|
Plagegeister aller Art und deren Bekämpfung: Bargain Buddy, c.azjmp.com und andere NettigkeitenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
28.12.2004, 19:44 | #1 |
| Bargain Buddy, c.azjmp.com und andere Nettigkeiten Hallo! Nach langen virenfreien Jahren hat es mich auch erwischt. Habe mir vor zwei tagen den msn messenger runtergeaden und eine Hotmailaddy eingercihtet und seit damals geht es hier rund. Habe mir anscheinend bargain buddy eingefangen und alle Popup Seiten beginnen mit c.azjmp.com/... oder c.qckjmp.com/az/... bevor sie sich in american singles oder funweb blablabla umwandeln. Diverse Virenprogramme und Spyware-Proggies finden jeweils verschiedene verseuchte dateien, die aber tw. nicht entfernt werden können. zB: "C\WINDOW\system32\guard.tmp" Ausserdem kriege ich jetzt dauernd beim Neustart kryptische RUNDLL Errormeldungen wie zB: Beim Ausführen von ""C:\windows\system32\mhiole16.dll",UMonitor" ist eine Ausnahme aufgetreten. Antivir kann nicht upgedated werden, wie immer, wenn was nciht in Ordnung ist. E-Scan stellt wohl fest (jede Menge Trojs), repariert aber anscheinend nicht? Mit HijackThis habe ich einiges löschen können, nichts destotrotz poppen ständig diese Fenster auf und der Compi ist megalangsam. Kann mir hier jemand vielleicht helfen?
__________________ Liebe Grüsse, Ulrike |
28.12.2004, 19:50 | #2 |
| Bargain Buddy, c.azjmp.com und andere Nettigkeiten @lalune
__________________poste doch mal ein HJT logfile und das EscanErgebnis Teile uns das Ergebnis des eScan mit: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen chaosman
__________________ |
28.12.2004, 20:08 | #3 |
| Bargain Buddy, c.azjmp.com und andere Nettigkeiten Hi Chaosman,
__________________Logfile of HijackThis v1.99.0 Scan saved at 20:05:43, on 28.12.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\windows\System32\smss.exe C:\windows\system32\winlogon.exe C:\windows\system32\services.exe C:\windows\system32\lsass.exe C:\windows\system32\svchost.exe C:\windows\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\windows\system32\spoolsv.exe C:\windows\Explorer.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\PROGRA~1\eScan\TRAYSSER.EXE C:\PROGRA~1\NORTON~1\NORTON~4\GHOSTS~2.EXE C:\PROGRA~1\eScan\avpm.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\PROGRA~1\NORTON~1\NORTON~3\NPROTECT.EXE C:\windows\System32\devldr32.exe C:\Programme\ScanSoft\OmniPagePro12.0\Opware12.exe C:\WINDOWS\TWAIN_32\D66U\D066UUTY.EXE C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe C:\PROGRA~1\NORTON~1\NORTON~3\SPEEDD~1\NOPDB.EXE C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe C:\windows\System32\svchost.exe C:\PROGRA~1\eScan\TRAYICOS.EXE C:\PROGRA~1\eScan\MAILDISP.EXE C:\PROGRA~1\eScan\AVPMWrap.EXE C:\windows\System32\ctfmon.exe C:\Program Files\interMute\SpySubtract\SpySub.exe C:\PROGRA~1\Webshots\webshots.scr C:\PROGRA~1\eScan\AvpM.exe C:\PROGRA~1\eScan\MAILSCAN.EXE C:\PROGRA~1\eScan\SPOOLER.EXE C:\PROGRA~1\eScan\kavss.exe C:\Programme\Outlook Express\msimn.exe C:\windows\system32\rundll32.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\windows\system32\NOTEPAD.EXE C:\Dokumente und Einstellungen\Ui\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.pawpeds.com/cgi-bin/MCO R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = O1 - Hosts: 69.20.16.183 auto.search.msn.com O1 - Hosts: 69.20.16.183 search.netscape.com O1 - Hosts: 69.20.16.183 ieautosearch O1 - Hosts: 69.20.16.183 ieautosearch O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll O3 - Toolbar: (no name) - {6b95678d-30a4-4ff8-a72f-4208340c1f7f} - (no file) O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Opware12] "C:\Programme\ScanSoft\OmniPagePro12.0\Opware12.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [D066UUtility] C:\WINDOWS\TWAIN_32\D66U\D066UUTY.EXE O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe O4 - HKLM\..\Run: [AcctMgr] C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe /startup O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE" O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\eScan\AVPMWrap.EXE O4 - HKCU\..\Run: [CTFMON.EXE] C:\windows\System32\ctfmon.exe O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Startup: Free WebSite Tools.lnk = ? O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Startup: Printkey2000.lnk = C:\Programme\PrintKey2000\Printkey2000.exe O4 - Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe O4 - Startup: Webshots.lnk = C:\Programme\Webshots\Launcher.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Free WebSite Tools.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Printkey2000.lnk = C:\Programme\PrintKey2000\Printkey2000.exe O4 - Global Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe O4 - Global Startup: Webshots.lnk = C:\Programme\Webshots\Launcher.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - E:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - E:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing O16 - DPF: {08BEF711-06DA-48B2-9534-802ECAA2E4F9} (PlxInstall Class) - http://down.plaxo.com/down/release/PlaxoInstall.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {5D9E4B6D-CD17-4D85-99D4-6A52B394EC3B} (WSDownloader Control) - http://www.webshots.com/samplers/WSDownloader.ocx O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1094466435637 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab O16 - DPF: {D18F962A-3722-4B59-B08D-28BB9EB2281E} (PhotosCtrl Class) - http://de.f1.pg.photos.yahoo.com/ocx...lorer1_9us.cab O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: eScan Server-Updater - MWTI2 - C:\PROGRA~1\eScan\TRAYSSER.EXE O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~4\GHOSTS~2.EXE O23 - Service: ISEXEng - Unknown - C:\windows\System32\angelex.exe (file missing) O23 - Service: eScan Monitor Service - Kaspersky Labs. - C:\PROGRA~1\eScan\avpm.exe O23 - Service: Norton Unerase Protection - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~3\NPROTECT.EXE O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~3\SPEEDD~1\NOPDB.EXE O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe Die O1 dateien hatte ich schon mehrfach gelöscht, kommen aber immer wieder. Wie geht das genau mit dem e-scan? Ich kenne das programm überhaupt nicht und habe es halt einfach drüberlaufen lassen - und war schwer enttäuscht, als es die gefundenen Sachen nicht gelöscht hat. Wenn ich das programm öffne und auf Logflie gebe, kriegt man halt die ganze Wurst. Und wenn ich über den Explorer auf öffnen mit ... gehe, kriege ich auch keine mwav.log vorgeschlagen. Sorry, aber ich bin halt doch ein ziemlicher DAU.
__________________ |
28.12.2004, 20:12 | #4 | |
Administrator, a.D. | Bargain Buddy, c.azjmp.com und andere Nettigkeiten Hallo, Zitat:
|
28.12.2004, 20:31 | #5 |
| Bargain Buddy, c.azjmp.com und andere Nettigkeiten Habe versucht, die in der Anweisung enthaltenen Links zu öffnen - kriege dauernd die Error-Seite von wegen SErver nichtz gefunden. Kriege auch keinen Google, kein Yahoo, meine eigene HP usw. Aus unerfindlichen Gründen jedoch geht dieses Board. Muß man das verstehen? Ehrlich gesagt weiß ich nicht mal, wie man im angesicherten Modus startet. Bin ein ganz doofer selbstgestrickter HP-Bastler, besuche keine warez-Seiten und downloade noch nicht mal mpegs, weils mich net ineterssiert. Wieso fange ich mir dann sowas blödes trotz Norton & Co.?
__________________ Liebe Grüsse, Ulrike |
28.12.2004, 23:04 | #6 |
| Bargain Buddy, c.azjmp.com und andere Nettigkeiten @ lalune *Brille rüberreicht* .. unterstrichene Worte sind Links ... schau mal genau hin. Und wenn Du es geschafft hast, zu lesen, was hier schon steht .. dann .. dann .. dann beantworten wir weitere Fragen ;-) SD |
29.12.2004, 11:33 | #7 |
| Bargain Buddy, c.azjmp.com und andere Nettigkeiten Hm, wollte Euch eigentlich einen kleine Screenshot von meinem nicht mehr funktionierenden Nortan anhängen, dabei ist diese SEite zweimal abgestürzt, also ohne. Aber von vorne: Aaalso, nach anfänglichen Schwierigkeiten habe ich alles ganz brav nach Anleitung gemacht - danke übrigens für's Brille ausleihen, es hat geholfen. :-) Die Treffer von eScan hängen unten dran, das aktuelle Logfile vom Hijacker kommt in einer gesonderten Nachricht. Die meisten dateien wurden umbenannt, allerdings hat mich heute früh ein nicht funktionierendes netzwerk (wurde automatisch von Spysubtract behoben) begrüßt - und nachdem das wieder lief, die sattsam bekannten Werbefenster von c.azjmb.com... Und der Norton funkt auch nicht mehr, läßt sich auch nicht mehr aktivieren. Was also ist nun zu tun? Wann wird die Systemwiederherstellung reaktiviert. was muß manuell rausgelöscht werden? Danke auf jeden Fall für Eure Hilfsbereitschaft, muß schon nertvig sein mit lauter so gestressten zeitgenossen, die sich nicht auskennen, wie ich eine bin! :-) File C:\windows\system32\guard.tmp infected by "not-a-virus:AdWare.Look2Me.r" Virus. Action Taken: File to be deleted on reboot. File C:\windows\System32\fpl2033oe.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: File Renamed. File C:\windows\System32\irn4l55q1.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: File Renamed. File C:\windows\System32\mac80ex.idf infected by "not-a-virus:AdWare.BargainBuddy.l" Virus. Action Taken: File Renamed. File C:\windows\System32\netut80ex.vxd infected by "not-a-virus:AdWare.BargainBuddy.n" Virus. Action Taken: File Renamed. File C:\windows\System32\q068laju1do8.dll infected by "not-a-virus:AdWare.Look2Me.r" Virus. Action Taken: File Renamed. File C:\windows\System32\wyv8dmod.dll infected by "not-a-virus:AdWare.Look2Me.r" Virus. Action Taken: File Renamed. File C:\windows\System32\cpmaddin.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: File Renamed. File C:\windows\System32\instsrv.exe tagged as not-a-virus:RiskWare.Tool.ServiceRunner.f. No Action Taken. File C:\windows\System32\mexml3a.dll infected by "not-a-virus:AdWare.Look2Me.r" Virus. Action Taken: File Renamed. File C:\windows\System32\mhsec.dll infected by "not-a-virus:AdWare.Look2Me.r" Virus. Action Taken: File Renamed. File C:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL infected by "not-a-virus:AdWare.ToolBar.MyWebSearch" Virus. Action Taken: File Renamed. File C:\Programme\MyWebSearch\bar\1.bin\MWSOEMON.EXE infected by "not-a-virus:AdWare.ToolBar.MyWebSearch" Virus. Action Taken: File Renamed. File C:\Programme\MyWebSearch\bar\1.bin\MWSOEPLG.DLL infected by "not-a-virus:AdWare.ToolBar.MyWebSearch" Virus. Action Taken: File Renamed. File C:\Programme\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL infected by "not-a-virus:AdWare.ToolBar.MyWebSearch" Virus. Action Taken: File Renamed. File C:\Programme\Norton SystemWorks\Norton Antivirus\Quarantine\1BAD7154 infected by "not-a-virus:AdWare.Coreak" Virus. Action Taken: File Renamed. File C:\RECYCLER\NPROTECT\00019113.DLL infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: File Renamed. File C:\RECYCLER\NPROTECT\00019114.DLL infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: File Renamed. File C:\RECYCLER\NPROTECT\00019609.DLL infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: File Renamed. File C:\RECYCLER\NPROTECT\00019610.DLL infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: File Renamed. File C:\RECYCLER\NPROTECT\00073144.DLL infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: File Renamed. File C:\RECYCLER\NPROTECT\00073151.DLL infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: File Renamed. File C:\RECYCLER\NPROTECT\00073214.DLL infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: File Renamed. File C:\RECYCLER\NPROTECT\00073241.DLL infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: File Renamed. File C:\RECYCLER\NPROTECT\00073242.DLL infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: File Renamed. File C:\RECYCLER\NPROTECT\00073250.DLL infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: File Renamed. File C:\WINDOWS\Downloaded Program Files\CONFLICT.1\HDPlugin1015.dll infected by "not-a-virus:AdWare.Gator.1015" Virus. Action Taken: File Renamed. File C:\WINDOWS\Downloaded Program Files\CONFLICT.1\HDPlugin1018.dll infected by "not-a-virus:AdWare.Gator.1018" Virus. Action Taken: File Renamed. File C:\WINDOWS\Downloaded Program Files\CONFLICT.1\HDPlugin1019.dll infected by "not-a-virus:AdWare.Gator.1019" Virus. Action Taken: File Renamed. File C:\WINDOWS\Downloaded Program Files\CONFLICT.2\HDPlugin1018.dll infected by "not-a-virus:AdWare.Gator.1018" Virus. Action Taken: File Renamed. File C:\WINDOWS\Downloaded Program Files\CONFLICT.2\HDPlugin1019.dll infected by "not-a-virus:AdWare.Gator.1019" Virus. Action Taken: File Renamed. File C:\WINDOWS\Downloaded Program Files\CONFLICT.3\HDPlugin1019.dll infected by "not-a-virus:AdWare.Gator.1019" Virus. Action Taken: File Renamed. File C:\WINDOWS\Downloaded Program Files\HDPlugin1019.dll infected by "not-a-virus:AdWare.Gator.1019" Virus. Action Taken: File Renamed. File C:\WINDOWS\system32\instsrv.exe tagged as not-a-virus:RiskWare.Tool.ServiceRunner.f. No Action Taken. File C:\WINDOWS\Temp\akcore.dll infected by "not-a-virus:AdWare.Coreak" Virus. Action Taken: File Renamed. File E:\Eigene Dateien\Downloads\CoffeeHTML96.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File E:\Eigene Dateien\Downloads\CoffeeHTML97.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File E:\RECYCLER\S-1-5-21-1004336348-1078145449-1202660629-1003\De440\bar\1.bin\MWSBAR.DLL infected by "not-a-virus:AdWare.ToolBar.MyWebSearch" Virus. Action Taken: File Renamed. File E:\RECYCLER\S-1-5-21-1004336348-1078145449-1202660629-1003\De440\bar\1.bin\MWSOEMON.EXE infected by "not-a-virus:AdWare.ToolBar.MyWebSearch" Virus. Action Taken: File Renamed. File E:\RECYCLER\S-1-5-21-1004336348-1078145449-1202660629-1003\De440\bar\1.bin\MWSOEPLG.DLL infected by "not-a-virus:AdWare.ToolBar.MyWebSearch" Virus. Action Taken: File Renamed. File E:\RECYCLER\S-1-5-21-1004336348-1078145449-1202660629-1003\De440\SrchAstt\1.bin\MWSSRCAS.DLL infected by "not-a-virus:AdWare.ToolBar.MyWebSearch" Virus. Action Taken: File Renamed.
__________________ Liebe Grüsse, Ulrike |
29.12.2004, 11:34 | #8 |
| Bargain Buddy, c.azjmp.com und andere Nettigkeiten So, nun das Logfile: Logfile of HijackThis v1.99.0 Scan saved at 11:12:28, on 29.12.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\windows\System32\smss.exe C:\windows\system32\winlogon.exe C:\windows\system32\services.exe C:\windows\system32\lsass.exe C:\windows\system32\svchost.exe C:\windows\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\windows\system32\spoolsv.exe C:\windows\system32\rundll32.exe C:\windows\Explorer.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\cisvc.exe C:\PROGRA~1\NORTON~1\NORTON~4\GHOSTS~2.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe C:\PROGRA~1\NORTON~1\NORTON~3\NPROTECT.EXE C:\windows\System32\devldr32.exe C:\Programme\ScanSoft\OmniPagePro12.0\Opware12.exe C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe C:\WINDOWS\TWAIN_32\D66U\D066UUTY.EXE C:\PROGRA~1\NORTON~1\NORTON~3\SPEEDD~1\NOPDB.EXE C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe C:\windows\System32\svchost.exe C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe C:\windows\System32\ctfmon.exe C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\Programme\PrintKey2000\Printkey2000.exe C:\Program Files\interMute\SpySubtract\SpySub.exe C:\PROGRA~1\Webshots\webshots.scr C:\Programme\Outlook Express\msimn.exe C:\WINDOWS\System32\cidaemon.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Ui\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.pawpeds.com/cgi-bin/MCO R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = O1 - Hosts: 69.20.16.183 auto.search.msn.com O1 - Hosts: 69.20.16.183 search.netscape.com O1 - Hosts: 69.20.16.183 ieautosearch O1 - Hosts: 69.20.16.183 ieautosearch O1 - Hosts: 69.20.16.183 ieautosearch O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll O3 - Toolbar: IEMenuExtension toolbar - {6b95678d-30a4-4ff8-a72f-4208340c1f7f} - C:\Programme\IEMenuExtension\tbextn.dll O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Opware12] "C:\Programme\ScanSoft\OmniPagePro12.0\Opware12.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [D066UUtility] C:\WINDOWS\TWAIN_32\D66U\D066UUTY.EXE O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe O4 - HKLM\..\Run: [AcctMgr] C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe /startup O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKLM\..\Run: [BullsEye Network] C:\Programme\BullsEye Network\bin\bargains.exe O4 - HKLM\..\Run: [IE Menu Extension toolbar] rundll32.exe "C:\PROGRA~1\IEMENU~1\tbextn.dll" DllShowTB O4 - HKCU\..\Run: [CTFMON.EXE] C:\windows\System32\ctfmon.exe O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Startup: Free WebSite Tools.lnk = ? O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Startup: Printkey2000.lnk = C:\Programme\PrintKey2000\Printkey2000.exe O4 - Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe O4 - Startup: Webshots.lnk = C:\Programme\Webshots\Launcher.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Free WebSite Tools.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Printkey2000.lnk = C:\Programme\PrintKey2000\Printkey2000.exe O4 - Global Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe O4 - Global Startup: Webshots.lnk = C:\Programme\Webshots\Launcher.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - E:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - E:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O16 - DPF: {08BEF711-06DA-48B2-9534-802ECAA2E4F9} (PlxInstall Class) - http://down.plaxo.com/down/release/PlaxoInstall.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {5D9E4B6D-CD17-4D85-99D4-6A52B394EC3B} (WSDownloader Control) - http://www.webshots.com/samplers/WSDownloader.ocx O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1094466435637 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab O16 - DPF: {D18F962A-3722-4B59-B08D-28BB9EB2281E} (PhotosCtrl Class) - http://de.f1.pg.photos.yahoo.com/ocx...lorer1_9us.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{1793AA4F-384C-44D1-8C02-585822B49405}: NameServer = 195.3.96.67 195.3.96.68 O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~4\GHOSTS~2.EXE O23 - Service: ISEXEng - Unknown - C:\windows\System32\angelex.exe (file missing) O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe O23 - Service: Norton Unerase Protection - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~3\NPROTECT.EXE O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~3\SPEEDD~1\NOPDB.EXE O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
__________________ Liebe Grüsse, Ulrike |
29.12.2004, 11:57 | #9 |
| Bargain Buddy, c.azjmp.com und andere Nettigkeiten Systemwiederherstellung deaktivieren, in den abgesicherten Modus booten: http://www.bsi.bund.de/av/texte/wiederher_xp.htm Mit HijackThis fixen (Scan/genannte Einträge markieren/"Fix checked" klicken): O1 - Hosts: 69.20.16.183 auto.search.msn.com O1 - Hosts: 69.20.16.183 search.netscape.com O1 - Hosts: 69.20.16.183 ieautosearch O1 - Hosts: 69.20.16.183 ieautosearch O1 - Hosts: 69.20.16.183 ieautosearch O4 - HKLM\..\Run: [BullsEye Network] C:\Programme\BullsEye Network\bin\bargains.exe O4 - HKLM\..\Run: [IE Menu Extension toolbar] rundll32.exe "C:\PROGRA~1\IEMENU~1\tbextn.dll" DllShowTB O23 - Service: ISEXEng - Unknown - C:\windows\System32\angelex.exe (file missing) Lösche die aufgeführten Dateien, starte wieder und aktiviere die Systemwiederherstellung. |
Themen zu Bargain Buddy, c.azjmp.com und andere Nettigkeiten |
.dll, c:\windows, dateien, diverse, dll, gen, helfen, hijack, hijackthis, jahre, löschen, messenger, msn, msn messenger, neustart, nichts, popup, programme, rundll, seite, seiten, system, system32, web, windows |