about blank

[Nikita]

Hallo sockeye

unter <InternetOptionen< kannst du deine gewuenschte Startseite einstellen.

z.B. Yahoo-Kanada
http://ca.yahoo.com/
oder was du willst.

#Falls sich der Norton nicht beruhigt...deinstalliere ihn und lade dann neu.
Manche Viren koennen den Virenscanner "zerstoeren, manipulieren"...da hilft dann nur eine Neuinstalation.

Dann lade den Firefox (in Englisch)..ist viel sicherer, als der IE
http://www.mozilla.org/products/firefox/
Stelle dort auch eine Startseite ein und surfe nur mit ihm !

Warte auf dein Log !! (das postest du aber bitte mit Dem IE (Internetexplorer)..nicht mit dem Firefox

Gruss
Nikita

[sockeye]

guten morgen nikita!

hier ist das log

Sun 08 Aug 04 11:16:58

»»»»»*** www10.brinkster.com/expl0iter/freeatlast/FNF/ ***»»»»»

Microsoft Windows XP Professional 5.1 Service Pack 1 (Build 2600)


Microsoft Windows XP [Version 5.1.2600]
IE version:
6.0.2800.1106 SP1-Q324929-Q818529-Q330994-Q822925-Q837009-Q832894

The type of the file system is NTFS.

Sunday, August 08, 2004 (8/8/2004)
11:17 AM, Pacific Daylight Time
11:17am up 0 days, 4:24


»»Member of...: ("ADMIN" logon + group match required!)

User is a member of group ARMIN-YO0XIC851\None.
User is a member of group \Everyone.
User is a member of group BUILTIN\Administrators.
User is a member of group BUILTIN\Users.
User is a member of group \LOCAL.
User is a member of group NT AUTHORITY\INTERACTIVE.
User is a member of group NT AUTHORITY\Authenticated Users.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Group BUILTIN\Administrators matches list.
Group BUILTIN\Users matches list.

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

User: [ARMIN-YO0XIC851\armin maerkl], is a member of:

BUILTIN\Administrators
\Everyone
ARMIN-YO0XIC851\None

»»»»»»»»»»»»»»»»»»*** Note! ***»»»»»»»»»»»»»»»»
The list will produce a small database of files that will match certain criteria.
Ex: read only files, s/h files, last modified date. size, etc.
The filters provided and registry scan should match the
corresponding file(s) listed.
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Unless the file match the entire criteria, it should not be pointed to remove
without attempting to confirm it's nature!
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
At times there could be several (legit) files flagged, and/or duplicate culprit file(s)!
If in doubt, always search the file(s) and properties according to criteria!

The file(s) found should be moved to \FINDnFIX\"junkxxx" Subfolder
»»»»»»»»»»»»»»»»»»***LOG!***(*updated 8/06)»»»»»»»»»»»»»»»»

»»»*»»»*Use at your own risk!»»»*»»»*

Scanning for file(s)...
»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»
»»»»» (*1*) »»»»» .........
»»Locked or 'Suspect' file(s) found...


»»»»» (*2*) »»»»»........

»»»»» (*3*) »»»»»........

No matches found.

unknown/hidden files...

No matches found.

»»»»» (*4*) »»»»».........
Sniffing..........
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.

SNiF 1.34 statistics

Matching files : 0 Amount in bytes : 0
Directories searched : 1 Commands executed : 0

Masks sniffed for: *.DLL

»»»»»(*5*)»»»»»

»»»»»(*6*)»»»»»

»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»
»»»»»Search by size...


No matches found.

No matches found.

No matches found.

Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.

SNiF 1.34 statistics

Matching files : 0 Amount in bytes : 0
Directories searched : 1 Commands executed : 0

Masks sniffed for: *.DLL
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.

SNiF 1.34 statistics

Matching files : 0 Amount in bytes : 0
Directories searched : 1 Commands executed : 0

Masks sniffed for: *.DLL
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.

SNiF 1.34 statistics

Matching files : 0 Amount in bytes : 0
Directories searched : 1 Commands executed : 0

Masks sniffed for: *.DLL

»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»


BHO search...

**File C:\WINDOWS\SYSTEM32\CDBG.DLL
000020DC: 25 25 25 30 32 78 00 00 . 00 00 00 00 C0 82 05 B3 %%%02x.. ....À‚.³

Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.

SNiF 1.34 statistics

Matching files : 0 Amount in bytes : 0
Directories searched : 1 Commands executed : 0

Masks sniffed for: *.DLL


»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»
»»Size of Windows key:
(*Default-450 *No AppInit-398 *fake(infected)-448,504,512...)

Size of HKEY_LOCAL_MACHINE\software\microsoft\Windows NT\CurrentVersion\Windows: 0

»»Dumping Values........
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows: The system cannot find the file specified.

REGDMP: Unable to open key 'HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows' (2)


»»Security settings for 'Windows' key:


RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!


Can't open Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:

2 - The system cannot find the file specified.

»»Performing string scan....
ERROR: failed to open file
--------------
--------------
--------------
--------------
No matching files were found.

--------------
--------------
Error: Couldn't open HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows-----------------------

»»»»»»Backups list...»»»»»»
11:20am up 0 days, 4:28
Sun 08 Aug 04 11:20:23


No matches found.

No matches found.

*Temp backups...

No matches found.

C:\FINDNFIX\
JUNKXXX Sat Aug 7 2004 9:29:30a .D... <Dir>

1 item found: 0 files, 1 directory.

-----END------
Sun 08 Aug 04 11:20:25
.................................................................

ich habe noch zwei fragen:

1.wie ist das, wenn ich das antivirus system neueinstalliere , muessen dann die updates ( wir sind schon jahre dabei ) nochmal downgeloaded werden ?
(wir leben auf einer winzigen insel , keine telepfongesellschaft legt high speed cable auf den meeresgrund *grrr* wir surfen also mit modem und es wuerde wahrscheinlich tage/wochen ? dauern bis wir wieder sicher sind ....)

2.versteht sich der firefox ohne weiteres mit microsoft outlook und anderen programmen ??? oder sind da unueberwindliche hindernisse , fuer mich als pc -jerk zu erwarten ? dieses about blank ueberfordert mich schon total


liebe gruesse nach europa

sockeye

[Nikita]

Hallo sockeye

1. Ich wollte das Log vom HijackThis...mit der Startseite. .B. Yahoo-Kanada
http://ca.yahoo.com/
oder was du willst.
einstellen unter <Internetoptionen<

dieses andere Tool<FINDNFIX<, wovon du mir das Log gepostet hast, kannst du loeschen.

2.Wenn du den Symantec neu installierst, musst du alle Updates neu laden.

3.Der Firefox ist ein Browser (es gibt sehr viele), er funktioniert auf der Basis vom InternetExplorer (wo du die Startseite yahoo...einstellen solltest) und ist sicherer , schneller beim Surfen...

Firefox 0.9 is the award winning preview of Mozilla's next generation browser. Firefox empowers you to browse faster, more safely and efficiently than with any other browser. Press Release.
http://www.mozilla.org/products/firefox/
Das hat nichts mit Outlook zu tun oder mit anderen Programmen...es ist das Programm, mit welchem du im Net surfst.
In diesem Browser stellst du ebenfalls deine Startseite ein, kannst die Favoriten abspeichern...kurz, genau wie beim IE,

Du musst dann den Firefox als <Standartbrowser< akzeptieren<, wenn so eine Meldung erscheint.

Warte auf das Log vom HijackThis MIT der Startseite von .....was du einzustellen gedenkst..
http://ca.yahoo.com/



mfg
Nikita

[sockeye]

hi nikita!


ich habe mit internetex die startseite spiegel.de eingestellt und dann findnfix gestartet und das log erstellt

was habe ich falsch gemacht oder willst du etwas anderes?

lg gruesse sockeye

[Nikita]

von dem< findnfix< will ich nichts wissen, das kannst du loeschen

Ich will das Log vom HijackThis, was du mir am Anfang mal gepostet hast.
Diesmal aber "sauber" und mit einer Startseite.

Logfile of HijackThis v1.98.0
Scan saved at 2:10:16 PM, on 8/3/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe ~
<<<<<<

Gruss
Nikita

[sockeye]

also von dem findnfix schlauch bin ich mittlerweiler runtergestiegen und hier ist das log - aber ob es sauber ist ?

O4 - HKCU\..\Run: [TaskTray] C:\Program Files\Creative\SBAudigy\Taskbar\CTLTray.exe
O4 - HKCU\..\Run: [Taskbar] C:\Program Files\Creative\SBAudigy\Taskbar\CTLTask.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O17 - HKLM\System\CCS\Services\Tcpip\..\{C1FB003D-46BB-4C3B-8C87-B2084DF6807D}: NameServer = 209.53.216.2 209.53.215.2


gruss
schlauchsocke

[Nikita]

Poste bitte das KOMPLETTE LOOOOOOG !!!!!!!!!!!!!1

Logfile of HijackThis v1.98.0
Scan saved at 2:10:16 PM, on 8/3/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe ~
<<<<<<
<<<<<<<
<<<<<<


gruss
Nikita

[sockeye]

sorry der naechste schlauch ( aber das war mein mann )

hier ;
Logfile of HijackThis v1.98.0
Scan saved at 12:01:19 PM, on 8/8/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Wintab32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\Fast.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
C:\WINDOWS\System32\fast.exe
C:\WINDOWS\System32\taskswitch.exe
C:\WINDOWS\System32\ccwtup32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Internet Call Director\ICD.EXE
C:\WINDOWS\System32\DllHost.exe
C:\Program Files\Canon\ZoomBrowser EX\Program\ZOOMBROWSER.EXE
C:\Program Files\Canon\ZoomBrowser EX\Program\ZOOMBROWSER.EXE
C:\Program Files\Microsoft Office\Office10\WINWORD.EXE
C:\Program Files\Common Files\Symantec Shared\NMain.exe
C:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXE
c:\program files\internet explorer\iexplore.exe
D:\My shared folder\hijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\ARMINM~1\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\ARMINM~1\LOCALS~1\Temp\sp.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\ARMINM~1\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\ARMINM~1\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\ARMINM~1\LOCALS~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\ARMINM~1\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:4001
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [Jet Detection] C:\Program Files\Creative\SBAudigy\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PC-CAM 350 STI App Registration] RunDLL32.exe P1060pin.dll,RunDLL32EP 513
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [MOD] C:\Program Files\Microangelo\muamgr.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [GTCO.wtxpload] C:\WINDOWS\GTCO\wtxpload.exe GTCO
O4 - HKLM\..\Run: [FastUser] C:\WINDOWS\System32\fast.exe
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe
O4 - HKLM\..\Run: [CalCompUtil] ccwtup32.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [TaskTray] C:\Program Files\Creative\SBAudigy\Taskbar\CTLTray.exe
O4 - HKCU\..\Run: [Taskbar] C:\Program Files\Creative\SBAudigy\Taskbar\CTLTask.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O17 - HKLM\System\CCS\Services\Tcpip\..\{C1FB003D-46BB-4C3B-8C87-B2084DF6807D}: NameServer = 209.53.216.2 209.53.215.2

gruss sockeye

[Nikita]

Der Hijacker ist noch da....


Schliesse alle Browserfenster , ausser das HijackThis und
Fixe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\ARMINM~1\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\ARMINM~1\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\ARMINM~1\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\ARMINM~1\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\ARMINM~1\LOCALS~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\ARMINM~1\LOCALS~1\Temp\sp.html

Download and install APM from: http://www.diamondcs.com.au/index.php?page=apm
In the upper window select explorer.exe
In the lower window find and rightclick the BHO from the HijackThis log<cdbg.dll <
Select Unload <cdbg.dll< and click OK on the prompts that follow.

NEUSTARTEN

#Lade AdAware (free) und scanne <alle Dateien<
http://www.lavasoft.de/support/download/

#Lade TuneUp 2004 (30 Tage free)
http://www.tuneup.de/download/
Funktion:<aufraeumen und reparieren< durchfuehren

#Lade mwav.exe (escan), scanne <alle Dateien< und <alle Folder< und poste, was der Scanner als <infiziert< meldet.
http://www.mwti.net/antivirus/free_utilities.asp

Dann poste das Log noch mal.

mfg
Nikita


................................................................................................................
Hier ist ein Beispiel in Englisch, nur die dll heisst anders.
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\a\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\a\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\a\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\a\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\a\LOCALS~1\Temp\sp.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\a\LOCALS~1\Temp\sp.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

O2 - BHO: (no name) - {FD90346B-9BF1-4018-A409-6F86439A7333} - C:\WINDOWS\System32\jbpoe.dll

Log example: HERE (http://forums.maddoktor2.com/index.php?showtopic=548)

Download and install APM from: http://www.diamondcs.com.au/index.php?page=apm

Close all windows except HijackThis and fix the lines above.

Then start APM.
In the upper window select explorer.exe
In the lower window find and rightclick the BHO from the HijackThis log
Select Unload DLL and click OK on the prompts that follow.

Reboot and scan with AdAware to remove the txt and html protocol association.

[sockeye]

danke nikita fuer die muehe !

# als infiziert gemeldet:
File C:\WINDOWS\System32\EGDHTML_1024.dll tagged as not-a-virus:RiskWare.Dialer.E-Group.1023. No Action Taken.
File C:\markavr.chm infected by "Trojan.Win32.Dialer.ce" Virus. Action Taken: File Deleted.
File C:\markavsp.chm infected by "Trojan.Win32.Small.af" Virus. Action Taken: File Deleted.
File C:\Needspeed5\Cash.exe tagged as not-a-virus:Cracker.Game.HotHook. No Action Taken.
File C:\Program Files\WinRAR\siuptgfhnm infected by "TrojanDropper.Win32.ExeBundle.22" Virus. Action Taken: File Deleted.
File C:\RECYCLER\S-1-5-21-839522115-1060284298-67671315-1003\Dc65.dll infected by "Trojan.Win32.StartPage.ix" Virus. Action Taken: File Deleted.
File C:\WINDOWS\LastGood\System32\EGDial.dll tagged as not-a-virus:RiskWare.Dialer.E-Group.1021. No Action Taken.
File C:\WINDOWS\system32\EGDHTML_1024.dll tagged as not-a-virus:RiskWare.Dialer.E-Group.1023. No Action Taken.
File D:\Media\Programs\Getright\GetRight v4.5 (Final).exe infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: File Renamed.
File D:\Media\Programs\aaw1.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\My shared folder\NFS\NFS5\tools\porsche 32trainer.zip tagged as not-a-virus:Cracker.Game.HotHook. No Action Taken.
File D:\My shared folder\yahoo message.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\My shared folder\hijackThis\backups\backup-20040805-135903-585.dll infected by "Trojan.Win32.StartPage.ix" Virus. Action Taken: File Deleted.
File D:\My shared folder\cesmoorj_gdm.zip tagged as not-a-virus:Cracker.Game.HotHook. No Action Taken.

.........................................
#neues log danach:

Logfile of HijackThis v1.98.0
Scan saved at 5:59:43 PM, on 8/8/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Wintab32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\Fast.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\WINDOWS\System32\fast.exe
C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
C:\WINDOWS\System32\taskswitch.exe
C:\WINDOWS\System32\ccwtup32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Creative\SBAudigy\Taskbar\CTLTray.exe
C:\Program Files\Internet Call Director\ICD.EXE
C:\WINDOWS\System32\DllHost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\notepad.exe
C:\Program Files\Microsoft Office\Office10\WINWORD.EXE
D:\My shared folder\hijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:4001
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [Jet Detection] C:\Program Files\Creative\SBAudigy\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PC-CAM 350 STI App Registration] RunDLL32.exe P1060pin.dll,RunDLL32EP 513
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [MOD] C:\Program Files\Microangelo\muamgr.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [GTCO.wtxpload] C:\WINDOWS\GTCO\wtxpload.exe GTCO
O4 - HKLM\..\Run: [FastUser] C:\WINDOWS\System32\fast.exe
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe
O4 - HKLM\..\Run: [CalCompUtil] ccwtup32.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [TaskTray] C:\Program Files\Creative\SBAudigy\Taskbar\CTLTray.exe
O4 - HKCU\..\Run: [Taskbar] C:\Program Files\Creative\SBAudigy\Taskbar\CTLTask.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O17 - HKLM\System\CCS\Services\Tcpip\..\{C1FB003D-46BB-4C3B-8C87-B2084DF6807D}: NameServer = 209.53.216.2 209.53.215.2


ich hoffe wir haben alles richtig gemacht !


erschoepfte gruesse sockeye

[Nikita]

Hallo sockeye
Ihr habt es (fast) geschafft !!
Der Startseiten trojaner ist weg.

Es gibt aber noch einen (boesen ?)Dialer...der muss geloescht werden!!!!
http://securityresponse.symantec.com/av ... ccess.html
Was fuer einen Netzugang habt ihr ?
Welcher Eintrag unter 04 ist verantwortlich fuer den Zugang ?

..............................................................................................................
#Leert bitte den Papierkorb.....
#und checkt den Compi mit TuneUp 2004..ist ein sehr gutes Tool.
http://www.tuneup.de/download/
Viele Gruesse auf die kleine Insel (was macht ihr da eigentlich ?)
Gruss aus Lissabon
Nikita

[sockeye]

guten morgen nikita!

# super news , danke fuer deine hilfe!:D
# wo steht das was fuer einen netzugang wir haben ?
heisst das veilleicht dial- up? ( der pc waehlt sich per telefon zum lokalen provider auf vancouver island ein , und registered uns dann als user....)
# haben norton antivirus full scan gerade durchlaufen lassen: no infection angezeigt, hat nichts gefunden!
(dein link zeigt an, dass er nur die version expanded threat detection supported, wir haben norton antivirus 2002 offensichtlich ohne ) hast du eine idee?
# wird gemacht!
# das auch

......
off topic
a.) haeuser entwerfen und bauen, landschafts, - stadtplanung
b.) fishing und prawning und kayaking , viel draussen sein...

gruss nach lissabon ( toll, die kultur vermissen wir hier schon )
sockeye

PS:
mein mann meint, falls du mal in der gegend hier bist, und zwar hier:
http://www.gulfislandsguide.com/

komm doch vorbei , zelte ein paar tage bei uns am beach und ... siehe auch off-topic unter b

[Nikita]

http://www.kephyr.com/spywarescanner/li ... ndex.phtml
http://www.electronic-group.com/index_flash.htm

Nun haben wir den Salat...ich weiss nicht, ob das eurer normaler Zugang zum Internet ist......(bevor wir was loeschen !)
Deshalb muesst ihr sehr gut pruefen, ob das hier alles zutrifft.
Classification:Dialer

Vendor
Electronic Group !!!!!!!!!!!!!!!!!!
http://www.electronic-group.com/index_flash.htm
..................................................................................................

Loescht alles von GetRight v4.5 (ist mit Spyware verseucht)
D:\Media\Programs\Getright\GetRight v4.5 (Final).exe

TuneUp 2004
http://www.tuneup.de/download/
............................................................................................

Es ist WIRKLICH schoen bei euch !!!
Vielleicht komme ich naechstes Jahr mal vorbei.
Ihr muesst mir nur erklaeren, wie und wohin genau.

Gruss
Nikita

[sockeye]

hi nikita!


#bezueglich des dialers haben wir nur geloescht was dieser baazookerdings empfohlen hat ...)
(welche infos koennten dir denn unsern normalen net zugang abklaeren helfen - der name wie aol , oder so?; wir sind nicht bei aol ... sondern bei einem nicht so weit verbreiteten hier ...)
.....................................
der electronic-group link .... wir wussten nicht recht was wir damit machen sollen - und haben auch nix abgeklaert!
......................................
# get right sollte geloescht sein, tune up download auch gemacht

----- danach haben wir folgendes log:

Logfile of HijackThis v1.98.0
Scan saved at 4:50:23 PM, on 8/9/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Wintab32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\Fast.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\WINDOWS\System32\fast.exe
C:\WINDOWS\System32\taskswitch.exe
C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
C:\WINDOWS\System32\ccwtup32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Internet Call Director\ICD.EXE
c:\program files\internet explorer\iexplore.exe
C:\WINDOWS\System32\DllHost.exe
D:\My shared folder\hijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:4001
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [Jet Detection] C:\Program Files\Creative\SBAudigy\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PC-CAM 350 STI App Registration] RunDLL32.exe P1060pin.dll,RunDLL32EP 513
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [MOD] C:\Program Files\Microangelo\muamgr.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [GTCO.wtxpload] C:\WINDOWS\GTCO\wtxpload.exe GTCO
O4 - HKLM\..\Run: [FastUser] C:\WINDOWS\System32\fast.exe
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe
O4 - HKLM\..\Run: [CalCompUtil] ccwtup32.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [TaskTray] C:\Program Files\Creative\SBAudigy\Taskbar\CTLTray.exe
O4 - HKCU\..\Run: [Taskbar] C:\Program Files\Creative\SBAudigy\Taskbar\CTLTask.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O17 - HKLM\System\CCS\Services\Tcpip\..\{C1FB003D-46BB-4C3B-8C87-B2084DF6807D}: NameServer = 209.53.216.2 209.53.215.2

was meinst du, wie schauts aus ???????????
................................................

ich hoffe, dass ich nachher wieder ans net komme : also wenn du nix mehr hoerst haben wir wohl was falsches geloescht und dann dauert es wohl ein paar tage !

.........................................
off topic:
klar machen wir - es gibt doch diese private nachrichten funktion hier , oder? wegen email adresse etc. !:wink:

gruss sockeye ,

[Nikita]

Hallo sockeye

Ich habe die Info ueber den Dialer von dem Scann mit mwav.exe
# als infiziert gemeldet:
File C:\WINDOWS\System32\EGDHTML_1024.dll tagged as not-a-virus:RiskWare.Dialer.E-Group.1023. No Action Taken.
File C:\WINDOWS\LastGood\System32\EGDial.dll tagged as not-a-virus:RiskWare.Dialer.E-Group.1021. No Action Taken.
File C:\WINDOWS\system32\EGDHTML_1024.dll tagged as not-a-virus:RiskWare.Dialer.E-Group.1023. No Action Taken.

Der Dialer ist laut Bezooka von dieser Gruppe
Vendor
Electronic Group !!!!!!!!!!!!!!!!!!
http://www.electronic-group.com/index_flash.htm
..................................................................................................

Wenn ihr also nichts damit anfangen koennt, ist es nicht euer Internetzugang und man kann alles loeschen: was von mwav.exe angefuehrt wurde.


C:\WINDOWS\system32\EGDial.dll
C:\WINDOWS\system32\ia.dll
C:\WINDOWS\system32\mseggrpid.dll
C:\WINDOWS\LastGood\System32\EGDial.dll
C:\WINDOWS\system32\EGDHTML_1024.dll

Das Log ist weiterhin o.k.

Scannt also bitte nach dem Loeschen noch eimal mit mwav.exe und poste, was der Scanner diesmal als <infiziert< meldet.
..................................................................................................

Es gibt hier die Moeglichkeit privat zu posten..Computer-Forum (Startseite<Uebersicht< oben links ...Nachrichten ...

Gruss
Nikita