|
Logfile of HijackThis Kann mir jemand weiterhelfen? Logfile of HijackThis v1.97.7 Scan saved at 18:31:57, on 08.11.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\Norman\NVC\BIN\Zanda.exe C:\WINDOWS\Explorer.EXE C:\ATI-CPanel\atiptaxx.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\DIGStream\digstream.exe C:\WINDOWS\System32\rundll32.exe C:\WINDOWS\System32\systime.exe C:\windows\system32\csmss.exe C:\WINDOWS\System32\msrexe.exe C:\NORMAN\Nvc\BIN\ZLH.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\System32\systime.exe C:\Dokumente und Einstellungen\Matthias Jäggi\Anwendungsdaten\oroe.exe C:\Programme\Samsung\Digimax Viewer 2.0\STImgBrowser.exe C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\WebSiteViewer\124497.dlr C:\PROGRA~1\DAP\DAP.EXE C:\NORMAN\Nvc\BIN\nvcoas.exe C:\NORMAN\Nvc\BIN\NYMSE.EXE C:\NORMAN\Nvc\BIN\NVCSCHED.EXE C:\NORMAN\Nvc\BIN\NIP.EXE C:\NORMAN\Nvc\BIN\NJEEVES.EXE C:\NORMAN\Nvc\BIN\cclaw.exe C:\Dokumente und Einstellungen\Matthias Jäggi\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hjt.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://find-on-the-net.com/search.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php O1 - Hosts: 127.0.0.3 n-glx.s-redirect.com O1 - Hosts: 127.0.0.3 x.full-tgp.net O1 - Hosts: 127.0.0.3 counter.sexmaniack.com O1 - Hosts: 127.0.0.3 autoescrowpay.com O1 - Hosts: 127.0.0.3 www.autoescrowpay.com O1 - Hosts: 127.0.0.3 www.awmdabest.com O1 - Hosts: 127.0.0.3 www.sexfiles.nu O1 - Hosts: 127.0.0.3 awmdabest.com O1 - Hosts: 127.0.0.3 sexfiles.nu O1 - Hosts: 127.0.0.3 allforadult.com O1 - Hosts: 127.0.0.3 www.allforadult.com O1 - Hosts: 127.0.0.3 www.iframe.biz O1 - Hosts: 127.0.0.3 iframe.biz O1 - Hosts: 127.0.0.3 www.newiframe.biz O1 - Hosts: 127.0.0.3 newiframe.biz O1 - Hosts: 127.0.0.3 www.vesbiz.biz O1 - Hosts: 127.0.0.3 vesbiz.biz O1 - Hosts: 127.0.0.3 www.pizdato.biz O1 - Hosts: 127.0.0.3 pizdato.biz O1 - Hosts: 127.0.0.3 www.aaasexypics.com O1 - Hosts: 127.0.0.3 aaasexypics.com O1 - Hosts: 127.0.0.3 www.virgin-tgp.net O1 - Hosts: 127.0.0.3 virgin-tgp.net O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {2C5175A2-ADF3-4F57-AB70-BA90FD60A383} - C:\Programme\IESearchToolbar\IESearchToolbar.dll O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: (no name) - {7B55BB05-0B4D-44fd-81A6-B136188F5DEB} - C:\WINDOWS\questmod.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file) O3 - Toolbar: IE Search Toolbar - {EB381422-F797-4A98-A266-9DC490821907} - C:\Programme\IESearchToolbar\IESearchToolbar.dll O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [DIGStream] C:\Programme\DIGStream\digstream.exe O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s O4 - HKLM\..\Run: [SysTime] C:\WINDOWS\System32\systime.exe O4 - HKLM\..\Run: [spoolsvr32] c:\windows\system32\csmss.exe O4 - HKLM\..\Run: [System Service] C:\WINDOWS\System32\msrexe.exe O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [SysTime] C:\WINDOWS\System32\systime.exe O4 - Global Startup: Digimax Viewer 2.0.lnk = ? O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Messenger (HKLM) O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O15 - Trusted Zone: *.blazefind.com O15 - Trusted Zone: *.clickspring.net O15 - Trusted Zone: *.flingstone.com O15 - Trusted Zone: *.mt-download.com O15 - Trusted Zone: *.my-internet.info O15 - Trusted Zone: *.searchbarcash.com O15 - Trusted Zone: *.searchmiracle.com O15 - Trusted Zone: *.skoobidoo.com O15 - Trusted Zone: *.slotch.com O15 - Trusted Zone: *.windupdates.com O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...dceabcca450006 O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/10e1d485f8899d9...dxIE601_de.cab O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} - http://www.mt-download.com/MediaTicketsInstaller.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab |
Hi, guerrero66, Siht ziemlich übel aus. Bitte als erstes Dein System updaten. Dann bitte auch HJT updaten, du benutzt noch die Version 1.97.7 Lade dir bitte folgendes runter: Spybot S&D und laufen lassen, AdAware SE und laufen lassen. Dann bitte neues Logfile erstellen und reinposten. cacatoa |
Lade vorher bitte zur Sicherheit LSPFix runter, falls du nach den Scans Probleme hast ins Netz zu kommen |
@ haui45 Danke, daß Du michnicht allein läßt... Spybot S&D repariert aber ebenfalls (zumindest ab und zu..) Aber du hast recht, lspfix ist sicherer :daumenhoc |
Alles löschen, was AdAware gefunden hat. Wenn Du HiJackThis upgedated hast, dann neues Logfile reinposten. cacatoa |
Hallo, guerrero66, Dein System ist immer noch nicht upgedated, du benutzt keinen virenscanner und hast einiges an gefährlichem Zeug drauf. Runterladen: LSPFix. Damit mußt Du Deine winsocks reparieren (Installieren, laufen lassen und alle Einträge mit "New.Net" nach rechts ziehen und remove.) Bitte folgendes im abgesicherten Modus bei deaktivierter Systemwiederherstellung mit HJT fixen: C:\Dokumente und Einstellungen\Matthias Jäggi\Anwendungsdaten\oroe.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://find-on-the-net.com/ O1 - Hosts: 127.0.0.3 n-glx.s-redirect.com O1 - Hosts: 127.0.0.3 x.full-tgp.net O1 - Hosts: 127.0.0.3 counter.sexmaniack.com O1 - Hosts: 127.0.0.3 autoescrowpay.com O1 - Hosts: 127.0.0.3 www.autoescrowpay.com O1 - Hosts: 127.0.0.3 www.awmdabest.com O1 - Hosts: 127.0.0.3 www.sexfiles.nu O1 - Hosts: 127.0.0.3 awmdabest.com O1 - Hosts: 127.0.0.3 sexfiles.nu O1 - Hosts: 127.0.0.3 allforadult.com O1 - Hosts: 127.0.0.3 www.allforadult.com O1 - Hosts: 127.0.0.3 www.iframe.biz O1 - Hosts: 127.0.0.3 iframe.biz O1 - Hosts: 127.0.0.3 www.newiframe.biz O1 - Hosts: 127.0.0.3 newiframe.biz O1 - Hosts: 127.0.0.3 www.vesbiz.biz O1 - Hosts: 127.0.0.3 vesbiz.biz O1 - Hosts: 127.0.0.3 www.pizdato.biz O1 - Hosts: 127.0.0.3 pizdato.biz O1 - Hosts: 127.0.0.3 www.aaasexypics.com O1 - Hosts: 127.0.0.3 aaasexypics.com O1 - Hosts: 127.0.0.3 www.virgin-tgp.net O1 - Hosts: 127.0.0.3 virgin-tgp.net O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file) O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s O4 - HKLM\..\Run: [SysTime] C:\WINDOWS\System32\systime.exe O4 - HKLM\..\Run: [spoolsvr32] c:\windows\system32\csmss.exe O4 - HKCU\..\Run: [Lnbu] C:\Dokumente und Einstellungen\Matthias Jäggi\Anwendungsdaten\oroe.exe O15 - Trusted Zone: *.skoobidoo.com O15 - Trusted Zone: *.windupdates.com O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/10e1d485f8899d9...dxIE601_de.cab Dann folgende Dateien manuell löschen: C:\Dokumente und Einstellungen\Matthias Jäggi\Anwendungsdaten\oroe.exe C:\Programme\NewDotNet\newdotnet6_38.dll C:\WINDOWS\System32\systime.exe c:\windows\system32\csmss.exe Im Anschluß führst Du einen eScan im abgeesciherten Modus, bei deaktivierter Systemwiederherstellung durch. genau lesen! Dann Ergebnis und neues HJT-Logfile posten. So damit hast Du erstmal genug zu tun! Grüße cacatoa |
Hallo cacatoa Habe Schritte wie du mir gepostet hast ausgeführt, und e-scan gemacht, dann virusscanner antivir heruntergeladen und ausgeführt, alle infizierten Dateien gelöschen, neugestartet und jetzt geht gar nichts mehr, komme nicht mehr ins Internet. Habe mich nun als Gast angemeldet, und das funktioniert einigermassen, falle aber immer aus dem Internet mit der Nachricht "Problembericht an Microsoft senden'"... Ich glaube habe irgend etwas falsch gemacht oder mein PC ist nun total virenverseucht. :koch: :koch: :koch: |
Deine Winsocks sind zerstört. Deshalb habe ich dir geraten (ein post weiter unten) LSPFix runterzuladen und nach Anweisung auszuführen. Dann kommst Du auch wieder ins Netz. "Wer lesen kann, ist klar im Vorteil" ;) und nicht gleich so böse :koch: werden; bei dem Surfverhalten ist es ein Wunder, daß die Kiste überhaupt noch läuft.... |
Würde ja gerne das Programm nochmals downloaden, aber jetzt geht das nicht mehr, offenbar kann ich gar nichts mehr auf die Festplatte schreiben. Das ist ein ziemlich grosses Problem... |
Geh mal unter "Software entfernen" und deinstalliere New.Net. Dann LSPFix laufen lassen (Du brauchst es ja nicht nochmal runterladen, du hast es doch schon, oder) und die winsocks wie beschrieben reparieren. |
Wenn ich die Seite anwähle, wo ich LSPfix.exe herunterladen kann, wird diese gar nicht angezeigt sondern die Site: find-it-on-the-net.com! Download nicht möglich, komme nur noch unter Benutzerkonto Gast ins Internet, bei meinem Benutzerkonto funktioniert gar nichts mehr! Kann also auch LSPfix nicht mehr ausführen! Vielen Dank für jegliche Hilfe |
Schreib Dir den LSPFix-Link auf, geh zu einem Kumpel, lad es runter und brenn es auf CD. Dann zuhause weitermachen. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 05:53 Uhr. |
Copyright ©2000-2024, Trojaner-Board