"Search for..." Startseite kommt immer wieder!

Thema ist geschlossen!
Thema ist geschlossen!
#0
06.09.2004, 14:41
...neu hier

Beiträge: 6
#196 ok ..danke für die tips
werds bei der bereinigund lassen....wenn ich das über haupt schaffe..
wie kann ich denn die

C:\<Windows>\MSTO32.DLL
C:\<Windows>\SYSINI.INI
C:\<Windows>\wingua_.EXE
Ordner namens <etcf <
finden?
Seitenanfang Seitenende
06.09.2004, 14:42
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#197 Die gibt es anscheinend nicht, es ist wohl ein anderer Virus als ich angenommen habe.... ;)
Scanne mit Escan, er wird den Rest der Malware schon finden...
mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 06.09.2004 um 18:03 Uhr von Sabina editiert.
Seitenanfang Seitenende
06.09.2004, 15:46
...neu hier

Beiträge: 6
#198 hy nochmal
was hälts du denn vom neuen sp2 für xp..?
macht das für mich sinn...?
wir haben 2 laptops und einen standrechner via wireless lan im netzwerk...
das sp2 soll ziemlich strenge sicherheitseinstellungen haben...?
funktioniert das gut..?


hab noch ein anderes problem... meine festplatte 60gb funktioniert nicht mehr richtig.. bei grösseren dateien hängt sie ein bisschen...grosse videofiles ruckeln extrem....naja möcht ne neue kaufen ....und den ganzen inhalt der alten platte incl xp und den 100 anderen installierten programmen
auf die neue platte clonen...
gibt es da einen sicheren weg ...norton ghost..?
lg
Seitenanfang Seitenende
06.09.2004, 18:02
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#199 @Tobiwan ;)
Ich hab jetzt leider keine Zeit...ich antworte heute abend.
Gruss
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.09.2004, 19:26
...neu hier

Beiträge: 5
#200 Hi Sabine, das searchweb kommt leider immernoch.

Logfile of HijackThis v1.97.7
Scan saved at 19:24:56, on 06.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Stardock\Object Desktop\WindowBlinds\wbload.exe
C:\WINDOWS\Explorer.EXE
C:\ATI-CPanel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\FRITZ!DSL\Awatch.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\Programme\MSN Messenger\msnmsgr.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinSweep\WSMonitor.exe
C:\Programme\frnDSL\frnDSL.exe
C:\Programme\WinSweep\WSPopup.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Marius Erlenbruch\Desktop\PROGRAMME\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.freenet.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.pzvhywjmlxabwbjaryaxgnw.net/PTbVc/iaatH/rcgTOcf0ZzXTZZ5TG4xuErBAIUvmwtH5C8Axg7WZaoTr029zE56o.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von freenet.de
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {75496230-6FDC-995D-7C36-AEB06ED70585} - C:\PROGRA~1\INFOFR~1\EXTRAPLUS.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &WINSWEEP Toolbar - {E915E62E-41DA-40D0-8106-3438B4D24394} - C:\Programme\WinSweep\SurfBar.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [ErrorActive] C:\PROGRA~1\SECOND~1\File Bore Kind.exe
O4 - HKLM\..\Run: [TestMealSoftFlag] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\send rdr test meal\upslow.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [WINSWEEP] C:\Programme\WinSweep\WinSweep.Exe /AUTO
O4 - HKCU\..\Run: [WINSWEEP Popupblocker] C:\Programme\WinSweep\WSPopup.Exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ 4.0 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O15 - Trusted Zone: www.bcf-clan.tk
O15 - Trusted Zone: www.counter-strike.de
O15 - Trusted Zone: www.google.de
O15 - Trusted Zone: http://www.kart-geiselhoering.tk
O15 - Trusted Zone: http://www.rallye-magazin.de
O16 - DPF: {14F65762-96FB-44B9-8DAC-93845F377A0E} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/de/filesharingctrl.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/05719b637321df4e7323/netzip/RdxIE601_de.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040105/qtinstall.info.apple.com/mickey/de/win/QuickTimeInstaller.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (Yahoo! Assistent) - http://us.dl1.yimg.com/download.companion.yahoo.com/dl/toolbar/yiebio5_3_18_0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3B887463-E043-44DE-ADF3-9FBA61315E5A}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{A1E86C58-18B5-47D8-A69F-5A4DB2D18CAA}: NameServer = 194.97.173.124 194.97.173.125
Seitenanfang Seitenende
06.09.2004, 23:39
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#201 @Counterdoc

FIXE

O2 - BHO: (no name) - {75496230-6FDC-995D-7C36-AEB06ED70585} - C:\PROGRA~1\INFOFR~1\EXTRAPLUS.exe
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.pzvhywjmlxabwbjaryaxgnw.net/PTbVc/iaatH/rcgTOcf0ZzXTZZ5TG4xuErBAIUvmwtH5C8Axg7WZaoTr029zE56o.html

O4 - HKLM\..\Run: [ErrorActive] C:\PROGRA~1\SECOND~1\File Bore Kind.exe
O4 - HKLM\..\Run: [TestMealSoftFlag] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\send r
ich hatte doch gepostet, dass du Winsweep nach Anwendung aus dem Autostart nehmen sollst....
O4 - HKCU\..\Run: [WINSWEEP] C:\Programme\WinSweep\WinSweep.Exe /AUTO
O4 - HKCU\..\Run: [WINSWEEP Popupblocker] C:\Programme\WinSweep\WSPopup.Exe

neustarten

Deinstalliere UNBEDINGT
C:\PROGRA~1\SECOND~1\File Bore Kind.exe
C:\PROGRA~1\INFOFR~1\EXTRAPLUS.exe
und loesche alles, was zum Programm gehoert.

# AboutBuster.
www.malwarebytes.biz/AboutBuster.zip
Alle Dateien in einen Ordner entpacken, die Readme Datei lesen, dann das Programm ausführen (evtl auch im abgesicherten Modus).
#AdAware (free)
http://www.lavasoft.de/support/download/
#Spysweeper
http://www.spysweeper.com/
#CWShredder 1.59 (schliesse vor dem Scann alle Browser-Fenster)
http://www.chip.de/downloads/c_downloads_11353799.html

Dann poste das Log noch mal.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 06.09.2004 um 23:40 Uhr von Sabina editiert.
Seitenanfang Seitenende
06.09.2004, 23:43
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#202

Zitat

tobiwan postete
hy nochmal
was hälts du denn vom neuen sp2 für xp..?
macht das für mich sinn...?
wir haben 2 laptops und einen standrechner via wireless lan im netzwerk...
das sp2 soll ziemlich strenge sicherheitseinstellungen haben...?
funktioniert das gut..?


hab noch ein anderes problem... meine festplatte 60gb funktioniert nicht mehr richtig.. bei grösseren dateien hängt sie ein bisschen...grosse videofiles ruckeln extrem....naja möcht ne neue kaufen ....und den ganzen inhalt der alten platte incl xp und den 100 anderen installierten programmen
auf die neue platte clonen...
gibt es da einen sicheren weg ...norton ghost..?
lg
SP2 ist zu empfehlen, obwohl es User gibt, die noch zum Abwarten raten.
Norton Ghost ist eine gute Alternative. Allerdings sollte dein System vorher sauber sein.

Defragmentiere und lade TuneUp2004 (30 Tage free) und saeubere, optimiere den PC.
http://wintotal.de/Tests/tuneup2004/tuneup2004.php
http://www.tuneup.de/

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 06.09.2004 um 23:46 Uhr von Sabina editiert.
Seitenanfang Seitenende
07.09.2004, 13:37
...neu hier

Beiträge: 5
#203 Logfile of HijackThis v1.97.7
Scan saved at 13:35:47, on 07.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Stardock\Object Desktop\WindowBlinds\wbload.exe
C:\WINDOWS\Explorer.EXE
C:\ATI-CPanel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\FRITZ!DSL\Awatch.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Dokumente und Einstellungen\Marius Erlenbruch\Desktop\PROGRAMME\HijackThis.exe
C:\WINDOWS\System32\wuauclt.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.otejjehscgnwumnfqalzvgzvk.biz/PTbVc/iaatH/rcgTOcf0ZzXTZZ5TG4xuErBAIUvmwtGzf6gGI/1VK4Tr029zE56o.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von freenet.de
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://C:\Programme\WinSweep\ws.js
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &WINSWEEP Toolbar - {E915E62E-41DA-40D0-8106-3438B4D24394} - C:\Programme\WinSweep\SurfBar.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: ICQ 4.0 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O15 - Trusted Zone: www.bcf-clan.tk
O15 - Trusted Zone: www.counter-strike.de
O15 - Trusted Zone: www.google.de
O15 - Trusted Zone: http://www.kart-geiselhoering.tk
O15 - Trusted Zone: http://www.rallye-magazin.de
O16 - DPF: {14F65762-96FB-44B9-8DAC-93845F377A0E} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/de/filesharingctrl.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/05719b637321df4e7323/netzip/RdxIE601_de.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040105/qtinstall.info.apple.com/mickey/de/win/QuickTimeInstaller.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (Yahoo! Assistent) - http://us.dl1.yimg.com/download.companion.yahoo.com/dl/toolbar/yiebio5_3_18_0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3B887463-E043-44DE-ADF3-9FBA61315E5A}: NameServer = 192.168.122.252,192.168.122.253
Seitenanfang Seitenende
07.09.2004, 21:22
...neu hier

Beiträge: 6
#204 hallo zusammen,

ich habe eine Frage und zwar erscheint als Startseite bei mir immer und wirklich immer "http://search200.com/". Obwohl ich im Ordner "Internetoption" jedesmal die Startseite ändere. Was kann ich nun tun?

Das ist mein erster Beitrage, naja vielmehr mein erstes Problem und deshalb würde ich mich echt freuen, wenn mir jemand helfen würde.
DANKE
Lulatsch3
Seitenanfang Seitenende
07.09.2004, 21:58
Member

Beiträge: 441
#205 @ lulatsch3

Hallo,

Erstelle ein Log-File mit HiJackThis
und poste es hier rein.
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung
Seitenanfang Seitenende
07.09.2004, 22:28
...neu hier

Beiträge: 6
#206 Hallo Cidre,
Danke für die schnelle Antwort und vielleicht kannste mir ja sogar helfen.Hab getan, was du gesagt hast...schaust dir mal an.

Logfile of HijackThis v1.98.2
Scan saved at 22:31:11, on 07.09.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\CursorXP\CursorXP.exe
C:\Programme\Webshots\WebshotsTray.exe
C:\WINDOWS\System32\mdm.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Real\RealOne Player\RealPlay.exe
C:\Dokumente und Einstellungen\Fadoua\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yejqlacgypkpluryxoo.biz/LnuDt_OhrTzlX/ECIAjKQrvEG9TDKtjIfG2O4bO_6iE.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.zestyfind.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.fbbkjunfxiwmxgae.org/LnuDt_OhrTxH04oywTy0cXG7uBpXIOXFlY4vnKJ7tRkqOCbRa6krVbRxHar6jyDx.asp
R3 - URLSearchHook: (no name) - {20EC3D2D-33C1-4C9D-BC37-C2D500688DA2} - C:\Programme\TV Media\TvmBho.dll
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O2 - BHO: CExtension Object - {0019C3E2-DD48-4A6D-AB2D-8D32436313D9} - C:\WINDOWS\bsx5.dll
O2 - BHO: Setup.Setup1 - {2E65A557-173C-4DE9-860B-28FC5CACA542} - C:\DOKUME~1\Fadoua\ANWEND~1\Setup\Setup.dll
O2 - BHO: (no name) - {4EEA8845-6909-4C41-F08D-474C840A56B3} - C:\PROGRA~1\ACTIVE~1\CLOCK MEOW.exe
O2 - BHO: CExtension Object - {A85C4A1B-BD36-44E5-A70F-8EC347D9B24F} - C:\WINDOWS\bs3.dll
O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\System32\nvms.dll
O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\System32\mscb.dll
O2 - BHO: Url Catcher - {CE31A1F7-3D90-4874-8FBE-A5D97F8BC8F1} - C:\WINDOWS\System32\apuc.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~2\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe -osboot
O4 - HKLM\..\Run: [KAZAA] C:\Programme\Kazaa\kazaa.exe /SYSTRAY
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Bsx3] RunDLL32.EXE C:\WINDOWS\bs3.dll,DllRun
O4 - HKLM\..\Run: [bxsx5] RunDLL32.EXE C:\WINDOWS\bsx5.dll,DllRun
O4 - HKLM\..\Run: [QD FastAndSafe] C:\PROGRA~1\NORTON~1\QDCSFS.exe /scheduler
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [WebSavingsfromEbates] wjview /cp:p "C:\Programme\WebSavingsfromEbates\System\Code" Main lp: "C:\Programme\WebSavingsfromEbates"
O4 - HKLM\..\Run: [hidecool] C:\PROGRA~1\KEEPBO~1\memocreative.exe
O4 - HKLM\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe
O4 - HKLM\..\Run: [BullsEye Network] C:\Programme\BullsEye Network\bin\bargains.exe
O4 - HKLM\..\Run: [surf iso download clock] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\grid mp3 surf iso\Managerlite.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [CursorXP] "C:\Programme\CursorXP\CursorXP.exe" -s
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe
O4 - Startup: Webshots.lnk = C:\Programme\Webshots\WebshotsTray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Web Savings - file://C:\Programme\WebSavingsfromEbates\System\Temp\ebateswebsavings_script0.htm
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe (file missing)
O9 - Extra button: Translate - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\Programme\LingoCom\Translator.lnk (file missing)
O9 - Extra 'Tools' menuitem: LingoWare Translator... - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\Programme\LingoCom\Translator.lnk (file missing)
O10 - Unknown file in Winsock LSP: c:\windows\system32\inetadpt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\inetadpt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\inetadpt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\inetadpt.dll
O16 - DPF: Interface Chat Voila - http://chat14.x-echo.com/version3/Applet/vchatsign.cab
O16 - DPF: Interface Chat Wanadoo - http://chat5.x-echo.com/version3/Applet/wchatsign.cab
O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} (InstallShield International Setup Player) - http://www.installengine.com/engine/isetup.cab
O16 - DPF: {F57D17AE-CE37-4BC8-B232-EA57747BE5E7} - http://66.230.146.53/EPlugin.cab

Lulatsch
Seitenanfang Seitenende
07.09.2004, 22:46
Member

Beiträge: 441
#207 Dein System ist nicht gepatcht!

Mache zuerst ein Windows Update http://v5.windowsupdate.microsoft.com/v5consumer/default.aspx und dann können wir eventuell dein System bereinigen. Danach ein neues Log posten.
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung
Seitenanfang Seitenende
07.09.2004, 22:49
...neu hier

Beiträge: 6
#208 an Cidre

Was heißt denn "gepatcht"??

Lulatsch
Seitenanfang Seitenende
07.09.2004, 23:31
Member

Beiträge: 441
#209 Patchen heißt flicken. Du kannst es dir so vorstellen: Dein System ist so löchrig wie ein Schweizer Käse oder offen wie ein Scheuentor und somit für jeden zugänglich. Schließe also dein Sicherheitslücken mit den Patches. Ansonsten ist eine Bereinigung sinnlos.
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung
Seitenanfang Seitenende
07.09.2004, 23:42
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#210 @Counterdoc
Mal ganz rigeros:

Fixe:
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.otejjehscgnwumnfqalzvgzvk.biz/PTbVc/iaatH/rcgTOcf0ZzXTZZ5TG4xuErBAIUvmwtGzf6gGI/1VK4Tr029zE56o.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://C:\Programme\WinSweep\ws.js
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (Yahoo! Assistent) - http://us.dl1.yimg.com/download.companion.yahoo.com/dl/toolbar/yiebio5_3_18_0.cab

neustarten

Gehe in die Registry
Start<Ausfuehren<regedit
Gib oben in die Suchfunktion der Registry ein:
<File Bore Kind
<EXTRAPLUS
loesche auf der rechten Seite (!) der Registry alles, was du findest.

neustarten


Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"

Suchfunktion von Windows:<alle Datein, auch versteckte< anzeigen lassen und suche und LOESCHE alles mit
<File Bore Kind
<EXTRAPLUS

Dann scanne noch mal mit mwav.exe und poste, was der Scanner als "infiziert" anzeigt und das neue Log noch mal.

UND MACHE DIE WINDOWSUPDATES, sonst wirst du hier Stammgast.....

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 07.09.2004 um 23:47 Uhr von Sabina editiert.
Seitenanfang Seitenende