Hi Leutz,
ich hab ein kleines Problem... ich versuche schon seit einiger Zeit in meine Registry zu kommen um ein Paar Einträge zu modden...
mein Problem is das: wenn ich (Start -> Ausführen -> )regedit eingebe erscheint für 1 sec. das fenster und verschwindet dann plötzlich wieder...
hat einer von euch schon mal was davon gehört?? oder liegts an mir bzw. meinem rechner
(den hab ich übrigens grad vor zwei wochen neu gemacht (formatiert/WinXP drauf aso.)
währe nett wenn ihr was dazu schreiben könntet/würdet...
cu pickolo24
Warum kostenlos registrieren?
Nur als registriertes Mitglied hast Du vollen Zugriff auf alle Funktionen unserer Website. So kannst Du eigene Fragen stellen und hast die volle Übersicht über neue interessante Themen im Forum.
Jetzt kostenlos registrieren.
Login
Regedit Problem ... Virus???
17 Beiträge • Seite 1 von 2 • 1, 2
von pickolo24 am 13.02.2004, 00:25
ich hab grade rausgefunden, dass an dieser sache der wurm Win32.Cervivec.A@mm schuld sein kann jetzt hab ich kein removal tool gefunden (symantec bietet keins an...) und um den wurm zu entfernen muss ich in die registry... 
kann mir jemand nen link zu einem tool geben, plz...
danke
kann mir jemand nen link zu einem tool geben, plz...
danke
- pickolo24
- Beiträge: 3
- Registriert: 12.02.2004, 23:16
- Wohnort: N-A
von Computerdirk am 13.02.2004, 15:49
Hallöchen,
hast du denn ein aktuelles Antivrenprogramm installiert? Aktuelle Versionen sollten ja in der Lage sein den Wurm zu erkennen und vielleicht sogar zu entfernen...
hast du denn ein aktuelles Antivrenprogramm installiert? Aktuelle Versionen sollten ja in der Lage sein den Wurm zu erkennen und vielleicht sogar zu entfernen...
- Computerdirk
- Administrator
- Beiträge: 7132
- Registriert: 25.05.2003, 21:17
- Wohnort: Goslar
von beccy313 am 13.02.2004, 22:04
hallo pickolo!
schau mal auf www.symantec.de
da steht bestimmt einiges drin was du gebrauchen kannst!
lg
beccy
schau mal auf www.symantec.de
da steht bestimmt einiges drin was du gebrauchen kannst!
lg
beccy
- beccy313
- Beiträge: 1
- Registriert: 08.02.2004, 19:57
von GrayGhost am 13.02.2004, 23:09
Kommst du noch über den abgesicherten Modus an die Registrierung?
- GrayGhost
von GrayGhost am 13.02.2004, 23:11
Noch 'ne Frage, bestand ads Problem schon vor der Neuinstallation? Hast du schon die Systemwiederherstellung bemüht?
- GrayGhost
von Shamino am 05.03.2004, 16:32
Hallo,
ich habe das gleiche Problem unter W2k.
Im abgesicherten Modus kann ich die Registry bearbeiten.
Wie finde ich den Wurm dort? bzw. Wie kann ich ihn dort entfernen?
Vielen Dank
Shamino
ich habe das gleiche Problem unter W2k.
Im abgesicherten Modus kann ich die Registry bearbeiten.
Wie finde ich den Wurm dort? bzw. Wie kann ich ihn dort entfernen?
Vielen Dank
Shamino
- Shamino
- Beiträge: 1
- Registriert: 05.03.2004, 16:29
von GrayGhost am 05.03.2004, 16:41
Hier eine Beschreibung auf Deutsch für die manuelle Entfernung:
http://de.bitdefender.com/virusi/virusi ... irus_id=60
Mir deinem Registry Problem kann ich erst einmal nichts anfangen, aber die Registry aknnst du nur mit Administratorrechten bearbeiten. Die hast du aber sicherlich (ging ja im abgesicherten Modus).
http://de.bitdefender.com/virusi/virusi ... irus_id=60
Mir deinem Registry Problem kann ich erst einmal nichts anfangen, aber die Registry aknnst du nur mit Administratorrechten bearbeiten. Die hast du aber sicherlich (ging ja im abgesicherten Modus).
- GrayGhost
von Nikita am 05.03.2004, 17:09
Mit dem Tool Regclaener 4.3 kommt man sofort in die Registry und muss nicht ueber run gehen.
http://www.landvolk-ammerland.de/ret_re ... _start.htm
Man kann es in Deutsch einstellen und zudem den Comp. von Muell befreien...
MfG
Nikita
http://www.landvolk-ammerland.de/ret_re ... _start.htm
Man kann es in Deutsch einstellen und zudem den Comp. von Muell befreien...
MfG
Nikita
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von kamikasse am 11.08.2004, 22:55
hi leute...
ich hab genau das selbe problem mit regedit...wenn ich es starte schließt es sich sofort von selbst
ich hab aber nicht den wurm: Win32.Cervivec.A@mm drauf
ich hab genau das selbe problem mit regedit...wenn ich es starte schließt es sich sofort von selbst
ich hab aber nicht den wurm: Win32.Cervivec.A@mm drauf
- kamikasse
- Beiträge: 97
- Registriert: 11.08.2004, 22:32
von kamikasse am 11.08.2004, 23:48
das ist mein hijackthis log file: vielleicht ist ja jmd so nett und guckt ob er clean ist...
Logfile of HijackThis v1.98.2
Scan saved at 23:53:41, on 11.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\FILE.EXE
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.myexexex.com/searchbar.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.myexexex.com/search.php?said=spage&qq=%s
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://c:/spad/start.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.myexexex.com/search.php?said=spage&qq=%s
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.myexexex.com/searchbar.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.myexexex.com/search.php?said=spage&qq=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.myexexex.com/search.php?said=spage
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.myexexex.com/search.php?said=spage
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.myexexex.com/search.php?said=spage
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.myexexex.com/search.php?said=spage
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_30.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [Windows Configuration] FILE.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [WIN95DEFVIEW] C:\WINDOWS\System32\csmss.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [AIM] C:\Programme\AIM95\aim.exe -cnetwait.odl
O4 - HKCU\..\Run: [tgbcde] C:\WINDOWS\tgbcde\module32.exe arg1
O4 - HKCU\..\RunOnce: [Windows Configuration] FILE.EXE
O9 - Extra button: Microsoft® JavaScript® Console - {0C03FD3C-850B-41FC-A934-C9A6B67CF826} - (no file)
O9 - Extra 'Tools' menuitem: JavaScript Console - {0C03FD3C-850B-41FC-A934-C9A6B67CF826} - (no file)
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file)
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: (no name) - {869EE607-5376-486d-8DAC-EDC8E239AD5F} - (no file)
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: Microsoft® JavaScript® Console - {0C03FD3C-850B-41FC-A934-C9A6B67CF826} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: JavaScript Console - {0C03FD3C-850B-41FC-A934-C9A6B67CF826} - (no file) (HKCU)
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file) (HKCU)
O9 - Extra button: (no name) - {869EE607-5376-486d-8DAC-EDC8E239AD5F} - (no file) (HKCU)
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O16 - DPF: {10000000-1000-0000-1000-000000000000} - mhtml:file://C:\ARCHIVE.MHT!http://www.colorphotomix.biz/server.exe
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/200 ... taller.exe
O16 - DPF: {817308E0-0D35-4A6A-9610-B302C4D8CB31} (FlatView Class) - http://www.1mal1.com/flatcast/FlatView31.dll
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.serviceurl.de/StarInstall.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{24C54BD0-5C56-4F1C-8979-95D8F368CA02}: NameServer = 194.25.2.129,194.25.9.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{24C54BD0-5C56-4F1C-8979-95D8F368CA02}: NameServer = 194.25.2.129,194.25.9.129
O17 - HKLM\System\CS2\Services\Tcpip\..\{24C54BD0-5C56-4F1C-8979-95D8F368CA02}: NameServer = 194.25.2.129,194.25.9.129
Logfile of HijackThis v1.98.2
Scan saved at 23:53:41, on 11.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\FILE.EXE
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.myexexex.com/searchbar.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.myexexex.com/search.php?said=spage&qq=%s
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://c:/spad/start.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.myexexex.com/search.php?said=spage&qq=%s
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.myexexex.com/searchbar.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.myexexex.com/search.php?said=spage&qq=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.myexexex.com/search.php?said=spage
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.myexexex.com/search.php?said=spage
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.myexexex.com/search.php?said=spage
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.myexexex.com/search.php?said=spage
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_30.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [Windows Configuration] FILE.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [WIN95DEFVIEW] C:\WINDOWS\System32\csmss.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [AIM] C:\Programme\AIM95\aim.exe -cnetwait.odl
O4 - HKCU\..\Run: [tgbcde] C:\WINDOWS\tgbcde\module32.exe arg1
O4 - HKCU\..\RunOnce: [Windows Configuration] FILE.EXE
O9 - Extra button: Microsoft® JavaScript® Console - {0C03FD3C-850B-41FC-A934-C9A6B67CF826} - (no file)
O9 - Extra 'Tools' menuitem: JavaScript Console - {0C03FD3C-850B-41FC-A934-C9A6B67CF826} - (no file)
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file)
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: (no name) - {869EE607-5376-486d-8DAC-EDC8E239AD5F} - (no file)
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: Microsoft® JavaScript® Console - {0C03FD3C-850B-41FC-A934-C9A6B67CF826} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: JavaScript Console - {0C03FD3C-850B-41FC-A934-C9A6B67CF826} - (no file) (HKCU)
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file) (HKCU)
O9 - Extra button: (no name) - {869EE607-5376-486d-8DAC-EDC8E239AD5F} - (no file) (HKCU)
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O16 - DPF: {10000000-1000-0000-1000-000000000000} - mhtml:file://C:\ARCHIVE.MHT!http://www.colorphotomix.biz/server.exe
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/200 ... taller.exe
O16 - DPF: {817308E0-0D35-4A6A-9610-B302C4D8CB31} (FlatView Class) - http://www.1mal1.com/flatcast/FlatView31.dll
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.serviceurl.de/StarInstall.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{24C54BD0-5C56-4F1C-8979-95D8F368CA02}: NameServer = 194.25.2.129,194.25.9.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{24C54BD0-5C56-4F1C-8979-95D8F368CA02}: NameServer = 194.25.2.129,194.25.9.129
O17 - HKLM\System\CS2\Services\Tcpip\..\{24C54BD0-5C56-4F1C-8979-95D8F368CA02}: NameServer = 194.25.2.129,194.25.9.129
- kamikasse
- Beiträge: 97
- Registriert: 11.08.2004, 22:32
von Nikita am 12.08.2004, 00:17
Hi @kamikasse
#Du hast einen Winsockvirus , falls du also nach der Reinigung nicht mehr ins Net kommst...installiere den Internetzugang neu
#Du hast auch einen Dialer (Wie hoch ist die Telefonrechnung ????)
1)Deaktiviere die Wiederherstellung
http://service1.symantec.com/SUPPORT/IN ... 7105707924
Fixe mit dem HijackThis (anhaken, was ich poste und <fix< , dann neustarten !
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.myexexex.com/searchbar.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.myexexex.com/search.php?said=spage&qq=%s
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://c:/spad/start.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.myexexex.com/search.php?said=spage&qq=%s
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.myexexex.com/searchbar.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.myexexex.com/search.php?said=spage&qq=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.myexexex.com/search.php?said=spage
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.myexexex.com/search.php?said=spage
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.myexexex.com/search.php?said=spage
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.myexexex.com/search.php?said=spage
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_30.dlll
O4 - HKLM\..\Run: [Windows Configuration] FILE.EXE
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
O4 - HKCU\..\RunOnce: [Windows Configuration] FILE.EXE
O9 - Extra button: Microsoft® JavaScript® Console - {0C03FD3C-850B-41FC-A934-C9A6B67CF826} - (no file)
O9 - Extra 'Tools' menuitem: JavaScript Console - {0C03FD3C-850B-41FC-A934-C9A6B67CF826} - (no file)
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file)
O9 - Extra button: (no name) - {869EE607-5376-486d-8DAC-EDC8E239AD5F} - (no file)
O9 - Extra button: Microsoft® JavaScript® Console - {0C03FD3C-850B-41FC-A934-C9A6B67CF826} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: JavaScript Console - {0C03FD3C-850B-41FC-A934-C9A6B67CF826} - (no file) (HKCU)
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file) (HKCU)
O9 - Extra button: (no name) - {869EE607-5376-486d-8DAC-EDC8E239AD5F} - (no file) (HKCU)
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O16 - DPF: {10000000-1000-0000-1000-000000000000} - mhtml:file://C:\ARCHIVE.MHT!http://www.colorphotomix.biz/server.exe
DIALER !!!!!!!!!!
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.serviceurl.de/StarInstall.ocx
neustarten
#Lade <eScan< in C:\base entpacken
http://www.mwti.net/antivirus/free_utilities.asp
Nun suchst du eine "kavupd.exe" und anklicken.
<Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt(dauert ein bisschen)
#gehe du in den abgesicherten Modus !!!!
http://www.bsi.de/av/texte/winsave.htm
<den Scanner mit der "mwav.exe starten. Alle Häkchen setzen und "Scan clean" starten
......................................................................................................................
normal neustarten
#Lade AdAware (free) , scanne <alle Dateien<
http://www.lavasoft.de/support/download/
#Lade ClearProg
http://www.clearprog.de/
Loesche:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)
Stelle unter <InternetOptionen< eine neue Startseite ein und poste das Log noch mal.
mfg
Nikita
#Du hast einen Winsockvirus , falls du also nach der Reinigung nicht mehr ins Net kommst...installiere den Internetzugang neu
#Du hast auch einen Dialer (Wie hoch ist die Telefonrechnung ????)
1)Deaktiviere die Wiederherstellung
http://service1.symantec.com/SUPPORT/IN ... 7105707924
Fixe mit dem HijackThis (anhaken, was ich poste und <fix< , dann neustarten !
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.myexexex.com/searchbar.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.myexexex.com/search.php?said=spage&qq=%s
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://c:/spad/start.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.myexexex.com/search.php?said=spage&qq=%s
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.myexexex.com/searchbar.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.myexexex.com/search.php?said=spage&qq=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.myexexex.com/search.php?said=spage
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.myexexex.com/search.php?said=spage
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.myexexex.com/search.php?said=spage
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.myexexex.com/search.php?said=spage
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_30.dlll
O4 - HKLM\..\Run: [Windows Configuration] FILE.EXE
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
O4 - HKCU\..\RunOnce: [Windows Configuration] FILE.EXE
O9 - Extra button: Microsoft® JavaScript® Console - {0C03FD3C-850B-41FC-A934-C9A6B67CF826} - (no file)
O9 - Extra 'Tools' menuitem: JavaScript Console - {0C03FD3C-850B-41FC-A934-C9A6B67CF826} - (no file)
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file)
O9 - Extra button: (no name) - {869EE607-5376-486d-8DAC-EDC8E239AD5F} - (no file)
O9 - Extra button: Microsoft® JavaScript® Console - {0C03FD3C-850B-41FC-A934-C9A6B67CF826} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: JavaScript Console - {0C03FD3C-850B-41FC-A934-C9A6B67CF826} - (no file) (HKCU)
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file) (HKCU)
O9 - Extra button: (no name) - {869EE607-5376-486d-8DAC-EDC8E239AD5F} - (no file) (HKCU)
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O16 - DPF: {10000000-1000-0000-1000-000000000000} - mhtml:file://C:\ARCHIVE.MHT!http://www.colorphotomix.biz/server.exe
DIALER !!!!!!!!!!
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.serviceurl.de/StarInstall.ocx
neustarten
#Lade <eScan< in C:\base entpacken
http://www.mwti.net/antivirus/free_utilities.asp
Nun suchst du eine "kavupd.exe" und anklicken.
<Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt(dauert ein bisschen)
#gehe du in den abgesicherten Modus !!!!
http://www.bsi.de/av/texte/winsave.htm
<den Scanner mit der "mwav.exe starten. Alle Häkchen setzen und "Scan clean" starten
......................................................................................................................
normal neustarten
#Lade AdAware (free) , scanne <alle Dateien<
http://www.lavasoft.de/support/download/
#Lade ClearProg
http://www.clearprog.de/
Loesche:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)
Stelle unter <InternetOptionen< eine neue Startseite ein und poste das Log noch mal.
mfg
Nikita
Zuletzt geändert von Nikita am 12.08.2004, 13:12, insgesamt 3-mal geändert.
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von kamikasse am 12.08.2004, 12:57
ok das werd ich mal abarbeiten....ich sitz ja hinter nem router telefonrechnung normal ^^
ich meld mich dann wenn ich fertig bin ^^
PS: hab grad entdeckt das ein prozess läuft der mir etwas komisch vorkommt:
c:\windows\system32\file.exe
vielleicht weißt du ja was das ist
ich meld mich dann wenn ich fertig bin ^^
PS: hab grad entdeckt das ein prozess läuft der mir etwas komisch vorkommt:
c:\windows\system32\file.exe
vielleicht weißt du ja was das ist
- kamikasse
- Beiträge: 97
- Registriert: 11.08.2004, 22:32
von Nikita am 12.08.2004, 13:05
Wie es scheint, hast du dir den Wurm MyDoom.I oder den Wurm Bahoo.A eingefangen.
Und noch viele andere Sachen mehr....
Arbeite also genau alle Punkte ab, die ich gepostet habe,
mfg
Nikita
Und noch viele andere Sachen mehr....
Arbeite also genau alle Punkte ab, die ich gepostet habe,
mfg
Nikita
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von kamikasse am 12.08.2004, 20:01
soo....hab jetzt das ganze mit beiden rechnern durch...so hier kommen die logs:
NR.1 :
Logfile of HijackThis v1.98.2
Scan saved at 20:05:19, on 12.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Hijackthis\HijackThis.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [AIM] C:\Programme\AIM95\aim.exe -cnetwait.odl
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/200 ... taller.exe
O16 - DPF: {817308E0-0D35-4A6A-9610-B302C4D8CB31} (FlatView Class) - http://www.1mal1.com/flatcast/FlatView31.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{24C54BD0-5C56-4F1C-8979-95D8F368CA02}: NameServer = 194.25.2.129,194.25.9.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{24C54BD0-5C56-4F1C-8979-95D8F368CA02}: NameServer = 194.25.2.129,194.25.9.129
O17 - HKLM\System\CS2\Services\Tcpip\..\{24C54BD0-5C56-4F1C-8979-95D8F368CA02}: NameServer = 194.25.2.129,194.25.9.129
NR.2 :
Logfile of HijackThis v1.98.2
Scan saved at 19:48:27, on 12.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\CloneCD\VirtualCloneDrive\VCDDaemon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\NMSSvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\HijackThis\HijackThis.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL (file missing)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\CloneCD\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\CloneCD\CloneCDTray.exe" /s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{DAB56EF4-7CC8-4E69-AE9D-846417D9E0E4}: NameServer = 194.25.2.129,194.25.9.129
mfg
kami
NR.1 :
Logfile of HijackThis v1.98.2
Scan saved at 20:05:19, on 12.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Hijackthis\HijackThis.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [AIM] C:\Programme\AIM95\aim.exe -cnetwait.odl
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/200 ... taller.exe
O16 - DPF: {817308E0-0D35-4A6A-9610-B302C4D8CB31} (FlatView Class) - http://www.1mal1.com/flatcast/FlatView31.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{24C54BD0-5C56-4F1C-8979-95D8F368CA02}: NameServer = 194.25.2.129,194.25.9.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{24C54BD0-5C56-4F1C-8979-95D8F368CA02}: NameServer = 194.25.2.129,194.25.9.129
O17 - HKLM\System\CS2\Services\Tcpip\..\{24C54BD0-5C56-4F1C-8979-95D8F368CA02}: NameServer = 194.25.2.129,194.25.9.129
NR.2 :
Logfile of HijackThis v1.98.2
Scan saved at 19:48:27, on 12.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\CloneCD\VirtualCloneDrive\VCDDaemon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\NMSSvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\HijackThis\HijackThis.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL (file missing)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\CloneCD\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\CloneCD\CloneCDTray.exe" /s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{DAB56EF4-7CC8-4E69-AE9D-846417D9E0E4}: NameServer = 194.25.2.129,194.25.9.129
mfg
kami
- kamikasse
- Beiträge: 97
- Registriert: 11.08.2004, 22:32
17 Beiträge • Seite 1 von 2 • 1, 2
Ähnliche Themen
| Scanner-Problem unter XP Forum: Hardware-Hilfe Autor: Nordi Antworten: |
Internet problem Forum: Software-Hilfe Autor: noodlez Antworten: |
kurioses win98 problem mit sämtlichen laufwerken Forum: Software-Hilfe Autor: Anonymous Antworten: |
System32 gelöscht (Virus drauf) Forum: Software-Hilfe Autor: noodlez Antworten: |
virus oder windows? Forum: Hardware-Hilfe Autor: kamalura Antworten: |
Zurück zu Online- und PC-Sicherheit
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste