|
IE Öffnet sich plötzlich ungewollt Mein Internet Explorer Öffnet zufällig und zu jeder Zei auch wenn ich es nicht will fenster dieser 'Anbieter': adserver.sharewareonline eblocs mediabuy-nic.cjt1 Mein Hijackthis Sagt: Logfile of HijackThis v1.99.0 Scan saved at 21:59:27, on 28.12.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE E:\xampp\apache\bin\Apache.exe C:\Programme\AVPersonal\AVWUPSRV.EXE E:\xampp\FileZillaFTP\FileZillaServer.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe E:\xampp\mysql\bin\mysqld-nt.exe C:\WINDOWS\System32\svchost.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Steganos AntiDialer 7\guard.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Steganos Personal Firewall 7\KAVPF.exe E:\xampp\apache\bin\Apache.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\Marius\LOKALE~1\Temp\Rar$EX00.150\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://192.168.123.254/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://192.168.123.254/ O1 - Hosts: 69.20.16.183 auto.search.msn.com O1 - Hosts: 69.20.16.183 search.netscape.com O1 - Hosts: 69.20.16.183 ieautosearch O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [TimeSync] C:\PROGRA~1\TimeSync\TimeSync.exe /t O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [Steganos AntiDialer 7] "C:\Programme\Steganos AntiDialer 7\guard.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: Steganos Personal Firewall 7.lnk = ? O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Apache2 - Apache Software Foundation - E:\xampp\apache\bin\Apache.exe O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: FileZilla Server FTP server - Unknown - E:\xampp\FileZillaFTP\FileZillaServer.exe O23 - Service: mysql - Unknown - E:\xampp\mysql\bin\mysqld-nt.exe |
Lade dir das Service Pack 2 runter und installiere es. Update anschliessend dein System. Fixxe mit Hijackthis folgende Einträge bei deaktiviereter Systemwiederherstellung im abgesicherten Modus: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://192.168.123.254/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://192.168.123.254/ O1 - Hosts: 69.20.16.183 auto.search.msn.com O1 - Hosts: 69.20.16.183 search.netscape.com O1 - Hosts: 69.20.16.183 ieautosearch Poste anschliessend einen neuen Log. Nicht vergessen am Ende die Sytemwiederherstellung wieder anzuschalten. |
Jetzt habe ich geupdatet und den abgesicherten modus und mit deaktivierter systemwiederherstellung die Beasgten einträge gefixt Der R0 Eintrag ist weg der R1 Eintrag ist weg Die O1 Einträge sind aber noch da, Obwohl ich sie gefixt hatte Nun ich hoffe alles richtig gemacht zu haben. |
Glaub ichnicht, daß du SP 2 in der kurzen Zeit installiert hast; wahrscheinlich nur den Installer runtergeladen; jetzt mußt du es installieren; das dauert länger als 30 minuten. Sorry für die Einmischung... cacatoa Edit: Da warst Du ja wirklich schnell; nehme alles zurück! |
Hier die Log: Logfile of HijackThis v1.99.0 Scan saved at 23:09:55, on 28.12.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Steganos AntiDialer 7\guard.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Steganos Personal Firewall 7\KAVPF.exe C:\Programme\AVPersonal\AVGUARD.EXE E:\xampp\apache\bin\Apache.exe C:\Programme\AVPersonal\AVWUPSRV.EXE E:\xampp\FileZillaFTP\FileZillaServer.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe E:\xampp\mysql\bin\mysqld-nt.exe C:\WINDOWS\System32\svchost.exe E:\xampp\apache\bin\Apache.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\Marius\LOKALE~1\Temp\Rar$EX00.912\HijackThis.exe O1 - Hosts: 69.20.16.183 auto.search.msn.com O1 - Hosts: 69.20.16.183 search.netscape.com O1 - Hosts: 69.20.16.183 ieautosearch O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [TimeSync] C:\PROGRA~1\TimeSync\TimeSync.exe /t O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [Steganos AntiDialer 7] "C:\Programme\Steganos AntiDialer 7\guard.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: Steganos Personal Firewall 7.lnk = ? O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Apache2 - Apache Software Foundation - E:\xampp\apache\bin\Apache.exe O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: FileZilla Server FTP server - Unknown - E:\xampp\FileZillaFTP\FileZillaServer.exe O23 - Service: mysql - Unknown - E:\xampp\mysql\bin\mysqld-nt.exe |
@ KryptaKleptomane lade bitte den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht löscht. Das wird manuell gemacht. Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre) Erstelle ein neues Hijack This Logfile und poste es. SD |
So der Scann hat ce 4 Stunden gedauert hoffe es lohnt sich hier Die infizierten Dateien sind einige: Wed Dec 29 10:53:33 2004 => File C:\WINDOWS\g1.exe infected by "Trojan.Win32.Searex" Virus. Action Taken: No Action Taken. Wed Dec 29 10:53:33 2004 => File C:\WINDOWS\iconw.exe infected by "not-a-virus:AdWare.Zestyfind" Virus. Action Taken: No Action Taken. Wed Dec 29 10:53:43 2004 => File C:\WINDOWS\System32\akcore.dll infected by "not-a-virus:AdWare.Coreak" Virus. Action Taken: No Action Taken. Wed Dec 29 10:53:47 2004 => File C:\WINDOWS\System32\azau0559e.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. Wed Dec 29 10:53:51 2004 => File C:\WINDOWS\System32\ckdial32.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. Wed Dec 29 10:54:00 2004 => File C:\WINDOWS\System32\dBdpmesh.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. Wed Dec 29 10:54:10 2004 => File C:\WINDOWS\System32\en2ql1f51.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. Wed Dec 29 10:54:10 2004 => File C:\WINDOWS\System32\en62l1jo1.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. Wed Dec 29 10:54:10 2004 => File C:\WINDOWS\System32\enpsl1771.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. Wed Dec 29 10:54:17 2004 => File C:\WINDOWS\System32\hr0s05d7e.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. Wed Dec 29 10:54:17 2004 => File C:\WINDOWS\System32\hr2q05f5e.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. Wed Dec 29 10:54:17 2004 => File C:\WINDOWS\System32\hr4405hqe.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. Wed Dec 29 10:54:17 2004 => File C:\WINDOWS\System32\hrnu0559e.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. Wed Dec 29 10:54:20 2004 => File C:\WINDOWS\System32\imetpp.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. Wed Dec 29 10:54:25 2004 => File C:\WINDOWS\System32\ir46l5hs1.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. Wed Dec 29 10:54:28 2004 => File C:\WINDOWS\System32\k6jslg1716.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. Wed Dec 29 10:54:31 2004 => File C:\WINDOWS\System32\khduk.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. Wed Dec 29 10:54:34 2004 => File C:\WINDOWS\System32\lv4209hoe.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. Wed Dec 29 10:54:41 2004 => File C:\WINDOWS\System32\MQIMRT.DLL infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. Wed Dec 29 10:54:56 2004 => File C:\WINDOWS\System32\MVJTER35.DLL infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. Wed Dec 29 10:55:03 2004 => File C:\WINDOWS\System32\o666lgjs16o6.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. Wed Dec 29 10:55:07 2004 => File C:\WINDOWS\System32\ozbcint.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. Wed Dec 29 10:55:12 2004 => File C:\WINDOWS\System32\r0p80a7ued.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. Wed Dec 29 10:55:18 2004 => File C:\WINDOWS\System32\s6pulg7916.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. Wed Dec 29 10:55:42 2004 => File C:\WINDOWS\System32\VX6DE.DLL infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. Wed Dec 29 10:55:48 2004 => File C:\WINDOWS\System32\wknmm.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. Wed Dec 29 10:55:53 2004 => File C:\WINDOWS\System32\wonetmgr.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. Wed Dec 29 10:56:00 2004 => File C:\DOKUME~1\Marius\LOKALE~1\Temp\akcore.dll infected by "not-a-virus:AdWare.Coreak" Virus. Action Taken: No Action Taken. Wed Dec 29 10:56:01 2004 => File C:\DOKUME~1\Marius\LOKALE~1\Temp\B.tmp infected by "Trojan.Win32.HideProc.a" Virus. Action Taken: No Action Taken. Wed Dec 29 10:56:01 2004 => File C:\DOKUME~1\Marius\LOKALE~1\Temp\bar.exe infected by "not-a-virus:AdWare.ToolBar.IeSearchBar" Virus. Action Taken: No Action Taken. Wed Dec 29 10:56:02 2004 => File C:\DOKUME~1\Marius\LOKALE~1\Temp\bw2.exe infected by "Trojan-Dropper.Win32.Small.of" Virus. Action Taken: No Action Taken. Wed Dec 29 10:56:11 2004 => File C:\DOKUME~1\Marius\LOKALE~1\Temp\ICD1.tmp\WinAdServX.dll infected by "not-a-virus:AdWare.WinAD" Virus. Action Taken: No Action Taken. Wed Dec 29 10:56:11 2004 => File C:\DOKUME~1\Marius\LOKALE~1\Temp\ICD2.tmp\WinAdServX.dll infected by "not-a-virus:AdWare.WinAD" Virus. Action Taken: No Action Taken. Wed Dec 29 10:56:46 2004 => File C:\DOKUME~1\Marius\LOKALE~1\Temp\nsdtmp09.dll infected by "not-a-virus:AdWare.MetaDirect.a" Virus. Action Taken: No Action Taken. Wed Dec 29 10:56:52 2004 => File C:\DOKUME~1\Marius\LOKALE~1\Temp\remove.exe infected by "TrojanDownloader.Win32.Keenval.f" Virus. Action Taken: No Action Taken. Wed Dec 29 10:57:05 2004 => File C:\DOKUME~1\Marius\LOKALE~1\Temp\temp.fr782D infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. Wed Dec 29 10:57:30 2004 => File C:\DOKUME~1\Marius\LOKALE~1\Temp\__unin__.exe infected by "not-a-virus:AdWare.Altnet.b" Virus. Action Taken: No Action Taken. Wed Dec 29 11:10:33 2004 => File C:\Dokumente und Einstellungen\Marius\Lokale Einstellungen\Temp\akcore.dll infected by "not-a-virus:AdWare.Coreak" Virus. Action Taken: No Action Taken. Wed Dec 29 11:10:34 2004 => File C:\Dokumente und Einstellungen\Marius\Lokale Einstellungen\Temp\B.tmp infected by "Trojan.Win32.HideProc.a" Virus. Action Taken: No Action Taken. Wed Dec 29 11:10:34 2004 => File C:\Dokumente und Einstellungen\Marius\Lokale Einstellungen\Temp\bar.exe infected by "not-a-virus:AdWare.ToolBar.IeSearchBar" Virus. Action Taken: No Action Taken. Wed Dec 29 11:10:35 2004 => File C:\Dokumente und Einstellungen\Marius\Lokale Einstellungen\Temp\bw2.exe infected by "Trojan-Dropper.Win32.Small.of" Virus. Action Taken: No Action Taken. Wed Dec 29 11:10:43 2004 => File C:\Dokumente und Einstellungen\Marius\Lokale Einstellungen\Temp\ICD1.tmp\WinAdServX.dll infected by "not-a-virus:AdWare.WinAD" Virus. Action Taken: No Action Taken. Wed Dec 29 11:10:43 2004 => File C:\Dokumente und Einstellungen\Marius\Lokale Einstellungen\Temp\ICD2.tmp\WinAdServX.dll infected by "not-a-virus:AdWare.WinAD" Virus. Action Taken: No Action Taken. Wed Dec 29 11:11:17 2004 => File C:\Dokumente und Einstellungen\Marius\Lokale Einstellungen\Temp\nsdtmp09.dll infected by "not-a-virus:AdWare.MetaDirect.a" Virus. Action Taken: No Action Taken. Wed Dec 29 11:11:23 2004 => File C:\Dokumente und Einstellungen\Marius\Lokale Einstellungen\Temp\remove.exe infected by "TrojanDownloader.Win32.Keenval.f" Virus. Action Taken: No Action Taken. Wed Dec 29 11:11:35 2004 => File C:\Dokumente und Einstellungen\Marius\Lokale Einstellungen\Temp\temp.fr782D infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. Wed Dec 29 11:11:58 2004 => File C:\Dokumente und Einstellungen\Marius\Lokale Einstellungen\Temp\__unin__.exe infected by "not-a-virus:AdWare.Altnet.b" Virus. Action Taken: No Action Taken. Wed Dec 29 11:37:50 2004 => File C:\WINDOWS\Downloaded Program Files\WinAdServX.dll infected by "not-a-virus:AdWare.WinAD" Virus. Action Taken: No Action Taken. Wed Dec 29 11:39:32 2004 => File C:\WINDOWS\g1.exe infected by "Trojan.Win32.Searex" Virus. Action Taken: No Action Taken. Wed Dec 29 11:41:27 2004 => File C:\WINDOWS\iconw.exe infected by "not-a-virus:AdWare.Zestyfind" Virus. Action Taken: No Action Taken. Wed Dec 29 11:44:16 2004 => File C:\WINDOWS\system32\akcore.dll infected by "not-a-virus:AdWare.Coreak" Virus. Action Taken: No Action Taken. Wed Dec 29 11:44:22 2004 => File C:\WINDOWS\system32\azau0559e.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. Wed Dec 29 11:44:29 2004 => File C:\WINDOWS\system32\ckdial32.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. Wed Dec 29 11:47:02 2004 => File C:\WINDOWS\system32\dBdpmesh.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. Wed Dec 29 11:52:13 2004 => File C:\WINDOWS\system32\en2ql1f51.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. Wed Dec 29 11:52:13 2004 => File C:\WINDOWS\system32\en62l1jo1.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. Wed Dec 29 11:52:13 2004 => File C:\WINDOWS\system32\enpsl1771.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. Wed Dec 29 11:52:20 2004 => File C:\WINDOWS\system32\hr0s05d7e.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. Wed Dec 29 11:52:20 2004 => File C:\WINDOWS\system32\hr2q05f5e.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. Wed Dec 29 11:52:20 2004 => File C:\WINDOWS\system32\hr4405hqe.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. Wed Dec 29 11:52:21 2004 => File C:\WINDOWS\system32\hrnu0559e.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. |
Hier die Letzten Einträge mehr passten nicht in den Post Wed Dec 29 11:52:24 2004 => File C:\WINDOWS\system32\imetpp.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. Wed Dec 29 11:52:28 2004 => File C:\WINDOWS\system32\ir46l5hs1.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. Wed Dec 29 11:52:31 2004 => File C:\WINDOWS\system32\k6jslg1716.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. Wed Dec 29 11:52:34 2004 => File C:\WINDOWS\system32\khduk.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. Wed Dec 29 11:52:37 2004 => File C:\WINDOWS\system32\lv4209hoe.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. Wed Dec 29 11:52:45 2004 => File C:\WINDOWS\system32\MQIMRT.DLL infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. Wed Dec 29 11:53:02 2004 => File C:\WINDOWS\system32\MVJTER35.DLL infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. Wed Dec 29 11:53:09 2004 => File C:\WINDOWS\system32\o666lgjs16o6.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. Wed Dec 29 11:53:19 2004 => File C:\WINDOWS\system32\ozbcint.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. Wed Dec 29 11:53:25 2004 => File C:\WINDOWS\system32\r0p80a7ued.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. Wed Dec 29 11:53:34 2004 => File C:\WINDOWS\system32\s6pulg7916.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. Wed Dec 29 11:54:06 2004 => File C:\WINDOWS\system32\VX6DE.DLL infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. Wed Dec 29 11:54:21 2004 => File C:\WINDOWS\system32\wknmm.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. Wed Dec 29 11:54:26 2004 => File C:\WINDOWS\system32\wonetmgr.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. Wed Dec 29 11:54:30 2004 => File C:\WINDOWS\Temp\bw2.exe infected by "not-a-virus:AdWare.Zestyfind" Virus. Action Taken: No Action Taken. |
@KryptaKleptomane lade dir clearprog bei clearprog.de programm starten, alle häkchen bei windows und IE setzen, löschen. dann sind alle Tempfiles schon mal weg. danach in den abgesicherten modus wechseln und manuell alle einträge mit AdWare löschen. diese datei auch manuell löschen C:\WINDOWS\g1.exe danach neu starten, ein neues HJT logfile posten chaosman |
Hier die Neue Logfile Logfile of HijackThis v1.99.0 Scan saved at 21:32:34, on 29.12.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\AVPersonal\AVGUARD.EXE E:\xampp\apache\bin\Apache.exe C:\Programme\AVPersonal\AVWUPSRV.EXE E:\xampp\FileZillaFTP\FileZillaServer.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe E:\xampp\mysql\bin\mysqld-nt.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Steganos AntiDialer 7\guard.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Steganos Personal Firewall 7\KAVPF.exe E:\xampp\apache\bin\Apache.exe C:\DOKUME~1\Marius\LOKALE~1\Temp\Rar$EX00.838\HijackThis.exe O1 - Hosts: 69.20.16.183 auto.search.msn.com O1 - Hosts: 69.20.16.183 search.netscape.com O1 - Hosts: 69.20.16.183 ieautosearch O1 - Hosts: 69.20.16.183 ieautosearch O1 - Hosts: 69.20.16.183 ieautosearch O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [TimeSync] C:\PROGRA~1\TimeSync\TimeSync.exe /t O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [Steganos AntiDialer 7] "C:\Programme\Steganos AntiDialer 7\guard.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: Steganos Personal Firewall 7.lnk = ? O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Apache2 - Apache Software Foundation - E:\xampp\apache\bin\Apache.exe O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: FileZilla Server FTP server - Unknown - E:\xampp\FileZillaFTP\FileZillaServer.exe O23 - Service: mysql - Unknown - E:\xampp\mysql\bin\mysqld-nt.exe |
@ KryptaKleptomane boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe mit Hijack This (Häk'chen setzen und auf Fix Checked klicken): O1 - Hosts: 69.20.16.183 auto.search.msn.com O1 - Hosts: 69.20.16.183 search.netscape.com O1 - Hosts: 69.20.16.183 ieautosearch O1 - Hosts: 69.20.16.183 ieautosearch O1 - Hosts: 69.20.16.183 ieautosearch boote in den normalen Modus. Aktiviere die Systemwiederherstellung. SD |
@ KryptaKleptomane Probiers mal mit der Vorgehensweise von Marc und halte uns bei jedem Schritt auf dem Laufenden. |
So habe nocheinmal im Abgesichertem Modus Mit Abgestellter Systemwiederherstellung die Einträge Gefixt un sie sind Weg Endlich habe ich den Kampf mit den Lästigen Trojanern Geschafft, Hoffe ich mal. Hier die Log Logfile of HijackThis v1.99.0 Scan saved at 09:58:16, on 30.12.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\TimeSync\TimeSync.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Steganos AntiDialer 7\guard.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Steganos Personal Firewall 7\KAVPF.exe C:\Programme\AVPersonal\AVGUARD.EXE E:\xampp\apache\bin\Apache.exe C:\Programme\AVPersonal\AVWUPSRV.EXE E:\xampp\FileZillaFTP\FileZillaServer.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe E:\xampp\mysql\bin\mysqld-nt.exe C:\WINDOWS\System32\svchost.exe C:\Programme\WinRAR\WinRAR.exe E:\xampp\apache\bin\Apache.exe C:\DOKUME~1\Marius\LOKALE~1\Temp\Rar$EX00.463\HijackThis.exe O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [TimeSync] C:\PROGRA~1\TimeSync\TimeSync.exe /t O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [Steganos AntiDialer 7] "C:\Programme\Steganos AntiDialer 7\guard.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: Steganos Personal Firewall 7.lnk = ? O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Apache2 - Apache Software Foundation - E:\xampp\apache\bin\Apache.exe O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: FileZilla Server FTP server - Unknown - E:\xampp\FileZillaFTP\FileZillaServer.exe O23 - Service: mysql - Unknown - E:\xampp\mysql\bin\mysqld-nt.exe |
auch von mir dank an @cidre. :aplaus: hatte selbiges prob und konnte es dank deinem link "marc" beseitigen. habe es schritt für schritt wie marc geschrieben hat durchgeführt. thx jabberwoky ;) |
@ jabberwoky Schön, das es geklappt hat. ;) |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 04:21 Uhr. |
Copyright ©2000-2024, Trojaner-Board