Jump to content

Server prob mit nem trojaner....


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Moin Moin,

 

hab folgendes problem.

 

Der Inet-Explorer meines Win2k-Servers hat immer so eine nette Startseite.

 

http://www.searchmyrequest.com/hp.php'>http://www.searchmyrequest.com/hp.php

 

ich bekomm diesen mist einfach nicht weg.

 

Selbst: CWShredder , HijackThis , etc alles für die katz gewesen.

 

habe ne menge postingsgefunden wo stand das es datein wie awinrar.exe geben soll etc nur diese datein exestieren nicht auf der kiste...

 

 

hatte jemand evtl noch ne idee dazu..????????wäre klasse...

 

HijackThis Log:

 

Logfile of HijackThis v1.97.7

Scan saved at 13:23:02, on 18.06.2004

Platform: Windows 2000 SP3 (WinNT 5.00.2195)

MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000)

 

Running processes:

C:\WINNT\System32\wfshell.exe

C:\WINNT\Explorer.EXE

D:\Programme\FFUMS\ferrariFAX-Arbeitsplatz\fftray.exe

C:\WINNT\System32\ctfmon.exe

C:\Dokumente und Einstellungen\Tino\WINDOWS\toppop.exe

D:\Programme\Microsoft Office\Office10\OUTLOOK.EXE

D:\Programme\Microsoft Office\Office10\WINWORD.EXE

C:\Dokumente und Einstellungen\Tino\Desktop\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmyrequest.com/sp.php'>http://searchmyrequest.com/sp.php'>http://searchmyrequest.com/sp.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmyrequest.com/sp.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchmyrequest.com/sp.php

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchmyrequest.com/hp.php

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.search-2003.com/'>http://www.search-2003.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sharempeg.com/find/'>http://www.sharempeg.com/find/'>http://www.sharempeg.com/find/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.search-2003.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sharempeg.com/find/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.sharempeg.com/find/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer zur Verfügung gestellt von Büchner EDV

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINNT\System32\blank.htm

F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {2E77E33F-671E-4334-ABAA-0C2E2BE654F1} - C:\WINNT\System32\mdv_32.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {62160EEF-9D84-4C19-B7B8-6AC2526CD726} - C:\WINNT\System32\iyenuhe.dll

O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O4 - HKLM\..\Run: [CPQTEAM] cpqteam.exe

O4 - HKLM\..\Run: [ferrariFAX-Pipeserver] D:\Programme\FFUMS\ferrariFAX-Arbeitsplatz\\fftray.exe

O4 - HKLM\..\Run: [icaBar] icabar.exe /adminonly

O4 - HKLM\..\Run: [Winhost] C:\Dokumente und Einstellungen\admin\WINDOWS\winh.

O4 - HKLM\..\Run: [update32] C:\windows\configs.exe

O4 - HKLM\..\Run: [cmd32] C:\configs.exe

O4 - HKLM\..\Run: [host] C:\WINNT\system32\hosts.vbs

O4 - HKLM\..\Run: [b5w734s6h2] C:\Programme\Symantec\l7sg504k1s.exe

O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe

O4 - Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000

O10 - Broken Internet access because of LSP provider 'c:\dokumente und einstellungen\tino\windows\system32\rnr20.dll' missing

O13 - DefaultPrefix:

O13 - WWW Prefix: http://ehttp.cc?

O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB

O16 - DPF: {BD11A280-2E73-11CF-B6CF-00AA00A74DAE} - file://C:\Info_sex4.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://active.macromedia.com/flash5/cabs/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{4D940002-BD1A-4E93-B213-1D8994F45370}: NameServer = 212.82.225.7,141.1.1.1

Link zu diesem Kommentar

Das werd ich mir mal anschauen..aber was mir aufn sack geht ist das ich alles was an spyware remover etc gibt schon laufen lassen habe aber nichts funktioniert. #

 

Habe ebend gelesen das man die systemwiederherstellung ausschalten soll.....das bei bei win2k server aber anders oder...hat da mal jemand n tip was ich das genau konfig. muss ???

 

Andre sagen im abgesicherten modus die system32.dll löschen ??? das is doch selbstmord oder.?????

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...