Schon wieder Problem mit IE und HiJackThis

von **vivi** am 17.10.2006, 18:20

Und zwar: Seit neuestem habe ich eine neue startseite die ich aber nicht will. Ich habe immer wieder versucht, es manuell umzustellen, aber vergeblich.
Daher wollte ich schon mal die logs vorbereiten aber jedes mal wenn ich HiJackThis lade, dann stürzt mein compi ab...was soll ich tun?

von **d2k** am 17.10.2006, 18:21

gehe in den abgesicherten modus (mit netztreibern laden) und verscuhe es dort erst mal

von **vivi** am 21.10.2006, 18:22

HiJackThis.log

Logfile of HijackThis v1.99.1
Scan saved at 12:23:18, on 21.10.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\WgaTray.exe
C:\Dokumente und Einstellungen\Vivian Cheng\Desktop\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

F3 - REG:win.ini: run=
O1 - Hosts: 125.91.1.20 localhost
O1 - Hosts: 125.91.1.20 www.7322.com
O1 - Hosts: 125.91.1.20 www.5566.net
O1 - Hosts: 125.91.1.20 www.v111.com
O1 - Hosts: 125.91.1.20 www.gjj.cc
O1 - Hosts: 125.91.1.20 www.hao123.com
O1 - Hosts: 125.91.1.20 hao123.com
O1 - Hosts: 125.91.1.20 www.9991.com
O1 - Hosts: 125.91.1.20 9991.com
O1 - Hosts: 125.91.1.20 www.gjj.cc
O1 - Hosts: 61.162.230.31 www.7939.com
O1 - Hosts: 61.162.230.31 7939.com
O1 - Hosts: 61.162.230.31 59.34.148.98
O1 - Hosts: 61.162.230.31 about:blank
O1 - Hosts: 61.141.31.11 down.Virussky.com
O1 - Hosts: 61.141.31.11 60.191.60.108
O1 - Hosts: 61.141.31.11 219.153.20.209
O1 - Hosts: 61.141.31.11 forum.ikaka.com
O1 - Hosts: 61.141.31.11 bbs.360safe.com
O1 - Hosts: 61.141.31.11 www.360safe.com
O1 - Hosts: 61.141.31.11 www.piaoxue.com
O1 - Hosts: 61.141.31.11 61.129.58.12
O1 - Hosts: 61.141.31.11 forum.jiangmin.com
O1 - Hosts: 61.141.31.11 luosoft.com
O1 - Hosts: 125.91.1.20 post.baidu.com
O1 - Hosts: 61.141.31.11 60.191.60.107
O1 - Hosts: 61.141.31.11 219.139.58.97
O1 - Hosts: 61.141.31.11 59.34.148.81
O1 - Hosts: 125.91.1.20 60.191.60.114
O1 - Hosts: 125.91.1.20 www.ycdy.com
O1 - Hosts: 61.141.31.11 cn.zs.yahoo.com
O1 - Hosts: 61.141.31.11 www.znmq.com
O1 - Hosts: 61.141.31.11 www.btbbt.com
O1 - Hosts: 61.141.31.11 bbs.btbbt.com
O1 - Hosts: 125.91.1.20 auto.search.msn.com
O1 - Hosts: 125.91.1.20 www.pcav.cn
O1 - Hosts: 125.91.1.20 www.cnhx.com.cn
O1 - Hosts: 125.91.1.20 btbaicai.com
O1 - Hosts: 125.91.1.20 www.btbaicai.com
O1 - Hosts: 125.91.1.20 219.239.102.77
O1 - Hosts: 61.141.31.11 hz.mop-hz.com
O1 - Hosts: 61.141.31.11 www.jacai.com
O1 - Hosts: 61.141.31.11 www.gao58.com
O1 - Hosts: 61.141.31.11 www.ok538.com
O1 - Hosts: 61.141.31.11 www.3000sss.com
O1 - Hosts: 61.141.31.11 www.qq658.com
O1 - Hosts: 61.141.31.11 www.53679.com
O1 - Hosts: 61.141.31.11 www.17587.net
O1 - Hosts: 61.141.31.11 bbs.168safe.com
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_08\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [run] C:\WINDOWS\System32\rundll32.exe x3fx.dll a
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKCU\..\Run: [Microsoft Works Update Detection] c:\Programme\Microsoft Works\WkDetect.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - T-Online International AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Virtual NIC Service (PackethSvc) - America Online, Inc. - C:\WINDOWS\System32\PackethSvc.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe

system32.txt

Datentr„ger in Laufwerk C: ist 50_01_32
Volumeseriennummer: ECE0-EDBB

Verzeichnis von C:\WINDOWS\system32

17.10.2006 11:00 236.760 FNTCACHE.DAT
04.10.2006 22:03 9.639.336 MRT.exe
21.09.2006 17:13 8.775 jupdate-1.5.0_08-b03.log
20.09.2006 14:26 1.136 wpa.dbl
26.07.2006 03:03 127.078 javaws.exe
26.07.2006 03:03 49.265 jpicpl32.cpl
26.07.2006 01:26 53.346 javaw.exe
26.07.2006 01:25 49.248 java.exe
24.07.2006 15:49 441.648 PerfStringBackup.INI
19.06.2006 16:20 702.768 WgaLogon.dll

systemtemp.txt

Datentr„ger in Laufwerk C: ist 50_01_32
Volumeseriennummer: ECE0-EDBB

Verzeichnis von C:\DOKUME~1\VIVIAN~1\LOKALE~1\Temp

temp.txt

Datentr„ger in Laufwerk C: ist 50_01_32
Volumeseriennummer: ECE0-EDBB

Verzeichnis von C:\WINDOWS\Temp

21.10.2006 12:33 409 WGANotify.settings
21.10.2006 12:33 255 WGAErrLog.txt
2 Datei(en) 664 Bytes
0 Verzeichnis(se), 32.546.279.424 Bytes frei

down.txt

Datentr„ger in Laufwerk C: ist 50_01_32
Volumeseriennummer: ECE0-EDBB

Verzeichnis von C:\WINDOWS\Downloaded Program Files

27.07.2006 20:26 65 desktop.ini
31.05.2006 04:15 10 oscan81.ocx_x
27.08.2005 14:30 5.065 swflash.inf

c.txt

Datentr„ger in Laufwerk C: ist 50_01_32
Volumeseriennummer: ECE0-EDBB

Verzeichnis von C:\

21.10.2006 12:37 0 sys.txt
21.10.2006 12:37 823 down.txt
21.10.2006 12:36 329 tmp.txt
21.10.2006 12:36 9.095 system.txt
21.10.2006 12:35 131 systemtemp.txt
21.10.2006 12:34 98.463 system32.txt
21.10.2006 12:15 402.653.184 pagefile.sys
20.10.2006 10:44 3.685 Riched32.dll
27.07.2006 19:34 41.001 files.txt
24.07.2006 15:46 840 asdf.txt
17.11.2005 18:32 546 TO_InstallLog.txt
28.10.2005 19:44 309 ToCaclLg.txt
21.08.2005 09:51 863 reglog.txt
26.02.2005 16:18 1.335 _Sid.txt

windows.txt

Datentr„ger in Laufwerk C: ist 50_01_32
Volumeseriennummer: ECE0-EDBB

Verzeichnis von C:\WINDOWS

21.10.2006 12:17 0 0.log
21.10.2006 12:16 437.940 ntbtlog.txt
21.10.2006 12:15 2.048 bootstat.dat
20.10.2006 19:22 1.499.403 WindowsUpdate.log
20.10.2006 19:22 32.628 SchedLgU.Txt
20.10.2006 19:21 50 wiaservc.log
20.10.2006 19:21 216 wiadebug.log
17.10.2006 18:15 25 mixerdef.ini
17.10.2006 18:11 358.761 setupapi.log
17.10.2006 18:03 328 Wininit.ini
16.10.2006 18:09 394 NJCOM.INI
16.10.2006 16:03 69 NeroDigital.ini
14.10.2006 15:49 1.170 win.ini
08.10.2006 13:01 2.453 KB833330Uninst.log
08.10.2006 13:01 94.499 ntdtcsetup.log
08.10.2006 13:01 153.962 comsetup.log
08.10.2006 13:01 65.548 iis6.log
08.10.2006 13:01 179.116 tsoc.log
08.10.2006 13:01 1.374 imsins.log
08.10.2006 13:01 17.124 ocmsn.log
08.10.2006 13:01 21.892 msgsocm.log
08.10.2006 13:01 207.671 ocgen.log
08.10.2006 13:01 469.976 FaxSetup.log
08.10.2006 12:58 5.090 mozver.dat
03.10.2006 10:38 2.715 OEWABLog.txt
16.09.2006 19:12 15.523 WgaNotify.log
30.07.2006 11:25 2.528 setupact.log
29.07.2006 14:38 42.162 wmsetup.log
28.07.2006 12:23 1.374 imsins.BAK
28.07.2006 12:23 7.119 KB834707-IE6SP1-20040929.091901.log
28.07.2006 12:22 13.161 KB823559.log
27.07.2006 20:24 20.624 Active Setup Log.txt
27.07.2006 20:19 1.942 KB911280.log
24.07.2006 15:46 2 tempf.txt
24.07.2006 15:46 1.109 affbun.txt
25.05.2006 01:22 53.248 bdoscandel.exe

DirDPF.txt

10)DPF????
Datentr„ger in Laufwerk C: ist 50_01_32
Volumeseriennummer: ECE0-EDBB

Verzeichnis von C:\WINDOWS\Downloaded Program Files

07.12.2004 16:07 32 bdcore.dll
01.03.2005 14:08 118.784 bdupd.dll
01.03.2005 14:08 53.248 ipsupd.dll
25.08.2003 18:12 1.096 iuctl.inf
09.03.2005 15:34 7.225 lang.ini
07.12.2004 16:07 32 libfn.dll
02.03.2005 13:43 126 live.ini
31.05.2006 04:15 10 oscan81.ocx_x
15.10.2004 08:53 110.592 PURde-xx.dll
09.03.2005 15:44 7.276 scanoptions.tsi
27.08.2005 14:30 5.065 swflash.inf
11 Datei(en) 303.486 Bytes

Anzahl der angezeigten Dateien:
11 Datei(en) 303.486 Bytes
0 Verzeichnis(se), 32.546.041.856 Bytes frei

von **vista-man** am 25.10.2006, 12:22

Danke, Ariczzz für Meldung.

Also ich würde sagen, dass es hier auch wirklich besser wäre zu formatieren und dann den PC ausreichend zu sichern.

Sichere deine Daten und formatiere.

Installiere Windows neu.

Installiere das Service Pack 2.

Installiere eine Firewall.

Installiere ein Antivirus Programm.

von **Nikita** am 25.10.2006, 15:38

vivi

poste dieses log
http://virus-protect.org/artikel/tools/combofix.html

von **vivi** am 25.10.2006, 19:05

Danke, aber ich kann kein SP2 installieren weil ich es schon ziemlich oft vergeblich versucht habe....Es erscheint eine Fehlermeldung jedes Mal wenn ich es versuche.-.. daher versuche ich erst mal Nikitas Vorschlag auszuführen...

Combofix:

ComboFix 06.10.19 - Running from: "C:\Dokumente und Einstellungen\Vivian Cheng\Desktop"

((((((((((((((((((((((((((((((( Files Created from 2006-09-25 to 2006-10-25 ))))))))))))))))))))))))))))))))))

2006-10-17 18:11 57,344 --a------ C:\WINDOWS\system32\drivers\drmk.sys
2006-10-17 18:11 42,752 --a------ C:\WINDOWS\system32\drivers\stream.sys
2006-10-17 18:11 4,096 --a------ C:\WINDOWS\system32\ksuser.dll
2006-10-17 18:11 135,040 --a------ C:\WINDOWS\system32\drivers\portcls.sys
2006-10-17 18:11 134,144 --a------ C:\WINDOWS\system32\drivers\ks.sys
2006-10-16 18:15 41,200 --a------ C:\x19l.dll
2006-10-16 18:15 3,685 --a------ C:\Riched32.dll

(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))

2006-10-25 17:01 -------- d-------- C:\Programme\Mozilla Firefox
2006-10-23 18:11 -------- d-------- C:\Dokumente und Einstellungen\Vivian Cheng\Anwendungsdaten\Adobe
2006-10-21 15:41 -------- d-------- C:\Programme\mIRC
2006-10-21 12:25 -------- d-------- C:\Programme\CleanUp!
2006-10-19 15:42 -------- d-------- C:\Programme\Gemeinsame Dateien\Adobe
2006-10-19 15:42 -------- d-------- C:\Programme\Adobe
2006-10-18 16:25 -------- d-------- C:\Programme\Microsoft Works Suite 2002
2006-10-17 17:25 -------- d-------- C:\Programme\ewido anti-spyware 4.0
2006-10-16 17:59 -------- d-------- C:\Programme\NJStar Communicator
2006-10-14 15:49 -------- d-------- C:\Dokumente und Einstellungen\Vivian Cheng\Anwendungsdaten\Opera
2006-10-08 13:01 -------- d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared
2006-10-08 13:00 -------- d-------- C:\Programme\iPod
2006-10-04 17:59 -------- d-------- C:\Programme\Java
2006-10-03 14:11 42496 --ahs---- C:\Programme\Thumbs.db
2006-10-03 10:38 -------- d-------- C:\Programme\Outlook Express
2006-10-03 10:38 -------- d-------- C:\Programme\Gemeinsame Dateien\System
2006-10-03 10:38 -------- d-------- C:\Programme\Gemeinsame Dateien\Dienste
2006-10-03 10:38 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-09-28 12:57 -------- d-------- C:\Programme\Yahoo!
2006-09-21 16:50 -------- d-------- C:\Programme\Fantastic-Bits
2006-09-16 14:06 -------- d-------- C:\Programme\Gemeinsame Dateien\Adobe Systems Shared
2006-09-15 09:22 -------- d--h----- C:\Programme\WindowsUpdate

(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"Microsoft Works Update Detection"="c:\\Programme\\Microsoft Works\\WkDetect.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvCpl.dll,NvStartup"
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.5.0_08\\bin\\jusched.exe\""
"Adobe Photo Downloader"="\"C:\\Programme\\Adobe\\Photoshop Album Starter Edition\\3.0\\Apps\\apdproxy.exe\""
"run"="C:\\WINDOWS\\System32\\rundll32.exe x3fx.dll a"
"C-Media Mixer"="Mixer.exe /startup"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,a0,00,00,00,00,00,00,00,80,02,00,00,3a,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="ewido anti-spyware 4.0"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

Completion time: 06-10-25 17:39:04.23
C:\ComboFix.txt ... 06-10-25 17:39

von **Nikita** am 25.10.2006, 19:13

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|run

Files to delete:
C:\x19l.dll
C:\Riched32.dll

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
loesche das backup vom Avenger unter C:\Avenger\backup.zip

**
Fixe mit dem HijackThis

O1 - Hosts: 125.91.1.20 localhost
O1 - Hosts: 125.91.1.20 www.7322.com
O1 - Hosts: 125.91.1.20 www.5566.net
O1 - Hosts: 125.91.1.20 www.v111.com
O1 - Hosts: 125.91.1.20 www.gjj.cc
O1 - Hosts: 125.91.1.20 www.hao123.com
O1 - Hosts: 125.91.1.20 hao123.com
O1 - Hosts: 125.91.1.20 www.9991.com
O1 - Hosts: 125.91.1.20 9991.com
O1 - Hosts: 125.91.1.20 www.gjj.cc
O1 - Hosts: 61.162.230.31 www.7939.com
O1 - Hosts: 61.162.230.31 7939.com
O1 - Hosts: 61.162.230.31 59.34.148.98
O1 - Hosts: 61.162.230.31 about:blank
O1 - Hosts: 61.141.31.11 down.Virussky.com
O1 - Hosts: 61.141.31.11 60.191.60.108
O1 - Hosts: 61.141.31.11 219.153.20.209
O1 - Hosts: 61.141.31.11 forum.ikaka.com
O1 - Hosts: 61.141.31.11 bbs.360safe.com
O1 - Hosts: 61.141.31.11 www.360safe.com
O1 - Hosts: 61.141.31.11 www.piaoxue.com
O1 - Hosts: 61.141.31.11 61.129.58.12
O1 - Hosts: 61.141.31.11 forum.jiangmin.com
O1 - Hosts: 61.141.31.11 luosoft.com
O1 - Hosts: 125.91.1.20 post.baidu.com
O1 - Hosts: 61.141.31.11 60.191.60.107
O1 - Hosts: 61.141.31.11 219.139.58.97
O1 - Hosts: 61.141.31.11 59.34.148.81
O1 - Hosts: 125.91.1.20 60.191.60.114
O1 - Hosts: 125.91.1.20 www.ycdy.com
O1 - Hosts: 61.141.31.11 cn.zs.yahoo.com
O1 - Hosts: 61.141.31.11 www.znmq.com
O1 - Hosts: 61.141.31.11 www.btbbt.com
O1 - Hosts: 61.141.31.11 bbs.btbbt.com
O1 - Hosts: 125.91.1.20 auto.search.msn.com
O1 - Hosts: 125.91.1.20 www.pcav.cn
O1 - Hosts: 125.91.1.20 www.cnhx.com.cn
O1 - Hosts: 125.91.1.20 btbaicai.com
O1 - Hosts: 125.91.1.20 www.btbaicai.com
O1 - Hosts: 125.91.1.20 219.239.102.77
O1 - Hosts: 61.141.31.11 hz.mop-hz.com
O1 - Hosts: 61.141.31.11 www.jacai.com
O1 - Hosts: 61.141.31.11 www.gao58.com
O1 - Hosts: 61.141.31.11 www.ok538.com
O1 - Hosts: 61.141.31.11 www.3000sss.com
O1 - Hosts: 61.141.31.11 www.qq658.com
O1 - Hosts: 61.141.31.11 www.53679.com
O1 - Hosts: 61.141.31.11 www.17587.net
O1 - Hosts: 61.141.31.11 bbs.168safe.com

PC neustarten

««
Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.

**
scanne mit kaspersky (auch die mails mitscannen lassen) - poste hier den scanreport
http://virus-protect.org/onlinescan.html

von **vivi** am 27.10.2006, 19:04

nr.1
[quote]-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER

edit

von **Nikita** am 28.10.2006, 01:11

ich finde den virus nicht
Viren gefunden: 1
hast du alles gepostet?

von **vivi** am 28.10.2006, 12:23

also ich habe alles überprüfen lassen und dann die Protokolle der jeweiligen Untersuchungen gepostet...
Einmal tauchte auf, dass es einen virus gefunden hat....aber ich wusste auch nicht wo....
Achja, dann hab ich noch etwas komisches beobachtet...

Ich habe mithilfe von HiJackthis die Sachen gefixt und auch die anderen ARbeitsschritte ausgeführt, dann gab es die Startseite eine zeitlang nicht mehr, aber nach einer halben STunde hat sich die Startseite wieder eingerichtet...kA warum

von **Nikita** am 29.10.2006, 13:13

scanne im abgesicherten modus, dann poste hier den scanreport
http://virus-protect.org/cureit.html

von **vivi** am 30.10.2006, 13:05

Okay, ich hab meinen compi damit gescannt:

downddd.exe;C:\Dokumente und Einstellungen\Ellen Xia\Lokale Einstellungen\Temp;Trojan.DownLoader.5206;Gelöscht.;
miniddd.exe;C:\Dokumente und Einstellungen\Ellen Xia\Lokale Einstellungen\Temp;Trojan.MulDrop.2994;Gelöscht.;
AppWrap[1].exe;C:\Dokumente und Einstellungen\Ellen Xia\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4RXZUAB1;Adware.Zesty;Nicht desinfizierbar.Umbenannt.;
mirc.exe;C:\Programme\mIRC;Program.mIRC.60;Nicht desinfizierbar.Umbenannt.;

von **Nikita** am 30.10.2006, 16:34

es ist immer wichtig, die temporaeren Dateien zu loeschen:

Start - Programme - Zubehör - Systemprogramme - Datenträgerbereinigung
- Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
- Click:Temporäre Dateien, o.k
+
http://virus-protect.org/cleanup.html

poste das neue log vom HijackTHis

von **vivi** am 31.10.2006, 13:06

Okay, hier ist das hijackthis.log

Logfile of HijackThis v1.99.1
Scan saved at 11:59:45, on 31.10.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\Userinit.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\Ellen Xia\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.4199.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.4199.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.4199.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O1 - Hosts: 125.91.1.20 localhost
O1 - Hosts: 125.91.1.20 www.7322.com
O1 - Hosts: 125.91.1.20 www.5566.net
O1 - Hosts: 125.91.1.20 www.v111.com
O1 - Hosts: 125.91.1.20 www.gjj.cc
O1 - Hosts: 125.91.1.20 www.hao123.com
O1 - Hosts: 125.91.1.20 hao123.com
O1 - Hosts: 125.91.1.20 www.9991.com
O1 - Hosts: 125.91.1.20 9991.com
O1 - Hosts: 125.91.1.20 www.gjj.cc
O1 - Hosts: 125.91.1.20 www.7939.com
O1 - Hosts: 125.91.1.20 7939.com
O1 - Hosts: 125.91.1.20 59.34.148.98
O1 - Hosts: 125.91.1.20 about:blank
O1 - Hosts: 125.91.1.20 down.Virussky.com
O1 - Hosts: 125.91.1.20 60.191.60.108
O1 - Hosts: 125.91.1.20 219.153.20.209
O1 - Hosts: 125.91.1.20 forum.ikaka.com
O1 - Hosts: 125.91.1.20 bbs.360safe.com
O1 - Hosts: 125.91.1.20 www.360safe.com
O1 - Hosts: 125.91.1.20 www.piaoxue.com
O1 - Hosts: 125.91.1.20 61.129.58.12
O1 - Hosts: 125.91.1.20 forum.jiangmin.com
O1 - Hosts: 125.91.1.20 luosoft.com
O1 - Hosts: 125.91.1.20 post.baidu.com
O1 - Hosts: 125.91.1.20 60.191.60.107
O1 - Hosts: 125.91.1.20 219.139.58.97
O1 - Hosts: 125.91.1.20 59.34.148.81
O1 - Hosts: 125.91.1.20 60.191.60.114
O1 - Hosts: 125.91.1.20 www.ycdy.com
O1 - Hosts: 125.91.1.20 cn.zs.yahoo.com
O1 - Hosts: 125.91.1.20 www.znmq.com
O1 - Hosts: 125.91.1.20 www.btbbt.com
O1 - Hosts: 125.91.1.20 bbs.btbbt.com
O1 - Hosts: 125.91.1.20 auto.search.msn.com
O1 - Hosts: 125.91.1.20 www.pcav.cn
O1 - Hosts: 125.91.1.20 www.cnhx.com.cn
O1 - Hosts: 125.91.1.20 btbaicai.com
O1 - Hosts: 125.91.1.20 www.btbaicai.com
O1 - Hosts: 125.91.1.20 219.239.102.77
O1 - Hosts: 125.91.1.20 hz.mop-hz.com
O1 - Hosts: 125.91.1.20 www.jacai.com
O1 - Hosts: 125.91.1.20 www.gao58.com
O1 - Hosts: 125.91.1.20 www.ok538.com
O1 - Hosts: 125.91.1.20 www.3000sss.com
O1 - Hosts: 125.91.1.20 www.qq658.com
O1 - Hosts: 125.91.1.20 www.53679.com
O1 - Hosts: 125.91.1.20 www.17587.net
O1 - Hosts: 125.91.1.20 bbs.168safe.com
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [run] C:\WINDOWS\System32\rundll32.exe x3fx.dll a
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [TClock.exe] C:\Programme\TClock\tclock_install.exe
O4 - HKCU\..\Run: [Microsoft Works Update Detection] c:\Programme\Microsoft Works\WkDetect.exe
O8 - Extra context menu item: °Ù¶È-´ÊµäËÑË÷ - res://C:\Programme\Kingsoft\PowerWord 2006\BaiduBar.dll/BAIDU_DIC.HTM
O8 - Extra context menu item: °Ù¶È-ËÑË÷MP3 - res://C:\Programme\Kingsoft\PowerWord 2006\BaiduBar.dll/BAIDUMP3.HTM
O8 - Extra context menu item: °Ù¶È-ËÑË÷¸è´Ê - res://C:\Programme\Kingsoft\PowerWord 2006\BaiduBar.dll/BAIDULYRIC.HTM
O8 - Extra context menu item: °Ù¶È-ËÑË÷Ìù°É - res://C:\Programme\Kingsoft\PowerWord 2006\BaiduBar.dll/BAIDUPOST.HTM
O8 - Extra context menu item: °Ù¶È-ËÑË÷Í¼Æ¬ - res://C:\Programme\Kingsoft\PowerWord 2006\BaiduBar.dll/BAIDUIMG.HTM
O8 - Extra context menu item: °Ù¶È-ËÑË÷ÍøÒ³ - res://C:\Programme\Kingsoft\PowerWord 2006\BaiduBar.dll/BAIDUSEARCH.HTM
O8 - Extra context menu item: °Ù¶È-ËÑË÷ÐÂÎÅ - res://C:\Programme\Kingsoft\PowerWord 2006\BaiduBar.dll/BAIDUNEWS.HTM
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O15 - Trusted Zone: *.sxload.com
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - T-Online International AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Virtual NIC Service (PackethSvc) - America Online, Inc. - C:\WINDOWS\System32\PackethSvc.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe

von **Nikita** am 31.10.2006, 15:38

ich denke, wir lassen es, such deine XP-CD und formatiere

Schon wieder Problem mit IE und HiJackThis

Schon wieder Problem mit IE und HiJackThis

Ähnliche Themen

Wer ist online?