|
Probleme mit Startseite Hi! Seit letzter Woche besteht hier in unserer Arebit an einem Rechner das Problem mit der unerwünschten Startseite und einer veränderten Navigationsleiste im Internet Explorer. Hab dieses Forum gefunden, mich bissl durchgelesen und dann Hijack verwendet. Kann uns jemand helfen? Hier der Log: Logfile of HijackThis v1.99.0 Scan saved at 12:26:06, on 27.12.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINNT\System32\svchost.exe C:\WINNT\System32\mgabg.exe C:\Programme\Canon\MultiPASS4\MPSERVIC.EXE C:\mysql\bin\mysqld-nt.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\WINNT\System32\PDesk\PDesk.exe C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE C:\Programme\Canon\MultiPASS4\monitr32.exe C:\Programme\Canon\MultiPASS4\MPTBox.exe C:\Programme\QuickTime\qttask.exe C:\Program Files\Windows ServeAd\WinServAd.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Program Files\Windows ServeAd\WinServSuit.exe C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\r??e.exe C:\Programme\TerraTec\DMX 6fire\DMX6Fire.exe C:\Programme\FinePixViewer\QuickDCF.exe C:\Programme\Apache Group\Apache2\bin\ApacheMonitor.exe C:\Programme\WinZip\WZQKPICK.EXE C:\Programme\WinTV\Ir.exe C:\WINNT\system32\wuauclt.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Björn\Hijack\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web--search.com R3 - URLSearchHook: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - C:\WINNT\Downloaded Program Files\webdlg32.dll O1 - Hosts: 127.0.0.3 n-glx.s-redirect.com O1 - Hosts: 127.0.0.3 x.full-tgp.net O1 - Hosts: 127.0.0.3 counter.sexmaniack.com O1 - Hosts: 127.0.0.3 autoescrowpay.com O1 - Hosts: 127.0.0.3 www.autoescrowpay.com O1 - Hosts: 127.0.0.3 www.awmdabest.com O1 - Hosts: 127.0.0.3 www.sexfiles.nu O1 - Hosts: 127.0.0.3 awmdabest.com O1 - Hosts: 127.0.0.3 sexfiles.nu O1 - Hosts: 127.0.0.3 allforadult.com O1 - Hosts: 127.0.0.3 www.allforadult.com O1 - Hosts: 127.0.0.3 www.iframe.biz O1 - Hosts: 127.0.0.3 iframe.biz O1 - Hosts: 127.0.0.3 www.newiframe.biz O1 - Hosts: 127.0.0.3 newiframe.biz O1 - Hosts: 127.0.0.3 www.vesbiz.biz O1 - Hosts: 127.0.0.3 vesbiz.biz O1 - Hosts: 127.0.0.3 www.pizdato.biz O1 - Hosts: 127.0.0.3 pizdato.biz O1 - Hosts: 127.0.0.3 www.aaasexypics.com O1 - Hosts: 127.0.0.3 aaasexypics.com O1 - Hosts: 127.0.0.3 www.virgin-tgp.net O1 - Hosts: 127.0.0.3 virgin-tgp.net O2 - BHO: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - C:\WINNT\Downloaded Program Files\webdlg32.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: Search Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - C:\WINNT\Downloaded Program Files\webdlg32.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINNT\System32\PDesk\PDesk.exe /Autolaunch O4 - HKLM\..\Run: [REGSHAVE] C:\Progra~1\REGSHAVE\REGSHAVE.EXE /autorun O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE O4 - HKLM\..\Run: [monitr32] C:\Programme\Canon\MultiPASS4\monitr32.exe O4 - HKLM\..\Run: [MPTBox] C:\Programme\Canon\MultiPASS4\MPTBox.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Windows ServeAd] C:\Program Files\Windows ServeAd\WinServAd.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE O4 - HKCU\..\Run: [Uctb] C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\r??e.exe O4 - Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: DMX 6fire 2496 ControlPanel.lnk = C:\Programme\TerraTec\DMX 6fire\DMX6Fire.exe O4 - Global Startup: Exif Launcher.lnk = C:\Programme\FinePixViewer\QuickDCF.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Monitor Apache Servers.lnk = C:\Programme\Apache Group\Apache2\bin\ApacheMonitor.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O15 - Trusted Zone: *.blazefind.com O15 - Trusted Zone: *.clickspring.net O15 - Trusted Zone: *.flingstone.com O15 - Trusted Zone: *.mt-download.com O15 - Trusted Zone: *.my-internet.info O15 - Trusted Zone: *.searchbarcash.com O15 - Trusted Zone: *.searchmiracle.com O15 - Trusted Zone: *.skoobidoo.com O15 - Trusted Zone: *.slotch.com O15 - Trusted Zone: *.windupdates.com O15 - Trusted Zone: *.xxxtoolbar.com O15 - Trusted Zone: *.blazefind.com (HKLM) O15 - Trusted Zone: *.clickspring.net (HKLM) O15 - Trusted Zone: *.flingstone.com (HKLM) O15 - Trusted Zone: *.mt-download.com (HKLM) O15 - Trusted Zone: *.my-internet.info (HKLM) O15 - Trusted Zone: *.searchbarcash.com (HKLM) O15 - Trusted Zone: *.searchmiracle.com (HKLM) O15 - Trusted Zone: *.skoobidoo.com (HKLM) O15 - Trusted Zone: *.slotch.com (HKLM) O15 - Trusted Zone: *.windupdates.com (HKLM) O15 - Trusted Zone: *.xxxtoolbar.com (HKLM) O15 - Trusted IP range: 213.159.117.133 O15 - Trusted IP range: 213.159.117.133 (HKLM) O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://213.159.117.133/dl/adv74/x.chm::/load.exe O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/Do...ridge-c361.cab O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - http://asp04.photoprintit.de/microsi...eUploader3.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{DD458429-BB13-4E18-8E93-9178811A06EA}: NameServer = 193.254.184.232,194.25.2.129 O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Apache2 - Apache Software Foundation - C:\Programme\Apache Group\Apache2\bin\Apache.exe O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINNT\System32\mgabg.exe O23 - Service: MpService - Canon Inc - C:\Programme\Canon\MultiPASS4\MPSERVIC.EXE O23 - Service: MySql - Unknown - C:/mysql/bin/mysqld-nt.exe P.S.: Mich irritieren die offensichtlichen Sex-Sachen...kann jemand von hier auf solche Seiten zugreifen? Gruß und Danke im Vorraus! |
Na, was machtg Ihr denn so in euerer Arbeit.... ;) Da hat einer aber mächtig zugeschlagen. Jetzt machst Du folgendes: Leere die trusted zone wie im folgenden beschrieben. Dann im IE unter Extras, Internetoptionen, Sicherheit, vertrauenswürdige Seiten, die Sicherheitseinstellungen anpassen. Dann neu booten und neues Logfile erstellen. Dieses Logfile dann hier reinposten. Ich möchte mit Dir Schritt für Schritt vorgehen. Bis dann. cacatoa |
Möcht ich auch wissen, was hier los ist! Zitat:
Inwiefern soll ich die Sicherheitseinstellungen anpassen? P.S.: Kann man so einem Müll in Zukunft verhindern? |
Hi, sorry, in dem Link mußt du nach dem post Nr. 31 handeln! Du sollst danach im Internetexplorer auf extras gehen, dann Internetoptionen, dann Sicherheit und hier auf "vertrauenswürdige Seiten" clicken, dann siehst du, welche drin stehen. Du kannst dann noch die jenigen, die Du nicht drinhaben willst rauslöschen. Bis gleich. cacatoa |
@Chucksniff es steht hier genauestens beschrieben was du machen solltest. http://www.trojaner-board.de/showthr...9&page=4&pp=10 wenn du diese seite ausdrückst, dieses dann so machst, dann sind am ende deine O 15 einträge weg = geleert. danach kommt der rest der cacatoa dir schon gepostet hatte. P.S.: Kann man so einem Müll in Zukunft verhindern? überdenke bitte dein surfverhalten, benütze zum surfen den Firefox, benütze den IE nur zum updaten chaosman |
Danke jetzt schonmal für die schnellen Reaktionen! Glaub aber nicht, dass das was mit MEINEM Surfverhalten zu tun hat. Hier haben viele Leute 24h Zugang. Glaub, da muss mal was geklärt werden! Hab alles gemacht, hier der neue Log: Logfile of HijackThis v1.99.0 Scan saved at 13:16:23, on 27.12.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINNT\System32\svchost.exe C:\WINNT\System32\mgabg.exe C:\Programme\Canon\MultiPASS4\MPSERVIC.EXE C:\mysql\bin\mysqld-nt.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\WINNT\System32\PDesk\PDesk.exe C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE C:\Programme\Canon\MultiPASS4\monitr32.exe C:\Programme\Canon\MultiPASS4\MPTBox.exe C:\Programme\QuickTime\qttask.exe C:\Program Files\Windows ServeAd\WinServAd.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Program Files\Windows ServeAd\WinServSuit.exe C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\r??e.exe C:\Programme\TerraTec\DMX 6fire\DMX6Fire.exe C:\Programme\FinePixViewer\QuickDCF.exe C:\Programme\Apache Group\Apache2\bin\ApacheMonitor.exe C:\Programme\WinZip\WZQKPICK.EXE C:\Programme\WinTV\Ir.exe C:\Björn\Hijack\HijackThis.exe C:\WINNT\system32\wuauclt.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web--search.com R3 - URLSearchHook: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - C:\WINNT\Downloaded Program Files\webdlg32.dll O1 - Hosts: 127.0.0.3 n-glx.s-redirect.com O1 - Hosts: 127.0.0.3 x.full-tgp.net O1 - Hosts: 127.0.0.3 counter.sexmaniack.com O1 - Hosts: 127.0.0.3 autoescrowpay.com O1 - Hosts: 127.0.0.3 www.autoescrowpay.com O1 - Hosts: 127.0.0.3 www.awmdabest.com O1 - Hosts: 127.0.0.3 www.sexfiles.nu O1 - Hosts: 127.0.0.3 awmdabest.com O1 - Hosts: 127.0.0.3 sexfiles.nu O1 - Hosts: 127.0.0.3 allforadult.com O1 - Hosts: 127.0.0.3 www.allforadult.com O1 - Hosts: 127.0.0.3 www.iframe.biz O1 - Hosts: 127.0.0.3 iframe.biz O1 - Hosts: 127.0.0.3 www.newiframe.biz O1 - Hosts: 127.0.0.3 newiframe.biz O1 - Hosts: 127.0.0.3 www.vesbiz.biz O1 - Hosts: 127.0.0.3 vesbiz.biz O1 - Hosts: 127.0.0.3 www.pizdato.biz O1 - Hosts: 127.0.0.3 pizdato.biz O1 - Hosts: 127.0.0.3 www.aaasexypics.com O1 - Hosts: 127.0.0.3 aaasexypics.com O1 - Hosts: 127.0.0.3 www.virgin-tgp.net O1 - Hosts: 127.0.0.3 virgin-tgp.net O2 - BHO: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - C:\WINNT\Downloaded Program Files\webdlg32.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: Search Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - C:\WINNT\Downloaded Program Files\webdlg32.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINNT\System32\PDesk\PDesk.exe /Autolaunch O4 - HKLM\..\Run: [REGSHAVE] C:\Progra~1\REGSHAVE\REGSHAVE.EXE /autorun O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE O4 - HKLM\..\Run: [monitr32] C:\Programme\Canon\MultiPASS4\monitr32.exe O4 - HKLM\..\Run: [MPTBox] C:\Programme\Canon\MultiPASS4\MPTBox.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Windows ServeAd] C:\Program Files\Windows ServeAd\WinServAd.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE O4 - HKCU\..\Run: [Uctb] C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\r??e.exe O4 - Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: DMX 6fire 2496 ControlPanel.lnk = C:\Programme\TerraTec\DMX 6fire\DMX6Fire.exe O4 - Global Startup: Exif Launcher.lnk = C:\Programme\FinePixViewer\QuickDCF.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Monitor Apache Servers.lnk = C:\Programme\Apache Group\Apache2\bin\ApacheMonitor.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://213.159.117.133/dl/adv74/x.chm::/load.exe O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/Do...ridge-c361.cab O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - http://asp04.photoprintit.de/microsi...eUploader3.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{DD458429-BB13-4E18-8E93-9178811A06EA}: NameServer = 193.254.184.232,194.25.2.129 O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Apache2 - Apache Software Foundation - C:\Programme\Apache Group\Apache2\bin\Apache.exe O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINNT\System32\mgabg.exe O23 - Service: MpService - Canon Inc - C:\Programme\Canon\MultiPASS4\MPSERVIC.EXE O23 - Service: MySql - Unknown - C:/mysql/bin/mysqld-nt.exe |
Die folgenden bitte mit HJT abgesicherten Modus im fixen: O1 - Hosts: 127.0.0.3 n-glx.s-redirect.com O1 - Hosts: 127.0.0.3 x.full-tgp.net O1 - Hosts: 127.0.0.3 counter.sexmaniack.com O1 - Hosts: 127.0.0.3 autoescrowpay.com O1 - Hosts: 127.0.0.3 www.autoescrowpay.com O1 - Hosts: 127.0.0.3 www.awmdabest.com O1 - Hosts: 127.0.0.3 www.sexfiles.nu O1 - Hosts: 127.0.0.3 awmdabest.com O1 - Hosts: 127.0.0.3 sexfiles.nu O1 - Hosts: 127.0.0.3 allforadult.com O1 - Hosts: 127.0.0.3 www.allforadult.com O1 - Hosts: 127.0.0.3 www.iframe.biz O1 - Hosts: 127.0.0.3 iframe.biz O1 - Hosts: 127.0.0.3 www.newiframe.biz O1 - Hosts: 127.0.0.3 newiframe.biz O1 - Hosts: 127.0.0.3 www.vesbiz.biz O1 - Hosts: 127.0.0.3 vesbiz.biz O1 - Hosts: 127.0.0.3 www.pizdato.biz O1 - Hosts: 127.0.0.3 pizdato.biz O1 - Hosts: 127.0.0.3 www.aaasexypics.com O1 - Hosts: 127.0.0.3 aaasexypics.com O1 - Hosts: 127.0.0.3 www.virgin-tgp.net O1 - Hosts: 127.0.0.3 virgin-tgp.net O2 - BHO: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - C:\WINNT\Downloaded Program Files\webdlg32.dll O3 - Toolbar: Search Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - C:\WINNT\Downloaded Program Files\webdlg32.dll O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://213.159.117.133/dl/adv74/x.chm::/load.e xe O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/D...bridge-c361.cab O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab Die folgenden bitte mal bei Jotti online scannen lassen und über das Ergebnis berichten: C:\Program Files\Windows ServeAd\WinServAd.exe C:\Program Files\Windows ServeAd\WinServSuit.exe C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\r??e.exe C:\Programme\TerraTec\DMX 6fire\DMX6Fire.exe C:\Programme\WinTV\Ir.exe Dann bitte normal booten und neues Log posten. cacatoa |
Okay...hier bin ich wieder Hier die Ergebnisse des Jotti Scans: File: WinServAd.exe Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) (Note: only non-destructive malware has been found. Considering the non-destructive nature of samples like these - although they can be a pain in the ass -, results will not be stored in the database.) Packers detected: UPX AntiVir No viruses found (0.26 seconds taken) Avast No viruses found (1.71 seconds taken) BitDefender No viruses found (1.06 seconds taken) ClamAV No viruses found (0.78 seconds taken) Dr.Web No viruses found (1.08 seconds taken) F-Prot Antivirus No viruses found (0.13 seconds taken) Kaspersky Anti-Virus not-a-virus:AdWare.WinAD.f (1.27 seconds taken) mks_vir .Winadd (0.35 seconds taken) NOD32 No viruses found (0.50 seconds taken) Norman Virus Control No viruses found (15.82 seconds taken) Service load: 0% 100% File: WinServSuit.exe Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) (Note: only non-destructive malware has been found. Considering the non-destructive nature of samples like these - although they can be a pain in the ass -, results will not be stored in the database.) Packers detected: UPX AntiVir No viruses found (0.14 seconds taken) Avast No viruses found (1.51 seconds taken) BitDefender No viruses found (0.41 seconds taken) ClamAV No viruses found (0.35 seconds taken) Dr.Web No viruses found (0.53 seconds taken) F-Prot Antivirus No viruses found (0.07 seconds taken) Kaspersky Anti-Virus not-a-virus:AdWare.WinAD.f (0.65 seconds taken) mks_vir .Winadd (0.20 seconds taken) NOD32 No viruses found (0.43 seconds taken) Norman Virus Control No viruses found (0.49 seconds taken) Service load: 0% 100% File: DMX6Fire.exe Status: OK Packers detected: None AntiVir No viruses found (0.15 seconds taken) Avast No viruses found (1.51 seconds taken) BitDefender No viruses found (0.36 seconds taken) ClamAV No viruses found (0.38 seconds taken) Dr.Web No viruses found (0.56 seconds taken) F-Prot Antivirus No viruses found (0.06 seconds taken) Kaspersky Anti-Virus No viruses found (0.63 seconds taken) mks_vir No viruses found (0.21 seconds taken) NOD32 No viruses found (1.23 seconds taken) Norman Virus Control No viruses found (2.84 seconds taken) Service load: 0% 100% File: Ir.exe Status: OK Packers detected: None AntiVir No viruses found (0.15 seconds taken) Avast No viruses found (1.51 seconds taken) BitDefender No viruses found (0.33 seconds taken) ClamAV No viruses found (0.34 seconds taken) Dr.Web No viruses found (0.53 seconds taken) F-Prot Antivirus No viruses found (0.06 seconds taken) Kaspersky Anti-Virus No viruses found (0.63 seconds taken) mks_vir No viruses found (0.21 seconds taken) NOD32 No viruses found (0.38 seconds taken) Norman Virus Control No viruses found (3.59 seconds taken) Die r??e.exe Datei konnt ich nicht finden, die ist mir aber bei den Prozessen heute morgen auch schon aufgefallen, und ich hab sie dann in der Regedit unter r05e.exe gefunden. Ist irgendwie im Internet Explorer, aber wie gesagt im Anwendungsdaten-Ordner isse nicht. Hier die Logfiles: Logfile of HijackThis v1.99.0 Scan saved at 13:57:24, on 27.12.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\Explorer.EXE C:\Björn\Hijack\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web--search.com R3 - URLSearchHook: (no name) - {30192F8D-0958-44E6-B54D-331FD39AC959} - (no file) O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINNT\System32\PDesk\PDesk.exe /Autolaunch O4 - HKLM\..\Run: [REGSHAVE] C:\Progra~1\REGSHAVE\REGSHAVE.EXE /autorun O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE O4 - HKLM\..\Run: [monitr32] C:\Programme\Canon\MultiPASS4\monitr32.exe O4 - HKLM\..\Run: [MPTBox] C:\Programme\Canon\MultiPASS4\MPTBox.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Windows ServeAd] C:\Program Files\Windows ServeAd\WinServAd.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE O4 - HKCU\..\Run: [Uctb] C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\r??e.exe O4 - Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: DMX 6fire 2496 ControlPanel.lnk = C:\Programme\TerraTec\DMX 6fire\DMX6Fire.exe O4 - Global Startup: Exif Launcher.lnk = C:\Programme\FinePixViewer\QuickDCF.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Monitor Apache Servers.lnk = C:\Programme\Apache Group\Apache2\bin\ApacheMonitor.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - http://asp04.photoprintit.de/microsi...eUploader3.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{DD458429-BB13-4E18-8E93-9178811A06EA}: NameServer = 193.254.184.232,194.25.2.129 O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Apache2 - Apache Software Foundation - C:\Programme\Apache Group\Apache2\bin\Apache.exe O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINNT\System32\mgabg.exe O23 - Service: MpService - Canon Inc - C:\Programme\Canon\MultiPASS4\MPSERVIC.EXE O23 - Service: MySql - Unknown - C:/mysql/bin/mysqld-nt.exe |
Bitte die folgenden im abgesicherten Modus fixen: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web--search.com R3 - URLSearchHook: (no name) - {30192F8D-0958-44E6-B54D-331FD39AC959} - (no file) Dann unter Systemsteuerung/Software schauen, ob du eine Software namens "WinAd" findest. Diese dann deinstallieren. Bitte berichten, ob es geklappt hat. cacatoa |
Super! Der Explorer sieht aus wie früher und die Startseite ist weg! Bei Software hab ich Windows ServeAd gefunden. Ist die das? |
Ja, das ist die (auch). Versuche, zu deinstallieren. Benutze doch nicht den IE (außer zum updaten für Windows; das geht nur mit dem)! Nimm firefox oder opera; beide leicht zu installieren, beide schnell und sicher. cacatoa |
Deinstallation erfolgreich, auch wenn diverse Warnpopups kamen. Die Sotftware unterstütze diverse free-downloads und so. Bin ich jetzt fertig? |
Wenn du ein neues HJT-Logfile gepostet hast und dieses sauber ist, dann bist Du fertig! ;) cacatoa |
Okay, dann hier: Logfile of HijackThis v1.99.0 Scan saved at 14:36:23, on 27.12.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINNT\System32\svchost.exe C:\WINNT\System32\mgabg.exe C:\Programme\Canon\MultiPASS4\MPSERVIC.EXE C:\mysql\bin\mysqld-nt.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\WINNT\System32\PDesk\PDesk.exe C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE C:\Programme\Canon\MultiPASS4\monitr32.exe C:\Programme\Canon\MultiPASS4\MPTBox.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\QuickTime\qttask.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\r??e.exe C:\Programme\TerraTec\DMX 6fire\DMX6Fire.exe C:\Programme\FinePixViewer\QuickDCF.exe C:\Programme\Apache Group\Apache2\bin\ApacheMonitor.exe C:\Programme\WinZip\WZQKPICK.EXE C:\Programme\WinTV\Ir.exe C:\WINNT\system32\wuauclt.exe C:\Björn\Hijack\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINNT\System32\PDesk\PDesk.exe /Autolaunch O4 - HKLM\..\Run: [REGSHAVE] C:\Progra~1\REGSHAVE\REGSHAVE.EXE /autorun O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE O4 - HKLM\..\Run: [monitr32] C:\Programme\Canon\MultiPASS4\monitr32.exe O4 - HKLM\..\Run: [MPTBox] C:\Programme\Canon\MultiPASS4\MPTBox.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE O4 - HKCU\..\Run: [Uctb] C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\r??e.exe O4 - Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: DMX 6fire 2496 ControlPanel.lnk = C:\Programme\TerraTec\DMX 6fire\DMX6Fire.exe O4 - Global Startup: Exif Launcher.lnk = C:\Programme\FinePixViewer\QuickDCF.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Monitor Apache Servers.lnk = C:\Programme\Apache Group\Apache2\bin\ApacheMonitor.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - http://asp04.photoprintit.de/microsi...eUploader3.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{DD458429-BB13-4E18-8E93-9178811A06EA}: NameServer = 193.254.184.232,194.25.2.129 O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Apache2 - Apache Software Foundation - C:\Programme\Apache Group\Apache2\bin\Apache.exe O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINNT\System32\mgabg.exe O23 - Service: MpService - Canon Inc - C:\Programme\Canon\MultiPASS4\MPSERVIC.EXE O23 - Service: MySql - Unknown - C:/mysql/bin/mysqld-nt.exe P.S. Das mit Firefox werd ich echt tun! Wo bekomm ich den denn her? |
Nachdem ich der ganzen Sache noch nicht traue, mache bitte folgendes: Erstelle einen neuen Ordner: C:\bases Lade dir dann eScan runter (mwav.exe). Entpacke sie in den Ordner C:\bases, mach das update (kavupd.exe) und scanne im abgesicherten Modus mit mwavscan.com. Mach die Häkchen bei "scan all local drives" unbedingt. Diese Version von eScan löscht noch die vorhandene Malware selbstständig. bitte berichte über das Ergebnis des scans, der durchaus eine Stunde dauern kann (Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen...) cacatoa |
Okay, also hier das Escan-Ergebnis: Mon Dec 27 15:03:21 2004 => File C:\Björn\Hijack\backups\backup-20041227-135612-890 infected by "Exploit.HTML.Mht" Virus. Action Taken: File Renamed. Mon Dec 27 15:22:06 2004 => File C:\WINNT\hosts infected by "Trojan.Win32.Qhost.k" Virus. Action Taken: File Deleted. Mon Dec 27 15:22:57 2004 => File C:\WINNT\loadnew.exe infected by "TrojanDownloader.Win32.Harnig.ad" Virus. Action Taken: File Deleted. |
Also, jetzt haben fertig. ;) |
Wahnsinn! Ihr seid ja echt auf Draht! Würd Dir jetzt echt gern nen Kasten Bier spendieren Cacatoa! Tausend Dank! Und jetzt rollen hier erstmal Köpfe! Ach ja: Wo bekommt man denn Firefox her? Grüße! Chuck |
Hey Cacatoa! Hab doch noch was gefunden, nachdem ich irgendwo im Forum den Grund gefunden hab, warum ich die R??e.exe Datei bei Jotti nicht scannen lassen konnte, weil nicht da. Einfach Häckchen im WinExplorer weg. Gleich mal scannen lassen, und siehe da: Service load: 0% 100% File: rаеe.exe Status: INFECTED/MALWARE Packers detected: UPX AntiVir TR/Dldr.Agent.DF (0.14 seconds taken) Avast Win32:Trojano-389 (1.51 seconds taken) BitDefender Trojan.Downloader.Agent.DF (0.33 seconds taken) ClamAV Trojan.Dropper.Purityscan.I (0.37 seconds taken) Dr.Web Trojan.DownLoader.743 (0.52 seconds taken) F-Prot Antivirus W32/Agent.CK@dl (0.06 seconds taken) Kaspersky Anti-Virus TrojanDownloader.Win32.Agent.df (0.67 seconds taken) mks_vir Trojan.Downloader.Agent.Df (0.22 seconds taken) NOD32 Win32/TrojanDownloader.Agent.DF (0.37 seconds taken) Norman Virus Control No viruses found (1.72 seconds taken) Wieso hat Escan den nicht gefunden? |
Hi, hast Du eScan im abgesicherten Modus durchgeführt? Bei Jotti hat ja Kaspersky den Troj gefunden; eScan ist kaspersky (hast du eScan upgedated (Kavupd.exe?)) Es handelt sich um den da. Mußt du löschen (abgesicherter Modus) Hier gibts den firefox und hier gibts opera (Ich nutze beide). Nach dem Entfernen bitte ein neues Logfile schicken; auch wenn ich die nächsten Stunden nicht da bin. Bitte auf keinen Fall versuchen, den Internet Explorer zu deinstallieren! Du brauchst ihn für updates; außerdem ist er fest in Windows integriert und du hättest einniges an Problemen im System, wenn du ihn löschst. cacatoa |
Hab Escan geupdatet und im abgesicherten Modus laufen lassen, ja. Werds nochmal probiern. Keine Angst...den Explorer hatte ich nicht vor zu deinstallieren. Bis später! |
Okay, im abgesichterten Modus die r??e.exe gelöscht und dann nochmal Escan: Mon Dec 27 15:03:21 2004 => File C:\Björn\Hijack\backups\backup-20041227-135612-890 infected by "Exploit.HTML.Mht" Virus. Action Taken: File Renamed. Mon Dec 27 15:22:06 2004 => File C:\WINNT\hosts infected by "Trojan.Win32.Qhost.k" Virus. Action Taken: File Deleted. Mon Dec 27 15:22:57 2004 => File C:\WINNT\loadnew.exe infected by "TrojanDownloader.Win32.Harnig.ad" Virus. Action Taken: File Deleted. Tue Dec 28 11:10:29 2004 => File C:\Björn\Hijack\hijackthis.log infected by "Exploit.HTML.Mht" Virus. Action Taken: File Renamed. Tue Dec 28 11:10:29 2004 => File C:\Björn\Hijack\hijackthis2.log infected by "Exploit.HTML.Mht" Virus. Action Taken: File Renamed. Tue Dec 28 11:34:53 2004 => File C:\RECYCLER\S-1-5-21-951539202-1485982059-292761137-500\Dc10.exe infected by "TrojanDownloader.Win32.Agent.df" Virus. Action Taken: File Deleted. Seltsamerweise warn die immer noch da. Hab wirklich geupdatet und den abgesicherten Modus benutzt... |
Ach ja, und hier noch das neue Logfile (nach dem erneuten Escan durchgeführt): Logfile of HijackThis v1.99.0 Scan saved at 12:17:32, on 28.12.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINNT\System32\svchost.exe C:\WINNT\System32\mgabg.exe C:\Programme\Canon\MultiPASS4\MPSERVIC.EXE C:\mysql\bin\mysqld-nt.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\WINNT\System32\PDesk\PDesk.exe C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE C:\Programme\Canon\MultiPASS4\monitr32.exe C:\Programme\Canon\MultiPASS4\MPTBox.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\QuickTime\qttask.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\TerraTec\DMX 6fire\DMX6Fire.exe C:\Programme\FinePixViewer\QuickDCF.exe C:\Programme\Apache Group\Apache2\bin\ApacheMonitor.exe C:\Programme\WinZip\WZQKPICK.EXE C:\Programme\WinTV\Ir.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\WINNT\system32\wuauclt.exe C:\Björn\Hijack\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINNT\System32\PDesk\PDesk.exe /Autolaunch O4 - HKLM\..\Run: [REGSHAVE] C:\Progra~1\REGSHAVE\REGSHAVE.EXE /autorun O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE O4 - HKLM\..\Run: [monitr32] C:\Programme\Canon\MultiPASS4\monitr32.exe O4 - HKLM\..\Run: [MPTBox] C:\Programme\Canon\MultiPASS4\MPTBox.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE O4 - Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: DMX 6fire 2496 ControlPanel.lnk = C:\Programme\TerraTec\DMX 6fire\DMX6Fire.exe O4 - Global Startup: Exif Launcher.lnk = C:\Programme\FinePixViewer\QuickDCF.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Monitor Apache Servers.lnk = C:\Programme\Apache Group\Apache2\bin\ApacheMonitor.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - http://asp04.photoprintit.de/microsi...eUploader3.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{DD458429-BB13-4E18-8E93-9178811A06EA}: NameServer = 193.254.184.232,194.25.2.129 O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Apache2 - Apache Software Foundation - C:\Programme\Apache Group\Apache2\bin\Apache.exe O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINNT\System32\mgabg.exe O23 - Service: MpService - Canon Inc - C:\Programme\Canon\MultiPASS4\MPSERVIC.EXE O23 - Service: MySql - Unknown - C:/mysql/bin/mysqld-nt.exe |
Hi, chuck! Soweit alles o.k. Schau mal in diesen Link. Hier kopierst Du Dein HJT-Logfile rein und wertest es aus. Die gelb markierten Prozesse prüfst Du ob du sie kennst (was ich glaube). Wenn ja, dann ist jetzt alles o.k., es war kein backdoortroj drauf. Grüße cacatoa |
Okay, scheint alles soweit in Ordnung zu sein. Tausend Dank nochmal Cacatoa! Echt nett, wie Du Dich um mich gekümmert hast! CU |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 18:11 Uhr. |
Copyright ©2000-2024, Trojaner-Board