Hallo ich bins nochmal,
mein Rechner wird immer langsamer und droht zu "sterben".
Bitte kann mir jemand helfen?
Hier ist mein Log wenn das weiterhilft:
Logfile of HijackThis v1.98.2
Scan saved at 19:26:06, on 06.09.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\S3hotkey.exe
C:\WINDOWS\System32\S3tray2.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Web_Rebates\WebRebates0.exe
C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-aware.exe
C:\Programme\Web_Rebates\WebRebates1.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\wer\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis[1].zip\HijackThis.exe
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.tutka.net:8080
O1 - Hosts: 12.129.205.209 search.netscape.com12.129.205.209 sitefinder.verisign.com
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Search404 Class - {53C330D6-A4AB-419B-B45D-FD4411C1FEF4} - C:\Programme\404Search\404Search.dll
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [S3hotkey] S3hotkey.exe
O4 - HKLM\..\Run: [S3TRAY2] S3tray2.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{AF7EBC9B-61D4-4F66-B06F-C9EFC169B029}: NameServer = 212.116.32.218,212.116.32.222
Warum kostenlos registrieren?
Nur als registriertes Mitglied hast Du vollen Zugriff auf alle Funktionen unserer Website. So kannst Du eigene Fragen stellen und hast die volle Übersicht über neue interessante Themen im Forum.
Jetzt kostenlos registrieren.
Login
Hilfe: Trojaner und Viren killen meinen Rechner
13 Beiträge • Seite 1 von 1
von Nikita am 07.09.2004, 00:44
fixe mit dem HijackThis, dann neustarten
O1 - Hosts: 12.129.205.209 search.netscape.com12.129.205.209 sitefinder.verisign.com
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: Search404 Class - {53C330D6-A4AB-419B-B45D-FD4411C1FEF4} - C:\Programme\404Search\404Search.dll
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O1 - Hosts: 12.129.205.209 search.netscape.com12.129.205.209 sitefinder.verisign.com
O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe"
O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.
neustarten
Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"
Deinstalliere\und loesche alles, was mit den Programmen zu tun hat.
C:\Programme\Web_Rebates\WebRebates0.exe
C:\Programme\Web_Rebates\WebRebates1.exe
C:\Programme\MyWay\myBar
Gehe in die Hosts-Datei (mit dem Editor oeffnen)
die Host-Datei: in c:\Windows\System32\drivers\etc\hosts
Im Normalfall sollte dass hier drin stehen, alles andere loeschen
127.0.0.1 localhost
#Orginal Host Datei
#TemporaryIntenetfiles loeschen:
Loesche die Files mit <Winsweep<
http://www.winsweep.de/down.htm
Klicke auf die Grafik , da erscheint der Download.
Dann musst du das Tool nicht kaufen, sondern einfach ab und zu "System reinigen" anklicken.
Dann das Tool wieder aus dem Autostart nehmen
Start<Ausfuehren<msconfig<Systemstart das Haekchen vor Winsweep rausnehmen.
#AdAware (free)
http://www.lavasoft.de/support/download/
#Search&Destroy
http://www.safer-networking.org/de/download/index.html
#Lade den "eScan" erstelle vorher eine C:\ base und entpacke dort den Scanner
http://www.mwti.net/antivirus/free_utilities.asp
suche mit der Suchfunktion von Windows eine "kavupd.exe" und anklicken.(kann auch im Temporary-Ordner sein)
Start<Ausfuehren< %temp%
Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt (dauert ein bisschen)
#suche eine "mwav.exe und starte so den< eScan<. Alle Häkchen setzen und "Clean-Scan" klicken.
#TuneUp2004 (30 Tage free)
http://www.tuneup.de/download/
optimiere, repariere den PC
Dann poste das neue Log noch mal.
mfg
Nikita
O1 - Hosts: 12.129.205.209 search.netscape.com12.129.205.209 sitefinder.verisign.com
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: Search404 Class - {53C330D6-A4AB-419B-B45D-FD4411C1FEF4} - C:\Programme\404Search\404Search.dll
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O1 - Hosts: 12.129.205.209 search.netscape.com12.129.205.209 sitefinder.verisign.com
O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe"
O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.
neustarten
Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"
Deinstalliere\und loesche alles, was mit den Programmen zu tun hat.
C:\Programme\Web_Rebates\WebRebates0.exe
C:\Programme\Web_Rebates\WebRebates1.exe
C:\Programme\MyWay\myBar
Gehe in die Hosts-Datei (mit dem Editor oeffnen)
die Host-Datei: in c:\Windows\System32\drivers\etc\hosts
Im Normalfall sollte dass hier drin stehen, alles andere loeschen
127.0.0.1 localhost
#Orginal Host Datei
#TemporaryIntenetfiles loeschen:
Loesche die Files mit <Winsweep<
http://www.winsweep.de/down.htm
Klicke auf die Grafik , da erscheint der Download.
Dann musst du das Tool nicht kaufen, sondern einfach ab und zu "System reinigen" anklicken.
Dann das Tool wieder aus dem Autostart nehmen
Start<Ausfuehren<msconfig<Systemstart das Haekchen vor Winsweep rausnehmen.
#AdAware (free)
http://www.lavasoft.de/support/download/
#Search&Destroy
http://www.safer-networking.org/de/download/index.html
#Lade den "eScan" erstelle vorher eine C:\ base und entpacke dort den Scanner
http://www.mwti.net/antivirus/free_utilities.asp
suche mit der Suchfunktion von Windows eine "kavupd.exe" und anklicken.(kann auch im Temporary-Ordner sein)
Start<Ausfuehren< %temp%
Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt (dauert ein bisschen)
#suche eine "mwav.exe und starte so den< eScan<. Alle Häkchen setzen und "Clean-Scan" klicken.
#TuneUp2004 (30 Tage free)
http://www.tuneup.de/download/
optimiere, repariere den PC
Dann poste das neue Log noch mal.
mfg
Nikita
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
Hallo Nikita
von sesa82 am 07.09.2004, 09:27
Zuerst mal danke für die schnelle Hilfe. Hab alles bis zu diesem winsweep so gemacht wie du es geschrieben hast, aber jetzt wenn ich weitermachen will und deine Links anklicke singt so ein komisches stimmchen ohoh und ich kann sie nicht öffnen. Was soll ich jetzt tun?
Ich bin wirklich ein Laie was Computer angeht.
Bitte hilf mir nochmal.
Sabine
Ich bin wirklich ein Laie was Computer angeht.
Bitte hilf mir nochmal.
Sabine
- sesa82
- Beiträge: 6
- Registriert: 06.09.2004, 19:43
- Wohnort: Kajaani-Finnland derzeit
von Nikita am 07.09.2004, 10:28
Schaffst du es den Browser Firefox zu laden ?
Mit ihm muesste alles funktionieren.
#Firefox (Deutsch)
http://www.firebird-browser.de/
(Hast du im Hosts alle <Malware<-Eintraege geloescht ?
Hast du das geloescht ?
C:\Programme\Web_Rebates\WebRebates0.exe
C:\Programme\Web_Rebates\WebRebates1.exe
1.Start<Ausfuehren<msconfig<Systemstart das Haekchen vor Winsweep rausnehmen.
UND NEUSTARTEN
2.Stelle oben im Internetexplorer ein :Extras<<Webeinstellungen zurucksetzen)
Poste das HijackThis noch mal.
mfg
Nikita
Mit ihm muesste alles funktionieren.
#Firefox (Deutsch)
http://www.firebird-browser.de/
(Hast du im Hosts alle <Malware<-Eintraege geloescht ?
Hast du das geloescht ?
C:\Programme\Web_Rebates\WebRebates0.exe
C:\Programme\Web_Rebates\WebRebates1.exe
1.Start<Ausfuehren<msconfig<Systemstart das Haekchen vor Winsweep rausnehmen.
UND NEUSTARTEN
2.Stelle oben im Internetexplorer ein :Extras<<Webeinstellungen zurucksetzen)
Poste das HijackThis noch mal.
mfg
Nikita
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von sesa82 am 07.09.2004, 10:49
Hab diesen Browser geaden und importiere gerade die Dateien. Muss halt alle Links selber eintippen.
Wegen Hosts:
Hab den Editor geöffnet. Da steht nix drin. Hab dann im Startmenü mit der Suchfunktion nach Web_Rebates gesucht und versucht das Ding so zu löschen. hat aber nicht geklappt (hab lauter Fehlermeldungen gekriegt).
Das mit dem Start<Ausfuehren<msconfig<Systemstart das Haekchen vor Winsweep rausnehmen funktioniert auch nicht. Hab <msconfig< eingetippt und nur ne Fehlermeldung bekommen.
Hab wirklich versucht alles genau so zu machen wie du es mir gesagt hast.
Hijackthis:
Logfile of HijackThis v1.98.2
Scan saved at 10:41:19, on 07.09.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\S3hotkey.exe
C:\WINDOWS\System32\S3tray2.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\WinSweep\WSMonitor.exe
C:\Programme\WinSweep\WSPopup.exe
C:\WINDOWS\system32\winlogon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\MOZILL~1\firefox.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\wer\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis_198[1].zip\HijackThis.exe
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.tutka.net:8080
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &WINSWEEP Toolbar - {E915E62E-41DA-40D0-8106-3438B4D24394} - C:\Programme\WinSweep\SurfBar.dll
O4 - HKLM\..\Run: [S3hotkey] S3hotkey.exe
O4 - HKLM\..\Run: [S3TRAY2] S3tray2.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [WINSWEEP] C:\Programme\WinSweep\WinSweep.Exe /AUTO
O4 - HKCU\..\Run: [WINSWEEP Popupblocker] C:\Programme\WinSweep\WSPopup.Exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{AF7EBC9B-61D4-4F66-B06F-C9EFC169B029}: NameServer = 212.116.32.218,212.116.32.222
Tut mir Leid dass ich deine Zeit so in Anspruch nehme, aber ich kann mir wirklich nicht selbst helfen weil ich von solchen Dingen Null Ahnung habe.
LG
Sabine
Wegen Hosts:
Hab den Editor geöffnet. Da steht nix drin. Hab dann im Startmenü mit der Suchfunktion nach Web_Rebates gesucht und versucht das Ding so zu löschen. hat aber nicht geklappt (hab lauter Fehlermeldungen gekriegt).
Das mit dem Start<Ausfuehren<msconfig<Systemstart das Haekchen vor Winsweep rausnehmen funktioniert auch nicht. Hab <msconfig< eingetippt und nur ne Fehlermeldung bekommen.
Hab wirklich versucht alles genau so zu machen wie du es mir gesagt hast.
Hijackthis:
Logfile of HijackThis v1.98.2
Scan saved at 10:41:19, on 07.09.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\S3hotkey.exe
C:\WINDOWS\System32\S3tray2.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\WinSweep\WSMonitor.exe
C:\Programme\WinSweep\WSPopup.exe
C:\WINDOWS\system32\winlogon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\MOZILL~1\firefox.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\wer\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis_198[1].zip\HijackThis.exe
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.tutka.net:8080
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &WINSWEEP Toolbar - {E915E62E-41DA-40D0-8106-3438B4D24394} - C:\Programme\WinSweep\SurfBar.dll
O4 - HKLM\..\Run: [S3hotkey] S3hotkey.exe
O4 - HKLM\..\Run: [S3TRAY2] S3tray2.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [WINSWEEP] C:\Programme\WinSweep\WinSweep.Exe /AUTO
O4 - HKCU\..\Run: [WINSWEEP Popupblocker] C:\Programme\WinSweep\WSPopup.Exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{AF7EBC9B-61D4-4F66-B06F-C9EFC169B029}: NameServer = 212.116.32.218,212.116.32.222
Tut mir Leid dass ich deine Zeit so in Anspruch nehme, aber ich kann mir wirklich nicht selbst helfen weil ich von solchen Dingen Null Ahnung habe.
LG
Sabine
- sesa82
- Beiträge: 6
- Registriert: 06.09.2004, 19:43
- Wohnort: Kajaani-Finnland derzeit
von Nikita am 07.09.2004, 11:19
scanne mit dem HijackThis, hake das hier an und <fix<, dann unbedingt neustarten, dann musste es raus sein.
O4 - HKCU\..\Run: [WINSWEEP] C:\Programme\WinSweep\WinSweep.Exe /AUTO
O4 - HKCU\..\Run: [WINSWEEP Popupblocker] C:\Programme\WinSweep\WSPopup.Exe
Dann lade den Virenscanner und fuehre alles so aus, wie beschrieben.
Falls was nicht klappt, frage,
Nikita
O4 - HKCU\..\Run: [WINSWEEP] C:\Programme\WinSweep\WinSweep.Exe /AUTO
O4 - HKCU\..\Run: [WINSWEEP Popupblocker] C:\Programme\WinSweep\WSPopup.Exe
Dann lade den Virenscanner und fuehre alles so aus, wie beschrieben.
Falls was nicht klappt, frage,
Nikita
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von sesa82 am 07.09.2004, 12:37
Hallo,
WinSweep ist installiert und startet automatisch wenn ich den PC einschalte.
Das mit dem e-scan krieg ich nicht hin weil ich leider nicht weiß was es bedeutet eine C:\ base zu erstellen.
Spybot findet dauernd so ein DSO-Exploit Ding. Hängt sich mein PC deshalb immer auf?
Hab noch ne Frage: Wenn ich dann endlich mal alles hingekriegt habe kann ich dann meinen normalen Internetbrowser wieder benutzen oder lieber nicht?
Nochmal danke für deine Hilfe.
Liebe Grüße aud Finnland
Sabine
WinSweep ist installiert und startet automatisch wenn ich den PC einschalte.
Das mit dem e-scan krieg ich nicht hin weil ich leider nicht weiß was es bedeutet eine C:\ base zu erstellen.
Spybot findet dauernd so ein DSO-Exploit Ding. Hängt sich mein PC deshalb immer auf?
Hab noch ne Frage: Wenn ich dann endlich mal alles hingekriegt habe kann ich dann meinen normalen Internetbrowser wieder benutzen oder lieber nicht?
Nochmal danke für deine Hilfe.
Liebe Grüße aud Finnland
Sabine
- sesa82
- Beiträge: 6
- Registriert: 06.09.2004, 19:43
- Wohnort: Kajaani-Finnland derzeit
von Nikita am 07.09.2004, 16:55
Scanne mit dem HijackThis, hake an, druecke auf <fix<
O1 - Hosts: 12.129.205.209 search.netscape.com12.129.205.209 sitefinder.verisign.com
O4 - HKCU\..\Run: [WINSWEEP] C:\Programme\WinSweep\WinSweep.Exe /AUTO
O4 - HKCU\..\Run: [WINSWEEP Popupblocker] C:\Programme\WinSweep\WSPopup.Exe
O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe"
O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.
und dann starte den Computer neu.
Installiere escan, klicke drauf (ist mwav.exe), setze alle Haeckchen und scann.
http://www.mwti.net/antivirus/free_utilities.asp
Dann poste das neue Log vom HijackThis noch mal.
mfg
Nikita
O1 - Hosts: 12.129.205.209 search.netscape.com12.129.205.209 sitefinder.verisign.com
O4 - HKCU\..\Run: [WINSWEEP] C:\Programme\WinSweep\WinSweep.Exe /AUTO
O4 - HKCU\..\Run: [WINSWEEP Popupblocker] C:\Programme\WinSweep\WSPopup.Exe
O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe"
O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.
und dann starte den Computer neu.
Installiere escan, klicke drauf (ist mwav.exe), setze alle Haeckchen und scann.
http://www.mwti.net/antivirus/free_utilities.asp
Dann poste das neue Log vom HijackThis noch mal.
mfg
Nikita
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von sesa82 am 07.09.2004, 19:15
Logfile of HijackThis v1.98.2
Scan saved at 18:46:00, on 07.09.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\S3hotkey.exe
C:\WINDOWS\System32\S3tray2.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Dokumente und Einstellungen\wer\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis_198.zip\HijackThis.exe
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.tutka.net:8080
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &WINSWEEP Toolbar - {E915E62E-41DA-40D0-8106-3438B4D24394} - C:\Programme\WinSweep\SurfBar.dll
O4 - HKLM\..\Run: [S3hotkey] S3hotkey.exe
O4 - HKLM\..\Run: [S3TRAY2] S3tray2.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{AF7EBC9B-61D4-4F66-B06F-C9EFC169B029}: NameServer = 212.116.32.218,212.116.32.222
Hab mit dem escan aktiviert und das kam dabei raus:
File C:\WINDOWS\IQProfi.exe.exe tagged as not-a-virus:PornWare.Dialer.Intexdial. No Action Taken.
File C:\Dokumente und Einstellungen\wer\Lokale Einstellungen\Temp\remove.exe infected by "TrojanDownloader.Win32.Keenval.f" Virus. Action Taken: File Deleted.
LG
Sabine
Scan saved at 18:46:00, on 07.09.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\S3hotkey.exe
C:\WINDOWS\System32\S3tray2.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Dokumente und Einstellungen\wer\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis_198.zip\HijackThis.exe
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.tutka.net:8080
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &WINSWEEP Toolbar - {E915E62E-41DA-40D0-8106-3438B4D24394} - C:\Programme\WinSweep\SurfBar.dll
O4 - HKLM\..\Run: [S3hotkey] S3hotkey.exe
O4 - HKLM\..\Run: [S3TRAY2] S3tray2.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{AF7EBC9B-61D4-4F66-B06F-C9EFC169B029}: NameServer = 212.116.32.218,212.116.32.222
Hab mit dem escan aktiviert und das kam dabei raus:
File C:\WINDOWS\IQProfi.exe.exe tagged as not-a-virus:PornWare.Dialer.Intexdial. No Action Taken.
File C:\Dokumente und Einstellungen\wer\Lokale Einstellungen\Temp\remove.exe infected by "TrojanDownloader.Win32.Keenval.f" Virus. Action Taken: File Deleted.
LG
Sabine
- sesa82
- Beiträge: 6
- Registriert: 06.09.2004, 19:43
- Wohnort: Kajaani-Finnland derzeit
von Nikita am 07.09.2004, 23:21
Ds hast du gut hinbekommen !
Nun loesche noch manuell den Dialer:
C:\WINDOWS\IQProfi.exe.
Dann deinstalliere den Antivirus (ist wahrscheinlich zerstoert ) und lade neu.
Nach dem Installationsscann konfiguriere ihn. <alle Dateien< und Heuristik.mittel<, damit er das naechste Mal keinen Trojaner auf dein System laesst.
http://www.free-av.de/
und update ihn jeden Tag.
Surfe NICHT mit dem IE, sondern nur mit dem Firefox (du kannst das Aussehen auf <modern< stellen , eine Startseite einstellen usw....
mfg
Nikita
Nun loesche noch manuell den Dialer:
C:\WINDOWS\IQProfi.exe.
Dann deinstalliere den Antivirus (ist wahrscheinlich zerstoert ) und lade neu.
Nach dem Installationsscann konfiguriere ihn. <alle Dateien< und Heuristik.mittel<, damit er das naechste Mal keinen Trojaner auf dein System laesst.
http://www.free-av.de/
und update ihn jeden Tag.
Surfe NICHT mit dem IE, sondern nur mit dem Firefox (du kannst das Aussehen auf <modern< stellen , eine Startseite einstellen usw....
mfg
Nikita
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von sesa82 am 08.09.2004, 10:38
Hab alles gemacht. AntiVir hat gleich nach der Installation ein trojanisches Pferd gefunden und gelöscht. Dann ist es doch wirklich weg oder?
Ich danke dir wirklich sehr für deine Hilfe. Das war echt klasse.
Bin jetzt voll happy dass mein PC wieder gesund ist.
Nochmal herzlichen Dank.
Liebe Grüße
Sabine
Ich danke dir wirklich sehr für deine Hilfe. Das war echt klasse.
Bin jetzt voll happy dass mein PC wieder gesund ist.
Nochmal herzlichen Dank.
Liebe Grüße
Sabine
- sesa82
- Beiträge: 6
- Registriert: 06.09.2004, 19:43
- Wohnort: Kajaani-Finnland derzeit
HELP
von FiReZz am 07.11.2004, 12:37
hy,
ich habe das Problem mit Web Rebates...
bei mir wurden immer auf D:\Temp\ Tronjaner gefunden,
doch verschwanden, bevor Antivir sie löschen konnte, in D:\Temp
ist aber auch eine setup.exe mit dem Namen
Web_Rebates_silent-install_euro.exe welche ich bereits gelöscht habe...
ich poste einfach mal den Hijack Log...
und bitte um baldige Hilfe!
_______________________
Logfile of HijackThis v1.98.2
Scan saved at 20:47:22, on 06.11.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\System32\aaksrv.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\TGTSoft\StyleXP\StyleXPService.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\AVPersonal\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
D:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
d:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
D:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
D:\WINDOWS\System32\tcpsvcs.exe
D:\WINDOWS\System32\SLEE401.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
D:\Programme\McAfee\McAfee Firewall\CPD.EXE
d:\PROGRA~1\mcafee.com\vso\mcshield.exe
D:\PROGRA~1\McAfee.com\Agent\mcupdui.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\McAfee\McAfee Firewall\CPD.EXE
D:\PROGRA~1\mcafee.com\agent\mcagent.exe
D:\PROGRA~1\mcafee.com\vso\mcvsshld.exe
D:\WINDOWS\Mixer.exe
D:\Program Files\Win Comm\WinComm.exe
D:\Programme\Logitech\iTouch\iTouch.exe
d:\progra~1\mcafee.com\vso\mcvsescn.exe
D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
D:\Programme\QuickTime\qttask.exe
D:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
D:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
D:\WINDOWS\System32\ctfmon.exe
D:\PROGRA~1\INCRED~1\bin\IncMail.exe
D:\Programme\MSN Messenger\msnmsgr.exe
D:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
D:\Programme\Logitech\iTouch\kbdtray.exe
d:\progra~1\mcafee.com\vso\mcvsftsn.exe
D:\Programme\Messenger\msmsgs.exe
D:\Programme\ICQLite\ICQLite.exe
D:\DOKUME~1\NADIAB~1\LOKALE~1\Temp\Rar$EX00.171\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchcentral.cc/search.php?v=4&aff=2142
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchcentral.cc/index.php?v=4&aff=2142
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.vol.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://rd.yahoo.com/customize/ymsgr/def ... .yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://rd.yahoo.com/customize/ymsgr/def ... .yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.windowenhancer.com/nph-WE ... search&kw=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.windowenhancer.com/nph-WE ... search&kw=
R3 - URLSearchHook: WebSearch Class - {9368D063-44BE-49B9-BD14-BB9663FD38FC} - D:\Programme\WindowEnhancer\v1\WindowEnhancer.DLL
O1 - Hosts file is located at: D:\WINDOWS\nsdb\hosts
O1 - Hosts: 81.211.105.69 lender-search.com
O1 - Hosts: 81.211.105.68 hot-searches.com
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - D:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\programme\google\googletoolbar2.dll
O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - D:\WINDOWS\System32\nvms.dll
O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - D:\WINDOWS\System32\mscb.dll
O2 - BHO: (no name) - {D8F7589D-D267-3B3A-0007-DCCA2C3772DD} - (no file)
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - D:\WINDOWS\System32\msbe.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - d:\progra~1\mcafee.com\vso\mcvsshl.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [MCUpdateExe] D:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [MCAgentExe] d:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [VSOCheckTask] "d:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] "d:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Winad Client] D:\Program Files\Winad Client\Winad.exe
O4 - HKLM\..\Run: [Win Comm] D:\Program Files\Win Comm\WinComm.exe
O4 - HKLM\..\Run: [service] D:\WINDOWS\services.exe -serv
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [zBrowser Launcher] D:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [WindowEnhancer] "D:\Programme\WindowEnhancer\v1\WindowEnhancer.EXE" /U
O4 - HKLM\..\Run: [TkBellExe] "D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SysService] D:\Programme\NSkeylogger\SERVICES.EXE
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] D:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] D:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MessengerPlus2] "D:\Programme\Messenger Plus! 2\MsgPlus.exe"
O4 - HKLM\..\Run: [EM_EXEC] D:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [ccApp] "D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [AdaptecDirectCD] "D:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [Accelerate] G:\Accelerate\accelerate.exe /S
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] D:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [IncrediMail] D:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\Run: [sws.exe] d:\programme\GlobalDialer\pntbo00000-37321a7\1450781.exe -remove
O4 - HKCU\..\Run: [sp] D:\WINDOWS\sp.exe
O4 - HKCU\..\Run: [msnmsgr] "D:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [STYLEXP] D:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Acrobat Assistant.lnk = D:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
O4 - Global Startup: PrecisionTime.lnk = D:\Programme\PrecisionTime\PrecisionTime.exe
O4 - Global Startup: GStartup.lnk = D:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - D:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZSzfw001
O8 - Extra context menu item: Web Rebates - file://D:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for .pdf: D:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: ChatSpace Java Client 2.1.0.88L - http://216.65.197.84:8080/Java/cs4msl088.cab
O16 - DPF: ChatSpace Java Client 3.1.0.212 - http://209.120.156.26/Java/cms31212.cab
O16 - DPF: {1230CB21-C88D-11CF-B347-000000000000} - http://www.browserplugin.com/eroticAcce ... 759031.cab
O16 - DPF: {14F65762-96FB-44B9-8DAC-93845F377A0E} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/A ... ngctrl.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file. ... 62e7e7f644
ed9ad6d27363ea0905557407a09131ce1102d61ff488a283b943cc183:862fa71a683d4c83963a4ca9d760ebbd
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/fu ... .0.0.8.exe
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares ... 06_mp3.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/ ... 0_0_44.cab
O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://sib1.od2.com/common/Member/Clien ... /setup.exe
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/200 ... taller.exe
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - https://www.gamespyid.com/alaunch.cab
O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O16 - DPF: {E3802230-F0E2-4A75-9947-EAB78DD8153F} (InstallerX Class) - http://www.euroklik.nl/cab/EasyWebInstaller.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{48464186-3246-471E-949B-B4118CA981B3}: NameServer = 194.183.128.35,194.183.128.36
O17 - HKLM\System\CCS\Services\Tcpip\..\{D6DAC4E7-DED4-4C4E-9DBC-D03D7CF773D7}: NameServer = 194.183.128.35,194.183.128.36
O17 - HKLM\System\CS1\Services\Tcpip\..\{48464186-3246-471E-949B-B4118CA981B3}: NameServer = 194.183.128.35,194.183.128.36
O17 - HKLM\System\CS2\Services\Tcpip\..\{48464186-3246-471E-949B-B4118CA981B3}: NameServer = 194.183.128.35,194.183.128.36
O20 - AppInit_DLLs: system32\aakah.dll
habe kästchen mit "Web Rebates" schon gefixt... muss ich nun noch etwas machen, machen???
mfg FiReZz
ich habe das Problem mit Web Rebates...
bei mir wurden immer auf D:\Temp\ Tronjaner gefunden,
doch verschwanden, bevor Antivir sie löschen konnte, in D:\Temp
ist aber auch eine setup.exe mit dem Namen
Web_Rebates_silent-install_euro.exe welche ich bereits gelöscht habe...
ich poste einfach mal den Hijack Log...
und bitte um baldige Hilfe!
_______________________
Logfile of HijackThis v1.98.2
Scan saved at 20:47:22, on 06.11.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\System32\aaksrv.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\TGTSoft\StyleXP\StyleXPService.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\AVPersonal\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
D:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
d:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
D:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
D:\WINDOWS\System32\tcpsvcs.exe
D:\WINDOWS\System32\SLEE401.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
D:\Programme\McAfee\McAfee Firewall\CPD.EXE
d:\PROGRA~1\mcafee.com\vso\mcshield.exe
D:\PROGRA~1\McAfee.com\Agent\mcupdui.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\McAfee\McAfee Firewall\CPD.EXE
D:\PROGRA~1\mcafee.com\agent\mcagent.exe
D:\PROGRA~1\mcafee.com\vso\mcvsshld.exe
D:\WINDOWS\Mixer.exe
D:\Program Files\Win Comm\WinComm.exe
D:\Programme\Logitech\iTouch\iTouch.exe
d:\progra~1\mcafee.com\vso\mcvsescn.exe
D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
D:\Programme\QuickTime\qttask.exe
D:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
D:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
D:\WINDOWS\System32\ctfmon.exe
D:\PROGRA~1\INCRED~1\bin\IncMail.exe
D:\Programme\MSN Messenger\msnmsgr.exe
D:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
D:\Programme\Logitech\iTouch\kbdtray.exe
d:\progra~1\mcafee.com\vso\mcvsftsn.exe
D:\Programme\Messenger\msmsgs.exe
D:\Programme\ICQLite\ICQLite.exe
D:\DOKUME~1\NADIAB~1\LOKALE~1\Temp\Rar$EX00.171\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchcentral.cc/search.php?v=4&aff=2142
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchcentral.cc/index.php?v=4&aff=2142
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.vol.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://rd.yahoo.com/customize/ymsgr/def ... .yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://rd.yahoo.com/customize/ymsgr/def ... .yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.windowenhancer.com/nph-WE ... search&kw=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.windowenhancer.com/nph-WE ... search&kw=
R3 - URLSearchHook: WebSearch Class - {9368D063-44BE-49B9-BD14-BB9663FD38FC} - D:\Programme\WindowEnhancer\v1\WindowEnhancer.DLL
O1 - Hosts file is located at: D:\WINDOWS\nsdb\hosts
O1 - Hosts: 81.211.105.69 lender-search.com
O1 - Hosts: 81.211.105.68 hot-searches.com
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - D:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\programme\google\googletoolbar2.dll
O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - D:\WINDOWS\System32\nvms.dll
O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - D:\WINDOWS\System32\mscb.dll
O2 - BHO: (no name) - {D8F7589D-D267-3B3A-0007-DCCA2C3772DD} - (no file)
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - D:\WINDOWS\System32\msbe.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - d:\progra~1\mcafee.com\vso\mcvsshl.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [MCUpdateExe] D:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [MCAgentExe] d:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [VSOCheckTask] "d:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] "d:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Winad Client] D:\Program Files\Winad Client\Winad.exe
O4 - HKLM\..\Run: [Win Comm] D:\Program Files\Win Comm\WinComm.exe
O4 - HKLM\..\Run: [service] D:\WINDOWS\services.exe -serv
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [zBrowser Launcher] D:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [WindowEnhancer] "D:\Programme\WindowEnhancer\v1\WindowEnhancer.EXE" /U
O4 - HKLM\..\Run: [TkBellExe] "D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SysService] D:\Programme\NSkeylogger\SERVICES.EXE
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] D:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] D:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MessengerPlus2] "D:\Programme\Messenger Plus! 2\MsgPlus.exe"
O4 - HKLM\..\Run: [EM_EXEC] D:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [ccApp] "D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [AdaptecDirectCD] "D:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [Accelerate] G:\Accelerate\accelerate.exe /S
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] D:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [IncrediMail] D:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\Run: [sws.exe] d:\programme\GlobalDialer\pntbo00000-37321a7\1450781.exe -remove
O4 - HKCU\..\Run: [sp] D:\WINDOWS\sp.exe
O4 - HKCU\..\Run: [msnmsgr] "D:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [STYLEXP] D:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Acrobat Assistant.lnk = D:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
O4 - Global Startup: PrecisionTime.lnk = D:\Programme\PrecisionTime\PrecisionTime.exe
O4 - Global Startup: GStartup.lnk = D:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - D:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZSzfw001
O8 - Extra context menu item: Web Rebates - file://D:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for .pdf: D:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: ChatSpace Java Client 2.1.0.88L - http://216.65.197.84:8080/Java/cs4msl088.cab
O16 - DPF: ChatSpace Java Client 3.1.0.212 - http://209.120.156.26/Java/cms31212.cab
O16 - DPF: {1230CB21-C88D-11CF-B347-000000000000} - http://www.browserplugin.com/eroticAcce ... 759031.cab
O16 - DPF: {14F65762-96FB-44B9-8DAC-93845F377A0E} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/A ... ngctrl.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file. ... 62e7e7f644
ed9ad6d27363ea0905557407a09131ce1102d61ff488a283b943cc183:862fa71a683d4c83963a4ca9d760ebbd
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/fu ... .0.0.8.exe
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares ... 06_mp3.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/ ... 0_0_44.cab
O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://sib1.od2.com/common/Member/Clien ... /setup.exe
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/200 ... taller.exe
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - https://www.gamespyid.com/alaunch.cab
O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O16 - DPF: {E3802230-F0E2-4A75-9947-EAB78DD8153F} (InstallerX Class) - http://www.euroklik.nl/cab/EasyWebInstaller.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{48464186-3246-471E-949B-B4118CA981B3}: NameServer = 194.183.128.35,194.183.128.36
O17 - HKLM\System\CCS\Services\Tcpip\..\{D6DAC4E7-DED4-4C4E-9DBC-D03D7CF773D7}: NameServer = 194.183.128.35,194.183.128.36
O17 - HKLM\System\CS1\Services\Tcpip\..\{48464186-3246-471E-949B-B4118CA981B3}: NameServer = 194.183.128.35,194.183.128.36
O17 - HKLM\System\CS2\Services\Tcpip\..\{48464186-3246-471E-949B-B4118CA981B3}: NameServer = 194.183.128.35,194.183.128.36
O20 - AppInit_DLLs: system32\aakah.dll
habe kästchen mit "Web Rebates" schon gefixt... muss ich nun noch etwas machen, machen???
mfg FiReZz
- FiReZz
- Beiträge: 5
- Registriert: 10.10.2004, 13:53
von Nikita am 07.11.2004, 16:33
Hallo@FiReZz
Dein PC ist voellig verseucht...du solltest eine Totalreinigung machen.....
#Oeffne das HijackTHis< scan< anhaken < Button "Fix checked" < PC neustarten
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchcentral.cc/search.php?v=4&aff=2142
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchcentral.cc/index.php?v=4&aff=2142
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.windowenhancer.com/nph-WE ... search&kw=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.windowenhancer.com/nph-WE ... search&kw=
R3 - URLSearchHook: WebSearch Class - {9368D063-44BE-49B9-BD14-BB9663FD38FC} - D:\Programme\WindowEnhancer\v1\WindowEnhancer.DLL
O1 - Hosts file is located at: D:\WINDOWS\nsdb\hosts
O1 - Hosts: 81.211.105.69 lender-search.com
O1 - Hosts: 81.211.105.68 hot-searches.com
O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - D:\WINDOWS\System32\nvms.dll
O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - D:\WINDOWS\System32\mscb.dll
O2 - BHO: (no name) - {D8F7589D-D267-3B3A-0007-DCCA2C3772DD} - (no file)
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - D:\WINDOWS\System32\msbe.dll
O4 - HKLM\..\Run: [Winad Client] D:\Program Files\Winad Client\Winad.exe
O4 - HKLM\..\Run: [Win Comm] D:\Program Files\Win Comm\WinComm.exe
O4 - HKLM\..\Run: [service] D:\WINDOWS\services.exe -serv
O4 - HKLM\..\Run: [WindowEnhancer] "D:\Programme\WindowEnhancer\v1\WindowEnhancer.EXE" /U
O4 - HKLM\..\Run: [SysService] D:\Programme\NSkeylogger\SERVICES.EXE
O4 - HKCU\..\Run: [IncrediMail] D:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\Run: [sws.exe] d:\programme\GlobalDialer\pntbo00000-37321a7\1450781.exe -remove
O4 - HKCU\..\Run: [sp] D:\WINDOWS\sp.exe
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZSzfw001
O8 - Extra context menu item: Web Rebates - file://D:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O16 - DPF: {1230CB21-C88D-11CF-B347-000000000000} - http://www.browserplugin.com/eroticAcce ... 759031.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file. ... bd235f562e
7e7f644ed9ad6d27363ea0905557407a09131ce1102d61ff488a283b943cc183:862fa71a683d4c83963a4ca9d760ebbd
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/fu ... .0.0.8.exe
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares ... 06_mp3.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/ ... 0_0_44.cab
O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://sib1.od2.com/common/Member/Clien ... /setup.exe
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/200 ... taller.exe
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - https://www.gamespyid.com/alaunch.cab
O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O16 - DPF: {E3802230-F0E2-4A75-9947-EAB78DD8153F} (InstallerX Class) - http://www.euroklik.nl/cab/EasyWebInstaller.cab
O20 - AppInit_DLLs: system32\aakah.dll
neustarten
#lade:
#LSPfix.exe
http://www10.brinkster.com/expl0iter/fr ... L2M/ts.htm
<"I know what I'm doing"
falls du die <WindowEnhancer.DLL<
findest, bringe sie von der linken auf die rechte Seite und loesche sie.
Falls du sie nicht in dem Tool gefunden hast, mache folgendes:
#oeffne das HijackThis:
HijackThis<Config<Misc Tools<Delete a file on reboot<
kopiere rein:
D:\Programme\WindowEnhancer\v1\WindowEnhancer.DLL
PC neustarten
HijackThis<Config<Misc Tools<Delete a file on reboot<
kopiere rein:
D:\WINDOWS\nsdb\hosts
PC neustarten
Diese Prozedur (HijackThis)machst du mit:
<D:\WINDOWS\services.exe
<D:\WINDOWS\System32\aaksrv.exe
<D:\WINDOWS\System32\nvms.dll
<D:\WINDOWS\System32\mscb.dll
<D:\WINDOWS\System32\msbe.dll
<D:\Program Files\Winad Client\Winad.exe
<D:\system32\winad2.dll
<D:\WINDOWS\SYSTEM\ide21201.vxd
<D:\Program Files\Win Comm\WinComm.exe
<D:\Programme\WindowEnhancer\v1\WindowEnhancer.EXE
<D:\Programme\NSkeylogger\SERVICES.EXE
<D:\WINDOWS\sp.exe
<D:\PROGRA~1\INCRED~1\bin\IncMail.exe
<d:\programme\GlobalDialer\pntbo00000-37321a7\1450781.exe
Suche und loesche:
<mp3.exe
<winad email.txt
<winad.exe
<winad-install.txt
\webhancer\programs\wbhshare.dll
\webhancer\programs\whagent.exe
\webhancer\programs\whagent.ini
\webhancer\programs\whiehlpr.dll
\webhancer\programs\whieshm.dll
#oeffne noch mal das HijackThis
Config< Misc Tools < Open Hosts file Manager < Delete line <
loesche alles , lasse nur stehen:
127.1.1.0 localhost
#Original Host Datei
loesche:
81.211.105.69 lender-search.com
81.211.105.68 hot-searches.com
Internetexplorer reinigen:
1. Klicken Sie in der Menüzeile des Internet Explorers auf Extras und Internet-Optionen.
2. Auf der Registerkarte Allgemein klicken Sie im Bereich Temporäre Internetdateien auf den Button Cookies löschen.
3.Temporaere Internet-Dateien<Dateien loeschen
#Datentraegerbereinigung: und Loeschen der Temporary-Dateien
<Start<Ausfuehren< reinschreiben: cleanmgr
#Click:Temporary Internet Files, O.K
#Click:Temporary Files, O.K
#AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
<Das eScan AV Toolkit-Erkennungstool (mwav.exe) herunterladen, oeffnen, aber nicht scannen
http://www.mwti.net/antivirus/free_utilities.asp
*
danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen. (oder unter Start<Ausfuehren<%temp% die kavupd.exe suchen) und anklicken.
<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml
und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives
<und "Scan " klicken.
<Öffne die mwav.log -> Bearbeiten -> Suchen ->
Wenn man infizierte Dateien in dem eScan Log finden will, sollte man nach infected suchen und die Eintraege hier posten
(zusammen mit dem neuen Log vom HijackThis)
mfg
Nikita
Dein PC ist voellig verseucht...du solltest eine Totalreinigung machen.....
#Oeffne das HijackTHis< scan< anhaken < Button "Fix checked" < PC neustarten
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchcentral.cc/search.php?v=4&aff=2142
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchcentral.cc/index.php?v=4&aff=2142
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.windowenhancer.com/nph-WE ... search&kw=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.windowenhancer.com/nph-WE ... search&kw=
R3 - URLSearchHook: WebSearch Class - {9368D063-44BE-49B9-BD14-BB9663FD38FC} - D:\Programme\WindowEnhancer\v1\WindowEnhancer.DLL
O1 - Hosts file is located at: D:\WINDOWS\nsdb\hosts
O1 - Hosts: 81.211.105.69 lender-search.com
O1 - Hosts: 81.211.105.68 hot-searches.com
O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - D:\WINDOWS\System32\nvms.dll
O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - D:\WINDOWS\System32\mscb.dll
O2 - BHO: (no name) - {D8F7589D-D267-3B3A-0007-DCCA2C3772DD} - (no file)
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - D:\WINDOWS\System32\msbe.dll
O4 - HKLM\..\Run: [Winad Client] D:\Program Files\Winad Client\Winad.exe
O4 - HKLM\..\Run: [Win Comm] D:\Program Files\Win Comm\WinComm.exe
O4 - HKLM\..\Run: [service] D:\WINDOWS\services.exe -serv
O4 - HKLM\..\Run: [WindowEnhancer] "D:\Programme\WindowEnhancer\v1\WindowEnhancer.EXE" /U
O4 - HKLM\..\Run: [SysService] D:\Programme\NSkeylogger\SERVICES.EXE
O4 - HKCU\..\Run: [IncrediMail] D:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\Run: [sws.exe] d:\programme\GlobalDialer\pntbo00000-37321a7\1450781.exe -remove
O4 - HKCU\..\Run: [sp] D:\WINDOWS\sp.exe
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZSzfw001
O8 - Extra context menu item: Web Rebates - file://D:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O16 - DPF: {1230CB21-C88D-11CF-B347-000000000000} - http://www.browserplugin.com/eroticAcce ... 759031.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file. ... bd235f562e
7e7f644ed9ad6d27363ea0905557407a09131ce1102d61ff488a283b943cc183:862fa71a683d4c83963a4ca9d760ebbd
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/fu ... .0.0.8.exe
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares ... 06_mp3.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/ ... 0_0_44.cab
O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://sib1.od2.com/common/Member/Clien ... /setup.exe
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/200 ... taller.exe
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - https://www.gamespyid.com/alaunch.cab
O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O16 - DPF: {E3802230-F0E2-4A75-9947-EAB78DD8153F} (InstallerX Class) - http://www.euroklik.nl/cab/EasyWebInstaller.cab
O20 - AppInit_DLLs: system32\aakah.dll
neustarten
#lade:
#LSPfix.exe
http://www10.brinkster.com/expl0iter/fr ... L2M/ts.htm
<"I know what I'm doing"
falls du die <WindowEnhancer.DLL<
findest, bringe sie von der linken auf die rechte Seite und loesche sie.
Falls du sie nicht in dem Tool gefunden hast, mache folgendes:
#oeffne das HijackThis:
HijackThis<Config<Misc Tools<Delete a file on reboot<
kopiere rein:
D:\Programme\WindowEnhancer\v1\WindowEnhancer.DLL
PC neustarten
HijackThis<Config<Misc Tools<Delete a file on reboot<
kopiere rein:
D:\WINDOWS\nsdb\hosts
PC neustarten
Diese Prozedur (HijackThis)machst du mit:
<D:\WINDOWS\services.exe
<D:\WINDOWS\System32\aaksrv.exe
<D:\WINDOWS\System32\nvms.dll
<D:\WINDOWS\System32\mscb.dll
<D:\WINDOWS\System32\msbe.dll
<D:\Program Files\Winad Client\Winad.exe
<D:\system32\winad2.dll
<D:\WINDOWS\SYSTEM\ide21201.vxd
<D:\Program Files\Win Comm\WinComm.exe
<D:\Programme\WindowEnhancer\v1\WindowEnhancer.EXE
<D:\Programme\NSkeylogger\SERVICES.EXE
<D:\WINDOWS\sp.exe
<D:\PROGRA~1\INCRED~1\bin\IncMail.exe
<d:\programme\GlobalDialer\pntbo00000-37321a7\1450781.exe
Suche und loesche:
<mp3.exe
<winad email.txt
<winad.exe
<winad-install.txt
\webhancer\programs\wbhshare.dll
\webhancer\programs\whagent.exe
\webhancer\programs\whagent.ini
\webhancer\programs\whiehlpr.dll
\webhancer\programs\whieshm.dll
#oeffne noch mal das HijackThis
Config< Misc Tools < Open Hosts file Manager < Delete line <
loesche alles , lasse nur stehen:
127.1.1.0 localhost
#Original Host Datei
loesche:
81.211.105.69 lender-search.com
81.211.105.68 hot-searches.com
Internetexplorer reinigen:
1. Klicken Sie in der Menüzeile des Internet Explorers auf Extras und Internet-Optionen.
2. Auf der Registerkarte Allgemein klicken Sie im Bereich Temporäre Internetdateien auf den Button Cookies löschen.
3.Temporaere Internet-Dateien<Dateien loeschen
#Datentraegerbereinigung: und Loeschen der Temporary-Dateien
<Start<Ausfuehren< reinschreiben: cleanmgr
#Click:Temporary Internet Files, O.K
#Click:Temporary Files, O.K
#AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
<Das eScan AV Toolkit-Erkennungstool (mwav.exe) herunterladen, oeffnen, aber nicht scannen
http://www.mwti.net/antivirus/free_utilities.asp
*
danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen. (oder unter Start<Ausfuehren<%temp% die kavupd.exe suchen) und anklicken.
<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml
und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives
<und "Scan " klicken.
<Öffne die mwav.log -> Bearbeiten -> Suchen ->
Wenn man infizierte Dateien in dem eScan Log finden will, sollte man nach infected suchen und die Eintraege hier posten
(zusammen mit dem neuen Log vom HijackThis)
mfg
Nikita
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
13 Beiträge • Seite 1 von 1
Ähnliche Themen
| HILFE ALLE MEINE ORDNERBERECHTIGUNG SIND WEG HILFE BITTE Forum: Hardware-Hilfe Autor: Anonymous Antworten: |
Anti-Viren Software... Forum: Software-Hilfe Autor: Anonymous Antworten: |
rechner piept mehrmals und bootet nicht mehr? Forum: Hardware-Hilfe Autor: heyn Antworten: |
Hilfe zu SpamNet von Cloudmark Forum: Software-Hilfe Autor: Anonymous Antworten: |
Rechner bootet nicht mehr! Forum: Hardware-Hilfe Autor: Anonymous Antworten: |
Zurück zu Online- und PC-Sicherheit
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste