|
HijackThis Bericht bitte mal anschauen. Hallo! Bin neu hier entschuldigt also falls ich was falsch mache. :rolleyes: Würdet ihr euch das mal anschauen und mir sagen ob hier was nicht stimmt? Hab nähmlich nen Problem mit ner Startseite die sich nicht ändern lässt. Logfile of HijackThis v1.97.7 Scan saved at 18:45:41, on 29.10.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\slserv.exe C:\WINDOWS\wanmpsvc.exe C:\WINDOWS\SOUNDMAN.EXE C:\ATI-CPanel\atiptaxx.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\AVPersonal\AVSched32.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\Programme\FRITZ!\IWatch.exe C:\WINDOWS\System32\servises.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\explorer.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Spybot - Search & Destroy\SpybotSD.exe C:\Dokumente und Einstellungen\Willi K \Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hjt.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\rpcnt4.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\rpcnt4.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\rpcnt4.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\rpcnt4.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\rpcnt4.dll/sp.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\rpcnt4.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {37711AAC-AE71-449F-B3A9-5B9CD055C73B} - C:\WINDOWS\System32\rpcnt4.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {53D3C442-8FEE-4784-9A21-6297D39613F0} - C:\WINDOWS\System32\Winad2.dll (file missing) O2 - BHO: (no name) - {A7717771-E8CA-11D3-9CD9-1110271D075B} - C:\WINDOWS\System32\msacmx.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: Adobe Gamma Loader.lnk = ? O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O9 - Extra button: Real.com (HKLM) O15 - Trusted Zone: http://*.63.219.181.7 O16 - DPF: {52290B25-D07A-43B5-84D8-493116D50FA0} (WebPlugin Class) - http://webinstall.tscash.com/webinstall.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{0CAA816E-02C8-49E7-916C-0A8350B5177B}: NameServer = 195.50.140.250 145.253.2.203 O17 - HKLM\System\CS1\Services\Tcpip\..\{0CAA816E-02C8-49E7-916C-0A8350B5177B}: NameServer = 195.50.140.250 145.253.2.203 DANKE! |
Hallo Will, du hats nicht nur ein Problem mit der Startseite! Lösche: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\rpcnt4.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\rpcnt4.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\rpcnt4.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\rpcnt4.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\rpcnt4.dll/sp.html (obfuscated) und noch vieles mehr. Leute, habe ich heute alleine Dienst und das am ersten Tag? Bis gleich ich muss noch einkaufen. |
@Will Poste mal bitte ein Log mit der aktuellen Version 1.98.2 von Hijackthis |
Spybot-Forschung. Arbeite das Tutorial Punkt für Punkt durch, überprüfe Deinen Computer mit Spybot 1.3.1TX, lasse bestehende Probleme beheben. Erstelle einen Spybot-Report und sende ihn an detections@spybot.info, mit dem Betreff "Beschreibung eingeben-TBOARD" mit Hinweis auf den betreffenden Thread. Systemwiederherstellung deaktivieren, in den abgesicherten Modus booten: http://www.bsi.bund.de/av/texte/wiederher_xp.htm Mit Hijackthis fixen (Scan/genannte Einträge markieren/"Fix checked" klicken): R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\rpcnt4.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\rpcnt4.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\rpcnt4.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\rpcnt4.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\rpcnt4.dll/sp.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\rpcnt4.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {37711AAC-AE71-449F-B3A9-5B9CD055C73B} - C:\WINDOWS\System32\rpcnt4.dll O2 - BHO: (no name) - {53D3C442-8FEE-4784-9A21-6297D39613F0} - C:\WINDOWS\System32\Winad2.dll (file missing) O15 - Trusted Zone: http://*.63.219.181.7 O16 - DPF: {52290B25-D07A-43B5-84D8-493116D50FA0} (WebPlugin Class) - http://webinstall.tscash.com/webinstall.cab Lösche die in den Einträgen genannten Dateien, boote normal und aktiviere die Systemwiederherstellung, erstelle eine neues Log und poste es. |
Zitat:
Die Beta-Beta-Spybot-Forschungs Datei gibt es momentan nicht. :blabla: |
Hallo! Erst mal danke für die Hilfe. Hab es so gemacht wie Mountain King gesagt hat. Das mit dem Report hat aber nicht geklappt. Wie geht denn das?Zudem kann Spybot etwas namens DSO Exploit nicht löschen.Warum? Naja, hier kommt ein neuer scan wobei es nicht möglich war die 015 zu löschen. Logfile of HijackThis v1.97.7 Scan saved at 23:17:06, on 29.10.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\slserv.exe C:\WINDOWS\wanmpsvc.exe C:\WINDOWS\SOUNDMAN.EXE C:\ATI-CPanel\atiptaxx.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\AVPersonal\AVSched32.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\Programme\FRITZ!\IWatch.exe C:\Programme\Spybot - Search & Destroy\SpybotSD.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\System32\wuauclt.exe C:\Dokumente und Einstellungen\Willi K\Lokale Einstellungen\Temp\Temporäres Verzeichnis 6 für hjt.zip\HijackThis.exe R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\rpcnt4.dll/sp.html (obfuscated) O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {A7717771-E8CA-11D3-9CD9-1110271D075B} - C:\WINDOWS\System32\msacmx.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: Adobe Gamma Loader.lnk = ? O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O9 - Extra button: Real.com (HKLM) O15 - Trusted Zone: http://*.63.219.181.7 O17 - HKLM\System\CCS\Services\Tcpip\..\{0CAA816E-02C8-49E7-916C-0A8350B5177B}: NameServer = 195.50.140.250 145.253.2.203 O17 - HKLM\System\CS1\Services\Tcpip\..\{0CAA816E-02C8-49E7-916C-0A8350B5177B}: NameServer = 195.50.140.250 145.253.2.203 |
DSO Exploit findet Spybot immer - das ist ein Programmfehler, der (eigentlich) bald behoben werden sollte. Poste bitte nochmals ein Log mit der aktuellen Version von HijackThis: 1.98.2 Dann schauen wir mal weiter ... |
Wo bekomm ich die denn her? |
Geh einfach auf www.hijackthis.de und klicke einfach auf "Direktdownload". |
Habs schon gefunden. Hier der Scan mit der neuen Version: Logfile of HijackThis v1.98.2 Scan saved at 23:40:23, on 29.10.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\slserv.exe C:\WINDOWS\wanmpsvc.exe C:\WINDOWS\SOUNDMAN.EXE C:\ATI-CPanel\atiptaxx.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\AVPersonal\AVSched32.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\Programme\FRITZ!\IWatch.exe C:\Programme\Spybot - Search & Destroy\SpybotSD.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\System32\wuauclt.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Dokumente und Einstellungen\Willi K\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\rpcnt4.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {A7717771-E8CA-11D3-9CD9-1110271D075B} - C:\WINDOWS\System32\msacmx.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: Adobe Gamma Loader.lnk = ? O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O15 - Trusted Zone: http://*.63.219.181.7 O17 - HKLM\System\CCS\Services\Tcpip\..\{0CAA816E-02C8-49E7-916C-0A8350B5177B}: NameServer = 195.50.140.250 145.253.2.203 O17 - HKLM\System\CS1\Services\Tcpip\..\{0CAA816E-02C8-49E7-916C-0A8350B5177B}: NameServer = 195.50.140.250 145.253.2.203 O18 - Filter: text/html - {537742AD-80D1-420C-9229-9BB7E44C0ED1} - C:\WINDOWS\System32\rpcnt4.dll O18 - Filter: text/plain - {537742AD-80D1-420C-9229-9BB7E44C0ED1} - C:\WINDOWS\System32\rpcnt4.dll |
Schicke die Datei C:\WINDOWS\System32\msacmx.dll an partytime-germany.ice@web.de Anschl. lösche diese Dateien im abgesichten Modus: C:\WINDOWS\System32\msacmx.dll C:\WINDOWS\System32\rpcnt4.dll Solltest du die Dateien nicht finden, aktiviere in den Ordneroptionen "Alle Dateien anzeigen" und "Geschützte Systemdateien anzeigen". Dann fixe dies mit HijackThis: R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\rpcnt4.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {A7717771-E8CA-11D3-9CD9-1110271D075B} - C:\WINDOWS\System32\msacmx.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O15 - Trusted Zone: http://*.63.219.181.7 O18 - Filter: text/html - {537742AD-80D1-420C-9229-9BB7E44C0ED1} - C:\WINDOWS\System32\rpcnt4.dll O18 - Filter: text/plain - {537742AD-80D1-420C-9229-9BB7E44C0ED1} - C:\WINDOWS\System32\rpcnt4.dll Bitte vergesse nicht die oben genannte Datei an die Adresse zu schicken. Ich vermute dahinter neue Malware. |
Kann 015 immer noch nicht löschen. Außerdem finde ich rpcnt4.dll trotz aller Ratschläge nicht. |
P.S.:Verreise leider so das ich dann längere Zeit nicht an den Computer komm. Wenn ihr jedoch noch ein paaar Ratschläge habt schreibe ich sie mir gerne für später auf. Danke bis dahin! |
Dann dürfte sie gar nicht mehr da sein ... Poste zum Abschluss nochmal ein neues Log von HijackThis. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 03:30 Uhr. |
Copyright ©2000-2025, Trojaner-Board