bitte hijack log auswerten |
Willkommen, Gast ( Anmelden | Registrierung )
bitte hijack log auswerten |
19.07.2004, 13:15
Beitrag
#1
|
|
War schon mal da Gruppe: Mitglieder Beiträge: 17 Mitglied seit: 19.07.2004 Mitglieds-Nr.: 1.236 |
hi, ich hab ein kleines problem mit meinem IE 6.
es stellt sich die startseite easy-search.biz immer wieder von alleine ein. ausserdem wird eine seite auf der ich bin zu einer XXX seite weitergeleitet unn dann schliesst sich der IE nach einigen sekunden. zu meinem system: - ich hab winXP home edition - norton 2004 - IE 6 adaware und spybot finden nicht's mehr. CWShredder hatt noch an die 20 sachen gefixt. das oben genannte problem existiert aber weiterhin. unten liste ich mal die log-datei von hijack auf: Logfile of HijackThis v1.97.7 Scan saved at 13:33:48, on 19.07.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\mHotkey.exe C:\WINDOWS\CNYHKey.exe C:\WINDOWS\System32\Prismsta.exe C:\Programme\Home Cinema\PowerCinema\PCMService.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\runwin32.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\Programme\Norton AntiVirus\SAVScan.exe C:\WINDOWS\runwin32.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\runwin32.exe C:\Dokumente und Einstellungen\Math\Desktop\hijack\HijackThis1[1].97.7.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://easy-search.biz R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://easy-search.biz R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://easy-search.biz R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.1.1:8080 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *hot-searches.com*;*lender-search.com* R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {447160CD-ECF5-4EA2-8A8A-1F70CA363F85} - C:\WINDOWS\System32\msibkd.dll (file missing) O2 - BHO: (no name) - {610AF41E-3B9D-4C3E-8978-CE62A175B0A3} - C:\WINDOWS\msie32.dll O2 - BHO: (no name) - {6FE578A4-74C9-4F5B-9B4E-34BA0DCEB3D8} - C:\WINDOWS\msie32.dll O2 - BHO: (no name) - {85CBFDE0-B26B-4EE5-BD3C-4DE111DE763E} - C:\WINDOWS\System32\winnet.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O2 - BHO: (no name) - {CF021F40-3E14-23A5-CBA2-717765721306} - C:\WINDOWS\System32\wer1306.dll O2 - BHO: (no name) - {FCADDC14-BD46-408A-9842-111111111111} - C:\WINDOWS\System32\backup.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [CHotkey] mHotkey.exe O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe O4 - HKLM\..\Run: [Prism_Utility] Prismsta.exe O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Zone system] C:\WINDOWS\szchost.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKCU\..\Run: [runwin32] C:\WINDOWS\runwin32.exe O9 - Extra button: ICQ Lite (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O9 - Extra button: Real.com (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM) O9 - Extra button: MedionShop (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com O16 - DPF: Yahoo! Graffiti - http://download.games.yahoo.com/games/clients/y/grt5_x.cab O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://c:\nosuch.mht!http://66.230.167.185/z/tb/chm/cool.chm::/cool.exe O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!http://69.50.173.252/bonus.chm::/winpromo.exe O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php...42c5c6546c7d1fb O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwa...ector/swdir.cab O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/04a30f04300bfb...RdxIE601_de.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/....CAB?38020.7125 O16 - DPF: {AD688740-5246-40C3-1111-53959999940D} - http://xpehbam.biz/a/load.exe O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shock...ash/swflash.cab hoffentlich könnt ihr mir sagen was nicht hierhin gehört. schon mal thx im voraus |
|
|
19.07.2004, 18:42
Beitrag
#2
|
|
"Sir Remover" Gruppe: Mitglieder Beiträge: 1.726 Mitglied seit: 04.02.2004 Mitglieds-Nr.: 397 Betriebssystem: Windows 7 x64 Virenscanner: MS |
Abgesicherter Modus gehen (F8 beim booten) und
alle R0,R1,R2, R3 Eintraege fixen. Ausserdem folgendes: O2 - BHO: (no name) - {447160CD-ECF5-4EA2-8A8A-1F70CA363F85} - C:\WINDOWS\System32\msibkd.dll (file missing) O2 - BHO: (no name) - {610AF41E-3B9D-4C3E-8978-CE62A175B0A3} - C:\WINDOWS\msie32.dll O2 - BHO: (no name) - {6FE578A4-74C9-4F5B-9B4E-34BA0DCEB3D8} - C:\WINDOWS\msie32.dll O2 - BHO: (no name) - {85CBFDE0-B26B-4EE5-BD3C-4DE111DE763E} - C:\WINDOWS\System32\winnet.dll O2 - BHO: (no name) - {CF021F40-3E14-23A5-CBA2-717765721306} - C:\WINDOWS\System32\wer1306.dll O2 - BHO: (no name) - {FCADDC14-BD46-408A-9842-111111111111} - C:\WINDOWS\System32\backup.dll O4 - HKLM\..\Run: [Zone system] C:\WINDOWS\szchost.exe O4 - HKCU\..\Run: [runwin32] C:\WINDOWS\runwin32.exe O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com ...und am besten noch alle O16 bis auf die beiden Shockwave Eintraege! -------------------- Gruss R E M O V E R
If you think you are paranoid, . . .you are not paranoid enough! |
|
|
20.07.2004, 14:29
Beitrag
#3
|
|
Ist unverzichtbar Gruppe: Mitglieder Beiträge: 14.840 Mitglied seit: 05.07.2004 Mitglieds-Nr.: 1.143 Betriebssystem: Windows 7 SP1 (x64) Virenscanner: NIS2013 Firewall: NIS2013 |
das auch noch weg
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\WINDOWS\mHotkey.exe C:\WINDOWS\CNYHKey.exe und hier schauen was das für anwendungen sind?! C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\WINDOWS\System32\Prismsta.exe -------------------- Der Beitrag wurde von Unbekannt bearbeitet: Morgen, 06:00
System: Intel C2Q9550 , Gigabyte GA-P35-DS3L , 8GB Mushkin , XFX HD6670 , Samsung SATA2 (750GB, 500GB, 2x 1TB) , ATAPI & NEC DVDRAM , TFT Samsung T260 26" , Case Lian Li PC-7FNW , Corsair Accelerator SSD 60GB "Irgendwelche Politiker mögen irgendwann mal einen cleveren Gedanken haben, aber in der Regel plappern sie nur die Agenda der Lobbyisten nach." Lobbyismus für Dummies : http://www.youtube.com/watch?v=P_QVyOGnIrI Einschätzung zur Wikileaks Lage : http://www.youtube.com/watch?v=HVJAUECLdo8 , http://www.youtube.com/watch?v=gWR4VAyva6s |
|
|
20.07.2004, 14:46
Beitrag
#4
|
|
AV-Spezialist Gruppe: Mitarbeiter Beiträge: 2.935 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 |
Was laesst dich vermuten, das diese Dateien "boese" sind?
-------------------- MfG Ralf
|
|
|
20.07.2004, 16:23
Beitrag
#5
|
|
Threadersteller War schon mal da Gruppe: Mitglieder Beiträge: 17 Mitglied seit: 19.07.2004 Mitglieds-Nr.: 1.236 |
@remover:danke für deinen rat, ich hab ihn gestern noch befolgt und es ging problemlos, allerdings hat sich heute runwin32, msie32.dll und ein anderes programm namens dialup.exe wieder gestartet was wiederum zurfolge hatt das sich die startseite verändert. (ich hab jetzt durch googlen herausgefunden dass dialup.exe, runwin32.exe und wininet32.exe zu einem neuen trojaner gehören der die startseite zu easy-search.biz ändert und einige popups startet).
zusätzlich hab ich gestern noch norton anti virus im abgesicherten modus drüberlaufen lassen, welcher nichts gefunden hat. @bond7: diese dateien sind mir alle bekannt und haben nichts damit zu tun, aber trotzdem danke |
|
|
20.07.2004, 18:19
Beitrag
#6
|
|
"Sir Remover" Gruppe: Mitglieder Beiträge: 1.726 Mitglied seit: 04.02.2004 Mitglieds-Nr.: 397 Betriebssystem: Windows 7 x64 Virenscanner: MS |
Also Andy, dann poste am besten nochmal ein aktuelles Log.
Nimm am besten aber die aktuellste Version 1.98 von HijackThis. Notfalls einfach per google suchen. Wir bekommen das schon in Griff.... Waere uebrigens gut, wenn du unbedingt nochmal ein Windows Update machst um sicher zu gehen das alle Patches drauf sind. Der Beitrag wurde von Remover bearbeitet: 20.07.2004, 18:20 -------------------- Gruss R E M O V E R
If you think you are paranoid, . . .you are not paranoid enough! |
|
|
20.07.2004, 21:57
Beitrag
#7
|
|
Threadersteller War schon mal da Gruppe: Mitglieder Beiträge: 17 Mitglied seit: 19.07.2004 Mitglieds-Nr.: 1.236 |
so hab mein windows geupdatet und ein neuer log gemacht.
Logfile of HijackThis v1.98.0 Scan saved at 22:29:31, on 20.07.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\CNYHKey.exe C:\WINDOWS\System32\Prismsta.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\runwin32.exe C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton AntiVirus\SAVScan.exe C:\WINDOWS\System32\svchost.exe C:\Dokumente und Einstellungen\Math\Desktop\hijackthis\HijackThis.exe C:\WINDOWS\runwin32.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.1.1:8080 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O2 - BHO: - {D0EFFAF9-5EB7-45E4-B643-AC1B6F6DF91B} - C:\WINDOWS\msie32.dll O2 - BHO: - {EAE4E9F4-FE3C-44F5-8692-763DB748943A} - C:\WINDOWS\msie32.dll O2 - BHO: - {F1217721-C34A-4D96-9531-E227A89E80BA} - C:\WINDOWS\msie32.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [CHotkey] mHotkey.exe O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe O4 - HKLM\..\Run: [Prism_Utility] Prismsta.exe O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START O4 - HKCU\..\Run: [runwin32] C:\WINDOWS\runwin32.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra button: MedionShop - {07E3F115-C445-480D-94CB-ECA914A353CE} - http://www.medionshop.de/ (file missing) (HKCU) und noch eine frage, weiss einer was LogWatNt ist? die auswertung auf hijackthis.de meint es wäre gut, aber ich finde nicht heraus was sie macht. in dem ordner in dem die datei enthalten ist sind noch 20 weiter dateien (.exe, .dll, usw.), die alle um 2003 erstellt wurden, dabei ist der comp erst 1/4 jahr alt. |
|
|
21.07.2004, 06:03
Beitrag
#8
|
|
"Sir Remover" Gruppe: Mitglieder Beiträge: 1.726 Mitglied seit: 04.02.2004 Mitglieds-Nr.: 397 Betriebssystem: Windows 7 x64 Virenscanner: MS |
Lade dir den unten erwahnten Scanner runter und update ihn wie beschrieben....
Dann diese Dateien schnell noch online scannen bei Kaspersky http://www.kaspersky.com/de/scanforvirus O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe O4 - HKLM\..\Run: [Prism_Utility] Prismsta.exe Gegebenfalls dann auch fixen, falls positiv! Dann Systemwiederherstellung unbedingt DEAKTIVIEREN Abgesicherter Modus gehen (F8 beim booten) WICHTIG im Explorer unter Extras Ordneroptionen (Ansicht) den haken bei Erweiterungen bei bekannten Dateitypen ausblenden und geschuetzte systemdateien ausblenden rausnehmen. Sowie den Button bei ALLE Dateien und Ordner anzeigen setzen. Hijackthis aufrufen und dann folgendes fixen: (kein Explorer Fenster darf dabei offen sein, alles schliessen ausser Hijackthis) Alle R - Eintraege O2 - BHO: - {D0EFFAF9-5EB7-45E4-B643-AC1B6F6DF91B} - C:\WINDOWS\msie32.dll O2 - BHO: - {EAE4E9F4-FE3C-44F5-8692-763DB748943A} - C:\WINDOWS\msie32.dll O2 - BHO: - {F1217721-C34A-4D96-9531-E227A89E80BA} - C:\WINDOWS\msie32.dll O4 - HKCU\..\Run: [runwin32] C:\WINDOWS\runwin32.exe¨ O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll Loesche dann alle Temporaeren Verzeichnisinhalte samt Internet Explorer Cache auch das Temp in Dokumenten und Einstellungen/Username!!!¨ Scanne dein System am besten nach den Fixen nochmal hiermit (auch im abgesicherte Modus): http://www.mwti.net/antivirus/free_utilities.asp Scanner herunterladen, mit Hilfe von Winzip oder Winrar den Inhalt der mwav.exe in das Verzeichniss c:\bases (wichtig!) entpacken und dort dann die Datei kavupd.exe ausfuehren. Das laedt dir die neusten Virensignaturen. Dann im abgesicherten Modus, mit mwavscan.com deinen Rechner komplett scannen Windows Update machen und alternativen Browser (z.b. Mozilla Firefox) installieren, wuerde ich dir empfehlen! Der Beitrag wurde von Remover bearbeitet: 21.07.2004, 06:22 -------------------- Gruss R E M O V E R
If you think you are paranoid, . . .you are not paranoid enough! |
|
|
22.07.2004, 15:49
Beitrag
#9
|
|
Threadersteller War schon mal da Gruppe: Mitglieder Beiträge: 17 Mitglied seit: 19.07.2004 Mitglieds-Nr.: 1.236 |
ich bin's ....schon wieder..
wie soll ich es sagen, - ich habe deine anweisungen genau befolgt aber runwin32, msie32 und dialup.exe tauchen immer wieder in der reg. auf und wenn ich sie nicht umgehend lösche, wird die startseite wieder verändert. - eScan hat ein paar "trojaner" (wenn es welche waren) und hauptsächlich die backups von norton gefunden und gelöscht. - die zwei daten CNYHKey.exe und Prismsta.exe kontrollieren die funktastatur/maus bzw. die funknetzwerkkarte - ich habe jetzt mozilla firefox und den IE parallel auf dem rechner und gehe meist mir mozilla firefox online |
|
|
22.07.2004, 15:59
Beitrag
#10
|
|
"Sir Remover" Gruppe: Mitglieder Beiträge: 1.726 Mitglied seit: 04.02.2004 Mitglieds-Nr.: 397 Betriebssystem: Windows 7 x64 Virenscanner: MS |
Benutze mal dieses Tool und falls etwas gefunden wird,
wiederhole die Schritte die ich dir bereits geschrieben habe: http://downloads.subratam.org/FINDnFIX.exe Sonst poste mal das Output.txt hier rein!! -------------------- Gruss R E M O V E R
If you think you are paranoid, . . .you are not paranoid enough! |
|
|
22.07.2004, 17:31
Beitrag
#11
|
|
Threadersteller War schon mal da Gruppe: Mitglieder Beiträge: 17 Mitglied seit: 19.07.2004 Mitglieds-Nr.: 1.236 |
welche datei soll ich denn von dem tool nehmen?
|
|
|
22.07.2004, 18:29
Beitrag
#12
|
|
"Sir Remover" Gruppe: Mitglieder Beiträge: 1.726 Mitglied seit: 04.02.2004 Mitglieds-Nr.: 397 Betriebssystem: Windows 7 x64 Virenscanner: MS |
!Log!.bat oder so aehnlich starten...dann ein paar Minuten warten,
dann bekommst du ein output.txt, das hier einfach reinposten. -------------------- Gruss R E M O V E R
If you think you are paranoid, . . .you are not paranoid enough! |
|
|
22.07.2004, 18:38
Beitrag
#13
|
|
Threadersteller War schon mal da Gruppe: Mitglieder Beiträge: 17 Mitglied seit: 19.07.2004 Mitglieds-Nr.: 1.236 |
hier ist das log: ich muss es in zwei teilen posten da es sonst zu viele buchstaben sind
1.Teil: »»»»»»»»»*** www10.brinkster.com/expl0iter/freeatlast/FNF/ ***»»»»»»»»» »»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»»»»»» »»»»»»»»»»»»»»»»»» Microsoft Windows XP [Version 5.1.2600] »»»IE build and last SP(s) 6.0.2800.1106 SP1-Q330994-Q823353-Q832894 Der Typ des Dateisystems ist NTFS. C: ist nicht fehlerhaft. Thu 22 Jul 04 19:33:32 7:33pm up 0 days, 7:36 »»»»»»»»»»»»»»»»»»*** Note! ***»»»»»»»»»»»»»»»» The list will produce a small database of files that will match certain criteria. You must know how to ID the file based on the filters provided in the scan, as not all the files flagged are bad. Ex: read only files, s/h files, last modified date. size, etc. The filters provided should help narrow down the list, and hopefully pinpoint the culprit. Along with that,registry scan logged at the end should match the corresponding file(s) listed. »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Unless the file match the entire criteria, it should not be pointed to remove without attempting to confirm it's nature! »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» At times there could be several (legit) files flagged, and/or duplicate culprit file(s)! If in doubt, always search the file(s) and properties according to criteria! The file(s) found should be moved to \FINDnFIX\"junkxxx" Subfolder »»»»»»»»»»»»»»»»»»***LOG!***(*updated 7/21)»»»»»»»»»»»»»»»» »»»*»»»*Use at your own risk!»»»*»»»* Scanning for file(s)... »»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»» »»»»» (*1*) »»»»» ......... »»Locked or 'Suspect' file(s) found... »»»»» (*2*) »»»»»........ **File C:\FINDnFIX\LIST.TXT »»»»» (*3*) »»»»»........ No matches found. unknown/hidden files... No matches found. »»»»» (*4*) »»»»»......... Sniffing.......... Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15. »»»»»(*5*)»»»»» **File C:\WINDOWS\SYSTEM32\DLLXXX.TXT »»»»»(*6*)»»»»» »»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»» »»»»»Search by size... No matches found. No matches found. No matches found. Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15. Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15. Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15. »»Size of Windows key: (*Default-450 *No AppInit-398 *fake(infected)-448,504,512...) Size of HKEY_LOCAL_MACHINE\software\microsoft\Windows NT\CurrentVersion\Windows: 450 »»Dumping Values........ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs SZ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\DeviceNotSelectedTimeout SZ 15 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\GDIProcessHandleQuota DWORD 00002710 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Spooler SZ yes HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\swapdisk SZ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\TransmissionRetryTimeout SZ 90 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\USERProcessHandleQuota DWORD 00002710 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows AppInit_DLLs = DeviceNotSelectedTimeout = 15 GDIProcessHandleQuota = REG_DWORD 0x00002710 Spooler = yes swapdisk = TransmissionRetryTimeout = 90 USERProcessHandleQuota = REG_DWORD 0x00002710 »»Security settings for 'Windows' key: RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above Copyright © 1999-2001 Frank Heyne Software (http://www.heysoft.de) This program is Freeware, use it on your own risk! Der Beitrag wurde von Andy bearbeitet: 22.07.2004, 18:42 |
|
|
22.07.2004, 18:40
Beitrag
#14
|
|
Threadersteller War schon mal da Gruppe: Mitglieder Beiträge: 17 Mitglied seit: 19.07.2004 Mitglieds-Nr.: 1.236 |
2.Teil:
Access Control List for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows: (ID-NI) ALLOW Read VORDEFINIERT\Benutzer (ID-IO) ALLOW Read VORDEFINIERT\Benutzer (ID-NI) ALLOW Full access VORDEFINIERT\Administratoren (ID-IO) ALLOW Full access VORDEFINIERT\Administratoren (ID-NI) ALLOW Full access NT-AUTORITŽT\SYSTEM (ID-IO) ALLOW Full access NT-AUTORITŽT\SYSTEM (ID-IO) ALLOW Full access ERSTELLER-BESITZER Effective permissions for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows: Read VORDEFINIERT\Benutzer Full access VORDEFINIERT\Administratoren Full access NT-AUTORITŽT\SYSTEM »»Member of...: (Admin logon required!) User is a member of group HOBBYRAUM2\Kein. User is a member of group \Jeder. User is a member of group VORDEFINIERT\Administratoren. User is a member of group VORDEFINIERT\Benutzer. User is a member of group \LOKAL. User is a member of group NT-AUTORITÄT\INTERAKTIV. User is a member of group NT-AUTORITÄT\Authentifizierte Benutzer. »»»»»»Backups created...»»»»»» 7:34pm up 0 days, 7:36 Thu 22 Jul 04 19:34:28 A C:\FINDnFIX\keyback.hiv --a-- - - - - - 8,192 07-22-2004 keyback.hiv A C:\FINDnFIX\keys1\winkey.reg --a-- - - - - - 287 07-22-2004 winkey.reg *Temp backups... . .. keyback2.hi_ winkey2.re_ C:\FINDNFIX\ JUNKXXX Thu 22 Jul 2004 18:06:46 .D... <Dir> 1 item found: 0 files, 1 directory. »»Performing string scan.... 00001150: vk f AppInit_DLLs G 00001190: h vk UDeviceNotSelectedTimeout 1 5 000011D0: 0 9 0 =t vk ' zGDIProcessHandle 00001210:Quota" vk 8 Spooler2 y e s _ h 00001250: ` vk 5swapdisk vk 00001290: . TransmissionRetryTimeout h ` 000012D0: vk ' 9USERProcessHandleQuota 00001310: 00001350: 00001390: 000013D0: 00001410: 00001450: 00001490: 000014D0: 00001510: 00001550: 00001590: 000015D0: ---------- WIN.TXT fùAppInit_DLLsÖæG -------------- -------------- $01180: AppInit_DLLs $011AF: UDeviceNotSelectedTimeout $011FF: zGDIProcessHandleQuota $01298: TransmissionRetryTimeout $012E8: USERProcessHandleQuota -------------- -------------- No strings found. -------------- -------------- REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="" "DeviceNotSelectedTimeout"="15" "GDIProcessHandleQuota"=dword:00002710 "Spooler"="yes" "swapdisk"="" "TransmissionRetryTimeout"="90" "USERProcessHandleQuota"=dword:00002710 A handle was successfully obtained for the HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows key. This key has 0 subkeys. The AppInitDLLs value exists and reports as 2 bytes, including the 2 for string termination. [AppInitDLLs] Ansi string : "" 0000 00 00 | .. |
|
|
22.07.2004, 19:22
Beitrag
#15
|
|
War schon mal da Gruppe: Mitglieder Beiträge: 10 Mitglied seit: 02.07.2004 Mitglieds-Nr.: 1.132 |
QUOTE(raman @ 20. July 2004, 14:45) Was laesst dich vermuten, das diese Dateien "boese" sind? hallo raman, ich will mich ja nicht einmischen, aber ich hatte genau das gleiche Problem mit der Startseite "easy-search.biz" wie Andy ... vielleicht hilft es, mein Logfile und die Antworten von rokop zu lesen :-) einfach nur ein Hinweis meinerseits ist :-) |
|
|
22.07.2004, 19:33
Beitrag
#16
|
|
War schon mal da Gruppe: Mitglieder Beiträge: 10 Mitglied seit: 02.07.2004 Mitglieds-Nr.: 1.132 |
QUOTE(raman @ 20. July 2004, 14:45) Was laesst dich vermuten, das diese Dateien "boese" sind? und zum anderen nicht auf das Thema "was lässt Dich vermuten, dass es .... usw." bezogen war.... einfach nur ein Hinweis ... vielleicht hilft das ja |
|
|
22.07.2004, 20:23
Beitrag
#17
|
|
Threadersteller War schon mal da Gruppe: Mitglieder Beiträge: 17 Mitglied seit: 19.07.2004 Mitglieds-Nr.: 1.236 |
danke wildthing, genau das gleiche problem hab ich auch. bei mir wird auch immer wieder eine neue verbindung names new dialup connection angelegt.
ich hab genau das gleiche wie du gemacht, nur dass die dateien dialup.exe und runwin32.exe immer wieder auftauchen und dann die neue verbindung und die startseite herstellen. @wildthing: ging bei dir auch immer ein fenster auf mit "already running !!!!!!" und nur einem OK-button wenn dialup.exe sich noch einmal in die registry schieben wollte? Der Beitrag wurde von Andy bearbeitet: 22.07.2004, 20:26 |
|
|
23.07.2004, 09:53
Beitrag
#18
|
|
"Sir Remover" Gruppe: Mitglieder Beiträge: 1.726 Mitglied seit: 04.02.2004 Mitglieds-Nr.: 397 Betriebssystem: Windows 7 x64 Virenscanner: MS |
@Wildthing
Das haben wir alles hier auch so gemacht, bei dir ist das Problem jetzt geloest oder? @Andy In dem Output.txt Log ist nix verdaechtiges zu sehen, keine locked Files usw. Wenn bei Wildthing das ganze durchs fixen behoben wurde, haette es eigentlich auch bei dir klappen muessen. Bist du dir sicher das du die Anweisungen exakt durchgefuehrt hast oder war dir noch irgendetwas unklar? Nicht das du es doch in normalen Modus gemacht hast oder irgendeine Datei vergessen hast, anzuhaken!? Wie hast du mit Mwav gescannt? (hat das updaten geklappt, achte auf die anzeige des Datums unten) Du solltest die Haken bei Memory, Registry , Startup Foldes, ,System Fiolders und Services, Drive, All Local Drives, Scan All Files setzen. Dann den button Scan & Clean und das alles aus dem abgesicherten Modus raus. Sonst wiederhole dir ganzen Schritte nochmals ab Logfile 2! Der Beitrag wurde von Remover bearbeitet: 23.07.2004, 10:00 -------------------- Gruss R E M O V E R
If you think you are paranoid, . . .you are not paranoid enough! |
|
|
23.07.2004, 12:30
Beitrag
#19
|
|
Threadersteller War schon mal da Gruppe: Mitglieder Beiträge: 17 Mitglied seit: 19.07.2004 Mitglieds-Nr.: 1.236 |
ich hab alles wie beschrieben gemacht (updaten;abgesicherter modus und die optionen gewählt wie im faq beschrieben).
ich hab nun nocheinmal adaware laufen lassen und dies hat wieder etwas gefunden und gelöscht - nicht nur cookies,sondern auch 2 reg. dateien und andere daten. bis jetzt hatte ich keine probleme mehr und runwin32.exe startet sich auch nocht mehr. da kann ich nur hoffen das es so bleibt. wenns wieder prob macht meld ich mich sofort wieder. ansonsten wollt ich mich noch bei allen helfern bedanken und ein besonders grosses DANKE gilt dir Remover.... was hätte ich ohne euch nur gemacht |
|
|
23.07.2004, 12:35
Beitrag
#20
|
|
"Sir Remover" Gruppe: Mitglieder Beiträge: 1.726 Mitglied seit: 04.02.2004 Mitglieds-Nr.: 397 Betriebssystem: Windows 7 x64 Virenscanner: MS |
Freut mich das es doch noch geholfen hat.
Wollte gerade schreiben, das in einen andere Board jemand auch das gleiche Problem hatte und mit derselben Beschreibung von mir, den "Boesewicht" los geworden ist. Was auch das immer fuer eine Eintrag noch war.....hauptsache jetzt laeuft es wieder. Viel Spass noch....und denk dran einen alternativen Browser zu verwenden. -------------------- Gruss R E M O V E R
If you think you are paranoid, . . .you are not paranoid enough! |
|
|
Vereinfachte Darstellung | Aktuelles Datum: 31.05.2024, 21:42 |