Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Wieder mal http://a-search.biz/ + Mein LOG File

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 16.11.2004, 17:29   #1
Performance
 
Wieder mal http://a-search.biz/ + Mein LOG File - Standard

Wieder mal http://a-search.biz/ + Mein LOG File



Adaware und Spybot finden nix. Auch Antivir bringt nix.

Könnt ihr mir helfen, geht um a-search.biz, was als Startseite eingestellt ist und sich nicht ändern läßt, außerdem ständig blöde pop-ups ect.

----------

Logfile of HijackThis v1.98.2
Scan saved at 18:23:07, on 16.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVWin\AVGUARD.EXE
C:\Programme\AVWin\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVWin\AVGNT.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Student\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://pac.lrz-muenchen.de
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride =
F2 - REG:system.ini: UserInit=Userinit.exe,
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVWin\AVGNT.EXE /min
O4 - HKLM\..\Run: [AVWUpd32] C:\PROGRA~1\AVWin\Avwupd32.EXE /min
O4 - HKLM\..\Run: [ActiveXUpdate] C:\WINDOWS\System32\smvss.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: Corel Network monitor worker - {2C670F95-7E0F-43FC-983F-393E4D237BFD} - (no file)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {2C670F95-7E0F-43FC-983F-393E4D237BFD} - (no file)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra button: Corel Network monitor worker - {2C670F95-7E0F-43FC-983F-393E4D237BFD} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {2C670F95-7E0F-43FC-983F-393E4D237BFD} - (no file) (HKCU)
O10 - Broken Internet access because of LSP provider 'avsda.dll' missing
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1097337926271
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7664F0CA-2F03-4B4C-9A82-9424BA6820A9}: NameServer = 141.84.225.226,129.187.10.25,129.187.16.1

----------

Alt 16.11.2004, 17:41   #2
steveman
 

Wieder mal http://a-search.biz/ + Mein LOG File - Standard

Wieder mal http://a-search.biz/ + Mein LOG File



Hallo,

das solltest du fixen:

O9 - Extra button: Corel Network monitor worker - {2C670F95-7E0F-43FC-983F-393E4D237BFD} - (no file)

O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {2C670F95-7E0F-43FC-983F-393E4D237BFD} - (no file)

O9 - Extra button: Corel Network monitor worker - {2C670F95-7E0F-43FC-983F-393E4D237BFD} - (no file) (HKCU)

O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {2C670F95-7E0F-43FC-983F-393E4D237BFD} - (no file) (HKCU)

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/...all/xscan53.cab
__________________


Alt 16.11.2004, 21:00   #3
*Christian*
Gast
 
Wieder mal http://a-search.biz/ + Mein LOG File - Standard

Wieder mal http://a-search.biz/ + Mein LOG File



Scanne mal mit eScan im abg. Modus: http://www.trojaner-board.de/42731-escan-anleitung.html


Wo wird was gefunden?
__________________

Alt 16.11.2004, 23:34   #4
Performance
 
Wieder mal http://a-search.biz/ + Mein LOG File - Standard

Wieder mal http://a-search.biz/ + Mein LOG File



Zitat:
File C:\WINDOWS\System32\TGBRFV_5.dll infected by "Trojan-Downloader.Win32.Zlob.d" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSCOM.dll infected by "TrojanDownloader.Win32.Small.zq" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\loadclean.exe infected by "Trojan-Downloader.Win32.Small.vn" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\SYSCOM.dll infected by "TrojanDownloader.Win32.Small.zq" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\twink64.exe infected by "Trojan-Downloader.Win32.Small.vn" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Student\LOKALE~1\Temp\fpkc.dat infected by "Trojan.Win32.StartPage.od" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Student\LOKALE~1\Temp\iekj.dat infected by "TrojanDownloader.Win32.Small.mt" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Student\LOKALE~1\Temp\nbfg.dat infected by "TrojanDropper.Win32.Small.mf" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Student\LOKALE~1\Temp\fofj.dat infected by "TrojanDropper.Win32.Small.ja" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Student\LOKALE~1\TEMPOR~1\Content.IE5\SDAJAXAF\xtrayinst[1].exe infected by "Trojan.Win32.VB.jl" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\SYSCOM.dll infected by "TrojanDownloader.Win32.Small.zq" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\twink64.exe infected by "Trojan-Downloader.Win32.Small.vn" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSCOM.dll infected by "TrojanDownloader.Win32.Small.zq" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\loadclean.exe infected by "Trojan-Downloader.Win32.Small.vn" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Student\Lokale Einstellungen\Temp\fpkc.dat infected by "Trojan.Win32.StartPage.od" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Student\Lokale Einstellungen\Temp\iekj.dat infected by "TrojanDownloader.Win32.Small.mt" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Student\Lokale Einstellungen\Temp\nbfg.dat infected by "TrojanDropper.Win32.Small.mf" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Student\Lokale Einstellungen\Temp\fofj.dat infected by "TrojanDropper.Win32.Small.ja" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Student\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SDAJAXAF\xtrayinst[1].exe infected by "Trojan.Win32.VB.jl" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Student\Eigene Dateien\Eigene Dateien\Fireball.ace tagged as not-a-virus:NetTool.Scanner.FireBall. No Action Taken.
File C:\Dokumente und Einstellungen\Student\Eigene Dateien\Eigene Dateien\ffxp143.zip tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Dokumente und Einstellungen\Student\Eigene Dateien\Eigene Dateien\revelation.zip tagged as not-a-virus:RiskWare.PSWTool.SnadBoy.11. No Action Taken.
File C:\Dokumente und Einstellungen\Student\Eigene Dateien\Eigene Dateien\s7ge22.zip infected by "Backdoor.SubSeven.22.a" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Student\Eigene Dateien\Eigene Dateien\s721g.zip infected by "Backdoor.SubSeven.21.Gold" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Student\Eigene Dateien\Eigene Dateien\xray2.rar infected by "HackTool.Win32.Xray.a" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Student\Eigene Dateien\Eigene Dateien\ss22.zip infected by "Backdoor.SubSeven.22.a" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Student\Eigene Dateien\Eigene Dateien\Brutus.zip tagged as not-a-virus:RiskWare.PSWTool.Brutus. No Action Taken.
File C:\Dokumente und Einstellungen\Student\Eigene Dateien\Eigene Dateien\wwwhack.zip infected by "HackTool.Win32.WwwHack.a" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Student\Eigene Dateien\Eigene Dateien\Audiograbber 1.8.rar tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Dokumente und Einstellungen\Student\Eigene Dateien\Eigene Dateien\Unsecure.zip tagged as not-a-virus:Cracker.UnSecure.12. No Action Taken.
File C:\Dokumente und Einstellungen\Student\Eigene Dateien\Eigene Dateien\tightvnc-1.2.8-setup.exe tagged as not-a-virus:RiskWare.RemoteAdmin.WinVNC-based.b. No Action Taken.
File C:\Dokumente und Einstellungen\Student\Eigene Dateien\Eigene Dateien\pod25ins.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Dokumente und Einstellungen\Student\Eigene Dateien\Eigene Dateien\mirc612.exe tagged as not-a-virus:RiskWare.mIRC.6.12. No Action Taken.
File C:\Dokumente und Einstellungen\Student\Eigene Dateien\Eigene Dateien\revelation\Revelation.exe tagged as not-a-virus:RiskWare.PSWTool.SnadBoy.11. No Action Taken.
File C:\Dokumente und Einstellungen\Student\Eigene Dateien\Eigene Dateien\brutus\BrutusA2.exe tagged as not-a-virus:RiskWare.PSWTool.Brutus. No Action Taken.
File C:\Dokumente und Einstellungen\Student\Eigene Dateien\Quake 3\Check for Quake III Arena Updates.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Dokumente und Einstellungen\Student\Eigene Dateien\Quake 3\Extras\WorldNet\PCVKIT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Dokumente und Einstellungen\Student\4.dat infected by "TrojanDropper.Win32.Small.hx" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Student\3.dat infected by "Trojan.Win32.Small.aj" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Student\1.dat infected by "Trojan.Win32.Dialer.bk" Virus. Action Taken: No Action Taken.
File C:\Programme\AVWin\INFECTED\HOME[1].EXE.VIR infected by "TrojanDropper.Win32.Small.hx" Virus. Action Taken: No Action Taken.
File C:\Programme\AVWin\INFECTED\WINLOGON[1].EXE.VIR infected by "Trojan.Win32.Small.aj" Virus. Action Taken: No Action Taken.
File C:\Programme\mIRC\mirc.exe tagged as not-a-virus:RiskWare.mIRC.6.16. No Action Taken.
File C:\Programme\HTTP-Tunnel NG\nopey.exe tagged as not-a-virus:RiskWare.Tool.WindowsControl.163. No Action Taken.
File C:\System Volume Information\_restore{F87507D2-97E3-4088-AD63-B726C035C45B}\RP71\A0012373.dll infected by "Trojan-Downloader.Win32.Zlob.d" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{F87507D2-97E3-4088-AD63-B726C035C45B}\RP72\A0012408.dll infected by "Trojan-Downloader.Win32.Zlob.d" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{F87507D2-97E3-4088-AD63-B726C035C45B}\RP72\A0012425.dll infected by "Trojan-Downloader.Win32.Zlob.d" Virus. Action Taken: No Action Taken.
File J:\Downloadz\Audiograpper.zip tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File J:\Downloadz\httptunnel_setup.exe tagged as not-a-virus:RiskWare.Tool.WindowsControl.163. No Action Taken.
File J:\Downloadz\mirc616.exe tagged as not-a-virus:RiskWare.mIRC.6.16. No Action Taken.
File J:\Downloadz\setup_mp3tool_1.5.3.2.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
Und nu? Wie bekomm ich die runter?

Alt 16.11.2004, 23:41   #5
*Christian*
Gast
 
Wieder mal http://a-search.biz/ + Mein LOG File - Standard

Wieder mal http://a-search.biz/ + Mein LOG File



Leere deinen Temp- und Temp.-Internet-Files-Ordner mit dem Tool Clearprog.
Leere deinen AntiVir-Qurantäne-Ordner.
Deaktiviere die Systemwiederherstellung -> Neustart -> Aktiviere die Systemwiederherstellung

Scanne dann nochmal mit eScan.

Die jetzt gefundenen Dateien wirst du wohl manuell im abg. Modus löschen müssen.


Wenn du dies alles gemacht hast, dann poste mal ein neues HijackThis-Log.


Alt 16.11.2004, 23:53   #6
Performance
 
Wieder mal http://a-search.biz/ + Mein LOG File - Standard

Wieder mal http://a-search.biz/ + Mein LOG File



Wie deaktiviere ich die Systemwiederherstellung?

Alt 17.11.2004, 00:02   #7
Lidius
 
Wieder mal http://a-search.biz/ + Mein LOG File - Standard

Wieder mal http://a-search.biz/ + Mein LOG File



Systemwiederherstellung (Einfach dem Link folgen)

Alt 17.11.2004, 00:32   #8
Performance
 
Wieder mal http://a-search.biz/ + Mein LOG File - Standard

Wieder mal http://a-search.biz/ + Mein LOG File



So hab jetzt alles entfernt im abgesicherten Modus, außer die TGBRFV_5.DLL, die konnte ich nicht entfernen, weil sie angeblich verwendet wird.

Jetzt ist auch meine Startseite wieder normal, aber auch nur, weil mein Spybot gleich beim Windows Start die Änderung geblockt hat, also irgendwas scheint es immer noch zu laden.

Hier die LOG File:

Zitat:
Logfile of HijackThis v1.98.2
Scan saved at 01:28:20, on 17.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Student\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://pac.lrz-muenchen.de
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride =
F2 - REG:system.ini: UserInit=Userinit.exe,TGBRFV_
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O10 - Broken Internet access because of LSP provider 'avsda.dll' missing
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1097337926271
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} -
O17 - HKLM\System\CCS\Services\Tcpip\..\{7664F0CA-2F03-4B4C-9A82-9424BA6820A9}: NameServer = 141.84.225.226,129.187.10.25,129.187.16.1
Danke für die bisherige Hilfe!!!

Alt 17.11.2004, 00:43   #9
Lidius
 
Wieder mal http://a-search.biz/ + Mein LOG File - Standard

Wieder mal http://a-search.biz/ + Mein LOG File



Wieder Systemwiederherstellung abschalten und nochmal im abgesicherten modus booten

http://www.cexx.org/lspfix.htm LSP fix herunterladen (bevor du in den abgesicherten modus gehst) um damit den O10 Eintrag zu reparieren.

Folgenden eintrag mit HijackThis fixen:
F2 - REG:system.ini: UserInit=Userinit.exe,TGBRFV_

Danach rebooten, wieder in den abgesicherten modus gehen und dann müsste sich die TGBRFV_5.DLL löschen lassen.

Danach wieder in den normalen modus booten und systemwiederherstellung wieder einschalten.

Alt 17.11.2004, 01:01   #10
Performance
 
Wieder mal http://a-search.biz/ + Mein LOG File - Standard

Wieder mal http://a-search.biz/ + Mein LOG File



Juhu, ich bin clean

Wenn du mir noch verraten könntest, was es mit diesen O16 Einträgen auf sich hat, denn die kann ich nirgens einordnen.

Zitat:
Logfile of HijackThis v1.98.2
Scan saved at 01:59:11, on 17.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Student\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://pac.lrz-muenchen.de
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride =
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1097337926271
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} -
O17 - HKLM\System\CCS\Services\Tcpip\..\{7664F0CA-2F03-4B4C-9A82-9424BA6820A9}: NameServer = 141.84.225.226,129.187.10.25,129.187.16.1
Vielen vielen Dank nochmal

Alt 17.11.2004, 01:10   #11
Lidius
 
Wieder mal http://a-search.biz/ + Mein LOG File - Standard

Wieder mal http://a-search.biz/ + Mein LOG File



Den könntest du noch fixen weil er überflüssig ist:
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} -

Der andere O16 hat mit Windowsupdate zutun, ist also nichts schlimmes. Wo wir grade beim Thema sind, SP2 könntest du auch mal installieren.

Alt 17.11.2004, 19:44   #12
Performance
 
Wieder mal http://a-search.biz/ + Mein LOG File - Standard

Wieder mal http://a-search.biz/ + Mein LOG File



Ok, hab alles geupdated. Jetzt fehlt mir nur noch nen Viren Scanner. Welchen kannst du mir empfehlen, der auch kostenlos ist? Danke

Zitat:
Logfile of HijackThis v1.98.2
Scan saved at 20:42:26, on 17.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Student\Desktop\Downloads\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://pac.lrz-muenchen.de
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride =
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1097337926271
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} -
O17 - HKLM\System\CCS\Services\Tcpip\..\{7664F0CA-2F03-4B4C-9A82-9424BA6820A9}: NameServer = 141.84.225.226,129.187.10.25,129.187.16.1

Alt 17.11.2004, 19:49   #13
Lidius
 
Wieder mal http://a-search.biz/ + Mein LOG File - Standard

Wieder mal http://a-search.biz/ + Mein LOG File



AntiVir ist kostenlos und auch recht brauchbar http://www.free-av.de

Alt 17.11.2004, 19:59   #14
Shadowdance
 
Wieder mal http://a-search.biz/ + Mein LOG File - Standard

Wieder mal http://a-search.biz/ + Mein LOG File



@ Performance

boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe dann mit Hijack This, wenn Du folgende Einträge nicht kennst/brauchst:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,AutoConfigURL = h**p://pac.lrz-muenchen.de
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll

boote in den normalen Modus.

lösche (wenn Du es nicht brauchst):
C:\Programme\GMX\GMX Toolbar\toolbar.dll

Aktiviere die Systemwiederherstellung,

Auf den Seiten PC-Sicherheit und Speedyweb findest Du eine Anzahl u.a. kostenlose AV-Programme.

SD

[edit] sorry @ Lidius .. hab Dich nicht gesehen [/edit]

Alt 17.11.2004, 20:59   #15
Performance
 
Wieder mal http://a-search.biz/ + Mein LOG File - Standard

Wieder mal http://a-search.biz/ + Mein LOG File



Brauch ich beides

Das eine is der Proxy von der Uni (wohne im Wohnheim mit Uninetz) und bei dem Proxy sind die Ports für die Mails dicht, daher nutze ich die GMX Toolbar um zu sehen, wann neue Mails da sind.

Antivir hab ich drauf, aber angeblich ist die Testzeit abgelaufen und da funktionierts ni mehr richtig.

Antwort

Themen zu Wieder mal http://a-search.biz/ + Mein LOG File
als startseite, antivir, bho, browser, dll, download, einstellungen, explorer, file, hijack, hijackthis, internet, internet explorer, log, log file, mein log, messenger, microsoft, monitor, nvcpl.dll, pop-ups, programme, rundll, software, system, tcpip, temp, userinit.exe, windows, windows xp, ändern



Ähnliche Themen: Wieder mal http://a-search.biz/ + Mein LOG File


  1. http://search.fbdownloader.com/?channel=de_nt
    Plagegeister aller Art und deren Bekämpfung - 13.09.2014 (9)
  2. http://search.fbdownloader.com/?channel=de_nt
    Log-Analyse und Auswertung - 29.08.2014 (15)
  3. http://search.fbdownloader.com/?channel=de
    Plagegeister aller Art und deren Bekämpfung - 05.08.2014 (11)
  4. http://search.fbdownloader.com/?channel=deg -Virus
    Log-Analyse und Auswertung - 04.05.2014 (19)
  5. http://search.fbdownloader.com/?channel=deg_nt
    Plagegeister aller Art und deren Bekämpfung - 17.04.2014 (7)
  6. http://search.fbdownloader.com/?channel=de_nt
    Log-Analyse und Auswertung - 18.03.2014 (18)
  7. http://search.fbdownloader.com/?channel=de Ist es gefährlich und wie werde ich das wieder los?
    Plagegeister aller Art und deren Bekämpfung - 12.02.2014 (1)
  8. Ungewollte Startseiten: *http://wisersearch.com/?channel=de_nt* und *http://search.fbdownloader.com/?channel=sfde203fbdgy21*
    Log-Analyse und Auswertung - 16.12.2013 (13)
  9. http://search.snapdo.com/?st=hp&q=
    Log-Analyse und Auswertung - 07.11.2013 (15)
  10. http://search.conduit.com/?ctid=CT2625848&SearchSource=48 Was ist das?
    Log-Analyse und Auswertung - 24.04.2013 (8)
  11. http://search.conduit.com - Virus?
    Plagegeister aller Art und deren Bekämpfung - 04.09.2012 (1)
  12. Trojaner - 50 € zahlen + http://search.searchcompletion.com
    Log-Analyse und Auswertung - 15.01.2012 (3)
  13. http://de.search-results.com Will nicht weggehen
    Log-Analyse und Auswertung - 31.10.2011 (23)
  14. http://911-search.info/
    Log-Analyse und Auswertung - 02.01.2005 (20)
  15. http//easy-search.biz Hilfe!!!
    Log-Analyse und Auswertung - 10.11.2004 (8)
  16. Hijacker:http://a-search.biz/?wmid=1010!!!
    Log-Analyse und Auswertung - 03.11.2004 (7)
  17. http://weba.directwebsearch.net/search.html ...
    Log-Analyse und Auswertung - 17.07.2004 (1)

Zum Thema Wieder mal http://a-search.biz/ + Mein LOG File - Adaware und Spybot finden nix. Auch Antivir bringt nix. Könnt ihr mir helfen, geht um a-search.biz, was als Startseite eingestellt ist und sich nicht ändern läßt, außerdem ständig blöde pop-ups - Wieder mal http://a-search.biz/ + Mein LOG File...
Archiv
Du betrachtest: Wieder mal http://a-search.biz/ + Mein LOG File auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.