search the web

crizbee · 02.01.2005

hoi

ich hab n problem mit 7 symbolen web hosting,casino online, bingo, poker
usw die vor n paar tagen auf meinem desktop auftauchten
und sich weder verschieben noch löschen oder sonstwas lassen.

frechheit einem son dreck auf den pc zu schmuggeln und dann zu verhindern
das mann die scheisse löschen kann :-[

naja jedenfalls hab ich hijack this und cwshredder schon mehrmals
drüberlaufen lassen und dann verschwinden die teile auch erstmal
aber beim nächsten hochfahren tauchen sie plötzlich nach n paar minuten wieder auf

ich stell mal das aktuelle logfile von hijack this hier rein und hoffe
jemand kann mir expliziet sagen wie ich die kacke von meinem rechner bekomme ohne ihn gleich wieder formatieren zu müssen

Logfile of HijackThis v1.99.0
Scan saved at 12:48:41, on 02.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Tools&More\Atomic-Win-Clock\AtomicWinClock.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Internet Explorer\iexplore.exe
c:\progra~1\intern~1\iexplore.exe
D:\downloads\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.ofcdugtiypozjt.info/_UU0GHIoZ8QUckL0jl7SEx9Cs79v/68P1p8Je_ggyUUPApKgCY4ZiKVLK91lIjqm.php
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {67772919-6335-A278-16AB-40A0CDBE5558} - C:\DOKUME~1\CRIZBEE\ANWEND~1\STYLEC~1\StupidPoll.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] REM C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [BearShare] REM e:\Programme\BearShare.exe /pause
O4 - HKLM\..\Run: [WhenUSave] REM C:\Programme\Save\Save.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKCU\..\Run: [AutoStart-Manager] D:\Programme\Tools&More\Autostart-Manager\AutoStart-Manager.exe /AUTOSTART
O4 - HKCU\..\Run: [1 SUPPORT] REM C:\DOKUME~1\CRIZBEE\ANWEND~1\STOPGP~1\litebrowse.exe
O4 - HKCU\..\Run: [Atomic-Win-Clock] C:\Programme\Tools&More\Atomic-Win-Clock\AtomicWinClock.exe /AUTOSTART
O4 - HKCU\..\Run: [msnmsgr] C:\Programme\MSN Messenger\msnmsgr.exe /background
O4 - Global Startup: AudioDeck.lnk = C:\Programme\VIA Technologies, Inc\VIA Audio Driver Setup Program\AudioDeck\AudioDeck.exe
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programme\VIA\RAID\raid_tool.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14F65762-96FB-44B9-8DAC-93845F377A0E} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/de/filesharingctrl.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab
O16 - DPF: {40BF816B-D862-41B9-9445-ECA36D5F67F9} (Flatcast Viewer 4.12) - http://www.1mal1.com/flatcast/NpFv412.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by103fd.bay103.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...ls/en/x86/client/wuweb_site.cab?1100797314812
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

n gesundes neues jahr euch allen

gruss crizbee

hp · 02.01.2005

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.ofcdugtiypozjt.info/_UU0GHIoZ8QUckL0jl7SEx9Cs79v/68P1p8Je_ggyUUPApKgC Y4ZiKVLK91lIjqm.php
O2 - BHO: (no name) - {67772919-6335-A278-16AB-40A0CDBE5558} - C:\DOKUME~1\CRIZBEE\ANWEND~1\STYLEC~1\StupidPoll.exe
O4 - HKLM\..\Run: [WhenUSave] REM C:\Programme\Save\Save.exe

mal fixen, die save.exe vom system löschen

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKCU\..\Run: [AutoStart-Manager] D:\Programme\Tools&More\Autostart-Manager\AutoStart-Manager.exe /AUTOSTART
O4 - HKCU\..\Run: [1 SUPPORT] REM C:\DOKUME~1\CRIZBEE\ANWEND~1\STOPGP~1\litebrowse.exe
O4 - Global Startup: AudioDeck.lnk = C:\Programme\VIA Technologies, Inc\VIA Audio Driver Setup Program\AudioDeck\AudioDeck.exe
O16 - DPF: {40BF816B-D862-41B9-9445-ECA36D5F67F9} (Flatcast Viewer 4.12) - http://www.1mal1.com/flatcast/NpFv412.dll

kennst du die anwendungen? wenn nicht fixen, dateien löschen

dann mal spybot und adaware installieren, aktuallisieren und im abgesicherten modus laufen lassen. die wiederherstellung mal abschalten, dann werden eventuelle gespeicherte bösewichte auch gelöscht, wenn system wieder sauber ist, die wiederherstellungsfunktion wieder aktivieren. auch mal nach viren/trojaner scannen. onlinescanner gibts hier www.antivirus-online.de

greetz

hugo

mav1976 · 02.01.2005

hp schrieb:
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

gehört zur soundcarte von c-media basierten systemen. kann über die systemsteuerung oder msconfig abgeschaltt werden.

O4 - HKCU\..\Run: [AutoStart-Manager] D:\Programme\Tools&More\Autostart-Manager\AutoStart-Manager.exe /AUTOSTART

würde ich ebenfalls über msconfig abschalten. ist in meinen augen auch sinnlos, da man den autstart mit wineigenen mitteln kontrollieren kann.

O4 - HKCU\..\Run: [1 SUPPORT] REM C:\DOKUME~1\CRIZBEE\ANWEND~1\STOPGP~1\litebrowse.exe

unbekannt. hierzu mehr infos.

O4 - Global Startup: AudioDeck.lnk = C:\Programme\VIA Technologies, Inc\VIA Audio Driver Setup Program\AudioDeck\AudioDeck.exe

VIA soundcard System Tray access to, for example, volume slider controls as normally provided by the speaker icon. Also configures speaker positioning. Not required unless you adjust any settings otherwise available via the standard icon.

kennst du die anwendungen? wenn nicht fixen, dateien löschen

vorsicht mit diesen äußerungen. auch wenn er diese sachen nicht kennt, heißt das noch lange nicht, daß er sie auch nicht braucht. das kann nach hinten losgehen. gerade bei dem via soundkarten icon kann es sein, daß gewisse dinge nicht mehr so funktionieren, wie sie sollen.
daher ist es besser, diese sachen erst testweise über msconfig zu deaktvieren. falls dann nämlich probleme auftauchen, dann kann er diese so wieder rückgängig machen.

rosenbernd · 03.01.2005

hoi

kleiner nachtrag

also ich habs so gemacht wie oben beschrieben
dann im abgesicherten modus gestartet adaware und spybot
drüberlaufen lassen
und nach dem hochfahren war wieder dieser vekackte eintrag hier:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://uvhgillqbuzlxrvxm.com/_UU0GHIoZ8QUckL0jl7SEx9Cs79v/68P1p8Je_ggyUUV3pSmCDxg9aVLK91lIjqm.html

in der registry zu finden, hab ihn manuell gelöscht , bringt aber auch nix
wenn mann aus der registry rausgeht und danach wieder rein iss der
eintrag wieder da ???

wie werd ich diese scheisse bloss los

gruss crizbee

Flocke · 03.01.2005

Adaware und Spybot hast du schon laufen lassen?
Wenn nicht, machen.
Danach nochmal ein HijackThis Log hier rein.

hp · 03.01.2005

rosenbernd schrieb:
also ich habs so gemacht wie oben beschrieben
dann im abgesicherten modus gestartet adaware und spybot
drüberlaufen lassen

@flocke

hat er ja laufen lassen ...

@rosenbernd

scan auch mal nach viren/trojaner z.b. mit einem onlinescanner, findest du hier www. antivirus-online.de oder mit a² http://www.a-2.org/de/
wahrscheinlich steckt der link in einer datei, die man nicht auf anhieb findet, kann eine .htm, .html, .cab, .dll usw. sein ...

greetz

hugo

crizbee · 03.01.2005

hoi

also hier jetzt das aktuelle logfile von hijack, nachdem ich alles so
gemacht habe wie ihrs oben beschrieben habt

Logfile of HijackThis v1.99.0
Scan saved at 15:58:12, on 03.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Tools&More\Atomic-Win-Clock\AtomicWinClock.exe
C:\Programme\MSN Messenger\msnmsgr.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
E:\Programme\Valve\Steam\Steam.exe
D:\downloads\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.wfwkgeczxmhqtz.net/_UU0GHIoZ8QUckL0jl7SEx9Cs79v/68P1p8Je_ggyUXssvm3fzW6zaVLK91lIjqm.asp
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [BearShare] REM e:\Programme\BearShare.exe /pause
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [AutoStart-Manager] D:\Programme\Tools&More\Autostart-Manager\AutoStart-Manager.exe /AUTOSTART
O4 - HKCU\..\Run: [Atomic-Win-Clock] C:\Programme\Tools&More\Atomic-Win-Clock\AtomicWinClock.exe /AUTOSTART
O4 - HKCU\..\Run: [msnmsgr] C:\Programme\MSN Messenger\msnmsgr.exe /background
O4 - HKCU\..\Run: [1 SUPPORT] C:\DOKUME~1\CRIZBEE\ANWEND~1\STOPGP~1\litebrowse.exe
O4 - Global Startup: AudioDeck.lnk = C:\Programme\VIA Technologies, Inc\VIA Audio Driver Setup Program\AudioDeck\AudioDeck.exe
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programme\VIA\RAID\raid_tool.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14F65762-96FB-44B9-8DAC-93845F377A0E} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/de/filesharingctrl.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab
O16 - DPF: {40BF816B-D862-41B9-9445-ECA36D5F67F9} (Flatcast Viewer 4.12) - http://www.1mal1.com/flatcast/NpFv412.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by103fd.bay103.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...ls/en/x86/client/wuweb_site.cab?1100797314812
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

gruss crizbee

hp · 03.01.2005

O4 - HKCU\..\Run: [1 SUPPORT] C:\DOKUME~1\CRIZBEE\ANWEND~1\STOPGP~1\litebrowse.exe
O4 - HKCU\..\Run: [Atomic-Win-Clock] C:\Programme\Tools&More\Atomic-Win-Clock\AtomicWinClock.exe /AUTOSTART
O4 - HKCU\..\Run: [AutoStart-Manager] D:\Programme\Tools&More\Autostart-Manager\AutoStart-
Manager.exe /AUTOSTART

kennst du diese anwendung? wurde ja schon im vorpost von mav danach gefragt. ich hab dir empfohlen die mal zu fixen, bzw, die datei vom system zu löschen ...

O16 - DPF: {40BF816B-D862-41B9-9445-ECA36D5F67F9} (Flatcast Viewer 4.12) - http://www.1mal1.com/flatcast/NpFv412.dll

den auch mal fixen

und immer auch nach den dateien auf dem system suchen und löschen. ein aufspielen vom sp2 würde ich dir auch empfehlen ...

greetz

hugo

crizbee · 03.01.2005

jo thanks

sp2 na da wart ich noch etwas beim letzten mal vor ca 4 wochen ging danach garnix mehr
und ich musste die festplatte formatieren

gruss crizbee

Brigitta · 03.01.2005

ich hab n problem mit 7 symbolen web hosting,casino online, bingo, poker
usw die vor n paar tagen auf meinem desktop auftauchten
und sich weder verschieben noch löschen oder sonstwas lassen.

Hallo,
ich hab->ne Frage, hattest du mal den Massanger Plus! installiert?

Flocke · 03.01.2005

O4 - HKCU\..\Run: [Atomic-Win-Clock] C:\Programme\Tools&More\Atomic-Win-Clock\AtomicWinClock.exe /AUTOSTART
O4 - HKCU\..\Run: [AutoStart-Manager] D:\Programme\Tools&More\Autostart-Manager\AutoStart-
Manager.exe /AUTOSTART

Also Tools&More ist keine Spyware oder ähnliches. Nur, weil danach gefragt wurde. Tools & More ist der nicht mehr ganz neue Name von ehemals Lab1.

crizbee · 03.01.2005

hoi

ja den messenger + hatte ich auch mal installiert , kommt das von dem ?
den hab ich jetzt nämlich schon runtergeschmissen

crizbee

Brigitta · 03.01.2005

Ja, kommt zu 99,9% von der Sponsorsofware von denen. Und die wird nicht mit deinstalliert.

Hier unter --> How do I uninstall one of your software products?, die uninstall. exe holen und damit löschen:
http://mysearchnow.com/help.html#toolbar

Flocke · 03.01.2005

Brigitta schrieb:
Ja, kommt zu 99,9% von der Sponsorsofware von denen. Und die wird nicht mit deinstalliert.

Genauso wenig wie sie mitinstalliert werden muss. Wer sie mitinstalliert, hat eindeutig zu schnell geklickt.

Brigitta · 03.01.2005

PCDFlocke schrieb:
Brigitta schrieb:

Ja, kommt zu 99,9% von der Sponsorsofware von denen. Und die wird nicht mit deinstalliert.

Zum Vergrößern anklicken....

Genauso wenig wie sie mitinstalliert werden muss. Wer sie mitinstalliert, hat eindeutig zu schnell geklickt.

Da hast'e allerdings auch recht.

crizbee · 04.01.2005

stimmt

aber den scheiss installiert ja meine tochter immer

crizbee

Flocke · 04.01.2005

Dann solltest du mit deiner Tochter mal ein Wörtchen reden von wegen lesen vor Installationen und so...

Freudi · 04.01.2005

crizbee schrieb:
aber den*Mist* installiert ja meine tochter immer

Wie wärs denn mit getrennten Windows-Benutzerkonten für Papa und Tochter?

Bye,
Freudi

tweesy · 13.01.2005

Mit diesem Uninstaller bekommt man den Mist weg:

hxxp://lop.com/Seite nicht gefunden

Gruss
Tweesy

Bitte keine Direktlinks

search the web

crizbee

hp

mav1976

rosenbernd

Flocke

hp

crizbee

hp

crizbee

Brigitta

Flocke

crizbee

Brigitta

Flocke

Brigitta

crizbee

Flocke

Freudi

tweesy

search the web

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums