|
hi, </font><blockquote>Zitat:</font><hr /> O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\PROGRAMME\MEDIALOADS ENHANCED\ME2.DLL </font>[/QUOTE]diesen eintrag bitte auch fixen. weitere infos kannst du dir auch hier einholen. >>> klick mich <<< |
... und noch einer, den ich übersehen habe: </font><blockquote>Zitat:</font><hr /> O4 - HKCU\..\Run: [sp] C:\WINDOWS\SP.EXE </font>[/QUOTE]kann und sollte auch gefixt werden Gruß, Lutz |
hi ich mal wieder [img]smile.gif[/img] ich hab nochmal ein logfile gemacht habe winupdate.exe wieder imstartmenü und bekomme sie selbst im abgesicherten modus nicht weg was nun ? die anderen sachen probiere ich gleich. Logfile of HijackThis v1.97.7 Scan saved at 10:21:16, on 27.04.2004 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v5.50 (5.50.4134.0600) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\SSDPSRV.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\MIXER.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE C:\EIGENE DATEIEN\PC SOFTWARE & TREIBER\ANTIDAILERSOFTWARE\AVGCTRL.EXE C:\WINDOWS\RUNDLL32.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\RNATHCHK.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAMME\EUMEX 504PC USB\CAPICTRL.EXE C:\COREL\GRAPHICS8\PROGRAMS\MFINDEXER.EXE C:\WINDOWS\STARTMENü\PROGRAMME\AUTOSTART\WINUPDATE.EXE C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE C:\WINDOWS\STARTMENü\PROGRAMME\AUTOSTART\WINUPDATE.EXE C:\EIGENE DATEIEN\PC SOFTWARE & TREIBER\ANTIDAILERSOFTWARE\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lycos.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online O1 - Hosts: 66.40.16.234 auto.search.msn.com O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\PROGRAMME\MEDIALOADS ENHANCED\ME2.DLL O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_22.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [MediaLoads Installer] "C:\Programme\DownloadWare\dw.exe" /H O4 - HKLM\..\Run: [MSVXD] C:\WINDOWS\MSVXD.EXE 1632 O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [AVGCtrl] C:\EIGENE DATEIEN\PC SOFTWARE & TREIBER\ANTIDAILERSOFTWARE\AVGCTRL.EXE /min O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - HKCU\..\Run: [YAW starten] "C:\PROGRAMME\YAW 3.5\yawguard.exe" O4 - Startup: CAPI Control.lnk = C:\Programme\Eumex 504PC USB\Capictrl.exe O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Startup: EPSON Background Monitor.lnk = C:\ESM2\Stms.exe O4 - Startup: winupdate.exe O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: MSN Messenger Service (HKLM) O9 - Extra button: Real.com (HKLM) O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O12 - Plugin for .qt: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O16 - DPF: {11111111-1111-1111-1111-111111111123} - file://c:\Recycled\1.exe |
Hi, und du solltest alle Windowsupdates machen, udn den InternetExplorer absichern: ActiveX&Scripting deaktivieren, außer für bekannte,sichere Seiten etc.. Details überall im Board.. |
hi nochmal so hab die winupdate.exe weg bekommen und auch sonst alles gelöscht siehe : Logfile of HijackThis v1.97.7 Scan saved at 11:24:28, on 27.04.2004 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v5.50 (5.50.4134.0600) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\SSDPSRV.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\MIXER.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE C:\EIGENE DATEIEN\PC SOFTWARE & TREIBER\ANTIDAILERSOFTWARE\AVGCTRL.EXE C:\WINDOWS\RUNDLL32.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\RNATHCHK.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAMME\EUMEX 504PC USB\CAPICTRL.EXE C:\COREL\GRAPHICS8\PROGRAMS\MFINDEXER.EXE C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE C:\T-Online\BSW4\ONLINE.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\T-ONLINE\BSW4\TODUCALC.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\EIGENE DATEIEN\PC SOFTWARE & TREIBER\ANTIDAILERSOFTWARE\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lycos.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online O1 - Hosts: 66.40.16.234 auto.search.msn.com O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - (no file) O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_22.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [MediaLoads Installer] "C:\Programme\DownloadWare\dw.exe" /H O4 - HKLM\..\Run: [MSVXD] C:\WINDOWS\MSVXD.EXE 1632 O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [AVGCtrl] C:\EIGENE DATEIEN\PC SOFTWARE & TREIBER\ANTIDAILERSOFTWARE\AVGCTRL.EXE /min O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - HKCU\..\Run: [YAW starten] "C:\PROGRAMME\YAW 3.5\yawguard.exe" O4 - Startup: CAPI Control.lnk = C:\Programme\Eumex 504PC USB\Capictrl.exe O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Startup: EPSON Background Monitor.lnk = C:\ESM2\Stms.exe O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: MSN Messenger Service (HKLM) O9 - Extra button: Real.com (HKLM) O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O12 - Plugin for .qt: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab nur die O10 - Hijacked Internet access by New.Net bekomme ich nicht weg. :confused: |
Hi, lies doch alles nochmal durch ... -> zu New.Net: </font><blockquote>Zitat:</font><hr />Original erstellt von Lutz (DerBilk): Schau mal bitte unter Start -> Einstellungen -> Systemsteuerung -> Software, ob es dort einen Eintrag NEWDOTNET oder so ähnlich gibt. Dieses dann von dort aus deinstallieren. Anschließend den Rechner neu booten Näheres zu NEWDOTNET findest Du beispielsweise hier: http://www.schmager.de/newdotnet.shtml </font>[/QUOTE]Das machen, incl. neustarten Dann Wurm beseitigen: http://www.trendmicro.com/vinfo/viru...e=WORM_DATOM.A http://de.trendmicro-europe.com/ente...e=WORM_DATOM.A *** mit TOOL !! & Manuell nachprüfen *** dann SPYBOT updaten und scannen&bereinigen dann neues HJT-Log machen, und u.g. Einträge, so noch vorhanden, fixen </font><blockquote>Zitat:</font><hr />Original erstellt von missb4: O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - (no file) O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_22.dll O4 - HKLM\..\Run: [MediaLoads Installer] "C:\Programme\DownloadWare\dw.exe" /H O4 - HKLM\..\Run: [MSVXD] C:\WINDOWS\MSVXD.EXE 1632 --> Worm_Datom.A !!! O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de </font>[/QUOTE]Danach UNBEDINGT WindowsUpdates machen, und Alle Passwörter ändern, sowie System generell absichern (s. BoardSuche) [ 27. April 2004, 13:23: Beitrag editiert von: Who Cares ] |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 15:17 Uhr. |
Copyright ©2000-2025, Trojaner-Board