|
Leider habe ich mir wohl eine Variante von cool web search eingefangen. Weder cw shredder noch eines der anderen üblichen Programme haben geholfen. Ich habe auch aus einem Forumsbeitrag eine ander "Entferungsanleitung" versucht, mit deaktivierter Systemwiederherstellung, abgesichertem Modus, Hijack This mit fix der Einträge R1 und o2 BHO (no name) und anschliessendem scan mit Free e-scan. Hat auch 4 Viren gefunden und entfernt. Startseite ist immer noch da lediglich die Bezeichnung bei R1 hat von "inoko" auf "drugt" gewechselt. Wer kann mir weiterhelfen. Ich bin leider kein Profi und mit DOS so gut wie gar nicht vertraut! Hier ist mein Log file Gruss Willy :confused: Logfile of HijackThis v1.97.7 Scan saved at 16:24:30, on 16.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\ATI-CPanel\atiptaxx.exe C:\WINDOWS\SOUNDMAN.EXE C:\PROGRA~1\NORTON~1\navapw32.exe C:\Programme\Microsoft Hardware\Keyboard\type32.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\system32\syswb32.exe C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE C:\Programme\Messenger\msmsgs.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Telekom\Eumex 404PC\Capictrl.exe C:\Programme\Hewlett-Packard\AiO\hp officejet g series\Bin\hpoavn07.exe C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe C:\WINDOWS\System32\hpoipm07.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\ieih.exe C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe C:\WINDOWS\System32\wuauclt.exe C:\Dokumente und Einstellungen\Willy\Eigene Dateien\Downloads\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\drugt.dll/sp.html#96676 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://drugt.dll/index.html#96676 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://drugt.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\drugt.dll/sp.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://drugt.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\drugt.dll/sp.html#96676 O2 - BHO: (no name) - {51171F50-9D25-81B0-458F-AA484B661F7B} - C:\WINDOWS\system32\ievk.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [syswb32.exe] C:\WINDOWS\system32\syswb32.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE O4 - Global Startup: CAPIControl.lnk = ? O4 - Global Startup: HPAiODevice(hp officejet g series) - 1.lnk = C:\Programme\Hewlett-Packard\AiO\hp officejet g series\Bin\hpoavn07.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O9 - Extra button: Mobilen Favoriten erstellen (HKLM) O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... (HKLM) O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/downlo...22/wmv9VCM.CAB O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/27e32a9b...dxIE601_de.cab O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...8046.139849537 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/aio/de/check/qdiagh.cab?316 |
</font><blockquote>Zitat:</font><hr /> O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/aio/de/check/qdiagh.cab?316 </font>[/QUOTE]wenn nicht gewollt fixen </font><blockquote>Zitat:</font><hr /> C:\WINDOWS\system32\syswb32.exe C:\WINDOWS\System32\hpoipm07.exe C:\WINDOWS\ieih.exe </font>[/QUOTE]bitte überprüfen soltle aber der schädling sein </font><blockquote>Zitat:</font><hr />O4 - HKLM\..\Run: [syswb32.exe] C:\WINDOWS\system32\syswb32.exe </font>[/QUOTE]der startaufruf dazu fixen mit HJT </font><blockquote>Zitat:</font><hr />O2 - BHO: (no name) - {51171F50-9D25-81B0-458F-AA484B661F7B} - C:\WINDOWS\system32\ievk.dll </font>[/QUOTE]find ich grad nix dazu sollte aber auch malware sein evtl sogar teil von deinem problem also auch fixen |
Hallo Olo, vielen Dank für die schnelle Antwort. Für was sind die beiden O16 - DPF: ... eigentlich zuständig? Bei den 3 Windows\... Einträgen hast Du bitte prüfen vermerkt, wie? [img]smile.gif[/img] |
Hallo Olo, vielen Dank, es scheint so als wäre alles wieder ok. Bin mal auf die Startseite morgen früh gespannt. Ich ahbe gehört es gibt ein paar hartnäckige Versionen von cool web search die nach Stunden plötzlich wieder aktiv sind. Könnt Ihr nochmal einen Blick auf meinen logfile werfen ob da "Alles" ok ist? [img]smile.gif[/img] Willy Logfile of HijackThis v1.97.7 Scan saved at 22:14:45, on 16.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\addmq32.exe C:\ATI-CPanel\atiptaxx.exe C:\WINDOWS\SOUNDMAN.EXE C:\PROGRA~1\NORTON~1\navapw32.exe C:\Programme\Microsoft Hardware\Keyboard\type32.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE C:\Programme\Messenger\msmsgs.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Telekom\Eumex 404PC\Capictrl.exe C:\Programme\Hewlett-Packard\AiO\hp officejet g series\Bin\hpoavn07.exe C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe C:\WINDOWS\System32\hpoipm07.exe C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe C:\WINDOWS\System32\wuauclt.exe C:\Dokumente und Einstellungen\Willy\Eigene Dateien\Downloads\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE O4 - HKLM\..\RunOnce: [crrj.exe] C:\WINDOWS\system32\crrj.exe O4 - Global Startup: CAPIControl.lnk = ? O4 - Global Startup: HPAiODevice(hp officejet g series) - 1.lnk = C:\Programme\Hewlett-Packard\AiO\hp officejet g series\Bin\hpoavn07.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O9 - Extra button: Mobilen Favoriten erstellen (HKLM) O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... (HKLM) O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/downlo...22/wmv9VCM.CAB O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/27e32a9b...dxIE601_de.cab O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...8046.139849537 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/aio/de/check/qdiagh.cab?316 |
so leid es mir tut aber das ding </font><blockquote>Zitat:</font><hr /> O4 - HKLM\..\RunOnce: [crrj.exe] C:\WINDOWS\system32\crrj.exe </font>[/QUOTE]gehört ganz sicher nicht rein :\ die exen kannst du bei etwa kaspersky online überprüfen http://www.kaspersky.com/scanforvirus die 016 sind imho java plugins wenn du die beiden seiten nicht kennst raus damit wenn das löschen dieser datei auch nichts bringt dann solltest du evtl jede einzelne exe überprüfen ich seh jedenfalls sonst nichts was unbedingt malware sein sollte... |
Leider brauche ich nicht bis morgen warten! Das Problem ist jetzt schon wieder da. Ich habe in meinem letzten logfile folgenden Eintrag gefunden: O4 - HKLM\..\RunOnce: [crrj.exe] C:\WINDOWS\system32\crrj.exe scheint mir merkwürdig, oder? Das ist mein aktueller logfile - wer kann mir da weiterhelfen? Logfile of HijackThis v1.97.7 Scan saved at 22:25:26, on 16.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\addmq32.exe C:\ATI-CPanel\atiptaxx.exe C:\WINDOWS\SOUNDMAN.EXE C:\PROGRA~1\NORTON~1\navapw32.exe C:\Programme\Microsoft Hardware\Keyboard\type32.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE C:\Programme\Messenger\msmsgs.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Telekom\Eumex 404PC\Capictrl.exe C:\Programme\Hewlett-Packard\AiO\hp officejet g series\Bin\hpoavn07.exe C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe C:\WINDOWS\System32\hpoipm07.exe C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe C:\WINDOWS\System32\wuauclt.exe C:\PROGRA~1\MICROS~4\Office10\OUTLOOK.EXE C:\WINDOWS\system32\syswb32.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Willy\Eigene Dateien\Downloads\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\dimoi.dll/sp.html#96676 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://dimoi.dll/index.html#96676 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://dimoi.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\dimoi.dll/sp.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://dimoi.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\dimoi.dll/sp.html#96676 O2 - BHO: (no name) - {7352F9CD-FC2A-F515-BFD2-D01E88963271} - C:\WINDOWS\system32\winet.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [syswb32.exe] C:\WINDOWS\system32\syswb32.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE O4 - HKLM\..\RunOnce: [crrj.exe] C:\WINDOWS\system32\crrj.exe O4 - Global Startup: CAPIControl.lnk = ? O4 - Global Startup: HPAiODevice(hp officejet g series) - 1.lnk = C:\Programme\Hewlett-Packard\AiO\hp officejet g series\Bin\hpoavn07.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O9 - Extra button: Mobilen Favoriten erstellen (HKLM) O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... (HKLM) O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/downlo...22/wmv9VCM.CAB O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/27e32a9b...dxIE601_de.cab O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...8046.139849537 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/aio/de/check/qdiagh.cab?316 |
Du bekämpfst im Moment nur die Symptome, aber nicht die Ursache. Mach mal einen Scan im abgesicherten Modus wichtig! mit dem Free eScan Antivirus Toolkit Utility. |
ich spiel zwar ungern hiob aber : </font><blockquote>Zitat:</font><hr />C:\WINDOWS\system32\syswb32.exe </font>[/QUOTE]kennen wir doch oder :( ? muss da grad lutz recht geben dachte eignetlich wir haetten dort die ursache nunja mach mal den scan dann schaun wir weiter |
Hallo Lutz, danke für den Tipp, das habe ich schon 2x gemacht (und die Systemwiederherstellung deaktiviert). Er hat einmal 4 files gelöscht, zuletzt 2 files. Problem bleibt - die "verdächtigen" Einträge haben dannach nur neue Namen! Willy |
Du surfst aber im moment doch hoffentlich nicht mit dem IE oder? wenn ja dann zieh dir bitte einen laternativ browser und surf erst mal damit ich mach mir grad nochma die muehe alle eintraege tauszusuchen die verdaechtig sind die dann bitte im abgesicherten modus fixen und die dateien löschen dann neustarten C:\WINDOWS\addmq32.exe C:\Programme\Telekom\Eumex 404PC\Capictrl.exe C:\WINDOWS\System32\hpoipm07.exe C:\WINDOWS\system32\syswb32.exe alles in r0 und r1 O2 - BHO: (no name) - {7352F9CD-FC2A-F515-BFD2-D01E88963271} - C:\WINDOWS\system32\winet.dll + autostartinträge davon unter 04 grundsätzlich jede exe die zu etwas gehört was du nicht kennst ist verdächtig diese sache mit dem Eumex hab ich vorher übersehn |
Doch ich bin immer noch mit dem IE im Netz. Einen anderen Browser runterzuziehen ist mir momentan zu kompliziert, ich wüsste auch nicht welchen. Ich habe ein Home WLan Netzwerk und wechsle zu meinem Notebook und nehme den "befallenen Rechner" vom Netz! Willy |
</font><blockquote>Zitat:</font><hr /> Ich habe ein Home WLan Netzwerk und wechsle zu meinem Notebook und nehme den "befallenen Rechner" vom Netz! </font>[/QUOTE]gute maßnahme und alternativbrowser gibts doch genug ich nehm opera hier die hp aber ganz vom netz ist natuerlich erstmal das beste |
soooo... ich hab mich schon den ganzen Tag mit dem scheiss ding beschäftigt. Was ich bis jetzt rausgefunden habe ist das diese nummer mit der raute bei DIESEM Wurm immer gleich ist ... #96676 Der Wurm heißt TrojanDownloader.Win32.WinShow.u leider habe ich bei google nur sehr sehr wenig über ihn gefunden. Dieser Scanner erkennt den Wurm und löscht ihn. http://www.kaspersky.com/ Leider kommt er trotzdem immer wieder. Habe ihn auch noch nicht losbekommen. Meine Logfile nochmal... Logfile of HijackThis v1.97.7 Scan saved at 23:07:38, on 16.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe E:\Programme\D-Tools\daemon.exe C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe E:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe C:\WINDOWS\javaai32.exe E:\Programme\iTunes\iTunesHelper.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe E:\Programme\Logitech\SetPoint\kem.exe C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe E:\PROGRA~1\NORTON~1\NORTON~4\GHOSTS~2.EXE E:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe E:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE E:\PROGRAMME\LOGITECH\SETPOINT\KHALMNPR.EXE E:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE C:\WINDOWS\System32\svchost.exe C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE C:\Programme\iPod\bin\iPodService.exe E:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe e:\Programme\T-DSL SpeedManager\tsmsvc.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\iphu.exe C:\Programme\Internet Explorer\iexplore.exe E:\Programme\Norton SystemWorks\Norton Antivirus\OPScan.exe D:\Programme\hijackthis1977\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\zznyz.dll/sp.html#96676 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://zznyz.dll/index.html#96676 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://zznyz.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\zznyz.dll/sp.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://zznyz.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\zznyz.dll/sp.html#96676 O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - E:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll O2 - BHO: (no name) - {E29FD263-8F4B-4991-8255-7C16E147AD4F} - C:\WINDOWS\system32\winnj32.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - E:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "E:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [GhostStartTrayApp] E:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [javaai32.exe] C:\WINDOWS\javaai32.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [T-DSL SpeedMgr] "E:\Programme\T-DSL SpeedManager\SpeedMgr.exe" O4 - HKLM\..\Run: [iTunesHelper] E:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [KFWebServer] e:\Programme\KeyFocus\KFWS\bin\kfwsmon.exe O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent O4 - HKCU\..\Run: [YAAC] E:\Programme\LAB1.de\YAAC\YAAC.exe /AUTOSTART O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKLM\..\RunOnce: [iphu.exe] C:\WINDOWS\iphu.exe O4 - HKLM\..\RunOnce: [addge.exe] C:\WINDOWS\system32\addge.exe O4 - HKLM\..\RunOnce: [d3nm32.exe] C:\WINDOWS\d3nm32.exe O4 - HKLM\..\RunOnce: [ntet32.exe] C:\WINDOWS\ntet32.exe O4 - HKLM\..\RunOnce: [mssp32.exe] C:\WINDOWS\system32\mssp32.exe O4 - HKLM\..\RunOnce: [apips.exe] C:\WINDOWS\system32\apips.exe O4 - HKLM\..\RunOnce: [javafh.exe] C:\WINDOWS\system32\javafh.exe O4 - HKLM\..\RunOnce: [javady.exe] C:\WINDOWS\javady.exe O4 - HKLM\..\RunOnce: [crpx.exe] C:\WINDOWS\crpx.exe O4 - HKLM\..\RunOnce: [d3xv.exe] C:\WINDOWS\system32\d3xv.exe O4 - HKLM\..\RunOnce: [mfcim.exe] C:\WINDOWS\system32\mfcim.exe O4 - HKLM\..\RunOnce: [mshz32.exe] C:\WINDOWS\mshz32.exe O4 - Global Startup: BTTray.lnk = ? O4 - Global Startup: Logitech SetPoint.lnk = ? O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: ICQ (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O9 - Extra button: @btrez.dll,-4015 (HKLM) O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 (HKLM) O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab sind ein paar komische exen dabei aber ich habe sie alle einzeln scannen lassen und es wurde kein wurm oder so entdeckt. wenn ich diese Exen namen bei google eingebe finde ich keinen einzigen treffer. schon komisch oder ? ich hoffe ihr könnt mir weiterhelfen danke |
C:\WINDOWS\addmq32.exe C:\Programme\Telekom\Eumex 404PC\Capictrl.exe C:\WINDOWS\System32\hpoipm07.exe C:\WINDOWS\system32\syswb32.exe Diese Dateien kann ich unter Hijack nicht fixen, entweder stelle ich mich zu doof an oder es geht nicht? Sie werden in der Auswahl nicht angezeigt, im logefile schon...? Ich war aber der Meinung das die in meinen vorherigen Scan schon zum anklicken gewesen sind. Habe ich einen Denkfehler? |
</font><blockquote>Zitat:</font><hr /> C:\WINDOWS\addmq32.exe C:\Programme\Telekom\Eumex 404PC\Capictrl.exe C:\WINDOWS\System32\hpoipm07.exe C:\WINDOWS\system32\syswb32.exe </font>[/QUOTE]sind laufende prozesse die siehst du erst im logfile und kannst sie nicht fixen am besten im abgesicherten modus starten und löschen sollte das nicht ghen taskmanager aufrufen und prozesse beenden |
kleine parallele zu dme was nitro entdeckt hat hier werden einige angebliche HP dateien angezeigt im log von alucard http://www.trojaner-board.de/forum/u...c;f=6;t=005593 haben wir einige von t-online die ganz sicher keine sind ich schau mal morgen weiter danke schon mal an nitro achso nochwas wieder @ nitro poste doch bitte dein log in einem eingenen thread sonst wirds zu unübersichtlich [ 16. Juni 2004, 23:35: Beitrag editiert von: Olo ] |
Hallo zusammen, Mich hat dieser Wurm auch erwischt. Ich habe auch schon alles mögliche ausprobiert und keine Ideen mehr. Bei mir hat der Eintrag die gleiche Nummer am Ende: Hier mal das Logfile: Logfile of HijackThis v1.97.7 Scan saved at 23:12:13, on 16.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\system32\ZONELABS\vsmon.exe C:\WINDOWS\system32\javazf32.exe C:\Programme\Norton AntiVirus\SAVScan.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\T-DSL SpeedManager\SpeedMgr.exe C:\WINDOWS\System32\msnmsgr.exe C:\WINDOWS\system32\ntvl32.exe C:\Programme\Winamp\Winampa.exe C:\ANWEND~1\SCANNE~1\ZONEAL~1\zlclient.exe C:\WINDOWS\System32\wudmate.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\System32\MSuma32.exe C:\Programme\T-DSL SpeedManager\tsmsvc.exe C:\Programme\Starcraft\StarCraft.exe C:\Anwendungen\Scanner und Viren\HijackThis.exe C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpHost.exe C:\PROGRA~1\Netscape\Netscape\Netscp.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\cdteq.dll/sp.html#96676 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://cdteq.dll/index.html#96676 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://cdteq.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\cdteq.dll/sp.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://cdteq.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\cdteq.dll/sp.html#96676 O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {36A43E5A-0CF0-DC7D-3372-4DF6100573BD} - C:\WINDOWS\system32\appyw.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKLM\..\Run: [Microsoft Update] wudmate.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [NAV CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT" O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe" O4 - HKLM\..\Run: [Microsoft UMA Update] MSuma32.exe O4 - HKLM\..\Run: [msn] msnmsgr.exe O4 - HKLM\..\Run: [ntvl32.exe] C:\WINDOWS\system32\ntvl32.exe O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [Zone Labs Client] C:\ANWEND~1\SCANNE~1\ZONEAL~1\zlclient.exe O4 - HKLM\..\RunServices: [Microsoft Update] wudmate.exe O4 - HKLM\..\RunServices: [Microsoft UMA Update] MSuma32.exe O4 - HKLM\..\RunServices: [msn] msnmsgr.exe O4 - HKCU\..\Run: [Microsoft Update] wudmate.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Microsoft UMA Update] MSuma32.exe O4 - HKCU\..\Run: [msn] msnmsgr.exe O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo O4 - HKLM\..\RunOnce: [appfe32.exe] C:\WINDOWS\system32\appfe32.exe O4 - HKLM\..\RunOnce: [atlpu32.exe] C:\WINDOWS\system32\atlpu32.exe O14 - IERESET.INF: START_PAGE_URL=http://GLOBAL.ACER.COM/ O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...150.7555439815 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab Ist dieser Wurm denn schlimm ? Ich meine, macht er irgendwas, wenn ich die Einträge entfernt habe und den Internet Explorer nicht mehr verwende sondern z.B. den Netscape Navigator? Jetzt im Moment sieht das Logfile folgendermaßen aus: Logfile of HijackThis v1.97.7 Scan saved at 00:41:21, on 17.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\system32\ZONELABS\vsmon.exe C:\WINDOWS\system32\javazf32.exe C:\Programme\Norton AntiVirus\SAVScan.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\T-DSL SpeedManager\SpeedMgr.exe C:\WINDOWS\system32\ntvl32.exe C:\ANWEND~1\SCANNE~1\ZONEAL~1\zlclient.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\System32\MSuma32.exe C:\WINDOWS\System32\msnmsgr.exe C:\Programme\T-DSL SpeedManager\tsmsvc.exe C:\PROGRA~1\Netscape\Netscape\Netscp.exe C:\Anwendungen\Scanner und Viren\HijackThis.exe O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {36A43E5A-0CF0-DC7D-3372-4DF6100573BD} - C:\WINDOWS\system32\appyw.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [NAV CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT" O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe" O4 - HKLM\..\Run: [Microsoft UMA Update] MSuma32.exe O4 - HKLM\..\Run: [msn] msnmsgr.exe O4 - HKLM\..\Run: [ntvl32.exe] C:\WINDOWS\system32\ntvl32.exe O4 - HKLM\..\Run: [Zone Labs Client] C:\ANWEND~1\SCANNE~1\ZONEAL~1\zlclient.exe O4 - HKLM\..\RunServices: [Microsoft UMA Update] MSuma32.exe O4 - HKLM\..\RunServices: [msn] msnmsgr.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Microsoft UMA Update] MSuma32.exe O4 - HKCU\..\Run: [msn] msnmsgr.exe O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo O4 - HKLM\..\RunOnce: [appfe32.exe] C:\WINDOWS\system32\appfe32.exe O4 - HKLM\..\RunOnce: [atlpu32.exe] C:\WINDOWS\system32\atlpu32.exe O14 - IERESET.INF: START_PAGE_URL=http://GLOBAL.ACER.COM/ O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...150.7555439815 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{2F20F4D3-D579-45F7-9F09-0191AEA168CC}: NameServer = 194.97.173.125 194.97.3.83 O17 - HKLM\System\CS1\Services\Tcpip\..\{2F20F4D3-D579-45F7-9F09-0191AEA168CC}: NameServer = 194.97.173.125 194.97.3.83 Wäre es eine Möglichkeit einfach eine Weile zu warten bis es ein Tool gibt was den Wurm wirklich entfernt und nicht nur für 10 Minuten ? Und in der Zwischnezeit nen anderen Browser zu verwenden, oder richtet der dann trotzdem etwas an ? Vielen Dank für eure Antworten und vielleicht noch Ideen. [ 17. Juni 2004, 01:44: Beitrag editiert von: DonStefano ] |
Versuche das Cleaning Tool mal. http://www.trojaner-info.de/cgi-bin/...i?file=sphjfix Das sollte helfen!!! Danach nochmal mit CWShredder. |
tja schön wärs aber das habe ich auch schon ausprobiert. das ist zwar ein tool das einen wurm weg macht jedoch nicht den "#96676 wurm". es kommt "nicht infiziert" obwohl das nicht stimmt. mfg nitro |
</font><blockquote>Zitat:</font><hr />Original erstellt von Olo: </font>[/QUOTE]achso nochwas wieder @ nitro poste doch bitte dein log in einem eingenen thread sonst wirds zu unübersichtlich schreib ich undeutlich oder hast du was gegen posts lesen DonStefano ?? ( nich bös gemeint ;D ) also nochmal das teil scheint den namen zu ändern MSuma32.exe zum beispiel is bei donstefano und ih wette darum das es malware ist allerdings ist es zu aufwendig wenn nun jemand hier im board jedes log durchgeht das könnt ihr auch selber machen jeder prozess kann malware sein prozesse die im system ordner sind und undbekannt sind zbsp kein einizger eintrag in google sind sehr verdächtig die könnt ihr dann erstmal scannen sollte es keinen befund geben an antivirensoftware hersteller schicken wie das geht steht auch oft genug hier im forum bei fragen zu einzelnen files könnt ihr hier posten wenn euch das zu aufwendig ist dann müsst ihr wohl warten bis ein remove tool erscheint |
Lösung für #96676 Hijacker? Ich habe nach Suche in google folgendes US forum entdeckt, dort scheint "rrlover" gestern Nacht die Lösung für #96676 (Startseitenänderung) gefunden zu haben: http://www.dslreports.com/forum/rema...8952~mode=flat Er konnte im abgesicherten Modus mit trojan cleaner den "wurm" entfernen. Nachdem er sich in dieser Nacht im Forum nicht mehr gemeldet hat, scheint es wohl zu klappen. Kann mal jemand der PC Fit ist einen Blick auf den link werfen und prüfen was "rrlover" gemacht hat und wo bekomme ich trojan cleaner her? |
probiers mal bei google oder hier im forum ich kenn das tool nicht ... aber könnte funktionieren |
Hallo zusammen, @ OLO: Deinen Hinweis, dass man ín dieses Posting nicht noch andere Logs posten soll habe ich in der Tat überlesen. Nach 10 Stunden erfolglosen Problemlösungsversuchen, etwa 30 Schachteln Zigaretten und totaler Übermüdung sei mir das um 2:00 nachts doch bitte ausnahmsweise verziehen ;) Außerdem dachte ich so kann man vielleicht Parallelen entdecken (bzw. ihr die mehr Ahnung von der Materie habt als ich z.B.), die bei der Lösung des Problems helfen können. Schließlich haben wir ja alle dieses Problem gemeinsam mit der #96676. Und es scheint ja ein noch recht neues Problem zu sein. Wollte jedenfalls gegen keine Regeln verstoßen und eröffne dann jetzt noch mal einen eigenen Thread zu meinem Problem mit dem Namen "Startseitenänderung mit #96676 und .exe Dateien" Darin werde ich auch noch einmal einige Fragen stellen und würde mich freuen wenn du und auch gern jeder andere mir dort ein wenig weiter helfen würde. Die Seite hier finde ich übringens eine super Angelegenheit - und vielen Dank für die Mühe die ihr euch macht "Viren und Trojanern Naivlingen" wie mir zur Seite zu stehen. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 02:38 Uhr. |
Copyright ©2000-2025, Trojaner-Board