"Search for..." Startseite kommt immer wieder!Thema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
10.03.2005, 11:43
...neu hier
Beiträge: 9 |
||
|
||
10.03.2005, 12:38
Member
Beiträge: 11 |
#392
Hallo liebe Leute!
Tjaaaaa, hab das gleiche Problem...wenn sich also jemand der Sache annehmen könnte wäre ich seeeeehr glücklich. +++ Logfile of HijackThis v1.99.1 Scan saved at 12:34:16, on 10.03.2005 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\PROGRAMME\NETWORK ASSOCIATES\VIRUSSCAN\AVSYNMGR.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\PROGRAMME\NETWORK ASSOCIATES\VIRUSSCAN\VSSTAT.EXE C:\PROGRAMME\NETWORK ASSOCIATES\VIRUSSCAN\VSHWIN32.EXE C:\PROGRAMME\NETWORK ASSOCIATES\VIRUSSCAN\AVCONSOL.EXE C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAMME\CREATIVE\NEWS\NEWSUPD.EXE C:\PROGRAMME\CREATIVE\SHAREDLL\CTNOTIFY.EXE C:\PROGRAMME\WINAMP\WINAMPA.EXE C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE C:\WINDOWS\RUNDLL32.EXE C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\FINDFAST.EXE C:\PROGRAMME\CREATIVE\SHAREDLL\MEDIADET.EXE C:\PROGRAMME\WINZIP\WZQKPICK.EXE C:\WINDOWS\SYSTEM\LEXBCES.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\WINDOWS\SYSTEM\RPCSS.EXE C:\WINDOWS\SYSTEM\LEXPPS.EXE C:\T-Online\BSW3\ONLINE.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\T-ONLINE\BSW3\TODUCALC.EXE C:\PROGRAMME\WINAMP\WINAMP.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE C:\WINDOWS\DESKTOP\SECURITY\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRAMME\ICQTOOLBAR\TOOLBAR.DLL O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRAMME\ICQTOOLBAR\TOOLBAR.DLL O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [NewsUpd] C:\Programme\Creative\News\NewsUpd.EXE /q O4 - HKLM\..\Run: [Disc Detector] C:\Programme\Creative\ShareDLL\CtNotify.exe O4 - HKLM\..\Run: [WinampAgent] "C:\PROGRAMME\WINAMP\WINAMPa.exe" O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min O4 - HKLM\..\Run: [LexStart] lexstart.exe O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe O4 - HKLM\..\RunServices: [McAfeeVirusScanService] C:\Programme\Network Associates\VirusScan\AVSYNMGR.EXE O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE O4 - Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\PROGRAMME\ICQTOOLBAR\TOOLBAR.DLL/SEARCH.HTML O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm +++ Hab 98 ME und vielleicht sollte ich noch ergänzend hinzufügen dass der Hijack Fix von Rokop nix findet - er meint es es läge keine Infektion vor... thx in advance! interot |
|
|
||
10.03.2005, 12:44
Moderator
Beiträge: 7805 |
#393
Wenn das Log komplett ist, bitte im abgesicherten Modus starten und das fixen:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall Dann noch alles in diesem Ordner loeschen: C:\WINDOWS\TEMP und neu starten. Wenn das das problem beseitigt haben solte, okay, wenn nicht dann ein neues Log posten. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
10.03.2005, 13:49
...neu hier
Beiträge: 9 |
#394
Hallo Sabina
und Helfer hier im Forum, ich hab nochmal das ganze Programm durchgemacht und dabei folgendes festgestellt: 1. der Eintrag „SearchAssistantUninstall“ taucht in der registry nicht mehr auf! (also auch kein *.dll mehr abzulesen) 2. C:\WINDOWS\TEMP\SE.DLL war noch vorhanden. KillBox hat es in C:\submit abgelegt. Es ist aber versteckt und wird nicht angezeigt. 3. Der CWSShredder hat wieder nichts gefunden. 4. Dafür ist eScan richtig fündig geworden. Für mich Laien sieht es so aus, als ob sogar meine Sicherheitstools wie killbox angegriffen sind ...!? Sabina, hast Du eine Ahnung, was man noch tun könnte. Oder muss ich wirklich die Notbremse „Neuformatierung“ ziehen? Liebe Grüße und herzlichen Dank für Deine Mühe (das muss mal wieder gesagt werden) Jochen P.S.: Ich hab die Ergebnisse aus eScan, startdreck und hijackthis angehängt und hoffe, es hilft. Thu Mar 10 12:46:33 2005 => File C:\WINDOWS\SYSTEM\ceal.dll infected by "Trojan.Win32.StartPage.qr" Virus. Action Taken: No Action Taken. Thu Mar 10 12:54:10 2005 => File C:\WINDOWS\SYSTEM\ceal.dll infected by "Trojan.Win32.StartPage.qr" Virus. Action Taken: No Action Taken. Thu Mar 10 13:02:21 2005 => Scanning Folder: C:\Programme\Sicherheit\INFECTED\*.* Thu Mar 10 13:02:21 2005 => Scanning File C:\Programme\Sicherheit\INFECTED\71C8CFF4.30D Thu Mar 10 13:02:22 2005 => File C:\Programme\Sicherheit\INFECTED\71C8CFF4.30D infected by "Trojan.Win32.StartPage.uz" Virus. Action Taken: No Action Taken. Thu Mar 10 13:02:22 2005 => Scanning File C:\Programme\Sicherheit\INFECTED\#INDEX# Thu Mar 10 13:02:22 2005 => Scanning File C:\Programme\Sicherheit\INFECTED\46528080.22C Thu Mar 10 13:02:22 2005 => File C:\Programme\Sicherheit\INFECTED\46528080.22C infected by "Trojan.Win32.StartPage.uz" Virus. Action Taken: No Action Taken. Thu Mar 10 13:02:22 2005 => Scanning File C:\Programme\Sicherheit\INFECTED\0B89F418.2E9 Thu Mar 10 13:02:22 2005 => File C:\Programme\Sicherheit\INFECTED\0B89F418.2E9 infected by "Trojan.Win32.StartPage.uz" Virus. Action Taken: No Action Taken. Thu Mar 10 13:03:29 2005 => File C:\Programme\Sicherheit\Hijack This\backups\backup-20050308-093929-471.dll infected by "Trojan.Win32.StartPage.qr" Virus. Action Taken: No Action Taken. Thu Mar 10 13:06:47 2005 => File C:\!Submit\SE.DLL infected by "Trojan.Win32.StartPage.uz" Virus. Action Taken: No Action Taken. Thu Mar 10 13:09:51 2005 => File C:\WINDOWS\SYSTEM\ceal.dll infected by "Trojan.Win32.StartPage.qr" Virus. Action Taken: No Action Taken. Thu Mar 10 13:14:23 2005 => ***** Scanning complete. ***** Thu Mar 10 13:14:23 2005 => Total Files Scanned: 17213 Thu Mar 10 13:14:23 2005 => Total Virus(es) Found: 10 Thu Mar 10 13:14:23 2005 => Total Disinfected Files: 0 Thu Mar 10 13:14:23 2005 => Total Files Renamed: 0 Thu Mar 10 13:14:23 2005 => Total Deleted Files: 0 Thu Mar 10 13:14:23 2005 => Total Errors: 27 Thu Mar 10 13:14:23 2005 => Time Elapsed: 00:30:32 Thu Mar 10 13:14:23 2005 => Virus Database Date: 2005/03/07 Thu Mar 10 13:14:23 2005 => Virus Database Count: 120659 Thu Mar 10 13:14:23 2005 => Scan Completed. StartDreck (build 2.1.7 public stable) - 2005-03-10 @ 13:36:52 (GMT +01:00) Platform: Windows 98 (Win 4.10.1998 ) Internet Explorer: 5.00.2919.6307 Logged in as ST6-1b at SANNE »Registry »Run Keys »Current User »Run *Matrox QuickDesk=C:\Programme\Matrox MGA PowerDesk\QDesk\mgaqdesk.exe »RunOnce »Default User »Run *Matrox QuickDesk=C:\Programme\Matrox MGA PowerDesk\QDesk\mgaqdesk.exe »RunOnce »Local Machine »Run *Matrox Control Center=C:\Programme\Matrox MGA PowerDesk\mgactrl.exe *Matrox Color Control=C:\Programme\Matrox MGA PowerDesk\Color\hgcctl95.exe *Matrox Diagnostic=C:\Programme\Matrox MGA PowerDesk\diag\mgadiag.exe -s *Atikey=Atitask.exe *AtiCwd32=Aticwd32.exe *ScanRegistry=C:\WINDOWS\scanregw.exe /autorun *TaskMonitor=C:\WINDOWS\taskmon.exe *LoadPowerProfile=Rundll32.exe powrprof.dll,LoadCurrentPwrScheme *SystemTray=SysTray.Exe *EVENTLISTENER=C:\Programme\Nikon\NkView\EvLstnr.exe *sp=rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall »RunOnce »RunServices *LoadPowerProfile=Rundll32.exe powrprof.dll,LoadCurrentPwrScheme *SchedulingAgent=C:\WINDOWS\SYSTEM\mstask.exe »RunServicesOnce »RunOnceEx »RunServicesOnceEx »Files »System/Drivers »Application specific Logfile of HijackThis v1.99.1 Scan saved at 13:48:05, on 10.03.05 Platform: Windows 98 Gold (Win9x 4.10.1998) MSIE: Internet Explorer v5.00 (5.00.2919.6304) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\ATITASK.EXE C:\WINDOWS\SYSTEM\ATICWD32.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAMME\NIKON\NKVIEW\EVLSTNR.EXE C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\WINWORD.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\PROGRAMME\SICHERHEIT\HIJACK THIS\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.vd-bw.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SICHER~1\SPYBOT~1\SDHELPER.DLL O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [Matrox Control Center] C:\Programme\Matrox MGA PowerDesk\mgactrl.exe O4 - HKLM\..\Run: [Matrox Color Control] C:\Programme\Matrox MGA PowerDesk\Color\hgcctl95.exe O4 - HKLM\..\Run: [Matrox Diagnostic] C:\Programme\Matrox MGA PowerDesk\diag\mgadiag.exe -s O4 - HKLM\..\Run: [Atikey] Atitask.exe O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [EVENTLISTENER] C:\Programme\Nikon\NkView\EvLstnr.exe O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe O4 - HKCU\..\Run: [Matrox QuickDesk] C:\Programme\Matrox MGA PowerDesk\QDesk\mgaqdesk.exe O4 - HKCU\..\RunServices: [Matrox QuickDesk] C:\Programme\Matrox MGA PowerDesk\QDesk\mgaqdesk.exe O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O12 - Plugin for .psd: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin2.dll O12 - Plugin for .wav: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O14 - IERESET.INF: START_PAGE_URL=http://www.vd-bw.de O14 - IERESET.INF: MS_START_PAGE_URL=http://www.msn.de |
|
|
||
10.03.2005, 13:58
Ehrenmitglied
Beiträge: 29434 |
#395
Hallo@jochen01
Hijacker about:blank - se.dll\sp.html http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html poste dann das Log vom Scann Loesche mit der Killbox: C:\WINDOWS\SYSTEM\ceal.dll C:\Programme\Sicherheit\Hijack This\backups\backup-20050308-093929-471.dll C:\!Submit\SE.DLL C:\WINDOWS\TEMP\SE.DLL PC neustarten Dann poste noch mal das Log von Startdreck __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
10.03.2005, 17:14
...neu hier
Beiträge: 9 |
#396
Hallo Sabina,
das Spezialprogramm hat leider gar nichts gefunden ;-( (Hängt unten an) Jetzt hoffe ich nur, dass die Killbox stark genug war ... (Startdreck kommt eins weiter unten) Liebe Grüße Jochen 10.03.05 17:02:57 SPSeHjFix started v1.06 10.03.05 17:02:57 OS: 2 10.03.05 17:02:57 Bad-Dll(IEP): (not found) 10.03.05 17:02:57 BHO-DLL: (not found) 10.03.05 17:02:57 UBF: 4 10.03.05 17:02:57 UBB: 0 10.03.05 17:02:57 UBR: 14 10.03.05 17:02:57 Run-Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\sp=rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall (deleted) 10.03.05 17:02:57 File added to delete: C:\WINDOWS\TEMP\SE.DLL 10.03.05 17:02:57 Bad IE-pages found: 10.03.05 17:02:57 Stealth-String not found: 10.03.05 17:02:57 Not infected->END StartDreck (build 2.1.7 public stable) - 2005-03-10 @ 17:12:19 (GMT +01:00) Platform: Windows 98 (Win 4.10.1998 ) Internet Explorer: 5.00.2919.6307 Logged in as ST6-1b at SANNE »Registry »Run Keys »Current User »Run *Matrox QuickDesk=C:\Programme\Matrox MGA PowerDesk\QDesk\mgaqdesk.exe »RunOnce »Default User »Run *Matrox QuickDesk=C:\Programme\Matrox MGA PowerDesk\QDesk\mgaqdesk.exe »RunOnce »Local Machine »Run *Matrox Control Center=C:\Programme\Matrox MGA PowerDesk\mgactrl.exe *Matrox Color Control=C:\Programme\Matrox MGA PowerDesk\Color\hgcctl95.exe *Matrox Diagnostic=C:\Programme\Matrox MGA PowerDesk\diag\mgadiag.exe -s *Atikey=Atitask.exe *AtiCwd32=Aticwd32.exe *ScanRegistry=C:\WINDOWS\scanregw.exe /autorun *TaskMonitor=C:\WINDOWS\taskmon.exe *LoadPowerProfile=Rundll32.exe powrprof.dll,LoadCurrentPwrScheme *SystemTray=SysTray.Exe *EVENTLISTENER=C:\Programme\Nikon\NkView\EvLstnr.exe »RunOnce »RunServices *LoadPowerProfile=Rundll32.exe powrprof.dll,LoadCurrentPwrScheme *SchedulingAgent=C:\WINDOWS\SYSTEM\mstask.exe »RunServicesOnce »RunOnceEx »RunServicesOnceEx »Files »System/Drivers »Application specific |
|
|
||
11.03.2005, 14:38
Ehrenmitglied
Beiträge: 29434 |
#397
nun poste bitte das neue Log vom HijackThis--> es scheint, das Problem ist geloest
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
11.03.2005, 16:37
...neu hier
Beiträge: 2 |
#398
Hilfe! Hab auch diese Seite am Hals, was soll ich tun? Ich kenne mich mit sowas überhaupt nicht aus und hoffe, dass mir hier geholfen werden kann. Mein Log:
Logfile of HijackThis v1.99.1 Scan saved at 16:24:59, on 11.03.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\Programme\TOSHIBA\Power Management\CeEPwrSvc.exe C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Apoint2K\Apoint.exe C:\Programme\TOSHIBA\PadTouch\PadExe.exe C:\WINDOWS\AGRSMMSG.exe C:\Programme\TOSHIBA\Power Management\CePMTray.exe C:\Programme\TOSHIBA\E-KEY\CeEKey.exe C:\Programme\TOSHIBA\TouchPad\TPTray.exe C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe C:\WINDOWS\System32\ZoomingHook.exe C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe C:\Programme\Apoint2K\Apntex.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\ltmoh\ltmoh.exe C:\Programme\Messenger\msmsgs.exe C:\DOKUME~1\Silvia\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =res://C:\DOKUME~1\Silvia\LOKALE~1\Temp\se.dll/sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Silvia\LOKALE~1\Temp\se.dll/sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: InstaFinderK - {4E7BD74F-2B8D-469E-90F0-F66AB581A933} - C:\Programme\INSTAFINK\instafink.dll O2 - BHO: (no name) - {50E99625-3726-4E38-8CD7-0DC94A81F13B} - C:\WINDOWS\system32\modf.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [PadTouch] "C:\Programme\TOSHIBA\PadTouch\PadExe.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [CeEPOWER] C:\Programme\TOSHIBA\Power Management\CePMTray.exe O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe O4 - HKLM\..\Run: [SmoothView] C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe O4 - HKLM\..\Run: [ZoomingHook] c:\WINDOWS\System32\ZoomingHook.exe O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [IS CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\cfgwiz.exe /GUID NIS /CMDLINE "REBOOT" O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [sp] rundll32 C:\DOKUME~1\Silvia\LOKALE~1\Temp\se.dll,DllInstall O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: eBay - {C61A2E0E-6D7E-4555-ACA0-50DB2CD83D4B} - C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe (HKCU) O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab O18 - Filter: text/html - {B3306D26-843A-4B0A-B520-5CE538203951} - C:\WINDOWS\system32\modf.dll O18 - Filter: text/plain - {B3306D26-843A-4B0A-B520-5CE538203951} - C:\WINDOWS\system32\modf.dll O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: CeEPwrSvc - COMPAL ELECTRONIC INC. - C:\Programme\TOSHIBA\Power Management\CeEPwrSvc.exe O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe |
|
|
||
11.03.2005, 17:04
...neu hier
Beiträge: 1 |
#399
Hi
hab voll probs mit dem rechner hab kein plan Logfile of HijackThis v1.99.1 Scan saved at 5:00:03 PM, on 3/11/2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\nvsvc32.exe C:\Program Files\Windows ControlAd\WinCtlAd.exe C:\Programme\Winamp\winampa.exe C:\Program Files\Windows ControlAd\WinCtlAdAlt.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\ICQ\Icq.exe C:\Programme\AVWin\AVWUPSRV.EXE C:\Programme\AVWin\AVGUARD.EXE C:\Programme\AVWin\AVESVC.EXE C:\Programme\AVWin\AVGNT.EXE C:\WINDOWS\system32\NOTEPAD.EXE C:\Dokumente und Einstellungen\Theron Koppel\Desktop\hijackthis_199\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01 O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\localNRD.dll O2 - BHO: (no name) - {1D7E3B41-23CE-469B-BE1B-A64B877923E1} - C:\PROGRA~1\SEARCH~2\SEARCH~1.DLL O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [svc] rundll32.exe O4 - HKLM\..\Run: [secure] c:\windows\system32\secure\rundll32.exe O4 - HKLM\..\Run: [Windows ControlAd] C:\Program Files\Windows ControlAd\WinCtlAd.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVWin\AVGNT.EXE" /min O4 - HKLM\..\Run: [AVWUpd32] "C:\PROGRA~1\AVWin\Avwupd32.EXE" /min O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O10 - Broken Internet access because of LSP provider 'avsda.dll' missing O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409 O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab O23 - Service: AntiVir Mail Security Service (AntiVirMailService) - H+BEDV Datentechnik GmbH - C:\Programme\AVWin\AVMAILC.EXE O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVWin\AVGUARD.EXE O23 - Service: AVE Service (AVEService) - H+BEDV Datentechnik GmbH - C:\Programme\AVWin\AVESVC.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVWin\AVWUPSRV.EXE O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe ___________________________________________________ lsass.exe smss.exe wie krieg ich die weg ? |
|
|
||
12.03.2005, 08:45
...neu hier
Beiträge: 2 |
#400
Bitte, ich brauche schnell Rat!!!
|
|
|
||
12.03.2005, 11:00
...neu hier
Beiträge: 9 |
#401
Hallo Sabina,
ich hatte bisher wieder absolute Ruhe: keine aufpoppenden Fenster, keine Fehlermeldungen, keine fiesen Meldungen ... alles wie immer (freu!!!)! Ich hoffe natürlich, dass ich mich nicht zu früh freue und nicht irgendein Trojaner noch im Pferdebauch sitzt und nur darauf wartet bis es dunkel ist ... Jedenfalls bin ich absolut begeistert von Euem Forum und Deiner Hilfe im besonderen. Ich weiss, dass der Sinn eines solchen Forums in der nicht-kommerziellen gegenseitigen Hilfe besteht. Ich würde mich dennoch gerne in irgendeiner Form erkenntlich zeigen. Du bekommst noch eine pn. Liebe Grüße Jochen P.S.: Vielleicht magst Du Dir ja das Hijackthis logfile noch ansehen und mir sagen, ob ich "clean" bin. Logfile of HijackThis v1.99.1 Scan saved at 10:53:24, on 12.03.05 Platform: Windows 98 Gold (Win9x 4.10.1998) MSIE: Internet Explorer v5.00 (5.00.2919.6304) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\ATITASK.EXE C:\WINDOWS\SYSTEM\ATICWD32.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAMME\NIKON\NKVIEW\EVLSTNR.EXE C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE C:\PROGRAMME\OUTLOOK EXPRESS\MSIMN.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\WINDOWS\SYSTEM\PSTORES.EXE C:\PROGRAMME\SICHERHEIT\HIJACK THIS\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.vd-bw.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SICHER~1\SPYBOT~1\SDHELPER.DLL O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [Matrox Control Center] C:\Programme\Matrox MGA PowerDesk\mgactrl.exe O4 - HKLM\..\Run: [Matrox Color Control] C:\Programme\Matrox MGA PowerDesk\Color\hgcctl95.exe O4 - HKLM\..\Run: [Matrox Diagnostic] C:\Programme\Matrox MGA PowerDesk\diag\mgadiag.exe -s O4 - HKLM\..\Run: [Atikey] Atitask.exe O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [EVENTLISTENER] C:\Programme\Nikon\NkView\EvLstnr.exe O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe O4 - HKCU\..\Run: [Matrox QuickDesk] C:\Programme\Matrox MGA PowerDesk\QDesk\mgaqdesk.exe O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O12 - Plugin for .psd: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin2.dll O12 - Plugin for .wav: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O14 - IERESET.INF: START_PAGE_URL=http://www.vd-bw.de O14 - IERESET.INF: MS_START_PAGE_URL=http://www.msn.de |
|
|
||
12.03.2005, 14:45
Ehrenmitglied
Beiträge: 29434 |
#402
Hallo@jochen01
Das Log ist sauber Ein Hoch auf @Seeker, der das Tool kurzfristig entwickelt hat #Alternativbrowser zum IE Firefox http://www.firefox-browser.de/windows.php http://www.mozilla-europe.org/de/ Installation+Konfiguration Firefox http://www.pcwelt.de/know-how/software/103924/index1.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
12.03.2005, 14:46
Ehrenmitglied
Beiträge: 29434 |
#403
Hallo@silvia19
Hijacker about:blank - se.dll\sp.html http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html dann gehe in den abgesicherten Modus und loesche: C:\Programme\INSTAFINK\instafink.dll suche auch in der Registry Start-->Ausfuehren-->regedit-- nach allem von INSTAFINK InstaFinderK instafink.dll {4E7BD74F-2B8D-469E-90F0-F66AB581A933} (Bearbeiten--> suchen-->....)--> mit rechtsklick loeschen __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
12.03.2005, 15:05
Ehrenmitglied
Beiträge: 29434 |
#404
Hallo@Deaqon
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\localNRD.dll O2 - BHO: (no name) - {1D7E3B41-23CE-469B-BE1B-A64B877923E1} - C:\PROGRA~1\SEARCH~2\SEARCH~1.DLL O4 - HKLM\..\Run: [svc] rundll32.exe O4 - HKLM\..\Run: [secure] c:\windows\system32\secure\rundll32.exe O4 - HKLM\..\Run: [Windows ControlAd] C:\Program Files\Windows ControlAd\WinCtlAd.exe PC neustarten •KillBox http://www.bleepingcomputer.com/files/killbox.php •Delete File on Reboot <--anhaken C:\Program Files\Windows ControlAd\WinCtlAdAlt.exe C:\Program Files\Windows ControlAd\WinCtlAd.exe c:\windows\system32\rundll32\svchost.exe c:\windows\system32\secure\rundll32.exe C:\PROGRA~1\SEARCH~2\SEARCH~1.DLL C:\WINDOWS\localNRD.dll und klick auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" PC neustarten <Lade clrav-->klicke an und es beginnt ein automatischer Scann unter DOS http://www.kaspersky.com/de/removaltools?vtopen=146410248#open •Trend-Micro (Online) http://de.trendmicro-europe.com/consumer/products/housecall_launch.php http://de.trendmicro-europe.com/enterprise/products/housecall_pre.php •BitDefender Scan http://www.bitdefender.de/scan/licence.html www.bitdefender.com/scan/Msie/index.php •Online-Scann <f-secure< http://support.f-secure.com/enu/home/ols.shtml •eScan-Erkennungstool eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich: http://www.mwti.net/antivirus/free_utilities.asp oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche kavupd.exe, die klickst du an--> (Update- in DOS) ausführen und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen : Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory -->mwav.exe oeffnen-->alle Haekchen setzen-->scannen-->View Log anklicken--> Bearbeiten anklicken--> "infected" reinschreiben und nun alles rauskopieren, was angezeigt wird--> __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
10.04.2005, 15:49
...neu hier
Beiträge: 4 |
#405
Hallo an alle
Ich sag nur "SEARCH FOR.." -Problem Sabina, wenn du kurz mal zwischen den 10000 Antworten die du tägl. gibst für mich zeit hättest ... Meine Log File: (10.4.05 15:31:29) SPSeHjFix started v1.1.1 (10.4.05 15:31:29) OS: WinXP Service Pack 1 (5.1.2600) (10.4.05 15:31:29) Language: deutsch (10.4.05 15:31:31) Disinfection started (10.4.05 15:31:31) Bad-Dll(IEP): c:\dokume~1\rakzero\lokale~1\temp\se.dll (10.4.05 15:31:31) Searchassistant Uninstaller found: regsvr32 /s /u C:\WINDOWS\System32\ekpm.dll (10.4.05 15:31:31) Searchassistant Uninstaller - Keys Deleted (10.4.05 15:31:31) FilterKey: HKCR\text/html (deleted) (10.4.05 15:31:31) FilterKey: HKCR\CLSID\{8B7B3776-36F2-4B65-8B8A-E80358A530EE} (deleted) (10.4.05 15:31:31) FilterKey: HKLM\SOFTWARE\Classes\text/html (error while deleting) (10.4.05 15:31:31) FilterKey: HKCR\text/plain (deleted) (10.4.05 15:31:31) FilterKey: HKCR\CLSID\{8B7B3776-36F2-4B65-8B8A-E80358A530EE} (error while deleting) (10.4.05 15:31:31) FilterKey: HKLM\SOFTWARE\Classes\text/plain (error while deleting) (10.4.05 15:31:31) BHO-Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BAE9288B-CBDB-448D-9989-91F8D6121B42} (file missing: deleted) (10.4.05 15:31:31) BHO-Key: HKCR\CLSID\{BAE9288B-CBDB-448D-9989-91F8D6121B42} (file missing: deleted) (10.4.05 15:31:31) UBF: 6 (10.4.05 15:31:31) UBB: 2 (10.4.05 15:31:31) UBR: 15 (10.4.05 15:31:31) Run-Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\sp=rundll32 C:\DOKUME~1\Rakzero\LOKALE~1\Temp\se.dll,DllInstall (deleted) (10.4.05 15:31:31) Bad IE-pages: deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Bar: res://c:\dokume~1\rakzero\lokale~1\temp\se.dll/spage.html deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Page: about:blank deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank deleted: HKCU\Software\Microsoft\Internet Explorer\Main, HomeOldSP: about:blank deleted: HKCU\Software\Microsoft\Internet Explorer\Search, SearchAssistant: about:blank deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Bar: res://c:\dokume~1\rakzero\lokale~1\temp\se.dll/spage.html deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Page: about:blank deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank deleted: HKLM\Software\Microsoft\Internet Explorer\Main, HomeOldSP: about:blank deleted: HKLM\Software\Microsoft\Internet Explorer\Search, SearchAssistant: about:blank (10.4.05 15:31:31) Stealth-String not found (10.4.05 15:31:31) Temp-Files delete on Reboot (10.4.05 15:31:31) File added to delete: c:\windows\system32\ekpm.dll (10.4.05 15:31:31) File added to delete: c:\dokume~1\rakzero\lokale~1\temp\se.dll (10.4.05 15:31:31) File added to delete: c:\dokume~1\rakzero\lokale~1\temp\~dfa21f.tmp (10.4.05 15:31:31) Reboot (10.4.05 15:32:27) SPSeHjFix started v1.1.1 (10.4.05 15:32:27) OS: WinXP Service Pack 1 (5.1.2600) (10.4.05 15:32:27) Language: deutsch (10.4.05 15:34:13) Disinfection started (10.4.05 15:34:13) Bad-Dll(IEP): (not found) (10.4.05 15:34:13) Bad-Dll(IEP) in BHO: (not found) (10.4.05 15:34:13) UBF: 4 (10.4.05 15:34:13) UBB: 1 (10.4.05 15:34:13) UBR: 14 (10.4.05 15:34:13) Bad IE-pages: (none) (10.4.05 15:34:13) Stealth-String not found (10.4.05 15:34:13) Not infected->END Ist jetzt alles in Ordnung? Einstweilen (3 min nach dem Reboot) nimmt er eine neue Startseite an. |
|
|
||
ich konnte die Dateien, die Du mir angegeben hast selbst nicht löschen, deshalb war es super, dass Du mir den neuen Programmtipp gegeben hast. Ich hab jetzt gelöscht und beim Neustart auch schon die Fehlermeldung RUNDLL bekommen, C:\WINDOWS\WAZD.BMP wurde nicht gefunden (also hat’s wohl geklappt).
Dummerweise geht nach wie vor immer wieder ein Fenster selbsttätig auf mit dem bekannten Verweis auf meinen langsamen Rechner und mögliche spyware-Angriffe.
Ich hab jetzt mal die logfiles von Hijackthis, Startdreck und Silentrunners angehängt, die Du zuletzt sehen wolltest und hoffe, Du findest was . Ansonsten mache ich jetzt einfach nochmal die Prozedur Killbox-ClaerProg-CWShredder-escan (kann ja wohl nicht schaden, oder?) und schicke dann nochmal einen startdreck-Auszug. Was meinst Du?
Liebe Grüße
Jochen
Logfile of HijackThis v1.99.1
Scan saved at 10:45:22, on 10.03.05
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v5.00 (5.00.2919.6304)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\ATITASK.EXE
C:\WINDOWS\SYSTEM\ATICWD32.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\NIKON\NKVIEW\EVLSTNR.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\PROGRAMME\SICHERHEIT\HIJACK THIS\HIJACKTHIS.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.vd-bw.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SICHER~1\SPYBOT~1\SDHELPER.DLL
O2 - BHO: (no name) - {2A4EF305-EA86-49DD-B483-04C376EF87D7} - C:\WINDOWS\SYSTEM\GMAFL.DLL (file missing)
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [Matrox Control Center] C:\Programme\Matrox MGA PowerDesk\mgactrl.exe
O4 - HKLM\..\Run: [Matrox Color Control] C:\Programme\Matrox MGA PowerDesk\Color\hgcctl95.exe
O4 - HKLM\..\Run: [Matrox Diagnostic] C:\Programme\Matrox MGA PowerDesk\diag\mgadiag.exe -s
O4 - HKLM\..\Run: [Atikey] Atitask.exe
O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [EVENTLISTENER] C:\Programme\Nikon\NkView\EvLstnr.exe
O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe
O4 - HKCU\..\Run: [Matrox QuickDesk] C:\Programme\Matrox MGA PowerDesk\QDesk\mgaqdesk.exe
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .psd: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin2.dll
O12 - Plugin for .wav: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.vd-bw.de
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.msn.de
StartDreck (build 2.1.7 public stable) - 2005-03-10 @ 10:52:42 (GMT +01:00)
Platform: Windows 98 (Win 4.10.1998 )
Internet Explorer: 5.00.2919.6307
Logged in as ST6-1b at SANNE
»Registry
»Run Keys
»Current User
»Run
*Matrox QuickDesk=C:\Programme\Matrox MGA PowerDesk\QDesk\mgaqdesk.exe
»RunOnce
»Default User
»Run
*Matrox QuickDesk=C:\Programme\Matrox MGA PowerDesk\QDesk\mgaqdesk.exe
»RunOnce
»Local Machine
»Run
*Matrox Control Center=C:\Programme\Matrox MGA PowerDesk\mgactrl.exe
*Matrox Color Control=C:\Programme\Matrox MGA PowerDesk\Color\hgcctl95.exe
*Matrox Diagnostic=C:\Programme\Matrox MGA PowerDesk\diag\mgadiag.exe -s
*Atikey=Atitask.exe
*AtiCwd32=Aticwd32.exe
*ScanRegistry=C:\WINDOWS\scanregw.exe /autorun
*TaskMonitor=C:\WINDOWS\taskmon.exe
*LoadPowerProfile=Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
*SystemTray=SysTray.Exe
*EVENTLISTENER=C:\Programme\Nikon\NkView\EvLstnr.exe
*sp=rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall
»RunOnce
»RunServices
*LoadPowerProfile=Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
*SchedulingAgent=C:\WINDOWS\SYSTEM\mstask.exe
»RunServicesOnce
»RunOnceEx
»RunServicesOnceEx
»Files
»System/Drivers
»Application specific
"Silent Runners.vbs", revision 32, http://www.silentrunners.org/
Operating System: Windows 98
Output limited to non-default values, except where indicated by "{++}"
Startup items buried in registry:
---------------------------------
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"Matrox QuickDesk" = "C:\Programme\Matrox MGA PowerDesk\QDesk\mgaqdesk.exe" ["Matrox Graphics Inc."]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"Matrox Control Center" = "C:\Programme\Matrox MGA PowerDesk\mgactrl.exe" ["Matrox Graphics Inc."]
"Matrox Color Control" = "C:\Programme\Matrox MGA PowerDesk\Color\hgcctl95.exe" ["Sonnetech Ltd."]
"Matrox Diagnostic" = "C:\Programme\Matrox MGA PowerDesk\diag\mgadiag.exe -s" ["Matrox Graphics Inc."]
"Atikey" = "Atitask.exe" ["ATI Technologies, Inc."]
"AtiCwd32" = "Aticwd32.exe" ["ATI Technologies Inc."]
"ScanRegistry" = "C:\WINDOWS\scanregw.exe /autorun" [MS]
"TaskMonitor" = "C:\WINDOWS\taskmon.exe" [MS]
"LoadPowerProfile" = "Rundll32.exe powrprof.dll,LoadCurrentPwrScheme" [MS]
"SystemTray" = "SysTray.Exe" [MS]
"EVENTLISTENER" = "C:\Programme\Nikon\NkView\EvLstnr.exe" ["FotoNation Inc."]
"sp" = "rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall" [MS]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\ {++}
"LoadPowerProfile" = "Rundll32.exe powrprof.dll,LoadCurrentPwrScheme" [MS]
"SchedulingAgent" = "C:\WINDOWS\SYSTEM\mstask.exe" [MS]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\SICHER~1\SPYBOT~1\SDHELPER.DLL" ["Safer Networking Limited"]
{2A4EF305-EA86-49DD-B483-04C376EF87D7}\(Default) = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\SYSTEM\GMAFL.DLL" [file not found]
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{BDA77241-42F6-11d0-85E2-00AA001FE28C}" = "LDVP Shell Extensions"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\GEMEIN~1\SYMANT~1\SSC\VPSHELL2.DLL" ["Symantec Corporation"]
"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Exchange"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Windows Messaging\mlshext.dll" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office\olkfstub.dll" [MS]
"{992CFFA0-F557-101A-88EC-00DD010CCC48}" = "DFÜ-Netzwerk"
-> {CLSID}\InProcServer32\(Default) = "rnaui.dll" [MS]
"{2E9D3540-211C-11d0-A5F2-00A0248C37BE}" = "Nero Shell Extension Property Sheet"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ahead\Nero\neroshx.dll" ["ahead software gmbh im stoeckmaedle 6 76307 karlsbad, germany Fax: ++49-7248-911-888 e-mail: info@ahead.de"]
"{C56C4E21-706D-11D0-AFC5-444553540003}" = "Nikon View"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Nikon\NkView\MLCamView.dll" ["FotoNation Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRAMME\SICHERHEIT\rarext.dll" [null data]
WIN.INI & SYSTEM.INI launch points:
-----------------------------------
SYSTEM.INI
[boot]
"SCRNSAVE.EXE=C:\WINDOWS\SYSTEM\DUNKLE~1.SCR" (Dunkler Bildschirm.scr) [MS]
Startup items in "Startup" & "All Users...Startup" folders:
-----------------------------------------------------------
C:\WINDOWS\Startmenü\Programme\Autostart
"Microsoft-Indexerstellung" -> shortcut to: "C:\Programme\Microsoft Office\Office\FINDFAST.EXE" [MS]
"Office-Start" -> shortcut to: "C:\Programme\Microsoft Office\Office\OSA.EXE -b" [MS]
Enabled Scheduled Tasks:
------------------------
"Programmstart beschleunigen" -> launches: "walign" [MS]
Winsock2 Service Provider DLLs:
-------------------------------
Namespace Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "C:\WINDOWS\SYSTEM\rnr20.dll" [MS]
Transport Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
00000000000#\PackedCatalogItem (contains) DLL [Company Name], (at) # range:
C:\WINDOWS\SYSTEM\mswsosp.dll [MS], 1
C:\WINDOWS\SYSTEM\msafd.dll [MS], 2 - 4
C:\WINDOWS\SYSTEM\rsvpsp.dll [MS], 5 - 6
Internet Explorer Address Prefixes:
-----------------------------------
Prefix for specific service (i.e., "www")
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefixes\
HIJACK WARNING! "ftp." = "ftp://"
HIJACK WARNING! "gopher." = "gopher://"
HIJACK WARNING! "home." = "http://"
HIJACK WARNING! "mosaic." = "http://"
----------
This report excludes default entries except where indicated.
To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
----------