wurm, trojaner etc?

Prüfen:
C:\WINNT\system32\cselect.exe

Fixen:
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O15 - Trusted Zone: http://*.63.219.181.7

Wenn die erste was schädliches ist auch
O4 - HKLM\..\Run: [Cselect] C:\WINNT\system32\cselect.exe

Und SUN-Java scheint ja schon drauf zu sein..

Gruß

hallo nighty!
vielen dank!
folgende datei lässt sich nicht fixen:
O15 - Trusted Zone: http://*.63.219.181.7
was soll ich da machen?
die anderen habe ich weggekriegt
gruss

Was heisst du hast sie weggekriegt?

haste denn die cselect geprüft ob das was schädliches ist oder nicht?

Nach dem Fixen schonmal neugestartet und nochmal probiert ob das letzte weggeht?

kannste auch unter InternetOptionen->Sicherheit->Vertrauenswürdige-Sites->Sites löschen

Gruß

hallo nighty!
cselect war schädlich, beim fixen ist das andere (HKLM\..\Run: [Cselect])auch mit weggegangen.

O15 - Trusted Zone: http://*.63.219.181.7 geht auch über internet optionen sicherheit etc nicht weg, bei "für diese zone ist serverprüfung erforderlich" ist ein häkchen. kann das damit zusammenhängen?

was er immer noch macht, ist die neuen broswerfenster im miniformat zu öffnen und es kommen (auch in diesem forum) immer wieder werbefenster (die nicht als url angezeigt werden) und die zum teil einen link mit button auf dem desktop hinterlassen.
vielen dank, lieber nighty!!!!!

Haste das schonmal im abgesicherten-Modus probiert das O15 fixen?

Was sagt er dann wenn du das in den INternetOptionen entfernen willst?

Und die IP ist: connect.online-dialer.com

Die muss also auf jedenfall dort raus, oder erstmal die IP in der Firewall sperren.

Gruß

Hallo Nighty!
Sorry für die Verspätung, ich war zwei Tage weg.

Zu deinen Fragen und Tipps:

Wie geht das Fixen im abesicherten Modus?

Folgendes passiert beim Löschen über Internetoptionen:

Ich gehe auf  Internetoptionen-Sicherheit-Vertrauenswürdige Sites und klicke auf  Sites, wobei ich dann diese URL (O15 - Trusted Zone: http://*.63.219.181.7) unter Websites angeboten bekomme.

Ganz oben steht: Sie können Websites zu dieser Zone hinzufügen oder aus ihr entfernen. Für alle Websites….

Wenn ich dann auf  „Entfernen“ drücke, ist es in diesem Fenster weg, beim nächsten Scan mit hijackthis ist die URL (O15 - Trusted Zone: http://*.63.219.181.7) wieder da.

Vielen Dank!

Dein Problem wird der "O6" Eintrag sein,
fix diesen erst und dann den "O15" Eintrag

hallo nighty!
ich sehe keinen 06 Eintrag.
ich poste den aktuellen log:

Logfile of HijackThis v1.97.7
Scan saved at 12:27:09, on 6.6.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\TOSHIBA\Power Management\CeEPwrSvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINNT\System32\nvsvc32.exe
C:\Programme\Kerio\Personal Firewall\persfw.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\ltmoh\Ltmoh.exe
C:\Programme\TOSHIBA\Power Management\CePMTray.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\QuickTime\qttask.exe
C:\WINNT\System32\rundll32.exe
C:\Programme\winzip\WZQKPICK.EXE
C:\Programme\Apoint2K\Apntex.exe
C:\WINNT\System32\ctfmon.exe
C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
C:\Dokumente und Einstellungen\Sandbrand\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://yahoo.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [CeEPOWER] C:\Programme\TOSHIBA\Power Management\CePMTray.exe
O4 - HKLM\..\Run: [CplBTQ00] C:\Programme\EzButton\CplBTQ00.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\winzip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O15 - Trusted Zone: http://*.63.219.181.7

vielen dank!!!!

Sorry, ich habe nicht gesehen, das du den Eintrag vorher schon geloescht hast.
Spybot(1.3) hast du aktualisiert und es auch schon mit Adaware http://www.lavasoftusa.com/  versucht?
Dieser Cleanerwaere auch einen Versuch wert:
http://www.mwti.net/antivirus/free_utilities.asp

hallo nighty!
jetzt habe ich adaware wieder drüber laufen lassen
und danach war das problem mit O15 - Trusted Zone: http://*.63.219.181.7 weg.

adaware hat mir folgende fehlermeldungen gegeben:

Spyhunter Popups
Advertising.com
BFast
DoubleClick
DSO Exploit
MediaPlex
ValueClick


search and destroy mit ausnahme von Spyhunter Popups (unschädlich, oder?) habe ich dann durchgeführt.
beim nächsten scan kommt DSO Exploit wieder, obwohl es vorher schon weg war.

was ist DSO Exploit und was kann man dagegen tun?

was beim bowser immer noch komisch ist, sind die minifenster, in denen neue browserfenster geöffnet werden und die werbefenster als gif-datei, die man nicht wegklicken kann - auch in diesem forum.

was kann man gegen die beiden erscheinungen machen?

vielen dank!

Installier dir einen Popuopblocker. z.B. http://www.webwasher.com oder noch besser einen anderen Browser der sowas nicht hat, solche Probleme weil er sicherer ist, http://www.firefox-browser.de.

hallo nighty!
sorry, hab den gleichen beitrag zweimal gepostet.

ich muss bei explorer bleiben (beruflich)

gibt es keine möglichkeit, dass explorer die seiten wieder in vernünftiger grösse öffnet

gibt es eigentlich dienstleister, die diese ganzen teile wieder entfernen?

sollte in münchen oder umgebung sein

danke

Mach mal alle Fenster zu, geh offline und dann öffnest Hijackthis->Config->Misc-Tools->Generate StartupList Log

Do you want to continue->Yes/Ja

Und dann macht er Notepad auf und den Inhalt kannste hier mal posten (kopieren aus Notepad->hier einfügen)

Gruß

hallo nighty!
here we go....

StartupList report, 6.6.2004, 20:08:52
StartupList version: 1.52
Started from : C:\Dokumente und Einstellungen\Sandbrand\Desktop\HijackThis.EXE
Detected: Windows XP SP1 (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)
* Using default options
==================================================

Running processes:

C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\TOSHIBA\Power Management\CeEPwrSvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINNT\System32\nvsvc32.exe
C:\Programme\Kerio\Personal Firewall\persfw.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\ltmoh\Ltmoh.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Apoint2K\Apntex.exe
C:\WINNT\System32\rundll32.exe
C:\Programme\winzip\WZQKPICK.EXE
C:\WINNT\System32\ctfmon.exe
C:\Dokumente und Einstellungen\Sandbrand\Desktop\HijackThis.exe

--------------------------------------------------

Listing of startup folders:

Shell folders Common Startup:
[C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart]
Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
WinZip Quick Pick.lnk = C:\Programme\winzip\WZQKPICK.EXE

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINNT\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Synchronization Manager = mobsync.exe /logon
NvCplDaemon = RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
nwiz = nwiz.exe /install
Apoint = C:\Programme\Apoint2K\Apoint.exe
LtMoh = C:\Programme\ltmoh\Ltmoh.exe
CeEPOWER = C:\Programme\TOSHIBA\Power Management\CePMTray.exe
(Default) =
CplBTQ00 = C:\Programme\EzButton\CplBTQ00.EXE
NeroCheck = C:\WINNT\system32\NeroCheck.exe
ccApp = "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
ccRegVfy = "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
QuickTime Task = "C:\Programme\QuickTime\qttask.exe" -atboottime
SpyHunter =
mwavscan = "C:\DOKUME~1\SANDBR~1\LOKALE~1\Temp\mwavscan.com" /s

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

NVIEW = rundll32.exe nview.dll,nViewLoadHook

--------------------------------------------------

Shell & screensaver key from C:\WINNT\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=C:\WINNT\BROCKH~1.SCR
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry key not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------


Enumerating Browser Helper Objects:

(no name) - C:\Programme\Spybot - Search & Destroy\SDHelper.dll - {53707962-6F74-2D53-2644-206D7942484F}

--------------------------------------------------

Enumerating Task Scheduler jobs:

Norton AntiVirus - Meinen Computer prüfen.job
Symantec NetDetect.job

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

WebCheck: C:\WINNT\System32\webcheck.dll
SysTray: C:\WINNT\System32\stobject.dll
PostBootReminder: C:\WINNT\system32\SHELL32.dll
CDBurn: C:\WINNT\system32\SHELL32.dll

--------------------------------------------------
End of report, 4.631 bytes
Report generated in 0,047 seconds

Command line options:
   /verbose  - to add additional info on each section
   /complete - to include empty sections and unsuspicious data
   /full     - to include several rarely-important sections
   /force9x  - to include Win9x-only startups even if running on WinNT
   /forcent  - to include WinNT-only startups even if running on Win9x
   /forceall - to include all Win9x and WinNT startups, regardless of platform
   /history  - to list version history only

danke!