 - Startup: Hardcopy.LNK = C:\Programme\Hardcopy\hardcopy.exe O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe O4 - Global Startup: Microsoft Outlook.lnk = C:\Programme\Microsoft Office\Office\OUTLOOK.EXE O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = VG-BGH.local O17 - HKLM\System\CCS\Services\Tcpip\..\{F2C53988-5EB0-43AC-93DD-364248746F5B}: NameServer = 10.93.33.10 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = VG-BGH.local O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = VG-BGH.local O18 - Filter: text/html - {8425E01B-644C-4954-8783-06A76BCA5C90} - C:\WINNT\system32\aibdf.dll O18 - Filter: text/plain - {8425E01B-644C-4954-8783-06A76BCA5C90} - C:\WINNT\system32\aibdf.dll @ paff Deinen Lösungsvorschlag heb ich mir sicherheitshalber auf, falls sich das Problem noch einmal ergibt. Auch dir ein hezliches Dankeschön. Macht weiter so Viele Grüße Wolfgang |
|
|
||
05.07.2004, 18:55
Ehrenmitglied
Beiträge: 29434 |
#169
Cheesy
.. Fixe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\aibdf.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\aibdf.dll/sp.html (obfuscated) R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.goggle.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\aibdf.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\aibdf.dll/sp.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.goggle.de R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\aibdf.dll/sp.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\aibdf.dll/sp.html (obfuscated) R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {79F73D49-991C-41E7-B884-2DBF75C9308C} - C:\WINNT\system32\aibdf.dll (file missing) O18 - Filter: text/html - {8425E01B-644C-4954-8783-06A76BCA5C90} - C:\WINNT\system32\aibdf.dll O18 - Filter: text/plain - {8425E01B-644C-4954-8783-06A76BCA5C90} - C:\WINNT\system32\aibdf.dll neustarten #Lade Cwhredder http://www.chip.de/downloads/c_downloads_11353799.html #Loesche C:\WINNT\system32\aibdf.dll falls die dll nach dem Scann mit Cwshredder noch da ist. Hier ist der Lösungsvorschlag(englisch) http://www.wilderssecurity.com/showpost.php?p=199716&postcount=27 Klicke die einzelnen Prozesse unter system32 < an an , bist du die Dll gefunden hast. Dann klicke die dll an und es erscheint ein kleines Fenster...<unload< #Dann scanne noch einmal mit dem Antivrus im abgesicherten Modus. Konfiguriere den Antivirus: Einstellungen : (Suchen: ALLE DATEIN, Reperatur: OHNE RÜCKFRAGEN, Löschen bei fehlgeschlagener Reperatur: LÖSCHEN OHNE RÜCKFRAGEN, Unerwünschte Programme: ALLE ausser spiele, Heuristik: Win32 Heuristik Priorität hoch) #Gehe in den abgesicherten Modus...F8 druecken, wenn der Comp. hochfaehrt #scanne mit dem Antivirus neustarten #Loesche unter \InternetOptionen \die TemporatryInternetFiles !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!und stelle eine neue Startseite ein und poste das Log noch mal. Lade vorher den SpywareGuard http://www.javacoolsoftware.com/sgdownload.html und ...#surfe nur mit dem Firefox..ist ein bisschen sicherer als der IE http://www.firebird-browser.de/ MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 05.07.2004 um 19:11 Uhr von Sabina editiert.
|
|
|
||
05.07.2004, 20:53
...neu hier
Beiträge: 3 |
#170
Ich verstehe es nicht. Das immer noch so viele mit dem Problem kämpfen. scheinbar lesen alle nur den Anfang und das Ende des Forums.
|
|
|
||
13.07.2004, 17:33
...neu hier
Beiträge: 2 |
#171
Hallo, habe auch das Problem mit dieser verdammten Search for... Seite, habe schon einiges versucht, Win lässt sich übers Internet noch nicht einmal Updaten, wenn er nach Updates sucht taucht auf einmal die Search for... Seite wieder auf. Die genaue Bezeichnung der Seite lautet http://aifind.info (bitte nicht öffnen)
Kann mir jemand helfen????? Logfile of HijackThis v1.98.0 Scan saved at 07:29:06, on 06.06.04 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\SSDPSRV.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYSTEM\MOSEARCH\BIN\MOSEARCH.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\VS7DEBUG\MDM.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\PSTORES.EXE C:\WINDOWS\SYSTEM\CMMPU.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAMME\LOGITECH\ITOUCH\ITOUCH.EXE C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE C:\WINDOWS\RUNDLL32.EXE C:\PROGRAMME\ADAPTEC\DIRECTCD\DIRECTCD.EXE C:\PROGRAMME\MICROSOFT MONEY\SYSTEM\REMINDER.EXE C:\WINDOWS\SYSTEM\SERVICES.EXE C:\PROGRAMME\LOGITECH\ITOUCH\KBDTRAY.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\WINDOWS\SYSTEM\CTFMON.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\EIGENE DATEIEN\GEMEINSAME DOKUMENTE\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von AOL R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.1:6588 F1 - win.ini: run=C:\WINDOWS\SYSTEM\cmmpu.exe O2 - BHO: ViewSource Class - {00000000-0000-0000-0000-000000000000} - C:\WINDOWS\SYSTEM\MSXSLAB.DLL O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [zBrowser Launcher] C:\PROGRA~1\LOGITECH\ITOUCH\iTouch.exe O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [ICSDCLT] C:\WINDOWS\rundll32.exe C:\WINDOWS\SYSTEM\icsdclt.dll,ICSClient O4 - HKLM\..\Run: [Adaptec DirectCD] C:\PROGRA~1\ADAPTEC\DIRECTCD\DIRECTCD.EXE O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe O4 - HKLM\..\RunServices: [MOSearch] C:\PROGRA~1\GEMEIN~1\SYSTEM\MOSEARCH\BIN\MOSEARCH.EXE O4 - HKLM\..\RunServices: [MDM7] "C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\VS7DEBUG\MDM.EXE" O4 - HKCU\..\Run: [Reminder] C:\Programme\Microsoft Money\System\reminder.exe O4 - HKCU\..\Run: [System Update4] c:\windows\system\services.exe O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000 O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\PROGRAMME\AIM95\AIM.EXE O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.0.1 O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\MSOPT.DLL Dieser Beitrag wurde am 13.07.2004 um 22:01 Uhr von Badboy2 editiert.
|
|
|
||
29.07.2004, 10:39
...neu hier
Beiträge: 3 |
#172
Hallo!
Ich habe auch noch einen PC den es erwischt hat. Danke schon mal vorab für die Hilfe. Pluds Logfile of HijackThis v1.98.0 Scan saved at 18:57:45, on 28.07.04 Platform: Windows NT 4 SP5 (WinNT 4.00.1381) MSIE: Internet Explorer v5.50 SP1 (5.50.4522.1800) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\spoolss.exe C:\WINNT\System32\nddeagnt.exe C:\WIN32APP\TOOLKIT\TKSCHNTS.EXE C:\WINNT\System32\mgasc.exe C:\WIN32APP\TOOLKIT\ntguard.exe C:\WINNT\System32\mgactrl.exe C:\WINNT\system32\RpcSs.exe C:\WINNT\system32\tapisrv.exe C:\WINNT\system32\rasman.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\esserver.exe c:\winnt\system32\pstores.exe C:\WINNT\System32\SENS.EXE C:\WINNT\explorer.exe C:\WINNT\System32\MGAHOOK.EXE C:\Programme\MGA NT PowerDesk\QDesk\MGAQDESK.EXE C:\Real\Player\realplay.exe C:\Programme\ISTsvc\istsvc.exe C:\Program Files\Internet Optimizer\optimize.exe C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE C:\WINNT\runwin32.exe C:\WINNT\wininet32.exe C:\Program Files\Internet Optimizer\actalert.exe C:\Programme\Microsoft ActiveSync\WCESMgr.exe C:\PROGRA~1\MICROS~1\OFFICE\OUTLOOK.EXE C:\Programme\Program\netscape.exe C:\Programme\Plus!\Microsoft Internet\IEXPLORE.EXE C:\PROGRA~1\WinZip\winzip32.exe C:\TEMP\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://dka.directwebsearch.net/search.php R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://dka.directwebsearch.net/search.php R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://dka.directwebsearch.net/search.php R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://dka.directwebsearch.net/search.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://dka.directwebsearch.net/search.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://dka.directwebsearch.net/search.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://dka.directwebsearch.net/search.php R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://dka.directwebsearch.net/search.php R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://easy-search.biz R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://easy-search.biz R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://easy-search.biz R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://dep3.al.group-net.de/infonetlogin/index.jsp R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local R3 - URLSearchHook: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - C:\Programme\IntBar\ToolBand.dll F0 - system.ini: Shell= F2 - REG:system.ini: UserInit=userinit,nddeagnt.exe O1 - Hosts: 213.159.117.235 auto.search.msn.com O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O3 - Toolbar: Search Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - C:\Programme\IntBar\ToolBand.dll O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [TCASUTIEXE] TCAUDIAG.EXE -off O4 - HKLM\..\Run: [MGA Hook] "C:\WINNT\System32\MGAHOOK.EXE" O4 - HKLM\..\Run: [MGA QuickDesk] "C:\Programme\MGA NT PowerDesk\QDesk\MGAQDESK.EXE" O4 - HKLM\..\Run: [RealTray] C:\Real\Player\realplay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [FBAAutoRun] I:\AutoRun O4 - HKLM\..\Run: [mdac_runonce] C:\WINNT\System32\runonce.exe O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe" O4 - HKLM\..\Run: [Power Scan] C:\Programme\Power Scan\powerscan.exe O4 - HKLM\..\Run: [Belt] C:\WINNT\Belt.exe O4 - HKLM\..\Run: [winupd] C:\WINNT\System32\winupd.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O4 - HKCU\..\Run: [SpyKiller] C:\Programme\SpyKiller\spykiller.exe /startup O4 - HKCU\..\Run: [System Soap Pro] C:\Programme\System Soap Pro\soap.exe min O4 - HKCU\..\Run: [runwin32] C:\WINNT\runwin32.exe O4 - HKCU\..\Run: [wininet32] C:\WINNT\wininet32.exe O4 - HKCU\..\Run: [Plug and Play] C:\WINNT\wininet32.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - (no file) O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - (no file) O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - (no file) O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O12 - Plugin for .dcr: C:\Programme\Program\PLUGINS\NP32DSW.DLL O12 - Plugin for .mov: C:\PROGRA~1\Plus!\MICROS~1\PLUGINS\npqtplugin.dll O12 - Plugin for .pntg: C:\PROGRA~1\Plus!\MICROS~1\PLUGINS\npqtplugin4.dll O12 - Plugin for .swf: C:\Programme\Program\PLUGINS\NPSWF32.dll O13 - WWW. Prefix: http:// O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} (Moniker32 Class) - http://63.219.181.7/cax.cab O16 - DPF: {067D7797-04FC-42B1-92DB-81FC6CD318FD} (Dlctrl) - http://www.eingang69.de/EroticAccess/Ocx/dlctrl2.ocx O16 - DPF: {0733B8F9-8B52-4693-A9FA-829E12D27F78} (preload control) - http://www.thepaymentcentre.com/build/preload2.cab O16 - DPF: {10000000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\MAIN.MHT!http://d.dialer2004.com//tv/main.chm::/load.exe O16 - DPF: {10003000-1000-0000-1000-000000000000} - its:mhtml:file://c:\MAIN.MHT!http://213.159.117.237:4000/buka.chm::/x.exe O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!http://69.31.79.187/winsearchie32.chm::/winsearchie32.exe O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://super-gals.com/scj/rotation/templates/s/x.chm::/ad.exe O16 - DPF: {11120607-1001-1111-1000-110199901123} - ms-its:mhtml:file://c:\explorer.mht!http://www.cameup.com/download2/bar.chm::/ToolBand.exe O16 - DPF: {12398DD6-40AA-4C40-A4EC-A42CFC0DE797} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab O16 - DPF: {421A63BA-4632-43E0-A942-3B4AB645BE51} - http://download-ak.systemsoap.com/ssoap/pptproactauthsmakamai/systemsoappro.cab O16 - DPF: {95E5A0FC-6CFB-4EB6-B649-7A9AA877A7A9} (Pcksloader Control) - http://www.pckindersicherung.de/pcks/pcks.cab O16 - DPF: {D34151C8-0C6C-4A7D-B677-4FCC9552E957} (snConnect Class) - http://www.bcnx.com/SunInfoConnect_www.bcnx.com_medium.cab O16 - DPF: {EF86873F-04C2-4A95-A373-5703C08EFC7B} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v3.0/0006.cab O16 - DPF: {FC87A650-207D-4392-A6A1-82ADBC56FA64} (MultiDist) - http://xbs.mtree.com/mt/dialers/fc/MultiDistFC.CAB O16 - DPF: {FFFF0003-0001-101A-A3C9-08002B2F49FB} - http://in.free64u.com/d/imt110z8sm_adult.exe O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ditting.bmw-net.de O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ditting.bmw-net.de O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 195.145.81.38 195.145.81.39 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 195.145.81.38 195.145.81.39 O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F81-00104B107C96} O18 - Protocol: start - {53B95211-7D77-11D2-9F81-00104B107C96} - C:\WINNT\System32\msxword.dll |
|
|
||
29.07.2004, 11:49
Moderator
Beiträge: 7805 |
#173
Es waere sehr nett von euch, wenn ihr bevor ihr eure Logs postet, diesen Thread abarbeiten koenntet:
http://board.protecus.de/t9373.htm Besonders die Punkte 1-4 __________ MfG Ralf SEO-Spam Hunter |
|
|
||
29.07.2004, 17:16
Ehrenmitglied
Beiträge: 29434 |
#174
@Badboy2
ohne die Garantie zu uebernehmen, dass nach der Virenbereinigung noch alles gut funktioniert. FIXE mit dem HijackThis F1 - win.ini: run=C:\WINDOWS\SYSTEM\cmmpu.exe O2 - BHO: ViewSource Class - {00000000-0000-0000-0000-000000000000} - C:\WINDOWS\SYSTEM\MSXSLAB.DLL O4 - HKCU\..\Run: [System Update4] c:\windows\system\services.exe O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\MSOPT.DLL neustarten #Lade mwav.exe...scanne alle Dateien (30 Tage free) http://www.mwti.net/antivirus/free_utilities.asp Loesch mit ClearProg http://www.clearprog.de/ # die TemporaryInternetFiles !!! #Installiere Antivirus http://www.free-av.de/ Konfiguriere den Antivirus AVGCtrl Automatischen Scan stoppen, Einstellungen hochschrauben (Suchen: ALLE DATEIN, Reperatur: OHNE RÜCKFRAGEN, Löschen bei fehlgeschlagener Reperatur: LÖSCHEN OHNE RÜCKFRAGEN, Unerwünschte Programme: ALLE ausser spiele, Heuristik: Win32 Heuristik Priorität hoch) Dann poste das Log noch einmal. mfg Sabina http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=TROJ_WINSHOW.AF&VSect=T http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=TROJ_BESPY.A __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 29.07.2004 um 17:24 Uhr von Sabina editiert.
|
|
|
||
29.07.2004, 17:32
Ehrenmitglied
Beiträge: 29434 |
#175
@Pluds
ohne die Garantie zu uebernehmen, dass nach der Virenbereinigung noch alles gut funktioniert FIXE R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://dka.directwebsearch.net/search.php R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://dka.directwebsearch.net/search.php R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://dka.directwebsearch.net/search.php R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://dka.directwebsearch.net/search.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://dka.directwebsearch.net/search.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://dka.directwebsearch.net/search.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://dka.directwebsearch.net/search.php R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://dka.directwebsearch.net/search.php R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://easy-search.biz R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://easy-search.biz R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://easy-search.biz R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://dep3.al.group-net.de/infonetlogin/index.jsp R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank F2 - REG:system.ini: UserInit=userinit,nddeagnt.exe O1 - Hosts: 213.159.117.235 auto.search.msn.com O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe" O4 - HKLM\..\Run: [Power Scan] C:\Programme\Power Scan\powerscan.exe O4 - HKLM\..\Run: [Belt] C:\WINNT\Belt.exe O4 - HKLM\..\Run: [winupd] C:\WINNT\System32\winupd.exe O4 - HKCU\..\Run: [runwin32] C:\WINNT\runwin32.exe O4 - HKCU\..\Run: [wininet32] C:\WINNT\wininet32.exe O4 - HKCU\..\Run: [Plug and Play] C:\WINNT\wininet32.exe 16 - DPF: {10000000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\MAIN.MHT!http://d.dialer2004.com//tv/main.chm::/load.exe O16 - DPF: {10003000-1000-0000-1000-000000000000} - its:mhtml:file://c:\MAIN.MHT!http://213.159.117.237:4000/buka.chm::/x.exe O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!http://69.31.79.187/winsearchie32.chm::/winsearchie32.exe O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://super-gals.com/scj/rotation/templates/s/x.chm::/ad.exe O16 - DPF: {11120607-1001-1111-1000-110199901123} - ms-its:mhtml:file://c:\explorer.mht!http://www.cameup.com/download2/bar.chm::/ToolBand.exe O16 - DPF: {12398DD6-40AA-4C40-A4EC-A42CFC0DE797} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab O16 - DPF: {EF86873F-04C2-4A95-A373-5703C08EFC7B} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v3.0/0006.cab O16 - DPF: {FC87A650-207D-4392-A6A1-82ADBC56FA64} (MultiDist) - http://xbs.mtree.com/mt/dialers/fc/MultiDistFC.CAB O16 - DPF: {FFFF0003-0001-101A-A3C9-08002B2F49FB} - http://in.free64u.com/d/imt110z8sm_adult.exe O18 - Protocol: start - {53B95211-7D77-11D2-9F81-00104B107C96} - C:\WINNT\System32\msxword.dll NEUSTARTEN Deaktiviere kurz deinen Virenscanner !!!! #Installiere Antivirus http://www.free-av.de/ Konfiguriere den Antivirus AVGCtrl Automatischen Scan stoppen, Einstellungen hochschrauben (Suchen: ALLE DATEIN, Reperatur: OHNE RÜCKFRAGEN, Löschen bei fehlgeschlagener Reperatur: LÖSCHEN OHNE RÜCKFRAGEN, Unerwünschte Programme: ALLE ausser spiele, Heuristik: Win32 Heuristik Priorität hoch) #Geh in den abgesicherten Modus...das ist wichtig ! http://www.bsi.de/av/texte/winsave.htm und mache einen Vollscann mit dem Antivirus. # Gehe in die Host-Datei in c:\Windows\System32\drivers\etc\hosts Im Normalfall sollte dass hier drin stehen, alles andere loeschen !!!!!!!!!!!. 127.0.0.1 localhost #Orginal Host Datei normal neustarten ............................................................................................................. #Lade AdAware free...updaten vor dem Scannen !!! http://www.lavasoft.de/support/download/ und Spybot von dieser Site http://www.safer-networking.org/de/download/index.html #lade Spysweeper free http://www.spysweeper.com/ #Lade mwav.exe...scanne alle Dateien (30 Tage free) http://www.mwti.net/antivirus/free_utilities.asp Loesch mit ClearProg http://www.clearprog.de/ # die TemporaryInternetFiles !!! und stelle eine neue Startseite unter Internnetoptionen ein Dann poste das Log noch einmal. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 29.07.2004 um 17:36 Uhr von Sabina editiert.
|
|
|
||
30.07.2004, 20:28
...neu hier
Beiträge: 2 |
#176
Danke für die nachträgliche Hilfe.
Habe aber in einem anderen Thread auf der Seite ein Programm gefunden, welches das Log automatisch auswertet und angibt, was gefixt werden soll. Ist eigentlich recht einfach. Mein PC funktioniert auch wieder richtig. Also bis dann Badboy2 |
|
|
||
11.08.2004, 15:41
...neu hier
Beiträge: 4 |
#177
Hallo Freunde.
Ich habe hier auch schon eine Weile mitgelesen. Vielleicht könnt ihr mir helfen. Hier mein Log: Logfile of HijackThis v1.98.2 Scan saved at 15:40:13, on 11.08.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\Ati2evxx.exe E:\Sicherheit\Norton Internet Security\NISUM.EXE C:\WINDOWS\Explorer.EXE E:\Sicherheit\Norton Internet Security\SymProxySvc.exe E:\Sicherheit\Norton Internet Security\NISSERV.EXE E:\internet\ICQLite\ICQLite.exe E:\internet\onlineeye pro\onlineeye.exe E:\Sicherheit\Norton Internet Security\IAMAPP.EXE E:\tools\Motherboard Monitor 5\MBM5.exe E:\Sicherheit\Norton Internet Security\ATRACK.EXE E:\Microsoft Office XP\Office10\OUTLOOK.EXE E:\Verwaltung\Total Commander 5\TOTALCMD.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\DOKUME~1\ROB\LOKALE~1\TEMP\$wc1\HIJACK~1.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Rob\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Rob\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Rob\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Rob\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Rob\LOKALE~1\Temp\sp.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Rob\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Tools\Adobe Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\tools\SPYBOT~1\SDHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - E:\Sicherheit\Norton Internet Security Professional\Norton AntiVirus\NavShExt.dll (file missing) O2 - BHO: (no name) - {C3BFD036-0132-44A8-BDF6-202A7B1E3D35} - C:\WINDOWS\System32\iebaag.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - E:\Sicherheit\Norton Internet Security Professional\Norton AntiVirus\NavShExt.dll (file missing) O4 - HKLM\..\Run: [ICQ Lite] E:\internet\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [OnlineTime] "e:\internet\onlineeye pro\onlineeye.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [iamapp] E:\Sicherheit\Norton Internet Security\IAMAPP.EXE O4 - HKCU\..\RunOnce: [ICQ Lite] E:\internet\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: MBM 5.lnk = E:\tools\Motherboard Monitor 5\MBM5.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\MICROS~1\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\internet\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\internet\ICQLite\ICQLite.exe O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{3F83744D-5EF5-4837-B954-F40BFF83A92D}: NameServer = 192.168.0.1 O18 - Filter: text/html - {13393260-527C-4FBA-B755-3517A2DB84AA} - C:\WINDOWS\System32\iebaag.dll O18 - Filter: text/plain - {13393260-527C-4FBA-B755-3517A2DB84AA} - C:\WINDOWS\System32\iebaag.dll Würde mich freuen, wenn mir einer helfen könnte. Habe schon versucht, nach den hier angegebenen Verfahren zu handeln, doch leider ist noch nix passiert. mfg |
|
|
||
11.08.2004, 15:57
Ehrenmitglied
Beiträge: 29434 |
#178
@rob_drummer
Fixe mit dem HijackThis: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Rob\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Rob\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Rob\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Rob\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Rob\LOKALE~1\Temp\sp.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Rob\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {C3BFD036-0132-44A8-BDF6-202A7B1E3D35} - C:\WINDOWS\System32\iebaag.dll O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O18 - Filter: text/html - {13393260-527C-4FBA-B755-3517A2DB84AA} - C:\WINDOWS\System32\iebaag.dll O18 - Filter: text/plain - {13393260-527C-4FBA-B755-3517A2DB84AA} - C:\WINDOWS\System32\iebaag.dll neustarten #Lade dieses Tool, Download and install APM http://www.diamondcs.com.au/index.php?page=apm klicke die Explorerprozesse an, bis du C:\WINDOWS\System32\iebaag.dll gefunden hast. Druecke:<unload< #Loesche:C:\WINDOWS\System32\iebaag.dll #Lade eScan (in C:\ entpacken) http://www.mwti.net/antivirus/free_utilities.asp Nun suchst du eine "kavupd.exe" und anklicken. <Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt(dauert ein bisschen) #gehe in den abgesicherten Modus (wichtig !) http://www.bsi.de/av/texte/winsave.htm <den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen und "CleanScan" klicken. ......................................................................................................... normal neustarten #Lade AdAware (free) und scanne <alle Dateien< http://www.lavasoft.de/support/download/ #Lade TuneUp 2004 (30 Tage free) http://www.tuneup.de/download/ Funktion:<aufraeumen und reparieren< durchfuehren #Lade ClearProg loesche mit dem Tool die -Cookies - Verlauf - Temporäre Internetfiles (Cache) http://www.clearprog.de/ Lade Firefox als Alternativbrowser und surfe nur mit ihm (ist sicherer) http://www.firebird-browser.de/ #Stelle unter <Internetoptionen <eine neue Startseite ein und poste das Log noch mal.(mit dem IE) mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 11.08.2004 um 16:03 Uhr von Sabina editiert.
|
|
|
||
11.08.2004, 16:32
...neu hier
Beiträge: 4 |
||
|
||
06.09.2004, 00:24
...neu hier
Beiträge: 6 |
#180
hallo
ich weiss dass ich schon der hundertste mit dieser lästigen startseite bin, da ich aber mit fixen usw nicht viel zu tun hab kenn ich mich in meinem log und der weiteren vorgehensweise zur vertilgung dieses übels nicht wirklich aus... hier mal das log... sp.html muss weg...und die C:\WINDOWS\System32\gklpg.dll sehen auch verdächtig aus..? hof auf eine kleine leicht verständliche rettung.... liebe grüsse aus wien Logfile of HijackThis v1.98.0 Scan saved at 00:08:27, on 06.09.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\System32\drivers\CDAC11BA.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE C:\WINDOWS\AGRSMMSG.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Launch Manager\QtZgAcer.EXE C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\System32\SCVHOST.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\TPPALDR.EXE C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton AntiVirus\SAVScan.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE C:\Dokumente und Einstellungen\tobi\Eigene Dateien\Programme\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\tobi\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\tobi\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\tobi\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\tobi\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\tobi\LOKALE~1\Temp\sp.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\tobi\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O2 - BHO: (no name) - {D439FEA3-0D3C-4D16-A67F-805BB87C1229} - C:\WINDOWS\System32\gklpg.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [LaunchApp] Alaunch O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\QtZgAcer.EXE O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [MSStartOptimizer] C:\WINDOWS\System32\SCVHOST.EXE O4 - HKLM\..\Run: [RegCompres] C:\WINDOWS\System32\REGCPM32.EXE O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE O4 - HKLM\..\Run: [TPP Auto Loader] C:\WINDOWS\TPPALDR.EXE O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\RunServices: [MSStartOptimizer] C:\WINDOWS\System32\SCVHOST.EXE O4 - HKLM\..\RunServices: [RegCompres] C:\WINDOWS\System32\REGCPM32.EXE O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE C:\WINDOWS\System32\sti_ci.dll,WiaCreateWizardMenu O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/25ede4a8f149f0a47121/netzip/RdxIE601_de.cab O16 - DPF: {86A88967-7A20-11D2-8EDA-00600818EDB1} (ParallelGraphics Cortona Control) - http://www.parallelgraphics.com/bin/cortvrml.cab O16 - DPF: {F57D17AE-CE37-4BC8-B232-EA57747BE5E7} - http://66.230.146.53/EPlugin_AT.cab O18 - Filter: text/html - {FD97010D-3006-49C1-99FA-E53C7BDDC598} - C:\WINDOWS\System32\gklpg.dll O18 - Filter: text/plain - {FD97010D-3006-49C1-99FA-E53C7BDDC598} - C:\WINDOWS\System32\gklpg.dll |
|
|
||
Fixe mit dem HijackThis
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\KSER~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\KSER~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\KSER~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\KSER~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\KSER~1\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\KSER~1\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ie.serch.msn.com/{SUB_RFC1766}srchasst/srchcust.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {4169A69B-0941-4527-8A85-C6FEE5E738AE} - C:\WINNT\system32\beaio.dll
O18 - Filter: text/html - {BF716427-E99F-4F00-9FB6-6C491BDE7D4C} - C:\WINNT\system32\beaio.dll
O18 - Filter: text/plain - {BF716427-E99F-4F00-9FB6-6C491BDE7D4C} - C:\WINNT\system32\beaio.dll
neustarten
#deaktiviere kurz deinen Virenscanner und installiere Antivirus
http://www.free-av.de/
Konfiguriere den Antivirus:
Einstellungen : (Suchen: ALLE DATEIN, Reperatur: OHNE RÜCKFRAGEN, Löschen bei fehlgeschlagener Reperatur: LÖSCHEN OHNE RÜCKFRAGEN, Unerwünschte Programme: ALLE ausser spiele, Heuristik: Win32 Heuristik Priorität hoch)
#Gehe in den abgesicherten Modus...F8 druecken, wenn der Comp. hochfaehrt
#scanne mit dem Antivirus
#Loesche C:\WINNT\system32\beaio.dll , falls der Trojaner noch da ist
#normal neustarten
#Loesche unter \InternetOptionen \die TemporatryInternetFiles und stelle eine neue Startseite ein und poste das Log noch mal.
#surfe nur mit dem Firefox..ist ein bisschen sicherer als der IE
http://www.firebird-browser.de/
Mfg
Sabina
Tipp
regsvc.exe
Die REGSVC.EXE (Remote Registry Service) ist ein Systemprozess.
Mit dieser kann man von einem anderen Rechner auf die Registry zugreifen und sie bearbeiten.
Wer diesen Dienst nicht nutzt (was wohl für die Meisten zutrifft) kann ihn deaktivieren....Sicherheitsrisiko
Start<Systemsteuerung<Verwaltung<Dienste
__________
MfG Sabina
rund um die PC-Sicherheit