Habe mir einen Dialer eingefangen, der sich nicht löschen lässt.
Hat sich unter c:/programme/WebSiteViewer installiert.
Außerdem spinnt mein IE und mein Firefox. Alle paar Minuten
wechseln die zu ner Suchseite.
Wer kann mir helfen?
Bin kein Experte, also bitte in Kindersprache erklären
Danke!!!!!!
Hier mein Log-file:
Logfile of HijackThis v1.99.0
Scan saved at 15:52:20, on 18.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Dokumente und Einstellungen\Biggs\Eigene Dateien\Programme\VPN4\cvpnd.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\System32\PRISMSTA.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Dokumente und Einstellungen\Biggs\Eigene Dateien\Programme\CLONE CD\CloneCD\CloneCDTray.exe
C:\Dokumente und Einstellungen\Biggs\Eigene Dateien\Programme\daemon.exe
C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe
C:\WINDOWS\System32\open32.exe
C:\WINDOWS\System32\tibs3.exe
C:\WINDOWS\System32\mszx23.exe
C:\WINDOWS\DitExp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Dokumente und Einstellungen\Biggs\Eigene Dateien\Programme\Adobe\Distillr\acrotray.exe
C:\Dokumente und Einstellungen\Biggs\Eigene Dateien\Programme\VPN4\vpngui.exe
C:\WINDOWS\FSScrCtl.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Dokumente und Einstellungen\Biggs\Eigene Dateien\Programme\Firefox\firefox.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\Biggs\Eigene Dateien\downloads\HijackThis.exe
C:\WINDOWS\notepad.exe
C:\WINDOWS\system32\dgnet.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\sfcman32.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\sfcman32.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\sfcman32.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\sfcman32.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\sfcman32.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\sfcman32.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.1
F3 - REG:win.ini: load=C:\TBridge\Flatbed.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Dokumente und Einstellungen\Biggs\Eigene Dateien\Programme\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Name - {152BDFB1-F3E9-41A7-BD60-790E9D1FA884} - C:\WINDOWS\System32\msske.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Dokumente und Einstellungen\Biggs\Eigene Dateien\Programme\Spybot\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {67256D9D-5E88-46EA-A48E-1B3D1D16EEA5} - C:\WINDOWS\System32\sfcman32.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\DOKUME~1\Biggs\EIGENE~1\PROGRA~1\flashget\FlashGet\jccatc h.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Dokumente und Einstellungen\Biggs\Eigene Dateien\Programme\Adobe\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Dokumente und Einstellungen\Biggs\Eigene Dateien\Programme\Adobe\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\DOKUME~1\Biggs\EIGENE~1\PROGRA~1\flashget\FlashGet\fgieba r.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Dokumente und Einstellungen\Biggs\Eigene Dateien\Programme\CLONE CD\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Dokumente und Einstellungen\Biggs\Eigene Dateien\Programme\CLONE CD\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Dokumente und Einstellungen\Biggs\Eigene Dateien\Programme\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [sysobj.exe] sysobj.exe
O4 - HKLM\..\Run: [Shell] open32.exe
O4 - HKLM\..\Run: [Systems Restart] Rundll32.exe snim.dll, DllRegisterServer
O4 - HKLM\..\Run: [tibs3] C:\WINDOWS\System32\tibs3.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [dgnet] C:\WINDOWS\system32\dgnet.exe
O4 - Startup: PowerReg Scheduler V3.exe
O4 - Startup: Registration-InstantCopy.lnk = C:\Programme\Pinnacle\Shared Files\InstantCDDVD\Pixie\RegTool.exe
O4 - Startup: winupdate10325050[1].exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Dokumente und Einstellungen\Biggs\Eigene Dateien\Programme\Adobe\Distillr\acrotray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: RWTH Aachen Cisco VPN Client.lnk = C:\Dokumente und Einstellungen\Biggs\Eigene Dateien\Programme\VPN4\vpngui.exe
O4 - Global Startup: Screen Saver Control.lnk = C:\WINDOWS\FSScrCtl.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Dokumente und Einstellungen\Biggs\Eigene Dateien\Programme\flashget\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Dokumente und Einstellungen\Biggs\Eigene Dateien\Programme\flashget\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\DOKUME~1\Biggs\EIGENE~1\PROGRA~1\flashget\FlashGet\flashg et.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\DOKUME~1\Biggs\EIGENE~1\PROGRA~1\flashget\FlashGet\flashg et.exe
O9 - Extra button: MedionShop - {84FAA847-1400-4400-BC93-D338EF03127B} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {47CEF84E-92D8-4C4A-86D7-CB982889DCC0} (FlashNet Class) - http://mp1.mplay.oberon-media.com/client/flashnet.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {9FC5238F-12C4-454F-B1B5-74599A21DE47} (Webshots Photo Uploader) - http://community.webshots.com/html/WSPhotoUploader.CAB
O17 - HKLM\System\CCS\Services\Tcpip\..\{24BD7A81-65AB-4D43-81DB-6D5CCD3FDB58}: NameServer = 69.50.188.180,195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{49831CA8-3C1B-4189-8D39-4D4E774FA205}: NameServer = 69.50.188.180,195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{52F65924-45A2-4BE8-908B-2EE5FE3660EF}: NameServer = 69.50.188.180,195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{7757623E-0CA7-42DD-A959-7AC4F0AF3AAF}: NameServer = 69.50.188.180,195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{A7CB10DB-DE3D-45F6-841D-B5BD4344A5E2}: Domain = vpn.rwth-aachen.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{A7CB10DB-DE3D-45F6-841D-B5BD4344A5E2}: NameServer = 134.130.5.1,134.130.4.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{E4FC8A7C-7173-4751-94E8-9CF4F69F6FAB}: NameServer = 69.50.188.180,195.225.176.31
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = vpn.rwth-aachen.de
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = vpn.rwth-aachen.de
O18 - Filter: text/html - {DA9832B0-469E-400F-AD7A-6650E6D96E4B} - C:\WINDOWS\System32\sfcman32.dll
O18 - Filter: text/plain - {DA9832B0-469E-400F-AD7A-6650E6D96E4B} - C:\WINDOWS\System32\sfcman32.dll
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: CA-Lizenz-Client - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: Cisco Systems, Inc. VPN Service - Cisco Systems, Inc. - C:\Dokumente und Einstellungen\Biggs\Eigene Dateien\Programme\VPN4\cvpnd.exe
O23 - Service: eTrust Antivirus RPC Server - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Ereignisprotokoll-Überwachung - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: WAN Miniport (ATW) Service - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O23 - Service: X10 Device Network Service - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
Hallo Biggs,
besuche Windows, um dein Betriebssystem und deinen IE zu updaten (Windows XP SP2): www.windowsupdate.com, lass dann die interne firewall von SP2 laufen. In den Ordneroptionen sollte zuerst das Häkchen entfernt werden bei "geschützte Systemdateien ausblenden" und etwas weiter unten wählt man bei "Versteckte Ordner und Verzeichnisse" den Punkt "Alle Dateien und Ordner anzeigen".
Die Systemwiederherstellung deaktivieren, ist ein MUSS bei arbeiten am System.
Data Upload
Verschiebe (!) (verschieben heisst, in einen Extra Ordner schieben!) diese Files in einen neu zu erstellenden Ordner C:\badthings
C:\WINDOWS\System32\open32.exe
C:\WINDOWS\System32\tibs3.exe
C:\WINDOWS\System32\mszx23.exe
C:\WINDOWS\system32\dgnet.exe
C:\WINDOWS\System32\msske.dll
C:\WINDOWS\System32\sfcman32.dll
Rundll32.exe snim.dll
winupdate10325050[1].exe
zippe die Files und lade sie dann im Ordnet "boese" hoch: Upload Data
Was ist das:
C:\Dokumente und Einstellungen\Biggs\Eigene Dateien\Programme\VPN4\vpngui.exe ?
PowerReg Scheduler V3.exe
Download: lade diese Schutz-Software kostenlos runter:
zipgenius (wenn du kein Zip-Proggi hast)
clearprog
installieren und updaten Spybot Search and Destroy
installieren und updaten Ad-Aware SE
(MUST!) Boote in den abgesicherten Modus. Schliesse alle Fenster inklusive Internet Explorer.
Lass Hijackthis laufen, click scan, und setze ein Häkchen neben jeden dieser Einträge. Drücke dann auf den Fix Button:Boote in den normalen Modus.Code:R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\sfcman32.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\sfcman32.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\sfcman32.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\sfcman32.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\sfcman32.dll/sp.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\sfcman32.dll/sp.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 192.168.0.1 F3 - REG:win.ini: load=C:\TBridge\Flatbed.exe O4 - HKLM\..\Run: [sysobj.exe] sysobj.exe O9 - Extra button: MedionShop - {84FAA847-1400-4400-BC93-D338EF03127B} - http://www.medionshop.de/ (file missing) (HKCU) O18 - Filter: text/html - {DA9832B0-469E-400F-AD7A-6650E6D96E4B} - C:\WINDOWS\System32\sfcman32.dll O18 - Filter: text/plain - {DA9832B0-469E-400F-AD7A-6650E6D96E4B} - C:\WINDOWS\System32\sfcman32.dll
# Öffne den Windows Task Manager.
Beende diese Prozesse:
Flatbed.exe
sysobj.exe
lösche diesen File:
C:\TBridge\Flatbed.exe
Das ClearProg laufen lassen:
"Clear all" und "Clear" müssen angefinkt sein.
Ad-Aware SE laufen lassen. Alle roten X müssen grün stehen.
Lass das Programm alles entfernen, was es findet. Leere nach dem Scan alle Verzeichnisse von Ad-Aware SE.
Spybot Search & Destroy
Lass das Programm alles entfernen, was es findet. Immunisiere dein System.
Erstelle und poste ein neues Hijack This Logfile.
Geändert von Ruby (18.02.2005 um 19:12 Uhr)
Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
