Jump to content
Sign in to follow this  
xyCruiseryx

Server prob mit nem trojaner....

Recommended Posts

Moin Moin,

 

hab folgendes problem.

 

Der Inet-Explorer meines Win2k-Servers hat immer so eine nette Startseite.

 

http://www.searchmyrequest.com/hp.php'>http://www.searchmyrequest.com/hp.php

 

ich bekomm diesen mist einfach nicht weg.

 

Selbst: CWShredder , HijackThis , etc alles für die katz gewesen.

 

habe ne menge postingsgefunden wo stand das es datein wie awinrar.exe geben soll etc nur diese datein exestieren nicht auf der kiste...

 

 

hatte jemand evtl noch ne idee dazu..????????wäre klasse...

 

HijackThis Log:

 

Logfile of HijackThis v1.97.7

Scan saved at 13:23:02, on 18.06.2004

Platform: Windows 2000 SP3 (WinNT 5.00.2195)

MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000)

 

Running processes:

C:\WINNT\System32\wfshell.exe

C:\WINNT\Explorer.EXE

D:\Programme\FFUMS\ferrariFAX-Arbeitsplatz\fftray.exe

C:\WINNT\System32\ctfmon.exe

C:\Dokumente und Einstellungen\Tino\WINDOWS\toppop.exe

D:\Programme\Microsoft Office\Office10\OUTLOOK.EXE

D:\Programme\Microsoft Office\Office10\WINWORD.EXE

C:\Dokumente und Einstellungen\Tino\Desktop\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmyrequest.com/sp.php'>http://searchmyrequest.com/sp.php'>http://searchmyrequest.com/sp.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmyrequest.com/sp.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchmyrequest.com/sp.php

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchmyrequest.com/hp.php

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.search-2003.com/'>http://www.search-2003.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sharempeg.com/find/'>http://www.sharempeg.com/find/'>http://www.sharempeg.com/find/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.search-2003.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sharempeg.com/find/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.sharempeg.com/find/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer zur Verfügung gestellt von Büchner EDV

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINNT\System32\blank.htm

F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {2E77E33F-671E-4334-ABAA-0C2E2BE654F1} - C:\WINNT\System32\mdv_32.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {62160EEF-9D84-4C19-B7B8-6AC2526CD726} - C:\WINNT\System32\iyenuhe.dll

O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O4 - HKLM\..\Run: [CPQTEAM] cpqteam.exe

O4 - HKLM\..\Run: [ferrariFAX-Pipeserver] D:\Programme\FFUMS\ferrariFAX-Arbeitsplatz\\fftray.exe

O4 - HKLM\..\Run: [icaBar] icabar.exe /adminonly

O4 - HKLM\..\Run: [Winhost] C:\Dokumente und Einstellungen\admin\WINDOWS\winh.

O4 - HKLM\..\Run: [update32] C:\windows\configs.exe

O4 - HKLM\..\Run: [cmd32] C:\configs.exe

O4 - HKLM\..\Run: [host] C:\WINNT\system32\hosts.vbs

O4 - HKLM\..\Run: [b5w734s6h2] C:\Programme\Symantec\l7sg504k1s.exe

O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe

O4 - Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000

O10 - Broken Internet access because of LSP provider 'c:\dokumente und einstellungen\tino\windows\system32\rnr20.dll' missing

O13 - DefaultPrefix:

O13 - WWW Prefix: http://ehttp.cc?

O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB

O16 - DPF: {BD11A280-2E73-11CF-B6CF-00AA00A74DAE} - file://C:\Info_sex4.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://active.macromedia.com/flash5/cabs/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{4D940002-BD1A-4E93-B213-1D8994F45370}: NameServer = 212.82.225.7,141.1.1.1

Share this post


Link to post

Wenn ich diese fixe kommen sie nach einem reboot wieder hoch.also der alterzustand ist wieder da...da muss was beim neustart gestartet werden....oder so ich bin echt mit meinem latein am ende....

Share this post


Link to post

hi,

 

dann fix mal O13 und die ersten beiden O16-einträge. und die dir unbekannten sachen unter O4 (kenne ja deine progs nicht).

 

und lies mal die anleitung zum log!

 

gruss, gr@mlin

Share this post


Link to post

Hi !

Welche Programme mir bei Dir nicht gefallen, weil ich sie nicht kenne, sind:

 

Tino´s Toppop.exe

 

C:\WINNT\system32\hosts.vbs :suspect:

C:\windows\configs.exe :suspect:

C:\configs.exe :suspect:

 

 

Die solltest Du Dir genauer anschauen !

Share this post


Link to post

Das werd ich mir mal anschauen..aber was mir aufn sack geht ist das ich alles was an spyware remover etc gibt schon laufen lassen habe aber nichts funktioniert. #

 

Habe ebend gelesen das man die systemwiederherstellung ausschalten soll.....das bei bei win2k server aber anders oder...hat da mal jemand n tip was ich das genau konfig. muss ???

 

Andre sagen im abgesicherten modus die system32.dll löschen ??? das is doch selbstmord oder.?????

Share this post


Link to post

Das machen die Spywareremover nur ...aber nach einem neustart ist der gane Gulasch wieder da.....ob per hab oder per tool.....kann mir mal jemand agen wo ich die ssysem wiederherstellung bei Win2k server abstelle..???? Evtl bei den Laufwerken..???

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...