about:blank
2 Beiträge • Seite 1 von 1
about:blank
von ichel am 21.08.2004, 21:26
@nikita
Vielen Dank für deine Hilfe.
Aber ich habe noch ein Problem an einem anderen PC.
Da gehn ständig PopUps auf, obwohl ich einen PopUp-Blocker installiert habe. Von den HPs kann es auch nicht kommen, denn dies passiert auch wenn ich meine eigenen HPs besuche und da sind keine PopUps programmiert.
Hier mein Logfile:
Logfile of HijackThis v1.97.7
Scan saved at 21:24:39, on 21.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\srvany.exe
C:\WINDOWS\system32\resetservice.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\DSentry.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\System32\LXSUPMON.EXE
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\qgshteq.exe
C:\Programme\Messenger\msmsgs.exe
C:\anti-errorplace\Registry Cleaner\RCScheduler.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\m.allion\Desktop\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Z--Homepages/!offline%20Page/www.ichel.de/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = file:///C:/Z--Homepages/!offline%20Page/www.ichel.de/index.html
O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [gnxmfwlsn] C:\WINDOWS\System32\qgshteq.exe
O4 - HKLM\..\Run: [alchem] C:\WINDOWS\alchem.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Registry Cleaner Scheduler] "C:\anti-errorplace\Registry Cleaner\RCScheduler.exe" /startup
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: ORiNOCO Client Manager.lnk = ?
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar3.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar3.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar3.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar3.dll/cmsimilar.html
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Recherchieren (HKLM)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/C ... 3423611111
O16 - DPF: {A8658086-E6AC-4957-BC8E-7D54A7E8A78E} (SassCln Object) - http://www.microsoft.com/security/controls/SassCln.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shoc ... wflash.cab
O16 - DPF: {E0CE16CB-741C-4B24-8D04-A817856E07F4} - http://cabs.roings.com/cabs/roing.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{22E88B84-EED8-475D-9B27-A0145B451D6D}: NameServer = 213.146.230.2,213.146.232.2
O17 - HKLM\System\CCS\Services\Tcpip\..\{6A5CAF6D-A807-4E6C-92ED-9A4E6A8B0FA2}: NameServer = 213.146.230.2,213.146.232.2
O17 - HKLM\System\CS1\Services\Tcpip\..\{22E88B84-EED8-475D-9B27-A0145B451D6D}: NameServer = 213.146.230.2,213.146.232.2
Vielen Dank für deine Hilfe.
Aber ich habe noch ein Problem an einem anderen PC.
Da gehn ständig PopUps auf, obwohl ich einen PopUp-Blocker installiert habe. Von den HPs kann es auch nicht kommen, denn dies passiert auch wenn ich meine eigenen HPs besuche und da sind keine PopUps programmiert.
Hier mein Logfile:
Logfile of HijackThis v1.97.7
Scan saved at 21:24:39, on 21.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\srvany.exe
C:\WINDOWS\system32\resetservice.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\DSentry.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\System32\LXSUPMON.EXE
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\qgshteq.exe
C:\Programme\Messenger\msmsgs.exe
C:\anti-errorplace\Registry Cleaner\RCScheduler.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\m.allion\Desktop\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Z--Homepages/!offline%20Page/www.ichel.de/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = file:///C:/Z--Homepages/!offline%20Page/www.ichel.de/index.html
O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [gnxmfwlsn] C:\WINDOWS\System32\qgshteq.exe
O4 - HKLM\..\Run: [alchem] C:\WINDOWS\alchem.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Registry Cleaner Scheduler] "C:\anti-errorplace\Registry Cleaner\RCScheduler.exe" /startup
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: ORiNOCO Client Manager.lnk = ?
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar3.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar3.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar3.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar3.dll/cmsimilar.html
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Recherchieren (HKLM)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/C ... 3423611111
O16 - DPF: {A8658086-E6AC-4957-BC8E-7D54A7E8A78E} (SassCln Object) - http://www.microsoft.com/security/controls/SassCln.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shoc ... wflash.cab
O16 - DPF: {E0CE16CB-741C-4B24-8D04-A817856E07F4} - http://cabs.roings.com/cabs/roing.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{22E88B84-EED8-475D-9B27-A0145B451D6D}: NameServer = 213.146.230.2,213.146.232.2
O17 - HKLM\System\CCS\Services\Tcpip\..\{6A5CAF6D-A807-4E6C-92ED-9A4E6A8B0FA2}: NameServer = 213.146.230.2,213.146.232.2
O17 - HKLM\System\CS1\Services\Tcpip\..\{22E88B84-EED8-475D-9B27-A0145B451D6D}: NameServer = 213.146.230.2,213.146.232.2
- ichel
- Beiträge: 8
- Registriert: 16.06.2004, 23:38
twaintec.dll\mxtarget.dll TWAINTEC
von Nikita am 21.08.2004, 21:42
Fixe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Z--Homepages/!offline%20Page/www.ichel.de/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = file:///C:/Z--Homepages/!offline%20Page/www.ichel.de/index.html
O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll
O4 - HKLM\..\Run: [gnxmfwlsn] C:\WINDOWS\System32\qgshteq.exe
O4 - HKLM\..\Run: [alchem] C:\WINDOWS\alchem.exe
O16 - DPF: {E0CE16CB-741C-4B24-8D04-A817856E07F4} - http://cabs.roings.com/cabs/roing.cab
Kennen Sie die IP oder die Domäne '213.146.230.2,213.146.232.2 ' nicht, .....fixen.
O17 - HKLM\System\CCS\Services\Tcpip\..\{22E88B84-EED8-475D-9B27-A0145B451D6D}: NameServer = 213.146.230.2,213.146.232.2
O17 - HKLM\System\CCS\Services\Tcpip\..\{6A5CAF6D-A807-4E6C-92ED-9A4E6A8B0FA2}: NameServer = 213.146.230.2,213.146.232.2
O17 - HKLM\System\CS1\Services\Tcpip\..\{22E88B84-EED8-475D-9B27-A0145B451D6D}: NameServer = 213.146.230.2,213.146.232.2
neustarten
http://www.kaspersky.com/remoteviruschk.html
Ueberpruefe mit Kaspersky
C:\WINDOWS\System32\qgshteq.exe
C:\WINDOWS\system32\srvany.exe
ENTFERNEN TWAINTEC
Click on Start, Settings, Control Panel
2) Open Add/Remove Programs
3) Select Twain-tech and click on Add/Remove<adware Twain-Tech
Registry...loesche diesen Eintrag, wenn er da ist.
Start<Ausfuehren<regedit
HKEY_LOCAL_MACHINE\Software\Twaintec
neustarten
Start<Ausfuehren :kopiere rein:
regsvr32 /u c:\windows\twaintec.dll
NEUSTARTEN
loesche:(falls es da ist)
<mxtarget.dll
<c:\windows\twaintec.dll
Start<Ausfuehren<%temp%
<C:\Documents and Settings\Username\Local Settings\temp\THI70E6.tmp\twaintec.cab=twaintec.dll
preInsTT.exe.
twaintec.cab
twaintec.inf
.................................................................................................................................
Spysweeper
http://www.spysweeper.com/
#Lade TuneUp2004 (30 Tage free) und optimiere\repariere den PC
http://www.tuneup.de/download/
#Lade ClearProg
http://www.clearprog.de/
und loesche:
- Cookies (mit Ausschlußmöglichkeit beim IE)
- Verlauf
- Temporäre Internetfiles (Cache)
.......................................................................................................
Dann lade
#Lade eScan (entpacke in C:\ base )
http://www.mwti.net/antivirus/free_utilities.asp
Nun suchst du eine "kavupd.exe" und anklicken.
<Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt(dauert ein bisschen)
Gehe in den abgesicherten Modus
http://www.bsi.de/av/texte/winsave.htm
#dort ::suche eine "mwav.exe und starte so den< eScan<. Alle Häkchen setzen und "Clean-Scan" klicken.
...................................................................................................
#Dann poste bitte, was der <eScan< gefunden hat.....am Besten , du machst noch mal einen Scann im Normal modus
UND KOPIERE AUS DEM VIEWER ALLES <INFIZIERTE< ab, also <no action taken< oder <deleted<
(Poste das Virenlog von eScan und und das Log vom HijackThis und die Infos von Kaspersky
(stelle eine neue Startseite ein)
Nikita
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Z--Homepages/!offline%20Page/www.ichel.de/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = file:///C:/Z--Homepages/!offline%20Page/www.ichel.de/index.html
O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll
O4 - HKLM\..\Run: [gnxmfwlsn] C:\WINDOWS\System32\qgshteq.exe
O4 - HKLM\..\Run: [alchem] C:\WINDOWS\alchem.exe
O16 - DPF: {E0CE16CB-741C-4B24-8D04-A817856E07F4} - http://cabs.roings.com/cabs/roing.cab
Kennen Sie die IP oder die Domäne '213.146.230.2,213.146.232.2 ' nicht, .....fixen.
O17 - HKLM\System\CCS\Services\Tcpip\..\{22E88B84-EED8-475D-9B27-A0145B451D6D}: NameServer = 213.146.230.2,213.146.232.2
O17 - HKLM\System\CCS\Services\Tcpip\..\{6A5CAF6D-A807-4E6C-92ED-9A4E6A8B0FA2}: NameServer = 213.146.230.2,213.146.232.2
O17 - HKLM\System\CS1\Services\Tcpip\..\{22E88B84-EED8-475D-9B27-A0145B451D6D}: NameServer = 213.146.230.2,213.146.232.2
neustarten
http://www.kaspersky.com/remoteviruschk.html
Ueberpruefe mit Kaspersky
C:\WINDOWS\System32\qgshteq.exe
C:\WINDOWS\system32\srvany.exe
ENTFERNEN TWAINTEC
Click on Start, Settings, Control Panel
2) Open Add/Remove Programs
3) Select Twain-tech and click on Add/Remove<adware Twain-Tech
Registry...loesche diesen Eintrag, wenn er da ist.
Start<Ausfuehren<regedit
HKEY_LOCAL_MACHINE\Software\Twaintec
neustarten
Start<Ausfuehren :kopiere rein:
regsvr32 /u c:\windows\twaintec.dll
NEUSTARTEN
loesche:(falls es da ist)
<mxtarget.dll
<c:\windows\twaintec.dll
Start<Ausfuehren<%temp%
<C:\Documents and Settings\Username\Local Settings\temp\THI70E6.tmp\twaintec.cab=twaintec.dll
preInsTT.exe.
twaintec.cab
twaintec.inf
.................................................................................................................................
Spysweeper
http://www.spysweeper.com/
#Lade TuneUp2004 (30 Tage free) und optimiere\repariere den PC
http://www.tuneup.de/download/
#Lade ClearProg
http://www.clearprog.de/
und loesche:
- Cookies (mit Ausschlußmöglichkeit beim IE)
- Verlauf
- Temporäre Internetfiles (Cache)
.......................................................................................................
Dann lade
#Lade eScan (entpacke in C:\ base )
http://www.mwti.net/antivirus/free_utilities.asp
Nun suchst du eine "kavupd.exe" und anklicken.
<Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt(dauert ein bisschen)
Gehe in den abgesicherten Modus
http://www.bsi.de/av/texte/winsave.htm
#dort ::suche eine "mwav.exe und starte so den< eScan<. Alle Häkchen setzen und "Clean-Scan" klicken.
...................................................................................................
#Dann poste bitte, was der <eScan< gefunden hat.....am Besten , du machst noch mal einen Scann im Normal modus
UND KOPIERE AUS DEM VIEWER ALLES <INFIZIERTE< ab, also <no action taken< oder <deleted<
(Poste das Virenlog von eScan und und das Log vom HijackThis und die Infos von Kaspersky
(stelle eine neue Startseite ein)
Nikita
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
2 Beiträge • Seite 1 von 1
Zurück zu Online- und PC-Sicherheit
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste