nervige startseite und pop-ups

#0
16.06.2004, 13:47
...neu hier

Beiträge: 5
#1 Hallo
Ich hatte so ein Mist drauf, was immer automatisch zu Startseite wurde und auch städig pop-up öffnete. Ich hab jetzt Ad-aware, Spybot - Search & Destroy und hijackthis durchlaufen lassen und die startseite ist zum Glück weg, aber die pop-up sind immer noch da. Kann mir da jemand helfen und sich auch allgemein die Log File angucken !? Ich glaube da ist noch ne Menge anderer Mist mit drin... und ich will das alles runter haben.


Logfile of HijackThis v1.97.7
Scan saved at 13:48:25, on 16.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\addeb.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\winla.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\WinZip\winzip32.exe
C:\DOKUME~1\MASTAD~1\LOKALE~1\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\bnpcg.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://bnpcg.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://bnpcg.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\bnpcg.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://bnpcg.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\bnpcg.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=PopupsNuker:8100
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {EE58930C-83AD-037E-589F-FCBA9284608D} - C:\WINDOWS\system32\crfp.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [addeb.exe] C:\WINDOWS\system32\addeb.exe
O4 - HKCU\..\Run: [Popups Nuker] C:\Programme\Popups Nuker\PopNuker.exe
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040105/qtinstall.info.apple.com/mickey/de/win/QuickTimeInstaller.exe
O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab



greetz

[edit]
ich seh gerade das die startseite auch wieder da ist... was kann ich machen ?
Dieser Beitrag wurde am 16.06.2004 um 13:51 Uhr von NoAbilities editiert.
Seitenanfang Seitenende
16.06.2004, 14:06
Member
Avatar Dafra

Beiträge: 1122
#2 Fix:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\bnpcg.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://bnpcg.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://bnpcg.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\bnpcg.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://bnpcg.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\bnpcg.dll/sp.html#96676#
O2 - BHO: (no name) - {EE58930C-83AD-037E-589F-FCBA9284608D} - C:\WINDOWS\system32\crfp.dll
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [addeb.exe] C:\WINDOWS\system32\addeb.exe
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -

Und schick mir bitte die Datei C:\WINDOWS\system32\addeb.exe an

Spam-Email@gmx.net

MFG
DAFRA
Seitenanfang Seitenende
16.06.2004, 14:18
...neu hier

Themenstarter

Beiträge: 5
#3 Hey
Also ich hab das gefixt was du gesagt hast und kurz war es auch weg, leider ist jetzt wieder alles wie vorher und die "home search" startseite nervt mich immer noch.
Die Datei addbe.exe hab ich dir aber trotzdem geschickt !
Was kann ich denn jetzt noch machen ?
greetz
Seitenanfang Seitenende
16.06.2004, 15:41
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Ueberpruefe, ob das dein Proxy ist...bestimmt nicht
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=PopupsNuker:8100

also fixen

dann fixt du noch einmal, was @Dafra gepostet hat mit dem HijackThis

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\bnpcg.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://bnpcg.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://bnpcg.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\bnpcg.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://bnpcg.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\bnpcg.dll/sp.html#96676#
O2 - BHO: (no name) - {EE58930C-83AD-037E-589F-FCBA9284608D} - C:\WINDOWS\system32\crfp.dll
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [addeb.exe] C:\WINDOWS\system32\addeb.exe
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -


neustarten

1.Lade
AdAware..free....updaten vor dem Scannen !!!!!!!
Spybot
Cwhredder
http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html

2.gehe in den abgesicherten Modus...F8 beim Hochfahren druecken
und scanne den Comp.mit diesen Tools.

Dann gehe in die Registry
Start\Ausfuehren\regedit

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
und loesche auf der rechten Seite.....addeb.exe und P2P Networking.exe

dann suche die addeb.exe und P2P Networking.exe mit der Windowssuchfunktion und loesche sie.
....................................................................................................


normal neustarten


3.Lade SpyHunter und scanne
http://www.spy-bot.net/manual.asp

4. Loesche die C:\WINDOWS\system32\bnpcg.dll
C:\WINDOWS\system32\crfp.dll

5.Loesche BHO: (no name) - {EE58930C-83AD-037E-589F-FCBA9284608D}
kannst du mit RegClean machen
http://www.registry-cleaner.net/bho-manager.htm

6. Loesche unter InternetOptionen die TemporaryInternetFiles und
Stelle unter InternetOptionen einen neue Startseite ein.

Lade ClearProg
http://www.clearprog.de/
loesche mit dem Tool
Cookies (mit Ausschlußmöglichkeit beim IE)
- Verlauf
- Temporäre Internetfiles (Cache)
- die eingetragenen URLs
Schreibe dir aber vorher noch die wichtigsten Adressen, Favoriten auf...denn sie werden geloescht.

7. Lade den Firefox...ist hijackerfrei und surfe nur mit ihm
http://www.firebird-browser.de/
8. Lade mwav.exe , scanne
http://www.mwti.net/antivirus/free_utilities.asp
9. Lade Antivirus free, denn wie es ausschaut, hast du keinen Virenscanner.
Stelle \alle Dateien scannen \ ein und mache einen Vollscann
http://www.free-av.de/

Tipp>Du solltest dannn den Kazaa Lite bei CHip.de laden, denn es hat keinen Spyware
Ist besser als P2P
http://www.chip.de/downloads/c_downloads_8833716.html

Dann poste bitte das gereinigte Log noch einmal.
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 16.06.2004 um 16:00 Uhr von Sabina editiert.
Seitenanfang Seitenende
16.06.2004, 16:21
Member
Avatar Dafra

Beiträge: 1122
#5 @Sabina
Tippst du diese Anleitungen immer neu ??
Oder hast du die abgespeichert und machst nur noch Strg+C und Strg+V ??

Weil du schreibst immer so ne Menge ;)
MFG
DAFRA
Seitenanfang Seitenende
16.06.2004, 18:00
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Na ja, zu meiner Beschaemung tippe ich fast alles neu, ich bin eben superfleissig....hm hm .
Wenn man den Leuten nur sagt, was sie fixen muessen, ist nicht viel geholfen, denn das Fixen loescht leider nichts.

Gruss
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 16.06.2004 um 18:02 Uhr von Sabina editiert.
Seitenanfang Seitenende
16.06.2004, 23:32
...neu hier

Themenstarter

Beiträge: 5
#7 ok jetzt bin ich echt verzweifelt...
Ich hab alles gemacht (es hat ewig gedauert) leider war es wieder nur für kurze Zeit weg. Das ist meine aktuelle logflie:

Logfile of HijackThis v1.97.7
Scan saved at 23:31:54, on 16.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\winla.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\syslb32.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Masta DeeZ\Eigene Dateien\Programme\Security\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\emuss.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://emuss.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://emuss.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\emuss.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://emuss.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\emuss.dll/sp.html#96676
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {BD9F01E8-BBEC-4791-99A6-0B3141961A1C} - C:\WINDOWS\system32\mfcfu32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [syslb32.exe] C:\WINDOWS\syslb32.exe
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040105/qtinstall.info.apple.com/mickey/de/win/QuickTimeInstaller.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Seitenanfang Seitenende
17.06.2004, 00:06
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#8 @NoAbilities
Kannst du mir sagen wass winla.exe ist?Eigenschaften?
__________
MfG Argus
Seitenanfang Seitenende
17.06.2004, 00:25
...neu hier

Themenstarter

Beiträge: 5
#9 klar...
Eigenschaften

winla

Dateityp: Anwendung
Beschreibung: winla
Ort: C:\Windows
Größe: 9,00 KB (9.216 Bytes)
Größe auf Datenträger: 12,00 KB (12.288 Bytes)
Erstellt: Samstag, 29. Mai 2004, 00:32:54
Geändert am: Samstag, 29. Mai 2004, 00:32:56
Letzter Zugriff: Heute, 17. Juni 2004
Seitenanfang Seitenende
17.06.2004, 09:54
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 @NoAbilities

Jetzt ist was neues drauf
Das bekommen wir auch weg..nicht verzagen

#Deaktiviere die Wiederherstellung...kannst du nach der Reinigung wieder aktivieren
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924


#Ueberpruefe bitte
C:\WINDOWS\winla.exe
C:\WINDOWS\syslb32.exe.
mit Kaspersky und poste mal das Ergebnis
http://www.kaspersky.com/remoteviruschk.html

Dann schaust du, ob du alles notwendigen Tools geladen hast

AdAware..free
Spybot
Cwhredder
http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html
SpyHunter
http://www.spy-bot.net/manual.asp
RegCleaner
http://www.registry-cleaner.net/bho-manager.htm

Fixe bitte

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\emuss.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://emuss.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://emuss.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\emuss.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://emuss.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\em
uss.dll/sp.html#96676
O2 - BHO: (no name) - {BD9F01E8-BBEC-4791-99A6-0B3141961A1C} - C:\WINDOWS\system32\mfcfu32.dll
O4 - HKLM\..\Run: [syslb32.exe] C:\WINDOWS\syslb32.exe....VIRUS


neustarten


1. Gehe in den abgesicherten Modus....F8 beim Hochfahren druecken
dort suchst du und loescht

C:\WINDOWS\emuss.dll
C:\WINDOWS\system32\mfcfu32.dll
C:\WINDOWS\syslb32.exe
C:\WINDOWS\winla.exe
uss.dll

2. mit Hilfe des ReCleaners loescht du
BHO: (no name) - {BD9F01E8-BBEC-4791-99A6-0B3141961A1C}

3. Gehe in die Registry
Start\Ausfuehren\regedit und loesche... syslb32.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

4. Nun scannst du , alles noch im abgesicherten Modus
mit
AdAware
CWShredder
Spyhunter
Spybot

5. normal neustarten

6. Lade ClearProg
http://www.clearprog.de/
loesche mit dem Tool
Cookies (mit Ausschlußmöglichkeit beim IE)
- Verlauf
- Temporäre Internetfiles (Cache)
- die eingetragenen URLs
Schreibe dir aber vorher noch die wichtigsten Adressen, Favoriten auf...denn sie werden geloescht.
und stelle einen neue Startseite unter InternetOptionen ein.

7. Lade Antivir. stelle \alle Dateien scannen \ ein und mache einen Vollscann
http://www.free-av.de/

7a. Lade die Firewall Sygate free....ganz unten auf der Site
http://smb.sygate.com/products/spf_standard.htm

8. nun machst du noch einen scann mit mwav.exe und postest, was das Tool noch gefunden hat.
Mwav.exe
http://www.mwti.net/antivirus/free_utilities.asp

Dann poste das Log noch einmal.
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 17.06.2004 um 10:18 Uhr von Sabina editiert.
Seitenanfang Seitenende
17.06.2004, 14:29
...neu hier

Themenstarter

Beiträge: 5
#11 [edit]
und schon wieder da... es ist aber immer das gleiche irgendwie schreibt sich das ding immer wieder neu

Logfile of HijackThis v1.97.7
Scan saved at 14:36:07, on 17.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\javaqy32.exe
C:\Programme\CleanMyPC\Registry Cleaner\RCScheduler.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\atlex32.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Masta DeeZ\Eigene Dateien\Programme\Security\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\nzotk.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://nzotk.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://nzotk.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\nzotk.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://nzotk.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\nzotk.dll/sp.html#96676
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {BA77E2CC-EDA1-2397-6D1D-8D33C8F8181B} - C:\WINDOWS\sdkgn.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [javaqy32.exe] C:\WINDOWS\system32\javaqy32.exe
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040105/qtinstall.info.apple.com/mickey/de/win/QuickTimeInstaller.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab



ich hab auch danach keine seite mehr besucht also muss es irgedwas auf dem rechner sein...
Dieser Beitrag wurde am 17.06.2004 um 21:06 Uhr von NoAbilities editiert.
Seitenanfang Seitenende
18.06.2004, 13:25
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 Jetzt ist es einen neue dll...scheint sich zu transformiere...habe ich noch nie gesehen...

Fixe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\nzotk.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://nzotk.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://nzotk.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\nzotk.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://nzotk.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\nzotk.dll/sp.html#96676

O2 - BHO: (no name) - {BA77E2CC-EDA1-2397-6D1D-8D33C8F8181B} - C:\WINDOWS\sdkgn.dll
O4 - HKLM\..\Run: [javaqy32.exe] C:\WINDOWS\system32\javaqy32.exe
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab

neustarten

gehe in den abgesicherten Modus

C:\WINDOWS\sdkgn.dll loeschen
http://www.definitivesolutions.com/bhodemon.htm
mit dem Tool loescht du {BA77E2CC-EDA1-2397-6D1D-8D33C8F8181B}

neustarten

Ueberpruefe
C:\WINDOWS\system32\javaqy32.exe
mit Kaspersky
http://www.kaspersky.com/remoteviruschk.html
wenn es ein Virus ist...bestimmt...loeschen und auch im Pfad in der Registry
HKLM\..\Run: [javaqy32.exe] C:\WINDOWS\system32\javaqy32.exe

..............................................................................................

Lade den CWShredder und scanne ohne Internetverbindung
http://www.spywareinfo.com/~merijn/downloads.html

..............................................................................................

1. Doppelklicken Sie in der Systemsteuerung auf Internetoptionen.
2. Klicken Sie auf die Registerkarte Allgemein, und klicken Sie danach unter Temporäre Internetdateien auf Dateien löschen.
3. Aktivieren Sie im Dialogfeld Dateien löschen das Kontrollkästchen Alle Offlineinhalte löschen, wenn Sie alle Webseiteninhalte löschen möchten, die Sie offline bereitgestellt haben.
4. Klicken Sie auf OK.


Lade den Firefox als SurfBrowser...ist hijackerfrei
http://www.firebird-browser.de/

dann stelle eine neue Startseite im IE und im Firefox ein und poste das Log noch einmal.

Gruss
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 18.06.2004 um 13:31 Uhr von Sabina editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: