| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: frageWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
05.02.2005, 21:43
| #46 |
 |  frage So danke dir erstmal! Habe es so gemacht wie du gesagt hast und fehler ist weg aber jede hardware geht noch? Internet geht auch noch wie du siehst hm... |
|
05.02.2005, 21:44
| #47 |
   | frage oh dann hast du glück^^
__________________offenbar hast du gleich eine gute konfiguration bekommen. naja glückwunsch. du kannst dir eigentlich recht sicher sein, dass kein hijacker oder sonstiges da ist. nun sollst du nachsorge treffen: -verwende einen anderen browser wie firefox -verwende den IE nur für die windowsupdates |
|
05.02.2005, 21:47
| #48 |
| | frage So hijack.. zeigt wieder die gleiche config an muss ich wohl nochmal verbessern ;-) wenn du sie nochmal sehen moechtest:
__________________R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.boese-woerter.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRAMME\FLASHGET\JCCATCH.DLL O2 - BHO: (no name) - {771ACC01-6B79-11D9-8A02-0030FB52F277} - (no file) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\SYSTEM\hkcmd.exe O4 - HKLM\..\Run: [Start RF Wireless Mouse] C:\Programme\NEOLEC FreeStyler CLK\cm98.exe O4 - HKLM\..\Run: [Start RF Wireless Keyboard] C:\Programme\NEOLEC FreeStyler CLK\ktrexe.exe O4 - HKLM\..\Run: [LoadQM] loadqm.exe O4 - HKLM\..\Run: [SmartPCXL] "D:\PROGRAMME\PC ACCELERATOR 2004\pcaccel.exe" O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min O4 - HKLM\..\Run: [Memcharge] "D:\PROGRAMME\PC ACCELERATOR 2004\mem.exe" O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service O4 - Startup: Ressourcen-Anzeige.lnk = C:\WINDOWS\RSRCMTR.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRAMME\FLASHGET\jc_link.htm O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRAMME\FLASHGET\jc_all.htm O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRAMME\FLASHGET\FLASHGET.EXE O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRAMME\FLASHGET\FLASHGET.EXE O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7.cab O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://www.popcap.com/games/popcaploader_v6.cab O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab O16 - DPF: {11120607-1001-1111-1000-110199901123} - ms-its:mhtml:file://C:\foo.mht!http://63.217.31.72/d1//xxx.chm::/dropper.exe O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q330995.exe O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://82.179.166.68/Ige9QCTIOn9u94v...::/on-line.exe O18 - Filter: text/html - {771ACC00-6B79-11D9-8A02-0030941E57EC} - (no file) O18 - Filter: text/plain - {771ACC00-6B79-11D9-8A02-0030941E57EC} - (no file) Ist/war x.cab ein wurm oder was soll/sollte die datei bezwecken? |
|
05.02.2005, 21:50
| #49 |
| | frage aha da läuft der hase lang. du hast nun die vor autostart konfiguration. wie das passiert ist, dass er es in rb000.cab speichert, kA allerdings ist das gut. die 1.cab sollte als bho dienen, die immer mal beim IE seiten anzeigt. du solltest nur mal eben die einträge fixen: O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7.cab O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://www.popcap.com/games/popcaploader_v6.cab O16 - DPF: {11120607-1001-1111-1000-110199901123} - ms-its:mhtml:file://C:\foo.mht!http://63.217.31.72/d1//xxx.chm::/dropper.exe O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q330995.exe O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://82.179.166.68/Ige9QCTIOn9u94...m::/on-line .exe O18 - Filter: text/html - {771ACC00-6B79-11D9-8A02-0030941E57EC} - (no file) O18 - Filter: text/plain - {771ACC00-6B79-11D9-8A02-0030941E57EC} - (no file) poste dann mal ein neues HijackThis log, obwohl die einträge irgendwie "deaktiviert" sind |
|
05.02.2005, 22:06
| #50 |
| | frage So nun muesste alles richtig sein: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.boese-woerter.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRAMME\FLASHGET\JCCATCH.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\SYSTEM\hkcmd.exe O4 - HKLM\..\Run: [Start RF Wireless Mouse] C:\Programme\NEOLEC FreeStyler CLK\cm98.exe O4 - HKLM\..\Run: [Start RF Wireless Keyboard] C:\Programme\NEOLEC FreeStyler CLK\ktrexe.exe O4 - HKLM\..\Run: [LoadQM] loadqm.exe O4 - HKLM\..\Run: [SmartPCXL] "D:\PROGRAMME\PC ACCELERATOR 2004\pcaccel.exe" O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min O4 - HKLM\..\Run: [Memcharge] "D:\PROGRAMME\PC ACCELERATOR 2004\mem.exe" O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service O4 - HKCU\..\RunOnce: [ICQ Lite] D:\PROGRAMME\ICQLITE\ICQLITE.EXE -trayboot O4 - Startup: Ressourcen-Anzeige.lnk = C:\WINDOWS\RSRCMTR.EXE O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRAMME\FLASHGET\jc_link.htm O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRAMME\FLASHGET\jc_all.htm O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRAMME\FLASHGET\FLASHGET.EXE O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRAMME\FLASHGET\FLASHGET.EXE O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab Ich frag mich was die andern einträge da gesucht haben wenn sie eh nicht gehen *gg* Was sind das ueberhaupt fuer einträge? |
|
05.02.2005, 22:10
| #51 |
| | frage das log ist nun sauber und der fehler entfernt. mit der frage.. meinst du die jetzigen einträge oder die gerade entfernten?^^ |
|
05.02.2005, 22:12
| #52 |
| | frage na ueberhaupt das alles ;-) Sind das registry einträge? und ScanRegistry kann doch aus dem autostart raus oder sehe ich das falsch? |
|
05.02.2005, 22:18
| #53 |
| | frage ok, jetzt gehen wir langsam ins windows-tuning über^^ das kann nehmen wie man will. der regscanw ist sozusagen dazu da, täglich registrierungsbackups zu erstellen. ohne ihn wäre die rettung nicht gelungen. du kannst es rausmachen, beeinflusst die systemstabilität nicht. allerdings halte ich es für ratsam, wenn du es entfernst, alle 2wochen regscanw bei ausführen einzugeben und damit die registrierungsdateien zu sichern. das ganze was HijackThis da anzeigt, sind die laufenden prozesse (alle progs die grad offen sind), die browserhilfsobjekte (searchbars, trojan-downloader bars, aber auch gute wie die google-search), autostart, buttons im ie (realplayer und so), dpf sind die activex runtergeladenen module (ist auch bei windowsupdate auch so, der muss ja was installieren, dass er die updateseite auf updates ansprechen kann) alles in allem: registrierungseinträge und laufende programme eben  |
|
05.02.2005, 22:25
| #54 |
| | frage okay danke fuer deine hilfe. Deine hilkfe war echt super! Dafuer ein lob von mir ;-) Selten sieht man so nette boards wo man so eine hilfebekommt! Ich lass nochmal escan durchlaufen um auch die letzten viren zu entfernen ;-) Hm ob ich die leistung vom pc irgendwie verbessern kann ohne pc aufzuruesten? Ich glaub mal nicht aber vieleicht weißt du da auch ja was ;-) |
|
05.02.2005, 22:27
| #55 |
| | frage hm ja.... www.windows-tweaks.info sind sehr nette tuningtipps drin. |
|
05.02.2005, 22:36
| #56 |
| | frage danke danke. Ich wuerde sagen hiermit ist das Thema beendet? |
|
05.02.2005, 22:38
| #57 |
| | frage bei google nach windows 98 tuning suchen kommt auch viel nützliches. ja wenn du keine fragen mehr hast, dann ja er is abgeschlossen |
|
05.02.2005, 22:41
| #58 |
| | frage Hast du ICQ oder sowas? Wenn ja und es dir nichts ausmacht kannst du mir ja mal die nummer geben. |
|
05.02.2005, 22:52
| #59 |
| | frage hab dir per PN geschickt^^ |
|
| Themen zu frage |
| 100%, antivirus, auswertung, control, defender, detected, forum, found, frage, gefunde, ics, leute, link, malware, merkwürdig, neu, ready, rechte, taken, troja, upload |
Linear-Darstellung
