Computerhilfen.de Logo
Forum
Tipps
News
Frage stellen
search
search
Thema geschlossen (topic locked)

res://tvgfk.dll/index.html#37049 immer noch

Logfile of HijackThis v1.97.7
Scan saved at 12:43:28, on 18.06.2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\CTSvcCDA.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\oocinst.exe
C:\WINDOWS\System32\oodag.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\system32\javarw32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\windg32.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hposol08.exe
G:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://mshp.dll/sp.html#37049
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://mshp.dll/index.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://mshp.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://mshp.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://mshp.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://mshp.dll/sp.html#37049
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {8F3C4101-454D-4602-8817-B42AA1A3B9D4} - C:\WINDOWS\system32\ntzy32.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "G:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [CamMonitor] C:\Programme\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [CTDVDDet] C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [AudioHQU] C:\Programme\Creative\SBAudigy2\AudioHQ\AHQTBU.EXE
O4 - HKLM\..\Run: [windg32.exe] C:\WINDOWS\system32\windg32.exe
O4 - HKLM\..\Run: [Image] rundll32 C:\WINDOWS\sdkqh32.dll,Install
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\System32\mstask.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\RunServices: [Image] rundll32 C:\WINDOWS\sdkqh32.dll,Install
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: officejet 6100.lnk = ?
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\IncrediMail\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\Microsoft Office\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Run DAP (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38156.0795138889
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = Server.local
O17 - HKLM\Software\..\Telephony: DomainName = Server.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{2E46E2D4-01CF-4599-B6A9-5AF2A9D50904}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{8989E89B-95FD-4801-8296-5945075F5682}: NameServer = 1.1.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{DE50AB2A-7357-44A0-B35C-F03CFF9D0FD0}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = Server.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = Server.local


So und jetzt!!??
Der mist ist immer noch da, selbst nach dem Neustart*grml*...

Moderator informieren  


Antworten zu res://tvgfk.dll/index.html#37049 immer noch:

Haste das jetzt gemacht wies im andern Thread stand oder was haste gemacht?
Haste den Service gefunden...etc?

Gruß

Moderator informieren  

Alle dlls gelöscht die da nicht hingehörten, lustigerweise heisst die dll immer anders...

Einmal war es mshp.dll
und einmal iyioa.dll
und nu wieder tvgfk.dll

Keine ahnung wo das immer her kommt...

Und jetzt!??

Moderator informieren  

Na das hab ich nicht gefragt, in dem Link wo ich dir gegeben hab da stand ne Prozedur..haste die ausgeführt?

http://www.computerhilfen.de/hilfen-17-32020-0.html

Gruß

« Letzte Änderung: 18.06.04, 13:12:38 von Nighty »
Moderator informieren  

Das hab ich alles gemacht, aber kommt trotzdem wieder..

Bin ehrlich gesagt ratlos...

Was kann ich denn noch machen??

Moderator informieren  

ja war der Service jetzt da oder nicht?

Erklär mal was du wie gemacht hast..nutz ja nix aufs geratewohl irgendwas zu tun...

Gruß

Moderator informieren  

Also wir haben die Sachen wie oben beschrieben fixen lassen, danach hab ich nach den jeweiligen dateien die ich gefixt hab auf der Festplatte gesucht sind alle in Windows oder System32 drin, die dll´s gelöscht und neu gestartet. Wie schon erwähnt wechselt die Datei welche im Explorer als startseite aufgerufen wird den Namen und die tauchen nach dem Neustart dann auch wieder auf der festplatte auf.

Moderator informieren  

Das beantwortet aber immernoch nicht meine Frage..

Um die dateien gehts nicht sondern ob der Network-Security Service vorhanden war oder nicht.

Gruß

Moderator informieren  

Der dienst? Ja der war da und ist aus

Moderator informieren  

Ja und was mach ich nun!!??

Moderator informieren  

Zum Hijacker gehören 2 EXE Dateien
Die erste ist der Dienst->Dienst beenden->Datei löschen->
2-Exe im Taskmanager unter Prozesse beenden->Datei löschen

Wenn sich die 2.-Exe nicht beenden läst im abgesicherten Modus machen.

Dann im system32-Odner alle dateien löschen die neuer/gleich Infektionsdatum sind und/oder mit dem Virenscanner scannen(vorher Updaten)

Der Rest(Aufrufe etc) mit Spybot/CWSshredder/Adaware löschen und dann nochmal ein LOG machen.

Die EXe-Datein könnten bei dir folgende sein, diese prüfen und/oder schauen was für ein datum die haben:
C:\WINDOWS\system32\oocinst.exe
C:\WINDOWS\System32\oodag.exe
C:\WINDOWS\system32\javarw32.exe
C:\WINDOWS\system32\windg32.exe

Danach nochmal ein LOG machen.

Achso und bevor du irgendwas machst solltest erstmal dein system updaten.
Du hast kein XP-Sp1 drauf und auch kein IE6-Sp1.
Windows-Update gibts ja nicht umsonst, wobei dadurch nicht alle Lücken geschlossen werden die die Hijacker ausnützen.

Darum am besten nach dem Updaten den Browser wechseln.

Gruß

« Letzte Änderung: 18.06.04, 22:01:30 von Nighty »
Moderator informieren  

die beiden oo datein gehören zu unserm Defrag programm, ich hab nu alles so gemacht wie du gesagt hast und werd mal neu starten.

Moderator informieren  

Logfile of HijackThis v1.97.7
Scan saved at 10:33:56, on 19.06.2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\CTSvcCDA.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\oocinst.exe
C:\WINDOWS\System32\oodag.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hposol08.exe
C:\WINDOWS\System32\devldr32.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
G:\HijackThis.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [CamMonitor] C:\Programme\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [CTDVDDet] C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [AudioHQU] C:\Programme\Creative\SBAudigy2\AudioHQ\AHQTBU.EXE
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\System32\mstask.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: officejet 6100.lnk = ?
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\IncrediMail\bin\resources\WebMenuImg.htm
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash5r42.cab

Moderator informieren  

Hey ich glaub das es nun endlich vorbei ist  :D, hab neugestartet und nix mehr davon zusehen, hoffe das der nun wirklich entfernt ist...

Nochmal vielen vielen Dank für Deine Hilfe...

Moderator informieren  

Seiten: [1]
« hijackthis-logcasinopalazzo.com »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!

Sanny Gast

Datum: 18.06.04, 12:49:17

4550x gelesen, 13 Antworten.

Seiten: [1]

0 und 1 Gast betrachten dieses Thema.
Fremdwörter? Erklärungen im Lexikon!
Logfile
Eine Log-Datei ist eine Datei mit einer Art Protokoll, dass Aufschluss gibt über jegliche Aktivität auf einem Rechner. Das automatrisch geführte Protokoll ...

HiJackThis
Unter dem Begriff HiJackThis verbirgt sich ein  Sicherheitsprogramm, dass den Computer nach Schad-Programmen und Viren durchsucht. Dazu werden spezielle Bereiche in ...

Scanner
Der Scanner, abgeleitet vom englischen Wort "to scan" für "abtasten", ist ein Gerät zur Digitalisierung von Bildern, Fotos und Dokumenten. M...


Mehr zu res://tvgfk.dll/index.html#37049 immer noch

HTML-Code mit PHP ausgeben

Mit den Ausgabe-Befehlen echo oder print lässt sich HTML-Co...

URL Weiterleitung: Seiten laden mit HTML, PHP und Javascript

Um die Besucher automatisch zu einer anderen Seite weiterlei...

res://wxszf.dll/index.html#37049

 Die o.g. Seite ist als Homepage im meinemBrowser wie f...

Ähnliche Fragen: