|
Pop Ups - Log File Hi, die Pop Up Fenster (selbst bei geschlossenem IE) nerven ohne Ende. Ich habe DSL über Teledat Router 631, Sicherheitsstufe hoch (IE), Anti Vir, AdAware, Win Messenger deakt., CH shredder, BHO scanner und verschiedene Pop Up Blocker versucht, ohne Erfolg. Hijack ist nun meine letzte Hoffnung vor komplettem Neuaufsatz. Hier das Log file, vielleicht hat jemand einen Tip?! Logfile of HijackThis v1.99.1 Scan saved at 10:46:28, on 24.05.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: G:\WINDOWS\System32\smss.exe G:\WINDOWS\system32\winlogon.exe G:\WINDOWS\system32\services.exe G:\WINDOWS\system32\lsass.exe G:\WINDOWS\system32\svchost.exe G:\WINDOWS\System32\svchost.exe G:\Programme\Ahead\InCD\InCDsrv.exe G:\WINDOWS\system32\spoolsv.exe G:\WINDOWS\Explorer.EXE G:\WINDOWS\System32\RunDll32.exe G:\Programme\Ahead\InCD\InCD.exe G:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe G:\Programme\Java\jre1.5.0_02\bin\jusched.exe G:\WINDOWS\System32\RUNDLL32.EXE G:\WINDOWS\sload.exe G:\Programme\AVPersonal\AVGNT.EXE G:\WINDOWS\System32\ctfmon.exe G:\Programme\Messenger\msmsgs.exe G:\WINDOWS\System32\rundll32.exe G:\Programme\Teledat\TelFax32.exe G:\Programme\Gemeinsame Dateien\Sonic Shared\cinetray.exe G:\Programme\AVPersonal\AVGUARD.EXE G:\Programme\AVPersonal\AVWUPSRV.EXE G:\WINDOWS\System32\nvsvc32.exe G:\WINDOWS\System32\svchost.exe G:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe G:\Programme\DVBViewer\TS_Winlirc.exe H:\downloads\HijackThis.exe O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - G:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_1.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Programme\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - G:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - G:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_1.dll O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE G:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [InCD] G:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [NeroFilterCheck] G:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [RemoteControl] "G:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] G:\Programme\Java\jre1.5.0_02\bin\jusched.exe O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE G:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [sload] "G:\WINDOWS\sload.exe" O4 - HKLM\..\Run: [AVGCtrl] G:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] G:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "G:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE G:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "G:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe" O4 - Startup: Sonic CinePlayer Quick Launch.lnk = ? O4 - Global Startup: Adobe Reader - Schnellstart.lnk = H:\Programme\Reader\reader_sl.exe O4 - Global Startup: Fax.lnk = G:\Programme\Teledat\TelFax32.exe O4 - Global Startup: Microsoft Office.lnk = G:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://G:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O15 - Trusted Zone: h**://www.antivir-pe.de[/url] O15 - Trusted Zone: h**p://www.fidelity.de[/url] O15 - Trusted Zone: h**p://www.offroadforen.de[/url] O15 - Trusted Zone: h**p://*.windowsupdate.com[/url] O16 - DPF: {54823A9D-6BAE-11D5-B519-0050BA2413EB} (ChkDVDCtl Class) - h**p://www.gocyberlink.com/english/cyberstore/audiopack/xp_audio/ChkDVD.cab[/url] O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - G:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - G:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - G:\PROGRAMME\TELEDAT\de_serv.exe O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - G:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - G:\WINDOWS\System32\nvsvc32.exe Viele Grüße, Jürgen |
Fixe mit HJT im abgesicherten Modus: O15 - Trusted Zone:antivir-pe.de[/url] O15 - Trusted Zone: fidelity.de[/url] O15 - Trusted Zone: offroadforen.de[/url] O15 - Trusted Zone: windowsupdate.com[/url] O16 - DPF: {54823A9D-6BAE-11D5-B519-0050BA2413EB} (ChkDVDCtl Class) - gocyberlink.com/english/...udio/ChkDVD.cab[/url] Und dann mache einen eScan genau nach Cidres Anleitung und poste das Ergebnis hier. http://www.trojaner-board.de/showthread.php?t=17492 @Rena-gade Du musst auch immer was zu meckern haben :daumenhoc . Hast ja recht, hatte nicht daran gedacht. |
Hi, Besten Dank für die schnelle Anwort, eScan hat folgendes Problem gefunden (das log file ist ja ca. 3MB groß!): …. Tue May 24 13:19:45 2005 => Scanning HKLM\SYSTEM\CurrentControlSet\Services\VxD Tue May 24 13:19:46 2005 => ***** Scanning Registry and File system for Adware/Spyware ***** Tue May 24 13:20:05 2005 => Offending value found in HKLM\Software\microsoft\downloadmanager !!! Tue May 24 13:20:23 2005 => Object "AltNet Spyware/Adware" found in File System! Action Taken: No Action Taken. …. Das log File von HJI nach Fix: Logfile of HijackThis v1.99.1 Scan saved at 14:05:10, on 24.05.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: G:\WINDOWS\System32\smss.exe G:\WINDOWS\system32\winlogon.exe G:\WINDOWS\system32\services.exe G:\WINDOWS\system32\lsass.exe G:\WINDOWS\system32\svchost.exe G:\WINDOWS\System32\svchost.exe G:\Programme\Ahead\InCD\InCDsrv.exe G:\WINDOWS\system32\spoolsv.exe G:\WINDOWS\Explorer.EXE G:\WINDOWS\System32\RunDll32.exe G:\Programme\Ahead\InCD\InCD.exe G:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe G:\Programme\Java\jre1.5.0_02\bin\jusched.exe G:\WINDOWS\System32\RUNDLL32.EXE G:\WINDOWS\sload.exe G:\Programme\AVPersonal\AVGNT.EXE G:\WINDOWS\System32\ctfmon.exe G:\Programme\Messenger\msmsgs.exe G:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe G:\WINDOWS\System32\rundll32.exe H:\Programme\Reader\reader_sl.exe G:\Programme\Teledat\TelFax32.exe G:\Programme\AVPersonal\AVGUARD.EXE G:\Programme\AVPersonal\AVWUPSRV.EXE G:\WINDOWS\System32\nvsvc32.exe G:\Programme\Gemeinsame Dateien\Sonic Shared\cinetray.exe G:\WINDOWS\System32\svchost.exe H:\downloads\HijackThis.exe G:\WINDOWS\System32\wuauclt.exe O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - G:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_1.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Programme\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - G:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - G:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_1.dll O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE G:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [InCD] G:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [NeroFilterCheck] G:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [RemoteControl] "G:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] G:\Programme\Java\jre1.5.0_02\bin\jusched.exe O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE G:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [sload] "G:\WINDOWS\sload.exe" O4 - HKLM\..\Run: [AVGCtrl] G:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] G:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "G:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE G:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "G:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe" O4 - Startup: Sonic CinePlayer Quick Launch.lnk = ? O4 - Global Startup: Adobe Reader - Schnellstart.lnk = H:\Programme\Reader\reader_sl.exe O4 - Global Startup: Fax.lnk = G:\Programme\Teledat\TelFax32.exe O4 - Global Startup: Microsoft Office.lnk = G:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://G:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O15 - Trusted Zone: *.sxload.com O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - G:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - G:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - G:\PROGRAMME\TELEDAT\de_serv.exe O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - G:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - G:\WINDOWS\System32\nvsvc32.exe Während ich das schreibe (in WinWord!, DSL verbunden aber kein Explorer auf!) springen mir die Explorer Fenster schon wieder nur so um die Ohren. Ich denke das riecht verdammt nach Format G: (ist bei mir die Systemplatte) Vielleicht gibt’s doch noch ein Tip, evtl. diese AltNet wegzukriegen, soll ich das mal in der Reg ausräuchern? Besten Dank! Jürgen |
Führe das genau nach Anleitung durch: http://www.trojaner-board.de/showthread.php?t=17492 Ich brauche nur das Ergebnis der Finde.bat. |
Hi, ich brauchte bissel Zeit, mußte die Bat erst auf G: als Systemplatte umeseln. Hier das Ergebnis: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Funde für "infected" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Tue May 24 13:30:12 2005 => Scanning Folder: G:\Programme\AVPersonal\INFECTED\*.* Tue May 24 14:01:23 2005 => Total Disinfected Files: 0 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Funde für "tagged" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Tue May 24 14:01:23 2005 => Total Virus(es) Found: 1 Tue May 24 14:01:23 2005 => Total Errors: 152 Tue May 24 14:01:23 2005 => Time Elapsed: 00:42:16 Tue May 24 14:01:23 2005 => Total Objects Scanned: 40832 Tue May 24 13:17:48 2005 => Virus Database Date: 2005/05/24 Tue May 24 14:01:23 2005 => Virus Database Date: 2005/05/24 Tue May 24 14:02:06 2005 => Virus Database Date: 2005/05/24 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~ © Haui ;-) ~~~~~~~ ~~~~~~~ Dank an Cidre ~~~~~~~ Grüße Jürgen |
@felix1 @Yammi Bitte alle Links im Log deaktivieren (z.B. h**p statt http) Danke. |
Hi, @Rene-gad, Mensch Du ich habs versucht?!, s.u., Oder müssen die // auch noch weg? rgds, Jürgen PS.: OK, ich habs das "URL" muss noch weg |
@Yammi Zitat:
BTW: Du kannst es selbst austesten, der Link muss nicht abrufbar sein. |
Naaaa ? alles so ruhig? ich denke ich muss wohl hiernach http://www.trojaner-board.com/showthread.php?t=12154 verfahren, oder? Ich kann jedenfalls mit den Pop Ups nicht mehr weiterleben! Grüße, Jürgen |
@ Yammi Warum ist dein System eigentlich nicht up to date? Mach mal ein Screenshot vom Pop-Up und hänge diesen an deinen Beitrag an. Lade und installiere Silent Runners.vbs gemäss der Anleitung und poste dann das Log-File. |
Hallo Cidre, besten Dank für die Geduld. Mein System ist eigenlich up to date (bis auf SP2, die CD bekomme ich nächste Woche)?! Hier das log vom VBS: "Silent Runners.vbs", revision 37, http://www.silentrunners.org/ Operating System: Windows XP Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "CTFMON.EXE" = "G:\WINDOWS\System32\ctfmon.exe" [MS] "MSMSGS" = ""G:\Programme\Messenger\msmsgs.exe" /background" [MS] "PowerBar" = (no data) "NvMediaCenter" = "RUNDLL32.EXE G:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit" [MS] "PopUpStopperFreeEdition" = ""G:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe"" ["Panicware, Inc."] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "Cmaudio" = "RunDll32 cmicnfg.cpl,CMICtrlWnd" [MS] "NvCplDaemon" = "RUNDLL32.EXE G:\WINDOWS\System32\NvCpl.dll,NvStartup" [MS] "nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"] "InCD" = "G:\Programme\Ahead\InCD\InCD.exe" ["Ahead Software AG"] "NeroFilterCheck" = "G:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"] "RemoteControl" = ""G:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"" ["Cyberlink Corp."] "SunJavaUpdateSched" = "G:\Programme\Java\jre1.5.0_02\bin\jusched.exe" ["Sun Microsystems, Inc."] "NvMediaCenter" = "RUNDLL32.EXE G:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit" [MS] "sload" = ""G:\WINDOWS\sload.exe"" [null data] "AVGCtrl" = "G:\Programme\AVPersonal\AVGNT.EXE /min" ["H+BEDV Datentechnik GmbH"] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {02478D38-C3F9-4efb-9B51-7695ECA05670}\(Default) = "Yahoo! Companion BHO" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "G:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_1.dll" ["Yahoo! Inc."] {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "H:\Programme\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {CLSID}\InProcServer32\(Default) = "G:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."] "{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer" -> {CLSID}\InProcServer32\(Default) = "G:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu" -> {CLSID}\InProcServer32\(Default) = "G:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"] "{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler" -> {CLSID}\InProcServer32\(Default) = "G:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL" [MS] "{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler" -> {CLSID}\InProcServer32\(Default) = "G:\Programme\Microsoft Office\Office10\msohev.dll" [MS] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {CLSID}\InProcServer32\(Default) = "H:\Programme\rarext.dll" [null data] "{950FF917-7A57-46BC-8017-59D9BF474000}" = "Shell Extension for CDRW" -> {CLSID}\InProcServer32\(Default) = "G:\Programme\Ahead\InCD\incdshx.dll" ["Ahead Software AG"] "{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices" -> {CLSID}\InProcServer32\(Default) = "G:\WINDOWS\System32\Audiodev.dll" [MS] "{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu" -> {CLSID}\InProcServer32\(Default) = "G:\WINDOWS\System32\Audiodev.dll" [MS] "{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class" -> {CLSID}\InProcServer32\(Default) = "G:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"] "{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper" -> {CLSID}\InProcServer32\(Default) = "G:\WINDOWS\System32\nvcpl.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu" -> {CLSID}\InProcServer32\(Default) = "G:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"] Enabled Active Desktop and Wallpaper: ------------------------------------- Active Desktop is disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Enabled Screen Saver: --------------------- HKCU\Control Panel\Desktop\ "SCRNSAVE.EXE" = "G:\WINDOWS\System32\scrnsave.scr" [MS] Startup items in "JSP" & "All Users" startup folders: ----------------------------------------------------- G:\Dokumente und Einstellungen\JSP\Startmenü\Programme\Autostart "Sonic CinePlayer Quick Launch" -> shortcut to: "G:\Programme\Gemeinsame Dateien\Sonic Shared\cinetray.exe" ["Sonic Solutions"] G:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart "Adobe Reader - Schnellstart" -> shortcut to: "H:\Programme\Reader\reader_sl.exe" ["Adobe Systems Incorporated"] "Fax" -> shortcut to: "G:\Programme\Teledat\TelFax32.exe" ["AVM Berlin GmbH"] "Microsoft Office" -> shortcut to: "G:\Programme\Microsoft Office\Office10\OSA.EXE -b -l" [MS] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000004\LibraryPath = "%SystemRoot%\System32\nwprovau.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 24 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Toolbars HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\ "{EF99BD32-C1FB-11D2-892F-0090271D4F88}" -> {CLSID}\(Default) = "Yahoo! Companion" -> {CLSID}\InProcServer32\(Default) = "G:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_1.dll" ["Yahoo! Inc."] HKLM\Software\Microsoft\Internet Explorer\Toolbar\ "{EF99BD32-C1FB-11D2-892F-0090271D4F88}" -> {CLSID}\(Default) = "Yahoo! Companion" -> {CLSID}\InProcServer32\(Default) = "G:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_1.dll" ["Yahoo! Inc."] Extensions (Tools menu items, main toolbar menu buttons) HKLM\Software\Microsoft\Internet Explorer\Extensions\ {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\ "MenuText" = "Sun Java Konsole" "CLSIDExtension" = "{CAFEEFAC-0015-0000-0002-ABCDEFFEDCBC}" -> {CLSID}\InProcServer32\(Default) = "G:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll" ["Sun Microsystems, Inc."] Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ AntiVir Service, AntiVirService, "G:\Programme\AVPersonal\AVGUARD.EXE" ["H+BEDV Datentechnik GmbH"] AntiVir Update, AVWUpSrv, ""G:\Programme\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"] InCD Helper, InCDsrv, "G:\Programme\Ahead\InCD\InCDsrv.exe" ["Ahead Software AG"] NVIDIA Driver Helper Service, NVSvc, "G:\WINDOWS\System32\nvsvc32.exe" ["NVIDIA Corporation"] Windows User Mode Driver Framework, UMWdf, "G:\WINDOWS\System32\wdfmgr.exe" [MS] ---------- This report excludes default entries except where indicated. To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. beste Grüße, Kann den screen shot nicht einfügen?! (ist aber kein flash, sonder richtiges IE Fenster mit richtigem linK zB. w**w.gameworld.de) |
Hi, mir ist gerade aufgefallen, dass sich unter "Sicher Seiten" im IE immer wieder *.sxload.com einträgt...Its das was von Windows oder so ein Mistding? Ich hatte das schon mal dort gelöscht? Jürgen PS.: Ich kann nur offline schreiben, schnell copy/paste machen, sonst verende ich immer im log in Fenster obwohl ich angemeldet bin??? |
Schalte mal die Systemwiederherstellung aus und fahre den PC im abgesicherten Modus hoch. Dort fixe mit HJT folgenden Eintrag: O15 - Trusted Zone: *.sxload.com |
Hallo Jungs, ich habe mal eine Reihe der Seiten protokolliert, die sich hier öffnen wollen (IE auf „Keine Verbindung herstellen“, geschlossen! bzw. jedes Mal wieder neu geschlossen) und mit einem Zeitstempel versehen. Ich denke, dass ich das System mit SP komplett neu auf die geputzte Platte aufsetze. Nur was ist die Ursache von dieser Sch…, tritt das danach wieder auf? Wie kann diese Seuche vermeiden? Bringt ein factory reset am Router ´was? Grüße Jürgen @felix, danke mach ich h**p://www.convent-kredit.de/web-control/click.php?ref=1471 25.05.2005 15:41:35 h**://partners.webmasterplan.com/click.asp?ref=189300&site=3608&type=text&tnb=1 25.05.2005 15:46:32 h**p://partners.webmasterplan.com/click.asp?ref=189300&site=3119&type=text&tnb=1 25/05/2005 15:51:42 h**p://partners.webmasterplan.com/click.asp?ref=189300&site=2972&type=text&tnb=1 25/05/2005 15:56:58 h**p://sniper.hit-logo-klingelton.com/index.php?usec=off 25/05/2005 16:02:01 |
Zitat:
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 01:33 Uhr. |
Copyright ©2000-2024, Trojaner-Board