Hilfe!!!
Der Computer von meiner Tochter ist total verseucht. Sie hat Win 98. Wer kann uns helfen? Wir wissen zwar wie ein Compu bedient wird, aber viel mehr auch nicht. Kann uns jemand helfen, aber bitte nicht im Fachjargon, dafür haben wir leider noch kein Lexikon ;-(. Folgende Dateien sind verseucht. Kann uns jemand ein Antibiotikum verschreiben? Dankeschööön.
c:\WINDOWS\SYSTEM\mtwcnl32.dll Trojan.Win32.StartPage.bs
c:\WINDOWS\SYSTEM\mtwirl32.dll Trojan.Win32.StartPage.bs
c:\WINDOWS\SYSTEM\kjcjj.dll Trojan.Win32.StartPage.is
c:\WINDOWS\SYSTEM\bridge.dll TrojanSpy.Win32.Briss.h
c:\WINDOWS\SYSTEM32\windrv.dll Trojan.Win32.Scagent.c
c:\WINDOWS\SYSTEM32\windrv.dll Trojan.Win32.Scagent.c
c:\WINDOWS\SYSTEM32\scagent.exe Trojan.Win32.Scagent.c
c:\WINDOWS\SYSTEM32\scagent.exe Trojan.Win32.Scagent.c
c:\WINDOWS\TEMP\xwxload.exe TrojanDownloader.Win32.Small.fo
c:\WINDOWS\TEMP\bellasDE.exe Trojan.Win32.Dialer.da
c:\WINDOWS\TEMP\bellasDE.exe Trojan.Win32.Dialer.da
c:\WINDOWS\Q6760209.exe Trojan.Win32.Dialer.j
c:\WINDOWS\Q6760209.exe Trojan.Win32.Dialer.j
c:\WINDOWS\scins.exe Trojan.Win32.Scagent.c
c:\WINDOWS\scins.exe Trojan.Win32.Scagent.c
c:\WINDOWS\digfilt.dll Trojan.Win32.Scagent.c
c:\WINDOWS\digfilt.dll Trojan.Win32.Scagent.c
c:\WINDOWS\digfilt2.dll Trojan.Win32.Scagent.c
c:\WINDOWS\digfilt2.dll Trojan.Win32.Scagent.c
c:\WINDOWS\fierm.exe TrojanDropper.Win32.Delf.cy
c:\WINDOWS\fierm.exe TrojanDropper.Win32.Delf.cy
c:\WINDOWS\tnmng.exe TrojanDownloader.Win32.Small.il
c:\WINDOWS\tnmng.exe TrojanDownloader.Win32.Small.il
c:\WINDOWS\rocky2.exe TrojanSpy.Win32.Briss.h
c:\WINDOWS\odbc.hta Trojan.VBS.StartPage.x
c:\z.exe TrojanDropper.Win32.Small.ge
c:\z.exe TrojanDropper.Win32.Small.ge
c:\mdmhelpv.exe TrojanDownloader.Win32.Femad.u
c:\mdmhelpv.exe TrojanDownloader.Win32.Femad.u
c:\loadpr25.exe TrojanDownloader.Win32.Small.nq
c:\loadpr25.exe TrojanDownloader.Win32.Small.nq
Warum kostenlos registrieren?
Nur als registriertes Mitglied hast Du vollen Zugriff auf alle Funktionen unserer Website. So kannst Du eigene Fragen stellen und hast die volle Übersicht über neue interessante Themen im Forum.
Jetzt kostenlos registrieren.
Login
Compu von meiner Tochter total von Troja eingenommen
19 Beiträge • Seite 1 von 2 • 1, 2
von svister am 26.08.2004, 10:30
Da ich auch kein Experte für die Entfernung von Trojanern bin, kann ich nur sagen, was ich kürzlich in ähnlicher Situation gemacht habe: Sicherheitskopien von allen wichtigen Dateien anfertigen und anschließend eine komplette Neuistallation. danach nur noch mit brauchbarer Firewall und Virenschutz (empfehle Kasparsky AV und VisNetic Firewall) ins Netz...
Gruss, S.
Gruss, S.
- svister
- Beiträge: 108
- Registriert: 13.07.2004, 09:39
von Nikita am 26.08.2004, 11:59
Hallo @antesmeralda
Ich schliesse mich im Prinzip @svister an.
Aber du kannst mal ein HijackThis-Log erstellen und hier ins Forum posten.
1.Laden
http://www.downloads.subratam.org/hijackthis.zip
2.Entpacken
3.Scannen
4.auf <save < druecken
5. dieses Save-Log mit der Maus kopieren< und hier ins Forum reinkopieren.
mfg
Nikita
Ich schliesse mich im Prinzip @svister an.
Aber du kannst mal ein HijackThis-Log erstellen und hier ins Forum posten.
1.Laden
http://www.downloads.subratam.org/hijackthis.zip
2.Entpacken
3.Scannen
4.auf <save < druecken
5. dieses Save-Log mit der Maus kopieren< und hier ins Forum reinkopieren.
mfg
Nikita
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von antesmeralda am 26.08.2004, 13:18
Hallo @Svister und @nikita,
danke für den Versuch mir zu helfen.
Hier der HijackThis-Log:
Logfile of HijackThis v1.98.2
Scan saved at 13:16:50, on 26.08.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.00 (5.00.2614.3500)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\MSHTA.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\HIJACKTHIS\HIJACKTHIS[1].EXE
R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://www.nkvd.us/s.htm
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.nkvd.us/s.htm
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://www.nkvd.us/s.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.nkvd.us/s.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://1-se.com/home.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://1-se.com/srchasst.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\homepage.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://1-se.com/home.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://1-se.com/srchasst.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://0cj.net/srchasst.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = http://1-se.com/srchasst.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://0cj.net/srchasst.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://1-se.com/srchasst.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://1-se.com/home.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {446FBE88-F5FB-11D8-9FF9-0060786886FB} - C:\WINDOWS\SYSTEM\KJCJJ.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Windows Shell Library Loader] load shell32.dll /c /set
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKCU\..\Run: [winlogon] c:\windows\winserv.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Web Search - C:\WINDOWS\ex.htm
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O13 - DefaultPrefix:
O13 - WWW Prefix:
O13 - Home Prefix: http://www.nkvd.us/
O13 - Mosaic Prefix: http://www.nkvd.us/
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - https://www7.pc-sicherheit.web.de/ols/fscax.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.0.1
O18 - Filter: text/html - {446FBE87-F5FB-11D8-9FF9-006009F71289} - C:\WINDOWS\SYSTEM\KJCJJ.DLL
O18 - Filter: text/plain - {446FBE87-F5FB-11D8-9FF9-006009F71289} - C:\WINDOWS\SYSTEM\KJCJJ.DLL
O21 - SSODL: DDE Control Module - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - C:\WINDOWS\SYSTEM\mtwirl32.dll
Danke
Ant
danke für den Versuch mir zu helfen.
Hier der HijackThis-Log:
Logfile of HijackThis v1.98.2
Scan saved at 13:16:50, on 26.08.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.00 (5.00.2614.3500)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\MSHTA.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\HIJACKTHIS\HIJACKTHIS[1].EXE
R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://www.nkvd.us/s.htm
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.nkvd.us/s.htm
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://www.nkvd.us/s.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.nkvd.us/s.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://1-se.com/home.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://1-se.com/srchasst.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\homepage.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://1-se.com/home.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://1-se.com/srchasst.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://0cj.net/srchasst.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = http://1-se.com/srchasst.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://0cj.net/srchasst.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://1-se.com/srchasst.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://1-se.com/home.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {446FBE88-F5FB-11D8-9FF9-0060786886FB} - C:\WINDOWS\SYSTEM\KJCJJ.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Windows Shell Library Loader] load shell32.dll /c /set
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKCU\..\Run: [winlogon] c:\windows\winserv.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Web Search - C:\WINDOWS\ex.htm
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O13 - DefaultPrefix:
O13 - WWW Prefix:
O13 - Home Prefix: http://www.nkvd.us/
O13 - Mosaic Prefix: http://www.nkvd.us/
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - https://www7.pc-sicherheit.web.de/ols/fscax.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.0.1
O18 - Filter: text/html - {446FBE87-F5FB-11D8-9FF9-006009F71289} - C:\WINDOWS\SYSTEM\KJCJJ.DLL
O18 - Filter: text/plain - {446FBE87-F5FB-11D8-9FF9-006009F71289} - C:\WINDOWS\SYSTEM\KJCJJ.DLL
O21 - SSODL: DDE Control Module - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - C:\WINDOWS\SYSTEM\mtwirl32.dll
Danke
Ant- antesmeralda
- Beiträge: 56
- Registriert: 26.08.2004, 09:06
trojan.bookmarker.c
von Nikita am 26.08.2004, 13:27
Hallo @antesmeralda
#scanne noch mal mit dem HijackThis, dann hake alles an, was ich poste (nur das !), dann druecke auf <fix<
und starte neu.
R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://www.nkvd.us/s.htm
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.nkvd.us/s.htm
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://www.nkvd.us/s.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.nkvd.us/s.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://1-se.com/home.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://1-se.com/srchasst.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\homepage.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://1-se.com/home.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://1-se.com/srchasst.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://0cj.net/srchasst.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = http://1-se.com/srchasst.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://0cj.net/srchasst.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://1-se.com/srchasst.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://1-se.com/home.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {446FBE88-F5FB-11D8-9FF9-0060786886FB} - C:\WINDOWS\SYSTEM\KJCJJ.DLL
O4 - HKCU\..\Run: [winlogon] c:\windows\winserv.exe
O4 - HKLM\..\Run: [Windows Shell Library Loader] load shell32.dll /c /set
O8 - Extra context menu item: Web Search - C:\WINDOWS\ex.htm
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O13 - DefaultPrefix:
O13 - WWW Prefix:
O13 - Home Prefix: http://www.nkvd.us/
O13 - Mosaic Prefix: http://www.nkvd.us/
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O18 - Filter: text/html - {446FBE87-F5FB-11D8-9FF9-006009F71289} - C:\WINDOWS\SYSTEM\KJCJJ.DLL
O18 - Filter: text/plain - {446FBE87-F5FB-11D8-9FF9-006009F71289} - C:\WINDOWS\SYSTEM\KJCJJ.DLL
O21 - SSODL: DDE Control Module - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - C:\WINDOWS\SYSTEM\mtwirl32.dll
neustarten
#Gehe in <Internetoptionen< und loesche die <TemporaryInternetfiles, Cookies )
und stelle eine Startseite ein
setze unter <extras<die Webeinstellungen zurueck
#Loesche manuell:
c:\windows\winserv.exe
Lade folgende Tools und scanne
#AdAware (free)...updaten und dann <alle Dateien< scannen
http://www.lavasoft.de/support/download/
#Spysweeper(free)
http://www.spysweeper.com/
#Lade von dieser Seite CwShreeder
http://www.chip.de/downloads/c_downloads_11353799.html
(Lowspeed-Download)
schliesse alle Browser-Fenster und scanne
#Lade Antivirus(free)
http://www.free-av.de/
nach dem Installationsscann konfigurierst du den Scannerunter <Optionen<
<alle Dateien
<Heuristik:mittel
<Guard aktivieren
#Dann laedst du< eScan<
http://www.mwti.net/antivirus/free_utilities.asp
suchst mit der Suchfunktion von Windows eine "kavupd.exe" und anklicken.(kann auch im Temporary-Ordner sein)
Start<Ausfuehren< %temp% (ich weiss nicht, ob das fuer Win98) zutrifft ????
Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt(dauert ein bisschen)
#suche "mwav.exe und starte so den< eScan<. Alle Häkchen setzen und "Clean-Scan" klicken.
Nach dem Scann, postest du mir alles, was als <deleted< und <renamed< und <no action taken< gefunden wurde und postest das neue Log vom HijackThis noch mal.
Vorher aktualisiere aber noch den InternetExplorer
http://www.microsoft.com/downloads/deta ... B602228DE6
#setze unter <extras)die Webeinstellungen zurueck und stellst wieder unter <Internetoptionen< eine neue Startseite ein.
z.B.
www.yahoo.de
_________________________________________________________________
Wenn du irgendwas nicht schaffst oder verstehst...dann frag !
mfg
Nikita
http://securityresponse.symantec.com/av ... ker.c.html
#scanne noch mal mit dem HijackThis, dann hake alles an, was ich poste (nur das !), dann druecke auf <fix<
und starte neu.
R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://www.nkvd.us/s.htm
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.nkvd.us/s.htm
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://www.nkvd.us/s.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.nkvd.us/s.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://1-se.com/home.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://1-se.com/srchasst.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\homepage.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://1-se.com/home.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://1-se.com/srchasst.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://0cj.net/srchasst.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = http://1-se.com/srchasst.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://0cj.net/srchasst.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://1-se.com/srchasst.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://1-se.com/home.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {446FBE88-F5FB-11D8-9FF9-0060786886FB} - C:\WINDOWS\SYSTEM\KJCJJ.DLL
O4 - HKCU\..\Run: [winlogon] c:\windows\winserv.exe
O4 - HKLM\..\Run: [Windows Shell Library Loader] load shell32.dll /c /set
O8 - Extra context menu item: Web Search - C:\WINDOWS\ex.htm
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O13 - DefaultPrefix:
O13 - WWW Prefix:
O13 - Home Prefix: http://www.nkvd.us/
O13 - Mosaic Prefix: http://www.nkvd.us/
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O18 - Filter: text/html - {446FBE87-F5FB-11D8-9FF9-006009F71289} - C:\WINDOWS\SYSTEM\KJCJJ.DLL
O18 - Filter: text/plain - {446FBE87-F5FB-11D8-9FF9-006009F71289} - C:\WINDOWS\SYSTEM\KJCJJ.DLL
O21 - SSODL: DDE Control Module - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - C:\WINDOWS\SYSTEM\mtwirl32.dll
neustarten
#Gehe in <Internetoptionen< und loesche die <TemporaryInternetfiles, Cookies )
und stelle eine Startseite ein
setze unter <extras<die Webeinstellungen zurueck
#Loesche manuell:
c:\windows\winserv.exe
Lade folgende Tools und scanne
#AdAware (free)...updaten und dann <alle Dateien< scannen
http://www.lavasoft.de/support/download/
#Spysweeper(free)
http://www.spysweeper.com/
#Lade von dieser Seite CwShreeder
http://www.chip.de/downloads/c_downloads_11353799.html
(Lowspeed-Download)
schliesse alle Browser-Fenster und scanne
#Lade Antivirus(free)
http://www.free-av.de/
nach dem Installationsscann konfigurierst du den Scannerunter <Optionen<
<alle Dateien
<Heuristik:mittel
<Guard aktivieren
#Dann laedst du< eScan<
http://www.mwti.net/antivirus/free_utilities.asp
suchst mit der Suchfunktion von Windows eine "kavupd.exe" und anklicken.(kann auch im Temporary-Ordner sein)
Start<Ausfuehren< %temp% (ich weiss nicht, ob das fuer Win98) zutrifft ????
Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt(dauert ein bisschen)
#suche "mwav.exe und starte so den< eScan<. Alle Häkchen setzen und "Clean-Scan" klicken.
Nach dem Scann, postest du mir alles, was als <deleted< und <renamed< und <no action taken< gefunden wurde und postest das neue Log vom HijackThis noch mal.
Vorher aktualisiere aber noch den InternetExplorer
http://www.microsoft.com/downloads/deta ... B602228DE6
#setze unter <extras)die Webeinstellungen zurueck und stellst wieder unter <Internetoptionen< eine neue Startseite ein.
z.B.
www.yahoo.de
_________________________________________________________________
Wenn du irgendwas nicht schaffst oder verstehst...dann frag !
mfg
Nikita
http://securityresponse.symantec.com/av ... ker.c.html
Zuletzt geändert von Nikita am 26.08.2004, 16:38, insgesamt 5-mal geändert.
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von antesmeralda am 26.08.2004, 15:31
Hallo Nikita,
wow, schnief und tief luftholen.
Werde mein Glück nach deiner Anleitung versuchen. Ich melde mich dann wieder.
Vielen Dank ersteinmal Ant
wow, schnief und tief luftholen.
Werde mein Glück nach deiner Anleitung versuchen. Ich melde mich dann wieder.
Vielen Dank ersteinmal
Ant- antesmeralda
- Beiträge: 56
- Registriert: 26.08.2004, 09:06
von antesmeralda am 27.08.2004, 09:06
Hallo Nikita,
habe mein Glück versucht und einige Erfolge erzielt. Zumindestens öffnet sich jetzt im Internet nicht mehr diese beknackte about blank-site mit diversen Warnungen.
Leider habe ich keine Datei "kavupd.exe" gefunden, auch nicht auf meinem Compu Win XP
So habe ich das escan-Programm direkt gestartet.
Leider sind bei der Auswertung des HijackThis wieder dieselben miesen aufgetreten, obwohl ich sie nach deiner Anleitung angehakt und gefixed habe.
Danke für deine Bemühungen, hier nun die Auswertung:
Fri Aug 27 07:11:58 2004 => ERROR!!! Invalid Entry = C:\WINDOWS\SYSTEM\KJCJJ.DLL. Removing it.
Fri Aug 27 07:12:45 2004 => File C:\WINDOWS\sys.reg infected by "Trojan.WinREG.StartPage" Virus. Action Taken: File Deleted.
Fri Aug 27 07:12:46 2004 => File C:\WINDOWS\tnmng.exe infected by "TrojanDownloader.Win32.Small.il" Virus. Action Taken: File Deleted.
Fri Aug 27 07:12:46 2004 => File C:\WINDOWS\odbc.hta infected by "Trojan.VBS.StartPage.x" Virus. Action Taken: File Deleted.
Fri Aug 27 07:19:50 2004 => File C:\WINDOWS\TEMP\bellasDE.exe infected by "Trojan.Win32.Dialer.da" Virus. Action Taken: File Deleted.
Fri Aug 27 07:19:50 2004 => File C:\WINDOWS\TEMP\bellasDE.exe infected by "Trojan.Win32.Dialer.da" Virus. Action Taken: File Deleted.
Fri Aug 27 07:28:21 2004 => File C:\z.exe infected by "TrojanDropper.Win32.Small.ge" Virus. Action Taken: File Deleted.
Fri Aug 27 07:28:22 2004 => File C:\mdmhelpv.exe infected by "TrojanDownloader.Win32.Femad.u" Virus. Action Taken: File Deleted.
Fri Aug 27 07:28:23 2004 => File C:\loadpr25.exe infected by "TrojanDownloader.Win32.Small.nq" Virus. Action Taken: File Deleted.
Total Number of Files Renamed: 0
Logfile of HijackThis v1.98.2
Scan saved at 08:04:58, on 27.08.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\HIJACKTHIS\MWAV.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\HIJACKTHIS\HIJACKTHIS[1].EXE
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://1-se.com/srchasst.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lycos.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://1-se.com/srchasst.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lycos.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = http://1-se.com/srchasst.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://1-se.com/srchasst.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://1-se.com/home.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - https://www7.pc-sicherheit.web.de/ols/fscax.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.0.1
O18 - Filter: text/html - {014E0461-F789-11D8-9FF9-006064DEEEDE} - C:\WINDOWS\SYSTEM\KJCJJ.DLL
O18 - Filter: text/plain - {014E0461-F789-11D8-9FF9-006064DEEEDE} - C:\WINDOWS\SYSTEM\KJCJJ.DLL
Viele liebe Grüße Ant
habe mein Glück versucht und einige Erfolge erzielt. Zumindestens öffnet sich jetzt im Internet nicht mehr diese beknackte about blank-site mit diversen Warnungen.
Leider habe ich keine Datei "kavupd.exe" gefunden, auch nicht auf meinem Compu Win XP
So habe ich das escan-Programm direkt gestartet.
Leider sind bei der Auswertung des HijackThis wieder dieselben miesen aufgetreten, obwohl ich sie nach deiner Anleitung angehakt und gefixed habe.
Danke für deine Bemühungen, hier nun die Auswertung:
Fri Aug 27 07:11:58 2004 => ERROR!!! Invalid Entry = C:\WINDOWS\SYSTEM\KJCJJ.DLL. Removing it.
Fri Aug 27 07:12:45 2004 => File C:\WINDOWS\sys.reg infected by "Trojan.WinREG.StartPage" Virus. Action Taken: File Deleted.
Fri Aug 27 07:12:46 2004 => File C:\WINDOWS\tnmng.exe infected by "TrojanDownloader.Win32.Small.il" Virus. Action Taken: File Deleted.
Fri Aug 27 07:12:46 2004 => File C:\WINDOWS\odbc.hta infected by "Trojan.VBS.StartPage.x" Virus. Action Taken: File Deleted.
Fri Aug 27 07:19:50 2004 => File C:\WINDOWS\TEMP\bellasDE.exe infected by "Trojan.Win32.Dialer.da" Virus. Action Taken: File Deleted.
Fri Aug 27 07:19:50 2004 => File C:\WINDOWS\TEMP\bellasDE.exe infected by "Trojan.Win32.Dialer.da" Virus. Action Taken: File Deleted.
Fri Aug 27 07:28:21 2004 => File C:\z.exe infected by "TrojanDropper.Win32.Small.ge" Virus. Action Taken: File Deleted.
Fri Aug 27 07:28:22 2004 => File C:\mdmhelpv.exe infected by "TrojanDownloader.Win32.Femad.u" Virus. Action Taken: File Deleted.
Fri Aug 27 07:28:23 2004 => File C:\loadpr25.exe infected by "TrojanDownloader.Win32.Small.nq" Virus. Action Taken: File Deleted.
Total Number of Files Renamed: 0
Logfile of HijackThis v1.98.2
Scan saved at 08:04:58, on 27.08.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\HIJACKTHIS\MWAV.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\HIJACKTHIS\HIJACKTHIS[1].EXE
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://1-se.com/srchasst.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lycos.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://1-se.com/srchasst.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lycos.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = http://1-se.com/srchasst.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://1-se.com/srchasst.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://1-se.com/home.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - https://www7.pc-sicherheit.web.de/ols/fscax.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.0.1
O18 - Filter: text/html - {014E0461-F789-11D8-9FF9-006064DEEEDE} - C:\WINDOWS\SYSTEM\KJCJJ.DLL
O18 - Filter: text/plain - {014E0461-F789-11D8-9FF9-006064DEEEDE} - C:\WINDOWS\SYSTEM\KJCJJ.DLL
Viele liebe Grüße
Ant- antesmeralda
- Beiträge: 56
- Registriert: 26.08.2004, 09:06
von Nikita am 27.08.2004, 10:25
Hallo @antesmeralda
Hast du mit allem gescannt, was ich gepostet habe ????
Das Problem ist hier:
ERROR!!! Invalid Entry = C:\WINDOWS\SYSTEM\KJCJJ.DLL. Removing it.
Fixe also:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://1-se.com/srchasst.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lycos.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://1-se.com/srchasst.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lycos.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = http://1-se.com/srchasst.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://1-se.com/srchasst.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://1-se.com/home.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O18 - Filter: text/html - {014E0461-F789-11D8-9FF9-006064DEEEDE} - C:\WINDOWS\SYSTEM\KJCJJ.DLL
O18 - Filter: text/plain - {014E0461-F789-11D8-9FF9-006064DEEEDE} - C:\WINDOWS\SYSTEM\KJCJJ.DLL
NEUSTARTEN
#loesche noch einmal die TemporaryInternetfiles und <Internetoptionen<
#suche und loesche manuell:
C:\WINDOWS\SYSTEM\KJCJJ.DLL
#Lade RegCleaner
http://www.chip.de/downloads/c_downloads_8830516.html
von <LowSpeed-Download)
#dieses Tool kannst du in Deutsch einstellen.
#unter <Tools< gibt es die Option <Registry saeubern<alles durchfuehren.
Nach dem Scannen kannst du alles loeschen, was gefunden wurde, denn es verbleibt eine<Sicherung< der geloeschten, unnotigen Eintraege.
#Dann gehe in Start<Ausfuehren<%temp%...reinschreiben oder reinkopieren
(du kommst so in diesen Ordner:
C:\WINDOWS\TEMP)
dort muesste die" kavupd.exe" sein
Mache so ueber DOS, durch anklicken die Aktualisiation vom <Escan<
#Dann loesche ALLES, was du in diesen Temporry-Ordnern findest (ausser<kavupd.exe< und mwav.exe (falls sie dort sind)
Aber alles andere loesche, z.B.
C:\WINDOWS\TEMP\bellasDE.exe (falls es noch da ist...usw.)
#Dann suche den StartseitenTrojaner und loesche , falls er noch da ist
C:\WINDOWS\sys.reg
_______________________________________________________
#Dann scanne noch mal mit der mwav. exe und mit Antivirus und poste das Ergebnis
und das neue Logvom Hijackthis
mfg
Nikita
Hast du mit allem gescannt, was ich gepostet habe ????
Das Problem ist hier:
ERROR!!! Invalid Entry = C:\WINDOWS\SYSTEM\KJCJJ.DLL. Removing it.
Fixe also:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://1-se.com/srchasst.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lycos.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://1-se.com/srchasst.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\WINDOWS\TEMP\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\WINDOWS\TEMP\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lycos.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = http://1-se.com/srchasst.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\WINDOWS\TEMP\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://1-se.com/srchasst.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://1-se.com/home.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O18 - Filter: text/html - {014E0461-F789-11D8-9FF9-006064DEEEDE} - C:\WINDOWS\SYSTEM\KJCJJ.DLL
O18 - Filter: text/plain - {014E0461-F789-11D8-9FF9-006064DEEEDE} - C:\WINDOWS\SYSTEM\KJCJJ.DLL
NEUSTARTEN
#loesche noch einmal die TemporaryInternetfiles und <Internetoptionen<
#suche und loesche manuell:
C:\WINDOWS\SYSTEM\KJCJJ.DLL
#Lade RegCleaner
http://www.chip.de/downloads/c_downloads_8830516.html
von <LowSpeed-Download)
#dieses Tool kannst du in Deutsch einstellen.
#unter <Tools< gibt es die Option <Registry saeubern<alles durchfuehren.
Nach dem Scannen kannst du alles loeschen, was gefunden wurde, denn es verbleibt eine<Sicherung< der geloeschten, unnotigen Eintraege.
#Dann gehe in Start<Ausfuehren<%temp%...reinschreiben oder reinkopieren
(du kommst so in diesen Ordner:
C:\WINDOWS\TEMP)
dort muesste die" kavupd.exe" sein
Mache so ueber DOS, durch anklicken die Aktualisiation vom <Escan<
#Dann loesche ALLES, was du in diesen Temporry-Ordnern findest (ausser<kavupd.exe< und mwav.exe (falls sie dort sind)
Aber alles andere loesche, z.B.
C:\WINDOWS\TEMP\bellasDE.exe (falls es noch da ist...usw.)
#Dann suche den StartseitenTrojaner und loesche , falls er noch da ist
C:\WINDOWS\sys.reg
_______________________________________________________
#Dann scanne noch mal mit der mwav. exe und mit Antivirus und poste das Ergebnis
und das neue Logvom Hijackthis
mfg
Nikita
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von antesmeralda am 27.08.2004, 15:09
Hallo Nikita,
jeepee jetzt sind endlich, dank deiner lieben Unterstützung, Erfolge zu verzeichnen Ich hoffe das eine Problem beim eScan kann auch noch beseitigt werden. Vielen, vielen Dank.
EScan:
C:\WINDOWS\COMMAND\EBD\EBD.CAB tagged as not-a-virus:Tool.DOS.Restart. No Action Taken.
Antiviren: OK
Logfile of HijackThis v1.98.2
Scan saved at 14:53:01, on 27.08.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\HIJACKTHIS\HIJACKTHIS[1].EXE
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - https://www7.pc-sicherheit.web.de/ols/fscax.cab
O17 - HKLM\System\CCS\Services\
Nach dem Start vom Internet taucht aber zusätzlich beim HijackThis wieder auf:
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lycos.de
Ich hoffe das hat nichts zu bedeuten *grübel*
Viele liebe Grüße und ein wunderschönes Wochenende wünscht Ant
jeepee jetzt sind endlich, dank deiner lieben Unterstützung, Erfolge zu verzeichnen
Ich hoffe das eine Problem beim eScan kann auch noch beseitigt werden. Vielen, vielen Dank.
EScan:
C:\WINDOWS\COMMAND\EBD\EBD.CAB tagged as not-a-virus:Tool.DOS.Restart. No Action Taken.
Antiviren: OK
Logfile of HijackThis v1.98.2
Scan saved at 14:53:01, on 27.08.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\HIJACKTHIS\HIJACKTHIS[1].EXE
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - https://www7.pc-sicherheit.web.de/ols/fscax.cab
O17 - HKLM\System\CCS\Services\
Nach dem Start vom Internet taucht aber zusätzlich beim HijackThis wieder auf:
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lycos.de
Ich hoffe das hat nichts zu bedeuten *grübel*
Viele liebe Grüße und ein wunderschönes Wochenende wünscht
Ant- antesmeralda
- Beiträge: 56
- Registriert: 26.08.2004, 09:06
von Nikita am 27.08.2004, 15:17
Das sieht ja schon sehr gut aus
Das loesche nicht, das ist der Rest einer alten Software.(kein Virus)
C:\WINDOWS\COMMAND\EBD\EBD.CAB
Stelle unter Systemsteuerung <Internetoptionen< eine andere Startseite ein, z.B.
www.yahoo.de und poste das Log noch mal.(mit dem IE)
_______________________________________________________
Spaeter dann : lade den Alternativbrowser Firefox, stelle auch eine Startseite ein und surfe nur mit ihm (!)
http://www.firebird-browser.de/
(ist sicherer als der IE)
#update regelmaessig den AdAware und scanne
#update den Antivirus jeden Tag
#lade dieses kleine Tool, wenn sich wieder ein boeser <Browser-Helfer <unter "O2 - BHO:"einschleichen will, weisst du gleich Bescheid.
http://www.definitivesolutions.com/bhodemon.htm
und kommst ins Forum
#Lade den Spywareblaster
http://www.javacoolsoftware.com/sbdownload.html
(so werden von vornherein gefaehrliche Seiten < nicht mehr zu erreichen sein.
mfg
Nikita
Das loesche nicht, das ist der Rest einer alten Software.(kein Virus)
C:\WINDOWS\COMMAND\EBD\EBD.CAB
Stelle unter Systemsteuerung <Internetoptionen< eine andere Startseite ein, z.B.
www.yahoo.de und poste das Log noch mal.(mit dem IE)
_______________________________________________________
Spaeter dann : lade den Alternativbrowser Firefox, stelle auch eine Startseite ein und surfe nur mit ihm (!)
http://www.firebird-browser.de/
(ist sicherer als der IE)
#update regelmaessig den AdAware und scanne
#update den Antivirus jeden Tag
#lade dieses kleine Tool, wenn sich wieder ein boeser <Browser-Helfer <unter "O2 - BHO:"einschleichen will, weisst du gleich Bescheid.
http://www.definitivesolutions.com/bhodemon.htm
und kommst ins Forum
#Lade den Spywareblaster
http://www.javacoolsoftware.com/sbdownload.html
(so werden von vornherein gefaehrliche Seiten < nicht mehr zu erreichen sein.
mfg
Nikita
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von antesmeralda am 27.08.2004, 15:41
Hallo Nikita,
danke für deine schnelle Antwort, aber leider erscheint auch die neue Seite im Protokoll. Werde deinen Ratschlag annehmen, und den anderen Browser installieren.
Logfile of HijackThis v1.98.2
Scan saved at 15:36:36, on 27.08.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\HIJACKTHIS\HIJACKTHIS[1].EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.metacrawler.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - https://www7.pc-sicherheit.web.de/ols/fscax.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.0.1
Noch einmal ein ganz großes Dankeschön und ein ganz dolles Knuddelchen Ant
danke für deine schnelle Antwort, aber leider erscheint auch die neue Seite im Protokoll. Werde deinen Ratschlag annehmen, und den anderen Browser installieren.
Logfile of HijackThis v1.98.2
Scan saved at 15:36:36, on 27.08.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\HIJACKTHIS\HIJACKTHIS[1].EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.metacrawler.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - https://www7.pc-sicherheit.web.de/ols/fscax.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.0.1
Noch einmal ein ganz großes Dankeschön und ein ganz dolles Knuddelchen
Ant- antesmeralda
- Beiträge: 56
- Registriert: 26.08.2004, 09:06
von Nikita am 27.08.2004, 16:25
fixe diese Seite
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.metacrawler.de/
neustarten
Dann stelle unter <Interentoptionen< die Microsoft-Default-Seite ein und poste das Log noch mal.
mfg
Nikita
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.metacrawler.de/
neustarten
Dann stelle unter <Interentoptionen< die Microsoft-Default-Seite ein und poste das Log noch mal.
mfg
Nikita
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von antesmeralda am 28.08.2004, 09:08
Guten Morgen Nikita,
habe die Microsoft-Default-Seite eingestellt.
Logfile of HijackThis v1.98.2
Scan saved at 09:11:38, on 28.08.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\HIJACKTHIS\HIJACKTHIS[1].EXE
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - https://www7.pc-sicherheit.web.de/ols/fscax.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.0.1
Wünsche noch einen wunderschönen Samstag, Knuddelchen Ant
habe die Microsoft-Default-Seite eingestellt.
Logfile of HijackThis v1.98.2
Scan saved at 09:11:38, on 28.08.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\HIJACKTHIS\HIJACKTHIS[1].EXE
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - https://www7.pc-sicherheit.web.de/ols/fscax.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.0.1
Wünsche noch einen wunderschönen Samstag, Knuddelchen
Ant- antesmeralda
- Beiträge: 56
- Registriert: 26.08.2004, 09:06
von Nikita am 28.08.2004, 11:02
Hallo @antesmeralda
Du hast das Log bestimmt mit dem Firefox< gepostet.
Poste sie mit dem IE (denn es ist keine Startseite sichtbar)
MFG
Nikita
Du hast das Log bestimmt mit dem Firefox< gepostet.
Poste sie mit dem IE (denn es ist keine Startseite sichtbar)
MFG
Nikita
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von antesmeralda am 28.08.2004, 11:31
Hallo Nkita,
ich habe lycos gefixed, dann den Compu neu gestartet, bin ins internet gegangen, habe die Seite von Microsoft aufgerufen und sie als Startseite bei Internetoptionen übernommen. Dann habe ich noch einmal das Logfile gemacht, es kopiert und hier reingestellt. Mit Firefox kann ich leider nichts anfangen
. Sorry ist heute nicht mein bester tag. Ich stelle jetzt noch einmal ein Logfile rein, mit allen offenen IT-Dateien.
Logfile of HijackThis v1.98.2
Scan saved at 11:37:29, on 28.08.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\HIJACKTHIS\HIJACKTHIS[1].EXE
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - https://www7.pc-sicherheit.web.de/ols/fscax.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.0.1
Knuddelchen Ant
ich habe lycos gefixed, dann den Compu neu gestartet, bin ins internet gegangen, habe die Seite von Microsoft aufgerufen und sie als Startseite bei Internetoptionen übernommen. Dann habe ich noch einmal das Logfile gemacht, es kopiert und hier reingestellt. Mit Firefox kann ich leider nichts anfangen
. Sorry ist heute nicht mein bester tag. Ich stelle jetzt noch einmal ein Logfile rein, mit allen offenen IT-Dateien.
Logfile of HijackThis v1.98.2
Scan saved at 11:37:29, on 28.08.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\HIJACKTHIS\HIJACKTHIS[1].EXE
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - https://www7.pc-sicherheit.web.de/ols/fscax.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.0.1
Knuddelchen
Ant- antesmeralda
- Beiträge: 56
- Registriert: 26.08.2004, 09:06
19 Beiträge • Seite 1 von 2 • 1, 2
Ähnliche Themen
| Ich habe ein Problem mit meiner Festplatte Forum: Hardware-Hilfe Autor: AbcAeffchen Antworten: |
Bilder auf meiner Hompage werden nicht angezeigt Forum: Webmaster-Anfänger Autor: schlakele Antworten: |
Hallo habe Probleme mit dem Upload meiner Homepage!?!?!?!? Forum: Software-Hilfe Autor: E-Jugend Antworten: |
Hilfe mit meiner soundkarte Forum: Treiber-Hilfe Autor: ELpResidente Antworten: |
avi dateien von meiner digicam Forum: Software-Hilfe Autor: ranger Antworten: |
Zurück zu Online- und PC-Sicherheit
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste