Ich bin's nochmal. Update: Ich hatte die Fehlermeldung "win86.exe hat ein Problem festgestellt und muss beendet werden". Auf Anraten von einigen Usern habe ich hijack durchlaufen lassen und poste hier die log. Kann mir damit nun jemand weiterhelfen? Vielen Dank allen im Voraus.
Logfile of HijackThis v1.98.2
Scan saved at 18:56:19, on 31.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\HP\KBD\KBD.EXE
C:\WINDOWS\msupdate.exe
C:\WINDOWS\trun.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Dokumente und Einstellungen\rud. blauenstein jun\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis1982.zip\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://magicsearch.us/browser/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://magicsearch.us/browser/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://magicsearch.us/browser/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bluewin.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://magicsearch.us/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://magicsearch.us/browser/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://magicsearch.us/browser/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://magicsearch.us/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://magicsearch.us/browser/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://magicsearch.us/browser/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [MSConfig Manager] C:\WINDOWS\msupdate.exe
O4 - HKLM\..\Run: [TimeService] C:\WINDOWS\trun.exe
O4 - HKLM\..\Run: [WinInit] Win86.exe
O4 - HKLM\..\Run: [WinLogin] win32x.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MSConfig Manager] C:\WINDOWS\msupdate.exe
O4 - HKCU\..\Run: [TimeService] C:\WINDOWS\trun.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.xxxxxxx.xx
O16 - DPF: {10000000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\MAIN.MHT!http://d.dialer2004.com//deathly/main.chm::/load.exe
O16 - DPF: {11111111-1111-1111-1111-111111113456} - file://c:\info6_s.cab
Seite 1 von 1
Win86.exe
Anzeige
#2
geschrieben 31. Oktober 2004 - 19:05
Sieht sehr böse aus ich würd an deiner Stelle mal formatieren...
#3
geschrieben 31. Oktober 2004 - 19:06
Zitat (hans_maulwurf: 31.10.2004, 19:05)
Sieht sehr böse aus ich würd an deiner Stelle mal formatieren...
<{POST_SNAPBACK}>
<{POST_SNAPBACK}>
Da kann man dem Maulwurf nur zustimmen
Aber schau es dir am besten selbst an:
http://www.hijackthis.de/logfiles/7fb30065...6fc166270b.html
#4
geschrieben 31. Oktober 2004 - 19:17
Als ich auf die oben genannte Adresse geklickt habe, die zu der Logfile führte, erhielt ich folgende Meldung: Siehe Bild.
Und bitte jetzt keine negativen Kommentare zu Norton Antivirus 2005!
*EDIT* Gleich wenn ich auf die Site gehe, gibt NAV 2005 die Meldung aus.
Und bitte jetzt keine negativen Kommentare zu Norton Antivirus 2005!
*EDIT* Gleich wenn ich auf die Site gehe, gibt NAV 2005 die Meldung aus.
Dieser Beitrag wurde von klaus1012 bearbeitet: 31. Oktober 2004 - 19:33
#5 _Regenwurm_
geschrieben 31. Oktober 2004 - 19:19
Warum fragst du hier nochmal?
Du hast deine Frage doch schon heute Nachmittag hier gestellt
Naja, von mir der gleiche Tip wie von hans_maulwurf: formatieren
Und lies dir mal den Link in meiner Signatur durch (Was tun, wenn...)
Du hast deine Frage doch schon heute Nachmittag hier gestellt
Naja, von mir der gleiche Tip wie von hans_maulwurf: formatieren
Und lies dir mal den Link in meiner Signatur durch (Was tun, wenn...)
#6
geschrieben 31. Oktober 2004 - 19:28
@klaus1012:
Und wie wäre es mal, wenn du eine verständliche Meldung ausgibst? Z.B. mal den genauen Wortlort, einen Mitschnitt vom Logfile, ob es sich überhaupt und eine Datei im Browser-Cache handelt, welcher Teil der Webseite es genau sein soll... ach ja: Bloodhound = Heuristik = nichtdeterministisch, Fehlalarme. Das spricht stark gegen NAV 0.2005.
Und wie wäre es mal, wenn du eine verständliche Meldung ausgibst? Z.B. mal den genauen Wortlort, einen Mitschnitt vom Logfile, ob es sich überhaupt und eine Datei im Browser-Cache handelt, welcher Teil der Webseite es genau sein soll... ach ja: Bloodhound = Heuristik = nichtdeterministisch, Fehlalarme. Das spricht stark gegen NAV 0.2005.
Konnichiwa. Manga wo shitte masu ka? Iie? Gomenne, sonoyouna koto ga tabitabi arimasu. Mangaka ojousan nihongo doujinshi desu wa 'Clamp X', 'Ayashi no Ceres', 'Card Captor Sakura', 'Tsubasa', 'Chobits', 'Sakura Taisen', 'Inuyasha' wo 'Ah! Megamisama'. Hai, mangaka gozaimashita desu ni yuujin yori.
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
#7
geschrieben 31. Oktober 2004 - 20:06
Zitat (klaus1012: 31.10.2004, 19:17)
Als ich auf die oben genannte Adresse geklickt habe, die zu der Logfile führte, erhielt ich folgende Meldung: Siehe Bild.
Und bitte jetzt keine negativen Kommentare zu Norton Antivirus 2005!
*EDIT* Gleich wenn ich auf die Site gehe, gibt NAV 2005 die Meldung aus.
<{POST_SNAPBACK}>
Und bitte jetzt keine negativen Kommentare zu Norton Antivirus 2005!
*EDIT* Gleich wenn ich auf die Site gehe, gibt NAV 2005 die Meldung aus.
<{POST_SNAPBACK}>
hab das auch bekommen aber hier mal das log:
Zitat
Scan type: Auto-Protect Scan
Event: Threat Found!
Threat: Bloodhound.Exploit.6
File: C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Mozilla\Firefox\Profiles\4i62qndu.default\Cache\1E32034Ad01
Location: Quarantine
Computer: DEEPBLUE
User: ******
Action taken: Quarantine succeeded : Access denied
Date found: Sonntag, 31. Oktober 2004 20:05:50
Event: Threat Found!
Threat: Bloodhound.Exploit.6
File: C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Mozilla\Firefox\Profiles\4i62qndu.default\Cache\1E32034Ad01
Location: Quarantine
Computer: DEEPBLUE
User: ******
Action taken: Quarantine succeeded : Access denied
Date found: Sonntag, 31. Oktober 2004 20:05:50
#8
geschrieben 31. Oktober 2004 - 20:08
Also ich hab keine Probleme mit der Seite (McAfee Antivirenschutz!)
Dieser Beitrag wurde von Stefan bearbeitet: 31. Oktober 2004 - 20:08
#9
geschrieben 31. Oktober 2004 - 20:13
Woher wußte ich das nur daß NAV keine brauchbaren Logfiles schreibt... tu mir doch mal einen Gefallen: Schau dir den Quellcode der Webseite an. Da ist nix, aber absolut gar nicht gefährliches und auch nicht mal irgendetwas wo man erwarten könnte daß eine Heuristik anspringt. Naja, NAV bildet sich ja sogar die gleichen Mail-Anhänge wie OE ein...
Konnichiwa. Manga wo shitte masu ka? Iie? Gomenne, sonoyouna koto ga tabitabi arimasu. Mangaka ojousan nihongo doujinshi desu wa 'Clamp X', 'Ayashi no Ceres', 'Card Captor Sakura', 'Tsubasa', 'Chobits', 'Sakura Taisen', 'Inuyasha' wo 'Ah! Megamisama'. Hai, mangaka gozaimashita desu ni yuujin yori.
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
Thema verteilen:
Seite 1 von 1