Home Search Startseite ..bekomme es nicht bereinigt..

#0
02.07.2004, 14:24
...neu hier

Beiträge: 4
#16 Hi Sabina

habe jetzt alles gemacht aber da hat sich jetzt eine andere Startseite eingeschlichen.
Bin schon ganz verzweifeld.

Hier das neue LOG

Logfile of HijackThis v1.98.0
Scan saved at 14:22:13, on 02.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Autodata Limited Shared\Service\ADCDLicSvc.exe
C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\QKeys\QKeys.EXE
C:\Programme\Winamp\Winampa.exe
C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\RUNDLL32.exe
C:\WINDOWS\System32\RUNDLL32.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\javaaz.exe
C:\WINDOWS\system32\mfcgb32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Stefan\Desktop\HIJACK\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\okeji.dll/sp.html#37680
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://okeji.dll/index.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://okeji.dll/index.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\okeji.dll/sp.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\okeji.dll/sp.html#37680
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://okeji.dll/index.html#37680
R3 - Default URLSearchHook is missing
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\downloaded program files\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {F25B6C71-8EE6-F1C8-5F26-6E0E3367B6DE} - C:\WINDOWS\system32\msbc32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\downloaded program files\googletoolbar1.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QKeys] C:\Programme\QKeys\QKeys.EXE
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [mfcgb32.exe] C:\WINDOWS\system32\mfcgb32.exe
O8 - Extra context menu item: &Google Search - res://c:\windows\downloaded program files\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\windows\downloaded program files\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\windows\downloaded program files\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://c:\windows\downloaded program files\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for ¸æZ: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.gericom.com
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MTSInstallers/MetaStream3.cab
O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://pub.plan.at/mgaxctrlde.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{78051B56-0398-4E02-B902-2D5E7D2130FC}: NameServer = 195.96.0.4 195.70.224.45
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - (no file)
Seitenanfang Seitenende
02.07.2004, 17:34
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#17 Problemfall

Fixe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\kmtsj.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://kmtsj.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\kmtsj.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\kmtsj.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://kmtsj.dll/index.html#96676

neustarten


Lade Sp und scanne ohne Internetverbindung
http://www.rokop-security.de/main/article.php?sid=746


loesche die TemporaryInternetFiles unter InternetOptionen.

Dann poste das Log noch mal.

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 02.07.2004 um 17:37 Uhr von Sabina editiert.
Seitenanfang Seitenende
02.07.2004, 17:41
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#18 @josie

Fixe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\okeji.dll/sp.html#37680
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://okeji.dll/index.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://okeji.dll/index.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\okeji.dll/sp.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\okeji.dll/sp.html#37680
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://okeji.dll/index.html#37680

O2 - BHO: (no name) - {F25B6C71-8EE6-F1C8-5F26-6E0E3367B6DE} - C:\WINDOWS\system32\msbc32.dll

O4 - HKLM\..\Run: [mfcgb32.exe] C:\WINDOWS\system32\mfcgb32.exe

neustarten



loesche
C:\WINDOWS\system32\msbc32.dll
C:\WINDOWS\system32\mfcgb32.exe


deaktiviere KURZFRISTIG den Symantec....(weil sich der Antivir. nicht mit anderen Virenscannern vertraegt) und lade Antivir. free
http://www.free-av.com/

stelle ein <alle Dateien scannen< und mache einen Vollscann.

Dann loesche die TemporaryInternetfiles und stelle eine neue Startseite ein.

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 02.07.2004 um 17:42 Uhr von Sabina editiert.
Seitenanfang Seitenende
02.07.2004, 18:26
...neu hier

Beiträge: 4
#19 Hi Sabina,

also ich weiss jetzt nicht mehr was ich machen soll
Habe das gefixt was du gesagt hast aber jetzt ist schon wieder eine neue
Startseite da. Was mach ich nur falsch?

Übrigens die Dateien

C:\WINDOWS\system32\msbc32.dll
C:\WINDOWS\system32\mfcgb32.exe

habe ich nicht gefunden um sie zu löschen!?!?!?
Und der link http://www.free-av.com/ funktioniert auch nicht!?!
Wahrscheinlich überlastet!
Sonst hab ich eh alles gemacht was du gesagt hast.

Danke nochmals für deine Bemühungen(das find ich echt spitze von dir)

Der aktuelle LOG

Logfile of HijackThis v1.98.0
Scan saved at 18:26:13, on 02.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Autodata Limited Shared\Service\ADCDLicSvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\javaaz.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\QKeys\QKeys.EXE
C:\Programme\Winamp\Winampa.exe
C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\WINDOWS\system32\mfcgb32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Stefan\Desktop\HIJACK\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ykxur.dll/sp.html#37680
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://ykxur.dll/index.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://ykxur.dll/index.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\ykxur.dll/sp.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ykxur.dll/sp.html#37680
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://ykxur.dll/index.html#37680
R3 - Default URLSearchHook is missing
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\downloaded program files\googletoolbar1.dll
O2 - BHO: (no name) - {D9F9BB90-41F0-23DB-5F55-74ED758D5652} - C:\WINDOWS\addhe32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\downloaded program files\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QKeys] C:\Programme\QKeys\QKeys.EXE
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [mfcgb32.exe] C:\WINDOWS\system32\mfcgb32.exe
O8 - Extra context menu item: &Google Search - res://c:\windows\downloaded program files\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\windows\downloaded program files\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\windows\downloaded program files\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://c:\windows\downloaded program files\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for ¸æZ: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.gericom.com
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MTSInstallers/MetaStream3.cab
O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://pub.plan.at/mgaxctrlde.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{78051B56-0398-4E02-B902-2D5E7D2130FC}: NameServer = 195.96.0.4 195.70.224.45
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - (no file)
Seitenanfang Seitenende
02.07.2004, 18:39
Member

Beiträge: 12
#20 hallo Sabina !!


leider habe ich mir auch diese dämliche Search Seite eingefangen, ich habe mir einen Beitrag hier mal durchgelesen und folgende Programme benutzt

Ad-aware 6.0 / Clear Prog 1.4.0

die Search Seite kommt zwar nicht wieder, aber unter Software sind immer noch die Einträge: Home search Assistent / rundll32 url.dll,FileProtocolHandler http://looking-for.cc/uninstall/HomeSearchAssistant.html

dann: Search Extender / rundll32 url.dll,FileProtocolHandler http://looking-for.cc/uninstall/SearchExtender.html

und: Shopping Wizard / rundll32 url.dll,FileProtocolHandler http://looking-for.cc/uninstall/ShoppingWizard.html

daher denke ich mal das diese Seite noch nicht gelöscht wurde....

was kann ich denn da machen ?

danke im Vorraus,


folgender Auszug:


Logfile of HijackThis v1.98.0
Scan saved at 19:03:05, on 02.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
D:\PROGRA~1\Grisoft\AVG6\avgcc32.exe
C:\WINDOWS\System32\mcc.exe
C:\WINDOWS\system32\sysgk.exe
d:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\mfcox32.exe
C:\DOKUME~1\Andy\LOKALE~1\Temp\Rar$EX00.993\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\rpaco.dll/sp.html#37680
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {8E0DAA14-13FF-B4FA-1BDB-7092D5E13F56} - C:\WINDOWS\system32\apiqg32.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVG_CC] d:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [Multimedia Codecs] C:\WINDOWS\System32\mcc.exe
O4 - HKLM\..\Run: [sysgk.exe] C:\WINDOWS\system32\sysgk.exe
O4 - HKLM\..\RunOnce: [mfcox32.exe] C:\WINDOWS\system32\mfcox32.exe
O4 - HKLM\..\RunOnce: [mfcgq32.exe] C:\WINDOWS\mfcgq32.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\programme\google\GoogleToolbar2.dll/cmtrans.html
Dieser Beitrag wurde am 02.07.2004 um 19:07 Uhr von ND33 editiert.
Seitenanfang Seitenende
02.07.2004, 20:02
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#21 @JOSIE

DAS IST JA EIN GANZ HARTNAECKIGES dING...
fIXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ykxur.dll/sp.html#37680
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://ykxur.dll/index.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://ykxur.dll/index.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\ykxur.dll/sp.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ykxur.dll/sp.html#37680
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://ykxur.dll/index.html#37680

O2 - BHO: (no name) - {D9F9BB90-41F0-23DB-5F55-74ED758D5652} - C:\WINDOWS\addhe32.dll
O4 - HKLM\..\Run: [QKeys] C:\Programme\QKeys\QKeys.EXE

das ist der Virus
O4 - HKLM\..\Run: [mfcgb32.exe] C:\WINDOWS\system32\mfcgb32.exe

neustarten


Suche und loesche
C:\WINDOWS\system32\mfcgb32.exe
C:\WINDOWS\addhe32.dll
C:\WINDOWS\javaaz.exe...das scheint der Uebeltater zu sein !!!!!


Lade Antivirus free...der Link funktioniert im Moment sehr gut
free
http://www.free-av.com/

scanne<alle Dateien<

Loesche die TemporaryInternetFiles unter Internetoptionen und stelle eine neue Startseite ein.

Lade Sygate free...Firewall
http://smb.sygate.com/products/spf_standard.htm

Dann poste das Log noch einmal.
Sabina
;)
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 02.07.2004 um 20:12 Uhr von Sabina editiert.
Seitenanfang Seitenende
02.07.2004, 20:18
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#22 ND33

Fixe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\rpaco.dll/sp.html#37680
O2 - BHO: (no name) - {8E0DAA14-13FF-B4FA-1BDB-7092D5E13F56} - C:\WINDOWS\system32\apiqg32.dll
O4 - HKLM\..\Run: [sysgk.exe] C:\WINDOWS\system32\sysgk.exe
O4 - HKLM\..\RunOnce: [mfcox32.exe] C:\WINDOWS\system32\mfcox32.exe
O4 - HKLM\..\RunOnce: [mfcgq32.exe] C:\WINDOWS\mfcgq32.exe


neustarten !!!

Deaktiviere deinen Virenscanner und
lade Antivirus free
stelle ein <alle Dateien scannen < und mache einen Vollscann
http://www.free-av.com/


Loesche C:\WINDOWS\system32\apiqg32.dll , falls es noch da ist

Wenn es nach dem Scann noch da sein sollte, ueberpruefe mit Kaspersky
http://www.kaspersky.com/remoteviruschk.html
C:\WINDOWS\System32\mcc.exe
C:\WINDOWS\system32\sysgk.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\mfcox32.exe

Das muessten die Trojaner sein...welche die Startseite verstellen

Lade Sygate free...Firewall
http://smb.sygate.com/products/spf_standard.htm

Loesche unter InternetOptionen die TemporaryInternetFiles , stelle eine neue Startseite ein und poste das Log novch mal.

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 02.07.2004 um 20:20 Uhr von Sabina editiert.
Seitenanfang Seitenende
02.07.2004, 21:52
Member

Beiträge: 12
#23 hallo nochmal...


erstmal danke für Deine Hilfe, werde ich ausprobieren, nur habe ich ein neues Problem und zwar wollte ich meinen Scannertreiber installieren als die Meldung:

"shell.dll nicht gefunden" erschien.

die Grösse des Files hat sich verändert und mit einer "normalen" shell.dll zu überschreiben bringt nix, da sich die Grösse wieder verändert auf 5.00 KB

hast Du ne Ahnung was das hervorruft ???

mfG Andy
Seitenanfang Seitenende
02.07.2004, 21:55
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#24 ND33

Klar, dein Computer ist ziemlich verseucht...mach erst mal die Reinigung.

Installierbare Treiber treten unter Windows ebenfalls als DLL-Dateien auf. Ein Programm kann diesen Treiber auf der Basis von Instruktionen, die in der entsprechenden DLL-Datei enthalten sind, öffnen, aktivieren, abfragen, deaktivieren und schließen...


Start<Ausfuehren<regedit
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\WOW
suche , ob die Shell.dll korrekt eingetragen ist


Virus hat eine solche DLL-Datei infiziert (oder eine infizierte Datei erstellt). Diese hat er wohl in der Datei SYSTEM.INI, WIN.INI oder in der Windows Registrierdatenbank (Registry) so eingetragen, damit die Datei bei jedem Windows-Start geladen wird. Hat nun ein Virenscanner die DLL entfernt, steht der Eintrag jedoch immer noch in in den genannten Dateien. Da Windows die Datei nicht mehr findet, erscheint eine entsprechende Fehlermeldung.
http://www.pctipp.net/helpdesk/kummerkasten/archiv/viren/20421.asp


MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 02.07.2004 um 22:14 Uhr von Sabina editiert.
Seitenanfang Seitenende
02.07.2004, 23:06
Member

Beiträge: 12
#25 hmm Anti Virus Free hatte eine ganze Menge Trojaner gefunden, doch einer lässt sich nicht löschen und zwar : SDKHN32.dll

hier noch mal der neue Auszug von Hijak This:

Logfile of HijackThis v1.98.0
Scan saved at 23:00:30, on 02.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\AVPersonal\AVGNT.EXE
d:\Programme\AVPersonal\AVGUARD.EXE
d:\PROGRA~1\Grisoft\AVG6\avgserv.exe
d:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
D:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Andy\LOKALE~1\Temp\Rar$EX00.206\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\yskmj.dll/sp.html#37680
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://yskmj.dll/index.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://yskmj.dll/index.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\yskmj.dll/sp.html#37680
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://yskmj.dll/index.html#37680
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {6BFC7DB0-C871-9935-DEC2-92E086CE9435} - C:\WINDOWS\sdkhn32.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVG_CC] d:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [AVGCtrl] d:\Programme\AVPersonal\AVGNT.EXE /min
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\programme\google\GoogleToolbar2.dll/cmtrans.html

die Dateien: mcc.exe und nvsvc32.exe hab ich mit Kaspersky gescannt, die sind sauber, die anderen die Du meintest sind nicht mehr vorhanden.

die Einträge der Seite sind jedoch noch immer unter Software :o(

ich werde wohl das Betriebssystem neu installieren müssen *grml*

mfG Andy
Dieser Beitrag wurde am 03.07.2004 um 00:06 Uhr von ND33 editiert.
Seitenanfang Seitenende
03.07.2004, 00:18
Member

Beiträge: 11
#26 Sie mal in den Thread: PROBLEM GELÖST! Homeoldsp..... nach! So hab ichs auch hinbekommen ohne neu installation!

http://board.protecus.de/t11098.htm
__________
Rechtschreibfehler sind beabsichtigt und dienen der allgemeinen Belustigung! XD
Dieser Beitrag wurde am 03.07.2004 um 00:22 Uhr von Gunjah editiert.
Seitenanfang Seitenende
03.07.2004, 00:20
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#27 ND33
fixe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\yskmj.dll/sp.html#37680
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://yskmj.dll/index.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://yskmj.dll/index.html#37680
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\yskmj.dll/sp.html#37680
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://yskmj.dll/index.html#37680

O2 - BHO: (no name) - {6BFC7DB0-C871-9935-DEC2-92E086CE9435} - C:\WINDOWS\sdkhn32.dll (file missing)

neustarten und in den abgesicherten Modus gehen F8 beim Hochfahren druecken


benenne die dll um in C:\WINDOWS\sdkhn32.dll....sdkhn32.dl
#sanne mit dem Antivirus

neustarten..

Loesche die TemporaryInternetFiles und stelle eine neue Startseite ein und scanne noch mit Spysweeper
http://www.spysweeper.com/

Dann poste das Log noch mal.
MfG
Sabina
;)

http://board.protecus.de/t11098.htm
Thread von @Gunjah...sehr interessant
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 03.07.2004 um 00:25 Uhr von Sabina editiert.
Seitenanfang Seitenende
03.07.2004, 00:30
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#28 http://board.protecus.de/t1109.htm

Hallo Gunjah
Das ist sehr interessant, was du gepostet hast.
Nur ist es leider nicht leicht, die vielen, vielen Leute die den vermaledeiten, teuren Norton installiert haben...zum Deaktivieren und dann zum Laden des Freetools zu bewegen...ich weiss wovon ich spreche ;)

es gibt leider kein UniversalTool, was ALLES erkennt und loescht....
So muessen wir halt sehen , was am Besten anschlaegt....oder manuell loeschen...
Gruss
Sabina
;)
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 03.07.2004 um 00:32 Uhr von Sabina editiert.
Seitenanfang Seitenende
03.07.2004, 01:36
Member

Beiträge: 11
#29 Da hast du natürlich recht, aber gerade anfänger tun sich da mit dem manuellen löschen einiger Ref-Enträge, zurecht ein bisschen schwer, und nicht immer klappt es, deshalb hab ich eine, wie ich finde leichter durchzuführende Alternative gepostet. Antivir war erstaunlicherweise, das einzige Program welches, dieses Ding gefunden hat...Norton, McAffe und co ham alle versagt! Trotzdem ich nutze Antivir neben Norton ohne Probleme. Open Source Progs sind halt nich immer die Schlechtesten! Im gegenteil (Zone Alarm, Antivir).
__________
Rechtschreibfehler sind beabsichtigt und dienen der allgemeinen Belustigung! XD
Seitenanfang Seitenende
03.07.2004, 11:16
...neu hier

Beiträge: 2
#30 @ sabrina und an den rest

ich hatte auch diese versch .... startseite und habe mich an deine tollen tipps orientiert nur hatte ich auch das problem das eben immer wieder eine neue startseite gekommen ist .....

.... ich habe dann in einem anderen beitrag die lösung (meine lösung) gefunden und mein notebook ist wieder sauber wie ein baby:

deine tipps befolgen nur bei Lade mwav.exe...30 Tage free und scanne.
http://www.mwti.net/antivirus/free_utilities.asp muss auf jeden fall der virenscanner im ordner "bases" angelegt werden und die datei kavupd.exe aufrufen. Denn dann bekommt man die aktuellen virusdateien.

Nach dem ich das gemacht habe wurden bei mir über 50 virus angezeigt und entfernt.

ich wollte euch das nur schreiben da ich mir nicht sicher bin ob es den anderen bewust ist oder vielleicht war es bei mir nur zufall das nach dieser aktion mein hartneckiges problem weg war.

danke nochmals sabina vor deine hilfe und als ich wieder einen sauberen pc hatte dachte ich zurz daran ob ich dich nicht heiraten sollte. :o))))

Liebe grüsse an @

Andreas
Dieser Beitrag wurde am 03.07.2004 um 11:18 Uhr von egal editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: