specific911 sucks- bin am ende :-( !!!! hilfe!!!

el-mike · 22.12.2004, 20:20

Sry, war aus versehen, hier ist der wieder:

Logfile of HijackThis v1.99.0
Scan saved at 20:08:24, on 22.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\P2P Networking\P2P Networking.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\kaim rq\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchAssistant = http://specific911.net/aff/108/
R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = http://specific911.net/aff/108/
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://specific911.net/aff/108/
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://specific911.com/_start/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://specific911.net/aff/108/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://specific911.net/aff/108/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://specific911.net/aff/108/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://specific911.net/aff/108/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://specific911.net/aff/108/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://specific911.com/_start/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://specific911.net/aff/108/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://specific911.net/aff/108/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://specific911.com/_start/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://specific911.com/_start/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://specific911.net/aff/108/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://specific911.com/_start/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/cust.../www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.de/
O1 - Hosts: 64.246.26.137 searchmyrequest.com
O1 - Hosts: 64.246.26.137 sina.com.cn
O1 - Hosts: 64.246.26.137 163.com
O1 - Hosts: 64.246.26.137 sohu.com
O1 - Hosts: 64.246.26.137 line-plus.com
O1 - Hosts: 64.246.26.137 list2004.com
O1 - Hosts: 64.246.26.137 worldmpeg.com
O1 - Hosts: 64.246.26.137 install.xxxtoolbar.com
O1 - Hosts: 64.246.26.137 ewebsearch.net
O1 - Hosts: 64.246.26.137 casino.com
O1 - Hosts: 64.246.26.137 hotbot.com
O1 - Hosts: 64.246.26.137 lycos.com
O1 - Hosts: 64.246.26.137 excite.com
O1 - Hosts: 64.246.26.137 dmoz.org
O1 - Hosts: 64.246.26.137 wisenut.com
O1 - Hosts: 64.246.26.137 alltheweb.com
O1 - Hosts: 64.246.26.137 teoma.com
O1 - Hosts: 64.246.26.137 search.com
O1 - Hosts: 64.246.26.137 msn.com
O1 - Hosts: 64.246.26.137 search.msn.com
O1 - Hosts: 64.246.26.137 altavista.com
O1 - Hosts: 64.246.26.137 google.com
O1 - Hosts: 64.246.26.137 yahoo.com
O1 - Hosts: 64.246.26.137 www.search-all-fast.com
O1 - Hosts: 64.246.26.137 thehun.com
O1 - Hosts: 64.246.26.137 geosites.com
O1 - Hosts: 64.246.26.137 i-lookup.com
O1 - Hosts: 64.246.26.137 sexocean.com
O1 - Hosts: 64.246.26.137 full-search.net
O1 - Hosts: 64.246.26.137 search-all-fast.com
O1 - Hosts: 64.246.26.137 www.full-search.net
O1 - Hosts: 64.246.26.137 auto.search.msn.com
O1 - Hosts: 64.246.26.137 in.webcounter.cc
O1 - Hosts: 64.246.26.137 sitefinder.verisign.com
O1 - Hosts: 64.246.26.137 www.umaxsearch.com
O1 - Hosts: 64.246.26.137 umaxsearch.com
O1 - Hosts: 64.246.26.137 www.google.com
O1 - Hosts: 64.246.26.137 www.coolwebsearch.com
O1 - Hosts: 64.246.26.137 coolwebsearch.com
O1 - Hosts: 64.246.26.137 www.searchmeup.com
O1 - Hosts: 64.246.26.137 searchmeup.com
O1 - Hosts: 64.246.26.137 www.pizdato.biz
O1 - Hosts: 64.246.26.137 search-motor.com
O1 - Hosts: 64.246.26.137 pizdato.biz
O1 - Hosts: 64.246.26.137 www.search-motor.com
O1 - Hosts: 64.246.26.137 38.117.144.162
O1 - Hosts: 64.246.26.137 209.66.114.129
O1 - Hosts: 64.246.26.137 www.yahoo.com
O1 - Hosts: 64.246.26.137 search.yahoo.com
O1 - Hosts: 64.246.26.137 xml.umaxfeed.com
O1 - Hosts: 64.246.26.137 searchmiracle.com
O1 - Hosts: 64.246.26.137 x.full-tgp.net
O1 - Hosts: 64.246.26.137 www.searchmiracle.com
O1 - Hosts: 64.246.26.137 www.search-and-more.com
O1 - Hosts: 64.246.26.137 x.full-tgp.net
O1 - Hosts: 64.246.26.137 home.peoplepc.com
O1 - Hosts: 64.246.26.137 peoplepc.com
O1 - Hosts: 64.246.26.137 all-find.net
O1 - Hosts: 64.246.26.137 www.start-page.info
O1 - Hosts: 64.246.26.137 start-page.info
O1 - Hosts: 64.246.26.137 www.young-devils.com
O1 - Hosts: 64.246.26.137 young-devils.com
O1 - Hosts: 64.246.26.137 toolbarpartner.net
O1 - Hosts: 64.246.26.137 www.toolbarpartner.net
O1 - Hosts: 64.246.26.137 www.teocash.com
O1 - Hosts: 64.246.26.137 cgi.gammae.com
O1 - Hosts: 64.246.26.137 teens-dream.com
O1 - Hosts: 64.246.26.137 the.sextracker.com
O1 - Hosts: 64.246.26.137 new-iframe.biz
O1 - Hosts: 64.246.26.137 troyporn.com
O1 - Hosts: 64.246.26.137 213.159.117.133
O1 - Hosts: 64.246.26.137 213.159.117.150
O1 - Hosts: 64.246.26.137 63.219.178.91
O1 - Hosts: 64.246.26.137 66.180.174.16
O1 - Hosts: 64.246.26.137 find-on-the-net.com
O1 - Hosts: 64.246.26.137 first-time.biz
O1 - Hosts: 64.246.26.137 toolbarcash.com
O1 - Hosts: 64.246.26.137 www.slotch.com
O1 - Hosts: 64.246.26.137 www.vesbiz.biz
O2 - BHO: (no name) - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\system32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [host] C:\WINDOWS\..vbs
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'xfire_lsp_10650.dll' missing
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O13 - WWW Prefix: http://specific911.net/se.cgi?query=
O16 - DPF: {11111111-1111-1111-1111-111111111111} - http://www.akty.pl/www/oral.exe
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://specific911.com/acc1/PopularS...tup1.0.0.8.cab
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {5CBA93A3-E0ED-11D5-A70E-00C12601EADE} - http://www.laski.pl/sex-explorer.exe
O16 - DPF: {F0BC061F-DAF9-4533-8011-53BCB4C10307} - http://install.p2p-projekt.de/Instal...sAssistent.ocx
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

Cidre · 22.12.2004, 20:34

Das eScan AntiVirus Toolkit Utility (mwav.exe) herunterladen, die Datei in den Ordner "c:\bases" (wichtig !) entpacken und danach die "kavupd.exe" (Update) ausführen.
http://www.mwti.net/antivirus/free_utilities.asp

Wechsle in den abgesicherten Modus http://www.bsi.bund.de/av/texte/wiederher_xp.htm und fixe diese Einträge (Haken setzen und auf Fix Checked klicken):

Alle R0, R1, O1 und O16 Einträge
O2 - BHO: (no name) - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\system32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [host] C:\WINDOWS\..vbs

Lösche diese Dateien:
Ordner C:\WINDOWS\system32\P2P Networking
C:\WINDOWS\..vbs

- mit eScan scannen (den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan" klicken.) und die Malware manuell entfernen http://www.trojaner-board.de/42731-escan-anleitung.html
- neue Startseite vergeben
- Neustart
- dein System updaten http://v5.windowsupdate.microsoft.co...r/default.aspx
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org
- neues Log-File von HijackThis und die Virus Log Information von eScan posten

el-mike · 22.12.2004, 21:13

yo danke für die schnele antwort, mach ich direkt!!!! :-)

Cidre · 22.12.2004, 21:33

Warum löscht du dein Log-File?
Das erleichert die Sache für den Auswertenden nicht unbedingt!

Den Ordner bases musst du auf Laufwerk C: selbst erstellen und um eScan updaten zu können, muss dieser Pfad stimmen, sonst klappt es nicht.

el-mike · 22.12.2004, 23:21

Ich hab alles gemacht und diese specific scheiss ist noch nicht weg, einzige was
klappt ist das, dass die specific seite nicht vor alleine als start seite angeht. naja... ich versuchs weiter. mein log jetzt ( weiss nicht ob es jetzt was hilft ):

Logfile of HijackThis v1.99.0
Scan saved at 23:29:57, on 22.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
D:\Spiele\steam full\Steam.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\karim rocq\Desktop\PC sauber machen\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchAssistant = http://specific911.net/aff/108/
R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = http://specific911.net/aff/108/
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://specific911.net/aff/108/
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://specific911.com/_start/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://specific911.net/aff/108/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://specific911.net/aff/108/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://specific911.net/aff/108/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://specific911.net/aff/108/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://specific911.net/aff/108/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://specific911.com/_start/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://specific911.net/aff/108/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://specific911.net/aff/108/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://specific911.com/_start/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://specific911.com/_start/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://specific911.net/aff/108/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://specific911.com/_start/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/cust.../www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.de/
O1 - Hosts: 64.246.26.137 searchmyrequest.com
O1 - Hosts: 64.246.26.137 sina.com.cn
O1 - Hosts: 64.246.26.137 163.com
O1 - Hosts: 64.246.26.137 sohu.com
O1 - Hosts: 64.246.26.137 line-plus.com
O1 - Hosts: 64.246.26.137 list2004.com
O1 - Hosts: 64.246.26.137 worldmpeg.com
O1 - Hosts: 64.246.26.137 install.xxxtoolbar.com
O1 - Hosts: 64.246.26.137 ewebsearch.net
O1 - Hosts: 64.246.26.137 casino.com
O1 - Hosts: 64.246.26.137 hotbot.com
O1 - Hosts: 64.246.26.137 lycos.com
O1 - Hosts: 64.246.26.137 excite.com
O1 - Hosts: 64.246.26.137 dmoz.org
O1 - Hosts: 64.246.26.137 wisenut.com
O1 - Hosts: 64.246.26.137 alltheweb.com
O1 - Hosts: 64.246.26.137 teoma.com
O1 - Hosts: 64.246.26.137 search.com
O1 - Hosts: 64.246.26.137 msn.com
O1 - Hosts: 64.246.26.137 search.msn.com
O1 - Hosts: 64.246.26.137 altavista.com
O1 - Hosts: 64.246.26.137 google.com
O1 - Hosts: 64.246.26.137 yahoo.com
O1 - Hosts: 64.246.26.137 www.search-all-fast.com
O1 - Hosts: 64.246.26.137 thehun.com
O1 - Hosts: 64.246.26.137 geosites.com
O1 - Hosts: 64.246.26.137 i-lookup.com
O1 - Hosts: 64.246.26.137 sexocean.com
O1 - Hosts: 64.246.26.137 full-search.net
O1 - Hosts: 64.246.26.137 search-all-fast.com
O1 - Hosts: 64.246.26.137 www.full-search.net
O1 - Hosts: 64.246.26.137 auto.search.msn.com
O1 - Hosts: 64.246.26.137 in.webcounter.cc
O1 - Hosts: 64.246.26.137 sitefinder.verisign.com
O1 - Hosts: 64.246.26.137 www.umaxsearch.com
O1 - Hosts: 64.246.26.137 umaxsearch.com
O1 - Hosts: 64.246.26.137 www.google.com
O1 - Hosts: 64.246.26.137 www.coolwebsearch.com
O1 - Hosts: 64.246.26.137 coolwebsearch.com
O1 - Hosts: 64.246.26.137 www.searchmeup.com
O1 - Hosts: 64.246.26.137 searchmeup.com
O1 - Hosts: 64.246.26.137 www.pizdato.biz
O1 - Hosts: 64.246.26.137 search-motor.com
O1 - Hosts: 64.246.26.137 pizdato.biz
O1 - Hosts: 64.246.26.137 www.search-motor.com
O1 - Hosts: 64.246.26.137 38.117.144.162
O1 - Hosts: 64.246.26.137 209.66.114.129
O1 - Hosts: 64.246.26.137 www.yahoo.com
O1 - Hosts: 64.246.26.137 search.yahoo.com
O1 - Hosts: 64.246.26.137 xml.umaxfeed.com
O1 - Hosts: 64.246.26.137 searchmiracle.com
O1 - Hosts: 64.246.26.137 x.full-tgp.net
O1 - Hosts: 64.246.26.137 www.searchmiracle.com
O1 - Hosts: 64.246.26.137 www.search-and-more.com
O1 - Hosts: 64.246.26.137 x.full-tgp.net
O1 - Hosts: 64.246.26.137 home.peoplepc.com
O1 - Hosts: 64.246.26.137 peoplepc.com
O1 - Hosts: 64.246.26.137 all-find.net
O1 - Hosts: 64.246.26.137 www.start-page.info
O1 - Hosts: 64.246.26.137 start-page.info
O1 - Hosts: 64.246.26.137 www.young-devils.com
O1 - Hosts: 64.246.26.137 young-devils.com
O1 - Hosts: 64.246.26.137 toolbarpartner.net
O1 - Hosts: 64.246.26.137 www.toolbarpartner.net
O1 - Hosts: 64.246.26.137 www.teocash.com
O1 - Hosts: 64.246.26.137 cgi.gammae.com
O1 - Hosts: 64.246.26.137 teens-dream.com
O1 - Hosts: 64.246.26.137 the.sextracker.com
O1 - Hosts: 64.246.26.137 new-iframe.biz
O1 - Hosts: 64.246.26.137 troyporn.com
O1 - Hosts: 64.246.26.137 213.159.117.133
O1 - Hosts: 64.246.26.137 213.159.117.150
O1 - Hosts: 64.246.26.137 63.219.178.91
O1 - Hosts: 64.246.26.137 66.180.174.16
O1 - Hosts: 64.246.26.137 find-on-the-net.com
O1 - Hosts: 64.246.26.137 first-time.biz
O1 - Hosts: 64.246.26.137 toolbarcash.com
O1 - Hosts: 64.246.26.137 www.slotch.com
O1 - Hosts: 64.246.26.137 www.vesbiz.biz
O2 - BHO: (no name) - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'xfire_lsp_10650.dll' missing
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O13 - WWW Prefix: http://specific911.net/se.cgi?query=
O16 - DPF: {11111111-1111-1111-1111-111111111111} - http://www.akty.pl/www/oral.exe
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://specific911.com/acc1/PopularS...tup1.0.0.8.cab
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {5CBA93A3-E0ED-11D5-A70E-00C12601EADE} - http://www.laski.pl/sex-explorer.exe
O16 - DPF: {F0BC061F-DAF9-4533-8011-53BCB4C10307} - http://install.p2p-projekt.de/Instal...sAssistent.ocx
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

Cidre · 22.12.2004, 23:29

Zitat:

Ich hab alles gemacht

Nix hast du gemacht. Ich sehe weder ein neues HJT Log-File noch die Virus Log Information von eScan. Wie soll man dir helfen, wenn du dich nicht an die Empfehlungen hältst?

el-mike · 22.12.2004, 23:29

Zitat:

Zitat von Cidre

Das eScan AntiVirus Toolkit Utility (mwav.exe) herunterladen, die Datei in den Ordner "c:\bases" (wichtig !) entpacken und danach die "kavupd.exe" (Update) ausführen.
http://www.mwti.net/antivirus/free_utilities.asp

Wechsle in den abgesicherten Modus http://www.bsi.bund.de/av/texte/wiederher_xp.htm und fixe diese Einträge (Haken setzen und auf Fix Checked klicken):

Alle R0, R1, O1 und O16 Einträge
O2 - BHO: (no name) - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\system32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [host] C:\WINDOWS\..vbs

Lösche diese Dateien:
Ordner C:\WINDOWS\system32\P2P Networking
C:\WINDOWS\..vbs

- mit eScan scannen (den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan" klicken.) und die Malware manuell entfernen http://www.trojaner-board.de/42731-escan-anleitung.html
- neue Startseite vergeben
- Neustart
- dein System updaten http://v5.windowsupdate.microsoft.co...r/default.aspx
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org
- neues Log-File von HijackThis und die Virus Log Information von eScan posten

Ich weiss nicht was ich mit diesen R0, R1 , 01 und R16 einträgen machen soll und wo das ganze!!! Sorry, bin eben ein newbie!!

Cidre · 22.12.2004, 23:35

Ich dachte es funktioniert nicht, jetzt sagst du mir, du weisst nicht wie man es macht! Was denn nun?
Erkläre mir speziell was du nicht verstehst und ich werde dir darauf antworten.

btw:
Mit newbie hat dies nichts zu tun, denn das ist immer die schlechteste Ausrede die man posten kann.
http://www.lugbz.org/documents/smart...tml#grovelling

el-mike · 22.12.2004, 23:36

Zitat:

Zitat von Cidre

Nix hast du gemacht. Ich sehe weder ein neues HJT Log-File noch die Virus Log Information von eScan. Wie soll man dir helfen, wenn du dich nicht an die Empfehlungen hältst?

Ich schwöre, ich habs gemacht. Diese escan hab ich in abgesicherten modus gemacht vieleicht deswegen.

el-mike · 22.12.2004, 23:37

Zitat:

Zitat von Cidre

Ich dachte es funktioniert nicht, jetzt sagst du mir, du weisst nicht wie man es macht! Was denn nun?
Erkläre mir speziell was du nicht verstehst und ich werde dir darauf antworten.

also ich hab jetzt nochmal dein eintrag richtig gelesen und jetzt sag mal ob ich richtig gemacht hab ( ich weiss, es ist nur ein teil):

Logfile of HijackThis v1.99.0
Scan saved at 23:58:59, on 22.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
D:\Spiele\steam full\Steam.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\ClearProg\ClearProg.exe
C:\Dokumente und Einstellungen\karim rocq\Desktop\PC sauber machen\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'xfire_lsp_10650.dll' missing
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

el-mike · 22.12.2004, 23:48

Zitat:

Zitat von Cidre

Ich dachte es funktioniert nicht, jetzt sagst du mir, du weisst nicht wie man es macht! Was denn nun?
Erkläre mir speziell was du nicht verstehst und ich werde dir darauf antworten.

btw:
Mit newbie hat dies nichts zu tun, denn das ist immer die schlechteste Ausrede die man posten kann.
http://www.lugbz.org/documents/smart...tml#grovelling

Hab verstanden!!

Cidre · 22.12.2004, 23:51

Sieht schon mal besser aus.
Wo ist das eScan..?

el-mike · 23.12.2004, 02:45

Also: log von eScan ist unglaublich lang und hier kann ich ihn nicht rein posten weil der länger als 10000 zeichen ist. Mit Email vieleicht oder was mainst du?

chaosman · 23.12.2004, 11:41

@el-mike
EscanErgebnis
Teile uns das Ergebnis des eScan mit: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen."

chaosman

el-mike · 24.12.2004, 01:11

also das steht am ende von mein eScan log:

Thu Dec 23 01:57:06 2004 => ***** Scanning complete. *****

Thu Dec 23 01:57:06 2004 => Total Files Scanned: 2770
Thu Dec 23 01:57:06 2004 => Total Virus(es) Found: 0
Thu Dec 23 01:57:06 2004 => Total Disinfected Files: 0
Thu Dec 23 01:57:06 2004 => Total Files Renamed: 0
Thu Dec 23 01:57:06 2004 => Total Deleted Files: 0
Thu Dec 23 01:57:06 2004 => Total Errors: 1
Thu Dec 23 01:57:06 2004 => Time Elapsed: 00:02:51
Thu Dec 23 01:57:06 2004 => Virus Database Date: 2004/12/22
Thu Dec 23 01:57:06 2004 => Virus Database Count: 113324

Thu Dec 23 01:57:06 2004 => Scan Completed.

Thu Dec 23 01:57:59 2004 => Virus Database Date: 2004/12/22
Thu Dec 23 01:57:59 2004 => Virus Database Count: 113324
Thu Dec 23 01:58:02 2004 => AV Library Unloaded (3)...

22.12.2004, 21:33	#4
Cidre Administrator, a.D.	specific911 sucks- bin am ende :-( !!!! hilfe!!! Warum löscht du dein Log-File? Das erleichert die Sache für den Auswertenden nicht unbedingt! Den Ordner bases musst du auf Laufwerk C: selbst erstellen und um eScan updaten zu können, muss dieser Pfad stimmen, sonst klappt es nicht. __________________ Gruß, Cidre [B]Neuaufsetzen des Systems/Absicherung - Wie poste ich falsch?

22.12.2004, 23:51	#12
Cidre Administrator, a.D.	specific911 sucks- bin am ende :-( !!!! hilfe!!! Sieht schon mal besser aus. Wo ist das eScan..? __________________ Gruß, Cidre [B]Neuaufsetzen des Systems/Absicherung - Wie poste ich falsch?

specific911 sucks- bin am ende :-( !!!! hilfe!!!

Log-Analyse und Auswertung: specific911 sucks- bin am ende :-( !!!! hilfe!!!