Rokop Security

Willkommen, Gast ( Anmelden | Registrierung )

 
Reply to this topicStart new topic
> Bitte Log auswerten!Ihr seid meine letzte Hoffnung, TR/Startpage.IG.1
Madden
Beitrag 21.07.2004, 15:17
Beitrag #1



Ist neu hier


Gruppe: Mitglieder
Beiträge: 4
Mitglied seit: 21.07.2004
Mitglieds-Nr.: 1.249



Arbeite seit Tagen an dem verdammten Ding rum, bekomm es aber nicht los!
Die Virenprogramme erkennen den Trojaner zwar, aber beseitigen konnte ihn keines.
Hab ad-aware und search and destroy schon zig mal laufen lassen, auch den cwshredder, bekomm den mistigen TR/Startpage.IG.1 aber nicht los.

Hier mal das Hijack Logfile, hoffentlich könnt ihr mir helfen...

Logfile of HijackThis v1.98.0
Scan saved at 16:09:19, on 21.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\brss01a.exe
C:\Programme\Cherry\CDI\CDI.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Super Popup Blocker\popkill.exe
C:\WINDOWS\system.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\XXXXXXX\Desktop\hijackthis_198\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: HTML Source Editor - {85810C93-C14C-11D5-BC4B-0050BA28E4FE} - C:\WINDOWS\System32\popkill.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Super Popup Blocker] C:\Programme\Super Popup Blocker\popkill.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [System32] C:\WINDOWS\system.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: Send to Keyman - C:\Programme\Cherry\keyman\IEMenuExtKeyman.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotch.com
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {11111111-1111-1111-1111-111111111123} - ms-its:mhtml:file://C:\bla.MHT!http://216.115.95.98//38ble.chm::/wincfgid.exe
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab28578.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://dev-www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_41.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab
O16 - DPF: {68BCE50A-DC9B-4519-A118-6FDA19DB450D} (Info Class) - http://www.wow-europe.com/signup/de/wowbeta/Si.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...StatsClient.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2DD4454B-3B90-4B55-9536-FF8DEDC6A113}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{F5ACB417-7F12-4105-A495-8E2CF15400CB}: NameServer = 217.237.150.141 194.25.2.129


Danke schon mal im voraus.

M.F.G. Madden

Der Beitrag wurde von Madden bearbeitet: 21.07.2004, 15:17
Go to the top of the page
 
+Quote Post
raman
Beitrag 21.07.2004, 15:33
Beitrag #2



AV-Spezialist
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 2.935
Mitglied seit: 27.04.2003
Wohnort: Nordhorn
Mitglieds-Nr.: 59



Fix mal das:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
O4 - HKLM\..\Run: [System32] C:\WINDOWS\system.exe
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotch.com
O16 - DPF: {11111111-1111-1111-1111-111111111123} - ms-its:mhtml:file://C:\bla.MHT!http://216.115.95.98//38ble.chm::/wincfgid.exe

Dann bitte neu starte und diese Datei an virus@rokop-security.de schicken:

C:\WINDOWS\system.exe


--------------------
MfG Ralf
Go to the top of the page
 
+Quote Post
Voyager
Beitrag 21.07.2004, 15:38
Beitrag #3



Ist unverzichtbar
*******

Gruppe: Mitglieder
Beiträge: 14.840
Mitglied seit: 05.07.2004
Mitglieds-Nr.: 1.143

Betriebssystem:
Windows 7 SP1 (x64)
Virenscanner:
NIS2013
Firewall:
NIS2013



@madden
das sieht nee gut aus bei dir, du hast dir nee menge backgroundinstallationen eingefangen.
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\System32\brss01a.exe
C:\WINDOWS\system.exe
C:\Programme\Cherry\CDI\CDI.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php

O4 - HKLM\..\Run: [System32] C:\WINDOWS\system.exe
C:\Programme\Cherry\keyman\IEMenuExtKeyman.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

das würd ich an deiner stelle schon erstma löschen, dann sind noch einige sachen in deinerm system32-ordner nach denen ich an deiner stelle mal googlen würde z.b. Ati2evxx.exe CTsvcCDA.EXE MsPMSPSv.exe
und lösche mal den gesamten activeX-cache in dem ordner c:\WINDOWS\Downloaded Program Files\
"wichtige notwendige activeX objekte" werden bei bedarf sowieso wieder nachinstalliert wie z.b. die ungefährlichen sachen adobe symantec msn und microsoft.
dies hier sieht jedoch schonma gefährlich aus:
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {68BCE50A-DC9B-4519-A118-6FDA19DB450D} (Info Class) - http://www.wow-europe.com/signup/de/wowbeta/Si.cab

ein klein tip, auf deinem prvat genutzten rechner kannst du beruhigt das winXP-sp2cr2 installieren (am besten erst bei einer neuinstall!) , dann wärst du vor den gefährlichen backgroundinstallationen geschützt.


--------------------
Der Beitrag wurde von Unbekannt bearbeitet: Morgen, 06:00
System:
Intel C2Q9550 , Gigabyte GA-P35-DS3L , 8GB Mushkin , XFX HD6670 , Samsung SATA2 (750GB, 500GB, 2x 1TB) , ATAPI & NEC DVDRAM , TFT Samsung T260 26" , Case Lian Li PC-7FNW , Corsair Accelerator SSD 60GB

"Irgendwelche Politiker mögen irgendwann mal einen cleveren Gedanken haben, aber in der Regel plappern sie nur die Agenda der Lobbyisten nach."
Lobbyismus für Dummies : http://www.youtube.com/watch?v=P_QVyOGnIrI
Einschätzung zur Wikileaks Lage : http://www.youtube.com/watch?v=HVJAUECLdo8 , http://www.youtube.com/watch?v=gWR4VAyva6s
Go to the top of the page
 
+Quote Post
Yopie
Beitrag 21.07.2004, 15:46
Beitrag #4



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 2.373
Mitglied seit: 15.04.2003
Wohnort: Monaco di Baviera
Mitglieds-Nr.: 20



QUOTE(bond7 @ 21. July 2004, 16:37)
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\System32\brss01a.exe
C:\Programme\Cherry\CDI\CDI.exe


Was soll an diesen Dateien schlimm sein?


QUOTE(bond7 @ 21. July 2004, 16:37)
ein klein tip, auf deinem prvat genutzten rechner kannst du beruhigt das winXP-sp2cr2 installieren (am besten erst bei einer neuinstall!) , dann wärst du vor den gefährlichen backgroundinstallationen geschützt.


Solange das SP2 von Microsoft nur als Release Candidate vorliegt, sollte man auf anderen Rechnern als auf Testrechnern auf eine Installation verzichten.

Sorry, insgesamt erscheinen mir Deine Tips wenig fundiert und damit leider wenig hilfreich.


--------------------

But don’t forget the songs that made you cry
And the songs that saved your life
Yes, you’re older now, and you’re a clever swine
But they were the only ones who ever stood by you.
Go to the top of the page
 
+Quote Post
Voyager
Beitrag 21.07.2004, 15:55
Beitrag #5



Ist unverzichtbar
*******

Gruppe: Mitglieder
Beiträge: 14.840
Mitglied seit: 05.07.2004
Mitglieds-Nr.: 1.143

Betriebssystem:
Windows 7 SP1 (x64)
Virenscanner:
NIS2013
Firewall:
NIS2013



@Yopie
ist doch prima wenn du eine persönliche meinung hast aber solange du nichts besseres zu bieten hast ist dein beitrag nur nörgelndes geflame . lmfao.gif


--------------------
Der Beitrag wurde von Unbekannt bearbeitet: Morgen, 06:00
System:
Intel C2Q9550 , Gigabyte GA-P35-DS3L , 8GB Mushkin , XFX HD6670 , Samsung SATA2 (750GB, 500GB, 2x 1TB) , ATAPI & NEC DVDRAM , TFT Samsung T260 26" , Case Lian Li PC-7FNW , Corsair Accelerator SSD 60GB

"Irgendwelche Politiker mögen irgendwann mal einen cleveren Gedanken haben, aber in der Regel plappern sie nur die Agenda der Lobbyisten nach."
Lobbyismus für Dummies : http://www.youtube.com/watch?v=P_QVyOGnIrI
Einschätzung zur Wikileaks Lage : http://www.youtube.com/watch?v=HVJAUECLdo8 , http://www.youtube.com/watch?v=gWR4VAyva6s
Go to the top of the page
 
+Quote Post
Yopie
Beitrag 21.07.2004, 16:07
Beitrag #6



Gehört zum Inventar
******

Gruppe: Mitglieder
Beiträge: 2.373
Mitglied seit: 15.04.2003
Wohnort: Monaco di Baviera
Mitglieds-Nr.: 20



Da Du anscheinend nicht begründen kannst, warum
QUOTE
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\System32\brss01a.exe
C:\Programme\Cherry\CDI\CDI.exe

schädlich sein sollen, sondern stattdessen lieber rumpöbelst, bestätigst Du meine erste Vermutung. thumbdown.gif

Was sind eigentlich backgroundinstallationen? Erklärs mir bitte, Google brachte dazu genau Null Ergebnisse...

Ach nein, lass es lieber. Bevor Du hier weiter hilfesuchende User verwirrst, geh bitte dahin, wo Du herkommst.


--------------------

But don’t forget the songs that made you cry
And the songs that saved your life
Yes, you’re older now, and you’re a clever swine
But they were the only ones who ever stood by you.
Go to the top of the page
 
+Quote Post
Madden
Beitrag 21.07.2004, 16:27
Beitrag #7


Threadersteller

Ist neu hier


Gruppe: Mitglieder
Beiträge: 4
Mitglied seit: 21.07.2004
Mitglieds-Nr.: 1.249



Danke schon mal!

Hab jetzt alles so gemacht, und die erneute auswertung bringt:

Logfile of HijackThis v1.98.0
Scan saved at 17:24:23, on 21.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\brss01a.exe
C:\Programme\Cherry\CDI\CDI.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Proantivirus Lab\Digital Patrol Scanner 5.0\update.exe
C:\Programme\Super Popup Blocker\popkill.exe
C:\Dokumente und Einstellungen\Mathias Degen\Desktop\hijackthis_198\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: HTML Source Editor - {85810C93-C14C-11D5-BC4B-0050BA28E4FE} - C:\WINDOWS\System32\popkill.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [Digital Patrol Update 5] C:\Programme\Proantivirus Lab\Digital Patrol Scanner 5.0\update.exe /autoupdate
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: Send to Keyman - C:\Programme\Cherry\keyman\IEMenuExtKeyman.html
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O17 - HKLM\System\CCS\Services\Tcpip\..\{2DD4454B-3B90-4B55-9536-FF8DEDC6A113}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{F5ACB417-7F12-4105-A495-8E2CF15400CB}: NameServer = 217.237.150.141 194.25.2.129

Die R1 und R0 usw. hab ich gefixt, die kommen aber immer wieder. Hab sie auch schon manuel aus der registry gelöscht.

Die datei hab ich jetzt mal verschickt, hoffe die können was damit nafangen...

Madden
Go to the top of the page
 
+Quote Post
raman
Beitrag 21.07.2004, 16:32
Beitrag #8



AV-Spezialist
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 2.935
Mitglied seit: 27.04.2003
Wohnort: Nordhorn
Mitglieds-Nr.: 59



Entschuldige, ich haette noch erwaehnen sollen, das du die Datei C:\WINDOWS\system.exe noch umbenennen oder verschieben sollst. Schau in der Registierung wo du diesen Eintrag noch findest "C:\WINDOWS\system.exe" poste mal das Ergebniss.


--------------------
MfG Ralf
Go to the top of the page
 
+Quote Post
Madden
Beitrag 21.07.2004, 16:44
Beitrag #9


Threadersteller

Ist neu hier


Gruppe: Mitglieder
Beiträge: 4
Mitglied seit: 21.07.2004
Mitglieds-Nr.: 1.249



Hab jetzt nochmal hijack drüberlaufen lassen, und dass dann online auswerten lassen, und er findet keine roten mehr, nur noch ein paar gelbe Fehler, auch eben diese R0 R1 (HKCU, HKLM).

Aber ich weis, dass der Trojaner noch drauf ist, weil beim I-Explorer immer noch diese komische startseite kommt, und ich immer noch diese verflixten hosts files im Windows ordner habe.

Die system.exe hab ich gelöscht dummerweise, bevor ich sie verschicken konnte.

In der Registrierung steht Windows\system.exe bei

HKEY Current User Software Microsoft Windoes Current Version Explorer ComDL32 OpenSave MRU

Und an selbiger Stelle bei HKEY Users

Der Beitrag wurde von Madden bearbeitet: 21.07.2004, 16:45
Go to the top of the page
 
+Quote Post
Voyager
Beitrag 21.07.2004, 17:18
Beitrag #10



Ist unverzichtbar
*******

Gruppe: Mitglieder
Beiträge: 14.840
Mitglied seit: 05.07.2004
Mitglieds-Nr.: 1.143

Betriebssystem:
Windows 7 SP1 (x64)
Virenscanner:
NIS2013
Firewall:
NIS2013



@madden
wenn du dir doch nicht sicher bist, welche programme/dateien/einträge deine probleme verursachen kommst du vll. um eine windows neuinstall doch nicht herrum. ich weiss das es für ungeübte anwender schwer ist da durchzusehen.

Der Beitrag wurde von raman bearbeitet: 21.07.2004, 17:35


--------------------
Der Beitrag wurde von Unbekannt bearbeitet: Morgen, 06:00
System:
Intel C2Q9550 , Gigabyte GA-P35-DS3L , 8GB Mushkin , XFX HD6670 , Samsung SATA2 (750GB, 500GB, 2x 1TB) , ATAPI & NEC DVDRAM , TFT Samsung T260 26" , Case Lian Li PC-7FNW , Corsair Accelerator SSD 60GB

"Irgendwelche Politiker mögen irgendwann mal einen cleveren Gedanken haben, aber in der Regel plappern sie nur die Agenda der Lobbyisten nach."
Lobbyismus für Dummies : http://www.youtube.com/watch?v=P_QVyOGnIrI
Einschätzung zur Wikileaks Lage : http://www.youtube.com/watch?v=HVJAUECLdo8 , http://www.youtube.com/watch?v=gWR4VAyva6s
Go to the top of the page
 
+Quote Post
raman
Beitrag 21.07.2004, 17:38
Beitrag #11



AV-Spezialist
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 2.935
Mitglied seit: 27.04.2003
Wohnort: Nordhorn
Mitglieds-Nr.: 59



Ich will da noch ein wenig weitersuche, bevor du die ultimative "Plattmachmethode" anwendest. smile.gif

Poste mal eine Startuplist: Hijackthis starten dann auf config/misc tools/generate startuplist und das Ergebnis bitte hier posten.


--------------------
MfG Ralf
Go to the top of the page
 
+Quote Post
Madden
Beitrag 21.07.2004, 18:57
Beitrag #12


Threadersteller

Ist neu hier


Gruppe: Mitglieder
Beiträge: 4
Mitglied seit: 21.07.2004
Mitglieds-Nr.: 1.249



Yippiem vereint mit eurer hilfe hab ich es geschafft!!!

Hab alles was die online Auswertung von Hijackthis bemängelt hat gefixt, dann im abgesicherten modus die beiden hosts files gelöscht und den viren scanner von kaspersky drüberlaufen lassen.

Dann neustart, und cwshredder und antivir laufen lassen sowie search and destroy. Die haben alle nichts gefunden, und die Startseite im Explorer ist auch wieder die alte.

Die registry ist auch wieder befreit von diesen komischen ips.

Benutze jetzt nur noch firefox und hab mir auch gleich die firewall von kerio geholt.

Hoffe jetzt läuft das wieder ne weile.

Danke nochmal...

Greets Madden
Go to the top of the page
 
+Quote Post
raman
Beitrag 21.07.2004, 18:58
Beitrag #13



AV-Spezialist
Gruppensymbol

Gruppe: Mitarbeiter
Beiträge: 2.935
Mitglied seit: 27.04.2003
Wohnort: Nordhorn
Mitglieds-Nr.: 59



Hauptsache, du bist ihn los!:)


--------------------
MfG Ralf
Go to the top of the page
 
+Quote Post

Reply to this topicStart new topic
1 Besucher lesen dieses Thema (Gäste: 1 | Anonyme Besucher: 0)
0 Mitglieder:

 



Vereinfachte Darstellung Aktuelles Datum: 15.06.2024, 20:40
Impressum