Informationsarchiv.net > Foren-Übersicht > Computerprobleme > Online- und PC-Sicherheit
Warum kostenlos registrieren?

Nur als registriertes Mitglied hast Du vollen Zugriff auf alle Funktionen unserer Website. So kannst Du eigene Fragen stellen und hast die volle Übersicht über neue interessante Themen im Forum.
Jetzt kostenlos registrieren.

Login


Das verfluchte "Best Online Casino"

Warnungen vor Sicherheitslücken und Hilfe beim Enfernen von Viren, Würmern und Trojanern.
Thema gesperrt

Das verfluchte "Best Online Casino"

Beitragvon ambassador21 am 09.07.2004, 17:56

Hallo,
mir geht es ähnlich wie dem "andi", der vor ein paar Tagen an dieser Stelle sein Leid beklagt hat. Ich kenn mich nicht allzu gut aus mit Pcs und brauche Hilfe. Seit ein paar tagen erscheinen jedes Mal wenn ich den Internet Explorer öffne einige links und die "best Online Casino" Seite öffnet sich automatisch. Außerdem geht der Internet Explorer während ich online bin selbstständig
auf "anti spyware" Seiten. Des weiteren erscheint regelmäßig die Meldung: „Windows has detected that your PC is infected with Spyware called (...) Would you like to learn more about Anti Spyware Software? Yes/ No." Oder so ähnlich.
Ich hab mir schon Spybot S&D runtergeladen und angewendet, das hat aber nix geholfen. Bei einem Virenscan mit Norton Antivirus bin ich auf 2 Dateien gestoßen, an die laut Ergebnis die Viren "Download Trojan" und "Downloader Trojan" angehängt waren. Eine davon hieß "taskmng.exe" und die andere irgendwas mit "go.“ Leider konnte man die Dateien nicht löschen sondern nur isolieren.
Jetzt weiß ich nicht weiter. Ich hoffe es kann mir jemand helfen.
Es folgt erst mal die Liste, die ich mit HijackThis gemacht hab.
Vielen Dank!
Julian

Logfile of HijackThis v1.98.0
Scan saved at 17:52:51, on 09.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\ATI-CPanel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\taskmgn.exe
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Julian\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\mfplay.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\mfplay.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\mfplay.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\mfplay.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\mfplay.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\mfplay.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {98DBBF16-CA43-4c33-BE80-99E6694468A4} - C:\WINDOWS\System32\msmk.dll
O2 - BHO: (no name) - {F507483D-6126-483F-AEB1-89F853B7C471} - C:\WINDOWS\System32\mfplay.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NAV_Update] C:\NAV_Update.exe
O4 - HKLM\..\Run: [NeroCheck] c:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - Trusted Zone: http://*.63.219.181.7
O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} (InstallShield International Setup Player) - http://www.lizardtech.com/software/expr ... isetup.cab
O18 - Filter: text/html - {765B9E1F-9847-4FDF-8E68-9B2F18043E95} - C:\WINDOWS\System32\mfplay.dll
O18 - Filter: text/plain - {765B9E1F-9847-4FDF-8E68-9B2F18043E95} - C:\WINDOWS\System32\mfplay.dll
ambassador21
 
Beiträge: 7
Registriert: 09.07.2004, 13:07
Nach oben

Beitragvon GrayGhost am 09.07.2004, 18:37

Hallo fix diese Einträge:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\mfplay.dl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\mfplay.d
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\mfplay.dl
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\mf
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\mf
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {98DBBF16-CA43-4c33-BE80-99E6694468A4} - C:\WINDOWS\System32\msmk.dll
O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} (InstallShield International Setup Player) - http:
GrayGhost
 
Nach oben

Beitragvon Nikita am 09.07.2004, 20:48

ambassador21

Fixe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\mfplay.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\mfplay.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\mfplay.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\mfplay.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\mfplay.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\mfplay.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

O2 - BHO: (no name) - {98DBBF16-CA43-4c33-BE80-99E6694468A4} - C:\WINDOWS\System32\msmk.dll
O2 - BHO: (no name) - {F507483D-6126-483F-AEB1-89F853B7C471} - C:\WINDOWS\System32\mfplay.dll

15 - Trusted Zone: http://*.63.219.181.7
O18 - Filter: text/html - {765B9E1F-9847-4FDF-8E68-9B2F18043E95} - C:\WINDOWS\System32\mfplay.dll
O18 - Filter: text/plain - {765B9E1F-9847-4FDF-8E68-9B2F18043E95} - C:\WINDOWS\System32\mfplay.dll
O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} (InstallShield International Setup Player) - http://www.lizardtech.com/software/expr ... isetup.cab


neustarten

#Deaktiviere deinen Virenscanner
Lade Antivirus
http://www.free-av.de/

Gehe in den abgesicherten Modus
http://www.bsi.de/av/texte/winsave.htm

Konfiguriere den Antivirus
\Heuristik...hoch
\alle Dateien scanne\

Mache eine Vollscann
...................................................................................................................
normal neustarten

Ueberpruefe C:\NAV_Update.exe \kann vom Norton sein, vielleicht auch nicht ...(
mit Kaspersky
http://www.kaspersky.com/remoteviruschk.html

#lade mwav.exe ...30 Tage free und scanne \alle Dateien\
http://www.mwti.net/antivirus/free_utilities.asp

#Lade Spybot
http://beam.to/spybotsd

#Lade Spysweeper
http://www.spysweeper.com/download.html

#Loesche unter \InternetOptionen die TemporaryInternetFiles.und stelle eine neue Startseite ein.

#Poste das Endlog vom mwav.exe
#Poste das HijackThis noch mal.

MfG
Nikita
Nikita
Moderator
 
Beiträge: 11478
Registriert: 07.12.2003, 16:53
Wohnort: Lissabon
Nach oben

Beitragvon alpha7 am 10.07.2004, 15:38

wer oder was ist HijackThis?

Wofür brauch ich das, was kann es und wo krieg ich es?
alpha7
 
Beiträge: 10
Registriert: 10.07.2004, 15:20
Nach oben

Beitragvon Nikita am 10.07.2004, 15:45

alpha7

http://board.protecus.de/showtopic.php?threadid=9391
Lade es und scanne, save und kopiere das Log ins Forum.

So kann man sehen, ob du vielleicht einen Virus oder Spyware auf dem Computer hast.

MfG
Nikita
Nikita
Moderator
 
Beiträge: 11478
Registriert: 07.12.2003, 16:53
Wohnort: Lissabon
Nach oben

Beitragvon alpha7 am 10.07.2004, 16:33

@nikita:

danke

ich hab es mal geladen und dann die automatische Überprüfung durchgeführt - mal gucken, ob es was gebracht hat, ansonsten kommt das Log bald
alpha7
 
Beiträge: 10
Registriert: 10.07.2004, 15:20
Nach oben

Beitragvon Nikita am 10.07.2004, 16:55

alpha7
du musst einfach nur auf \scann\ druecken, dann auf \safe\ und dieses Log kannst du kopieren ...hier ins Forum.
Nikita
Nikita
Moderator
 
Beiträge: 11478
Registriert: 07.12.2003, 16:53
Wohnort: Lissabon
Nach oben

Beitragvon ambassador21 am 10.07.2004, 16:56

Hi Nikita,
Ich hab jetzt mal alles erledigt, was du mir geraten hast. Ich hoffe mit erfolg. Schon mal Vielen Dank im vorraus. Es folgt nochmal die "HijackThis" Liste.
mfg Julian

Logfile of HijackThis v1.98.0
Scan saved at 16:53:20, on 10.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\ATI-CPanel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Julian\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\mfplay.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\mfplay.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\mfplay.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\mfplay.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NAV_Update] C:\NAV_Update.exe
O4 - HKLM\..\Run: [NeroCheck] c:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O15 - Trusted Zone: http://*.63.219.181.7
ambassador21
 
Beiträge: 7
Registriert: 09.07.2004, 13:07
Nach oben

Beitragvon Nikita am 10.07.2004, 17:12

ambassador21

scanne noch einmal mit dem HijackThis, hake genau an, was ich poste und dann drueckst du auf \fix\
danach startest du neu und gehst in den abgesicherten Modus



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\mfplay.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\mfplay.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\mfplay.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\mfplay.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O4 - HKLM\..\Run: [NAV_Update] C:\NAV_Update.exe
O15 - Trusted Zone: http://*.63.219.181.7


neustarten
und in den abgesicherten Modus gehen
http://www.bsi.de/av/texte/winsave.htm


Konfiguriere
Antivirus-Einstellungen :

Automatischen Scan stoppen,
Internetupdate von Antivir starten,
Einstellungen hochschrauben (Suchen: ALLE DATEIN, Reperatur: OHNE RÜCKFRAGEN, Löschen bei fehlgeschlagener Reperatur: LÖSCHEN OHNE RÜCKFRAGEN, Unerwünschte Programme: ALLE ausser spiele, Heuristik: Win32 Heuristik Priorität hoch)

Mache einen Vollscann


normal neustarten
............................................................................................................................

Antivirus>>du hast den Guard nicht aktiviert!!!!!!!!...musst du unter \Optionen\ aktivieren...dann kommt ein aufgespanner Regenschirm in die Taskleiste...


Lade AdAware free
http://www.lavasoft.de/

Lade spybot
http://beam.to/spybotsd

Lade spysweeper
http://www.spysweeper.com/download.html

Lade mwav.exe ...30 Tage free...poste mir dann das ndlog...also den infizierten Teil
Und scanne \alle Dateien\
http://www.mwti.net/antivirus/free_utilities.asp

#Loesche unter \InternetOptionen die TemporaryInternetfiles , stelle eine neue Startseite ein und poste das Log noch mal...und das Endlog vom Scann mit mwav.exe

MfG
Nikita :D
Zuletzt geändert von Nikita am 11.07.2004, 12:29, insgesamt 1-mal geändert.
Nikita
Moderator
 
Beiträge: 11478
Registriert: 07.12.2003, 16:53
Wohnort: Lissabon
Nach oben

Beitragvon alpha7 am 10.07.2004, 17:49

Logfile of HijackThis v1.98.0
Scan saved at 17:49:06, on 10.07.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\programme\powerstrip\pstrip.exe
C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
F:\Programme\antivir\AVGNT.EXE
C:\Programme\Winamp3\Studio.exe
C:\Programme\Microsoft Office\Office10\msoffice.exe
F:\Programme\antivir\AVGUARD.EXE
F:\Programme\antivir\AVWUPSRV.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
F:\Internet - Stuff\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\mfplay.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\mfplay.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\mfplay.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\mfplay.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\mfplay.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\mfplay.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = pop.t-online.de
O1 - Hosts: 213.159.117.235 auto.search.msn.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {13DD0C8F-ACFA-47FC-84F6-2D18FDD4F0B7} - C:\WINDOWS\System32\mfplay.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [PowerStrip] c:\programme\powerstrip\pstrip.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [AVGCtrl] F:\Programme\antivir\AVGNT.EXE /min
O4 - Startup: WallpaperWeb Wallpaperchanger.lnk = C:\Dokumente und Einstellungen\Manuel.EMANUEL\Eigene Dateien\Programme\wpchanger\start.exe
O4 - Startup: Winamp3.LNK = C:\Programme\Winamp3\Studio.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... Client.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0ED74B7D-659C-494E-87EF-B8E744CFB2AD}: NameServer = 217.237.150.97 194.25.2.129
O18 - Filter: text/html - {5E97A64F-28A7-423A-B92D-2427EEABD10B} - C:\WINDOWS\System32\mfplay.dll
O18 - Filter: text/plain - {5E97A64F-28A7-423A-B92D-2427EEABD10B} - C:\WINDOWS\System32\mfplay.dll

__________

Die Beiträge
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

habe ich bereits gefixt
alpha7
 
Beiträge: 10
Registriert: 10.07.2004, 15:20
Nach oben

Beitragvon Nikita am 10.07.2004, 18:03

alpha7
Da ist ploetzlich noch einiges dazugekommen

Fixe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\mfplay.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\mfplay.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\mfplay.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\mfplay.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\mfplay.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\mfplay.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

O1 - Hosts: 213.159.117.235 auto.search.msn.com

O2 - BHO: (no name) - {13DD0C8F-ACFA-47FC-84F6-2D18FDD4F0B7} - C:\WINDOWS\System32\mfplay.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{0ED74B7D-659C-494E-87EF-B8E744CFB2AD}: NameServer = 217.237.150.97 194.25.2.129
O18 - Filter: text/html - {5E97A64F-28A7-423A-B92D-2427EEABD10B} - C:\WINDOWS\System32\mfplay.dll
O18 - Filter: text/plain - {5E97A64F-28A7-423A-B92D-2427EEABD10B} - C:\WINDOWS\System32\mfplay.dll


neustarten
Gehe wieder in den abgesicherten Modus

#gehe in die Registry
Start\Ausfuehren\regedit
HIer der Eintrag:

HKEY_CLASSES_ROOT\CLSID\{53B95211-7D77-11D2-9F81-00104B107C96}

HKEY_CLASSES_ROOT\PROTOCOLS\Handler\start
loesche :CLSID={53B95211-7D77-11D2-9F81-00104B107C96}
loesche rechts den Wert, wenn er da ist.

schliesse die Registry

2 .Dann suche
C:\WINNT\system32\msxword.dll
C:\WINDOWS\System32\msxslab.dll
C:\WINDOWS\System32\mfplay.dll

und, wenn sie da sind loesche sie.


3. Geh mal zu C:\WINDOWS\SYSTEM32\DRIVERS\ETC\Hosts
mit dem Editor oeffen ..notepad
Dort sollte nur 127.0.0.1 Lokalhost drinstehen .
Alles andere loeschen

scanne mit im abgesicherten Modus mit Antivirus noch einmal.
einstellen <Heuristic:hoch !!!!!

#normal neustarten

#loesche die TemporaryInternetfiles unter <internetoptionen < und stelle eine neue Startseite ein.

#mache die WindowsUpdates und aktualisiere den IE auf IE 6 SP1
http://www.microsoft.com/downloads/deta ... B602228DE6

Lade mwav.exe ...30 Tage free...poste mir dann das log...also den infizierten Teil
Und scanne \alle Dateien\
http://www.mwti.net/antivirus/free_utilities.asp
Poste das Log noch mal.
MfG
Nikita
Zuletzt geändert von Nikita am 11.07.2004, 12:29, insgesamt 1-mal geändert.
Nikita
Moderator
 
Beiträge: 11478
Registriert: 07.12.2003, 16:53
Wohnort: Lissabon
Nach oben

Beitragvon alpha7 am 10.07.2004, 18:37

Zwischenfrage:

wie starte ich unter XP im abgesicherten Modus neu?
alpha7
 
Beiträge: 10
Registriert: 10.07.2004, 15:20
Nach oben

Beitragvon Nikita am 10.07.2004, 18:57

alpha7
neustarten und in den abgesicherten Modus gehen
http://www.bsi.de/av/texte/winsave.htm
Zuletzt geändert von Nikita am 11.07.2004, 12:30, insgesamt 1-mal geändert.
Nikita
Moderator
 
Beiträge: 11478
Registriert: 07.12.2003, 16:53
Wohnort: Lissabon
Nach oben

Beitragvon alpha7 am 10.07.2004, 21:06

nun sieht meine Log so aus:

Logfile of HijackThis v1.98.0
Scan saved at 21:07:18, on 10.07.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\programme\powerstrip\pstrip.exe
C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
F:\Programme\antivir\AVGNT.EXE
F:\Programme\antivir\AVGUARD.EXE
F:\Programme\antivir\AVWUPSRV.EXE
C:\Programme\Microsoft Office\Office10\msoffice.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
F:\Internet - Stuff\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = pop.t-online.de
O4 - HKLM\..\Run: [PowerStrip] c:\programme\powerstrip\pstrip.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [AVGCtrl] F:\Programme\antivir\AVGNT.EXE /min
O4 - Startup: WallpaperWeb Wallpaperchanger.lnk = C:\Dokumente und Einstellungen\Manuel.EMANUEL\Eigene Dateien\Programme\wpchanger\start.exe
O4 - Startup: Winamp3.LNK = C:\Programme\Winamp3\Studio.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... Client.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0ED74B7D-659C-494E-87EF-B8E744CFB2AD}: NameServer = 217.237.150.97 194.25.2.129
alpha7
 
Beiträge: 10
Registriert: 10.07.2004, 15:20
Nach oben

Beitragvon Nikita am 11.07.2004, 11:39

alpha7
es ist alles sauber.

aktualisiere den IE auf IE 6 SP1
http://www.microsoft.com/downloads/deta ... B602228DE6

das kannst du beruhigt machen.

Du solltest auch dein Windows Updaten...alles auser Servicepack. falls dein XP nicht so ganz ...nun, du weisst schon.

MfG
Nikita :D
Zuletzt geändert von Nikita am 11.07.2004, 12:28, insgesamt 1-mal geändert.
Nikita
Moderator
 
Beiträge: 11478
Registriert: 07.12.2003, 16:53
Wohnort: Lissabon
Nach oben
Nächste
Thema gesperrt

Ähnliche Themen

Workshop zum Thema "Einbau einer zweiten Festplatte&quo
Forum: Feedback
Autor: YX2FLY
Antworten:
ICQ aus "Eigene Dateien" löschen
Forum: Software-Hilfe
Autor: pet58
Antworten:
kann "DFÜ-Speed" einfach nicht herrunterladen
Forum: Software-Hilfe
Autor: maus
Antworten:
Fehlermeldung "Interner Zielgeräte Fehler"
Forum: Hardware-Hilfe
Autor: Anonymous
Antworten:
Wurm "Sobig.F" treibt Internet-Nutzer in den Wahns
Forum: Online- und PC-Sicherheit
Autor: Computerdirk
Antworten:
Nach oben

Zurück zu Online- und PC-Sicherheit

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste

Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Deutsche Übersetzung durch phpBB.de
phpBB SEO