Wie kriege ich die Seuche wieder los?

Dieses Thema im Forum "Sicherheit" wurde erstellt von ProXtLiner, 13. März 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. ProXtLiner

    ProXtLiner Byte

    Registriert seit:
    20. Dezember 2003
    Beiträge:
    54
    Hi @ll

    Hier mein HiJackThis Log-file:
    -------------------------------------------------

    Logfile of HijackThis v1.97.5
    Scan saved at 14:41:03, on 13.03.2004
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\System32\SerExt.exe
    C:\WINDOWS\System32\NILaunch.exe
    C:\Programme\D-Tools\daemon.exe
    C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
    C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
    C:\WINDOWS\System32\RUNDLL32.EXE
    D:\Babylon\Babylon.exe
    C:\WINDOWS\System\system.exe
    D:\AntiVirPersonal\AVWUPSRV.EXE
    C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
    D:\Symantec\Norton Ghost 2003\GhostStartService.exe
    C:\WINDOWS\System32\nvsvc32.exe
    D:\ICQ\Icq.exe
    D:\eDonkey2000\edonkey2000.exe
    C:\Programme\Internet Explorer\IEXPLORE.EXE
    C:\Programme\Internet Explorer\IEXPLORE.EXE
    C:\Programme\Internet Explorer\IEXPLORE.EXE
    D:\Screenshot Maker\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://homepage.#@[url]www.ef#nder.cc/search/[/url] (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://homep#ge.com@w#w.efinder.cc/search/ (obfuscated)
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.pro#iner.de/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://homepage#m@www#er.cc/search/ (obfuscated)
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://homepa#e.com@[url]www.e#der.cc/hp/[/url] (obfuscated)
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://homepage.c#m@ww#efinder.cc/search/ (obfuscated)
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://homep#ge.com@[url]www.ef#der.cc/search/[/url] (obfuscated)
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://hom#age.com@#w.efinder.cc/search/ (obfuscated)
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://homepa#com@[url]www.efi#er.cc/search/[/url] (obfuscated)
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://homepage.#m@www#finder.cc/search/ (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://homep#e.com@[url]www.efi#er.cc/search/[/url] (obfuscated)
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: (no name) - {1F48AA48-C53A-4E21-85E7-AC7CC6B5FFB1} - C:\WINDOWS\mshpjl.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [NVCLOCK] rundll32 nvclock.dll,fnNvclock
    O4 - HKLM\..\Run: [SerExt] SerExt.exe /plug
    O4 - HKLM\..\Run: [Net-It Launcher] C:\WINDOWS\System32\NILaunch.exe
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [RDLL] RunDll16.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\RunServices: [RDLL] RunDll16.exe
    O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
    O4 - HKCU\..\Run: [Babylon Translator] D:\Babylon\Babylon.exe
    O4 - HKCU\..\Run: [System Update] C:\WINDOWS\System\system.exe
    O4 - HKCU\..\Run: [AddClass] C:\WINDOWS\AddClass.exe
    O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
    O9 - Extra button: ICQ Pro (HKLM)
    O9 - Extra 'Tools' menuitem: ICQ (HKLM)
    O9 - Extra button: NeoTrace It! (HKCU)
    O13 - DefaultPrefix: http://eh%#4p.cc/?
    O13 - WWW Prefix: http://eh%7#p.cc/?
    O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://dev-www.fi#anet.com/fpdlmgr/cabs/FPDC_1_0_0_41.cab
    O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea#/downloads/rtpatch/EARTPX.cab
    O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.1#.150/097c4ae44e7f91686517/netzip/RdxIE601_de.cab
    O16 - DPF: {6D15BD40-CCA6-11D2-A6A0-0060089A0EFF} (RWSO_IHB) - https://banking.rws#e/KSK_Ravensburg/srwso2001.cab


    O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamesp#cade.com/software/launch/alaunch.cab
    O16 - DPF: {A031D222-B496-11D2-9CC8-00105A10AAF6} (WONWebLauncher Class) - http://62.39#41.134/tools/FlipsideWebLauncherControl.cab
    O16 - DPF: {A1FE3DE0-CF77-11D4-8340-0080C8D7ED4A} (GINDEMON Class) - http://66.98.#.11/g_bin_eng/demon_2_0_0_6.cab
    O16 - DPF: {A7196C8E-35A5-4FF0-9E46-E28918B5CAF6} (GINDOMINO Class) - http://66.98#2.11/g_bin_eng/domino_2_0_0_6.cab
    O16 - DPF: {A9ED6AA2-D9D4-4D71-9586-E293E2E3580B} (GINMARBLESY Class) - http://66.98#.156/g_bin_eng/marbles_2_0_0_9.cab
    O16 - DPF: {AC120B1D-9411-4111-AF52-118052D85D45} (GINDARTS Class) - http://66.98.#.11/g_bin_eng/darts_2_0_0_16.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macrome#.com/pub/shockwave/cabs/flash/swflash.cab
    O16 - DPF: {DCB16E44-D6DB-473E-A251-F6FBB381C1C3} (GINCHESS Class) - http://66.98.1#.11/g_bin_eng/chess_2_0_0_6.cab
    O16 - DPF: {E23FABEE-12E3-33DA-DA12-195DAC123984} (GINMAHJONG Class) - http://66.98#2.11/g_bin_eng/mahjong_2_0_0_9.cab
    O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C1} (GINBILLARD8 Class) - http://66.9#32.11/g_bin_eng/billard8_2_0_0_12.cab

    O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C5} (GINSNOOKER Class) - http://66.#.132.11/g_bin_eng/snooker_2_0_0_6.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{CFEDC87A-24DF-4B4F-947C-18547A094082}: NameServer = 62.134.11.4 195.182.110.132

    ------------------------------------------------------
    Die ganze efinder-Zeilen lösche immerwieder, und das mit %6546% (2 Zeilen auch), die tauchen wieder auf. Was noch?
    Ad-Aware 6 findet auch 6 Files, die ich dann lösche, nach paar Tagen ist alles wiede da.
    Wie kriege ich es los?

    Danke im Voraus
     
  2. Gast

    Gast Guest

    C:\WINDOWS\System32\SerExt.exe
    C:\WINDOWS\System32\NILaunch.exe

    Fragwürdig

    C:\WINDOWS\System\system.exe

    Böse. Weg!

    R1/R0 fixen lassen (und maskiere doch mal bitte hier die LInks, damit da niemand draufklickt)

    O2 - BHO: (no name) - {1F48AA48-C53A-4E21-85E7-AC7CC6B5FFB1} - C:\WINDOWS\mshpjl.dll

    Böse. Weg!

    O4 - HKLM\..\Run: [SerExt] SerExt.exe /plug
    O4 - HKLM\..\Run: [Net-It Launcher] C:\WINDOWS\System32\NILaunch.exe

    Siehe oben

    O4 - HKLM\..\Run: [RDLL] RunDll16.exe
    O4 - HKLM\..\RunServices: [RDLL] RunDll16.exe

    Ganz böse. Weg!

    O4 - HKCU\..\Run: [System Update] C:\WINDOWS\System\system.exe

    Weg!

    O4 - HKCU\..\Run: [AddClass] C:\WINDOWS\AddClass.exe

    Fragwürdig

    O13 - DefaultPrefix: h**p://%65%68%74%74%70%2E%63%63/?
    O13 - WWW Prefix: h**p://%65%68%74%74%70%2E%63%63/?

    Böse. Fixen lassen.

    O16 - Alles mehr oder minder fragwürdig.

    Verdankst du alles hauptsächlich deinem Internet Exploder/Outbreak Exzess und deinem Klickverhalten. Mächtig großer Fehler.
    Wechsle die besagten Dinge und ändere dein Verhalten.
    Dein System wird vermutlich bereits so durchseucht sein, dass auch ein Image Malware enthält. Daher meine DRINGENDE EMPFEHLUNG: Neu aufsetzen.
     
  3. Wolfgang77

    Wolfgang77 Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2002
    Beiträge:
    20.804
    Hallo,

    du hast ja Norton Ghost 2003... spiele einfach das Image deiner Systempartition zurück..

    Ich pers. leiste keinen Support mehr für Filesharer die sich Viren und Trojaner einfangen..

    siehe hier:
    D:\eDonkey2000\edonkey2000.exe

    Grüße
    Wolfgang
     
  4. whisky

    whisky Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2001
    Beiträge:
    11.014
    Ganz einfach - deinstallier die Filesharprogramme - halte dein System mit Patches aktuell - surf mit Sicheren Browsern......

    Spybot Search& Destroy oder CWSShredder
     
  5. whisky

    whisky Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2001
    Beiträge:
    11.014
    Das nächste mal entschärfe deine Links sonst klickt noch jemand drauf und fängt sich das selbe Zeug ein.

    Was anderes - dein IE schreit nach Updates ;)
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen