wie bekomme ich diesen mist hier weg?

[Ancient]

ich benutze standardmaessig zwar andere browser, aber nun gut.
was auch immer es ist, es legt nicht nur den IE (adressleiste futsch), sondern auch meine ganze verbindung lahm, auf sogut wie jede seite, z.b. google, kann ich gar nicht mehr zugreifen. bw.de geht seltsamerweise.

ich habe schon norton, spysubstract, adaware und spybot durchlaufen lassen, gebracht hat es null.

ich benutze win2k pro.

http://sc-overmind.de/fly/personal/temp/pic.fur.,dus.tnarf.jpg

(ich hoffe mal das bild ist online, selbst kann ich das nicht nachschauen.)

edit:
schon lustig, was passiert, wenn ich versuche verschiedene domains zu pingen:

broodwar.de --> 11ms
google.de --> unbekannter host
lycos.de --> unbekannter host
heise.de --> unbekannter host

 

[Smarty]

1. Entferne alle Viren und Trojaner, Würmer und Spyware, usw.
2. Suche die Datei HOSTS auf deinem Computer (ohne Endung) in %windir%\system32\drivers\etc
3. Öffne sie mit einem Texteditor und entferne alles bis auf die Kommentare und die Zeile
127.0.0.1 localhost
4. Bleib sauber.

 

[Moep_Dr.Redhec2]

Hijackthis. sek Link folgt.


http://www.merijn.org/files/hijackthis.zip

 

[Smarty]

Original geschrieben von Moep_Dr.Redhec
Hijackthis. sek Link folgt.

Der Link zu hijackthis ist gar nicht so schwierig: http://www.hijackthis.de/
Hijackthis nützt aber nur leuten was, die ein bisschen ahnung haben. Und ohne Kombination mit einem Antivirenprogramm ist es eh nutzlos.

 

[Ancient]

Original geschrieben von Smarty
2. Suche die Datei HOSTS auf deinem Computer (ohne Endung) in %windir%\system32\drivers\etc
3. Öffne sie mit einem Texteditor und entferne alles bis auf die Kommentare und die Zeile
127.0.0.1 localhost

diese zeile existiert in meiner HOSTS-datei gar nicht.

 

[Moep_Dr.Redhec2]

Original geschrieben von Smarty

Der Link zu hijackthis ist gar nicht so schwierig: http://www.hijackthis.de/
Hijackthis nützt aber nur leuten was, die ein bisschen ahnung haben. Und ohne Kombination mit einem Antivirenprogramm ist es eh nutzlos.

Na aber wenn er doch keine Seiten aufrufen kann


und ähm nutzlos äh nein ? entweder er kommt selber klar oder postet sein log ?


PS: Oben in meinem Beitrag steht nun der direkte downloadlink

 

[Moep_Dr.Redhec2]

Deine host muss so aussehen:

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
#      102.54.94.97     rhino.acme.com          # Quellserver
#       38.25.63.10     x.acme.com              # x-Clienthost

127.0.0.1       localhost

aber ich glaube nicht das dir die Host nocht etwas nützt das teil wird seine eigene DNS mitbringen.

http://www.trendmicro.com/ftp/products/online-tools/cwshredder.exe

ziehen drüber laufen lassen, und melden

 

[Ancient]

bei mir wird das in einer anderen datei angezeigt... moment, der inhalt kommt sofort.

 

[Moep_Dr.Redhec2]

Original geschrieben von Ancient
bei mir wird das in einer anderen datei angezeigt... moment, der inhalt kommt sofort.

http://www.trendmicro.com/ftp/products/online-tools/cwshredder.exe

!!!!!!!!!!!!!

 

[Smarty]

Original geschrieben von Moep_Dr.Redhec

Na aber wenn er doch keine Seiten aufrufen kann

oops

 

[Ancient]

der inhalt der date HOSTS:

127.0.0.1 www.trendmicro.com
127.0.0.1 trendmicro.com
127.0.0.1 rads.mcafee.com
127.0.0.1 customer.symantec.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 updates.symantec.com
127.0.0.1 update.symantec.com
127.0.0.1 www.nai.com
127.0.0.1 nai.com
127.0.0.1 secure.nai.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 download.mcafee.com
127.0.0.1 www.my-etrust.com
127.0.0.1 my-etrust.com
127.0.0.1 mast.mcafee.com
127.0.0.1 ca.com
127.0.0.1 www.ca.com
127.0.0.1 networkassociates.com
127.0.0.1 www.networkassociates.com
127.0.0.1 avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 www.avp.com
127.0.0.1 kaspersky.com
127.0.0.1 www.f-secure.com
127.0.0.1 f-secure.com
127.0.0.1 viruslist.com
127.0.0.1 www.viruslist.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 mcafee.com
127.0.0.1 www.mcafee.com
127.0.0.1 sophos.com
127.0.0.1 www.sophos.com
127.0.0.1 symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 us.mcafee.com/root/
127.0.0.1 www.symantec.com

der Inhalt der datei LMHOSTS.SAM:

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine Beispieldatei für LMHOSTS, wie sie von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
# Sie ist mit der LMHOSTS-Datei von Microsoft TCP/IP für LAN Manager 2.x
# kompatibel.
# Bearbeiten Sie diese Datei mit einem ASCII-Editor.
#
# In dieser Datei werden einzelnen IP-Adressen die entsprechenden
# Computernamen (NetBIOS-Namen) zugeordnet. Jeder Eintrag sollte aus
# einer einzelnen Zeile bestehen.
# Die IP-Adresse wird in der ersten Spalte eingetragen, gefolgt vom
# zugehörigen Computer-Namen. Die Adresse und der Computer-Name müssen
# dabei durch mindestens ein Leerzeichen oder ein Tabulatorzeichen
# getrennt sein.
# Das Zeichen "#" wird gewöhnlich Kommentaren vorangestellt. Ausnahmen
# hiervon sind die folgenden Erweiterungen:
#
# #PRE
# #DOM:<Domäne>
# #INCLUDE <Dateiname>
# #BEGIN_ALTERNATE
# #END_ALTERNATE
# \0xnn (Unterstützung nichtdarstellbarer Zeichen)
#
# Die Erweiterung "#PRE" wird nach dem Computer-Namen angegeben, wenn
# dieser Eintrag bereits zu Anfang in den Namen-Cache geladen werden
# soll. Standardmäßig werden die Einträge nicht zu Anfang in den Namen-
# Cache geladen, sie werden jedoch auch nur dann ausgewertet, wenn die
# dynamische Namensauswertung fehlschlägt.
#
# Die Erweiterung "#DOM:<Domäne>" wird nach dem Computer-Namen angegeben,
# wenn der Eintrag mit einer Domäne verknüpft werden soll.
# Dies wirkt sich auf das Verhalten des Computer-Suchdienstes und des
# Anmeldedienstes in der TCP/IP-Umgebung aus.
# Die Erweiterung "DOM:<Domäne>" kann zusammen mit der Erweiterung "PRE"
# für einen Eintrag angegeben werden.
#
# Die Angabe von "#INCLUDE <Dateiname>" veranlasst den NetBIOS Helper-
# Dienst die angegebene Datei zu suchen und sie wie eine lokale Datei
# auszuwerten. Für <Dateiname> werden UNC-Namen akzeptiert. Dadurch ist
# es möglich, eine LMHOSTS-Datei zentral auf einem Server zu verwalten.
# Befindet sich der Server außerhalb des Broadcast-Bereichs, ist eine
# Adresszuordnung für diesen Server vor der "#INCLUDE"-Anweisung not-
# wendig.
#
# Die Anweisungen "#BEGIN_ALTERNATE" und "#END_ALTERNATE" ermöglichen die
# Gruppierung von mehreren "#INCLUDE"-Anweisungen.
# Ist eine "INCLUDE"-Anweisung erfolgreich, werden alle weiteren
# "INCLUDE-ANWEISUNGEN" übersprungen und die Gruppe verlassen.
#
# Nichtdarstellbare Zeichen können im Computer-Namen enhalten sein.
# Solche Zeichen müssen als Hex-Wert in der \0xnn-Notation angegeben
# werden und zusammen mit dem NetBIOS-Namen in Anführungszeichen
# eingeschlossen werden.
#
#
# Beispiel:
#
# 102.54.94.97 maestro #PRE #DOM:technik # DC von "Technik"
# 102.54.94.102 "spiele \0x14" # besonderer Server
# 102.54.94.123 nordpol #PRE # Server in 3/4317
# #BEGIN_ALTERNATE
# #INCLUDE \\lokal\public\lmhosts
# #INCLUDE \\maestro\public\lmhosts
# #END_ALTERNATE
#
# In diesem Beispiel enthält der Server "spiele" ein Sonderzeichen
# im Namen, und der Server "nordpol" wird bereits zu Anfang in den
# Namen-Cache geladen.
# Die Adresszuordnung für den Server "maestro" wird angegeben, um diesen
# Server weiter unten in der #INCLUDE-Gruppe verwenden zu können.
# Wenn der Server "lokal" nicht verfügbar ist, wird die zentrale LMHOSTS-
# Datei auf "maestro" verwendet.
#
# Beachten Sie, dass die gesamte Datei bei jeder Auswertung durchsucht wird,
# einschließlich der Kommentarzeilen. Es wird daher empfohlen, die obigen
# Kommentarzeilen zu entfernen.

-----

ich lad das programm mal von nem anderen rechner aus und schiebs dann uebers netzwerk rueber, moment.

 

[Ancient]

Original geschrieben von Moep_Dr.Redhec



http://www.trendmicro.com/ftp/products/online-tools/cwshredder.exe

!!!!!!!!!!!!!

den hab ich schon benutzt, der hat auch nichts gebracht.
dieser shredder ist bei spysubstract mit integriert.

 

[Moep_Dr.Redhec2]

hosts mit dem inhalt von mir füllen neu speichern, herrlich da versucht jemand zu verhindern das du dir ativirensoftware ziehst 8)

Wenn die Tools nichts bringen, hijackthis log posten hoffen das Hood vorbei kommt und eine Lösung weiss.
Ansonsten neuinstall.


BTW mir fällt gerade was auf, das Programm macht nen eigenen Webserver auf. Nett. Nacher läuft es als eigener Dienstt

 

[Ancient]

was auch sehr lustig ist, ist die tatsache, dass ich die HOSTS datei nur im abgesicherten modus oeffnen kann, alle anderen dateien aber schon ganz normal im windows.

hier mal das log, ich probiere dann gleich noch aus, die HOSTS neu zu speichern.

Logfile of HijackThis v1.99.1
Scan saved at 15:07:30, on 12.07.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\HHVcdV6Sys\VC6SecS.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\HHVcdV6Sys\VC6Play.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINNT\system32\Kmr.exe
D:\Programme\ICQ5\ICQLite.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\system32\internat.exe
D:\Programme\Nikon\PictureProject\NkbMonitor.exe
D:\firefox\firefox.exe
D:\TMP_WI~1\Rar$EX00.515\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://D:\TMP_WI~1\se.dll/space.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://D:\TMP_WI~1\se.dll/space.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\Programme\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O2 - BHO: (no name) - {F2277669-F47E-453D-8599-DBCE5999A897} - C:\WINNT\system32\pmfn.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [VC6Player] C:\Programme\HHVcdV6Sys\VC6Play.exe
O4 - HKLM\..\Run: [USB Hardware32c Monitoring] USBhardware32c.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinFast2KLoadDefault] rundll32.exe wf2kcpl.dll,DllLoadDefaultSettings
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MOUSE] C:\WINNT\system32\Kmr.exe
O4 - HKLM\..\Run: [ICQ Lite] d:\Programme\ICQ5\ICQLite.exe -minimize
O4 - HKLM\..\Run: [iTunesHelper] D:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [sp] rundll32 D:\TMP_WI~1\se.dll,DllInstall
O4 - HKLM\..\RunServices: [USB Hardware32c Monitoring] USBhardware32c.exe
O4 - HKCU\..\Run: [USB Hardware32c Monitoring] USBhardware32c.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [BWCoach] E:\Starcraft\bwcoach\bwcoach.exe -auto
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "D:\Programme\Skype\Skype.exe" /nosplash /minimized
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQ5\ICQLite.exe -trayboot
O4 - Startup: dIRC.lnk = D:\dIRC\dIRC.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: NkbMonitor.exe.lnk = D:\Programme\Nikon\PictureProject\NkbMonitor.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQ5\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQ5\ICQLite.exe
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c18.cab
O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {CAFEEFAC-0014-0001-0005-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_05) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{2C7337C1-FAE0-443A-AB03-ABC571D83719}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{2C7337C1-FAE0-443A-AB03-ABC571D83719}: NameServer = 192.168.1.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{2C7337C1-FAE0-443A-AB03-ABC571D83719}: NameServer = 192.168.1.1
O18 - Filter: text/html - {F3E7DF04-56CF-451B-9F1C-DEA3F51F1249} - C:\WINNT\system32\pmfn.dll
O18 - Filter: text/plain - {F3E7DF04-56CF-451B-9F1C-DEA3F51F1249} - C:\WINNT\system32\pmfn.dll
O20 - Winlogon Notify: tcpGDC - C:\WINNT\SYSTEM32\tcpGDC.dll
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - d:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: Virtual CD v6 Management Service (VC6SecS) - H+H Software GmbH - C:\Programme\HHVcdV6Sys\VC6SecS.exe

 

[Moep_Dr.Redhec2]

Alle Einträge die jetzt folgen fixen: bzw löschen lassen.


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://D:\TMP_WI~1\se.dll/space.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://D:\TMP_WI~1\se.dll/space.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about :blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about :blank

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/M.../bridge-c18.cab



in Frage kommen auch bzw unbekannt sind:

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about :blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about :blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about :blank

O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab

O18 - Filter: text/html - {F3E7DF04-56CF-451B-9F1C-DEA3F51F1249} - C:\WINNT\system32\pmfn.dll

O18 - Filter: text/plain - {F3E7DF04-56CF-451B-9F1C-DEA3F51F1249} - C:\WINNT\system32\pmfn.dll

O20 - Winlogon Notify: tcpGDC - C:\WINNT\SYSTEM32\tcpGDC.dll

 

[Moep_Dr.Redhec2]

ansonsten zieh dir F-Secure, das kannste 30 Tage kostenlos testen und beseitige damit den ganzen mist, ansonsten ist PestPatrol die erste Wahl bei Spy&AdWare.


http://home.ca.com/dr/sat4/ec_main.entry25?page=TrialwareCenter&client=ComputerAssociates&sid=35715
gibt es auch als 30 Tage trialversion. Ziehen & Sachen entfernen

 

[Smarty]

Schön und gut, Reddi, nur wie ich schon sagte: Bringt alles nichts solange die Malware noch auf dem PC ist. Dann sind die ganzen keys nämlich innerhalb von Milisekunden wieder da. Im Übrigen verdächtigst du da einige völlig harmlose keys. Deswegen ist es nunmal wichtig erst eine vernünftige Antivirensoftware herunterzuladen. Da du antivir nicht "gesperrt" ist: www.free-av.de

Bzw. am besten noch zu allererst ein wenig Handarbeit zu machen:
Start/Ausführen/msconfig
- Dienste: Alle Microsoft-Dienste ausblenden und dann auf Alle deaktivieren
- Systemstarts: Alle deaktivieren


Von allen Benutzern aus den Startmenü-Autostarts alles kicken:
C:\Dokumente und Einstellungen Dort F3 drücken und "Autostart" suchen -- Alle Ordner die so heißen z.B. in autostart.bak umbenennen



Start/Ausführen/regedit
Strg+F für Suchen: Nur nach Schlüssel & ganze Zeichenfolge: Den Inhalten von allen Ordnern die run oder runonce heißen und in einem Unterordner \Windows\Currentversion sind löschen - esseidenn Sachen von denen du 100% weißt, dass du sie brauchst.



Neu starten, Antivir installieren und durchlaufen lassen, im abgesicherten Modus starten und nochmal alle Malware die du im Taskmanager findest beenden und löschen, nochmal starten und nochmal Antivir laufen lassen. Abschließend kontrollieren ob sich noch irgendwas Böses im Taskmanager befindet. Ob irgendwas "böse" ist (bzw. ob es NICHT böse ist), lässt sich meistens herausfinden indem man bei google oder direkt bei Websiten die sich auf Prozessauflistungen spezialisiert haben danach sucht.

 

[Moep_Dr.Redhec2]

bei Smarty anfügen:

PS UND BITTE alle Microsoft updates ziehen, sonst nützt der schönste Virenscanner nichts

 

[Picard]

um sicherzugehen, dass die malware die keys nicht neu erstellt, sollte er die ersten von dir beschrieben schritte lieber gleich im abgesicherten modus durchführen (da dort wirklich nur die standard windows komponenten geladen werden)

 

[Ancient]

folgendes:

erstmal dickes thx, ich kann inzwischen wieder alle HPs aufrufen, da ich die HOSTS mit dem inhalt von redhec ersetzt habe.

ich probiere nun gleich mal diese andere antispyware software aus.

allerdings ist der IE immer noch 'infiziert' und es poppen dauernd nervige werbebanner auf, selbst wenn ich keinen browser offen habe.

msconfig gibt es bei win2k uebrigens nicht, smarty.

 

[Picard]

mit 2k kenn ich mich net aus, aber gibbets da schon services? wenn ja - alle non ms teile manuell beenden ^^

 

[Smarty]

Original geschrieben von Ancient
msconfig gibt es bei win2k uebrigens nicht, smarty.

Sorry, hatte ich überlesen. Das winxp-msconfig, das mit 2k auch funktioniert, kannst du dir z.B. hier runterladen: http://www.techadvice.com/win2000/m/msconfig_w2k.htm


Und Picard hat natürlich Recht, die Schritte sollten im safe mode gemacht werden.

 

[Ancient]

F-Secure hat jedenfalls schonmal nichts gefunden, dafuer hat der scan wahnsinnig lange gedauert. ^^
noja, mal schaun in wie weit smartys anweisungen weiterhelfen.

 

[Smarty]

Vielleicht sollte ich noch erwähnen, dass das ein "Brute Force"-Ansatz von mir war. Zwar wird danach die meiste Malware inaktiv sein. Alle "Komfortprogramme" wie Winamp, icq, Soundmenü uswusf das sich sont bei jedem Start mitlädt, lädt dann nicht mehr bei jedem Start...

 

[Ancient]

rofl, gebt mal bei google
"about:blank spyware"
ein, das ist die naemlich.

ungefaehr 37236 unserioese progs zum entfernen... nur welchem kann man trauen?

hijackthis hat uebrigens nicht funktioniert... die meisten von redhec genannten eintraege gehoeren zwar zu der spyware, hijackthis kann diese jedoch nicht entfernen.

*Q@#*#!

 

[Gast]

http://forum.ingame.de/broodwar/showthread.php?s=&threadid=78768

 

[aMrio]

zum topic: neuinstallieren.

kleine frage am rande: ist der 127.0.0.1 localhost eintrag in der host datei enorm wichtig? als ich mal vor langer zeit sonen trojaner draufhatte hab ich den mit rausgelöscht und noch keine nachteile festgestellt.

 

[Ancient]

ich weiss nicht wie, aber irgendwie verhindert dieser dreckshijack, dass ich antivir installieren kann.

im abgesichtern modus koennen die keys zwar entfernt werden, die sind aber wie smarty vermutete beim naechsten neustart sofort wieder da.
das msconfig programm laueft auf einen fehler beim ausschalten mancher eintraege, etc.

ich denke mal nun hilft nur noch format c, es sei denn einem von euch faellt noch was schlaues ein.
oder besteht die moeglichkeit, dass ich alle, und nicht nur die platte, auf der ausschliesslich windows ist, toeten muss?

thx fuer eure bemuehungen.

 

[Picard]

Original geschrieben von Ancient
rofl, gebt mal bei google
"about:blank spyware"
ein, das ist die naemlich.

ungefaehr 37236 unserioese progs zum entfernen... nur welchem kann man trauen?

hijackthis hat uebrigens nicht funktioniert... die meisten von redhec genannten eintraege gehoeren zwar zu der spyware, hijackthis kann diese jedoch nicht entfernen.

*Q@#*#!

-> abgesicherter modus, da solltest alles rauskriegen
(nachm bios post f8 drücken und dementsprechend den save mode auswählen^^)

@amrio: eigentlich nur, wenn du den localhost auch als localhost nutzen willst. (z.b. wenn web-server drauf, gibst inner adress-zeile http://localhost ein statt 127.0.0.1 - beides geht natürlich... is quasi nen alias ^^)

 

[[For]Hood2]

Aufhören mit dem wilden rumfixen, ich schau mir jetz das log an und poste Dir dann wie du es machst.

 

[Ancient]

Original geschrieben von Picard)STF

-> abgesicherter modus, da solltest alles rauskriegen

tu ich ja auch, das nuetzt nur wenig wenn beim naechsten neustart alles wieder da ist.

edit:
danke hood.

 

[[For]Hood2]

Ok Ich sehe da eine CWS variante und auch ein paar bots.

Zuerst
Download und unzip http://www.trojaner-info.de/cgi-bin/download.cgi?file=sphjfix für Win2k/XP

Boote in den abgesicherten Modus (das ist ein MUSS).
Um das zu tun sehe hier:
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20020114122843924

Im Abgesicherten Modus starte HijackThis und mach einen haken bei:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://D:\TMP_WI~1\se.dll/space.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about :blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://D:\TMP_WI~1\se.dll/space.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about :blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about :blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about :blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about :blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about :blank
O2 - BHO: (no name) - {F2277669-F47E-453D-8599-DBCE5999A897} - C:\WINNT\system32\pmfn.dll
O4 - HKLM\..\Run: [USB Hardware32c Monitoring] USBhardware32c.exe
O4 - HKLM\..\Run: [sp] rundll32 D:\TMP_WI~1\se.dll,DllInstall
O4 - HKLM\..\Run: [MOUSE] C:\WINNT\system32\Kmr.exe
O4 - HKLM\..\RunServices: [USB Hardware32c Monitoring] USBhardware32c.exe
O4 - HKCU\..\Run: [USB Hardware32c Monitoring] USBhardware32c.exe
O18 - Filter: text/html - {F3E7DF04-56CF-451B-9F1C-DEA3F51F1249} - C:\WINNT\system32\pmfn.dll
O18 - Filter: text/plain - {F3E7DF04-56CF-451B-9F1C-DEA3F51F1249} - C:\WINNT\system32\pmfn.dll
Schliesse alle Fenster und klick Fix.

Start /ausführen und gebe %temp% ein und drücke enter.
Lösche ALLE Dateien.
Start SpSeHjfix.exe klick on " Desinfection starten" das tool startet dann den Rechner neu und enfernt den trojaner.

Nun schauen wir nach den Bots und evt einen anderen Trojaner.
lösche diese Dateien
c:\WinNt\system32\USBhardware32c.exe
C:\WINNT\system32\Kmr.exe

So das schaut doch schon ganz gut aus.
Nun mach folgendes: Geh nach Jottis und lade diese Dateien zum nachschauen hoch:
C:\WINNT\SYSTEM32\tcpGDC.dll

Poste das Log von Jotti und ein neues HijackThis log.

 

[Smarty]

Nochwas: Systemwiederherstellung abschalten, die speichert nämlich "backups" der malware ab. Dort ist sie zwar potentiell erstmal harmlos, wegkriegen tust du sie da aber auch nicht.

 

[Ancient]

alles exakt so gemacht.
kmr.exe waren btw meine maustreiber.

jotti:

hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 22:56:01, on 12.07.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\HHVcdV6Sys\VC6SecS.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\WINNT\system32\internat.exe
D:\Programme\Nikon\PictureProject\NkbMonitor.exe
D:\firefox\firefox.exe
D:\Inst Dateien\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\Programme\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [WinFast2KLoadDefault] rundll32.exe wf2kcpl.dll,DllLoadDefaultSettings
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ICQ Lite] d:\Programme\ICQ5\ICQLite.exe -minimize
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Skype] "D:\Programme\Skype\Skype.exe" /nosplash /minimized
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQ5\ICQLite.exe -trayboot
O4 - Startup: dIRC.lnk = D:\dIRC\dIRC.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: NkbMonitor.exe.lnk = D:\Programme\Nikon\PictureProject\NkbMonitor.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQ5\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQ5\ICQLite.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{2C7337C1-FAE0-443A-AB03-ABC571D83719}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{2C7337C1-FAE0-443A-AB03-ABC571D83719}: NameServer = 192.168.1.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{2C7337C1-FAE0-443A-AB03-ABC571D83719}: NameServer = 192.168.1.1
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: Virtual CD v6 Management Service (VC6SecS) - H+H Software GmbH - C:\Programme\HHVcdV6Sys\VC6SecS.exe

edit:
der internet-explorer funktioniert nun nicht mehr

 

[[For]Hood2]

Zum letzten mal Finger weg von der Systemrestore, vorallem weil Win2000 keine hat ...

alles exakt so gemacht.

Dann wären aber die:
O20 - Winlogon Notify: tcpGDC - C:\WINNT\SYSTEM32\tcpGDC.dll
Noch da...

Ok Run regedit such diesen schlüssel:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\]
Rechtsklicken (auf winlogon) ->export -> Dateiname eingeben -> DAteien speichern.

Datei suchen rechts klicken bearbeiten inhalt posten.

Eine etwas genauere Beschreibung wäre schön, kommt ne Fehlermeldung? Passiert garnichts?

Run HijackThis und mach einen Haken bei:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
Schliesse alle Fenster und klick Fix.

Was ist das zweite Bild mit dem Rbot?

KMR.exe brauchst Du nicht ausser Du willst Die Sondertasten nutzen. Ausserdem kam beim googeln nicht viel raus.

 

[Smarty]

was meinst du mit "finger weg von system restore"? War btw nicht auf den konkreten Fall bezogen.

 

[Picard]

ich denke er meint damit das ancient jetzt keinen restore durchführen soll ^^

 

[Ancient]

Original geschrieben von [For]Hood
Dann wären aber die:
O20 - Winlogon Notify: tcpGDC - C:\WINNT\SYSTEM32\tcpGDC.dll
Noch da...

Diese datei befindet sich ja auch noch in genau diesem verzeichnis auf meinem rechner, nur hat hijackthis sie seltsamerweise nicht mehr angezeigt.

Original geschrieben von [For]Hood
Ok Run regedit such diesen schlüssel:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\]
Rechtsklicken (auf winlogon) ->export -> Dateiname eingeben -> DAteien speichern.
Datei suchen rechts klicken bearbeiten inhalt posten.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"AutoRestartShell"=dword:00000001
"DefaultDomainName"="STARDUST"
"DefaultUserName"="stardust1"
"LegalNoticeCaption"=""
"LegalNoticeText"=""
"PowerdownAfterShutdown"="0"
"ReportBootOk"="1"
"Shell"="Explorer.exe"
"ShutdownWithoutLogon"="1"
"System"=""
"Userinit"="C:\\WINNT\\system32\\userinit.exe,"
"VmApplet"="rundll32 shell32,Control_RunDLL \"sysdm.cpl\""
"SfcQuota"=dword:ffffffff
"allocatecdroms"="0"
"allocatedasd"="0"
"allocatefloppies"="0"
"cachedlogonscount"="10"
"passwordexpirywarning"=dword:0000000e
"scremoveoption"="0"
"DebugServerCommand"="no"
"SFCDisable"=dword:00000000
"AutoAdminLogon"="0"
"ShowLogonOptions"=dword:00000001
"AltDefaultUserName"="stardust1"
"AltDefaultDomainName"="STARDUST"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{25537BA6-77A8-11D2-9B6C-0000F8080861}]
@="Folder Redirection"
"ProcessGroupPolicy"="ProcessGroupPolicy"
"DllName"=hex(2):66,00,64,00,65,00,70,00,6c,00,6f,00,79,00,2e,00,64,00,6c,00,\
6c,00,00,00
"NoMachinePolicy"=dword:00000001
"NoSlowLink"=dword:00000001
"NoBackgroundPolicy"=dword:00000001
"PerUserLocalSettings"=dword:00000001
"NoGPOListChanges"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{35378EAC-683F-11D2-A89A-00C04FBBCFA2}]
"Status"=dword:00000000
"LastPolicyTime"=dword:00c42e43
"PrevSlowLink"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{3610eda5-77ef-11d2-8dc5-00c04fa31a66}]
@="Microsoft-Datenträgerkontingent"
"NoMachinePolicy"=dword:00000000
"NoUserPolicy"=dword:00000001
"NoSlowLink"=dword:00000001
"NoBackgroundPolicy"=dword:00000001
"NoGPOListChanges"=dword:00000001
"PerUserLocalSettings"=dword:00000000
"RequiresSuccessfulRegistry"=dword:00000001
"EnableAsynchronousProcessing"=dword:00000000
"DllName"=hex(2):64,00,73,00,6b,00,71,00,75,00,6f,00,74,00,61,00,2e,00,64,00,\
6c,00,6c,00,00,00
"ProcessGroupPolicy"="ProcessGroupPolicy"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{42B5FAAE-6536-11d2-AE5A-0000F87571E3}]
@="Skripts"
"ProcessGroupPolicy"="ProcessScriptsGroupPolicy"
"DllName"=hex(2):67,00,70,00,74,00,65,00,78,00,74,00,2e,00,64,00,6c,00,6c,00,\
00,00
"NoSlowLink"=dword:00000001
"NoGPOListChanges"=dword:00000001
"NotifyLinkTransition"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}]
"ProcessGroupPolicy"="SceProcessSecurityPolicyGPO"
"DllName"=hex(2):73,00,63,00,65,00,63,00,6c,00,69,00,2e,00,64,00,6c,00,6c,00,\
00,00
@="Security"
"NoUserPolicy"=dword:00000001
"NoGPOListChanges"=dword:00000001
"EnableAsynchronousProcessing"=dword:00000001
"MaxNoGPOListChangesInterval"=dword:000003c0
"Status"=dword:00000000
"LastPolicyTime"=dword:00cce75d
"PrevSlowLink"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{A2E30F80-D7DE-11d2-BBDE-00C04F86AE3B}]
"ProcessGroupPolicy"="ProcessGroupPolicy"
"DllName"=hex(2):69,00,65,00,64,00,6b,00,63,00,73,00,33,00,32,00,2e,00,64,00,\
6c,00,6c,00,00,00
@="Internet Explorer Branding"
"NoSlowLink"=dword:00000001
"NoBackgroundPolicy"=dword:00000000
"NoGPOListChanges"=dword:00000001
"NoMachinePolicy"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{B1BE8D72-6EAC-11D2-A4EA-00C04F79F83A}]
"ProcessGroupPolicy"="SceProcessEFSRecoveryGPO"
"DllName"=hex(2):73,00,63,00,65,00,63,00,6c,00,69,00,2e,00,64,00,6c,00,6c,00,\
00,00
@="EFS recovery"
"NoUserPolicy"=dword:00000001
"NoGPOListChanges"=dword:00000001
"RequireSuccessfulRegistry"=dword:00000001
"Status"=dword:00000000
"LastPolicyTime"=dword:00c42e52
"PrevSlowLink"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}]
@="Anwendungsverwaltung"
"DllName"=hex(2):61,00,70,00,70,00,6d,00,67,00,6d,00,74,00,73,00,2e,00,64,00,\
6c,00,6c,00,00,00
"ProcessGroupPolicy"="ProcessGroupPolicyObjects"
"NoBackgroundPolicy"=dword:00000001
"RequiresSucessfulRegistry"=dword:00000000
"NoSlowLink"=dword:00000001
"PerUserLocalSettings"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{e437bc1c-aa7d-11d2-a382-00c04f991e27}]
@="IP-Sicherheit"
"ProcessGroupPolicy"="ProcessIPSECPolicy"
"DllName"=hex(2):67,00,70,00,74,00,65,00,78,00,74,00,2e,00,64,00,6c,00,6c,00,\
00,00
"NoUserPolicy"=dword:00000001
"NoGPOListChanges"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\
6c,00,00,00
"Logoff"="ChainWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Logoff"="CryptnetWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wzcnotif]
"DLLName"="wzcdlg.dll"
"Logon"="WZCEventLogon"
"Logoff"="WZCEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000000

Original geschrieben von [For]Hood
Eine etwas genauere Beschreibung wäre schön, kommt ne Fehlermeldung? Passiert garnichts?

beim IE?
es tut sich absolut nichts wenn ich ihn aufzurufen versuche.

Original geschrieben von [For]Hood
Run HijackThis und mach einen Haken bei:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
Schliesse alle Fenster und klick Fix.

done.
hier das neue log:

Logfile of HijackThis v1.99.1
Scan saved at 12:02:22, on 13.07.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\HHVcdV6Sys\VC6SecS.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\WINNT\system32\internat.exe
D:\Programme\Nikon\PictureProject\NkbMonitor.exe
D:\firefox\firefox.exe
D:\Inst Dateien\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\Programme\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [WinFast2KLoadDefault] rundll32.exe wf2kcpl.dll,DllLoadDefaultSettings
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ICQ Lite] d:\Programme\ICQ5\ICQLite.exe -minimize
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Skype] "D:\Programme\Skype\Skype.exe" /nosplash /minimized
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQ5\ICQLite.exe -trayboot
O4 - Startup: dIRC.lnk = D:\dIRC\dIRC.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: NkbMonitor.exe.lnk = D:\Programme\Nikon\PictureProject\NkbMonitor.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQ5\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQ5\ICQLite.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{2C7337C1-FAE0-443A-AB03-ABC571D83719}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{2C7337C1-FAE0-443A-AB03-ABC571D83719}: NameServer = 192.168.1.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{2C7337C1-FAE0-443A-AB03-ABC571D83719}: NameServer = 192.168.1.1
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: Virtual CD v6 Management Service (VC6SecS) - H+H Software GmbH - C:\Programme\HHVcdV6Sys\VC6SecS.exe

wie gesagt: C:\WINNT\SYSTEM32\tcpGDC.dll existiert noch, obwohl sie nicht im log steht.

Original geschrieben von [For]Hood
Was ist das zweite Bild mit dem Rbot?

da habe ich mich wohl vertan... das war eine allgemeine jotti statistik auf der selben seite, sorry. ^^

 

[Moep_Dr.Redhec2]

zieh dir mal den ie6 neu -->

http://www.microsoft.com/windows/ie/default.mspx

und installier drüber.

 

[Ancient]

tjo, nun funktioniert der auch wieder, danke euch allen.
steht noch irgendetwas verdaechtiges in der winlogon und soll ich die tcpgdc.dll loeschen?