|
Log-Analyse und Auswertung: heretofind.deWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
24.08.2004, 17:18 | #16 |
| heretofind.de Bei Active-X solltest du MINDESTENS einstellen, dass du vor einer Installation gefragt wirst. Sind es denn so wichtige Seiten, auf denen du dich nicht mehr einloggen kannst? Ich würde Active-X und den IE nur fürs Windowsupdate nehmen und ansonsten die Finger davon lassen. Gibt natürlich einige spezielle Firmenseiten, wo man nur das verwenden kann/darf, vielleicht ist das ja bei dir der Fall. |
24.08.2004, 17:52 | #17 | |
Administrator, a.D. | heretofind.de @ Goldust
__________________Du solltest die Tipps die man dir gibt, auch umsetzen, sonst wirst du in diversen Sicherheits Foren Dauergast sein. Zitat:
__________________ |
24.08.2004, 18:05 | #18 |
Gast | heretofind.de @Cidre
__________________Mal abgesehen davon, daß ich jahrelang sowas nie gehabt habe, bin ich bereits auf Mozilla umgestiegen. Das Problem befällt aber nach wie vor den AOL Browser sowie den IE. @Christian Danke. Updates ausgeführt. Dateien gefixed. Problem nicht gelöst, jetzt sieht die Log so aus: Logfile of HijackThis v1.98.2 Scan saved at 19:01:38, on 24.08.2004 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v5.50 (5.50.4134.0100) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\ANVSHELL.EXE F:\SECURITY\ANTIVIR\AVGCTRL.EXE F:\SECURITY\ZONEALARM\ZLCLIENT.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\SYSTEM\HPZTSB01.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE F:\PROGRAMME\SONY\SONYTRAY.EXE C:\PROGRAMME\AOL 8.0\AOLTRAY.EXE C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE C:\PROGRAMME\AOL 8.0\WAOL.EXE C:\PROGRAMME\AOL 8.0\SHELLMON.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE F:\MANAGER\MOZILLA\MOZILLA.EXE F:\SECURITY\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=15&q=%s R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html# R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=15&q=%s R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html# O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - F:\MANAGER\FLASHGET\JCCATCH.DLL O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\PROGRAMME\ADOBE\READER\ACTIVEX\ACROIEHELPER.DLL O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\SECURITY\SPYBOT~1\SDHELPER.DLL O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - F:\MANAGER\FLASHGET\FGIEBAR.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [anvshell] anvshell.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [AVGCtrl] "F:\SECURITY\ANTIVIR\AVGCTRL.EXE" /min O4 - HKLM\..\Run: [Zone Labs Client] F:\SECURITY\ZONEAL~1\zlclient.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb01.exe O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service O4 - Startup: Image Transfer.lnk = F:\Programme\Sony\SonyTray.exe O4 - Startup: AOL 8.0 Tray-Symbol.lnk = C:\Programme\AOL 8.0\aoltray.exe O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: Mit FlashGet laden - F:\MANAGER\FLASHGET\jc_link.htm O8 - Extra context menu item: Alles mit FlashGet laden - F:\MANAGER\FLASHGET\jc_all.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - F:\MANAGER\FLASHGET\FLASHGET.EXE O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - F:\MANAGER\FLASHGET\FLASHGET.EXE O13 - DefaultPrefix: http://www.heretofind.com/show.php?id=15&q= O13 - WWW Prefix: http://www.heretofind.com/show.php?id=15&q= O13 - Home Prefix: http://www.heretofind.com/show.php?id=15&q= O13 - Mosaic Prefix: http://www.heretofind.com/show.php?id=15&q= O13 - Gopher Prefix: http://www.heretofind.com/show.php?id=15&q= O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net Du siehst einige sind verschwunden, die gebliebenen Einträge aber sind irgendwie nicht zu fixen. |
24.08.2004, 18:16 | #19 |
Gast | heretofind.de Ok, habe die Sache nochmal im abgesicherten Modus versucht, jetzt ist das Ding ERSTMAL behoben. Könnt euch ja jetzt mal die Log reinziehen, ob sie clean aussieht. Ansonsten war ich glaube ich schonmal soweit. Ich hoffe das bleibt jetzt erstmal weg. Besuche diese Seiten nicht mehr, nehme Mozilla und habe im IE die Sache mit ActiveX geändert. Danke soweit.......... Logfile of HijackThis v1.98.2 Scan saved at 19:14:49, on 24.08.2004 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v5.50 (5.50.4134.0100) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\ANVSHELL.EXE F:\SECURITY\ANTIVIR\AVGCTRL.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE F:\SECURITY\ZONEALARM\ZLCLIENT.EXE C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE C:\WINDOWS\SYSTEM\HPZTSB01.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE F:\PROGRAMME\SONY\SONYTRAY.EXE C:\PROGRAMME\AOL 8.0\AOLTRAY.EXE C:\PROGRAMME\AOL 8.0\WAOL.EXE C:\PROGRAMME\AOL 8.0\SHELLMON.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE F:\SECURITY\HIJACKTHIS.EXE O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - F:\MANAGER\FLASHGET\JCCATCH.DLL O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\PROGRAMME\ADOBE\READER\ACTIVEX\ACROIEHELPER.DLL O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\SECURITY\SPYBOT~1\SDHELPER.DLL O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - F:\MANAGER\FLASHGET\FGIEBAR.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [anvshell] anvshell.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [AVGCtrl] "F:\SECURITY\ANTIVIR\AVGCTRL.EXE" /min O4 - HKLM\..\Run: [Zone Labs Client] F:\SECURITY\ZONEAL~1\zlclient.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb01.exe O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service O4 - Startup: Image Transfer.lnk = F:\Programme\Sony\SonyTray.exe O4 - Startup: AOL 8.0 Tray-Symbol.lnk = C:\Programme\AOL 8.0\aoltray.exe O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: Mit FlashGet laden - F:\MANAGER\FLASHGET\jc_link.htm O8 - Extra context menu item: Alles mit FlashGet laden - F:\MANAGER\FLASHGET\jc_all.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - F:\MANAGER\FLASHGET\FLASHGET.EXE O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - F:\MANAGER\FLASHGET\FLASHGET.EXE O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net |
24.08.2004, 19:26 | #20 |
| heretofind.de Ich bin am Ende meiner Kräfte...Ich könnte auf der Stelle Heulen.. So ein verdammter Hijacker.... auf heretofind.com *heul* Leider verstehe ich euer Viren-Latein nicht... Ich habe mir HJT und eScan AntiVirus runtergeladen mein Log von HJT: Logfile of HijackThis v1.98.2 Scan saved at 20:10:07, on 24.08.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\wanmpsvc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\RunDll32.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe C:\Programme\QuickTime\qttask.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\AOL 9.0\waol.exe C:\Programme\AOL 9.0\shellmon.exe C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Jan-Udo\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=20&q=%s R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html# R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=20&q=%s R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html# O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file) O9 - Extra button: Corel Network monitor worker - {252D92AA-62C5-4E39-A9A7-3698448777BA} - (no file) O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {252D92AA-62C5-4E39-A9A7-3698448777BA} - (no file) O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file) (HKCU) O9 - Extra button: Corel Network monitor worker - {252D92AA-62C5-4E39-A9A7-3698448777BA} - (no file) (HKCU) O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {252D92AA-62C5-4E39-A9A7-3698448777BA} - (no file) (HKCU) O13 - DefaultPrefix: http://www.heretofind.com/show.php?id=20&q= O13 - WWW Prefix: http://www.heretofind.com/show.php?id=20&q= O13 - Home Prefix: http://www.heretofind.com/show.php?id=20&q= O13 - Mosaic Prefix: http://www.heretofind.com/show.php?id=20&q= O13 - Gopher Prefix: http://www.heretofind.com/show.php?id=20&q= O16 - DPF: {037B3D58-D14A-4C41-BDFD-BD779B0B97BA} (vxiewer control) - http://www.thepaymentcentre.com/build/vxiewer.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti...l_v1-0-3-9.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1093366622395 O16 - DPF: {D62B5127-8D03-4175-BA71-E0041595DA4B} (UDConnect Class) - http://03.sharedsource.org/html/Tria...1.0.0.3ie.cab? O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{0F602D69-1E18-4C2A-91B6-B5F997E21359}: NameServer = 205.188.146.146 O17 - HKLM\System\CS1\Services\Tcpip\..\{0F602D69-1E18-4C2A-91B6-B5F997E21359}: NameServer = 205.188.146.146 Bitte helft mir... Was heißt fixen? was muss ich machen, kann sich einer erbarmen und das ganze einem Laien erklären? Ich hab alle Virenprogramme ausprobiert... nichts...NICHTS... |
24.08.2004, 19:42 | #21 |
Administrator, a.D. | heretofind.de Hallo AntiVir, Fixe (Haken setzen und auf Fix Checked klicken) diese Einträge: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=20&q=%s R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html# R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=20&q=%s R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html# O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file) O9 - Extra button: Corel Network monitor worker - {252D92AA-62C5-4E39-A9A7-3698448777BA} - (no file) O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {252D92AA-62C5-4E39-A9A7-3698448777BA} - (no file) O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file) (HKCU) O9 - Extra button: Corel Network monitor worker - {252D92AA-62C5-4E39-A9A7-3698448777BA} - (no file) (HKCU) O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {252D92AA-62C5-4E39-A9A7-3698448777BA} - (no file) O13 - DefaultPrefix: http://www.heretofind.com/show.php?id=20&q= O13 - WWW Prefix: http://www.heretofind.com/show.php?id=20&q= O13 - Home Prefix: http://www.heretofind.com/show.php?id=20&q= O13 - Mosaic Prefix: http://www.heretofind.com/show.php?id=20&q= O13 - Gopher Prefix: http://www.heretofind.com/show.php?id=20&q= O16 - DPF: {037B3D58-D14A-4C41-BDFD-BD779B0B97BA} (vxiewer control) - http://www.thepaymentcentre.com/build/vxiewer.cab O16 - DPF: {D62B5127-8D03-4175-BA71-E0041595DA4B} (UDConnect Class) - http://03.sharedsource.org/html/Tri..._1.0.0.3ie.cab? Abgesicherter Modus http://www.bsi.de/av/texte/winsave.htm und mit aktualisierten eScan scannen, neue Startseite vergeben und danach neues Log-File posten.
__________________ --> heretofind.de |
24.08.2004, 20:04 | #22 |
| heretofind.de Wie vergebe ich eine neue Startseite? Soll ich die im SAFEBOOT vergeben, oder ist das egal? |
24.08.2004, 20:15 | #23 |
Administrator, a.D. | heretofind.de Vergib sie im Safeboot. |
24.08.2004, 20:16 | #24 |
| heretofind.de wie soll ich den bei AOL eine neue Starseite vergeben? Oder im Explorer? |
25.08.2004, 12:48 | #25 |
| heretofind.de Also haargenau das Problem mit diesem Virus habe ich auch. Man wird immer zu heretofind.com umgeleitet und das der IE sowie der Aol Browser sind tot. Alle Programm die hier genannt wurde oder alle Tips sind bis jetzt leider nicht hilfreich gewesen. Das Virus erstellt sich immer wieder neu. Ich hab allerdings rausgekriegt wie man das Internet zeitweilig wieder in gang bekommt. Dazum muß man den Ordner c:\spe löschen. In ihm befindet sich die datei start.chm. Ohne die funzt das Virus nicht. Aber der Ordner erstellt sich immer wieder neu. Man müßte eigentlich die Datei ausfindig machen die dafür verantwortlich ist das sich der Ordner c:\spe dauernd neu erstellt. Dann müßte das Virus gekillt sein. Hat einer ne Idee wie man diese entsprechende Datei aufspüren kann? |
25.08.2004, 13:11 | #26 |
| heretofind.de Hallo VooVoo, wie man sie aufspüren kann, ist ja kein Problem. Sie erscheint als Datei-Eintrag, wenn man HijackThis laufen lässt. Du kannst sie auch mit HijackThis fixen. Bedauerlicherweise kommt sie wieder zurück, sowie man mit dem IE ins Netz geht - zumindest entnehme ich dies Euren Antworten. Habt Ihr den eScan - laut Anweisung - laufen lassen: http://www.trojaner-board.de/showthread.php?t=6083 Die einzige Alternative, um diese Probleme zu verhindern, wäre der Browserwechsel. Tips zu Browserwechsel, sicherem Surfen und Programmen, die den IE unterstützen, um sauber zu bleiben, findest Du/findet Ihr in meiner Signatur unter TI Hijacker-Rubrik ---> Vorbeugung. SD |
25.08.2004, 13:54 | #27 |
| heretofind.de hallo leute! diese wunderbare startseite hat jetzt auch meinen IE befallen. ich führe erstmal den einfachsten schritt durch und installiere mozilla, über den ich fortan ausschließlich surfen werde. ihr habt gesagt, den IE sollte man am besten nur noch zum windows update benutzen, das werd ich dann auch befolgen. mal schauen, wie ich als computer-idiot es hinkriege, später noch diesen sch... zu entfernen! auf jeden fall klasse, dass man hier schnell nützliche hilfe von euch bekommt! kann es sein, dass alle, die dieses problem haben, vorher sich in irgendwelchen foren rumgetrieben haben, oder anderen sites die ein login benötigen?? ich war jedenfalls gestern auf www.finya.de, www.angesagter.de und www.turbojugend-worldwide.com -- sonst nichts anderes. und als ich dann stunden später (heute nacht) wieder ins netz wollte, hatte ich bereits diesen pornosch... mk:@MSITStore:C:\spe\start.chm::/start.html# drauf. jede eingabe, wie www.google.de oder anderes führte mich dann auch automatisch zu heretofind.de... ich schau erstmal weiter! gruß denim |
25.08.2004, 14:09 | #28 |
| heretofind.de Hallo denim demon, poste bitte ein logfile mit HijackThis, Link zum Download und Anweisung zum erstellen des Logfiles findest Du hier: http://www.trojaner-board.de/51130-a...ijackthis.html . Mit HijackThis lassen sich die Einträge aufspüren und löschen. Danke für Dein Posting. SD |
25.08.2004, 14:11 | #29 | |
| heretofind.deZitat:
mach mich sofort daran! bin übrigens jetzt mit mozilla unterwegs.. :aplaus: danke und gruß denim |
25.08.2004, 14:28 | #30 |
| heretofind.de hey shadowdance, here it is: Logfile of HijackThis v1.98.2 Scan saved at 15:23:58, on 25.08.04 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\MDM.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\SYSTEM\JUPITCO.EXE C:\WINDOWS\SYSTEM\ATIPTAXX.EXE D:\AVPERSONAL\AVGCTRL.EXE C:\WINDOWS\LOADQM.EXE C:\PROGRAMME\REAL\REALPLAYER\REALPLAY.EXE C:\WINDOWS\SYSTEM\LVCOMS.EXE C:\PROGRAMME\LOGITECH\IMAGESTUDIO\LOGITRAY.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\WINDOWS\MSEXPLOREN.EXE C:\WINDOWS\MBSYNC.EXE C:\PROGRAMME\MSN MESSENGER\MSNMSGR.EXE C:\PROGRAMME\LOGITECH\DESKTOP MESSENGER\8876480\PROGRAM\BACKWEB-8876480.EXE D:\WINZIP\WZQKPICK.EXE C:\PROGRAMME\WINDOWS MEDIA COMPONENTS\ENCODER\WMENCAGT.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAMME\LOGITECH\IMAGESTUDIO\LOWLIGHT.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\PROGRAMME\MOZILLA.ORG\MOZILLA\MOZILLA.EXE D:\WINZIP\WINZIP32.EXE C:\PROGRAMME\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.lycos.de/search/msie40.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=9&q=%s R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html# R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.lycos.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=9&q=%s R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html# R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Lycos Europe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\ACROBAT READER\READER\ACTIVEX\ACROIEHELPER.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [USB SECURITY DEVICE CoInstaller] JupitCo.exe O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe O4 - HKLM\..\Run: [AVGCtrl] D:\AVPERSONAL\AVGCTRL.EXE /min O4 - HKLM\..\Run: [LoadQM] loadqm.exe O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [LVComs] C:\WINDOWS\SYSTEM\LVComS.exe O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Programme\Logitech\ImageStudio\ISStart.exe O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Programme\Logitech\ImageStudio\LogiTray.exe O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - HKLM\..\Run: [SystemService] C:\WINDOWS\ssvr.exe /i O4 - HKLM\..\Run: [SheduIer] C:\WINDOWS\msexploren.exe /i O4 - HKLM\..\Run: [SyncManager] C:\WINDOWS\mbsync.exe /i O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\mozilla.org\Mozilla\Mozilla.exe" -turbo O4 - Startup: WinZip Quick Pick.lnk = D:\WinZip\WZQKPICK.EXE O4 - Startup: Microsoft Office.lnk = D:\Microsoft Office\Office\OSA9.EXE O4 - Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O4 - Startup: Encoder Agent.lnk = C:\Programme\Windows Media Components\Encoder\WMENCAGT.EXE O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll O9 - Extra button: Corel Network monitor worker - {519A61C0-F5FE-11D8-AF03-0050DA74BC19} - (no file) O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {519A61C0-F5FE-11D8-AF03-0050DA74BC19} - (no file) O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file) O9 - Extra button: Corel Network monitor worker - {519A61C0-F5FE-11D8-AF03-0050DA74BC19} - (no file) (HKCU) O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {519A61C0-F5FE-11D8-AF03-0050DA74BC19} - (no file) (HKCU) O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file) (HKCU) O13 - DefaultPrefix: http://www.heretofind.com/show.php?id=9&q= O13 - WWW Prefix: http://www.heretofind.com/show.php?id=9&q= O13 - Home Prefix: http://www.heretofind.com/show.php?id=9&q= O13 - Mosaic Prefix: http://www.heretofind.com/show.php?id=9&q= O13 - Gopher Prefix: http://www.heretofind.com/show.php?id=9&q= O14 - IERESET.INF: START_PAGE_URL=http://www.lycos.de/ O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binaries/IA/nethv32_EN.cab danke für deine hilfe! gruß denim |
Themen zu heretofind.de |
.html, 7 viren, adobe, antivirus, askbar, bho, desktop, excel, explorer, fritz!, helper, hijack, hijack this, hijackthis, home, internet, internet explorer, internet security, microsoft, neu, object, programme, registry, security, shockwave, software, spyware, sun java, symantec, system, viren, windows |