Home » Spyware & Browser Hijacker Support Forum » "Search for..." Startseite kommt immer wieder! » Themenansicht

"Search for..." Startseite kommt immer wieder!

Thema ist geschlossen!
Thema ist geschlossen!
#0
07.09.2004, 23:52
lulatsch3
...neu hier

Beiträge: 6
#211 at CIdre

Danke vielmals für die Erklärung. Wie kann ich denn die Sicherheitslücken mit Patches schließen. Ich habe jetzt nur ne Windows Update gemacht.
Wie kommen denn solche Lücken rein??

Logfile of HijackThis v1.98.2
Scan saved at 23:54:36, on 07.09.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\mdm.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Fadoua\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis1982.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://xcimkparyhdikotmpwjgthdw.com/LnuDt_OhrTzlX/ECIAjKQn2o//PpAooifG2O4bO_6iE.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.dhmqgyibhhewcm.com/LnuDt_OhrTxH04oywTy0cXG7uBpXIOXFlY4vnKJ7tRmtUPNas9_rdLRxHar6jyDx.htm
R3 - URLSearchHook: (no name) - {20EC3D2D-33C1-4C9D-BC37-C2D500688DA2} - C:\Programme\TV Media\TvmBho.dll
O2 - BHO: (no name) - {4EEA8845-6909-4C41-F08D-474C840A56B3} - C:\PROGRA~1\ACTIVE~1\CLOCK MEOW.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [hidecool] C:\PROGRA~1\KEEPBO~1\memocreative.exe
O4 - HKLM\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O10 - Unknown file in Winsock LSP: c:\windows\system32\inetadpt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\inetadpt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\inetadpt.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\inetadpt.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094591567874
Seitenanfang Seitenende
07.09.2004, 23:59
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#212 Hallo @Lulatsch3

ohne Garantie , dass nach der Reinigung noch alles funktioniert....
Wiederherstellung deaktivieren
http://www.bsi.de/av/texte/winsave.htm

fixe mit dem HijackThis, dann sofort neustarten

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yejqlacgypkpluryxoo.biz/LnuDt_OhrTzlX/ECIAjKQrvEG9TDKtjIfG2O4bO_6iE.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.fbbkjunfxiwmxgae.org/LnuDt_OhrTxH04oywTy0cXG7uBpXIOXFlY4vnKJ7tRkqOCbRa6krVbRxHar6jyDx.asp
R3 - URLSearchHook: (no name) - {20EC3D2D-33C1-4C9D-BC37-C2D500688DA2} - C:\Programme\TV Media\TvmBho.dll
O4 - HKLM\..\Run: [hidecool] C:\PROGRA~1\KEEPBO~1\memocreative.exe
O4 - HKLM\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe
O4 - HKCU\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe

neustarten


http://www10.brinkster.com/expl0iter/freeatlast/L2M/ts.htm
Lade #Lspfix
http://www.spychecker.com/program/lspfix.html
und loesche <inetadpt.dll<

2.Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"

2.1.#Loesche:\Deinstalliere
C:\Programme\TV Media\Tvm.exe

3.die Host-Datei: in c:\Windows\System32\drivers\etc\hosts
(mit Editor oeffen)
Im Normalfall sollte dass hier drin stehen, alles andere loeschen
127.0.0.1 localhost
#Orginal Host Datei

4.Leere die Ordner und loesche die Dateien in :

• C:\Windows\Temp\...Start<Ausfuehren<%temp% reinkopieren

• C:\Documents and Settings\<Your Profile>\Local Settings\Temp\
• C:\Documents and Settings\<All other users Profile>\Local Settings\Temp\
• C:\Documents and Settings\<Your Profile>\Local Settings\Temporary Internet Files\
• C:\Documents and Settings\<All other users Profile>\Local Settings\Temporary Internet Files\
• Papierkorb

5.Spybot (Search&Destroy)
http://spybot.safer-networking.org/de/download/index.html
<AdAware (free)
http://www.lavasoft.de/support/download/

6.Escan<Virenscanner
http://www.rokop-security.de/board/index.php?showtopic=3867
#Gehe in den abgesicherten Modus (Scann mit mwav.exe ausfuehren)
http://www.bsi.de/av/texte/winsave.htm

7.Cwshredder
Lade <CWShredder (schliesse den Browser)und scanne
http://www.chip.de/downloads/c_downloads_11353799.html

8.AboutBuster.
www.malwarebytes.biz/AboutBuster.zip
Alle Dateien in einen Ordner entpacken, die Readme Datei lesen, dann das Programm ausführen (evtl auch im abgesicherten Modus).

9.#AdAware (free)
http://www.lavasoft.de/support/download/

Dann poste das Log vom HijackThis noch mal. (stelle vorher eine neue Startseite unter <Internetoptionen < ein

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 08.09.2004 um 00:20 Uhr von Sabina editiert.
Seitenanfang Seitenende
08.09.2004, 00:42
Tommytomson1
...neu hier

Beiträge: 10
#213 Guten Abend...,

mir kommt das hier bekannt vor..., ist hier die rede von:

BDS/HacDef.073.B.1 ???

Tommy
Seitenanfang Seitenende
08.09.2004, 00:47
lulatsch3
...neu hier

Beiträge: 6
#214 Einen schönen guten Morgen SAbine

Also habe versucht deine Anweisungen zu befolgen, allerdings hat nicht alles so funktioniert wie es funktionieren sollte.

Zunächst einmal lassen sich diese beiden nicht fixen.Wie bekomme ich sie weg???
O4 - HKLM\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe
O4 - HKCU\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe

Außerdem befindet sich in c:\Windows\System32\drivers\etc\hosts
(mit Editor oeffen) kein 127.0.0.1 localhost. Die vorderen Zahlen sind schon vorhanden, allerdings nicht der Name localhost.

fadoua
(jetzt gehe ich schlafen, morgen komme ich allerdings nochmal rein, danke schon mal jetzt für die Hilfe)

Lulatsch
Seitenanfang Seitenende
08.09.2004, 01:51
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#215

Zitat

lulatsch3 postete
Einen schönen guten Morgen SAbine

Also habe versucht deine Anweisungen zu befolgen, allerdings hat nicht alles so funktioniert wie es funktionieren sollte.

Zunächst einmal lassen sich diese beiden nicht fixen.Wie bekomme ich sie weg???
O4 - HKLM\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe
O4 - HKCU\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe

Außerdem befindet sich in c:\Windows\System32\drivers\etc\hosts
(mit Editor oeffen) kein 127.0.0.1 localhost. Die vorderen Zahlen sind schon vorhanden, allerdings nicht der Name localhost.

fadoua
(jetzt gehe ich schlafen, morgen komme ich allerdings nochmal rein, danke schon mal jetzt für die Hilfe)

Lulatsch
wenn du mit dem HijackThis scannst, dann die geposteten Eintraege anhaken und dann <fix< druecken und neustarten.

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yejqlacgypkpluryxoo.biz/LnuDt_OhrTzlX/ECIAjKQrvEG9TDKtjIfG2O4bO_6iE.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.fbbkjunfxiwmxgae.org/LnuDt_OhrTxH04oywTy0cXG7uBpXIOXFlY4vnKJ7tRkqOCbRa6krVbRxHar6jyDx.asp
R3 - URLSearchHook: (no name) - {20EC3D2D-33C1-4C9D-BC37-C2D500688DA2} - C:\Programme\TV Media\TvmBho.dll
O4 - HKLM\..\Run: [hidecool] C:\PROGRA~1\KEEPBO~1\memocreative.exe
O4 - HKLM\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe
O4 - HKCU\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe


Hosts:
127.0.0.1 das ist der korrekte Eintrag.

zu loesche waere, wenn es da ist:
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 08.09.2004 um 01:53 Uhr von Sabina editiert.
Seitenanfang Seitenende
08.09.2004, 21:07
Brige
...neu hier

Beiträge: 6
#216 Hallo zusammen

Ich bin neu hier!!! Mir kommt das aber bekannt vor. Bei mir kommt auch immer die Startseite "Search for..." immer wieder.

Immer wieder gehen auch neue Fenster auf, die mich auffordern die Spayware zu "killen". Wie ihr sicher schon gemerkt habt - Ich bin ein "Kompianfänger". Ich kenne mich nicht aus und habe auch Angst etwas falsches zu machen. Wer kann mir helfen? Wir haben Windows XP Home Edition und den Norton Antivirus.

Besten Dank für Eure Hilfe.
Brige
Seitenanfang Seitenende
09.09.2004, 00:02
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#217 Hallo @brige
Lade das HijackThis, scanne, save und dann kopiere das Log mit der Maus ins Forum.
http://www.downloads.subratam.org/hijackthis.zip
mfg
Sabina
;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.09.2004, 08:31
Brige
...neu hier

Beiträge: 6
#218 Hallo Sabina

Habe gestern Abend noch etwas rumprobiert. Heute sieht das Log so aus:

Logfile of HijackThis v1.98.2
Scan saved at 08:27:31, on 09.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\atiptaxx.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programme\Canon\MultiPASS4\monitr32.exe
C:\Programme\Canon\MultiPASS4\MPTBox.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Messenger\MSMSGS.EXE
C:\Programme\Microsoft Office\Office\MSOFFICE.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Canon\MultiPASS4\MPSERVIC.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Norton AntiVirus\OPScan.exe
C:\Dokumente und Einstellungen\Markus Müller\Eigene Dateien\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: FFAF - {1F48AA48-C53A-4E21-85E7-AC7CC6B5FFAF} - C:\DOKUME~1\MARKUS~1\LOKALE~1\Temp\msbnll.dll (file missing)
O2 - BHO: (no name) - {55FBF1A3-A909-4A41-A35D-B1089569C452} - C:\WINDOWS\System32\joj.dll (file missing)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [monitr32] C:\Programme\Canon\MultiPASS4\monitr32.exe
O4 - HKLM\..\Run: [MPTBox] C:\Programme\Canon\MultiPASS4\MPTBox.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background
O4 - Global Startup: Microsoft Office Shortcut-Leiste.lnk = C:\Programme\Microsoft Office\Office\MSOFFICE.EXE
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O17 - HKLM\System\CCS\Services\Tcpip\..\{3287FB25-C10B-440C-95A3-AEB62D9D974D}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{4339FDB5-B147-4469-ABF2-6E83166B2B7D}: NameServer = 194.230.1.136 194.230.1.200
O17 - HKLM\System\CS1\Services\Tcpip\..\{3287FB25-C10B-440C-95A3-AEB62D9D974D}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CS2\Services\Tcpip\..\{3287FB25-C10B-440C-95A3-AEB62D9D974D}: NameServer = 192.168.120.252,192.168.120.253
O18 - Filter: text/html - {E5A96CC3-D823-4EBA-A51C-211FCB724D93} - C:\WINDOWS\System32\joj.dll
O18 - Filter: text/plain - {E5A96CC3-D823-4EBA-A51C-211FCB724D93} - C:\WINDOWS\System32\joj.dll

Das mit der Startseite habe ich glaube ich wieder hingekriegt........

Vielen Dank für Deine Hilfe
Brige
Seitenanfang Seitenende
09.09.2004, 10:51
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#219 Hallo @brige

fixe
O2 - BHO: FFAF - {1F48AA48-C53A-4E21-85E7-AC7CC6B5FFAF} - C:\DOKUME~1\MARKUS~1\LOKALE~1\Temp\msbnll.dll (file missing)
O2 - BHO: (no name) - {55FBF1A3-A909-4A41-A35D-B1089569C452} - C:\WINDOWS\System32\joj.dll (file missing)
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O18 - Filter: text/html - {E5A96CC3-D823-4EBA-A51C-211FCB724D93} - C:\WINDOWS\System32\joj.dll
O18 - Filter: text/plain - {E5A96CC3-D823-4EBA-A51C-211FCB724D93} - C:\WINDOWS\System32\joj.dll


neustarten

#FindnFix:
http://www10.brinkster.com/expl0iter/freeatlast/FNF/
1. Entpacken
2. !LOG!.BAT anklicken...abwarten...
3. Log(log.txt) abkopieren und posten

#Start<Ausfuehren< reinkopieren:
regsvr32 /u C:\WINDOWS\System32\joj.dll
o.k.

neustarten

#Loeschen:
C:\WINDOWS\System32\joj.dll

#Loesche ALLE Dateien und leere ALLE Ordner:
(nicht die Ordner selbst loeschen !)
Start<Ausfuehren <(reinkopieren):
1) Start --> Ausfuehren --> typ ein: %systemroot%/temp
2) Start --> Ausfuehren --> typ ein: %temp%

Dann stelle eine Startseite ein und poste das Log noch mal.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 09.09.2004 um 10:58 Uhr von Sabina editiert.
Seitenanfang Seitenende
09.09.2004, 11:48
Brige
...neu hier

Beiträge: 6
#220 Hallo Sabina

Bis zum FindnFix bin ich gekommen. hier das Log.

Thu 09 Sep 04 11:39:30

»»»»»»»»»»»»»»»»»»***LOG!***(*updated *9/1*)»»»»»»»»»»»»»»»»

*System:
Microsoft Windows XP Home Edition 5.1 Service Pack 1 (Build 2600)
*IE version:
6.0.2800.1106 SP1-Q810847-Q813951-Q330994-Q837009-Q832894-Q831167-Q823353-Q867801



MS-DOS Version 5.00.500

*command.com test passed!

__________________________________
!!*Creating backups...!!
(*Backup already exist!)
11:39:30.68 09.09.2004
__________________________________

*Local time:
Donnerstag, 9. September 2004 (09.09.2004)
11:39, Westeuropäische Normalzeit
*Uptime:
11:39:34 up 0 days, 0:10:00

*Path:
C:\FINDnFIX
----------------------------------------------------
»»Member of...: ("ADMIN" logon + group match required!)

User is a member of group ELEPHANT\Kein.
User is a member of group \Jeder.
User is a member of group VORDEFINIERT\Administratoren.
User is a member of group VORDEFINIERT\Benutzer.
User is a member of group \LOKAL.
User is a member of group NT-AUTORITÄT\INTERAKTIV.
User is a member of group NT-AUTORITÄT\Authentifizierte Benutzer.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!


!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

User: [ELEPHANT\Markus Müller], is a member of:

VORDEFINIERT\Administratoren
\Everyone

Running in WORKSTATION MODE.

SystemDrive is C:
SystemRoot is C:\WINDOWS
Logon Domain is ELEPHANT
Administrator's Name is Markus Mller
Computer Name is ELEPHANT
LOGON SERVER is \\ELEPHANT

»»»»»»»»»»»»»»»»»»*** Note! ***»»»»»»»»»»»»»»»»
The list will produce a small database of files that will match certain criteria.
Ex: read only files, s/h files, last modified date. size, etc.
The filters provided and registry scan should match the
corresponding file(s) listed.
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Unless the file match the entire criteria, it should not be pointed to remove
without attempting to confirm it's nature!
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
At times there could be several (legit) files flagged, and/or duplicate culprit file(s)!
If in doubt, always search the file(s) and properties according to criteria!

The file(s) found should be moved to \FINDnFIX\"junkxxx" Subfolder

______________________________________________________________________________
***YOU NEED TO DISABLE YOUR ACTIVE ANTI VIRUS PROTECTION TO AVOID CONFLICTS!***
______________________________________________________________________________

......Scanning for file(s)...
*Note! The list(s) may include legitimate files!
»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»

»»»»» (*1*) »»»»» .........
»»Read access error(s)...

C:\WINDOWS\SYSTEM32\MS.DLL +++ File read error
\\?\C:\WINDOWS\System32\MS.DLL +++ File read error

»»»»» (*2*) »»»»»........
MS.DLL Can't Open!
MSCMS.DLL Can't Open!

»»»»» (*3*) »»»»»........

C:\WINDOWS\SYSTEM32\
ms.dll Mon 5 Jul 2004 20:00:44 A...R 57'344 56.00 K

1 item found: 1 file, 0 directories.
Total of file sizes: 57'344 bytes 56.00 K

unknown/hidden files...

No matches found.

»»»»» (*4*) »»»»».........
Sniffing..........
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.

Sniffed -> C:\WINDOWS\SYSTEM32\MS.DLL
SNiF 1.34 statistics

Matching files : 1 Amount in bytes : 57344
Directories searched : 1 Commands executed : 0

Masks sniffed for: *.DLL

»»»»»(*5*)»»»»»
¯ Access denied ® ..................... MS.DLL .....57344 05.07.2004

»»»»»(*6*)»»»»»
fgrep: can't open input C:\WINDOWS\SYSTEM32\MS.DLL
fgrep: can't open input C:\WINDOWS\SYSTEM32\MSCMS.DLL

»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»
»»»»»Search by size...
*List of files and specs according to 'size' :
*Note: Not all files listed here are infected, but *may include* the
name and spces of the offending file...
___________________________________________________________________________
Path: C:\WINDOWS\SYSTEM32 Including: *.DLL

617. Ms Dll 57,344 . . R . A 7-05-04 8:00 pm

____________________________________________________________________________
*By size and date...


C:\WINDOWS\SYSTEM32\
ms.dll Mon 5 Jul 2004 20:00:44 A...R 57'344 56.00 K

1 item found: 1 file, 0 directories.
Total of file sizes: 57'344 bytes 56.00 K

No matches found.

No matches found.

Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.

Sniffed -> C:\WINDOWS\SYSTEM32\MS.DLL
SNiF 1.34 statistics

Matching files : 1 Amount in bytes : 57344
Directories searched : 1 Commands executed : 0

Masks sniffed for: *.DLL
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.

SNiF 1.34 statistics

Matching files : 0 Amount in bytes : 0
Directories searched : 1 Commands executed : 0

Masks sniffed for: *.DLL
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.

SNiF 1.34 statistics

Matching files : 0 Amount in bytes : 0
Directories searched : 1 Commands executed : 0

Masks sniffed for: *.DLL

»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»


BHO search and other files...

fgrep: can't open input C:\WINDOWS\SYSTEM32\MS.DLL
fgrep: can't open input C:\WINDOWS\SYSTEM32\MSCMS.DLL


No matches found.

No matches found.

*sp.html found in temp folder:
--a-- - - - - - 7,976 09-08-2004 sp.html
File: <C:\DOKUME~1\MARKUS~1\LOKALE~1\Temp\sp.html> CRC-32 : 93866C48 MD5 : CE5B5B5B DFD4A959 9F4A95C7 6FA46BD2
*Filter keys search...
REGDMP: Unable to open key 'HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\text/html' (2)

--(*text/html Subkey was NOT FOUND!)--

REGDMP: Unable to open key 'HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\text/plain' (2)

--(*text/plain Subkey was NOT FOUND!)--

»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»
»»Size of Windows key:
(*Default-450 *No AppInit-398 *fake(infected)-448,504,512...)

Size of HKEY_LOCAL_MACHINE\software\microsoft\Windows NT\CurrentVersion\Windows: 448

»»Checking for AppInit_DLLs (empty) value...
________________________________
!"AppInit_DLLs"=""!

Value does not match
________________________________

»»Comparing *saved* key with *original*...

REGDIFF 2.1 - Freeware written by Gerson Kurz (http://www.p-nand-q.com)

Comparing File #1 (Keys1\winkey.reg) with File #2 (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows).

Value "AppInit_DLLs" in key "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" has different lengths (1 vs 27)

»»Dumping Values........
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs SZ
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\DeviceNotSelectedTimeout SZ 15
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\GDIProcessHandleQuota DWORD 00002710
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Spooler SZ yes
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\swapdisk SZ
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\TransmissionRetryTimeout SZ 90
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\USERProcessHandleQuota DWORD 00002710

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
AppInit_DLLs = (*** MISSING TRAILING NULL CHARACTER ***)
DeviceNotSelectedTimeout = 15
GDIProcessHandleQuota = REG_DWORD 0x00002710
Spooler = yes
swapdisk =
TransmissionRetryTimeout = 90
USERProcessHandleQuota = REG_DWORD 0x00002710

»»Security settings for 'Windows' key:


RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!

Access Control List for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
(ID-NI) ALLOW Read VORDEFINIERT\Benutzer
(ID-IO) ALLOW Read VORDEFINIERT\Benutzer
(ID-NI) ALLOW Full access VORDEFINIERT\Administratoren
(ID-IO) ALLOW Full access VORDEFINIERT\Administratoren
(ID-NI) ALLOW Full access NT-AUTORITŽT\SYSTEM
(ID-IO) ALLOW Full access NT-AUTORITŽT\SYSTEM
(ID-IO) ALLOW Full access ERSTELLER-BESITZER

Effective permissions for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
Read VORDEFINIERT\Benutzer
Full access VORDEFINIERT\Administratoren
Full access NT-AUTORITŽT\SYSTEM



»»Performing string scan....
00001150: vk 6 f AppInit_DLLs G
00001190: C : \ W I N D O W S \ S y s t e m 3 2 \ m s . d l l
000011D0: h vk UDeviceNotSelectedTimeout 1 5
00001210: 0 9 0 =t vk ' zGDIProcessHandle
00001250:Quota" vk x Spooler2 y e s _ h
00001290: ( X vk 5swapdisk vk
000012D0: . TransmissionRetryTimeout h ( X
00001310: vk ' erUSERProcessHandleQuotaad
00001350:
00001390:
000013D0:
00001410:
00001450:
00001490:
000014D0:
00001510:
00001550:
00001590:
000015D0:

---------- WIN.TXT
fùAppInit_DLLsÖæGÀÿÿÿC
--------------
--------------
$01180: AppInit_DLLs
$011EF: UDeviceNotSelectedTimeout
$0123F: zGDIProcessHandleQuota
$012D8: TransmissionRetryTimeout
$01326: erUSERProcessHandleQuotaad
--------------
--------------
C:\WINDOWS\System32\ms.dll
--------------
--------------
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710

.............
A handle was successfully obtained for the
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows key.
This key has 0 subkeys.
The AppInitDLLs value exists and reports as 54 bytes, including the 2 for string termination.

[AppInitDLLs]
Ansi string : "C:\WINDOWS\System32\ms.dll"
0000 43 00 3a 00 5c 00 57 00 49 00 4e 00 44 00 4f 00 | C.:.\.W.I.N.D.O.
0010 57 00 53 00 5c 00 53 00 79 00 73 00 74 00 65 00 | W.S.\.S.y.s.t.e.
0020 6d 00 33 00 32 00 5c 00 6d 00 73 00 2e 00 64 00 | m.3.2.\.m.s...d.
0030 6c 00 6c 00 00 00 | l.l...
-----------------------

»»»»»»Backups list...»»»»»»
11:41:11 up 0 days, 0:11:37
-----------------------
Thu 09 Sep 04 11:41:11


C:\FINDNFIX\
keyback.hiv Thu 9 Sep 2004 11:35:52 A.... 8'192 8.00 K

1 item found: 1 file, 0 directories.
Total of file sizes: 8'192 bytes 8.00 K

C:\FINDNFIX\KEYS1\
winkey.reg Thu 9 Sep 2004 11:35:54 A.... 287 0.28 K

1 item found: 1 file, 0 directories.
Total of file sizes: 287 bytes 0.28 K

*Temp backups...

"C:\Dokumente und Einstellungen\Markus Mller\Lokale Einstellungen\Temp\Backs2\"
keyback2.hi_ 9 Sep 2004 8192 "keyback2.hi_"
winkey2.re_ 9 Sep 2004 287 "winkey2.re_"

2 items found: 2 files, 0 directories.
Total of file sizes: 8'479 bytes 8.28 K
-D---- JUNKXXX 00000000 11:35.52 09/09/2004
A----- STARTIT .BAT 00000060 11:39.32 09/09/2004

________________________________________________________________________________
***THE FIX IS NOT COMPATIBLE WITH EARLIER;UNPATCHED VERSIONS OF WIN2K'(SP3 and BELLOW)'
AND/OR LAX OF SECURITY UPDATES AND SERVICE PACKS FOR ALL PLATFORMS!
MINIMAL REQUIREMENTS INCLUDE:
_________XP HOME/PRO; SP1; IE6/SP1
_________2K/SP4; IE6/SP1
________________________________________________________________________________
»»»»»*** www10.brinkster.com/expl0iter/freeatlast/FNF/ ***»»»»»
-----END------
Thu 09 Sep 04 11:41:12


wie ist das genau mit dem reinkopieren? wie mache ich das? Du siehst, ich bin ein völliger Anfänger!!!
Vielen Dank für Deine Hilfe
Brige
Seitenanfang Seitenende
09.09.2004, 12:18
raman
Moderator

Beiträge: 7805
#221 Versuche es bitte mal hiermit und schreibe, ob das Tool etwas gefunden hat.
http://securityresponse.symantec.com/avcenter/venc/data/backdoor.agent.b.removal.tool.html
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
09.09.2004, 13:40
lulatsch3
...neu hier

Beiträge: 6
#222 hey Sabine,

ich werd hier echt noch verrückt, wieso will diese dumme Startseite nicht weg!!!
Ich hab echt gemacht, was du wolltest, aber diese ....

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yejqlacgypkpluryxoo.biz/LnuDt_OhrTzlX/ECIAjKQrvEG9TDKtjIfG2O4bO_6iE.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.fbbkjunfxiwmxgae.org/LnuDt_OhrTxH04oywTy0cXG7uBpXIOXFlY4vnKJ7tRkqOCbRa6krVbRxHar6jyDx.asp
R3 - URLSearchHook: (no name) - {20EC3D2D-33C1-4C9D-BC37-C2D500688DA2} - C:\Programme\TV Media\TvmBho.dll
O4 - HKLM\..\Run: [hidecool] C:\PROGRA~1\KEEPBO~1\memocreative.exe
O4 - HKLM\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe
O4 - HKCU\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe

.. lassen sich einfach nicht fixen, was soll nun machen. Die kommen nach einem NEustart immer und immer wieder???
Hier nochmal mein Log, damit du es noch mal siehst!!!
HIIiiiiiiiiiilllllllllllllllllllfffffffffffffffffffffeeeeeeeeeeeeeeee!!!!!!!!!!!!


Logfile of HijackThis v1.98.2
Scan saved at 13:41:14, on 09.09.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Internet Explorer\iexplore.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\mdm.exe
C:\Dokumente und Einstellungen\Fadoua\Lokale Einstellungen\Temp\Temporäres Verzeichnis 5 für hijackthis1982.zip\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.jcieuggupiurayne.com/LnuDt_OhrTxH04oywTy0cXG7uBpXIOXFlY4vnKJ7tRkBcHO_6GbjBbRxHar6jyDx.jpg
R3 - URLSearchHook: (no name) - {20EC3D2D-33C1-4C9D-BC37-C2D500688DA2} - C:\Programme\TV Media\TvmBho.dll
O2 - BHO: (no name) - {4EEA8845-6909-4C41-F08D-474C840A56B3} - C:\PROGRA~1\ACTIVE~1\CLOCK MEOW.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe -osboot
O4 - HKLM\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094591567874


lulatsch3
Seitenanfang Seitenende
09.09.2004, 14:36
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#223 @lulatsch3
fixe:
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.jcieuggupiurayne.com/LnuDt_OhrTxH04oywTy0cXG7uBpXIOXFlY4vnKJ7tRkBcHO_6GbjBbRxHar6jyDx.jpg
R3 - URLSearchHook: (no name) - {20EC3D2D-33C1-4C9D-BC37-C2D500688DA2} - C:\Programme\TV Media\TvmBho.dll

bevor du sie fixt, deaktiviere sie im Taskmanager
O4 - HKLM\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe
O4 - HKCU\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe

neustarten

Gehe in die Registry
Start<Ausfuehren<regedit

loesche auf der rechten Seite der Registry (wenn es da ist;)
<HKLM\Software\Microsoft\Windows\Current Version\RunOnce\
[TV Media] C:\Programme\TV Media\Tvm.exe

loesche auf der rechten Seite der Registry(wenn es da ist;)
<HKCU\Software\Microsoft\Windows\Current Version\RunOnce\
[TV Media] C:\Programme\TV Media\Tvm.exe

loesche auf der rechten Seite der Registry;)wenn es da ist;)
<HKCR\CLSID\{707E6F76-9FFB-4920-A976-EA101271BC25} - C:\Programme\TV Media\TvmBho.dll
loesche auf der rechten Seite der Registry:
<HKCR\CLSID\{20EC3D2D-33C1-4C9D-BC37-C2D500688DA2}- C:\Programme\TV Media\TvmBho.dll

Gib dann oben links in die Suchfunktion der Registry ein:
<Tvm
<TV Media
<TvmBho.dll
und loesche rechts in der Registry alles, was noch angezeigt wird

schliesse die Registry und starte neu (!!!!!!!!!!!!!)

#ordner *TV Media(Tvm.exe, TvmBho.dll, TvmCore.dll.) loeschen
...........................................................................................................
#Escan<Virenscanner
http://www.rokop-security.de/board/index.php?showtopic=3867
#Gehe in den abgesicherten Modus (Scann mit mwav.exe ausfuehren)
http://www.bsi.de/av/texte/winsave.htm

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 09.09.2004 um 14:48 Uhr von Sabina editiert.
Seitenanfang Seitenende
09.09.2004, 21:33
Brige
...neu hier

Beiträge: 6
#224 Hallo Raman

Es hat ETWAS gefunden. Hier der Bericht:

Symantec Backdoor.Agent.B Removal Tool 1.0.1.2

process: winlogon.exe, thread: 00000288 (terminated)
process: services.exe, thread: 000002D0 (terminated)
process: lsass.exe, thread: 000002F0 (terminated)
process: svchost.exe, thread: 00000394 (terminated)
process: svchost.exe, thread: 000003E0 (terminated)
process: svchost.exe, thread: 00000478 (terminated)
process: svchost.exe, thread: 000004A8 (terminated)
process: ccSetMgr.exe, thread: 00000580 (terminated)
process: explorer.exe, thread: 000005A4 (terminated)
process: ccEvtMgr.exe, thread: 000005DC (terminated)
process: spoolsv.exe, thread: 00000694 (terminated)
process: SOUNDMAN.EXE, thread: 0000076C (terminated)
process: atiptaxx.exe, thread: 0000077C (terminated)
process: iTouch.exe, thread: 000007D8 (terminated)
process: Directcd.exe, thread: 000007EC (terminated)
process: monitr32.exe, thread: 000000A0 (terminated)
process: mptbox.exe, thread: 000000B0 (terminated)
process: ccApp.exe, thread: 000007D4 (terminated)
process: msmsgs.exe, thread: 000000BC (terminated)
process: EM_EXEC.EXE, thread: 0000016C (terminated)
process: MSOFFICE.EXE, thread: 0000019C (terminated)
process: OSA.EXE, thread: 000001CC (terminated)
process: WZQKPICK.EXE, thread: 000001F8 (terminated)
process: alg.exe, thread: 00000220 (terminated)
process: mpservic.exe, thread: 00000378 (terminated)
process: NAVAPSVC.EXE, thread: 00000510 (terminated)
process: SAVSCAN.EXE, thread: 000005D4 (terminated)
process: svchost.exe, thread: 00000714 (terminated)
process: IEXPLORE.EXE, thread: 00000BC4 (terminated)
process: FxAgentB[1].exe, thread: 00000B58 (terminated)

registry: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows: AppInit_DLLs (value set to "")

C:\System Volume Information: (not scanned)
C:\WINDOWS\system32\ms.dll: (will be deleted on next reboot)

The Backdoor.Agent.B removal was successful.
The system will delete 1 Backdoor.Agent.B files from your PC on next reboot.

Here is the report:

1 file(s) could not be deleted.
They will be deleted on next reboot.

The total number of the scanned files: 28316
The number of deleted files: 0
The number of viral processes terminated: 0
The number of viral threads terminated: 30
The number of registry entries fixed: 1

The tool initiated a system reboot.

Ist jetzt alles wieder i.O.?

Besten Dank für Deine Antwort.
Brige
Seitenanfang Seitenende
10.09.2004, 00:27
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#225 Hallo Brige
jetzt, wo der Ausloeser der verstellten Startseite *ein Backdoor
fgrep: can't open input C:\WINDOWS\SYSTEM32\MS.DLL
fgrep: can't open input C:\WINDOWS\SYSTEM32\MSCMS.DLL

sichtbar geworden ist und du ihn mit Symantec geleoscht hast, solltest du deinen Antivirensoftware neu installieren.
Um einschaetzen zu koennen, ob wieder alles o.k ist, poste das Log vom HijackThis.
Gruss
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 10.09.2004 um 00:31 Uhr von Sabina editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: