Total verseucht

Picknicker · 11.12.2004, 18:15

Hab's weiter unten schon gepostet.....

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\bedkz.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\bedkz.dll/sp.html#29126

....lösche ich im abgesicherten Modus. Im normalen Modus sind sie dann wieder da.

cacatoa · 11.12.2004, 18:26

Systemwiederherstellung ausschalten und nochmal..
Dein System ist nicht gepatcht (Immer noch SP1 drauf).

Picknicker · 11.12.2004, 19:19

Systemwiederherstellung hatte ich ausgeschaltet. Was aber bedeutet gepatcht???? Sorry für meine Unwissenheit.

Ein Stichwort: Bin ich die Biester fast los???

cacatoa · 11.12.2004, 19:32

Gepatcht heißt updaten. Du hast immer noch Service Pack 1 drauf, aktuell ist SP 2.
Du mußt die Datei:
C:\WINDOWS\system32\bedkz.dll/sp.html#29126 nach dem fixen manuell löschen.
Wenn sie nicht sichtbar ist, dann:linke Maustaste Arbeitsplatz, Extras, Ordneroptionen, Ansicht, hier Häkchen wegmachen bei "geschützte Systemdateien ausblenden" und Häkchen machen bei "alle Dateien und Ordner anzeigen"

Picknicker · 12.12.2004, 10:00

Service-Pack von was?

Dateu habe ich nicht gefunden. Hier das Log-File im abgesicherten Modus. Die Datei ist verschwunden....

Logfile of HijackThis v1.98.2
Scan saved at 09:48:18, on 12.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Dokumente und Einstellungen\Computer\Desktop\Antivirenprogramme\hijackthis_198\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://hsremove.com/done.htm
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: HPAiODevice(hp psc 900 series) - 1.lnk = C:\Programme\Hewlett-Packard\AiO\hp psc 900 series\Bin\hpobrt07.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-12.cab

MountainKing · 12.12.2004, 10:42

Es geht um die Updates für Windows und die damit zusammenhängende Software wie den IE, diese regelmäßig zu installieren ist sicherheitstechnisch sehr wichtig. www.windowsupdate.com

Picknicker · 12.12.2004, 10:50

OK, Danke.
Ansonsten scheint meine Platte geputzt, oder?

cacatoa · 12.12.2004, 19:41

Tja, das wiederum sieht man nur, wenn du ein Logfile im normalen Modus erstellst...

Picknicker · 13.12.2004, 22:20

Wohl zu früh gefreut. Hier der File im "normalen" Modus.

Logfile of HijackThis v1.98.2
Scan saved at 22:17:44, on 13.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Hewlett-Packard\AiO\hp psc 900 series\Bin\hpobrt07.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\SpywareGuard\sgmain.exe
C:\Programme\SpywareGuard\sgbhp.exe
C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe
C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOFXM07.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Dokumente und Einstellungen\Computer\Desktop\Antivirenprogramme\hijackthis_198\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\bedkz.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\bedkz.dll/sp.html#29126
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - Startup: SpywareGuard.lnk = C:\Programme\SpywareGuard\sgmain.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: HPAiODevice(hp psc 900 series) - 1.lnk = C:\Programme\Hewlett-Packard\AiO\hp psc 900 series\Bin\hpobrt07.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-12.cab

Passat2002 · 13.12.2004, 22:32

ich würde sagen, ob hier wirklich alles sauber ist, kann nur ein scan mit
escan, housecall und bitdefender, sowie spybot s&d und adaware, sowie a2 herausfinden.
das logfile sieht wirklich schon sehr gut aus, bis auf die 01 :aplaus:
naja, lass einmal den cwshredder drüber, ie-muss, alles andere soll geschlossen sein, dann eventuell noch einmal fixen, sollte der eintrag wieder vorhanden sein
oder dass toll http://www.hsremove.com/ noch einmal drüberziehen

frage: glaubst du noch an norton oder steigst du auch auf brain 2.0 um

Picknicker · 13.12.2004, 22:47

Hab alles im abgesicherten Modus probiert. Nur so kam ich zu diesem Zustand. escan fand beim letzten Mal über 150 Dateien, ganz schön heftig. Norton überzeugt mich nicht wirklich. Mein Zustand hat es bewiesen.

Passat2002 · 13.12.2004, 22:57

hi

die besonderen einträge fixen, temp und tif leeren ( http://members.linzag.net/680262/Antivir/03.html ), bis zum schluss durcharbeiten, dann die system wiederherstellung deaktivieren, neustart und
( in deckung gehen ) scannen und nachsehen, ob die 2 mit superkleber verankerten einträge von der platte geflogen sind.

Picknicker · 17.12.2004, 08:50

Juhuuu geschafft. Sieht doch jetzt gut aus, oder?

Logfile of HijackThis v1.98.2
Scan saved at 08:49:48, on 17.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Hewlett-Packard\AiO\hp psc 900 series\Bin\hpobrt07.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\SpywareGuard\sgmain.exe
C:\Programme\SpywareGuard\sgbhp.exe
C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe
C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOFXM07.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Dokumente und Einstellungen\Computer\Desktop\Antivirenprogramme\hijackthis_198\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - Startup: SpywareGuard.lnk = C:\Programme\SpywareGuard\sgmain.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: HPAiODevice(hp psc 900 series) - 1.lnk = C:\Programme\Hewlett-Packard\AiO\hp psc 900 series\Bin\hpobrt07.exe
O4 - Global Startup: Image Transfer.lnk = ?
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-12.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6022CBAC-DE8F-4F2F-A7CB-6B90FE69773E}: NameServer = 62.104.191.241 62.104.196.134
O17 - HKLM\System\CS1\Services\Tcpip\..\{6022CBAC-DE8F-4F2F-A7CB-6B90FE69773E}: NameServer = 62.104.191.241 62.104.196.134

Total verseucht

Log-Analyse und Auswertung: Total verseucht

Total verseucht

Total verseucht

Total verseucht

Total verseucht

Total verseucht

Total verseucht

Total verseucht

Total verseucht

Total verseucht

Total verseucht

Total verseucht

Total verseucht

Total verseucht

Ähnliche Themen: Total verseucht

11.12.2004, 18:15	#31
Picknicker	Total verseucht Hab's weiter unten schon gepostet..... R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\bedkz.dll/sp.html#29126 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\bedkz.dll/sp.html#29126 ....lösche ich im abgesicherten Modus. Im normalen Modus sind sie dann wieder da.

11.12.2004, 18:26	#32
cacatoa	Total verseucht Systemwiederherstellung ausschalten und nochmal.. Dein System ist nicht gepatcht (Immer noch SP1 drauf). __________________ __________________

11.12.2004, 19:19	#33
Picknicker	Total verseucht Systemwiederherstellung hatte ich ausgeschaltet. Was aber bedeutet gepatcht???? Sorry für meine Unwissenheit. Ein Stichwort: Bin ich die Biester fast los??? __________________

12.12.2004, 10:42	#36
MountainKing	Total verseucht Es geht um die Updates für Windows und die damit zusammenhängende Software wie den IE, diese regelmäßig zu installieren ist sicherheitstechnisch sehr wichtig. www.windowsupdate.com

12.12.2004, 10:50	#37
Picknicker	Total verseucht OK, Danke. Ansonsten scheint meine Platte geputzt, oder?

12.12.2004, 19:41	#38
cacatoa	Total verseucht Tja, das wiederum sieht man nur, wenn du ein Logfile im normalen Modus erstellst... __________________ Der Mensch sollte eine Hundeseele haben

13.12.2004, 22:47	#41
Picknicker	Total verseucht Hab alles im abgesicherten Modus probiert. Nur so kam ich zu diesem Zustand. escan fand beim letzten Mal über 150 Dateien, ganz schön heftig. Norton überzeugt mich nicht wirklich. Mein Zustand hat es bewiesen.

13.12.2004, 22:57	#42
Passat2002	Total verseucht hi die besonderen einträge fixen, temp und tif leeren ( http://members.linzag.net/680262/Antivir/03.html ), bis zum schluss durcharbeiten, dann die system wiederherstellung deaktivieren, neustart und ( in deckung gehen ) scannen und nachsehen, ob die 2 mit superkleber verankerten einträge von der platte geflogen sind. __________________ lg HijackThis, Security-Tool