Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   hijackthis-log, bitte um auswertung (https://www.trojaner-board.de/9600-hijackthis-log-bitte-um-auswertung.html)

schneebesen 14.11.2004 19:56
hijackthis-log, bitte um auswertung
 
Hallo,
ich habe anscheinend coolwebsearch und ein paar trojaner auf meinem rechner. das problem ist, dass ich sie schon mit diversen programmen gefunden und -angeblich- geloescht habe. Jedoch tauchen sie bei jedem neustart des Computers wieder auf. Die Programme, die ich ausprobiert habe: Anti-Vir, SpyBot Search&Destroy, SpySubtract und das darin enthaltene CWShredder und als letztes dann HijackThis. Von letzterem habe ich auch das Log-File hier reingestellt. Es wundert mich weiterhin, dass SpySubtract CoolWebsearch findet, CWShredder allerdings nicht. Von allen Versionen habe ich die neuesten updates heruntergeladen. Ich weiss nicht mehr, was ich noch machen soll und bin für jede Hilfe zutiefst dankbar, ehrlich.

gruss, sebastian


Hier also das Log-File:

StartupList report, 14.11.04, 19:03:28
StartupList version: 1.52.2
Started from : C:\PROGRAMME\HIJACKTHIS.EXE
Detected: Windows 98 SE (Win9x 4.10.2222A)
Detected: Internet Explorer v5.00 (5.00.2614.3500)
* Using default options
==================================================

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\APITR32.EXE
C:\PROGRAMME\HIJACKTHIS.EXE
C:\PROGRAMME\WEBDE\SMARTSURFER2.3\SMARTSURFER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE

--------------------------------------------------

Listing of startup folders:

Shell folders Startup:
[C:\WINDOWS\Startmenü\Programme\Autostart]
Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

SystemTray = SysTray.Exe
LoadPowerProfile = Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
EM_EXEC = C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE
AVGCtrl = C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
Zone Labs Client = "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

LoadPowerProfile = Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
SchedulingAgent = mstask.exe
ADDUC.EXE = C:\WINDOWS\ADDUC.EXE
TrueVector = C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
WINWH.EXE = C:\WINDOWS\SYSTEM\WINWH.EXE
APITR32.EXE = C:\WINDOWS\APITR32.EXE

--------------------------------------------------

File association entry for .TXT:
HKEY_CLASSES_ROOT\txtfile\shell\open\command

(Default) = C:\WINDOWS\NOTEPAD.EXE %1

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=Explorer.exe
SCRNSAVE.EXE=
drivers=mmsystem.dll power.drv

--------------------------------------------------

C:\WINDOWS\WININIT.BAK listing:
(Created 14/11/2004, 17:0:22)

[rename]
NUL=C:\WINDOWS\TEMPOR~1\CONTENT.IE5\INDEX.DAT
NUL=C:\WINDOWS\VERLAUF\HISTORY.IE5\INDEX.DAT
NUL=C:\WINDOWS\COOKIES\INDEX.DAT

--------------------------------------------------

C:\AUTOEXEC.BAT listing:

mode con codepage prepare=((850) C:\WINDOWS\COMMAND\ega.cpi)
mode con codepage select=850
keyb gr,,C:\WINDOWS\COMMAND\keyboard.sys
Set tvdumpflags=10

--------------------------------------------------


Enumerating Browser Helper Objects:

(no name) - C:\WINDOWS\SYSTEM\SYSUK32.DLL - {6B27B32D-461E-24CD-626F-90B916F9A990}

--------------------------------------------------

Enumerating Task Scheduler jobs:

Programmstart beschleunigen.job
Wartung - Programme defragmentieren.job
Wartung - ScanDisk.job
Wartung - Datenträgerbereinigung.job

--------------------------------------------------

Enumerating Download Program Files:

[Shockwave Flash Object]
InProcServer32 = C:\WINDOWS\SYSTEM\MACROMED\FLASH\FLASH.OCX
CODEBASE = http://download.macromedia.com/pub/s...sh/swflash.cab

[{33564D57-0000-0010-8000-00AA00389B71}]
CODEBASE = http://download.microsoft.com/downlo...22/wmv9VCM.CAB

[{11111111-1111-1111-1111-111111113458}]
CODEBASE = file://C:\WINDOWS\Tempor~1\Content.IE5\5HEOZA7J\explorer9[1].cab

[Attachment Upload Control]
InProcServer32 = C:\WINDOWS\DOWNLO~1\MAIL_U~1.OCX
CODEBASE = https://img.web.de/v/mail/activex/mail_upload_1123.cab

[{15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6}]
InProcServer32 = C:\WINDOWS\DOWNLOADED PROGRAM FILES\WINADCTLX.DLL
CODEBASE = http://public.windupdates.com/get_fi...a29296baabe1d6

[{386A771C-E96A-421F-8BA7-32F1B706892F}]
CODEBASE = http://www.xxxtoolbar.com/ist/softwa...06_regular.cab

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

WebCheck: C:\WINDOWS\SYSTEM\WEBCHECK.DLL

--------------------------------------------------
End of report, 5.208 bytes
Report generated in 0,199 seconds

Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only

Passat2002 14.11.2004 20:13
hi, kannst du uns das normale logfile auch hier hereinstellen, dazu
HijackThis starten, scan drücken, aus diesem button wird save, damit das logfile.txt erstellen, speichern und hier hereinkopieren.

schneebesen 14.11.2004 20:18
Oh, tut mir leid, ich hoffe so ist es richtig:

Logfile of HijackThis v1.98.2
Scan saved at 20:16:31, on 14.11.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.00 (5.00.2614.3500)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\APITR32.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\WEBDE\SMARTSURFER2.3\SMARTSURFER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\OPERA\OPERA.EXE
C:\PROGRAMME\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system\pmjrx.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system\pmjrx.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system\pmjrx.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system\pmjrx.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system\pmjrx.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system\pmjrx.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system\pmjrx.dll/sp.html#29126
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {6B27B32D-461E-24CD-626F-90B916F9A990} - C:\WINDOWS\SYSTEM\SYSUK32.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [APITR32.EXE] C:\WINDOWS\APITR32.EXE
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchbarcash.com
O16 - DPF: {11111111-1111-1111-1111-111111113458} - file://C:\WINDOWS\Tempor~1\Content.IE5\5HEOZA7J\explorer9[1].cab
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://img.web.de/v/mail/activex/mail_upload_1123.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...a29296baabe1d6
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} - http://www.xxxtoolbar.com/ist/softwa...06_regular.cab

Passat2002 14.11.2004 21:00
hi schneeprinzessin ohh besen

C:\WINDOWS\APITR32.EXE -> mit Jotti oder kaskersky überprüfen, wird eine schadsoftware festgestellt, den prozess mit dem windows-taskmanager beenden und mit dem windows-explorer manuell löschen.

Diese fixen, oder mit dem home search tool entfernen

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system\pmjrx.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system\pmjrx.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system\pmjrx.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system\pmjrx.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system\pmjrx.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system\pmjrx.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system\pmjrx.dll/sp.html#29126

fixen
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

wenn C:\WINDOWS\APITR32.EXE eine scahdsoftware, dann auch
O4 - HKLM\..\RunServices: [APITR32.EXE] C:\WINDOWS\APITR32.EXE

sagen dir diese 2 einträge etwas, wenn nein fixen
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=

alle 015 einträge, soweit nicht bekannt fixen und auch diese 016

O16 - DPF: {11111111-1111-1111-1111-111111113458} - file://C:\WINDOWS\Tempor~1\Content.IE5\5HEOZA7J\explorer9[1].cab
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} - http://www.xxxtoolbar.com/ist/softw...006_regular.cab

neues logfile posten

chaosman 14.11.2004 21:29
@schneebesen
zusätzlich fixen in abgesicherten modus
R3 - Default URLSearchHook is missing
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchbarcash.com
zusätzlich manuell löschen
C:\WINDOWS\web\related.htm

neues logfile posten
chaosman

schneebesen 15.11.2004 00:56
So,

hab alles gemacht, was ihr mir netterweise gesagt habt. allerdings konnte ich die iereset-dateien nicht löschen oder fixen oder sonstwas. die scheinen aber für alles verantwortlich zu sein.

Logfile of HijackThis v1.98.2
Scan saved at 00:51:46, on 15.11.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.00 (5.00.2614.3500)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\KASPERSKY LAB\KASPERSKY ANTI-VIRUS PERSONAL\KAVSVC.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\KASPERSKY LAB\KASPERSKY ANTI-VIRUS PERSONAL\KAV.EXE
C:\PROGRAMME\WEBDE\SMARTSURFER2.3\SMARTSURFER.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\HIJACKTHIS.EXE
C:\WINDOWS\SYSTEM\CRWF.EXE
C:\WINDOWS\SYSTEM\NETAG.EXE
C:\PROGRAMME\OPERA\OPERA.EXE

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
O2 - BHO: Class - {6B27B32D-461E-24CD-626F-90B916F9A990} - C:\WINDOWS\SYSTEM\SYSUK32.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [kavsvc] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O4 - HKLM\..\RunServices: [CRWF.EXE] C:\WINDOWS\SYSTEM\CRWF.EXE
O4 - HKLM\..\RunServices: [NETAG.EXE] C:\WINDOWS\SYSTEM\NETAG.EXE
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://img.web.de/v/mail/activex/mail_upload_1123.cab

Passat2002 15.11.2004 01:16
hi

C:\WINDOWS\SYSTEM\CRWF.EXE
C:\WINDOWS\SYSTEM\NETAG.EXE
C:\WINDOWS\SYSTEM\SYSUK32.DLL

diese 3 dateien mit dem jotti onlinescanner überprüfen, wird eine schadsoftware festgestellt, die entsprechende datei manuell löschen und den dazugehörenden startaufruf fixen.
z.B. C:\WINDOWS\SYSTEM\CRWF.EXE --> böse --> mit dem taskmanager beenden und mit dem explorer manuell löschen und fogenden eintrag fixen
O4 - HKLM\..\RunServices: [CRWF.EXE] C:\WINDOWS\SYSTEM\CRWF.EXE

nachfolgendes fixen, sollte dies nach einem neustart wieder vorhanden sein, in den abgesicherten modus wechslen und fixen wiederholen.

O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://img.web.de/v/mail/activex/mail_upload_1123.cab

schneebesen 15.11.2004 09:00
Hi,
so jetzt ist nur noch das allernötigste da. Allerdings bekomme ich die beiden iereset-dateien einfach nicht gefixt oder gelöscht. hijackthis zeigt sie mir an, aber auf dem rechner kann ich sie nicht finden. nach dem fixen tauchen sie einfach wieder in hijackthis auf. das programm sagt auch, dass sie zB von searchalot benutzt werden. also solange ich die nicht eliminieren kann, ist der rechner nicht sauber.
gruss, seb

Logfile of HijackThis v1.98.2
Scan saved at 09:01:18, on 15.11.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.00 (5.00.2614.3500)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\WEBDE\SMARTSURFER2.3\SMARTSURFER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\HIJACKTHIS.EXE
C:\PROGRAMME\OPERA\OPERA.EXE

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=

Shadowdance 15.11.2004 10:59
Servus schneebesen,

solange Du mit dieser Version des MSIE: Internet Explorer v5.00 (5.00.2614.3500) durchs Netz hüpfst, wird Dein Rechner auch nicht lange sauber bleiben. Ich hab auch windows98 drauf, aber trotzdem die neueste Version des IE, auch wenn ich den nicht mehr verwende ... der Mozilla Firefox gefällt mir viel besser.

Cidre hat mir gestern zu unlöschbaren Dateien auf dem System folgenden Rat gegeben: "Entweder die Dateien mit Hilfe von Killbox löschen oder mit HJT öffnen -> Config -> Misc Tools -> Delete a File on reboot -> navigiere dann zur betroffenen Datei -> Öffnen -> nächste Frage mit JA beantworten." Versuch mal damit die beiden

O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=

zu löschen. Und lies bitte dies:

- Vorbeugende Maßnahmen: www.trojaner-info.de
- IE sicher konfigurieren: www.datenschutzzentrum.de.
- www.mathematik.uni-marburg.de
- faq.underflow.de

SD

schneebesen 15.11.2004 21:28
hi!
Danke an alle, die mir bis jetzt geholfen haben. Da sich die iereset-dateien nicht fixen lassen und ich sie im rechner nicht finde, sodass ich sie auch nicht mit hjt beim booten löschen lassen kann, frage ich jetzt, ob es sinn macht, den internet-explorer zu deinstallieren (wie immer das auch geht) und dann eine neuere version zu installieren. werden die dateien dann mitgelöscht oder bleiben sie und machen das gleiche mit dem neuen ie?
gruss, seb

Shadowdance 15.11.2004 21:33
Hallo schneebesen,

hast Du es bereits damit versucht: Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren.

Warum fixed Du die beiden Einträge nicht mit Hijack This? Da siehst Du sie doch?

Nein, es macht keinen Sinn, den IE zu deinstallieren, lass ihn wie er ist und aktualisiere ihn.

SD

MountainKing 15.11.2004 21:40
Die IERESET-Einträge sind meines Erachtens nicht in dem Sinne Dateien, sondern Verweise auf geänderte Start- bzw. Suchseiten, da aber keine URL mehr dahintersteht, dürfte das eh unerheblich sein. Deinstalliere den IE NICHT, verwende aber einen Alternativbrowser wie opera oder firefox und halte den IE weiterhin mit Patches auf dem neuesten Stand. Vergib in den Internetoptionen eine neue Startseite und schau mal wie sich das auf diese Einträge auswirkt.

schneebesen 15.11.2004 21:45
hi SD,

diesen haken bei geschütze dateien gibts bei mir nicht, habe win98, weiss nicht obs daran liegt. "alle dateien anzeigen" ist aber aktiviert. bei hjt werden sie angezeitgt, ja, aber nach dem fixen sind sie sofort wieder da und wie du unten siehst, ist auch kein pfad angegeben. ich bin ratlos

seb


R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=

Shadowdance 15.11.2004 21:57
@ schneebesen,

lies mal MountainKings Beitrag über Deinem letzten Beitrag.

.. und besuche diese Seite: - Vorbeugende Maßnahmen ... dort findest Du die URL's zu alternativen Browsern.

[edit] bitte lesen:

- Entfernungs-Tools
- IE sicher konfigurieren und Browser-Sicherheit
- www.mathematik.uni-marburg.de
- faq.underflow.de [/edit]

SD

schneebesen 16.11.2004 10:26
Hi,

danke an alle, die mir geholfen haben. Am Ende habe ich die Datei gefunden, gelöscht und den ie auf 6.0 upgedated. scheint wieder alles gut zu sein.
danke nochmal,

seb


Alle Zeitangaben in WEZ +1. Es ist jetzt 22:11 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131