|
Plagegeister aller Art und deren Bekämpfung: about:blank?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
07.04.2004, 11:08 | #1 |
| about:blank? also ich hab folgendes problem: auf irgendeiner seite hab ich mir einen trojaner gezogen, der mich jetzt ständig auf die startseite linklist.cc lenkt. hatte mir daraufhin cwshredder geholt und durchlaufen lassen, er hat das ding auch gelöscht und alles war wieder im lot - allerdings, wenn ich jetzt den inetexplorer starte lande ich schon wieder auf der seite und im browser wird nur noch about:blank angezeigt. wenn ich cwshredder wiederlaufen lasse löscht er auch wieder etwas, aber wenn ich dann den explorer wieder starte bin ich genauso weit wie vorher. einfach die startseite zu ändern bringt auch nichts, er übernimmt es einmal, danach ists es wieder about:blank... (die seite ist trotzdem die von linklist.cc, die ich vorher auch hatte) nebenbei gesagt, ich hab davon absolut keine ahnung, wenn in einem andren thread schon so etwas vorkam, hab ichs wohl übersehen [img]graemlins/balla.gif[/img] ich hoffe mal, hier weiß jemand etwas damit anzufangen... |
07.04.2004, 11:14 | #2 |
| about:blank? Hallo und Willkommen an Board.
__________________Dein Fall ist hier gut ausgeschildert: hxxp://w3studi.informatik.uni-stuttgart.de/~schrotrf/mpdshfaq/mpdshfaq.html#SECTION000120000000000000000 |
07.04.2004, 11:31 | #3 |
| about:blank? erst mal danke für die schnelle antwort!
__________________allerdings.. wie ich zuvor erwähnte bin ich blutiger anfänger mit solchen sachen und verstehe jetzt größtenteils nur bahnhof, bzw. ich seh nich richtig was genau ich zu tun hab (sorry! )... soll ich mir jetzt ein patch runterladen, wenn ja welches... und was genau hab ich da jetzt eigentlich, nen wurm, nen trojaner..? (entschuldigung, ich stell mich vermutlich etwas dämlich an.. ) |
07.04.2004, 12:06 | #4 |
about:blank? @ BlackWolf - Welcome on Board [img]smile.gif[/img] </font><blockquote>Zitat:</font><hr />entschuldigung, ich stell mich vermutlich etwas dämlich an.. </font>[/QUOTE]Jeder hat mal angefangen Frage : Hast du überhaupt schon mal Patches gezogen ? Auf JEDENFALL die notwendigen Patches ziehen !! Hijack This auch empfehlenswert Welche Windows Version hast du ? Welches Anti Viren Programm ? Solltest mal über ein Browserwechsel nachdenken ! <a href="http://www.firebird-browser.de/" target="_blank">Firefox </a> Opera [ 07. April 2004, 13:12: Beitrag editiert von: Nangie ]
__________________ MfG Nangie Es ist einzig und allein der Mensch, der aus der Welt ein Armenhaus gemacht hat. Lilo Keller (*1934) nachdenkliche Hausfrau |
07.04.2004, 12:44 | #5 |
| about:blank? danke für die antwort, nangie [img]smile.gif[/img] ich hab hier xp drauf, aber irgendwie hab ich das gefühl, das ich hier keine anti virus programm hab... ich bin mit sowas nur mal durch ntsearch in berührung gekommen, war demnach leichtsinnig... an patches die ich mir gezogen hab kann ich mich nicht erinnern, glaube nicht, dass ich das schon gemacht hab... wo bekomm ich denn die her, die ich brauch? hijack this hab ich eben durchlaufen lassen, ich kopier die laufenden prozesse jetzt einfach mal hier rein in der hoffnung, dass man da vielleicht was findet... (beim logfile will er irgendeinen html-code nicht ) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\cisvc.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Dit.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Classic PhoneTools\CapFax.EXE C:\Programme\Medion\PowerCinema\My_TV\Agent.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\Lexmark X74-X75\lxbbbmgr.exe C:\Programme\Kazaa\kazaa.exe C:\Programme\Lexmark X74-X75\lxbbbmon.exe C:\Programme\DelFin\PromulGate\PgMonitr.exe C:\Programme\DownloadWare\dw.exe C:\Programme\Browser mouse\1.3\mouse32a.exe C:\WINDOWS\wanmpsvc.exe C:\Programme\WebDrive\wdservice.exe C:\WINDOWS\DitExp.exe C:\Programme\MLH\launcher.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe C:\Programme\WebDrive\webdrive.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Orbit\update.exe C:\Programme\n-CASE\msbb.exe C:\Programme\Orbit\view.exe C:\WINDOWS\System32\SWMonitor.exe C:\Programme\ICQPlus\vplus.exe C:\WINDOWS\System32\cidaemon.exe C:\Programme\Internet Explorer\iexplore.exe C:\hijackthis1977\HijackThis.exe [ 07. April 2004, 13:55: Beitrag editiert von: BlackWolf ] |
07.04.2004, 12:58 | #6 |
about:blank? Bei der Auswertung von HijackThis kann ich dir leider nicht helfen - aber keine Bange,die Experten können das prima - Die Patches findest du HIER und dann `Updates suchen`anklicken - solltest du so schnell wie möglich machen !! Wird sicher etwas Zeit in Anspruch nehmen. Hier ist ein Online Scan Ein Antiviren Programm solltest du auch so schnell wie möglich installieren ! Ich z.B. habe NOD32 und a² drauf und bin damit sehr zufrieden - beides gibt es auch als Test Version
__________________ --> about:blank? |
07.04.2004, 13:43 | #7 |
/// Mr. Schatten | about:blank? Da fehlen leider sehr entscheidende Teile, bitte nocheinmal versuchen zur Not (aber bitte nur zur Not da dann sehr klein) über CODE einfügen (unten bei UBB-Codes: in der rechten Buttonspalte, mittig)
__________________ alle Tipps + Hilfen aller Helfer sind ohne Gewähr + Haftung keine Hilfe via PN hier ist ein Forum, jeder kann profitieren/kontrollieren - niemand ist fehlerfrei tendenzielle Beachtung der Rechtschreibregeln erhöht die Wahrscheinlichkeit einer Antwort - |
07.04.2004, 13:48 | #8 |
/// Mr. Schatten | about:blank? C:\Programme\MLH\launcher.exe schaut schon mal nicht gut aus! (Spyware) C:\Programme\DownloadWare\dw.exe Brauchst Du dass? C:\Programme\Orbit\update.exe C:\Programme\Orbit\view.exe Ob das was gutes ist? Glaube jetzt mal eher nicht Fixe mal die Eintrage in HiJackThis (auch den Downloader, wenn Du ihn nicht als gutes Programm kennst und nutzt) Lasse mal AdAware und Spybot S&D laufen, Quelle siehe meine Signatur. Downloaden, installieren, updaten, durchlaufen lassen Vor dem nächsten HighJackThis Log bitte alle(!) nicht benötigten Fenster und Programme schließen. [ 07. April 2004, 15:10: Beitrag editiert von: Shadow ]
__________________ alle Tipps + Hilfen aller Helfer sind ohne Gewähr + Haftung keine Hilfe via PN hier ist ein Forum, jeder kann profitieren/kontrollieren - niemand ist fehlerfrei tendenzielle Beachtung der Rechtschreibregeln erhöht die Wahrscheinlichkeit einer Antwort - |
07.04.2004, 14:52 | #9 |
| about:blank? okay, vielen dank für die links etc... hab die angegebenen dateien gelöscht, ist aber immer noch da... hier noch mal der log... Logfile of HijackThis v1.97.7 Scan saved at 15:53:45, on 07.04.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\Explorer.EXE C:\WINDOWS\Dit.exe C:\WINDOWS\System32\cisvc.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Classic PhoneTools\CapFax.EXE C:\Programme\Medion\PowerCinema\My_TV\Agent.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Lexmark X74-X75\lxbbbmgr.exe C:\Programme\Kazaa\kazaa.exe C:\Programme\DelFin\PromulGate\PgMonitr.exe C:\Programme\Browser mouse\1.3\mouse32a.exe C:\Programme\Lexmark X74-X75\lxbbbmon.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\DitExp.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe C:\Programme\WebDrive\webdrive.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\wanmpsvc.exe C:\Programme\Orbit\update.exe C:\Programme\Orbit\view.exe C:\WINDOWS\System32\SWMonitor.exe C:\Programme\WebDrive\wdservice.exe C:\Programme\ICQPlus\vplus.exe C:\WINDOWS\System32\cidaemon.exe C:\hijackthis1977\HijackThis.exe C:\Programme\Internet Explorer\iexplore.exe </font><blockquote>Code:</font><hr /><pre style="font-size:x-small; font-family: monospace;"> R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\dcohcca.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\dcohcca.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\dcohcca.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\dcohcca.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\dcohcca.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.aldi.com/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\dcohcca.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = hxxp://de.rd.companion.yahoo.com/slv/ycheck/as/*hxxp://search.yahoo.com/search?p=%s R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R3 - URLSearchHook: OESearchHook Class - {341FB59F-3507-443b-8147-423B4E3B2B15} - C:\Programme\Gemeinsame Dateien\OE\search.dll O2 - BHO: (no name) - {00000762-3965-4A1A-98CE-3D4BF457D4C8} - C:\Programme\Lycos\Sidesearch\sidesearch1311.dll O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\ycomp5_0_2_7.dll O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {702AD576-FDDB-4d0f-9811-A43252064684} - C:\Programme\Gemeinsame Dateien\OE\toolbar.dll O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\Programme\MediaLoads Enhanced\ME2.DLL O2 - BHO: (no name) - {A6599ADD-0F39-44BD-A756-1F6021DD9062} - C:\WINDOWS\System32\dcohcca.dll O2 - BHO: (no name) - {D48F2E28-68E2-4920-9848-D6E6C7AB3EB7} - C:\Programme\Gemeinsame Dateien\OE\redirector.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\ycomp5_0_2_7.dll O3 - Toolbar: &Search Toolbar - {702AD576-FDDB-4d0f-9811-A43252064684} - C:\Programme\Gemeinsame Dateien\OE\toolbar.dll O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [CapFax] C:\Programme\Classic PhoneTools\CapFax.EXE O4 - HKLM\..\Run: [Agent] C:\Programme\Medion\PowerCinema\My_TV\Agent.exe O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [Lexmark X74-X75] "C:\Programme\Lexmark X74-X75\lxbbbmgr.exe" O4 - HKLM\..\Run: [KAZAA] C:\Programme\Kazaa\kazaa.exe /SYSTRAY O4 - HKLM\..\Run: [PromulGate] "C:\Programme\DelFin\PromulGate\PgMonitr.exe" O4 - HKLM\..\Run: [FLMBROWSERMOUSE] C:\Programme\Browser mouse\1.3\mouse32a.exe O4 - HKLM\..\Run: [FLMK08KB] C:\Programme\Medion keyboard utility\1.3\KbdAp32A.exe O4 - HKLM\..\Run: [Search-Exe] "C:\Programme\se\v2\se.EXE" /U O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [mmtask] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe O4 - HKLM\..\Run: [WebDriveTray] C:\Programme\WebDrive\webdrive.exe /trayicon O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [msbb] C:\Programme\n-CASE\msbb.exe O4 - HKCU\..\Run: [SWUpdateMonitor] C:\WINDOWS\System32\SWMonitor.exe O4 - HKCU\..\Run: [ICQ Plus] "C:\Programme\ICQPlus\vplus.exe" O4 - HKCU\..\Run: [eZmmod] C:\PROGRA~1\ezula\mmod.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O9 - Extra button: Sidesearch (HKLM) O9 - Extra button: ICQ Pro (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O9 - Extra button: ICQ Lite (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Messenger (HKLM) O9 - Extra button: MedionShop (HKCU) O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll O12 - Plugin for .mpga: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll O14 - IERESET.INF: START_PAGE_URL=hxxp://www.medion.de O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - hxxp://software-dl.real.com/222bd7c2536d411e1c15/netzip/RdxIE601_de.cab O16 - DPF: {6ABC861A-31E7-4D91-B43B-D3C98F22A5C0} - hxxp://secure.goodthinxx.com/(tsffwrzshji3wc45t3jyiznj)/secureweb/securewebgt.cab O16 - DPF: {86EEF11E-FF16-48CE-B1A2-474B663041A9} - hxxp://kit.carpediem.fr/20429/Italie/ParisVoyeur.exe O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - hxxp://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38084.2094097222 O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - hxxp://a532.g.akamai.net/7/532/6712/2.0.0.33/player.virtools.com/downloads/player/Install2.0/Installer.exe O16 - DPF: {D7B3E460-9968-4191-BD6F-BEED1BC18482} (Loader Class) - hxxp://www.orbitexplorer.com/OELoader.cab O16 - DPF: {DBAE7000-01EC-4162-8FEB-8A27AC937CA0} (HDPluginCtrl Class) - hxxp://webpdp.gator.com/4/download/hdplugin_1015_bundle43v2d12.cab O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - hxxp://install.stardialer.de/StarInstall.ocx O16 - DPF: {E2F2B9D0-96B9-4B25-B90C-636ECB207D18} - hxxp://www.whenusearch.com/WUInstSEWC.cab O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (&Yahoo! Companion) - hxxp://us.dl1.yimg.com/download.yahoo.com/dl/toolbar/my/yiebio5_0_2_7.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{BE6DAC41-2198-4C12-A59E-EB7230E4A73E}: NameServer = 192.168.1.1 </pre>[/QUOTE]oh gott dieses orbit zeug ist ja schon wieder da... [ 07. April 2004, 16:20: Beitrag editiert von: BlackWolf ] |
07.04.2004, 14:58 | #10 |
about:blank? Versuch mal den OnlineScan ---> hier klicken ********************************************* NOD32 Testversion ---> hier klicken Nach dem Installieren bitte SOFORT updaten ! a² Free ---> hier klicken Nach dem Installieren bitte SOFORT updaten !
__________________ MfG Nangie Es ist einzig und allein der Mensch, der aus der Welt ein Armenhaus gemacht hat. Lilo Keller (*1934) nachdenkliche Hausfrau |
07.04.2004, 16:00 | #11 |
/// Mr. Schatten | about:blank? @ Board-Admins: Habt Ihr Euch so einen "Code" eigentlich schon mal mit der "echten" (Hardware)Auflösung (1280*1024) an einem 18/19" TFT-Display angeschaut? [img]graemlins/heulen.gif[/img] na gut unter dem Microscop erkenne ich kurz vor der Erblindung erstmal: alle R1 und R0 fixen! R3 auch weg. Du benutzt zwar wohl einen DSL-Router aber weg damit: 16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.stardialer.de/StarInstall.ocx (ein DIALER stört nur mit DSL, verursacht aber keine direkten Kosten) auch alle andere o16 würde ich fixen, falls Du das was brauchst (Yahoo) kannst es ja ausnehmen. Der MS-Eintrag würde (wie auch alle anderen) beim ersten bewussten Neuaufruf wieder angelegt aber wennDu diesen O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x8.... nicht fixed ist es natürlich okay. O4 - HKLM\..\Run: [Search-Exe] "C:\Programme\se\v2\se.EXE" /U Kenst Du das näher? ohne Google-recherche würdei ch mal sage, ab in die Tonne. Alles mit Promulgate / Delfin fixen! ist Adware Und warum schließt Du nicht ALLEn Müll, auch aus dem Systray, es würde für UNS übersichtlicher (und allgemein würde es Deiner Kiste auch nicht schaden. Wer braucht schon den real-Player-Scheduler, nagut LKazaa und den Medoin-Sch*** brauche ICH auch nicht Also bitte: schließe alle Programme und Fenster Schau im Systray (bei der Uhr unten rechts normal) und schließe per rechte Maus alles außer Netzwerk, und kontrolliere dabei auch gleich was das Zeug ist und was Du da wirklich IMMER benötigst. [ 07. April 2004, 17:16: Beitrag editiert von: Shadow ]
__________________ alle Tipps + Hilfen aller Helfer sind ohne Gewähr + Haftung keine Hilfe via PN hier ist ein Forum, jeder kann profitieren/kontrollieren - niemand ist fehlerfrei tendenzielle Beachtung der Rechtschreibregeln erhöht die Wahrscheinlichkeit einer Antwort - |
07.04.2004, 17:46 | #12 |
| about:blank? sorry, ansonsten wollte er das partou nicht posten... also... erst mal hat a² zwei malwares von meinem pc gelöscht... den ganzen kram mit o16, o4 etc. hab ich gelöscht, hat sich auch verzogen - aber mit den r1 un r0 dingern hab ich nen problem.. ich hab alle anwedungen beendet bis auf netzwerk eben und hab es gelöscht. aber als ich dann wieder alles gestartet hab und ins internet ging um nachzusehehn obs ging ist da jetzt schon wieder linklist - und r1 un r0 sind wieder da... hab ich wieder irgendwas falsch gemacht? *hüstel* (viieeeelen dank für die geduld, vielen dank! ) |
07.04.2004, 18:08 | #13 |
/// Mr. Schatten | about:blank? nein, du hast nichts falsch gemacht, es wird "einfach" bei dir bei jedem Start ein Programm gestartet welches die Schei*e wieder aktiviert, ist "üblich". Aber kannst Du mal nicht "alles" beenden und noch mal einen Hijack-Log hier reinstellen? Dann siehtr man was noch übrig ist. Ansonsten vorher (?) (wenn Du Adawre und Spybot S&D schon durchlaufen hast lassen): STart => ausführen => "MSCONFIG" (ohne ") + Entertaste Dort auf "Systemstart" Wenn Du dort was mit "orbit" findest, Häkchen raus. Wenn Du nichts findest oder es nicht hilft den Inhalt hier mal Posten, leider gibt es kein Log/File-Funktion
__________________ alle Tipps + Hilfen aller Helfer sind ohne Gewähr + Haftung keine Hilfe via PN hier ist ein Forum, jeder kann profitieren/kontrollieren - niemand ist fehlerfrei tendenzielle Beachtung der Rechtschreibregeln erhöht die Wahrscheinlichkeit einer Antwort - |
07.04.2004, 19:18 | #14 |
| about:blank? also adaware findet immer tewas namens windows (was ich irgendwie nicht löschen wollte, der name kam mir da doch komisch vor) und etwas namens "coolwebsearch"... das kann ich löschen so oft ich will, das kommt immer wieder. der log von hijackthis (in der hoffnung endlich mal alles beendet zu haben )... Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\cisvc.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\wanmpsvc.exe C:\Programme\WebDrive\wdservice.exe C:\Programme\Browser mouse\1.3\mouse32a.exe C:\WINDOWS\System32\SWMonitor.exe C:\Programme\Lavasoft\Ad-aware 6\Ad-aware.exe C:\hijackthis1977\HijackThis.exe C:\WINDOWS\System32\cidaemon.exe </font><blockquote>Code:</font><hr /><pre style="font-size:x-small; font-family: monospace;"> R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\dcohcca.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\dcohcca.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\dcohcca.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\dcohcca.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\dcohcca.dll/sp.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\dcohcca.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\ycomp5_0_2_7.dll O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {A6599ADD-0F39-44BD-A756-1F6021DD9062} - C:\WINDOWS\System32\dcohcca.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\ycomp5_0_2_7.dll O4 - HKLM\..\Run: [FLMBROWSERMOUSE] C:\Programme\Browser mouse\1.3\mouse32a.exe O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKLM\..\Run: [WebDriveTray] C:\Programme\WebDrive\webdrive.exe /trayicon O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [mmtask] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe O4 - HKLM\..\Run: [Lexmark X74-X75] "C:\Programme\Lexmark X74-X75\lxbbbmgr.exe" O4 - HKLM\..\Run: [KAZAA] C:\Programme\Kazaa\kazaa.exe /SYSTRAY O4 - HKLM\..\Run: [FLMK08KB] C:\Programme\Medion keyboard utility\1.3\KbdAp32A.exe O4 - HKLM\..\Run: [CapFax] C:\Programme\Classic PhoneTools\CapFax.EXE O4 - HKLM\..\Run: [Agent] C:\Programme\Medion\PowerCinema\My_TV\Agent.exe O4 - HKCU\..\Run: [SWUpdateMonitor] C:\WINDOWS\System32\SWMonitor.exe O4 - HKCU\..\Run: [ICQ Plus] "C:\Programme\ICQPlus\vplus.exe" O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O9 - Extra button: ICQ Pro (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O9 - Extra button: ICQ Lite (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Messenger (HKLM) O9 - Extra button: MedionShop (HKCU) O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll O12 - Plugin for .mpga: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (&Yahoo! Companion) - http://us.dl1.yimg.com/download.yaho...bio5_0_2_7.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{BE6DAC41-2198-4C12-A59E-EB7230E4A73E}: NameServer = 192.168.1.1</pre>[/QUOTE]und in dem msconfig find ich nix das orbit im namen hat... ich hab da einen seltsamen namenlosen... und ansonsten wkufind und dit.exe, die hab ich beide beendet. (ich hoffe ich hab keinen übersehen, die anderen konnte ich eigentlich zuordnen) (ich sollte noch mal versuchen dieses namenlose zu beenden...) |
07.04.2004, 19:28 | #15 |
/// Mr. Schatten | about:blank? </font><blockquote>Zitat:</font><hr />Original erstellt von BlackWolf: also adaware findet immer tewas namens windows (was ich irgendwie nicht löschen wollte, der name kam mir da doch komisch vor) und etwas namens "coolwebsearch"... das kann ich löschen so oft ich will, </font>[/QUOTE]=> probiers doch mal mit CWShhredder (siehe Signatur)! Ach ja und schreinb mal genauer die AdAware-Windows-Meldung [ 07. April 2004, 20:38: Beitrag editiert von: Shadow ]
__________________ alle Tipps + Hilfen aller Helfer sind ohne Gewähr + Haftung keine Hilfe via PN hier ist ein Forum, jeder kann profitieren/kontrollieren - niemand ist fehlerfrei tendenzielle Beachtung der Rechtschreibregeln erhöht die Wahrscheinlichkeit einer Antwort - |
Themen zu about:blank? |
about, about:blank, absolut, ahnung, bla, blank, browser, confused, cwshredder, einfach, explorer, folge, folgendes, gelöscht, hoffe, inetexplorer, keine ahnung, nichts, problem, seite, starte, startseite, thread, troja, trojaner, übernimmt, übersehen, ändern |