|
Hilfe, bekomm bestsearch.cc/3100/ nicht weg. Hallo zusammen, ich hoffe es nimt sich jemand Zeit für mich und meinem Kampf mit bestsearch.cc/3100/. habe alles mögliche schon probiert von ad-aware bis hin zu Spybot, auch die automatische auswertung meiner Hijack This logfiles auf der Hijack This seite brachte keinen erfolg. Hier nun mein aktuelles Logfile Logfile of HijackThis v1.98.2 Scan saved at 19:28:35, on 04.11.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\WINDOWS\Explorer.EXE C:\Programme\Canon\MultiPASS4\MPSERVIC.EXE C:\WINDOWS\System32\RunDll32.exe C:\WINDOWS\System32\NILaunch.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\System32\fxredir.exe D:\online\avm\ken\kentbsrv.exe D:\Tools\Norton\Internet Security\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\nvsvc32.exe D:\Tools\Norton\Internet Security\Norton AntiVirus\SAVScan.exe C:\WINDOWS\System32\svchost.exe D:\TEMP\Hijacker\hijackthis1982\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.52/3100/sp.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.52/3100/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.191.52/3100/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.52/3100/sp.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.52/3100/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.191.52/3100/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://69.50.191.52/3100/sp.php O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Tools\Norton\Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Tools\Norton\Internet Security\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKLM\..\Run: [fxredir] C:\WINDOWS\System32\fxredir.exe O4 - HKLM\..\Run: [Ad-watch] "D:\Online\Ad-aware 6\Ad-aware 6pro\Ad-watch.exe" O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [Net-It Launcher] C:\WINDOWS\System32\NILaunch.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [svchost] C:\WINDOWS\rundll32.exe O4 - HKLM\..\Run: [URLLSTCK.exe] D:\Tools\Norton\Internet Security\UrlLstCk.exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [MPTBox] C:\PROGRA~1\Canon\MULTIP~1\mptbox.exe O4 - HKLM\..\Run: [monitr32] C:\Programme\Canon\MultiPASS4\monitr32.exe O4 - HKLM\..\Run: [KEN Taskbar Service] "d:\online\avm\ken\kentbsrv.exe" O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [PestPatrol Control Center] C:\PROGRA~1\PESTPA~1\PPControl.exe O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe O4 - Global Startup: SpySubtract.lnk = C:\Program Files\InterMute\SpySubtract\SpySub.exe O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll O13 - WWW Prefix: http://69.50.191.50/? O17 - HKLM\System\CCS\Services\Tcpip\..\{867019E9-3035-49E0-B483-18E7758BA013}: NameServer = 192.168.0.10 |
Hallo, bautz, schaut aber irgendwie nicht gut aus. Fixe dies im abgesicherten Modus unter deaktivierter Systemwiederherstellung: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.52/3100/sp.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.52/3100/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.191.52/3100/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.52/3100/sp.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.52/3100/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.191.52/3100/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://69.50.191.52/3100/sp.php O4 - HKLM\..\Run: [svchost] C:\WINDOWS\rundll32.exe O13 - WWW Prefix: http://69.50.191.50/? Lösche dann die Datei: C:\WINDOWS\rundll32.exe Scanne folgende Dateien online hier C:\WINDOWS\System32\NILaunch.exe C:\WINDOWS\System32\fxredir.exe D:\online\avm\ken\kentbsrv.exe Außerdem empfehle ich Dir, ebenfalls im abgesicherten Modus einen eScan Poste dann bitte die Ergebnisse und ein neues HJT-Logfile hier rein. cacatoa |
Hi, danke erst einmal für Deine Hilfe. Aber ich kann keine progs starten (exe;com) kommt immer der hinweis Datei nicht gefunden bitte Namen und Pfad überprüfen, aber sind alle da, das einzige was öffnet ist der Arbeitsplatz mit dem ich auch die dateien finde. Das ganze Problem ist auch im Abgesicherten Modus vohanden. Ich konnte nicht einmal die Eindräge von HijackThis Fixen. Kannst Du oder jemand anderes mir Helfen? Danke bautz |
@bautz gehe auf arbeitsplatz, Extras, Ordneroptionen, Ansicht, häkchen setzen bei "alle dateien und ordner einblenden" chaosman |
Das hab ich doch immer an, Ich meine die Progs wie z.B. regedit.exe oder explorer.exe sind am richtigem ort das sehe ich im arbeitsplatz wenn ich den etsprechenden Ordnder öffne, aber ich kann sie nicht Öffnen oder Ausführen. Gruss bautz |
@bautz versuche folgendes: downloade escan http://www.mwti.net/antivirus/free_utilities.asp führe es genauso durch wie hier beschrieben wird http://www.trojaner-board.de/showthread.php?t=8131 escan läuft zwischen 1 - 2 stunden mache danach in scan mit hijackthis, und poste nur die ergebnisse von escan chaosman |
Habe eScan schon drauf und es schon vorher als eine der erstmaßnahmen durchlaufen lassen aber mit keinem erfolg. jetzt kann ich es nicht mehr starten. Gruss bautz |
Ich habe es geschafft eSan zu starten :crazy: lasse es jetzt laufen, melde mich morgen mit dem ergebnis. :sleepy: Danke erstmal für eure Hilfe bautz |
habe eScan drüberlaufen lassen brachte aber nichts, Einträge von cacatoa mit HijackThis gefixt auch die Dateien überprüft nichts :( nach dem Neustart im normal Modus is alles wieder da :koch: Logfile of HijackThis v1.98.2 Scan saved at 19:28:35, on 04.11.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\WINDOWS\Explorer.EXE C:\Programme\Canon\MultiPASS4\MPSERVIC.EXE C:\WINDOWS\System32\RunDll32.exe C:\WINDOWS\System32\NILaunch.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\System32\fxredir.exe D:\online\avm\ken\kentbsrv.exe D:\Tools\Norton\Internet Security\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\nvsvc32.exe D:\Tools\Norton\Internet Security\Norton AntiVirus\SAVScan.exe C:\WINDOWS\System32\svchost.exe D:\TEMP\Hijacker\hijackthis1982\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.52/3100/sp.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.52/3100/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.191.52/3100/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.52/3100/sp.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.52/3100/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.191.52/3100/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://69.50.191.52/3100/sp.php O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Tools\Norton\Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Tools\Norton\Internet Security\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKLM\..\Run: [fxredir] C:\WINDOWS\System32\fxredir.exe O4 - HKLM\..\Run: [Ad-watch] "D:\Online\Ad-aware 6\Ad-aware 6pro\Ad-watch.exe" O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [Net-It Launcher] C:\WINDOWS\System32\NILaunch.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [svchost] C:\WINDOWS\rundll32.exe O4 - HKLM\..\Run: [URLLSTCK.exe] D:\Tools\Norton\Internet Security\UrlLstCk.exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [MPTBox] C:\PROGRA~1\Canon\MULTIP~1\mptbox.exe O4 - HKLM\..\Run: [monitr32] C:\Programme\Canon\MultiPASS4\monitr32.exe O4 - HKLM\..\Run: [KEN Taskbar Service] "d:\online\avm\ken\kentbsrv.exe" O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [PestPatrol Control Center] C:\PROGRA~1\PESTPA~1\PPControl.exe O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe O4 - Global Startup: SpySubtract.lnk = C:\Program Files\InterMute\SpySubtract\SpySub.exe O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll O13 - WWW Prefix: http://69.50.191.50/? O17 - HKLM\System\CCS\Services\Tcpip\..\{867019E9-3035-49E0-B483-18E7758BA013}: NameServer = 192.168.0.10 Vieleicht Könnt Ihr nochmal reinschauen Danke bautz |
Teste C:\WINDOWS\System32\RunDll32.exe mal hier: http://virusscan.jotti.org/de Hast du tatsächlich die Einträge nach Deaktivierung der Systemweiderherstellung und Booten in den abgesicherten Modus gefixed? |
Ja, das ist ja meim Problem die einträge hat auch die Automatiche Auswertung mir angezeigt. Könnte es vileicht sein das die daten von einem anderen Rechner im LAN kommen Könten, das wäre doch theoretisch möglich? Bin jetzt dabei alle Rechner einzeln zu untersuchen, und gegebenfalls zu Fixen oder zu erneuern(neu aufspielen). Kennst Du ein Paar Schutzprogis, die auch im LAN helfen habe Norten NAV und Isecurity auf allen systemen laufen aber es hat wie mir scheint nichts gebracht. Mein System : DLink DI 614+ (Router und Gateway) daran 2 PC , dann ein weiterer DI 614+(fungiert als AP und Switch) mit 1 PC über Kabel und Laptop über WLAN. Alle Rechner nutzen den internetzugan über den Gateway. Vieleicht hat ja jemand einen tip. danke und Gruß bautz :( |
Liste der Anhänge anzeigen (Anzahl: 1) habe die Lösung (glaube ich) zu: "http://69.50.191.52/3100/" = Böse "http://bestsearch.cc/" habe etliches ausprobiert und ich muß sagen F*ck auf "Norton Internet Security 2005" :snyper: ich wahr biß jetzt zufrieden er hat mir auch mal kurz angezeigt Virus: bla bla bla gelöscht, aber heute mit der oben genannten seite :mad: Spy Sweeper, Hijackthis 1.982 , Voll der Müll zum teil jetzt habe ich "AntiVir Personal Edition v6.28.00.07" ausprobiert, (avwinsfx.exe) <4.5 MB und siehe da, geht doch :D ScreenShot für den Virus ! !! Virus: TR/Spy.Bofula |
Wichtiger als AV-Programme sind sichere Browser und E-Mail-Clients, z.B. Mozilla, Firefox und Thunderbird oder Opera, und ein gewisses Maß an Vorsicht im Internet: http://www.mathematik.uni-marburg.de...ompromise.html Gruß :daumenhoc Yopie |
PS: NeuStart & Alles Ok. StartSeite = die Richtige Schaut mal im Ordner C:\Dokumente und Einstellungen\User-xxx\Lokale Einstellungen\Temp bei mir lagen da (z.B. .av0) Dateien alle von heute;gestern über3.280 datein in 755 MB = Wech damit |
Ich danke Euch allen für Eure Hilfe, habe mich nach fast einer Woche Kampf mit den Teil entschloßen alles neu zu machen, mein kleines Netz ist jetzt wieder sauber. Ich hoffe es bleibt auch so. Trotzdem Danke füern Euere bemühungen, falls ich mal wieder ein Problem mit Irgendwelchen Vieren, Trojanern oder Hijackeren habe komm ich gerne auf Euch zurück. Gruß bautz |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 21:24 Uhr. |
Copyright ©2000-2025, Trojaner-Board