kleines problem mitm "fixen"
 

habe ein problem, diese eintraege zu fixen:

F0 - syst>m.ini: Shell=
F0 - R >ystem.ini: Shel>=
F0 - R >ystem.ini: UserInit=
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)

die online analyse raet mir, sie zu fixen, aber es geht nicht, beim naechsten check sind sie wieder da!!

mfg, sue

Hallo kathalena,

poste bitte erstmal ein Hijack This Logfile mittels copy&paste mit http://www.trojaner-board.de/51130-a...ijackthis.html .... dann können wir gemeinsam nachschauen und Dir raten, was zu tun ist.

SD

hi.

das war zwar ein teil in des hijack files (der teil, der MIR nicht "gefallen" hat und dem online analysier-programm auch nicht), aber bitte, hier das ganze:


Logfile of HijackThis v1.98.2
Scan saved at 23:45:49, on 2004/09/30
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\Program Files\VPN\cvpnd.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\atiptaxx.exe
C:\WINDOWS\System32\00THotkey.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\Program Files\AVPersonal\AVSched32.EXE
C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Opera7\opera.exe
C:\Program Files\zeug\HijackThis.exe

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [AVSCHED32] C:\Program Files\AVPersonal\AVSched32.EXE /min
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.1_01) -
O16 - DPF: {CAFEEFAC-0014-0001-0000-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1) -
O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{3DD19D8A-AEAE-4292-AC13-777EFED6A9F3}: NameServer = 195.34.133.10,195.34.133.11
O17 - HKLM\System\CS1\Services\Tcpip\..\{3DD19D8A-AEAE-4292-AC13-777EFED6A9F3}: NameServer = 195.34.133.10,195.34.133.11


mfg, kathalena

Fixe dies:

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm


Ansonsten sehe ich nix.
Was willst du denn noch fixen?

genau das is das problem (ich hab meinen ersten beitrag jetz nochmal gelesen und es ist mir jetzt klar, dass das nicht verstaendlich war), dass eben diese eintraege immer, wenn ich sie fixe, wieder auftauchen...
also diese extra button und extra tools gschichten tauchen immer wieder auf.

was soll ich tun?

mfg, kathalena

@kathalena

mit HJT scannen in der normalen modus,
fixen jedoch nur in den abgesicherten modus
vorher jedoch den systemwiederherstellung ausschalten.
nach den neustart natürlich wieder einschalten
chaosman

das war mir sowieso klar, so hab ichs auch gemacht.
die paar eintraege kommen trotzdem immer wieder.

mfg, kathalena

Poste mal ein Log, in dem die Einträge vorhanden sind.