|
Ich lasse regelmäßig das AntiVir und Yaw Programm den PC untersuchen. Das Yaw Prog. hat mich auf Anwendung namens MSUpdate.exe aufmerksam gemacht, welches unter C:\Programme\Startmenü\Programme\Autostart zu finden war. Ich hatte das vor einige Zeit schon mal drauf und ist damals von AntiVir gefunden worden (diesmal nicht). Ich habe das dann (wie damals auch) gelöscht und jetzt habe ich ein richtiges Problem. Egal auf welches Programm ich gehen möchte (z.b. T-Online, Office, Feurio und selbst sowas wie die normalen Windows Spiele oder Editor kommt immer folgende Anzeige (als Beispiel die Anzeige wenn ich auf T-online klicke um ins Net zu kommen): C:\Programme\Eumex504PCUSB\Capictrl.exe wurde nicht gefunden. Sie haben möglicherweise den Namen nicht korrekt in den Dialog "Ausführen" eingegeben oder ein anderes geöffnetes Programm kann eine Systemdatei nicht finden. Klicken sie auf Start -> Suchen um nach der Datei zu suchen. Das habe ich auch gemacht und sie optisch auch so aus als wenn alles da ist. Was ist das ? Bzw. was ist da passiert ? Dann wollte ich auf Hilfe und die Systemsteuerung zugreifen und dann kam folgendes : Der Zugriff auf das angegebe Gerät, den Pfad oder die Datei wurde verweigert. Sie besitzen möglicherweise nicht die geeigneten Recht, um auf das Objekt zugreifen zu können. Es wäre super wenn mir da jemand weiterhelfen kann. Dankeschön schon mal vorweg. gruss miss |
hI missb4 So, wie Du hab ich auch mal gefragt. Als Antwort bekam ich. " Du kennst Google? " Anyway.. Ich hab hier was gefunden, das Du Dir mal ansehen solltest. Klickst Du hier Cya WOLfskin |
ja danke...super ich probier das gleich wenn ich wieder zuhause bin. das mit google weiß ich aber ich bin jetzt hier am pc meiner freundin auf der arbeit und da darf ich nicht solange rumgoggeln ;) auf jeden fall danke für die schnelle hilfe. |
hi da bin ich wieder online und das heißt es hat geklappt ;) dankeschön an wolf [img]graemlins/bussi.gif[/img] |
Hi,..... danke [img]graemlins/daumenhoch.gif[/img] Freut mich ,Dir geholfen zu haben. Cya WOlfskin |
hallo da bin ich wieder...nebenbei bin ich brav am googeln. ja mal wieder zum thema msupdate.exe und heute morgen hatte ich winupdate.exe ich würde mal gerne wissen wo man sich das einfängt und warum man es immer wieder drauf hat ? obwohl dieses winupdate hatte ich sonst noch nicht. wenn jemand schon was weiss würd mich das freuen...aber wie gesagt versuche ich auch selber noch was zu finden. :( |
mach mal einen Scan mit Hijack this Klick hier und poste mal den Log bei mir kam sowas ähnliches (updater.exe) zusammen mit einer nervigen englischen Toolbar...nachdem ich das alles gefixt hatte mit Hijack this war auch dieses Problem beseitigt |
Logfile of HijackThis v1.97.7 Scan saved at 10:48:14, on 22.04.2004 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v5.50 (5.50.4134.0600) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\SSDPSRV.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\MIXER.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE C:\EIGENE DATEIEN\PC SOFTWARE & TREIBER\ANTIDAILERSOFTWARE\AVGCTRL.EXE C:\WINDOWS\RUNDLL32.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAMME\EUMEX 504PC USB\CAPICTRL.EXE C:\COREL\GRAPHICS8\PROGRAMS\MFINDEXER.EXE C:\T-Online\BSW4\ONLINE.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\T-ONLINE\BSW4\TODUCALC.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\RNATHCHK.EXE C:\EIGENE DATEIEN\PC SOFTWARE & TREIBER\ANTIDAILERSOFTWARE\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://66.40.16.198/sm/index.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.findthewebsiteyouneed.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lycos.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://66.40.16.198/sm/index.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online O1 - Hosts: 66.40.16.234 auto.search.msn.com O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\PROGRAMME\MEDIALOADS ENHANCED\ME2.DLL O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_22.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [MediaLoads Installer] "C:\Programme\DownloadWare\dw.exe" /H O4 - HKLM\..\Run: [MSVXD] C:\WINDOWS\MSVXD.EXE 1632 O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [AVGCtrl] C:\EIGENE DATEIEN\PC SOFTWARE & TREIBER\ANTIDAILERSOFTWARE\AVGCTRL.EXE /min O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - HKCU\..\Run: [sp] C:\WINDOWS\SP.EXE O4 - HKCU\..\Run: [YAW starten] "C:\PROGRAMME\YAW 3.5\yawguard.exe" O4 - Startup: CAPI Control.lnk = C:\Programme\Eumex 504PC USB\Capictrl.exe O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Startup: EPSON Background Monitor.lnk = C:\ESM2\Stms.exe O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: MSN Messenger Service (HKLM) O9 - Extra button: Real.com (HKLM) O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O12 - Plugin for .qt: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O16 - DPF: {11111111-1111-1111-1111-111111111123} - file://c:\Recycled\1.exe |
O4 - HKCU\..\Run: [sp] C:\WINDOWS\SP.EXE das auf jedenfall sofort fixen... ist ein Trojaner R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://66.40.16.198/sm/index.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.findthewebsiteyouneed.com R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://66.40.16.198/sm/index.html diesen Mist auch raus |
Editiert [ 22. April 2004, 12:02: Beitrag editiert von: Nangie ] |
also ich hab das angegebene gelöscht ausser das mit dem O10 - Hijacked Internet access by New.Net versteh ich nicht so ganz ! ich hab mir den spybot runtergeladen aber da stand davon nichts beim durchsuchen. hab ich was falsch gemacht ? ps : sorry wenn blöde fragen dabei sind. ich weiß wie blöd anfänger fragen (kenn ich aus anderen bereichen wo ich ein bissi mehr ahnung habe ;) [ 22. April 2004, 12:28: Beitrag editiert von: missb4 ] |
die O10 auch fixen..... |
Hallo, das hier muss auch noch raus: </font><blockquote>Zitat:</font><hr />O1 - Hosts: 66.40.16.234 auto.search.msn.com O16 - DPF: {11111111-1111-1111-1111-111111111123} - file://c:\Recycled\1.exe </font>[/QUOTE]Achtung: Solche Einträge </font><blockquote>Zitat:</font><hr /> O10 - Hijacked Internet access by New.Net</font>[/QUOTE]nicht mit HiJackThis fixen, sondern zuerst versuchen über Systemsteuerung -> Software zu deinstallieren! Im Anschluß bitte ein neues Log von HiJackThis posten... Gruß, Lutz |
@ lutz : wo finde ich O1 - Hosts: 66.40.16.234 auto.search.msn.com O16 - DPF: {11111111-1111-1111-1111-111111111123} - file://c:\Recycled\1.exe :confused: und das ich die O10 - Hijacked Internet access by New.Net nicht mit hijack this fixen soll hab ich in der beschreibung gelesen. aber mit dem spybot search & destroy hat es irgendwie auch nicht geklappt. welche software soll ich deinstallieren ? |
Hallo missb4, </font><blockquote>Zitat:</font><hr /> wo finde ich O1 - Hosts: 66.40.16.234 auto.search.msn.com O16 - DPF: {11111111-1111-1111-1111-111111111123} - file://c:\Recycled\1.exe </font>[/QUOTE]Die beiden Einträge musst Du nach einem Scan mit HiJackThis markieren (mit der Maus in das kleine Quadrat vor der Zeile), dann auf Fix checked klicken. Anschließend bitte einmal den Papierkorb leeren. Vorsichtshalber bitte anschließend die Datei HOSTS suchen und hier den Inhalt posten. </font><blockquote>Zitat:</font><hr />welche software soll ich deinstallieren?</font>[/QUOTE]Schau mal bitte unter Start -> Einstellungen -> Systemsteuerung -> Software, ob es dort einen Eintrag NEWDOTNET oder so ähnlich gibt. Dieses dann von dort aus deinstallieren. Anschließend den Rechner neu booten und uns ein neues Log von HiJackThis posten. Näheres zu NEWDOTNET findest Du beispielsweise hier: http://www.schmager.de/newdotnet.shtml Gruß, Lutz |
hi, </font><blockquote>Zitat:</font><hr /> O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\PROGRAMME\MEDIALOADS ENHANCED\ME2.DLL </font>[/QUOTE]diesen eintrag bitte auch fixen. weitere infos kannst du dir auch hier einholen. >>> klick mich <<< |
... und noch einer, den ich übersehen habe: </font><blockquote>Zitat:</font><hr /> O4 - HKCU\..\Run: [sp] C:\WINDOWS\SP.EXE </font>[/QUOTE]kann und sollte auch gefixt werden Gruß, Lutz |
hi ich mal wieder [img]smile.gif[/img] ich hab nochmal ein logfile gemacht habe winupdate.exe wieder imstartmenü und bekomme sie selbst im abgesicherten modus nicht weg was nun ? die anderen sachen probiere ich gleich. Logfile of HijackThis v1.97.7 Scan saved at 10:21:16, on 27.04.2004 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v5.50 (5.50.4134.0600) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\SSDPSRV.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\MIXER.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE C:\EIGENE DATEIEN\PC SOFTWARE & TREIBER\ANTIDAILERSOFTWARE\AVGCTRL.EXE C:\WINDOWS\RUNDLL32.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\RNATHCHK.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAMME\EUMEX 504PC USB\CAPICTRL.EXE C:\COREL\GRAPHICS8\PROGRAMS\MFINDEXER.EXE C:\WINDOWS\STARTMENü\PROGRAMME\AUTOSTART\WINUPDATE.EXE C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE C:\WINDOWS\STARTMENü\PROGRAMME\AUTOSTART\WINUPDATE.EXE C:\EIGENE DATEIEN\PC SOFTWARE & TREIBER\ANTIDAILERSOFTWARE\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lycos.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online O1 - Hosts: 66.40.16.234 auto.search.msn.com O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\PROGRAMME\MEDIALOADS ENHANCED\ME2.DLL O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_22.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [MediaLoads Installer] "C:\Programme\DownloadWare\dw.exe" /H O4 - HKLM\..\Run: [MSVXD] C:\WINDOWS\MSVXD.EXE 1632 O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [AVGCtrl] C:\EIGENE DATEIEN\PC SOFTWARE & TREIBER\ANTIDAILERSOFTWARE\AVGCTRL.EXE /min O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - HKCU\..\Run: [YAW starten] "C:\PROGRAMME\YAW 3.5\yawguard.exe" O4 - Startup: CAPI Control.lnk = C:\Programme\Eumex 504PC USB\Capictrl.exe O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Startup: EPSON Background Monitor.lnk = C:\ESM2\Stms.exe O4 - Startup: winupdate.exe O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: MSN Messenger Service (HKLM) O9 - Extra button: Real.com (HKLM) O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O12 - Plugin for .qt: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O16 - DPF: {11111111-1111-1111-1111-111111111123} - file://c:\Recycled\1.exe |
Hi, und du solltest alle Windowsupdates machen, udn den InternetExplorer absichern: ActiveX&Scripting deaktivieren, außer für bekannte,sichere Seiten etc.. Details überall im Board.. |
hi nochmal so hab die winupdate.exe weg bekommen und auch sonst alles gelöscht siehe : Logfile of HijackThis v1.97.7 Scan saved at 11:24:28, on 27.04.2004 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v5.50 (5.50.4134.0600) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\SSDPSRV.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\MIXER.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE C:\EIGENE DATEIEN\PC SOFTWARE & TREIBER\ANTIDAILERSOFTWARE\AVGCTRL.EXE C:\WINDOWS\RUNDLL32.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\RNATHCHK.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAMME\EUMEX 504PC USB\CAPICTRL.EXE C:\COREL\GRAPHICS8\PROGRAMS\MFINDEXER.EXE C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE C:\T-Online\BSW4\ONLINE.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\T-ONLINE\BSW4\TODUCALC.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\EIGENE DATEIEN\PC SOFTWARE & TREIBER\ANTIDAILERSOFTWARE\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lycos.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online O1 - Hosts: 66.40.16.234 auto.search.msn.com O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - (no file) O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_22.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [MediaLoads Installer] "C:\Programme\DownloadWare\dw.exe" /H O4 - HKLM\..\Run: [MSVXD] C:\WINDOWS\MSVXD.EXE 1632 O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [AVGCtrl] C:\EIGENE DATEIEN\PC SOFTWARE & TREIBER\ANTIDAILERSOFTWARE\AVGCTRL.EXE /min O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - HKCU\..\Run: [YAW starten] "C:\PROGRAMME\YAW 3.5\yawguard.exe" O4 - Startup: CAPI Control.lnk = C:\Programme\Eumex 504PC USB\Capictrl.exe O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Startup: EPSON Background Monitor.lnk = C:\ESM2\Stms.exe O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: MSN Messenger Service (HKLM) O9 - Extra button: Real.com (HKLM) O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O12 - Plugin for .qt: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab nur die O10 - Hijacked Internet access by New.Net bekomme ich nicht weg. :confused: |
Hi, lies doch alles nochmal durch ... -> zu New.Net: </font><blockquote>Zitat:</font><hr />Original erstellt von Lutz (DerBilk): Schau mal bitte unter Start -> Einstellungen -> Systemsteuerung -> Software, ob es dort einen Eintrag NEWDOTNET oder so ähnlich gibt. Dieses dann von dort aus deinstallieren. Anschließend den Rechner neu booten Näheres zu NEWDOTNET findest Du beispielsweise hier: http://www.schmager.de/newdotnet.shtml </font>[/QUOTE]Das machen, incl. neustarten Dann Wurm beseitigen: http://www.trendmicro.com/vinfo/viru...e=WORM_DATOM.A http://de.trendmicro-europe.com/ente...e=WORM_DATOM.A *** mit TOOL !! & Manuell nachprüfen *** dann SPYBOT updaten und scannen&bereinigen dann neues HJT-Log machen, und u.g. Einträge, so noch vorhanden, fixen </font><blockquote>Zitat:</font><hr />Original erstellt von missb4: O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - (no file) O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_22.dll O4 - HKLM\..\Run: [MediaLoads Installer] "C:\Programme\DownloadWare\dw.exe" /H O4 - HKLM\..\Run: [MSVXD] C:\WINDOWS\MSVXD.EXE 1632 --> Worm_Datom.A !!! O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de </font>[/QUOTE]Danach UNBEDINGT WindowsUpdates machen, und Alle Passwörter ändern, sowie System generell absichern (s. BoardSuche) [ 27. April 2004, 13:23: Beitrag editiert von: Who Cares ] |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 18:23 Uhr. |
Copyright ©2000-2025, Trojaner-Board