![]() |
Startseite: "searchfor" lässt sich nicht löschen. Außerdem lässtige Nachrichtena seit gestern erscheint bei mir nur noch eine unerwünschte startseite. Im suchfenster des ie erscheint nur about:blank. außerdem bekomme ich ständig kleine pop up fenster, die mir sagen ich sei infiziert.ich hab schon pestpatrol durchlaufen lassen. ich nutze zonealarm und antivir. was soll ich tun. ich weiß übrigens nicht wie ich ein log post(e)! |
Wie poste ich ein HijackThis-Logfile: http://www.trojaner-board.de/51130-a...ijackthis.html |
Servus ! hier also nun mein Problem LOG: Logfile of HijackThis v1.99.0 Scan saved at 19:02:21, on 10.01.2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINNT\system32\CTsvcCDA.EXE C:\WINNT\System32\svchost.exe C:\WINNT\System32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\ZoneLabs\vsmon.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\MsPMSPSv.exe C:\WINNT\system32\svchost.exe C:\Programme\Creative\ShareDLL\CtNotify.exe C:\Programme\QuickTime\qttask.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINNT\system32\internat.exe C:\Programme\Creative\ShareDLL\MediaDet.Exe C:\Programme\Zone Labs\ZoneAlarm\zapro.exe C:\PROGRA~1\Versatel\Versatel.exe C:\Programme\Internet Explorer\iexplore.exe C:\PROGRA~1\PESTPA~1\PPCONT~1.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\WINNT\explorer.exe C:\Programme\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.dll/sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.dll/sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.versatel.de/internet-cd/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {5FA9688E-EEE7-4BA7-9E24-A2A556E0AD24} - C:\WINNT\system32\nfln.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O3 - Toolbar: T1 - {4180A6C9-26D0-4A15-A2CD-A24E3178E386} - C:\PROGRA~1\LANGEN~1.0\Engine\mte\StdAlone\T1IE.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [Disc Detector] C:\Programme\Creative\ShareDLL\CtNotify.exe O4 - HKLM\..\Run: [UpdReg] C:\WINNT\Updreg.exe O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\SBAudigy\Program\CTEaxSpl.EXE /run O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBAudigy\PROGRAM\ADGJDet.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programme\PestPatrol\PPControl.exe O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [PhotoShow Deluxe Media Manager] C:\PROGRA~1\Ahead\NEROPH~1\data\Xtras\mssysmgr.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Programme\Zone Labs\ZoneAlarm\zapro.exe O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://82.179.166.69/FPEo9DfrzzwSeiP...::/on-line.exe O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7.cab O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab O16 - DPF: {11111111-1111-1111-1111-511111193457} - file://c:\x.cab O16 - DPF: {11111111-1111-1111-1111-511111193458} - file://c:\x.cab O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - ms-its:mhtml:file://c:\nosuxyz.mht!http://hitcounter.ath.cx/loud.chm::/bridge-c18.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{280FDB4B-4117-44C1-87C2-33D40A1B1D72}: NameServer = 212.7.148.65 212.7.148.97 O17 - HKLM\System\CS1\Services\Tcpip\..\{280FDB4B-4117-44C1-87C2-33D40A1B1D72}: NameServer = 212.7.148.65 212.7.148.97 O18 - Filter: text/html - {C8394083-3ED0-4FA3-8BB9-35336133B816} - C:\WINNT\system32\nfln.dll O18 - Filter: text/plain - {C8394083-3ED0-4FA3-8BB9-35336133B816} - C:\WINNT\system32\nfln.dll O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINNT\system32\vbsys2 (file missing) O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINNT\system32\CTsvcCDA.EXE O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: Leadtek Driver Helper Service - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe Hoffe ihr könnt helfen! |
Überprüfe folgende Datei online bei http://virusscan.jotti.org/de C:\WINNT\system32\nfln.dll falls du die Datei nicht findest, nimm folgende Einstellungen im Windows-Explorer vor: Im Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren + Im Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren Fixe folgendes im abgesicherten Modus (beim booten F8 drücken) Alle R-Einträge, außer von dir gewollte. O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://82.179.166.69/FPEo9DfrzzwSei...m::/on-line.exe O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7.cab O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab O16 - DPF: {11111111-1111-1111-1111-511111193457} - file://c:\x.cab O16 - DPF: {11111111-1111-1111-1111-511111193458} - file://c:\x.cab O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - ms-its:mhtml:file://c:\nosuxyz.mht!http://hitcounter.ath.cx/loud.chm::/bridge-c18.cab O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINNT\system32\vbsys2 (file missing) Melde dich mit einem neuen Log und dem Ergebnis von Jotti wieder. |
sorry. ich bin absoluter neuling in diesem bereich. was meinst du mit fixen. welches programm nehme ich dazu. oder wie komme ich an solche einträge überhaupt ran das kam übrigens bei joggi raus: Service load: 0% 100% File: nfln.dll Status: POSSIBLY INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) (Note: this file was only classified as malware by scanners known to generate more false positives than the average scanner. Do not consider these results definately accurate. Also, because of this, results of this scan will not be recorded in the database.) Packers detected: None AntiVir No viruses found (0.68 seconds taken) Avast Win32:Startpage-006 (3.15 seconds taken) BitDefender No viruses found (0.76 seconds taken) ClamAV Trojan.Startpage-134 (0.81 seconds taken) Dr.Web No viruses found (1.09 seconds taken) F-Prot Antivirus No viruses found (0.12 seconds taken) Kaspersky Anti-Virus No viruses found (1.39 seconds taken) mks_vir No viruses found (0.37 seconds taken) NOD32 No viruses found (0.78 seconds taken) Norman Virus Control No viruses found (0.22 seconds taken) |
Fixen: mit HjT scannen, Haken setzen und "fix checked" anklicken. Da das Ergebnis von Jotti schon vorliegt, bitte zusätzlich folgendes fixen: O2 - BHO: (no name) - {5FA9688E-EEE7-4BA7-9E24-A2A556E0AD24} - C:\WINNT\system32\nfln.dll O18 - Filter: text/html - {C8394083-3ED0-4FA3-8BB9-35336133B816} - C:\WINNT\system32\nfln.dll O18 - Filter: text/plain - {C8394083-3ED0-4FA3-8BB9-35336133B816} - C:\WINNT\system32\nfln.dll lösche dann manuell: C:\WINNT\system32\nfln.dll |
man hat ja kein gutes gefühl dabei was aus system32 zu löschen. aber man staune. hat alles geklappt. vielen dank für deine schnelle hilfe. ich wurde vor einer system neuinstallation bewahrt. grüsse |
Als Vorbeugung: http://www.mathematik.uni-marburg.de...ompromise.html http://www.trojaner-board.de/showpos...28&postcount=2 (formatieren musst du natürlich nicht, aber die Tipps sind trotzdem gut :) ) mfg Haui |
Alle Zeitangaben in WEZ +1. Es ist jetzt 00:26 Uhr. |
Copyright ©2000-2025, Trojaner-Board