GREENHORN COMPUTER-FORUM - Freundliche Hilfe für PC-Einsteiger und Fortgeschrittene |
|
Seiten mit Postings: 1 | zum Seitenende |
|
Autor | Mitteilung |
Peter Hellms Stamm-User Beiträge: 76 | Gesendet: 17:45 - 29.06.2007 Liebe Helfer, mit Hijack This habe ich versucht, o.g. Störenfried aus meinem WinXP zu vertreiben. Als das nicht ging da er erneut kam, habe ich gegoogelt und zumindest mit den Tipps die ich gefunden habe nichts erreicht. Kann da jemand helfen. Zur Info das Logfile. Ich habe Eintragungen über normale Programme wie FreePDF oder AntiVir entfernt. Logfile of HijackThis v1.99.1 Scan saved at 17:23:39, on 29.06.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16473) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Java\jre1.6.0_01\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\netdde.exe C:\WINDOWS\System32\cisvc.exe C:\WINDOWS\system32\clipsrv.exe C:\WINDOWS\System32\dllhost.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\dllhost.exe C:\WINDOWS\System32\vssvc.exe C:\WINDOWS\System32\wbem\wmiapsrv.exe C:\WINDOWS\System32\dmadmin.exe C:\WINDOWS\system32\cidaemon.exe C:\Programme\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O17 - HKLM\System\CCS\Services\Tcpip\..\{E03D394B-62E3-403C-A0CF-5D40204B18CB}: NameServer = 85.255.114.78 85.255.112.101 O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe Gruß Peter |
DARKNANUK
Premium-User Beiträge: 457
|
Gesendet: 17:57 - 29.06.2007 sorry wen ich frage, aber die auswertung sagt doch, dass das alls okay ist? auch die ip 85.255.114.78 wird als gut erkannt? |
Peter Hellms
Stamm-User Beiträge: 76
|
Gesendet: 18:18 - 29.06.2007 Liebe DARKNANUK, ich werde teilweise durch dieses Ding auf andere Webseiten geleitet, die ich nicht angewählt habe. unter http://www.trojaner-board.de/36490-google-leitet-seiten-um.html [Link zum eingefügten Bild] findet sich auch kein mir helfender Kommentar. Gruß Peter |
everstream
Boardkönig Beiträge: 1818
|
Gesendet: 18:28 - 29.06.2007 Das Programm IPNetInfo hat mir mittels Kommunikation mit WHOIS-Server folgende Ergebnisse geliefert: % This is the RIPE Whois query server #1. % The objects are in RPSL format. % % Rights restricted by copyright. % See http://www.ripe.net/db/copyright.html % Note: This output has been filtered. % To receive output for a database update, use the "-B" flag. % Information related to '85.255.112.0 - 85.255.127.255' inetnum: 85.255.112.0 - 85.255.127.255 netname: inhoster descr: Inhoster hosting company descr: OOO Inhoster, Poltavskij Shliax 24, Kharkiv, 61000, Ukraine remarks: ----------------------------------- remarks: Abuse notifications to: abuse@inhoster.com remarks: Network problems to: noc@inhoster.com remarks: Peering requests to: peering@inhoster.com remarks: ----------------------------------- country: UA org: ORG-EST1-RIPE admin-c: AK4026-RIPE tech-c: AK4026-RIPE tech-c: FWHS1-RIPE status: ASSIGNED PI mnt-by: RIPE-NCC-HM-PI-MNT mnt-lower: RIPE-NCC-HM-PI-MNT mnt-by: RECIT-MNT mnt-routes: RECIT-MNT mnt-domains: RECIT-MNT mnt-by: DAV-MNT mnt-routes: DAV-MNT mnt-domains: DAV-MNT source: RIPE # Filtered organisation: ORG-EST1-RIPE org-name: INHOSTER org-type: OTHER remarks: ************************************* remarks: * Abuse contacts: abuse@inhoster.com * remarks: ************************************* address: OOO Inhoster address: Poltavskij Shliax 24, Xarkov, address: 61000, Ukraine phone: +38 066 4633621 e-mail: support@inhoster.com admin-c: AK4026-RIPE tech-c: AK4026-RIPE mnt-ref: DAV-MNT mnt-by: DAV-MNT source: RIPE # Filtered person: Andrei Kislizin address: OOO Inhoster, address: ul.Antonova 5, Kiev, address: 03186, Ukraine phone: +38 044 2404332 nic-hdl: AK4026-RIPE source: RIPE # Filtered person: Fast Web Hosting Support address: 01110, Ukraine, Kiev, 20Á, Solomenskaya street. room 201. address: UA phone: +35 79 91 17 759 e-mail: support@fwebhost.net nic-hdl: FWHS1-RIPE source: RIPE # Filtered Also ist es ein Provider(Web Hoster) in der Ukraine. MfG everstream |
everstream
Boardkönig Beiträge: 1818
|
Gesendet: 18:40 - 29.06.2007 @Peter Hellms: auf der von dir verlinkten Seite steht doch schon was du zu tun hast: du musst dein System mit dem "eScan" entsprechend seiner Anleitung bearbeiten/säubern. MfG everstream |
Peter Hellms
Stamm-User Beiträge: 76
|
Gesendet: 06:09 - 01.07.2007 Hallo everstream, mit eScan kam ich nicht zurecht und habe es jetzt erneut probiert. das Wichtige aus dem Protokoll der Freeware (Vollversion kann ich mir nicht leisten): HKLM\Software\Microsoft\Windows\CurrentVersion\urls "wareout Adware" in Dateisystem gefunden Poisoned DNS Server Entry 85.255.114.78 85.255.112.101 (85.255.114.*) "UnSpyPC adware" in Dateisystem gefunden C:\DOKUME~1\PETERH~1.HEL\LOKALE~1\Temp\glb1a2b.exe System found infected with lopcom Browser Hijacker (glb1a2b.exe) C:\Dokumente und Einstellungen\Peter Hellms.HELLMS\Lokale Einstellungen\anwendungsdaten\hp\digital imaging\cache\3.dat System found infected with wareout Adware (3.dat) C:\Dokumente und Einstellungen\Peter Hellms.HELLMS\Lokale Einstellungen\temp\glb1a2b.exe System found infected with lopcom Browser Hijacker (glb1a2b.exe) C:\Dokumente und Einstellungen\Peter Hellms.HELLMS\Lokale Einstellungen\Anwendungsdaten\hp\digital imaging\cache\3.dat System found infected with wareout Adware (3.dat) C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\reise\expedia.url System found infected with ezula Spyware/Adware (expedia.url) C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\programme\reise\expedia.url System found infected with ezula Spyware/Adware (expedia.url) C:\WINDOWS\system32\unrar.dll System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll) C:\WINDOWS\system32\unzip32.dll System found infected with savenow Adware (C:\WINDOWS\system32\unzip32.dll) Wenn ich beispielsweise wareout im PC suche, finde ich das nicht. Wenn ich 85.255.112.0 - 85.255.127.255 mit Hijack This lösche, kommt er wieder. Mich überfordert das Programm bislang. Gruß Peter |
caboehmer
Boardkaiser Beiträge: 2633
|
Gesendet: 19:09 - 01.07.2007 Hallo Peter, ich habe mal versucht, mir die Geschichte komplett durchzulesen. Ich möchte Dich nicht entmutigen, aber es ist sicherlich das Beste, Dein System komplett neu aufzusetzen, da das Reinigen mit eScan wohl nicht immer erfolgreich ist. Schreibe mal, was Du davon hälst. MfG Carsten |
Peter Hellms
Stamm-User Beiträge: 76
|
Gesendet: 08:51 - 03.07.2007 Hallo Carsten, alles neu wäre schlimm - zu viele Programme und Einstellungen - wochenlange Arbeit und Ehestress. Zurzeit habe ich fast alle Freeware heruntergeladen, die ich zu Störprogrammen finden konnte... Gruß Peter |
afrikaner
Boardmeister Beiträge: 678
|
Gesendet: 09:28 - 03.07.2007 Hallo Peter, versuche mal , in die Registry zu gehn und lösche dort direkt O17 - HKLM\System\CCS\Services\Tcpip\..\{E03D394B-62E3-403C-A0CF-5D40204B18CB}: NameServer = 85.255.114.78 85.255.112.101 diesen Eintrag. grüssle Afri |
Peter Hellms
Stamm-User Beiträge: 76
|
Gesendet: 13:07 - 03.07.2007 Hallo afrikaner, das hat funktioniert - DANKE -. Da hier auch "NameServer" in der Zeile stand, hab ich gleich weiter gesucht, ob es noch ähnliche Einträge gibt. VIELEN DANK Peter |
afrikaner
Boardmeister Beiträge: 678
|
Gesendet: 14:04 - 03.07.2007 Hallo Peter - vergiss aber bitte nicht, alles nochmals anschliesend mit Spybot zu checken. Freut mich , dass es geklappt hat. grüssle Afri |
Seiten mit Postings: 1 | - NameServer = 85.255.114.78 - | zum Seitenanfang |
|
Version 3.1 | Load: 0.006444 | S: 1_2 |