1. Liebe Forumsgemeinde,

    aufgrund der Bestimmungen, die sich aus der DSGVO ergeben, müssten umfangreiche Anpassungen am Forum vorgenommen werden, die sich für uns nicht wirtschaftlich abbilden lassen. Daher haben wir uns entschlossen, das Forum in seiner aktuellen Form zu archivieren und online bereit zu stellen, jedoch keine Neuanmeldungen oder neuen Kommentare mehr zuzulassen. So ist sichergestellt, dass das gesammelte Wissen nicht verloren geht, und wir die Seite dennoch DSGVO-konform zur Verfügung stellen können.
    Dies wird in den nächsten Tagen umgesetzt.

    Ich danke allen, die sich in den letzten Jahren für Hilfesuchende und auch für das Forum selbst engagiert haben. Ich bin weiterhin für euch erreichbar unter tti(bei)pcwelt.de.
    Dismiss Notice

Wie kriege ich die Seuche wieder los?

Discussion in 'Sicherheit' started by ProXtLiner, Mar 13, 2004.

Thread Status:
Not open for further replies.
  1. ProXtLiner

    ProXtLiner Byte

    Hi @ll

    Hier mein HiJackThis Log-file:
    -------------------------------------------------

    Logfile of HijackThis v1.97.5
    Scan saved at 14:41:03, on 13.03.2004
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\System32\SerExt.exe
    C:\WINDOWS\System32\NILaunch.exe
    C:\Programme\D-Tools\daemon.exe
    C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
    C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
    C:\WINDOWS\System32\RUNDLL32.EXE
    D:\Babylon\Babylon.exe
    C:\WINDOWS\System\system.exe
    D:\AntiVirPersonal\AVWUPSRV.EXE
    C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
    D:\Symantec\Norton Ghost 2003\GhostStartService.exe
    C:\WINDOWS\System32\nvsvc32.exe
    D:\ICQ\Icq.exe
    D:\eDonkey2000\edonkey2000.exe
    C:\Programme\Internet Explorer\IEXPLORE.EXE
    C:\Programme\Internet Explorer\IEXPLORE.EXE
    C:\Programme\Internet Explorer\IEXPLORE.EXE
    D:\Screenshot Maker\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://homepage.#@[url]www.ef#nder.cc/search/[/url] (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://homep#ge.com@w#w.efinder.cc/search/ (obfuscated)
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.pro#iner.de/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://homepage#m@www#er.cc/search/ (obfuscated)
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://homepa#e.com@[url]www.e#der.cc/hp/[/url] (obfuscated)
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://homepage.c#m@ww#efinder.cc/search/ (obfuscated)
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://homep#ge.com@[url]www.ef#der.cc/search/[/url] (obfuscated)
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://hom#age.com@#w.efinder.cc/search/ (obfuscated)
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://homepa#com@[url]www.efi#er.cc/search/[/url] (obfuscated)
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://homepage.#m@www#finder.cc/search/ (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://homep#e.com@[url]www.efi#er.cc/search/[/url] (obfuscated)
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: (no name) - {1F48AA48-C53A-4E21-85E7-AC7CC6B5FFB1} - C:\WINDOWS\mshpjl.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [NVCLOCK] rundll32 nvclock.dll,fnNvclock
    O4 - HKLM\..\Run: [SerExt] SerExt.exe /plug
    O4 - HKLM\..\Run: [Net-It Launcher] C:\WINDOWS\System32\NILaunch.exe
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [RDLL] RunDll16.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\RunServices: [RDLL] RunDll16.exe
    O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
    O4 - HKCU\..\Run: [Babylon Translator] D:\Babylon\Babylon.exe
    O4 - HKCU\..\Run: [System Update] C:\WINDOWS\System\system.exe
    O4 - HKCU\..\Run: [AddClass] C:\WINDOWS\AddClass.exe
    O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
    O9 - Extra button: ICQ Pro (HKLM)
    O9 - Extra 'Tools' menuitem: ICQ (HKLM)
    O9 - Extra button: NeoTrace It! (HKCU)
    O13 - DefaultPrefix: http://eh%#4p.cc/?
    O13 - WWW Prefix: http://eh%7#p.cc/?
    O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://dev-www.fi#anet.com/fpdlmgr/cabs/FPDC_1_0_0_41.cab
    O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea#/downloads/rtpatch/EARTPX.cab
    O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.1#.150/097c4ae44e7f91686517/netzip/RdxIE601_de.cab
    O16 - DPF: {6D15BD40-CCA6-11D2-A6A0-0060089A0EFF} (RWSO_IHB) - https://banking.rws#e/KSK_Ravensburg/srwso2001.cab


    O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamesp#cade.com/software/launch/alaunch.cab
    O16 - DPF: {A031D222-B496-11D2-9CC8-00105A10AAF6} (WONWebLauncher Class) - http://62.39#41.134/tools/FlipsideWebLauncherControl.cab
    O16 - DPF: {A1FE3DE0-CF77-11D4-8340-0080C8D7ED4A} (GINDEMON Class) - http://66.98.#.11/g_bin_eng/demon_2_0_0_6.cab
    O16 - DPF: {A7196C8E-35A5-4FF0-9E46-E28918B5CAF6} (GINDOMINO Class) - http://66.98#2.11/g_bin_eng/domino_2_0_0_6.cab
    O16 - DPF: {A9ED6AA2-D9D4-4D71-9586-E293E2E3580B} (GINMARBLESY Class) - http://66.98#.156/g_bin_eng/marbles_2_0_0_9.cab
    O16 - DPF: {AC120B1D-9411-4111-AF52-118052D85D45} (GINDARTS Class) - http://66.98.#.11/g_bin_eng/darts_2_0_0_16.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macrome#.com/pub/shockwave/cabs/flash/swflash.cab
    O16 - DPF: {DCB16E44-D6DB-473E-A251-F6FBB381C1C3} (GINCHESS Class) - http://66.98.1#.11/g_bin_eng/chess_2_0_0_6.cab
    O16 - DPF: {E23FABEE-12E3-33DA-DA12-195DAC123984} (GINMAHJONG Class) - http://66.98#2.11/g_bin_eng/mahjong_2_0_0_9.cab
    O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C1} (GINBILLARD8 Class) - http://66.9#32.11/g_bin_eng/billard8_2_0_0_12.cab

    O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C5} (GINSNOOKER Class) - http://66.#.132.11/g_bin_eng/snooker_2_0_0_6.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{CFEDC87A-24DF-4B4F-947C-18547A094082}: NameServer = 62.134.11.4 195.182.110.132

    ------------------------------------------------------
    Die ganze efinder-Zeilen lösche immerwieder, und das mit %6546% (2 Zeilen auch), die tauchen wieder auf. Was noch?
    Ad-Aware 6 findet auch 6 Files, die ich dann lösche, nach paar Tagen ist alles wiede da.
    Wie kriege ich es los?

    Danke im Voraus
     
    ProXtLiner, Mar 13, 2004
    #1
  2. Gast

    Gast Guest

    C:\WINDOWS\System32\SerExt.exe
    C:\WINDOWS\System32\NILaunch.exe

    Fragwürdig

    C:\WINDOWS\System\system.exe

    Böse. Weg!

    R1/R0 fixen lassen (und maskiere doch mal bitte hier die LInks, damit da niemand draufklickt)

    O2 - BHO: (no name) - {1F48AA48-C53A-4E21-85E7-AC7CC6B5FFB1} - C:\WINDOWS\mshpjl.dll

    Böse. Weg!

    O4 - HKLM\..\Run: [SerExt] SerExt.exe /plug
    O4 - HKLM\..\Run: [Net-It Launcher] C:\WINDOWS\System32\NILaunch.exe

    Siehe oben

    O4 - HKLM\..\Run: [RDLL] RunDll16.exe
    O4 - HKLM\..\RunServices: [RDLL] RunDll16.exe

    Ganz böse. Weg!

    O4 - HKCU\..\Run: [System Update] C:\WINDOWS\System\system.exe

    Weg!

    O4 - HKCU\..\Run: [AddClass] C:\WINDOWS\AddClass.exe

    Fragwürdig

    O13 - DefaultPrefix: h**p://%65%68%74%74%70%2E%63%63/?
    O13 - WWW Prefix: h**p://%65%68%74%74%70%2E%63%63/?

    Böse. Fixen lassen.

    O16 - Alles mehr oder minder fragwürdig.

    Verdankst du alles hauptsächlich deinem Internet Exploder/Outbreak Exzess und deinem Klickverhalten. Mächtig großer Fehler.
    Wechsle die besagten Dinge und ändere dein Verhalten.
    Dein System wird vermutlich bereits so durchseucht sein, dass auch ein Image Malware enthält. Daher meine DRINGENDE EMPFEHLUNG: Neu aufsetzen.
     
    Gast, Mar 13, 2004
    #2
  3. Wolfgang77

    Wolfgang77 Ganzes Gigabyte

    Hallo,

    du hast ja Norton Ghost 2003... spiele einfach das Image deiner Systempartition zurück..

    Ich pers. leiste keinen Support mehr für Filesharer die sich Viren und Trojaner einfangen..

    siehe hier:
    D:\eDonkey2000\edonkey2000.exe

    Grüße
    Wolfgang
     
    Wolfgang77, Mar 13, 2004
    #3
  4. whisky

    whisky Ganzes Gigabyte

    Ganz einfach - deinstallier die Filesharprogramme - halte dein System mit Patches aktuell - surf mit Sicheren Browsern......

    Spybot Search& Destroy oder CWSShredder
     
    whisky, Mar 13, 2004
    #4
  5. whisky

    whisky Ganzes Gigabyte

    Das nächste mal entschärfe deine Links sonst klickt noch jemand drauf und fängt sich das selbe Zeug ein.

    Was anderes - dein IE schreit nach Updates ;)
     
    whisky, Mar 13, 2004
    #5
Thread Status:
Not open for further replies.

Share This Page