|
lästige Startseite Hallo Leute, beim öffnnen dees IE kommt immer die gleiche Startseite, irgendeine Suchmaschine, die ich mit keinem Mittel wegbekomme, weder in den Internetoptionen noch in Registry. Und dann öffnen sich auch immer wieder kleinere Fénster mit Warnungen mein System sei infiziert. Wer kann mir helfen. Zolli666 |
hi zolli666 lade dir hijackthis runter: http://filepony.de/download-hijackthis/ (in eigenen ordner), speichere ein log und poste dies hier im forum sunshine |
hier das HiJack log file Logfile of HijackThis v1.99.0 Scan saved at 10:42:17, on 06.02.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\Norton Personal Firewall\NISUM.EXE C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\xpsp2fw.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\eMule\emule.exe C:\Programme\Norton Personal Firewall\ccPxySvc.exe C:\WINDOWS\System32\cisvc.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Media Manager\airsvcu.exe C:\Programme\Norton Utilities\NPROTECT.EXE C:\Programme\Speed Disk\nopdb.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\cidaemon.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Olli\Eigene Dateien\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://nonstopsearch.com/?a=2&b=test R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://nonstopsearch.com/?a=2&b=test R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Olli\LOKALE~1\Temp\sp.dll/sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://lookfor.cc?pin=75034 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://lookfor.cc/sp.php?pin=75034 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Olli\LOKALE~1\Temp\sp.dll/sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://nonstopsearch.com/?a=2&b=test R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://nonstopsearch.com/?a=2&b=test R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Ollis Internet O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programme\WS_FTP Pro\wsbho2K0.dll O2 - BHO: (no name) - {8253B058-D910-4F6E-9A22-8AFB1595FAC1} - C:\WINDOWS\System32\ljng.dll O2 - BHO: Explorer Class - {962F12AE-2773-4BEB-99EA-B5C3AB9A6606} - C:\WINDOWS\System32\DSMANA~1.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [XPSP2 Firewall] C:\WINDOWS\system32\xpsp2fw.exe O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [Windows Update Client ] C:\WINDOWS\system32\wuclient.exe O4 - HKCU\..\Run: [eMuleAutoStart] C:\Programme\eMule\emule.exe -AutoStart O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MI1933~1\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O10 - Unknown file in Winsock LSP: c:\windows\system32\fltmgr.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\fltmgr.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\fltmgr.dll O16 - DPF: {00000000-6666-0704-0B53-2C8830E9FAEC} - http://key.one2bill.de/soft/ieloader.cab O16 - DPF: {288C5F13-7E52-4ADA-A32E-F5BF9D125F98} (CR64Loader Object) - http://www.miniclip.com/bestfriends/...GameLoader.dll O16 - DPF: {F0BC061F-DAF9-4533-8011-53BCB4C10307} (Installations Assistent) - http://install.stardialer.de/InstallationsAssistent.ocx O18 - Filter: text/html - {7CF2B553-943E-420D-AEB7-8FC0AA31AC2E} - C:\WINDOWS\System32\ljng.dll O18 - Filter: text/plain - {7CF2B553-943E-420D-AEB7-8FC0AA31AC2E} - C:\WINDOWS\System32\ljng.dll O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Proxy Service - Symantec Corporation - C:\Programme\Norton Personal Firewall\ccPxySvc.exe O23 - Service: Norton Personal Firewall Accounts Manager - Symantec Corporation - C:\Programme\Norton Personal Firewall\NISUM.EXE O23 - Service: Norton Unerase Protection - Symantec Corporation - C:\Programme\Norton Utilities\NPROTECT.EXE O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Speed Disk service - Symantec Corporation - C:\Programme\Speed Disk\nopdb.exe O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe |
Hallo, ich habe glaube die gleiche Startseite siehe hier: http://www.trojaner-board.de/showthread.php?t=13353 Und weiss nicht mehr weiter.... Gruss Markus |
Hallo, hatte diesen Mist auch. Möchte zwar nicht behaupten, dass es dafür keine Lösung gibt - aber ich hab letztendlich Windows neu aufgespielt und die Festplatte gelöscht. Hatte den Tipp bekommen, das sich das Problem mit Panda Security beseitigen lässt. Jedoch hat sich mein System dann komplett aufgehängt, nachdem ich das runtergeladen hatte. Lag wohl daran, dass ich gleichzeitig Norton Antivirus draufhatte. Ansonsten konnte mir da auch niemand so richtig weiterhelfen. Habe gegoogelt ohne Ende aber keine brauchbaren Hinweise gefunden. |
Hallo, dein System ist ja völlig ungepatcht, dies solltest du umgehend nachholen! Das eScan AntiVirus Toolkit Utility (mwav.exe) herunterladen, die Datei in den von dir erstellten Ordner "c:\bases" (wichtig !) entpacken und danach die "kavupd.exe" (Update) ausführen. http://www.mwti.net/antivirus/free_utilities.asp Wechsle in den abgesicherten Modus http://www.bsi.bund.de/av/texte/wiederher_xp.htm und repariere mit LSP-Fix dein WinSocks. Fixe diese Einträge (Haken setzen und auf Fix Checked klicken): Alle R0 und R1 O2 - BHO: (no name) - {8253B058-D910-4F6E-9A22-8AFB1595FAC1} - C:\WINDOWS\System32\ljng.dll O2 - BHO: Explorer Class - {962F12AE-2773-4BEB-99EA-B5C3AB9A6606} - C:\WINDOWS\System32\DSMANA~1.DLL O4 - HKLM\..\Run: [XPSP2 Firewall] C:\WINDOWS\system32\xpsp2fw.exe O4 - HKCU\..\Run: [Windows Update Client ] C:\WINDOWS\system32\wuclient.exe O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) Alle O10 Alle O16 O18 - Filter: text/html - {7CF2B553-943E-420D-AEB7-8FC0AA31AC2E} - C:\WINDOWS\System32\ljng.dll O18 - Filter: text/plain - {7CF2B553-943E-420D-AEB7-8FC0AA31AC2E} - C:\WINDOWS\System32\ljng.dll Lösche diese Dateien: C:\WINDOWS\System32\ljng.dll C:\WINDOWS\system32\wuclient.exe C:\WINDOWS\System32\DSMANA~1.DLL C:\WINDOWS\system32\xpsp2fw.exe c:\windows\system32\fltmgr.dll C:\DOKUME~1\Olli\LOKALE~1\Temp\sp.dll - mit eScan scannen (den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan" klicken.) und die Malware manuell entfernen http://www.trojaner-board.de/42731-escan-anleitung.html - neue Startseite vergeben - Neustart - dein System updaten http://v5.windowsupdate.microsoft.co...r/default.aspx - IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html - Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org - neues Log-File von HiJackThis und die Virus Log Information von eScan posten |
Hallo Cidre, vielen Dank für deine Erklärungen, hat super hingehauen, die Drecksseite ist verschwunden. Allerdings brauchte escan 2 Stunden, wahrscheinlich weil ich sehr große Festplatten habe. Also nochmals vielen Dank-. Und ich habe deinen Rat beherzigt und Fire Fox installiert. Zolli666 |
Lästige Startseite Hallo, habe das gleiche Problem wie Zollo 666. konnte mit den verschieden Scanprogrammen und auch nicht im Sicherheitsmodus gescannten PC den Virus enfernen. hier das logfile. Könnt Ihr damit was anfangen. Danke. Chrischi Logfile of HijackThis v1.99.0 Scan saved at 16:53:11, on 07.02.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\Dit.exe C:\WINDOWS\System32\RunDll32.exe C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe C:\Programme\iPod\bin\iPodManager.exe C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe C:\Programme\AVPersonal\AVSched32.EXE C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe C:\Programme\AVPersonal\AVGNT.EXE C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\WINDOWS\DitExp.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\Outlook Express\msimn.exe C:\Programme\Messenger\msmsgs.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe C:\Programme\Grisoft\AVG Free\avgcc.exe C:\Programme\Grisoft\AVG Free\avgemc.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\PROGRA~1\WINZIP\winzip32.exe C:\unzipped\hijackthis199_beta\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Chrischi\LOKALE~1\Temp\sp.dll/sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Chrischi\LOKALE~1\Temp\sp.dll/sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {2704D4F1-27C5-4994-ADC3-04DE9A497E5B} - C:\WINDOWS\System32\mccm.dll O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [iPodManager] C:\Programme\iPod\bin\iPodManager.exe O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min O4 - HKLM\..\Run: [mmtask] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe O4 - HKCU\..\Run: [syswin] C:\WINDOWS\System32\hostsmss32.exe O4 - HKCU\..\Run: [dirservice] C:\WINDOWS\System32\expolrerdisc.exe O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra button: MedionShop - {ABF53A3A-024E-4762-A3C1-263AEE17F172} - http://www.medionshop.de/ (file missing) (HKCU) O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7.cab O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab O16 - DPF: {11111111-1111-1111-1111-511111193457} - file://c:\x.cab O16 - DPF: {11111111-1111-1111-1111-511111193458} - file://c:\x.cab O16 - DPF: {22222222-2222-2222-4444-566661888858} - file://c:\x.cab O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.power-url.de/StarInstall.ocx O17 - HKLM\System\CCS\Services\Tcpip\..\{6020EBB0-F930-41B7-880E-09F032425DE4}: NameServer = 62.104.191.241 62.104.196.134 O18 - Filter: text/html - {332DA0F6-D499-42E1-86D8-BA1082D98339} - C:\WINDOWS\System32\mccm.dll O18 - Filter: text/plain - {332DA0F6-D499-42E1-86D8-BA1082D98339} - C:\WINDOWS\System32\mccm.dll O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll (file missing) O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe O23 - Service: AVG7 Update Service - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: iPod Service - Apple Computer, Inc - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: X10 Device Network Service - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe |
erstelle bitte einen neuen thread. trotzdem die antwort: 1.escan -lade dir escan runter und gehe genau nach dieser anleitung vor 2.einträge löschen -fixe mit hijackthis diese einträge: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Chrischi\LOKALE~1\Temp\sp.dll/sp.htm R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Chrischi\LOKALE~1\Temp\sp.dll/sp.htm O2 - BHO: (no name) - {2704D4F1-27C5-4994-ADC3-04DE9A497E5B} - C:\WINDOWS\System32\mccm.dll O4 - HKCU\..\Run: [syswin] C:\WINDOWS\System32\hostsmss32.exe O4 - HKCU\..\Run: [dirservice] C:\WINDOWS\System32\expolrerdisc.exe O9 - Extra button: MedionShop - {ABF53A3A-024E-4762-A3C1-263AEE17F172} - http://www.medionshop.de/ (file missing) (HKCU) O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7.cab O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab O16 - DPF: {11111111-1111-1111-1111-511111193457} - file://c:\x.cab O16 - DPF: {11111111-1111-1111-1111-511111193458} - file://c:\x.cab O16 - DPF: {22222222-2222-2222-4444-566661888858} - file://c:\x.cab O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.power-url.de/StarInstall.ocx O18 - Filter: text/html - {332DA0F6-D499-42E1-86D8-BA1082D98339} - C:\WINDOWS\System32\mccm.dll O18 - Filter: text/plain - {332DA0F6-D499-42E1-86D8-BA1082D98339} - C:\WINDOWS\System32\mccm.dll O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll (file missing) 3.dateien löschen -lösche die dateien mccm.dll, hostsmss32.exe und expolrerdisc.exe im ordner c:\windows\system32 -lösche -lösche natürlich auch alle von escan beanstandeten dateien (alle infected) (falls die dateien nicht angezeigt werden gehe so vor: klicke auf extras, dann auf ordneroptionen klicke auf ansicht mach den haken bei "geschützte systemdateien ausblenden" weg mach nen haken bei "inhalte von systemordnern anzeigen" hin selektiere "alle dateien und ordner anzeigen") 4.ergebnisse -gehe wieder in den normalen modus -öffne die datei mwav.log,klicke auf bearbeiten dann auf suchen -gebe infected ein -suche weiter,markiere die treffer und kopiere sie ins forum -poste ein neues hijackthis log allerdings vermute ich das schlimmste.. |
Hallo Chris14 danke erstmal für deine schnelle Hilfe. Du machst mir angst, weil du das schlimmste befürchtest. hier die infizierten Dateien: Mon Feb 07 18:55:53 2005 => File C:\WINDOWS\System32\mccm.dll infected by "Trojan.Win32.StartPage.un" Virus. Action Taken: No Action Taken. Mon Feb 07 18:56:15 2005 => File C:\WINDOWS\internt.exe infected by "Trojan-Downloader.Win32.Small.agi" Virus. Action Taken: No Action Taken. Mon Feb 07 18:57:21 2005 => File C:\WINDOWS\System32\vbsys2.dll_old infected by "Trojan-Clicker.Win32.Agent.ac" Virus. Action Taken: No Action Taken. Mon Feb 07 18:56:15 2005 => File C:\WINDOWS\internt.exe infected by "Trojan-Downloader.Win32.Small.agi" Virus. Action Taken: No Action Taken. Mon Feb 07 18:56:03 2005 => File C:\WINDOWS\System32\mccm.dll infected by "Trojan.Win32.StartPage.un" Virus. Action Taken: No Action Taken. Mon Feb 07 18:55:53 2005 => File C:\WINDOWS\System32\mccm.dll infected by "Trojan.Win32.StartPage.un" Virus. Action Taken: No Action Taken. Logfile of HijackThis v1.99.0 Scan saved at 21:30:34, on 07.02.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\Dit.exe C:\WINDOWS\System32\RunDll32.exe C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe C:\Programme\iPod\bin\iPodManager.exe C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe C:\Programme\AVPersonal\AVSched32.EXE C:\WINDOWS\DitExp.exe C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe C:\Programme\AVPersonal\AVGNT.EXE C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe C:\Programme\Spyware Doctor\swdoctor.exe C:\Programme\iPod\bin\iPodService.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\System32\wuauclt.exe C:\DOKUME~1\Chrischi\LOKALE~1\Temp\mwavscan.com C:\DOKUME~1\Chrischi\LOKALE~1\Temp\kavss.exe C:\WINDOWS\System32\notepad.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\PROGRA~1\WINZIP\winzip32.exe C:\unzipped\hijackthis199_beta\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [iPodManager] C:\Programme\iPod\bin\iPodManager.exe O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min O4 - HKLM\..\Run: [mmtask] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O17 - HKLM\System\CCS\Services\Tcpip\..\{6020EBB0-F930-41B7-880E-09F032425DE4}: NameServer = 62.104.191.241 62.104.196.134 O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe O23 - Service: AVG7 Update Service - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: iPod Service - Apple Computer, Inc - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: X10 Device Network Service - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe |
ok ich hab mich zum glück geirrt. doch kein rbot^^ also lösche die genannten dateien im abgesicherten modus. ist eigentlich das problem behoben? ~edit~ korrektur: hab das ergebnis unten net beachtet, du hast escan falsch ausgeführt btw das ergebnis kann nicht stimmen~edit~ |
@chrischi Da ich vermute, dass du eScan nicht korrekt ausgeführt hast, poste mal bitte folgendes aus der mwav.log (steht ganz am Ende): Zitat:
|
dumme frage, aber reine neugierde: :dummguck: woran erkennt ihr, dass escan falsch ausgeführt wurde? |
Zitat:
Warum? 1.) Meiner Meinung nach wurden nicht genug infizierte Dateien gefunden. 2.) Schau mal auf die Uhrzeit der einzelnen Funde und behalte dabei im Hinterkopf, dass der Scan ~1h dauert mfg Haui btw: ich glaube nicht, dass eine "Bot-Variante" aktiv ist/war... |
das dachte ich aufgrund eines speziellen dateinamen. hab mich aber geirrt. hostsmss32.exe klang für mich verdammt nach einem rbot. |
Hallo Chris14, hallo Leute, das Problem scheint behoben!! Kann jetzt wieder (im Moment noch) den Explorer ohne Probleme und nervige Fehlermeldungen öffnen. Vielen Dank für Deine Hilfe. Als Amateur bin ich mir aber nicht 100%sicher, ob alles OK ist. Dehalb hier nochmal das logfile. Das scannen dauerte nicht lange, zeigt aber an, dass es komplett ist. Bis bald und danke. Chrischi. Fri Feb 11 18:15:41 2005 => Scanning Folder: C:\DOKUME~1\Chrischi\LOKALE~1\Temp\WER20.tmp.dir00\*.* Fri Feb 11 18:15:41 2005 => Scanning Folder: C:\DOKUME~1\Chrischi\LOKALE~1\Temp\WER9.tmp.dir00\*.* Fri Feb 11 18:15:41 2005 => Scanning Folder: C:\DOKUME~1\Chrischi\LOKALE~1\Temp\Word8.0\*.* Fri Feb 11 18:15:41 2005 => Scanning Folder: C:\DOKUME~1\Chrischi\LOKALE~1\Temp\WZSE0.TMP\*.* Fri Feb 11 18:15:41 2005 => Scanning Folder: C:\DOKUME~1\Chrischi\LOKALE~1\Temp\_is181\*.* Fri Feb 11 18:15:41 2005 => Scanning Folder: C:\DOKUME~1\Chrischi\LOKALE~1\Temp\_is18A\*.* Fri Feb 11 18:15:41 2005 => Scanning Folder: C:\DOKUME~1\Chrischi\LOKALE~1\Temp\_is1A7\*.* Fri Feb 11 18:15:41 2005 => Scanning Folder: C:\DOKUME~1\Chrischi\LOKALE~1\Temp\_is1C7\*.* Fri Feb 11 18:15:43 2005 => Scanning C:\DOKUME~1\Chrischi\LOKALE~1\TEMPOR~1\Content.IE5 Directory Fri Feb 11 18:15:43 2005 => Scanning Folder: C:\DOKUME~1\Chrischi\LOKALE~1\TEMPOR~1\Content.IE5\*.* Fri Feb 11 18:15:43 2005 => Scanning Folder: C:\DOKUME~1\Chrischi\LOKALE~1\TEMPOR~1\Content.IE5\892VOX6B\*.* Fri Feb 11 18:16:00 2005 => Scanning Folder: C:\DOKUME~1\Chrischi\LOKALE~1\TEMPOR~1\Content.IE5\8P2ZWP2J\*.* Fri Feb 11 18:16:17 2005 => Scanning Folder: C:\DOKUME~1\Chrischi\LOKALE~1\TEMPOR~1\Content.IE5\9NFJHT8E\*.* Fri Feb 11 18:16:36 2005 => Scanning Folder: C:\DOKUME~1\Chrischi\LOKALE~1\TEMPOR~1\Content.IE5\ANURMDMJ\*.* Fri Feb 11 18:16:51 2005 => Scanning Folder: C:\DOKUME~1\Chrischi\LOKALE~1\TEMPOR~1\Content.IE5\C5I3WPU7\*.* Fri Feb 11 18:17:07 2005 => Scanning Folder: C:\DOKUME~1\Chrischi\LOKALE~1\TEMPOR~1\Content.IE5\CTUZ4PA3\*.* Fri Feb 11 18:17:14 2005 => Scanning Folder: C:\DOKUME~1\Chrischi\LOKALE~1\TEMPOR~1\Content.IE5\CTUZ4PA3\Kurek\*.* Fri Feb 11 18:17:20 2005 => Scanning Folder: C:\DOKUME~1\Chrischi\LOKALE~1\TEMPOR~1\Content.IE5\KNLNUYJ5\*.* Fri Feb 11 18:17:36 2005 => Scanning Folder: C:\DOKUME~1\Chrischi\LOKALE~1\TEMPOR~1\Content.IE5\KT4DAVKP\*.* Fri Feb 11 18:17:39 2005 => Result: ERROR!!! File C:\DOKUME~1\Chrischi\LOKALE~1\TEMPOR~1\Content.IE5\KT4DAVKP\aawsepersonal[1].exe is Not Scanned Fri Feb 11 18:17:47 2005 => Scanning Folder: C:\DOKUME~1\Chrischi\LOKALE~1\TEMPOR~1\Content.IE5\UPKFELE5\*.* Fri Feb 11 18:17:57 2005 => Scanning Folder: C:\DOKUME~1\Chrischi\LOKALE~1\TEMPOR~1\Content.IE5\VU4NF98D\*.* Fri Feb 11 18:18:06 2005 => Scanning Folder: C:\DOKUME~1\Chrischi\LOKALE~1\TEMPOR~1\Content.IE5\WD87SNCF\*.* Fri Feb 11 18:18:21 2005 => Scanning Folder: C:\DOKUME~1\Chrischi\LOKALE~1\TEMPOR~1\Content.IE5\YHT6FQLS\*.* Fri Feb 11 18:18:32 2005 => ***** Checking for specific ITW Viruses ***** Fri Feb 11 18:18:32 2005 => Checking for Welchia Virus... Fri Feb 11 18:18:32 2005 => Checking for LovGate Virus... Fri Feb 11 18:18:32 2005 => Checking for CodeRed Virus... Fri Feb 11 18:18:32 2005 => Checking for OpaServ Virus... Fri Feb 11 18:18:32 2005 => Checking for Sobig.e Virus... Fri Feb 11 18:18:32 2005 => Checking for Winupie Virus... Fri Feb 11 18:18:32 2005 => Checking for Swen Virus... Fri Feb 11 18:18:32 2005 => Checking for JS.Fortnight Virus... Fri Feb 11 18:18:32 2005 => Checking for Novarg Virus... Fri Feb 11 18:18:32 2005 => Checking for Pagabot Virus... Fri Feb 11 18:18:32 2005 => Checking for Parite.b Virus... Fri Feb 11 18:18:32 2005 => Checking for Parite.a Virus... Fri Feb 11 18:18:32 2005 => ***** Scanning complete. ***** Fri Feb 11 18:18:32 2005 => Total Files Scanned: 17967 Fri Feb 11 18:18:32 2005 => Total Virus(es) Found: 0 Fri Feb 11 18:18:32 2005 => Total Disinfected Files: 0 Fri Feb 11 18:18:32 2005 => Total Files Renamed: 0 Fri Feb 11 18:18:32 2005 => Total Deleted Files: 0 Fri Feb 11 18:18:32 2005 => Total Errors: 1 Fri Feb 11 18:18:32 2005 => Time Elapsed: 00:04:47 Fri Feb 11 18:18:32 2005 => Virus Database Date: 2005/02/07 Fri Feb 11 18:18:32 2005 => Virus Database Count: 117359 Fri Feb 11 18:18:32 2005 => Scan Completed. |
was ich vergessen habe: gottseidank ist es kein rbot. was is das eigentlich? Chrischi. |
@ chrischi Zitat:
* Ermöglicht Dritten den Zugriff auf den Computer * Stiehlt Daten * Lädt Code aus dem Internet herunter * Reduziert die Systemsicherheit * Speichert Tastenfolgen * Installiert sich in der Registrierung http://www.cosgan.org/images/midi/konfus/c060.gif |
Ich glaub's einfach nicht, eScan wurde schon wieder falsch ausgeführt! Zitat:
|
was? nargh immer diese kleinen zeilen die man überliest... 00:04:47 ist meiner meinung nach zu wenig. 30-45minuten sollten es schon sein. |