Trojaner-Board
Seite 4 von 4 « Erste 23 4
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   frage (https://www.trojaner-board.de/13326-frage.html)

Napo 05.02.2005 21:43
So danke dir erstmal!
Habe es so gemacht wie du gesagt hast und fehler ist weg aber jede hardware geht noch?
Internet geht auch noch wie du siehst hm...

Chris14 05.02.2005 21:44
oh dann hast du glück^^
offenbar hast du gleich eine gute konfiguration bekommen.
naja glückwunsch. du kannst dir eigentlich recht sicher sein, dass kein hijacker oder sonstiges da ist.
nun sollst du nachsorge treffen:
-verwende einen anderen browser wie firefox
-verwende den IE nur für die windowsupdates

Napo 05.02.2005 21:47
So hijack.. zeigt wieder die gleiche config an muss ich wohl nochmal verbessern ;-) wenn du sie nochmal sehen moechtest:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.boese-woerter.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRAMME\FLASHGET\JCCATCH.DLL
O2 - BHO: (no name) - {771ACC01-6B79-11D9-8A02-0030FB52F277} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\SYSTEM\hkcmd.exe
O4 - HKLM\..\Run: [Start RF Wireless Mouse] C:\Programme\NEOLEC FreeStyler CLK\cm98.exe
O4 - HKLM\..\Run: [Start RF Wireless Keyboard] C:\Programme\NEOLEC FreeStyler CLK\ktrexe.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [SmartPCXL] "D:\PROGRAMME\PC ACCELERATOR 2004\pcaccel.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [Memcharge] "D:\PROGRAMME\PC ACCELERATOR 2004\mem.exe"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - Startup: Ressourcen-Anzeige.lnk = C:\WINDOWS\RSRCMTR.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRAMME\FLASHGET\jc_link.htm
O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRAMME\FLASHGET\jc_all.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRAMME\FLASHGET\FLASHGET.EXE
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRAMME\FLASHGET\FLASHGET.EXE
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7.cab
O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://www.popcap.com/games/popcaploader_v6.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O16 - DPF: {11120607-1001-1111-1000-110199901123} - ms-its:mhtml:file://C:\foo.mht!http://63.217.31.72/d1//xxx.chm::/dropper.exe
O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q330995.exe
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://82.179.166.68/Ige9QCTIOn9u94v...::/on-line.exe
O18 - Filter: text/html - {771ACC00-6B79-11D9-8A02-0030941E57EC} - (no file)
O18 - Filter: text/plain - {771ACC00-6B79-11D9-8A02-0030941E57EC} - (no file)

Ist/war x.cab ein wurm oder was soll/sollte die datei bezwecken?

Chris14 05.02.2005 21:50
aha da läuft der hase lang.
du hast nun die vor autostart konfiguration.
wie das passiert ist, dass er es in rb000.cab speichert, kA
allerdings ist das gut.
die 1.cab sollte als bho dienen, die immer mal beim IE seiten anzeigt.
du solltest nur mal eben die einträge fixen:
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7.cab
O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://www.popcap.com/games/popcaploader_v6.cab
O16 - DPF: {11120607-1001-1111-1000-110199901123} - ms-its:mhtml:file://C:\foo.mht!http://63.217.31.72/d1//xxx.chm::/dropper.exe
O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q330995.exe
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://82.179.166.68/Ige9QCTIOn9u94...m::/on-line .exe
O18 - Filter: text/html - {771ACC00-6B79-11D9-8A02-0030941E57EC} - (no file)
O18 - Filter: text/plain - {771ACC00-6B79-11D9-8A02-0030941E57EC} - (no file)
poste dann mal ein neues hijackthis log, obwohl die einträge irgendwie "deaktiviert" sind

Napo 05.02.2005 22:06
So nun muesste alles richtig sein:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.boese-woerter.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRAMME\FLASHGET\JCCATCH.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\SYSTEM\hkcmd.exe
O4 - HKLM\..\Run: [Start RF Wireless Mouse] C:\Programme\NEOLEC FreeStyler CLK\cm98.exe
O4 - HKLM\..\Run: [Start RF Wireless Keyboard] C:\Programme\NEOLEC FreeStyler CLK\ktrexe.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [SmartPCXL] "D:\PROGRAMME\PC ACCELERATOR 2004\pcaccel.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [Memcharge] "D:\PROGRAMME\PC ACCELERATOR 2004\mem.exe"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\PROGRAMME\ICQLITE\ICQLITE.EXE -trayboot
O4 - Startup: Ressourcen-Anzeige.lnk = C:\WINDOWS\RSRCMTR.EXE
O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRAMME\FLASHGET\jc_link.htm
O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRAMME\FLASHGET\jc_all.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRAMME\FLASHGET\FLASHGET.EXE
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRAMME\FLASHGET\FLASHGET.EXE
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab

Ich frag mich was die andern einträge da gesucht haben wenn sie eh nicht gehen *gg*
Was sind das ueberhaupt fuer einträge?

Chris14 05.02.2005 22:10
das log ist nun sauber und der fehler entfernt.
mit der frage.. meinst du die jetzigen einträge oder die gerade entfernten?^^

Napo 05.02.2005 22:12
na ueberhaupt das alles ;-)
Sind das registry einträge?
und ScanRegistry kann doch aus dem autostart raus oder sehe ich das falsch?

Chris14 05.02.2005 22:18
ok, jetzt gehen wir langsam ins windows-tuning über^^
das kann nehmen wie man will. der regscanw ist sozusagen dazu da, täglich registrierungsbackups zu erstellen. ohne ihn wäre die rettung nicht gelungen. du kannst es rausmachen, beeinflusst die systemstabilität nicht. allerdings halte ich es für ratsam, wenn du es entfernst, alle 2wochen regscanw bei ausführen einzugeben und damit die registrierungsdateien zu sichern.
das ganze was hijackthis da anzeigt, sind die laufenden prozesse (alle progs die grad offen sind), die browserhilfsobjekte (searchbars, trojan-downloader bars, aber auch gute wie die google-search), autostart, buttons im ie (realplayer und so), dpf sind die activex runtergeladenen module (ist auch bei windowsupdate auch so, der muss ja was installieren, dass er die updateseite auf updates ansprechen kann)
alles in allem: registrierungseinträge und laufende programme eben ;)

Napo 05.02.2005 22:25
okay danke fuer deine hilfe.
Deine hilkfe war echt super!
Dafuer ein lob von mir ;-)
Selten sieht man so nette boards wo man so eine hilfebekommt!
Ich lass nochmal escan durchlaufen um auch die letzten viren zu entfernen ;-)
Hm ob ich die leistung vom pc irgendwie verbessern kann ohne pc aufzuruesten?
Ich glaub mal nicht aber vieleicht weißt du da auch ja was ;-)

Chris14 05.02.2005 22:27
hm ja....
www.windows-tweaks.info sind sehr nette tuningtipps drin.

Napo 05.02.2005 22:36
danke danke.
Ich wuerde sagen hiermit ist das Thema beendet?

Chris14 05.02.2005 22:38
bei google nach windows 98 tuning suchen kommt auch viel nützliches.
ja wenn du keine fragen mehr hast, dann ja er is abgeschlossen ;)

Napo 05.02.2005 22:41
Hast du ICQ oder sowas?
Wenn ja und es dir nichts ausmacht kannst du mir ja mal die nummer geben.

Chris14 05.02.2005 22:52
hab dir per PN geschickt^^


Alle Zeitangaben in WEZ +1. Es ist jetzt 00:32 Uhr.
Seite 4 von 4 « Erste 23 4
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30