|
advhost Hallo, sry ich bin grad ein wenig überfordert. kenne mich nur sehr wenig mit dem pc aus und schreibe grad eine wichtige hausarbeit für die uni sry wenn das problem schon hier drin steht und ich das doppelt schreibe ... also bei mir öffnen sich immer irgendwelche internetseiten und meine startseite verändert sich ... habe hier mal mit hijack den logfile: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:55:40, on 06.04.2009 Platform: Windows Vista SP1 (WinNT 6.00.1905) MSIE: Internet Explorer v7.00 (7.00.6001.18000) Boot mode: Normal Running processes: C:\Windows\system32\taskeng.exe C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Windows\RtHDVCpl.exe C:\Program Files\TOSHIBA\Power Saver\TPwrMain.exe C:\Program Files\TOSHIBA\SmoothView\SmoothView.exe C:\Program Files\TOSHIBA\FlashCards\TCrdMain.exe C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe C:\Program Files\TOSHIBA\Toshiba Online Product Information\TOPI.exe C:\Program Files\IDM\Desktop SMS\DesktopSMS.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Program Files\Windows Sidebar\sidebar.exe C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe C:\Program Files\TOSHIBA\TOSCDSPD\TOSCDSPD.exe C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE C:\Program Files\Windows Media Player\wmpnscfg.exe C:\Program Files\Synaptics\SynTP\SynToshiba.exe C:\Program Files\TOSHIBA\ConfigFree\CFSwMgr.exe C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe C:\Program Files\Windows Mail\WinMail.exe C:\Program Files\Internet Explorer\ieuser.exe C:\Program Files\ICQ6.5\ICQ.exe C:\Windows\system32\Macromed\Flash\FlashUtil10b.exe C:\Windows\system32\advhost.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Users\Musterfrau\AppData\Local\Temp\Temp1_HiJackThis.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.msn.com/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.explorerstartpage.com/wspage.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.msn.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.explorerstartpage.com/wspage.php R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O1 - Hosts: ::1 localhost O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file) O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\2.6\coIEPlg.dll O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\COMMON~1\SYMANT~1\IDS\IPSBHO.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: MSN Toolbar Helper - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - C:\Program Files\MSN\Toolbar\3.0.1203.0\msneshellx.dll O3 - Toolbar: Show Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\2.6\CoIEPlg.dll O3 - Toolbar: MSN Toolbar - {1E61ED7C-7CB8-49d6-B9E9-AB4C880C8414} - C:\Program Files\MSN\Toolbar\3.0.1203.0\msneshellx.dll O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe O4 - HKLM\..\Run: [TPwrMain] %ProgramFiles%\TOSHIBA\Power Saver\TPwrMain.EXE O4 - HKLM\..\Run: [HSON] %ProgramFiles%\TOSHIBA\TBS\HSON.exe O4 - HKLM\..\Run: [SmoothView] %ProgramFiles%\Toshiba\SmoothView\SmoothView.exe O4 - HKLM\..\Run: [00TCrdMain] %ProgramFiles%\TOSHIBA\FlashCards\TCrdMain.exe O4 - HKLM\..\Run: [KeNotify] C:\Program Files\TOSHIBA\Utilities\KeNotify.exe O4 - HKLM\..\Run: [HWSetup] \HWSetup.exe hwSetUP O4 - HKLM\..\Run: [SVPWUTIL] C:\Program Files\TOSHIBA\Utilities\SVPWUTIL.exe SVPwUTIL O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe O4 - HKLM\..\Run: [topi] C:\Program Files\TOSHIBA\Toshiba Online Product Information\topi.exe -startup O4 - HKLM\..\Run: [Desktop SMS] C:\Program Files\IDM\Desktop SMS\DesktopSMS.exe /auto O4 - HKLM\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [Toshiba Registration] C:\Program Files\Toshiba\Registration\ToshibaRegistration.exe O4 - HKLM\..\Run: [SynTPStart] C:\Program Files\Synaptics\SynTP\SynTPStart.exe O4 - HKLM\..\Run: [Skytel] Skytel.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [osCheck] "C:\Program Files\Norton 360\osCheck.exe" O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter O4 - HKCU\..\Run: [TOSCDSPD] C:\Program Files\TOSHIBA\TOSCDSPD\TOSCDSPD.exe O4 - HKCU\..\Run: [EPSON Stylus DX4400 Series] C:\Windows\system32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE /FU "C:\Windows\TEMP\E_SC16C.tmp" /EF "HKCU" O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe O4 - Global Startup: VPN Client.lnk = ? O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\npjpi160.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\npjpi160.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: eBay - Der weltweite Online Marktplatz - {76577871-04EC-495E-A12B-91F7C3600AFA} - http://rover.ebay.com/rover/1/707-44556-9400-3/4 (file missing) O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: Amazon.de - {8A918C1D-E123-4E36-B562-5C1519E434CE} - http://www.amazon.de/exec/obidos/redirect-home?tag=Toshibadebholink-21&site=home (file missing) O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing) O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe O13 - DefaultPrefix: http://www.myhottersearchbox.com/not_found_de/?url= O13 - WWW Prefix: http://www.myhottersearchbox.com/not_found_de/?url= O13 - Gopher Prefix: O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll O16 - DPF: {44990301-3C9D-426D-81DF-AAB636FA4345} (Symantec Script Runner Class) - http://www.symantec.com/techsupp/asa/ss/sa/sa_cabs/tgctlsr.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O20 - AppInit_DLLs: C:\Windows\system32\adlaunch32.dll O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\VAScanner\comHost.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Program Files\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\LuComServer_3_4.EXE O23 - Service: LiveUpdate Notice - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\COMMON~1\SYMANT~1\CCPD-LC\symlcsvc.exe O23 - Service: TOSHIBA Navi Support Service (TNaviSrv) - TOSHIBA Corporation - C:\Program Files\TOSHIBA\TOSHIBA DVD PLAYER\TNaviSrv.exe O23 - Service: TOSHIBA Optical Disc Drive Service (TODDSrv) - TOSHIBA Corporation - C:\Windows\system32\TODDSrv.exe O23 - Service: TOSHIBA Power Saver (TosCoSrv) - TOSHIBA Corporation - C:\Program Files\TOSHIBA\Power Saver\TosCoSrv.exe O23 - Service: TOSHIBA Bluetooth Service - Unknown owner - c:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe (file missing) O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe -- End of file - 11402 bytes danke sassi |
wäre schön wenn mir jemand schnell helfen könnte |
So habe nun folgendes gemacht: CCleaner drüber laufen lassen und alles gelöscht MalWare hatte einen Wurm gefunden: auch alles gelöscht Avira hatte dann nichts mehr gefunden ... Jetz nochmal CCleaner drüber laufen lassen MalWare: Code: Malwarebytes' Anti-Malware 1.36HiJack: Code: Logfile of Trend Micro HijackThis v2.0.2Und jetz grad läuft Avira nochma drüber ... Kann mir jetzt vllt jemand helfen? |
Hallo und :hallo: 1.) Deinstalliere Norton/Symantec sowie alle Toolbars. 2.) Download und Ausführung des Norton-Entfernungsprogramms 3.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde. 4.) Start => Ausführen => msconfig (eintippeln) => OK => Karte: Tools => Benutzerkontoschutz deaktivieren => OK 5.) Mausklick rechts auf HJT => Ausführen als Administrator => Do a system scan only => Markiere: Zitat:
6.) Neustart 7.) Erstelle eine Liste der installierten Programme. Klicke auf "Für alle Neuen" in meiner Signatur und arbeite Punkt 2d ab. 8.) Neues HJT-Log posten. ciao, andreas |
ich hab norton von meinem dad hier drauf ... soll das ganz weg und später auch nich wieder benutzt werden? |
Zitat:
ciao, andreas |
wieso bezahlt man denn dann so viel geld dafür? :dummguck: avira ist jetz mit den agressiven einstellungen auch drüber gelaufen: Code: |
Zitat:
Arbeite bitte die Liste ab. Da steht nichts davon, dass Avira laufen soll. ciao, andreas |
bei punkt 2, nur die ersten beiden schritte ausführen, richtig? |
Nur den letzten, also 2 d, alles andere hast du ja schon und noch ein neues HJT-Log. ciao, andreas |
nee ich meinte bei "Download und Ausführung des Norton-Entfernungsprogramms" nur die ersten beiden Punkte |
Zitat:
ciao, andreas |
und bei der systemwiederherstellung is für vista irgendwie was durcheinander gekommen auf der seite |
Du musst nach unten rollen, die Beschreibung für Vista ist unten. ciao, andreas |
aber lies die dir mal durch, das funktioniert so nich wie es da steht das ist durcheinander |
Kann das leider nicht kontrollieren, da ich kein Vista habe und auch nicht haben will. :) Du schaffst das schon. :daumenhoc ciao, andreas |
muss jetzt leider erst weg ... bin morgen früh wieder da ... bis zu diesem punkt aber schon mal danke!!! |
Zitat:
gearbeitet ... und bei 4.) muss ich da zum schluss einfach nur ok drücken oder vorher auch auf "starten"? |
So du Stratege, lies doch einmal, was in meiner Signatur steht. Also keine PNs mehr in der Zukunft. Let me google that for you ciao, andreas |
soo hab soweit alles gemacht hier noch die uninstall list und das hjt Code: 2007 Microsoft Office Suite Service Pack 1 (SP1)hjt: Code: Logfile of Trend Micro HijackThis v2.0.2 |
Zitat:
Zitat:
Zitat:
Ich bin raus, andreas |
Ich studiere Germanistik und Kunst und jetz wird mir nich weiter geholfen? hab den vpn eintrag auch gefixt ... sry :-( |
jetz sitze ich hier, mein pc ist nicht geschützt, ich habe keine ahnung und mir wird nicht geholfen :heulen: schade! was kann ich machen, damit du mir weiterhilfst? Mehr als entschuldigen geht ja nich |
Hi, fixe bitte folgende Einträge: Zitat:
Danach solltest du selbst eine Startseite auswählen können. (Berichte bitte ob das geklappt hat) Erstelle danach bitte ein Log mit RSIT:
Was sind derzeit die Probleme mit deinem Rechner? lg myrtille |
also probleme habe ich im moment nicht mehr nur es fehlt mir halt der ganze schutz! habe doch einige sachen gemacht und dadurch einiges deaktiviert ... weiß leider nich wie du das mit "minimieren" meinst ich poste die beiden sachen mal: info: Code: info.txt logfile of random's system information tool 1.06 2009-04-10 14:11:16 |
log: Code: Logfile of random's system information tool 1.06 (written by random/random) |
Hi, mit minimieren wollte ich nur verdeutlichen, dass 2 Berichte aufgehen, davon einer "minimiert", so dass er nur unten in der Leiste zu sehen ist. Der Bericht wird häufig übersehen, daher wird extra darauf hingewiesen. ;) Lösche bitte noch folgende Datei, dann sollte alles weg sein: Zitat:
Du hast ein Antivirenprogramm, dass dich schützen soll: Antivir Außerdem wurde ein Antispywareprogramm installiert: Malwarebytes Anti-Malware. Das Programm sucht nicht von selbst, einfach gelegentlich das Programm aktualisieren und einen Quickscan machen um deinen Rechner zu überprüfen. Über Sinn und Unsinn von Firewalls lässt sich streiten: Standardmäßig sollte die Windowsfirewall aktiviert sein, die den eingehenden Verkehr kontrolliert. Die reicht theoretisch aus. Wichtig ist vor allem, dass du all deine Programm aktuell hälst, nicht nur Windows (auch wenn das mit das wichtigste ist.) Ich würde empfehlen, dass du noch bei secunia deinen Rechner auf veraltete Software überprüfen lässt und die bemängelten Programme aktualisierst. lg myrtille |
habe die datei auch noch gelöscht^^ kann/soll ich die benutzerkontosteuerung wieder aktivieren? und soll ich die "automatischen wiederherstellungspunkte" auch für c: wieder anstellen? welche der folgenden programme brauch ich denn nich mehr? ccleaner norton removal tool rsit danke, dass du mir trotzdem noch geholfen hast :) und danke trotzdem auch noch an john.doe |
Hi, ja, die Benutzerkontosteuerung sollte wieder aktiviert werden. Wenn du die Systemwiederherstellung wirklcih nutzt, kannst du diese auch wieder aktivieren. Die Deaktivierung sollte nur temporär sein, um sicherzustellen, dass die infizierten SWH-Punkte gelöscht wurden. Meines Erachtens brauchst du keines der Programme mehr. Der CCleaner kann ganz nützlich sein um temporäre Dateien zu löschen. Das ist das letztlich deine Entscheidung. Die anderen Programme sollten dir keinerlei Vorteile bringen. Wenn du den VPN Eintrag noch wiederherstellen willst, kannst du die Backupfunktion von Hijackthis nutzen um dies zu tun. (Oder einfach einen neuen Shortcut in den Autostart setzen. ;) ) lg myrtille |
Ich würd sagen, kann als gelöst gewertet werden .. hab dann jetzt alles wieder so wies sein sollte hoffe ich DANKE! |
Gern geschehen. ;) Schönen Abend noch :) lg myrtille |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 08:16 Uhr. |
Copyright ©2000-2025, Trojaner-Board