|
Hilfe, Problem mit .ink Endung und Startseite Hallo habe ein Problem: Meine Dateien enden alle auf .ink. Was ist das? Und meine IE6 Startseite ist irgendeine scheiss Seite, die nicht mehr weggeht. Habs schon mit Adaware und traxex und sowas probiert, aber kein Erfolg Hier mein HiJackthis.log Bitte helft mir!!!!! Logfile of HijackThis v1.99.1 Scan saved at 22:59:04, on 22.02.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\rpcss_pl.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\TraXEx\TraXEx.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Stef\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://mysearchpage.biz/bar.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://mysearchpage.biz/search.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://mysearchpage.biz/bar.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://mysearchpage.biz/search.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://mysearchpage.biz/searchassistant.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://mysearchpage.biz/customizesearch.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://mysearchpage.biz/searchassistant.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://mysearchpage.biz/customizesearch.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://mysearchpage.biz/local.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://mysearchpage.biz/local.html O2 - BHO: {1E1B286C-88FF-11D2-8D96-D7ACAC95951F} - {0E234239-88FF-11D2-8446-D7234234421F} - C:\WINDOWS\System32\msasmsn4.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: TraXEx 3.0.lnk = C:\Programme\TraXEx\TraXEx.exe O9 - Extra button: IE-Spuren löschen - {6C7C0C9A-B51D-4ADB-A74D-C4E33744F866} - C:\Programme\TraXEx\Integration\TraXEx 3.0 Internet Explorer.lnk O9 - Extra button: Löschautomat - {8DA7743F-9274-4BE8-899E-C0FF6ED61B00} - C:\Programme\TraXEx\Integration\TraXEx 3.0 Löschautomat.lnk O17 - HKLM\System\CCS\Services\Tcpip\..\{D947E19B-8B57-490F-BE6D-B9AF84ACB04F}: NameServer = 212.114.152.1 212.114.153.1 O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: RPC+ Service Provider (RPCSS+) - Unknown owner - C:\WINDOWS\System32\rpcss_pl.exe |
Hi, das da: Windows XP SP1 ist schon Dein erstes Problem, es fehlt SP2, das viele Sicherheitslöcher stopft. Weiterhin hast du viel drauf, was nicht sein soll. Bevor wir aber bereinigen möchte ich, daß Du folgende Dateien bei Jotti online scannst: C:\WINDOWS\System32\msasmsn4.dll C:\WINDOWS\System32\rpcss_pl.exe Berichte dann bitte jeweils über das 10-zeilige Ergebnis. cacatoa |
Hier die Daten: File: msasmsn4.dll Status: MIGHT BE INFECTED/MALWARE (Sandbox emulation took a long time and/or runtime packers were found, this is suspicious. Normally programs aren't packed and don't force the sandbox into lengthy emulation. Do realize no scanner issued any warning, the file can very well be harmless. Caution is advised, however.) (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) Packers detected: UPX AntiVir No viruses found (0.39 seconds taken) Avast No viruses found (1.52 seconds taken) AVG Antivirus No viruses found (0.44 seconds taken) BitDefender No viruses found (0.48 seconds taken) ClamAV No viruses found (0.72 seconds taken) Dr.Web No viruses found (1.64 seconds taken) F-Prot Antivirus No viruses found (0.14 seconds taken) Fortinet No viruses found (0.82 seconds taken) Kaspersky Anti-Virus No viruses found (3.71 seconds taken) mks_vir No viruses found (0.95 seconds taken) NOD32 No viruses found (2.13 seconds taken) Norman Virus Control No viruses found (0.80 seconds taken) Statistics Last piece of malware found was Worm/Zusha.A in rBot.exe, detected by: Scanner Malware name Time taken AntiVir Worm/Zusha.A 1.12 seconds Avast Win32:SdBot-194-B 3.05 seconds AVG Antivirus IRC/BackDoor.SdBot 0.43 seconds BitDefender Backdoor.RBot.E01B597E 0.47 seconds ClamAV Trojan.Mybot.gen-171 0.60 seconds Dr.Web Win32.HLLW.MyBot.based 1.01 seconds F-Prot Antivirus X 0.10 seconds Fortinet X 0.41 seconds Kaspersky Anti-Virus Backdoor.Win32.Rbot.gen 0.99 seconds mks_vir X 0.26 seconds NOD32 probably unknown NewHeur_PE 0.50 seconds Norman Virus Control Sandbox: W32/Spybot.gen4 14.69 seconds Bei der zweiten Datei kommt folgende Meldung: The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file Hab schon die Firewall ausgeschalten und probiert, geht aber net. |
Zitat:
Da ist eigentlich nur folgendes zu empfehlen: http://www.trojaner-board.de/showthread.php?t=12154 |
Hi, cronos! So schlimm ist´s nicht; das da: Zitat:
Er kann die Dateien löschen. |
:headbang: :headbang: :headbang: :headbang: Ich Volldepp.Sind ja auch ganz unterschiedliche Dinger, die er dann in einer .dll gefunden hätte. :headbang: :headbang: :headbang: :headbang: Ich hab ja schon mal drauf hingewiesen, dass so was nur Statistiken sind und das der Status wichtig ist.Was hab ich mir dabei gedacht?Eieieiei |
@ cronos: 8 headbangs sind eindeutig zu viel *g* Und es wäre furchtbar, wenn Du nicht auch mal einen kleinen Fehler machen würdest... LG cacatoa |
Hi Leute ist das wahr von cronos? Muss ich das wirklich tun, was er sagt, oder was genau muss ich löschen? Cacatoa? Welche muss ich löschen? Danke |
Hi, nein, war ein Versehen von cronos. Ich schau gleich Dein Log nochmal an. cacatoa |
So, jetzt: 1. System ist nicht up to date: Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) auf SP2 updaten. Dann im abgesicherten Modus bei deaktivierter Systemwiederherstellung mit HJT fixen (nach dem scan ein Häkchen an den von mir genannten Punkten machen und unten auf "fix checked" clicken): C:\WINDOWS\System32\rpcss_pl.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://mysearchpage.biz/bar.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://mysearchpage.biz/search.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://mysearchpage.biz/bar.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://mysearchpage.biz/search.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://mysearchpage.biz/searchassistant.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://mysearchpage.biz/customizesearch.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://mysearchpage.biz/searchassistant.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://mysearchpage.biz/customizesearch.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://mysearchpage.biz/local.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://mysearchpage.biz/local.html O2 - BHO: {1E1B286C-88FF-11D2-8D96-D7ACAC95951F} - {0E234239-88FF-11D2-8446-D7234234421F} - C:\WINDOWS\System32\msasmsn4.dll O23 - Service: RPC+ Service Provider (RPCSS+) - Unknown owner - C:\WINDOWS\System32\rpcss_pl.exe Der Eintrag O23 wird durch das fixen nur beendet. Du mußt folgendes noch machen: Zitat:
Weiterhin immer noch im abgesicherten Modus folgende DAteien manuell löschen: C:\WINDOWS\System32\rpcss_pl.exe C:\WINDOWS\System32\msasmsn4.dll Dann neu booten, Systemwiederherstellung an und neues Logfile posten. cacatoa |
@stengelhardt Das wahr ein richtiger Faux-pas meinerseits. Richte dich nach cacatoas Anweisungen. Tut mir wirklich leid, aber zu dem Zeitpunkt war ich wohl echt nicht bei mir. Bin aber froh, dass du dein System noch nicht platt gemacht hast. |
Zitat:
AntiVir W32/Parite 0.37 seconds Avast Win32:Parite 1.53 seconds AVG Antivirus Win32/Parite 0.42 seconds BitDefender Win32.Parite.B 0.46 seconds ClamAV W32.Parite.B 0.62 seconds Dr.Web BackDoor.IRC.Sdbot 0.87 seconds F-Prot Antivirus W32/Parite.B 0.09 seconds Fortinet W32/Parite.B 0.42 seconds Kaspersky Anti-Virus Virus.Win32.Parite.b 0.98 seconds mks_vir Trojan.Sdbot.Gen 0.22 seconds NOD32 Win32/Parite.B 0.46 seconds Norman Virus Control W95/Pinfi.A 0.19 second wobei mir Fortinet noch komplett unbekannt ist |
hi HijackThis niemals aus einem temp. ordner (C:\-------\temp\----- ausführen, das programm so anlegen Zitat:
|
Hi Leute Hab etz meine Platte gelöscht und formatiert und Windows neu drauf. Hab alles auch geupdatet auf XP Service Pack 2 und so. Hab allerdings immer noch die Sache, dass meine Dateien auf dem Desktop z.B. fast alle auf .ink enden. Z.B. Daemon Tools.ink oder Nefkom.Ink oder so. Was ist das und was kann man machen? |
^^ das ist normal. .lnk ist ja die verknüpfungserweiterung. kannste nur dafür sorgen, das die endungen net angezeigt werden.. klick im explorer auf extras, klick auf ordneroptionen, klick auf ansicht, haken hin bei "dateierweiterungen bei bekannten Dateitypen ausblenden" ,übernehmen, OK. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 19:06 Uhr. |
Copyright ©2000-2025, Trojaner-Board