xyCruiseryx 10 Geschrieben 18. Juni 2004 Melden Teilen Geschrieben 18. Juni 2004 Moin Moin, hab folgendes problem. Der Inet-Explorer meines Win2k-Servers hat immer so eine nette Startseite. http://www.searchmyrequest.com/hp.php'>http://www.searchmyrequest.com/hp.php ich bekomm diesen mist einfach nicht weg. Selbst: CWShredder , HijackThis , etc alles für die katz gewesen. habe ne menge postingsgefunden wo stand das es datein wie awinrar.exe geben soll etc nur diese datein exestieren nicht auf der kiste... hatte jemand evtl noch ne idee dazu..????????wäre klasse... HijackThis Log: Logfile of HijackThis v1.97.7 Scan saved at 13:23:02, on 18.06.2004 Platform: Windows 2000 SP3 (WinNT 5.00.2195) MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000) Running processes: C:\WINNT\System32\wfshell.exe C:\WINNT\Explorer.EXE D:\Programme\FFUMS\ferrariFAX-Arbeitsplatz\fftray.exe C:\WINNT\System32\ctfmon.exe C:\Dokumente und Einstellungen\Tino\WINDOWS\toppop.exe D:\Programme\Microsoft Office\Office10\OUTLOOK.EXE D:\Programme\Microsoft Office\Office10\WINWORD.EXE C:\Dokumente und Einstellungen\Tino\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmyrequest.com/sp.php'>http://searchmyrequest.com/sp.php'>http://searchmyrequest.com/sp.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmyrequest.com/sp.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchmyrequest.com/sp.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchmyrequest.com/hp.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.search-2003.com/'>http://www.search-2003.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sharempeg.com/find/'>http://www.sharempeg.com/find/'>http://www.sharempeg.com/find/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.search-2003.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sharempeg.com/find/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.sharempeg.com/find/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer zur Verfügung gestellt von Büchner EDV R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINNT\System32\blank.htm F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe, O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {2E77E33F-671E-4334-ABAA-0C2E2BE654F1} - C:\WINNT\System32\mdv_32.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {62160EEF-9D84-4C19-B7B8-6AC2526CD726} - C:\WINNT\System32\iyenuhe.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [CPQTEAM] cpqteam.exe O4 - HKLM\..\Run: [ferrariFAX-Pipeserver] D:\Programme\FFUMS\ferrariFAX-Arbeitsplatz\\fftray.exe O4 - HKLM\..\Run: [icaBar] icabar.exe /adminonly O4 - HKLM\..\Run: [Winhost] C:\Dokumente und Einstellungen\admin\WINDOWS\winh. O4 - HKLM\..\Run: [update32] C:\windows\configs.exe O4 - HKLM\..\Run: [cmd32] C:\configs.exe O4 - HKLM\..\Run: [host] C:\WINNT\system32\hosts.vbs O4 - HKLM\..\Run: [b5w734s6h2] C:\Programme\Symantec\l7sg504k1s.exe O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe O4 - Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 O10 - Broken Internet access because of LSP provider 'c:\dokumente und einstellungen\tino\windows\system32\rnr20.dll' missing O13 - DefaultPrefix: O13 - WWW Prefix: http://ehttp.cc? O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB O16 - DPF: {BD11A280-2E73-11CF-B6CF-00AA00A74DAE} - file://C:\Info_sex4.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://active.macromedia.com/flash5/cabs/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{4D940002-BD1A-4E93-B213-1D8994F45370}: NameServer = 212.82.225.7,141.1.1.1 Zitieren Link zu diesem Kommentar
gr@mlin 10 Geschrieben 18. Juni 2004 Melden Teilen Geschrieben 18. Juni 2004 hi, und wenn du mal diese verbogenen einträge unter R0 und R1 von hijackthis fixen lässt? infos zum log von hijackthis: http://www.trojaner-info.de/anleitungen/hijackthis/htlogtutorial.html gruss, gr@mlin Zitieren Link zu diesem Kommentar
xyCruiseryx 10 Geschrieben 18. Juni 2004 Autor Melden Teilen Geschrieben 18. Juni 2004 Wenn ich diese fixe kommen sie nach einem reboot wieder hoch.also der alterzustand ist wieder da...da muss was beim neustart gestartet werden....oder so ich bin echt mit meinem latein am ende.... Zitieren Link zu diesem Kommentar
gr@mlin 10 Geschrieben 18. Juni 2004 Melden Teilen Geschrieben 18. Juni 2004 hi, dann fix mal O13 und die ersten beiden O16-einträge. und die dir unbekannten sachen unter O4 (kenne ja deine progs nicht). und lies mal die anleitung zum log! gruss, gr@mlin Zitieren Link zu diesem Kommentar
NightFlight 10 Geschrieben 18. Juni 2004 Melden Teilen Geschrieben 18. Juni 2004 hi cruiser, ad-aware war schon tätig? mit nem netten gruß nightflight Zitieren Link zu diesem Kommentar
zuschauer 10 Geschrieben 18. Juni 2004 Melden Teilen Geschrieben 18. Juni 2004 Hi ! Welche Programme mir bei Dir nicht gefallen, weil ich sie nicht kenne, sind: Tino´s Toppop.exe C:\WINNT\system32\hosts.vbs :suspect: C:\windows\configs.exe :suspect: C:\configs.exe :suspect: Die solltest Du Dir genauer anschauen ! Zitieren Link zu diesem Kommentar
xyCruiseryx 10 Geschrieben 20. Juni 2004 Autor Melden Teilen Geschrieben 20. Juni 2004 Das werd ich mir mal anschauen..aber was mir aufn sack geht ist das ich alles was an spyware remover etc gibt schon laufen lassen habe aber nichts funktioniert. # Habe ebend gelesen das man die systemwiederherstellung ausschalten soll.....das bei bei win2k server aber anders oder...hat da mal jemand n tip was ich das genau konfig. muss ??? Andre sagen im abgesicherten modus die system32.dll löschen ??? das is doch selbstmord oder.????? Zitieren Link zu diesem Kommentar
günterf 45 Geschrieben 20. Juni 2004 Melden Teilen Geschrieben 20. Juni 2004 Hi! Scan mal die Registry nach der INET-Adresse! Zitieren Link zu diesem Kommentar
xyCruiseryx 10 Geschrieben 21. Juni 2004 Autor Melden Teilen Geschrieben 21. Juni 2004 Das machen die Spywareremover nur ...aber nach einem neustart ist der gane Gulasch wieder da.....ob per hab oder per tool.....kann mir mal jemand agen wo ich die ssysem wiederherstellung bei Win2k server abstelle..???? Evtl bei den Laufwerken..??? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.