Bitte Durchsehen

Henis · 10.01.2007, 17:19

Also beim kumpel von mir treten beim start mehrere fehler auf.
active desktop läst sich nicht deaktivieren. regedit.com erscheint beim aufrufen von "regedit" bei "ausführen. regedit.exe funktioniert aber!
so das erstmal dazu

--------------------------------------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 17:11:10, on 10.01.2007
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\WINLOG.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAMME\OUTLOOK\OUTLOOK.EXE
C:\DFNDRFF_156.EXE
C:\KYBRDFF_E156.EXE
C:\NWNMFF_E57.EXE
C:\WINDOWS_E58.EXE
C:\WINDOWS\ALL USERS\STARTMENü\PROGRAMME\AUTOSTART\SVCHOST.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\WBEM\WINMGMT.EXE
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\WINDOWS\SYSTEM\MSCONFIG.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\PROFILES\ALEX\DESKTOP\HIJACKTHIS_199\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yourstartingpage.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R3 - URLSearchHook: (no name) - {A8BD6820-6ED7-423E-9558-2D1486B0FEEA} - (no file)
R3 - URLSearchHook: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:\PROGRAMME\DESKBAR\DESKBAR.DLL
O2 - BHO: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:\PROGRAMME\DESKBAR\DESKBAR.DLL
O2 - BHO: 888Bar - {C004DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRAMME\GEMEINSAME DATEIEN\{3E2516DB-0000-1031--0031}\888BAR.DLL
O2 - BHO: (no name) - {6FF0EFB5-094E-490D-B827-53F6A2EFF636} - \
O2 - BHO: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRAMME\GEMEINSAME DATEIEN\{3E2516DB-0000-1031--POPO0031}\BAR888.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: 888Bar - {C004DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRAMME\GEMEINSAME DATEIEN\{3E2516DB-0000-1031--0031}\888BAR.DLL
O3 - Toolbar: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRAMME\GEMEINSAME DATEIEN\{3E2516DB-0000-1031--POPO0031}\BAR888.DLL
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [outlook] C:\Programme\outlook\outlook.exe /auto
O4 - HKLM\..\Run: [winlog] WINLOG.EXE
O4 - HKLM\..\Run: [ylg19b70] RUNDLL32.EXE w0c1374d.dll,n 00619b6a0000000a0c1374d
O4 - HKLM\..\Run: [defender] C:\\DFNDRFF_156.exe
O4 - HKLM\..\Run: [keyboard] C:\\KYBRDFF_E156.exe
O4 - HKLM\..\Run: [newname] C:\\NWNMFF_E57.exe
O4 - HKLM\..\Run: [windows] C:\\WINDOWS_E58.exe
O4 - HKLM\..\Run: [{2E2516DB-0000-1031--popo0031}] "C:\Programme\Gemeinsame Dateien\{2E2516DB-0000-1031--popo0031}\Update.exe" mc-110-12-0000137
O4 - HKLM\..\RunServices: [winlog] WINLOG.EXE
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Erinnerungen für Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - User Startup: Erinnerungen für Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
O4 - User Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: svchost.exe
O8 - Extra context menu item: &Google-Suche - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmcache.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmsimilar.html
O8 - Extra context menu item: Verweisseiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmbacklinks.html
O16 - DPF: {4AD73894-A895-4FC2-B233-299867E08753} - http://apps.deskwizz.com/ax/adwerkz.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.178.1

--------------------------------

Vielen Dank

**Sunny** · 10.01.2007, 17:31

Hallo.

Das System ist Kompromittiert und nur noch durch eine Neuinstallation zu Bereinigen:

Grund:
W32/Agobot-LF
W32/Rbot-BKA

sowie jede Menge anderer Malware!

Zitat:

* Ermöglicht Dritten den Zugriff auf den Computer
* Lädt Code aus dem Internet herunter
* Reduziert die Systemsicherheit
* Installiert sich in der Registrierung
* Nutzt bekannte Schwachstellen aus
* Wird für DOS-Attacken verwendet

Gruß
Sunny

Henis · 10.01.2007, 17:48

Vielen dank! der wird sich freuen xD

Bitte Durchsehen

Log-Analyse und Auswertung: Bitte Durchsehen