Home Search Startseite ..bekomme es nicht bereinigt..

#0
03.07.2004, 11:19
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#31 Hallo Andreas
Da musst du aber nach Lissabon ziehen... ) ;)
Danke fuer den Tip... mir der mwav.exe (escan) man vergisst ja zu schnell, alle Anweisungen zu geben..da muesste man Romane schreiben.....
Gruss
und druecke die Daumen, dass Portugal gewinnt ..
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 03.07.2004 um 11:20 Uhr von Sabina editiert.
Seitenanfang Seitenende
03.07.2004, 16:38
Member

Beiträge: 12
#32 @ Sabina

also ich habe Deinen Rat befolgt, im abgesicherten Modus hat der Firewalker nix mehr gefunden, jedoch Ad-ware, und zwar 2 Registry Einträge und 3 Files, alles wurde gelöscht.
Die SDKHN32.dll konnte ich nicht mehr finden...
Das Resultat: die Startseite ist (weg) und die ursprüngliche Microsoft Seite ist wieder da, jedoch sind die Einträge der Search Page noch immer vorhanden.

hier nochmal der aktuelle Auszug...

Logfile of HijackThis v1.98.0
Scan saved at 16:29:23, on 03.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
D:\PROGRA~1\Grisoft\AVG6\avgcc32.exe
D:\Programme\AVPersonal\AVGNT.EXE
D:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Andy\LOKALE~1\Temp\Rar$EX00.576\HijackThis.exe
d:\Programme\AVPersonal\AVGUARD.EXE
d:\PROGRA~1\Grisoft\AVG6\avgserv.exe
d:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.com/keyword/%s
R3 - Default URLSearchHook is missing
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVGCtrl] d:\Programme\AVPersonal\AVGNT.EXE /min
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\programme\google\GoogleToolbar2.dll/cmtrans.html

wäre für weitere Hilfe sehr dankbar *g*

mfG Andy
Seitenanfang Seitenende
03.07.2004, 17:19
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#33 ND33

Fixe

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.com/keyword/%s

neustarten

1.)Deinstalliere die GoogleToolbar.
2.Update den Antivirus
3.)Gehe in den abgesicherten Modus...F8 druecken, wenn der Computer .hochfaehrt


Konfiguriere den Antivirus:
Einstellungen : (Suchen: ALLE DATEIN, Reperatur: OHNE RÜCKFRAGEN, Löschen bei fehlgeschlagener Reperatur: LÖSCHEN OHNE RÜCKFRAGEN, Unerwünschte Programme: ALLE ausser spiele, Heuristik: Win32 Heuristik Priorität hoch)
Scan starten

normal neustarten

#Lade Spysweeper und scanne
http://www.spysweeper.com/

#Lade AdAware free..update und scanne <alle Dateien<
http://www.lavasoft.de/support/download/

#Lade Spybot
http://www.pctip.ch/downloads/dl/25550.asp

#Loesche mit ClearProg die TemporaryInternetFiles und Cookies
Lade die neuste Version...
http://www.shtools.de/downloads.php

#Surfe mit dem Firefox...ist sicherer
http://www.firebird-browser.de/

#Lade den Sygate Firewall, falls du noch keinen Firewall hast
http://smb.sygate.com/products/spf_standard.htm

#Stelle unter <InternetOptionen< und im Firefox eine neue Startseite ein und poste das Log noch mal.

MfG
Sabina
;)
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 06.07.2004 um 10:48 Uhr von Sabina editiert.
Seitenanfang Seitenende
03.07.2004, 20:41
Member

Themenstarter

Beiträge: 11
#34 HAllo Sabina,

Das ist nun meine aktuelle Startseite : res://cfjmc.dll/index.html#96676
Diese scheint sich allerdings nach fast jedem neuen IE Fenster zuändern *??*..

Dazu öffnen sich noch Pop-Up Fenster mit der Überschrift "Only the Best"

Und hier ist mein aktuelles Hijack Log...kann doch nicht sein das "wir" das nicht wegbekommen..

Logfile of HijackThis v1.97.7
Scan saved at 20:34:32, on 03.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\Programme\Network Associates\VirusScan\Mcshield.exe
C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\netzf.exe
C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Roxio\WinOnCD\DirectCD\DirectCD.exe
C:\WINDOWS\System32\Grxp4exe.exe
C:\WINDOWS\system32\netdw32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Timm\Desktop\hjt.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\qrxun.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://qrxun.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://qrxun.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\qrxun.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://qrxun.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\qrxun.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: (no name) - {EFC5B77D-89C3-A962-9A96-1C6818B08696} - C:\WINDOWS\system32\addni.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\WinOnCD\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [Gravis Xperience Driver Support] Grxp4exe.exe /init
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [ElbyCheckAnyDVD] "C:\Programme\SlySoft\AnyDVD\ElbyCheck.exe" /L AnyDVD
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [netdw32.exe] C:\WINDOWS\system32\netdw32.exe
O4 - HKLM\..\RunOnce: [netzf.exe] C:\WINDOWS\system32\netzf.exe
O4 - HKLM\..\RunOnce: [apidv.exe] C:\WINDOWS\apidv.exe
O4 - HKLM\..\RunOnce: [atlbo32.exe] C:\WINDOWS\atlbo32.exe
O4 - HKLM\..\RunOnce: [appvw32.exe] C:\WINDOWS\appvw32.exe
O4 - HKLM\..\RunOnce: [apims.exe] C:\WINDOWS\system32\apims.exe
O4 - HKLM\..\RunOnce: [javaxi.exe] C:\WINDOWS\system32\javaxi.exe
O4 - HKLM\..\RunOnce: [javann32.exe] C:\WINDOWS\javann32.exe
O4 - HKLM\..\RunOnce: [sysfr32.exe] C:\WINDOWS\sysfr32.exe
O4 - HKLM\..\RunOnce: [sdkgt32.exe] C:\WINDOWS\sdkgt32.exe
O4 - HKLM\..\RunOnce: [crwk.exe] C:\WINDOWS\system32\crwk.exe
O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.0_03) -
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38162.5337847222
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab


Die Exe Dateien die du vorgibst finde ich allerdings nie in der Registry.. *?*

MfG
Timm
Dieser Beitrag wurde am 03.07.2004 um 20:43 Uhr von Syncro editiert.
Seitenanfang Seitenende
04.07.2004, 09:39
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#35 Syncro


#Deaktiviere die Wiederherstellung
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

Fixe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\qrxun.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://qrxun.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://qrxun.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\qrxun.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://qrxun.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\qrxun.dll/sp.html#96676

O2 - BHO: (no name) - {EFC5B77D-89C3-A962-9A96-1C6818B08696} - C:\WINDOWS\system32\addni.dll

O4 - HKLM\..\Run: [netdw32.exe] C:\WINDOWS\system32\netdw32.exe
O4 - HKLM\..\RunOnce: [netzf.exe] C:\WINDOWS\system32\netzf.exe
O4 - HKLM\..\RunOnce: [apidv.exe] C:\WINDOWS\apidv.exe
O4 - HKLM\..\RunOnce: [atlbo32.exe] C:\WINDOWS\atlbo32.exe
O4 - HKLM\..\RunOnce: [appvw32.exe] C:\WINDOWS\appvw32.exe
O4 - HKLM\..\RunOnce: [apims.exe] C:\WINDOWS\system32\apims.exe
O4 - HKLM\..\RunOnce: [javaxi.exe] C:\WINDOWS\system32\javaxi.exe
O4 - HKLM\..\RunOnce: [javann32.exe] C:\WINDOWS\javann32.exe
O4 - HKLM\..\RunOnce: [sysfr32.exe] C:\WINDOWS\sysfr32.exe
O4 - HKLM\..\RunOnce: [sdkgt32.exe] C:\WINDOWS\sdkgt32.exe
O4 - HKLM\..\RunOnce: [crwk.exe] C:\WINDOWS\system32\crwk.exe

neustarten

#deaktiviere kurz deinen Virenscanner und installiere Antivirus
http://www.free-av.de/

Konfiguriere den Antivirus:
Einstellungen : (Suchen: ALLE DATEIN, Reperatur: OHNE RÜCKFRAGEN, Löschen bei fehlgeschlagener Reperatur: LÖSCHEN OHNE RÜCKFRAGEN, Unerwünschte Programme: ALLE ausser spiele, Heuristik: Win32 Heuristik Priorität hoch)


#Gehe in den abgesicherten Modus...F8 druecken, wenn der Comp. hochfaehrt

#scanne mit dem Antivirus

#normal neustarten

#Loesche unter \InternetOptionen \die TemporatryInternetFiles und stelle eine neue Startseite ein und poste das Log noch mal.

#surfe nur mit dem Firefox..ist ein bisschen sicherer als der IE
http://www.firebird-browser.de/

Mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 04.07.2004 um 09:42 Uhr von Sabina editiert.
Seitenanfang Seitenende
05.07.2004, 07:28
Member

Beiträge: 12
#36 hallo Sabina !


nachdem ich Deinen Anweisungen nachgekommen bin, fand der Antivirus doch tatsächlich die besagte "SDKHN32.dll" und löschte sie, neben noch anderen Trojanern.
Spysweeper und Ad-aware fanden ebenfalls neue Viren....
nachdem ich alles durchgescannt habe, die Firewall installiert...
sind die Einträge NOCH IMMER unter Software...
scheinen ziemlich härtnäckig zu sein...soweit erstmal danke für Deine Hilfe.

und hier das neue Log:

Logfile of HijackThis v1.98.0
Scan saved at 07:20:40, on 05.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
d:\Programme\AVPersonal\AVGUARD.EXE
d:\PROGRA~1\Grisoft\AVG6\avgserv.exe
d:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Andy\LOKALE~1\Temp\Rar$EX00.792\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R3 - Default URLSearchHook is missing
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O17 - HKLM\System\CCS\Services\Tcpip\..\{7D42263C-7F6A-42F5-BC85-46C501F68273}: NameServer = 212.6.108.140 212.6.108.141

wie bekomme ich den Mist bloss weg....??

Gruß Andy
Dieser Beitrag wurde am 05.07.2004 um 07:31 Uhr von ND33 editiert.
Seitenanfang Seitenende
05.07.2004, 11:56
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#37 ND33

http://www.chip.de/downloads/c_downloads_11353799.html
Lade den Cwhredder und schliesse dann den Browser und scanne.

der AVPersonal\AVGUARD.EXE sollte mit einem <aufgespannten Regenschirm< unten links in der Taskleiste erscheinen.
Stelle bitte den Antivirus so ein.

Das Log scheint nun sauber...stelle bitte unter <InternetOptionen<eine Startseite ein und poste das Log...aber mit dem IE, bitte, nicht mit dem Firefox.

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 05.07.2004 um 11:58 Uhr von Sabina editiert.
Seitenanfang Seitenende
05.07.2004, 12:51
Member

Beiträge: 12
#38 hallo nochmal Sabrina

...nun ist da noch das Problem mit der "shell.dll" egal ob ich sie umbenenne oder lösche sie kommt IMMER wieder !! 8 kb gross...
eine neue rüberzuschreiben bringt nix....da sie sich immer wieder umwandelt, der CW Shredder hat nix gefunden.....seufz


das neue Log:

Logfile of HijackThis v1.98.0
Scan saved at 12:45:15, on 05.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINDOWS\System32\alg.exe
d:\Programme\AVPersonal\AVGUARD.EXE
d:\PROGRA~1\Grisoft\AVG6\avgserv.exe
d:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
D:\Programme\AVPersonal\AVGNT.EXE
D:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Andy\LOKALE~1\Temp\Rar$EX00.003\HijackThis.exe
C:\DOKUME~1\Andy\LOKALE~1\Temp\Rar$EX00.070\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R3 - Default URLSearchHook is missing
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0

achja mittlerweile benutze ich den Firefox zum surfen (danke für den Tip)
aber noch ne Frage...welche Programme soll man eigentlich auf der Platte haben , also ich meine gegen Viren und Dialer etc.... ich habe mittlerweile..

CW Shredder, Anti Virus XP, Hijack This, Spy Sweeper und Ad-aware, brauche ich alle ??





glG Andy
Dieser Beitrag wurde am 05.07.2004 um 12:59 Uhr von ND33 editiert.
Seitenanfang Seitenende
05.07.2004, 14:03
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#39 Hallo ND33

http://www.wilderssecurity.com/showpost.php?p=199716&postcount=27
Du kannst versuchen , diese shell.dll mit diesem Tool zu loeschen.
Aber im Momnet wuerde ich das nicht tun....vorher muss man genau wissen, ob das wirklich <bad< ist und du nichts wichtiges loescht....
http://www.kaspersky.com/remoteviruschk.html

Das Log ist sauber.

Leider gibt es nen perfekten Viren.und Spywarescnner nicht.
Jedes Tool findet was anderes.....
Lade noch den ...ufff
http://www2.palsol.com/spyrem_offer/index.html?hop=mtech

Dann update regelmaessig alle Scanner und
viel Glueck !
MfG
Sabina
;)
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 05.07.2004 um 14:04 Uhr von Sabina editiert.
Seitenanfang Seitenende
05.07.2004, 15:18
Member

Beiträge: 12
#40 @ Sabina

okay habs mit dem Spyware Remover gescannt und (welch Überraschung)
fand er 2 Trojaner.. mit Kaspersky online gescannt, der fand jedoch nix... die
SHELL.dll ist laut mehrerer Virenscanner "sauber" aber irgendwas kann da doch nicht stimmen... achja mit dem APM kann ich die SHELL nicht löschen, da sie unter
Windows/System steckt und der APM nur unter System32 listet...

lalala.....

bin am verzweifeln.....

Gruß Andy
Seitenanfang Seitenende
05.07.2004, 18:42
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#41 ND33

ich habe folgendes gefunden:
http://www.supportnet.de/discussion/listmessages.asp?autoid=178427
was ja aber das Problem nicht loest...denn wie ich verstanden habe, gibt es die originale shell.dll oder nicht ??????????

Was nun allerdings eine shell.dll im Windows/System zu suchen hat.....ist mir auch schleierhaft.
Wie du sagst, wird bei der Ueberpruefung gesagt, dass die dll sauber ist...

Kleine Frage....hast du also zwei shell.dll ?

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 05.07.2004 um 18:52 Uhr von Sabina editiert.
Seitenanfang Seitenende
05.07.2004, 23:35
...neu hier

Beiträge: 2
#42 @ Sabina ....

... ich habe eine gute und eine schlechte Nachricht für dich:

Jetzt sollte ich fragen welche du zuerst lesen willst aber ich bin einfach Mann und fange mit der guten an:

ich habe heute € 12.- gewonnen :o)

und jetzt die schlechte:

ich habe auf Griechenland getippt und auch das 0:1 erraten. :o(

Normal sollte ich mich jetzt über den wahnsinns Betrag freuen aber ich bekenne mich zu dir solitarisch und werde die € 12.- für ein oder mehrere gute Bier für mich spenden ...... :o)))

liebe Grüsse aus Wien

Andreas
Seitenanfang Seitenende
06.07.2004, 00:01
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#43 @egal

Wohl bekomms , du Verraeter....
;)
Gruss aus Lissabon
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 06.07.2004 um 10:32 Uhr von Sabina editiert.
Seitenanfang Seitenende
06.07.2004, 02:21
Member

Beiträge: 12
#44 @ Sabina

es gibt ja in XP eine shell32.dll unter System32 und unter System eine shell.dll...oder nicht ? naja jedenfalls bekomme ich, wenn ich meinen Scanner installieren will die Meldung "shell.dll nicht gefunden" also habe ich deswegen bei Google gesucht und eine "originale" shell.dll dort gefunden, das Problem ist aber, das wenn ich sie mit der neuen überschreibe, die Grösse unverändert bleibt, nach dem ich Deinen Link angeschaut habe, konnte ich sie dort auch herunterladen, und die Grösse ist gleich !!! nämlich auch 5 kb !!!
und nun frage ich mich warum "er" diese Datei nicht findet ???!!!!

Du wirst es nicht glauben, aber nachdem ich die shell.dll unter Windows/System32 kopiert hatte, konnte ich den Scannertreiber installieren ;)
besten Dank für den Link, alleine wäre ich nie darauf gekommen !!
danke für Deine Hilfe ;)
wenn ich nun noch ne Möglichkeit hätte die Einträge der dämlichen Search Seite wegzubekommen, wäre ich der glücklichste Mensch auf Erden, am besten ich poste Dir mal den Zielort der Dateien:

Home Search Assistant: rundll32 url.dll,FileProtocolHandler http://looking-for.cc/uninstall/HomeSearchAssistant.html

Search Extender: rundll32 url.dll,FileProtocolHandler http://looking-for.cc/uninstall/SearchExtender.html

Shopping Wizard: rundll32 url.dll,FileProtocolHandler http://looking-for.cc/uninstall/ShoppingWizard.html

PS: das mit dem Uninstaller der betreffenden Seiten bringt nix...

nächtlichen Gruß, Andy
Dieser Beitrag wurde am 06.07.2004 um 02:45 Uhr von ND33 editiert.
Seitenanfang Seitenende
06.07.2004, 10:31
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#45 ND33

Ausgehend von dem alten Log

fixe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\rpaco.dll/sp.html#37680
O2 - BHO: (no name) - {8E0DAA14-13FF-B4FA-1BDB-7092D5E13F56} - C:\WINDOWS\system32\apiqg32.dll
O4 - HKLM\..\Run: [sysgk.exe] C:\WINDOWS\system32\sysgk.exe
O4 - HKLM\..\RunOnce: [mfcox32.exe] C:\WINDOWS\system32\mfcox32.exe
O4 - HKLM\..\RunOnce: [mfcgq32.exe] C:\WINDOWS\mfcgq32.exe



neustarten


Loesche mit diesem Tool
http://www.wilderssecurity.com/showpost.php?p=199716&postcount=27
C:\WINDOWS\system32\apiqg32.dll
C:\WINDOWS\rpaco.dll
Klicke auf die einzelnen Prozesse, bis du die dlls gefunden hast und dann<unload<

Lade mwav.exe...30 Tage free
und scanne <alle Dateien<
http://www.mwti.net/antivirus/free_utilities.asp

wenn die Trojaner so nicht geloescht werden, muss du es manuell machen..
Gehe in die Registry
Start<Ausfuehren<regedit
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
loesche rechts den Eintrag [sysgk.exe]
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
loesche [mfcox32.exe] und [mfcgq32.exe]

HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL
loesche den Eintrag vom Hijacker rpaco.dll/sp.html#37680

schliesse die Registry

#Loesche
C:\WINDOWS\system32\mfcox32.exe
C:\WINDOWS\mfcgq32.exe

#Loesche mit ClearProg, lade die neuste Version
http://www.shtools.de/downloads.php
Cookies (mit Ausschlußmöglichkeit beim IE)
- Verlauf
- Temporäre Internetfiles (Cache)
- die eingetragenen URLs

Dann poste das Log mit einer Startseite noch einmal.

MfG
Sabina

MfG
Sabina
;)
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 06.07.2004 um 11:15 Uhr von Sabina editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: