Trojaner-Board
Seite 3 von 4 12 3 4
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   frage (https://www.trojaner-board.de/13326-frage.html)

cacatoa 05.02.2005 19:29
Nach dem scan die von mir beschriebenen Punkte anclicken und unten auf "fix checked" clicken.
cacatoa

Napo 05.02.2005 19:53
So ersteinmal komme zu zu den ergebnis von hijack:

Logfile of HijackThis v1.99.0
Scan saved at 17:28:14, on 05.02.05
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\HKCMD.EXE
C:\PROGRAMME\NEOLEC FREESTYLER CLK\CM98.EXE
C:\PROGRAMME\NEOLEC FREESTYLER CLK\KTREXE.EXE
C:\WINDOWS\RSRCMTR.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINCMD\WINCMD32.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\ZONEALARM\ZLCLIENT.EXE
C:\BASES\KAVUPD.EXE
C:\WINDOWS\SYSTEM\WINOA386.MOD
C:\TMP\$WC0\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.boese-woerter.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRAMME\FLASHGET\JCCATCH.DLL
O2 - BHO: (no name) - {771ACC01-6B79-11D9-8A02-0030FB52F277} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\SYSTEM\hkcmd.exe
O4 - HKLM\..\Run: [Start RF Wireless Mouse] C:\Programme\NEOLEC FreeStyler CLK\cm98.exe
O4 - HKLM\..\Run: [Start RF Wireless Keyboard] C:\Programme\NEOLEC FreeStyler CLK\ktrexe.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [SmartPCXL] "D:\PROGRAMME\PC ACCELERATOR 2004\pcaccel.exe"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - Startup: Ressourcen-Anzeige.lnk = C:\WINDOWS\RSRCMTR.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRAMME\FLASHGET\jc_link.htm
O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRAMME\FLASHGET\jc_all.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRAMME\FLASHGET\FLASHGET.EXE
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRAMME\FLASHGET\FLASHGET.EXE
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7.cab
O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://www.popcap.com/games/popcaploader_v6.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O16 - DPF: {11120607-1001-1111-1000-110199901123} - ms-its:mhtml:file://C:\foo.mht!http://63.217.31.72/d1//xxx.chm::/dropper.exe
O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q330995.exe
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://82.179.166.68/Ige9QCTIOn9u94v...::/on-line.exe
O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab
O18 - Filter: text/html - {771ACC00-6B79-11D9-8A02-0030941E57EC} - (no file)
O18 - Filter: text/plain - {771ACC00-6B79-11D9-8A02-0030941E57EC} - (no file)
// EDIT //
Habe das gefuehl das es alles noch so da steht wie vorher?

Hab das gemacht was du gesagt hast
Nun zum Gerätemenager
Ich sehe da kein rotes kreuz oder sonstirgendwas...

Chris14 05.02.2005 19:56
ok jetzt gehen wir wieder zum regularprogramm über..
also dass:


1.einträge löschen
-fixe mit hijackthis diese einträge:
O2 - BHO: (no name) - {771ACC01-6B79-11D9-8A02-0030FB52F277} - (no file)
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7.cab
O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://www.popcap.com/games/popcaploader_v6.cab
O16 - DPF: {11120607-1001-1111-1000-110199901123} - ms-its:mhtml:file://C:\foo.mht!http://63.217.31.72/d1//xxx.chm::/dropper.exe
O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q330995.exe
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://82.179.166.68/Ige9QCTIOn9u94...m::/on-line .exe
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://82.179.166.68/Ige9QCTIOn9u94...m::/on-line .exe
O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab
O18 - Filter: text/html - {771ACC00-6B79-11D9-8A02-0030941E57EC} - (no file)
O18 - Filter: text/plain - {771ACC00-6B79-11D9-8A02-0030941E57EC} - (no file)


2.dateien löschen
-lösche die dateien foo.mht, ied_s7.cab und x.cab im ordner c:\
-lösche die datei delaybuf.dll im ordner c:\windows\system
-leere den papierkorb
(falls die dateien nicht angezeigt werden gehe so vor:
klicke auf extras, dann auf ordneroptionen
klicke auf ansicht
mach den haken bei "geschützte systemdateien ausblenden" weg
mach nen haken bei "inhalte von systemordnern anzeigen" hin
selektiere "alle dateien und ordner anzeigen")

3.ergebnisse
-poste ein neues hijackthis log

Napo 05.02.2005 20:26
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.boese-woerter.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRAMME\FLASHGET\JCCATCH.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\SYSTEM\hkcmd.exe
O4 - HKLM\..\Run: [Start RF Wireless Mouse] C:\Programme\NEOLEC FreeStyler CLK\cm98.exe
O4 - HKLM\..\Run: [Start RF Wireless Keyboard] C:\Programme\NEOLEC FreeStyler CLK\ktrexe.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - Startup: Ressourcen-Anzeige.lnk = C:\WINDOWS\RSRCMTR.EXE
O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRAMME\FLASHGET\jc_link.htm
O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRAMME\FLASHGET\jc_all.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRAMME\FLASHGET\FLASHGET.EXE
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRAMME\FLASHGET\FLASHGET.EXE
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab

So nun zu den dateien loeschen ich hab alle dateien gesehen aber die waren nicht aufzufinden...
Kann es sein das die dabeien schon von ein Virenprogramm geloescht wurde?

Chris14 05.02.2005 20:46
das log ist nun endlich sauber.
gibt es noch probleme?

Napo 05.02.2005 20:47
jap mit der fehlermeldung wenn ich windows starte

Napo 05.02.2005 20:49
Ich hatte es gemacht wie es hier steht. mit den haken beim autostart und seit dem kommt das... hab ihn aber vorhin wieder weggemacht.
Aber die fehlermeldung kommt trotzdem noch...

Chris14 05.02.2005 20:50
hm ja...
da schlage ich dir vor, in dos zu gehen (eingabeaufforderung)
gib dort scanreg /fix ein.
starte neu wenn er fertig ist, und poste ob der fehler behoben ist.
achja..
starte nachdem du neugestartet hast, msconfig
dort machste den haken von autostart-menü aktivieren weg.
dann sollte es wieder gehen.

Napo 05.02.2005 21:04
Nein geht leider nicht.
der haken bei autostart hatte ich vorhin schon weggemacht.
würde es vieleicht was bringen wenn ich die wincmd.ini vom 2. system nehme und die auf dem 1. system lade?

Chris14 05.02.2005 21:07
ne das gehört zum windows commander. die macht überhaupt nix die datei.
es gäbe eine noch riskantere möglichkeit..
die registrierungssystemwiederherstellung auch genannt registrierungsprüfung.
in die eingabeaufforderung gehen, scanreg /restore eingeben.
dort musst du das näheste datum auswählen.
starte neu, und poste ob der fehler behoben ist.
achja und noch ein hinweis: alle einträge die mit hijackthis gefixt wurden, sind wieder da, die trojaner aber gelöscht.

Napo 05.02.2005 21:19
Nein es brachte auch kein gutes ergebnis.
Der grund wird da liegen weil ich nichts auswählenkonnte stande nix da die win.ini ist doch fuer die windows konfiguration zuständig oder welche file? Als fehler steht ja da die Windows konfiguration ust ungueltig.
Meine idee wäre die windows konfiguration vom 2. system im 1. system zu ueberschreiben (abgesichertem modus)

Chris14 05.02.2005 21:24
blos nicht. nicht jeder computer hat die gleiche hardware. wenn die falsche hardware drin ist, oder ein paar dlldateien fehlen, dann haste den salat (fehlermeldung über fehlermeldungen)
in der win.ini stehen nur unwichtigere angaben. die wichtigsten dateien sind nach wie vor user.dat, system.dat und system.ini
allerdings darfste die net mit der anderen ersetzen..
mir fällt ein letzter lösungsweg ein, der aber die gesamte konfigurations so zurücksetzt, dass du den stand einer gerade erstellten neuinstallation hast. du musst dann alle treiber einrichten, internet usw.
alle einträge die je gemacht wurden sind weg, alle programme die installiert wurden und registrierungseinträge benötigen müssen neuinstalliert werden.
dann beginne ich mal:
-gehe in die eingabeaufforderung (f5)
-gebe cd windows ein
-gebe attrib -r -s -h system.dat ein
-gebe attrib -r -s -h user.dat ein
-gebe cd sysbckup ein
-gebe extract /e rb000.cab *.* ein
-gebe attrib -r -s -h system.dat ein
-gebe attrib -r -s -h user.dat ein
-gebe copy *.* c:\windows ein (die darauffolgenden meldungen mit J bestätigen)

wie schon gesagt; extrem riskant und ähnlich einer neuinstallation.

Napo 05.02.2005 21:25
Die 2 systeme liegen ja auf 1 pc so dürfen doch nicht fehlermeldungen ueber fehlermeldungen kommen?
Was wuerdest du nun vorschlagen?

Napo 05.02.2005 21:31
nur not kann ich ja neu booten mit ghost wenn das net gehen sollte ;-)
Ich teste es mal

Chris14 05.02.2005 21:32
welche betriebssysteme hast du nochmal?
wenn es win95 und 98 ist, solltest du das lieber lassen.
du hast sonst zwei 95er.. (er lädt ja dann die dateien von win95 partition und dann sind manche dateien inkompatibel - ein spiel mit dem feuer meiner meinung nach)
allerdings wenn es 2 win98er sind dann darfst du die systemdateien kopieren


Alle Zeitangaben in WEZ +1. Es ist jetzt 02:12 Uhr.
Seite 3 von 4 12 3 4
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131