| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Kann mir da jemand helfen bitte!Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
13.04.2004, 11:54
| #1 |
 |  Kann mir da jemand helfen bitte! Logfile of HijackThis v1.97.7 Scan saved at 12:48:45, on 13.04.04 Platform: Windows NT 4 SP6 (WinNT 4.00.1381) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\spoolss.exe C:\WINNT\System32\drivers\trcboot.exe C:\WINNT\System32\drivers\appnnode.exe C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe C:\NAgent\NSCAGENT.EXE C:\WINNT\system32\RpcSs.exe C:\WINNT\System32\soff.exe C:\WINNT\MS\SMS\CLICOMP\RemCtrl\Wuser32.exe C:\WINNT\MS\SMS\CORE\BIN\CLISVCL.EXE C:\WINNT\System32\esserver.exe c:\winnt\system32\pstores.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\SENS.EXE C:\WINNT\System32\WBEM\winmgmt.exe C:\WINNT\MS\SMS\clicomp\apa\Bin\smsapm32.exe C:\WINNT\explorer.exe C:\WINNT\System32\SysTray.Exe C:\Programme\Winamp\Winampa.exe C:\WINNT\MS\SMS\CORE\BIN\LAUNCH32.EXE C:\Programme\Symantec_Client_Security\Symantec AntiVirus\vptray.exe C:\WINNT\System32\rundll32.exe C:\PROGRA~1\ACCELE~1\ANTI-V~1\DEFSCA~1.EXE C:\Programme\Date Manager\DateManager.exe C:\Programme\PrecisionTime\PrecisionTime.exe C:\WINNT\MS\SMS\CLICOMP\SWDist32\bin\smsmon32.exe c:\programme\personal communications\pcsws.exe c:\programme\personal communications\PCSCM.EXE c:\programme\personal communications\pcsws.exe c:\programme\personal communications\pcsws.exe \sappl2\saperion\archie32.exe C:\Programme\Microsoft Office\Office\MSACCESS.EXE C:\Programme\Microsoft Office\Office\OUTLOOK.EXE C:\Programme\Gemeinsame Dateien\System\MAPI\1031\nt\MAPISP32.EXE C:\PROGRA~1\PLUS!\MICROS~1\IEXPLORE.EXE C:\Programme\Plus!\Microsoft Internet\IEXPLORE.EXE C:\WINNT\System32\ddhelp.exe H:\Lasselsberger\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchwww.com/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://intra.wknoe.at/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchwww.com/bar.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von WK NÖ R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.searchwww.com/search.cgi?s=%s R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.wknoe.at:80 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = intra.wknoe.at R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = F2 - REG:system.ini: UserInit=C:\WINNT\System32\Userinit.exe O2 - BHO: MyWay Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - C:\Programme\MyWay\SrchAstt\1.bin\MYSRCHAS.DLL O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet3_88.dll O2 - BHO: (no name) - {6ACD11BD-4CA0-4283-A8D8-872B9BA289B6} - C:\PROGRA~1\ACCELE~1\StopSign\webcbrowse0.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [SMS Application Launcher] C:\WINNT\MS\SMS\CORE\BIN\LAUNCH32.EXE O4 - HKLM\..\Run: [vptray] C:\Programme\Symantec_Client_Security\Symantec AntiVirus\vptray.exe O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe" O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup O4 - HKLM\..\Run: [EanthologyApp] C:\PROGRA~1\GEMEIN~1\EACCEL~1\EANTHO~2.EXE /b Startup O4 - HKLM\..\Run: [WebScan] C:\PROGRA~1\ACCELE~1\ANTI-V~1\DEFSCA~1.EXE -k O4 - HKLM\..\Run: [updater] C:\Programme\Common files\Updater\wupdater.exe O4 - HKCU\..\Run: [msbb] "C:\Programme\Rosoft\Audio Tools\msbb.exe" /did=154 O4 - Global Startup: Date Manager.lnk = C:\Programme\Date Manager\DateManager.exe O4 - Global Startup: laufwerke zuordnen.bat O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: PrecisionTime.lnk = C:\Programme\PrecisionTime\PrecisionTime.exe O4 - Global Startup: updater.lnk = C:\Programme\Common files\updater\wupdater.exe O9 - Extra 'Tools' menuitem: Block This Page (HKLM) O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O9 - Extra button: Real.com (HKLM) O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O13 - WWW. Prefix: http:// O15 - Trusted Zone: *.oe.wknet O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom.de/ieloader.cab O16 - DPF: {086A694F-91FB-4068-B44C-124FB69BF05D} - http://www.searchwww.com/search.cab O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/downlo...22/wmv9VCM.CAB O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://195.70.255.120/activex/AxisCamControl.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://www.service-url.de/install/StarInstall.ocx O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = wknoe.at O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = wknoe.at Ich hoff ihr kennt euch damit aus. |
|
13.04.2004, 17:04
| #2 |
| | Kann mir da jemand helfen bitte! Hi Collega!
__________________willkommen an Board, Das bitte für den Anfang mal fixen C:\Programme\Date Manager\DateManager.exe C:\Programme\PrecisionTime\PrecisionTime.exe O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe" O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup O4 - HKLM\..\Run: [EanthologyApp] C:\PROGRA~1\GEMEIN~1\EACCEL~1\EANTHO~2.EXE /b Startup O4 - HKLM\..\Run: [WebScan] C:\PROGRA~1\ACCELE~1\ANTI-V~1\DEFSCA~1.EXE -k O4 - HKLM\..\Run: [updater] C:\Programme\Common files\Updater\wupdater.exe O4 - Global Startup: Date Manager.lnk = C:\Programme\Date Manager\DateManager.exe Danach nochmals neue log-file hier posten greetz Blackdog
__________________ |
|
13.04.2004, 17:06
| #3 |
| | Kann mir da jemand helfen bitte! Zusatz:
__________________R1 bitte auch fixen, falls es nicht Deine reguläre Startseite ist lg Blackdog
__________________ |
|
13.04.2004, 17:10
| #4 |
  | Kann mir da jemand helfen bitte! </font><blockquote>Zitat:</font><hr /> ...MSIE: Internet Explorer v6.00 SP1... </font>[/QUOTE]Fixen  . Es gibt jede Menge Browser, die an Hijacker nicht anfällig sind. Stöbere hier im Forum nach Firefox, Opera, Mozilla. |
|
13.04.2004, 17:41
| #5 |
| /// Mr. Schatten   | Kann mir da jemand helfen bitte! leicht OT </font><blockquote>Zitat:</font><hr />Original erstellt von Rene-gad: </font><blockquote>Zitat:</font><hr /> ...MSIE: Internet Explorer v6.00 SP1... </font>[/QUOTE]Fixen . Es gibt jede Menge Browser, die an Hijacker nicht anfällig sind. Stöbere hier im Forum nach Firefox, Opera, Mozilla. </font>[/QUOTE]Zeige mir das WindowsXP-System bei dem kein Eintrag: "MSIE: Internet Explorer v6." vorhanden ist. Zwar ist schon die Existenz suboptimal, aber eigentlich unvermeidlich. Aber erst der intensive "falsche" Einsatz des IE ist das 'gefährliche'.OnTopic Habe bisher erst einmal auf einem PC "New.Net" gefunden, dieses hatte allerding ganze Arbeit geleistet und noch bedeutend mehr in die Registry geschrieben und die DNS-Einträge nett verbogen. Spybot S&D, Adaware und Handarbeit waren da gefragt. Fixen half da nicht allzuviel. War allerdings ein Win98SE mit Analogmodem, ISDN und LAN-DSL-Verbindung ins Inet (die Jahresringe einer PC-Karriere) PS: Seit dem hat der PC auch FireFox drauf (habe nicht gefragt sondern einfach installiert), ob er allerdings genutzt wird...? [ 13. April 2004, 18:48: Beitrag editiert von: Shadow ]
__________________ alle Tipps + Hilfen aller Helfer sind ohne Gewähr + Haftung keine Hilfe via PN hier ist ein Forum, jeder kann profitieren/kontrollieren - niemand ist fehlerfrei tendenzielle Beachtung der Rechtschreibregeln erhöht die Wahrscheinlichkeit einer Antwort - |
|
14.04.2004, 08:46
| #6 |
| | Kann mir da jemand helfen bitte! Dank euch. Logfile of HijackThis v1.97.7 Scan saved at 09:42:58, on 14.04.04 Platform: Windows NT 4 SP6 (WinNT 4.00.1381) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\spoolss.exe C:\WINNT\System32\drivers\trcboot.exe C:\WINNT\System32\drivers\appnnode.exe C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe C:\NAgent\NSCAGENT.EXE C:\WINNT\system32\RpcSs.exe C:\WINNT\explorer.exe C:\WINNT\System32\soff.exe C:\WINNT\MS\SMS\CLICOMP\RemCtrl\Wuser32.exe C:\WINNT\MS\SMS\CORE\BIN\CLISVCL.EXE C:\WINNT\System32\esserver.exe c:\winnt\system32\pstores.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\SENS.EXE C:\WINNT\System32\SysTray.Exe C:\WINNT\System32\WBEM\winmgmt.exe C:\Programme\Winamp\Winampa.exe C:\WINNT\MS\SMS\CORE\BIN\LAUNCH32.EXE C:\Programme\Symantec_Client_Security\Symantec AntiVirus\vptray.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINNT\MS\SMS\clicomp\apa\Bin\smsapm32.exe c:\programme\personal communications\pcsws.exe c:\programme\personal communications\PCSCM.EXE c:\programme\personal communications\pcsws.exe c:\programme\personal communications\pcsws.exe C:\WINNT\MS\SMS\CLICOMP\SWDist32\bin\smsmon32.exe \sappl2\saperion\archie32.exe C:\Programme\Microsoft Office\Office\MSACCESS.EXE C:\Programme\Microsoft Office\Office\OUTLOOK.EXE C:\Programme\Gemeinsame Dateien\System\MAPI\1031\nt\MAPISP32.EXE C:\PROGRA~1\PLUS!\MICROS~1\IEXPLORE.EXE C:\Programme\Plus!\Microsoft Internet\IEXPLORE.EXE C:\WINNT\System32\ddhelp.exe C:\Programme\Adobe\Acrobat 4.0\Reader\AcroRd32.exe H:\Lasselsberger\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchwww.com/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://intra.wknoe.at/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchwww.com/bar.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von WK NÖ R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.searchwww.com/search.cgi?s=%s R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.wknoe.at:80 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = intra.wknoe.at R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = F2 - REG:system.ini: UserInit=C:\WINNT\System32\Userinit.exe O2 - BHO: MyWay Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - C:\Programme\MyWay\SrchAstt\1.bin\MYSRCHAS.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - Global Startup: laufwerke zuordnen.bat O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O13 - WWW. Prefix: http:// O15 - Trusted Zone: *.oe.wknet O16 - DPF: {086A694F-91FB-4068-B44C-124FB69BF05D} - http://www.searchwww.com/search.cab O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/downlo...22/wmv9VCM.CAB O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/13ca9792...dxIE601_de.cab O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://195.70.255.120/activex/AxisCamControl.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = wknoe.at O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = wknoe.at |
|
| Themen zu Kann mir da jemand helfen bitte! |
| agent, antivirus, application, bho, button, dateien, dll, drivers, explorer, hijack, hijackthis, internet, internet explorer, laufwerke, launch, logfile, microsoft, object, office, programme, rundll, security, shockwave, software, symantec, system, system32, tcpip, userinit, windows |
Linear-Darstellung
