Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: heretofind.de

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 24.08.2004, 17:18   #16
MountainKing
 
heretofind.de - Standard

heretofind.de



Bei Active-X solltest du MINDESTENS einstellen, dass du vor einer Installation gefragt wirst. Sind es denn so wichtige Seiten, auf denen du dich nicht mehr einloggen kannst? Ich würde Active-X und den IE nur fürs Windowsupdate nehmen und ansonsten die Finger davon lassen. Gibt natürlich einige spezielle Firmenseiten, wo man nur das verwenden kann/darf, vielleicht ist das ja bei dir der Fall.

Alt 24.08.2004, 17:52   #17
Cidre
Administrator, a.D.
 
heretofind.de - Standard

heretofind.de



@ Goldust

Du solltest die Tipps die man dir gibt, auch umsetzen, sonst wirst du in diversen Sicherheits Foren Dauergast sein.

Zitat:
Dafür gibt es nur eine Lösung:
Auf den Unsicherheits-Browser weitgehenst zu verzichten.

- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/se...msie/config.htm
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/
Natürlich ist auch eine Aktualisierung des IE auf min. 6 SP1 angebracht.
__________________

__________________

Alt 24.08.2004, 18:05   #18
Goldust
Gast
 
heretofind.de - Standard

heretofind.de



@Cidre
Mal abgesehen davon, daß ich jahrelang sowas nie gehabt habe, bin ich bereits auf Mozilla umgestiegen. Das Problem befällt aber nach wie vor den AOL Browser sowie den IE.

@Christian
Danke. Updates ausgeführt. Dateien gefixed. Problem nicht gelöst, jetzt sieht die Log so aus:

Logfile of HijackThis v1.98.2
Scan saved at 19:01:38, on 24.08.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\ANVSHELL.EXE
F:\SECURITY\ANTIVIR\AVGCTRL.EXE
F:\SECURITY\ZONEALARM\ZLCLIENT.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\HPZTSB01.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
F:\PROGRAMME\SONY\SONYTRAY.EXE
C:\PROGRAMME\AOL 8.0\AOLTRAY.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\PROGRAMME\AOL 8.0\WAOL.EXE
C:\PROGRAMME\AOL 8.0\SHELLMON.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
F:\MANAGER\MOZILLA\MOZILLA.EXE
F:\SECURITY\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=15&q=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html#
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=15&q=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html#
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - F:\MANAGER\FLASHGET\JCCATCH.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\PROGRAMME\ADOBE\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\SECURITY\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - F:\MANAGER\FLASHGET\FGIEBAR.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVGCtrl] "F:\SECURITY\ANTIVIR\AVGCTRL.EXE" /min
O4 - HKLM\..\Run: [Zone Labs Client] F:\SECURITY\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb01.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - Startup: Image Transfer.lnk = F:\Programme\Sony\SonyTray.exe
O4 - Startup: AOL 8.0 Tray-Symbol.lnk = C:\Programme\AOL 8.0\aoltray.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Mit FlashGet laden - F:\MANAGER\FLASHGET\jc_link.htm
O8 - Extra context menu item: Alles mit FlashGet laden - F:\MANAGER\FLASHGET\jc_all.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - F:\MANAGER\FLASHGET\FLASHGET.EXE
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - F:\MANAGER\FLASHGET\FLASHGET.EXE
O13 - DefaultPrefix: http://www.heretofind.com/show.php?id=15&q=
O13 - WWW Prefix: http://www.heretofind.com/show.php?id=15&q=
O13 - Home Prefix: http://www.heretofind.com/show.php?id=15&q=
O13 - Mosaic Prefix: http://www.heretofind.com/show.php?id=15&q=
O13 - Gopher Prefix: http://www.heretofind.com/show.php?id=15&q=
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net


Du siehst einige sind verschwunden, die gebliebenen Einträge aber sind irgendwie nicht zu fixen.
__________________

Alt 24.08.2004, 18:16   #19
Goldust
Gast
 
heretofind.de - Standard

heretofind.de



Ok, habe die Sache nochmal im abgesicherten Modus versucht, jetzt ist das Ding ERSTMAL behoben. Könnt euch ja jetzt mal die Log reinziehen, ob sie clean aussieht. Ansonsten war ich glaube ich schonmal soweit. Ich hoffe das bleibt jetzt erstmal weg. Besuche diese Seiten nicht mehr, nehme Mozilla und habe im IE die Sache mit ActiveX geändert. Danke soweit..........

Logfile of HijackThis v1.98.2
Scan saved at 19:14:49, on 24.08.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\ANVSHELL.EXE
F:\SECURITY\ANTIVIR\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
F:\SECURITY\ZONEALARM\ZLCLIENT.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\SYSTEM\HPZTSB01.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
F:\PROGRAMME\SONY\SONYTRAY.EXE
C:\PROGRAMME\AOL 8.0\AOLTRAY.EXE
C:\PROGRAMME\AOL 8.0\WAOL.EXE
C:\PROGRAMME\AOL 8.0\SHELLMON.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
F:\SECURITY\HIJACKTHIS.EXE

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - F:\MANAGER\FLASHGET\JCCATCH.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\PROGRAMME\ADOBE\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\SECURITY\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - F:\MANAGER\FLASHGET\FGIEBAR.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVGCtrl] "F:\SECURITY\ANTIVIR\AVGCTRL.EXE" /min
O4 - HKLM\..\Run: [Zone Labs Client] F:\SECURITY\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb01.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - Startup: Image Transfer.lnk = F:\Programme\Sony\SonyTray.exe
O4 - Startup: AOL 8.0 Tray-Symbol.lnk = C:\Programme\AOL 8.0\aoltray.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Mit FlashGet laden - F:\MANAGER\FLASHGET\jc_link.htm
O8 - Extra context menu item: Alles mit FlashGet laden - F:\MANAGER\FLASHGET\jc_all.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - F:\MANAGER\FLASHGET\FLASHGET.EXE
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - F:\MANAGER\FLASHGET\FLASHGET.EXE
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net

Alt 24.08.2004, 19:26   #20
AntiVir
 
heretofind.de - Böse

heretofind.de



Ich bin am Ende meiner Kräfte...Ich könnte auf der Stelle Heulen..
So ein verdammter Hijacker....
auf heretofind.com
*heul*
Leider verstehe ich euer Viren-Latein nicht...
Ich habe mir HJT und eScan AntiVirus runtergeladen mein Log von HJT:

Logfile of HijackThis v1.98.2
Scan saved at 20:10:07, on 24.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\AOL 9.0\waol.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Jan-Udo\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=20&q=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html#
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=20&q=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html#
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file)
O9 - Extra button: Corel Network monitor worker - {252D92AA-62C5-4E39-A9A7-3698448777BA} - (no file)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {252D92AA-62C5-4E39-A9A7-3698448777BA} - (no file)
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file) (HKCU)
O9 - Extra button: Corel Network monitor worker - {252D92AA-62C5-4E39-A9A7-3698448777BA} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {252D92AA-62C5-4E39-A9A7-3698448777BA} - (no file) (HKCU)
O13 - DefaultPrefix: http://www.heretofind.com/show.php?id=20&q=
O13 - WWW Prefix: http://www.heretofind.com/show.php?id=20&q=
O13 - Home Prefix: http://www.heretofind.com/show.php?id=20&q=
O13 - Mosaic Prefix: http://www.heretofind.com/show.php?id=20&q=
O13 - Gopher Prefix: http://www.heretofind.com/show.php?id=20&q=
O16 - DPF: {037B3D58-D14A-4C41-BDFD-BD779B0B97BA} (vxiewer control) - http://www.thepaymentcentre.com/build/vxiewer.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti...l_v1-0-3-9.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1093366622395
O16 - DPF: {D62B5127-8D03-4175-BA71-E0041595DA4B} (UDConnect Class) - http://03.sharedsource.org/html/Tria...1.0.0.3ie.cab?
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0F602D69-1E18-4C2A-91B6-B5F997E21359}: NameServer = 205.188.146.146
O17 - HKLM\System\CS1\Services\Tcpip\..\{0F602D69-1E18-4C2A-91B6-B5F997E21359}: NameServer = 205.188.146.146

Bitte helft mir... Was heißt fixen?

was muss ich machen, kann sich einer erbarmen und das ganze einem Laien erklären? Ich hab alle Virenprogramme ausprobiert... nichts...NICHTS...


Alt 24.08.2004, 19:42   #21
Cidre
Administrator, a.D.
 
heretofind.de - Standard

heretofind.de



Hallo AntiVir,

Fixe (Haken setzen und auf Fix Checked klicken) diese Einträge:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=20&q=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html#
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=20&q=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html#
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file)
O9 - Extra button: Corel Network monitor worker - {252D92AA-62C5-4E39-A9A7-3698448777BA} - (no file)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {252D92AA-62C5-4E39-A9A7-3698448777BA} - (no file)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file) (HKCU)
O9 - Extra button: Corel Network monitor worker - {252D92AA-62C5-4E39-A9A7-3698448777BA} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {252D92AA-62C5-4E39-A9A7-3698448777BA} - (no file)
O13 - DefaultPrefix: http://www.heretofind.com/show.php?id=20&q=
O13 - WWW Prefix: http://www.heretofind.com/show.php?id=20&q=
O13 - Home Prefix: http://www.heretofind.com/show.php?id=20&q=
O13 - Mosaic Prefix: http://www.heretofind.com/show.php?id=20&q=
O13 - Gopher Prefix: http://www.heretofind.com/show.php?id=20&q=
O16 - DPF: {037B3D58-D14A-4C41-BDFD-BD779B0B97BA} (vxiewer control) - http://www.thepaymentcentre.com/build/vxiewer.cab
O16 - DPF: {D62B5127-8D03-4175-BA71-E0041595DA4B} (UDConnect Class) - http://03.sharedsource.org/html/Tri..._1.0.0.3ie.cab?

Abgesicherter Modus http://www.bsi.de/av/texte/winsave.htm und mit aktualisierten eScan scannen, neue Startseite vergeben und danach neues Log-File posten.
__________________
--> heretofind.de

Alt 24.08.2004, 20:04   #22
AntiVir
 
heretofind.de - Standard

heretofind.de



Wie vergebe ich eine neue Startseite? Soll ich die im SAFEBOOT vergeben, oder ist das egal?

Alt 24.08.2004, 20:15   #23
Cidre
Administrator, a.D.
 
heretofind.de - Standard

heretofind.de



Vergib sie im Safeboot.
__________________
Gruß, Cidre


Alt 24.08.2004, 20:16   #24
AntiVir
 
heretofind.de - Standard

heretofind.de



wie soll ich den bei AOL eine neue Starseite vergeben? Oder im Explorer?

Alt 25.08.2004, 12:48   #25
VooVoo
 
heretofind.de - Standard

heretofind.de



Also haargenau das Problem mit diesem Virus habe ich auch. Man wird immer zu heretofind.com umgeleitet und das der IE sowie der Aol Browser sind tot.

Alle Programm die hier genannt wurde oder alle Tips sind bis jetzt leider nicht hilfreich gewesen.
Das Virus erstellt sich immer wieder neu.


Ich hab allerdings rausgekriegt wie man das Internet zeitweilig wieder in gang bekommt. Dazum muß man den Ordner c:\spe löschen. In ihm befindet sich die datei start.chm. Ohne die funzt das Virus nicht. Aber der Ordner erstellt sich immer wieder neu.

Man müßte eigentlich die Datei ausfindig machen die dafür verantwortlich ist das sich der Ordner c:\spe dauernd neu erstellt. Dann müßte das Virus gekillt sein. Hat einer ne Idee wie man diese entsprechende Datei aufspüren kann?

Alt 25.08.2004, 13:11   #26
Shadowdance
 
heretofind.de - Standard

heretofind.de



Hallo VooVoo,

wie man sie aufspüren kann, ist ja kein Problem. Sie erscheint als Datei-Eintrag, wenn man HijackThis laufen lässt. Du kannst sie auch mit HijackThis fixen. Bedauerlicherweise kommt sie wieder zurück, sowie man mit dem IE ins Netz geht - zumindest entnehme ich dies Euren Antworten.

Habt Ihr den eScan - laut Anweisung - laufen lassen: http://www.trojaner-board.de/showthread.php?t=6083

Die einzige Alternative, um diese Probleme zu verhindern, wäre der Browserwechsel. Tips zu Browserwechsel, sicherem Surfen und Programmen, die den IE unterstützen, um sauber zu bleiben, findest Du/findet Ihr in meiner Signatur unter TI Hijacker-Rubrik ---> Vorbeugung.

SD

Alt 25.08.2004, 13:54   #27
denim demon
 
heretofind.de - Standard

heretofind.de



hallo leute!

diese wunderbare startseite hat jetzt auch meinen IE befallen. ich führe erstmal den einfachsten schritt durch und installiere mozilla, über den ich fortan ausschließlich surfen werde. ihr habt gesagt, den IE sollte man am besten nur noch zum windows update benutzen, das werd ich dann auch befolgen.

mal schauen, wie ich als computer-idiot es hinkriege, später noch diesen sch... zu entfernen!

auf jeden fall klasse, dass man hier schnell nützliche hilfe von euch bekommt!

kann es sein, dass alle, die dieses problem haben, vorher sich in irgendwelchen foren rumgetrieben haben, oder anderen sites die ein login benötigen??

ich war jedenfalls gestern auf www.finya.de, www.angesagter.de und www.turbojugend-worldwide.com -- sonst nichts anderes. und als ich dann stunden später (heute nacht) wieder ins netz wollte, hatte ich bereits diesen pornosch... mk:@MSITStore:C:\spe\start.chm::/start.html# drauf. jede eingabe, wie www.google.de oder anderes führte mich dann auch automatisch zu heretofind.de...

ich schau erstmal weiter!

gruß denim

Alt 25.08.2004, 14:09   #28
Shadowdance
 
heretofind.de - Standard

heretofind.de



Hallo denim demon,

poste bitte ein logfile mit HijackThis, Link zum Download und Anweisung zum erstellen des Logfiles findest Du hier: http://www.trojaner-board.de/51130-a...ijackthis.html . Mit HijackThis lassen sich die Einträge aufspüren und löschen.

Danke für Dein Posting.

SD

Alt 25.08.2004, 14:11   #29
denim demon
 
heretofind.de - Standard

heretofind.de



Zitat:
Zitat von Shadowdance
Hallo denim demon,

poste bitte ein logfile mit HijackThis, Link zum Download und Anweisung zum erstellen des Logfiles findest Du hier: http://www.trojaner-board.de/51130-a...ijackthis.html . Mit HijackThis lassen sich die Einträge aufspüren und löschen.

Danke für Dein Posting.

SD
hi shadowdance!

mach mich sofort daran!

bin übrigens jetzt mit mozilla unterwegs..
:aplaus:

danke und gruß

denim

Alt 25.08.2004, 14:28   #30
denim demon
 
heretofind.de - Standard

heretofind.de



hey shadowdance,

here it is:

Logfile of HijackThis v1.98.2
Scan saved at 15:23:58, on 25.08.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\MDM.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\JUPITCO.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
D:\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\LOADQM.EXE
C:\PROGRAMME\REAL\REALPLAYER\REALPLAY.EXE
C:\WINDOWS\SYSTEM\LVCOMS.EXE
C:\PROGRAMME\LOGITECH\IMAGESTUDIO\LOGITRAY.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\MSEXPLOREN.EXE
C:\WINDOWS\MBSYNC.EXE
C:\PROGRAMME\MSN MESSENGER\MSNMSGR.EXE
C:\PROGRAMME\LOGITECH\DESKTOP MESSENGER\8876480\PROGRAM\BACKWEB-8876480.EXE
D:\WINZIP\WZQKPICK.EXE
C:\PROGRAMME\WINDOWS MEDIA COMPONENTS\ENCODER\WMENCAGT.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\LOGITECH\IMAGESTUDIO\LOWLIGHT.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\MOZILLA.ORG\MOZILLA\MOZILLA.EXE
D:\WINZIP\WINZIP32.EXE
C:\PROGRAMME\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.lycos.de/search/msie40.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=9&q=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html#
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.lycos.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=9&q=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html#
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Lycos Europe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\ACROBAT READER\READER\ACTIVEX\ACROIEHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [USB SECURITY DEVICE CoInstaller] JupitCo.exe
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [AVGCtrl] D:\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [LVComs] C:\WINDOWS\SYSTEM\LVComS.exe
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Programme\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Programme\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [SystemService] C:\WINDOWS\ssvr.exe /i
O4 - HKLM\..\Run: [SheduIer] C:\WINDOWS\msexploren.exe /i
O4 - HKLM\..\Run: [SyncManager] C:\WINDOWS\mbsync.exe /i
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\mozilla.org\Mozilla\Mozilla.exe" -turbo
O4 - Startup: WinZip Quick Pick.lnk = D:\WinZip\WZQKPICK.EXE
O4 - Startup: Microsoft Office.lnk = D:\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Startup: Encoder Agent.lnk = C:\Programme\Windows Media Components\Encoder\WMENCAGT.EXE
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O9 - Extra button: Corel Network monitor worker - {519A61C0-F5FE-11D8-AF03-0050DA74BC19} - (no file)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {519A61C0-F5FE-11D8-AF03-0050DA74BC19} - (no file)
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file)
O9 - Extra button: Corel Network monitor worker - {519A61C0-F5FE-11D8-AF03-0050DA74BC19} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {519A61C0-F5FE-11D8-AF03-0050DA74BC19} - (no file) (HKCU)
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file) (HKCU)
O13 - DefaultPrefix: http://www.heretofind.com/show.php?id=9&q=
O13 - WWW Prefix: http://www.heretofind.com/show.php?id=9&q=
O13 - Home Prefix: http://www.heretofind.com/show.php?id=9&q=
O13 - Mosaic Prefix: http://www.heretofind.com/show.php?id=9&q=
O13 - Gopher Prefix: http://www.heretofind.com/show.php?id=9&q=
O14 - IERESET.INF: START_PAGE_URL=http://www.lycos.de/
O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binaries/IA/nethv32_EN.cab

danke für deine hilfe!

gruß denim

Antwort

Themen zu heretofind.de
.html, 7 viren, adobe, antivirus, askbar, bho, desktop, excel, explorer, fritz!, helper, hijack, hijack this, hijackthis, home, internet, internet explorer, internet security, microsoft, neu, object, programme, registry, security, shockwave, software, spyware, sun java, symantec, system, viren, windows




Zum Thema heretofind.de - Bei Active-X solltest du MINDESTENS einstellen, dass du vor einer Installation gefragt wirst. Sind es denn so wichtige Seiten, auf denen du dich nicht mehr einloggen kannst? Ich würde Active-X - heretofind.de...
Archiv
Du betrachtest: heretofind.de auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.