PROBLEM GELÖST! Homeoldsp, search for..., about:blank

#16 scumi

das ist dies:
http://virus-protect.org/artikel/spyware/trojanagenteo.html
http://virus-protect.org/artikel/spyware/trojanagent2.html

---------------------------------------------------------------------------
stelle den Cleaner genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

datfindbat (kopiere die 4 Textdateien (3 Monate vom Datum her)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#17 Ich habe CleanUp wie vorgegeben angewandt und zusätlich noch ein paar andere Programme benutzt unter anderem CounterSpy. Mein Desktop wird zwar immer noch überlagert, aber jetzt ist er kommplett in weiß. CounterSpy hat die Startseite für den Internet Explorer auf msn umgestellt, jedoch versucht irgendetwas permanent diese Umstellung wieder Rückgängig zu machen.
Ich poste mal die aktuellen Logs. Was muß ich damit anfangen bzw. wie soll ich weiter vorgehen?
---------------------------------------------------------------------------
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0000-6DA9

Verzeichnis von C:\WINDOWS\system32

02.01.2006 13:06 890 vsconfig.xml
01.01.2006 19:36 1.158 wpa.dbl
01.01.2006 17:25 26.118 stub83.ini
01.01.2006 17:01 25.882 stub82.ini
01.01.2006 16:55 26.444 stub81.ini
01.01.2006 16:53 25.840 stub80.ini
01.01.2006 16:52 25.314 stub79.ini
01.01.2006 16:14 25.812 stub78.ini
01.01.2006 16:14 25.329 stub77.ini
01.01.2006 16:14 26.785 stub76.ini
01.01.2006 16:13 26.386 stub75.ini
01.01.2006 16:12 26.446 stub74.ini
01.01.2006 16:10 26.417 stub73.ini
01.01.2006 16:08 26.300 stub72.ini
01.01.2006 15:54 26.413 stub71.ini
01.01.2006 15:52 25.626 stub70.ini
01.01.2006 15:44 25.949 stub69.ini
01.01.2006 15:40 25.914 stub68.ini
01.01.2006 15:22 26.241 stub67.ini
01.01.2006 15:22 26.472 stub66.ini
01.01.2006 15:21 26.174 stub65.ini
01.01.2006 15:21 24.912 stub64.ini
01.01.2006 15:19 25.074 stub63.ini
01.01.2006 15:18 25.293 stub62.ini
01.01.2006 15:10 25.066 stub61.ini
01.01.2006 15:09 25.594 stub60.ini
01.01.2006 15:06 25.271 stub59.ini
01.01.2006 14:54 26.307 stub58.ini
01.01.2006 14:53 25.008 stub57.ini
01.01.2006 14:51 25.158 stub56.ini
01.01.2006 14:51 25.293 stub55.ini
01.01.2006 14:50 25.311 stub54.ini
01.01.2006 14:46 25.635 stub53.ini
01.01.2006 14:46 25.546 stub52.ini
01.01.2006 14:46 25.592 stub51.ini
01.01.2006 13:52 24.667 stub50.ini
01.01.2006 13:50 24.795 stub49.ini
01.01.2006 13:49 24.864 stub48.ini
01.01.2006 13:43 24.921 stub47.ini
01.01.2006 13:26 25.352 stub46.ini
01.01.2006 13:16 24.766 stub45.ini
01.01.2006 13:01 25.043 stub43.ini
01.01.2006 12:50 24.710 stub44.ini
01.01.2006 12:48 24.914 stub42.ini
01.01.2006 12:42 25.035 stub41.ini
01.01.2006 12:42 24.703 stub40.ini
01.01.2006 12:33 24.420 stub39.ini
01.01.2006 12:22 24.711 stub38.ini
01.01.2006 12:17 24.442 stub37.ini
01.01.2006 12:11 24.735 stub36.ini
01.01.2006 12:11 24.305 stub35.ini
01.01.2006 12:11 13.581 pluzb.dat
01.01.2006 11:37 24.912 stub34.ini
01.01.2006 11:36 24.391 stub33.ini
01.01.2006 11:09 24.500 stub32.ini
01.01.2006 11:05 24.410 stub31.ini
01.01.2006 11:02 24.809 stub30.ini
01.01.2006 10:38 24.364 stub29.ini
01.01.2006 10:33 24.101 stub28.ini
01.01.2006 10:32 24.565 stub27.ini
01.01.2006 10:26 23.818 stub26.ini
01.01.2006 10:25 23.904 stub25.ini
01.01.2006 10:22 23.580 stub24.ini
01.01.2006 10:22 24.085 stub23.ini
01.01.2006 10:21 23.060 stub22.ini
01.01.2006 10:20 23.219 stub21.ini
01.01.2006 10:20 23.685 stub20.ini
01.01.2006 10:20 22.835 stub19.ini
01.01.2006 10:20 22.118 stub18.ini
01.01.2006 10:19 23.395 stub17.ini
01.01.2006 10:19 23.622 stub16.ini
01.01.2006 10:19 23.264 stub15.ini
01.01.2006 10:18 23.847 stub14.ini
01.01.2006 10:18 23.745 stub13.ini
01.01.2006 10:17 23.567 stub12.ini
01.01.2006 10:17 23.501 stub11.ini
01.01.2006 10:17 23.416 stub10.ini
01.01.2006 10:15 23.496 stub9.ini
01.01.2006 10:15 23.318 stub8.ini
01.01.2006 10:15 23.344 stub7.ini
01.01.2006 10:15 23.619 stub6.ini
01.01.2006 10:14 23.500 stub5.ini
01.01.2006 10:14 23.246 stub4.ini
01.01.2006 10:14 23.166 stub3.ini
01.01.2006 10:13 22.711 stub2.ini
01.01.2006 10:12 22.854 stub1.ini
01.01.2006 10:12 1.199 logs1.ini
31.12.2005 21:51 197.761 autoz.txt
19.12.2005 08:16 11.895 sysgr.exe
13.12.2005 23:57 43.520 CmdLineExt03.dll
13.12.2005 11:18 11.895 msak.exe
13.12.2005 08:12 197.761 amxjy.dat
13.12.2005 07:43 11.895 d3mq32.exe
12.12.2005 04:54 35.447 winpu.exe
10.12.2005 22:30 35.447 sdksj.exe
10.12.2005 16:39 35.447 ipae32.exe
10.12.2005 06:31 68.608 wpexc.dll
09.12.2005 01:21 2.723.680 MRT.exe
06.12.2005 07:05 0 logs2.ini
05.12.2005 08:30 4.212 zllictbl.dat
01.12.2005 04:31 1.492.480 shdocvw.dll
24.11.2005 00:58 3.013.632 mshtml.dll
24.11.2005 00:58 1.022.464 browseui.dll
10.11.2005 10:02 166.712 FNTCACHE.DAT
05.11.2005 04:16 606.208 urlmon.dll
05.11.2005 04:16 1.056.256 danim.dll
31.10.2005 18:03 364.068 perfh009.dat
31.10.2005 18:03 45.742 perfc009.dat
31.10.2005 18:03 371.602 perfh007.dat
31.10.2005 18:03 55.184 perfc007.dat
31.10.2005 18:03 843.576 PerfStringBackup.INI
21.10.2005 04:40 664.064 wininet.dll
21.10.2005 04:40 474.112 shlwapi.dll
21.10.2005 04:40 530.944 mstime.dll
21.10.2005 04:40 146.432 msrating.dll
21.10.2005 04:40 448.512 mshtmled.dll
21.10.2005 04:40 39.424 pngfilt.dll
21.10.2005 04:40 96.768 inseng.dll
21.10.2005 04:40 251.392 iepeers.dll
21.10.2005 04:40 205.312 dxtrans.dll
21.10.2005 04:40 55.808 extmgr.dll
21.10.2005 04:40 152.064 cdfview.dll
20.10.2005 23:25 1.094.144 esent.dll
20.10.2005 15:37 40.960 SDelete.dll
20.10.2005 15:37 24.924 openports.dll
13.10.2005 00:15 15.584 spmsg.dll
06.10.2005 04:18 280.064 gdi32.dll
06.10.2005 04:08 1.839.616 win32k.sys
--------------------------------------------------------------------------

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0000-6DA9

Verzeichnis von C:\DOKUME~1\PATRIC~1\LOKALE~1\Temp

02.01.2006 14:36 49.152 ~DF1C28.tmp
02.01.2006 14:36 2.550 13.tmp
02.01.2006 14:35 32.768 ~DFC3E8.tmp
02.01.2006 14:35 16.384 ~DF7313.tmp
02.01.2006 13:14 49.152 ~DF8FE7.tmp
02.01.2006 13:14 32.768 ~DF84A9.tmp
02.01.2006 13:14 16.384 ~DF60F6.tmp
30.12.2005 18:36 98 DFC5A2B2.TMP
---------------------------------------------------------------------------

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0000-6DA9

Verzeichnis von C:\WINDOWS

02.01.2006 13:06 0 0.log
02.01.2006 13:05 1.816.386 WindowsUpdate.log
02.01.2006 13:05 50 wiaservc.log
02.01.2006 13:05 159 wiadebug.log
02.01.2006 13:04 2.048 bootstat.dat
02.01.2006 13:04 32.638 SchedLgU.Txt
02.01.2006 05:14 22.854 stub1.ini
02.01.2006 01:14 107.132 UninstallFirefox.exe
02.01.2006 01:14 2.258 mozver.dat
01.01.2006 19:38 66.293 iis6.log
01.01.2006 19:38 149.514 comsetup.log
01.01.2006 19:38 90.795 ntdtcsetup.log
01.01.2006 19:38 1.355 imsins.log
01.01.2006 19:38 168.140 tsoc.log
01.01.2006 19:38 21.238 ocmsn.log
01.01.2006 19:38 21.588 KB905915.log
01.01.2006 19:38 21.231 msgsocm.log
01.01.2006 19:38 219.753 ocgen.log
01.01.2006 19:38 418.311 FaxSetup.log
01.01.2006 19:38 367.709 setupapi.log
01.01.2006 19:38 25.003 updspapi.log
01.01.2006 19:38 1.355 imsins.BAK
01.01.2006 19:38 9.105 KB910437.log
01.01.2006 17:25 22.835 stub19.ini
01.01.2006 17:01 22.118 stub18.ini
01.01.2006 17:01 23.395 stub17.ini
01.01.2006 16:55 23.622 stub16.ini
01.01.2006 16:53 23.264 stub15.ini
01.01.2006 16:52 23.847 stub14.ini
01.01.2006 16:14 23.745 stub13.ini
01.01.2006 16:14 23.567 stub12.ini
01.01.2006 16:14 23.501 stub11.ini
01.01.2006 16:14 23.416 stub10.ini
01.01.2006 16:14 23.496 stub9.ini
01.01.2006 16:14 23.318 stub8.ini
01.01.2006 16:13 23.344 stub7.ini
01.01.2006 16:12 23.619 stub6.ini
01.01.2006 16:12 23.500 stub5.ini
01.01.2006 16:10 23.246 stub4.ini
01.01.2006 15:18 68.608 mkgou.dll
31.12.2005 04:26 3.567 lvfyv.dat
30.12.2005 13:03 1.199 logs1.ini
21.12.2005 14:38 11.895 javaxz.exe
21.12.2005 10:57 3.685 sessmgr.setup.log
21.12.2005 09:17 707 _default.pif
21.12.2005 00:45 33.228 ModemLog_Conexant 56K ACLink Modem.txt
20.12.2005 00:21 141.532 wmsetup.log
18.12.2005 11:47 10.101 KB890175.log
18.12.2005 11:47 6.371 KB886185.log
18.12.2005 04:02 5.707 KB842773.log
18.12.2005 04:02 21.151 KB835732.log
17.12.2005 08:39 13.581 itjbf.txt
15.12.2005 11:12 17.714 KB885250.log
13.12.2005 08:33 35.447 addgw.exe
13.12.2005 07:43 3.567 ohlmq.log
13.12.2005 07:22 35.447 addwm.exe
12.12.2005 19:19 35.447 sdkzw32.exe
12.12.2005 17:42 1.138 wininit.ini
12.12.2005 17:42 503 win.ini
12.12.2005 17:42 0 warnhp.html
12.12.2005 17:42 48.680 winnt256.bmp
12.12.2005 17:20 26 winstart.bat
12.12.2005 00:15 35.447 syszy32.exe
11.12.2005 16:51 35.447 ntkd32.exe
11.12.2005 03:09 35.447 javaif32.exe
10.12.2005 19:45 35.447 atlts32.exe
---------------------------------------------------------------------------

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0000-6DA9

Verzeichnis von C:\

02.01.2006 14:37 0 sys.txt
02.01.2006 14:37 12.371 system.txt
02.01.2006 14:37 634 systemtemp.txt
02.01.2006 14:37 109.515 system32.txt
02.01.2006 13:04 468.242.432 hiberfil.sys
02.01.2006 13:04 704.643.072 pagefile.sys
22.11.2004 17:42 211 boot.ini
22.11.2004 17:23 47.564 NTDETECT.COM
22.11.2004 17:23 251.184 ntldr
04.10.2003 14:38 0 IO.SYS
04.10.2003 14:38 0 MSDOS.SYS
29.08.2002 03:00 4.952 bootfont.bin

#18 scumi

Gehe in die Registry
Start-->Ausfuehren--> regedit

HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\1\
FriendlyName" = "Warning homepage"<--loeschen
"Source" = "C:\WINDOWS\warnhp.html" <--loeschen

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HSA]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SE]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SW]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ 11Fßä.#·ºÄÖ`I]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000]

mit der Killbox loeschen:

C:\WINDOWS\system32\vsconfig.xml
C:\WINDOWS\system32\stub83.ini
C:\WINDOWS\system32\stub82.ini
C:\WINDOWS\system32\stub81.ini
C:\WINDOWS\system32\stub80.ini
C:\WINDOWS\system32\stub79.ini
C:\WINDOWS\system32\stub78.ini
C:\WINDOWS\system32\stub77.ini
01.01.2006 16:14 26.785 C:\WINDOWS\system32\stub76.ini
01.01.2006 16:13 26.386 C:\WINDOWS\system32\stub75.ini
01.01.2006 16:12 26.446 C:\WINDOWS\system32\stub74.ini
01.01.2006 16:10 26.417 C:\WINDOWS\system32\stub73.ini
01.01.2006 16:08 26.300 C:\WINDOWS\system32\stub72.ini
01.01.2006 15:54 26.413 C:\WINDOWS\system32\stub71.ini
01.01.2006 15:52 25.626 C:\WINDOWS\system32\stub70.ini
01.01.2006 15:44 25.949 C:\WINDOWS\system32\stub69.ini
01.01.2006 15:40 25.914 C:\WINDOWS\system32\stub68.ini
01.01.2006 15:22 26.241 C:\WINDOWS\system32\stub67.ini
01.01.2006 15:22 26.472 C:\WINDOWS\system32\stub66.ini
01.01.2006 15:21 26.174 C:\WINDOWS\system32\stub65.ini
01.01.2006 15:21 24.912 C:\WINDOWS\system32\stub64.ini
01.01.2006 15:19 25.074 C:\WINDOWS\system32\stub63.ini
01.01.2006 15:18 25.293 C:\WINDOWS\system32\stub62.ini
01.01.2006 15:10 25.066 C:\WINDOWS\system32\stub61.ini
01.01.2006 15:09 25.594 C:\WINDOWS\system32\stub60.ini
01.01.2006 15:06 25.271 C:\WINDOWS\system32\stub59.ini
01.01.2006 14:54 26.307 C:\WINDOWS\system32\stub58.ini
01.01.2006 14:53 25.008 C:\WINDOWS\system32\stub57.ini
01.01.2006 14:51 25.158 C:\WINDOWS\system32\stub56.ini
01.01.2006 14:51 25.293 C:\WINDOWS\system32\stub55.ini
01.01.2006 14:50 25.311 C:\WINDOWS\system32\stub54.ini
01.01.2006 14:46 25.635 C:\WINDOWS\system32\stub53.ini
01.01.2006 14:46 25.546 C:\WINDOWS\system32\stub52.ini
01.01.2006 14:46 25.592 C:\WINDOWS\system32\stub51.ini
01.01.2006 13:52 24.667 C:\WINDOWS\system32\stub50.ini
01.01.2006 13:50 24.795 C:\WINDOWS\system32\stub49.ini
01.01.2006 13:49 24.864 C:\WINDOWS\system32\stub48.ini
01.01.2006 13:43 24.921 C:\WINDOWS\system32\stub47.ini
01.01.2006 13:26 25.352 C:\WINDOWS\system32\stub46.ini
01.01.2006 13:16 24.766 C:\WINDOWS\system32\stub45.ini
01.01.2006 13:01 25.043 C:\WINDOWS\system32\stub43.ini
01.01.2006 12:50 24.710 C:\WINDOWS\system32\stub44.ini
01.01.2006 12:48 24.914 C:\WINDOWS\system32\stub42.ini
01.01.2006 12:42 25.035 C:\WINDOWS\system32\stub41.ini
01.01.2006 12:42 24.703 C:\WINDOWS\system32\stub40.ini
01.01.2006 12:33 24.420 C:\WINDOWS\system32\stub39.ini
01.01.2006 12:22 24.711 C:\WINDOWS\system32\stub38.ini
01.01.2006 12:17 24.442 C:\WINDOWS\system32\stub37.ini
01.01.2006 12:11 24.735 C:\WINDOWS\system32\stub36.ini
01.01.2006 12:11 24.305 C:\WINDOWS\system32\stub35.ini
01.01.2006 12:11 13.581 C:\WINDOWS\system32\pluzb.dat
01.01.2006 11:37 24.912 C:\WINDOWS\system32\stub34.ini
01.01.2006 11:36 24.391 C:\WINDOWS\system32\stub33.ini
01.01.2006 11:09 24.500 C:\WINDOWS\system32\stub32.ini
01.01.2006 11:05 24.410 C:\WINDOWS\system32\stub31.ini
01.01.2006 11:02 24.809 C:\WINDOWS\system32\stub30.ini
01.01.2006 10:38 24.364 C:\WINDOWS\system32\stub29.ini
01.01.2006 10:33 24.101 C:\WINDOWS\system32\stub28.ini
01.01.2006 10:32 24.565 C:\WINDOWS\system32\stub27.ini
01.01.2006 10:26 23.818 C:\WINDOWS\system32\stub26.ini
01.01.2006 10:25 23.904 C:\WINDOWS\system32\stub25.ini
01.01.2006 10:22 23.580 C:\WINDOWS\system32\stub24.ini
01.01.2006 10:22 24.085 C:\WINDOWS\system32\stub23.ini
01.01.2006 10:21 23.060 C:\WINDOWS\system32\stub22.ini
01.01.2006 10:20 23.219 C:\WINDOWS\system32\stub21.ini
01.01.2006 10:20 23.685 C:\WINDOWS\system32\stub20.ini
01.01.2006 10:20 22.835 C:\WINDOWS\system32\stub19.ini
01.01.2006 10:20 22.118 C:\WINDOWS\system32\stub18.ini
01.01.2006 10:19 23.395 C:\WINDOWS\system32\stub17.ini
01.01.2006 10:19 23.622 C:\WINDOWS\system32\stub16.ini
01.01.2006 10:19 23.264 C:\WINDOWS\system32\stub15.ini
01.01.2006 10:18 23.847 C:\WINDOWS\system32\stub14.ini
01.01.2006 10:18 23.745 C:\WINDOWS\system32\stub13.ini
01.01.2006 10:17 23.567 C:\WINDOWS\system32\stub12.ini
01.01.2006 10:17 23.501 C:\WINDOWS\system32\stub11.ini
C:\WINDOWS\system32\stub10.ini
C:\WINDOWS\system32\stub9.ini
C:\WINDOWS\system32\stub8.ini
C:\WINDOWS\system32\stub7.ini
C:\WINDOWS\system32\stub6.ini
C:\WINDOWS\system32\stub5.ini
C:\WINDOWS\system32\stub4.ini
C:\WINDOWS\system32\stub3.ini
C:\WINDOWS\system32\stub2.ini
C:\WINDOWS\system32\stub1.ini
C:\WINDOWS\system32\logs1.ini
C:\WINDOWS\system32\autoz.txt
C:\WINDOWS\system32\sysgr.exe

C:\WINDOWS\stub1.ini

01.01.2006 17:25 22.835 C:\WINDOWS\stub19.ini
01.01.2006 17:01 22.118 C:\WINDOWS\stub18.ini
01.01.2006 17:01 23.395 C:\WINDOWS\stub17.ini
01.01.2006 16:55 23.622 C:\WINDOWS\stub16.ini
01.01.2006 16:53 23.264 C:\WINDOWS\stub15.ini
01.01.2006 16:52 23.847 C:\WINDOWS\stub14.ini
01.01.2006 16:14 23.745 C:\WINDOWS\stub13.ini
01.01.2006 16:14 23.567 C:\WINDOWS\stub12.ini
01.01.2006 16:14 23.501 C:\WINDOWS\stub11.ini
01.01.2006 16:14 23.416 C:\WINDOWS\stub10.ini
01.01.2006 16:14 23.496 C:\WINDOWS\stub9.ini
01.01.2006 16:14 23.318 C:\WINDOWS\stub8.ini
01.01.2006 16:13 23.344 C:\WINDOWS\stub7.ini
01.01.2006 16:12 23.619 C:\WINDOWS\stub6.ini
01.01.2006 16:12 23.500 C:\WINDOWS\stub5.ini
01.01.2006 16:10 23.246 C:\WINDOWS\stub4.ini
01.01.2006 15:18 68.608 C:\WINDOWS\mkgou.dll
31.12.2005 04:26 3.567 C:\WINDOWS\lvfyv.dat
30.12.2005 13:03 1.199 C:\WINDOWS\logs1.ini
21.12.2005 14:38 11.895 C:\WINDOWS\javaxz.exe

C:\WINDOWS\addgw.exe
C:\WINDOWS\ohlmq.log
C:\WINDOWS\addwm.exe
C:\WINDOWS\sdkzw32.exe
C:\WINDOWS\warnhp.html
12.12.2005 17:42 48.680 C:\WINDOWS\winnt256.bmp
12.12.2005 17:20 26 C:\WINDOWS\winstart.bat
12.12.2005 00:15 35.447 C:\WINDOWS\syszy32.exe
11.12.2005 16:51 35.447 C:\WINDOWS\ntkd32.exe
11.12.2005 03:09 35.447 C:\WINDOWS\javaif32.exe
10.12.2005 19:45 35.447 C:\WINDOWS\atlts32.exe

C:\DOKUME~1\PATRIC~1\LOKALE~1\Temp\A5.tmp.exe
C:\DOKUME~1\PATRIC~1\LOKALE~1\Temp\A6.tmp.exe

C:\Dokumente und Einstellungen\Patrick Schulze\Startmenü\Programme\Autostart\ms.exe
C:\WINDOWS\system32\mfcbl32.dll
C:\WINDOWS\Temp\Download.exe

hier gibt es bestimmt noch mehr...aber du hast nichts weiter gepostet..............

PC neustarten
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken


öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\mkgou.dll/sp.html#53142%resultposition.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mkgou.dll/sp.html#53142%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\mkgou.dll/sp.html#53142%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\mkgou.dll/sp.html#53142%resultposition.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mkgou.dll/sp.html#53142%resultposition.net
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\mkgou.dll/sp.html#53142%resultposition.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\mkgou.dll/sp.html#53142%resultposition.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R3 - Default URLSearchHook is missing

O2 - BHO: Class - {28FF0DAA-6EDD-259A-83C4-EADDF15D72AD} - C:\WINDOWS\system32\mfcbl32.dll
O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\..\Run: [NAVNet] "C:\Dokumente und Einstellungen\Patrick Schulze\Startmenü\Programme\Autostart\ms.exe" /m

O4 - HKLM\..\Run: [addgw.exe] C:\WINDOWS\addgw.exe
O4 - HKLM\..\Run: [A5.tmp] C:\DOKUME~1\PATRIC~1\LOKALE~1\Temp\A5.tmp.exe
O4 - HKLM\..\Run: [A6.tmp] C:\DOKUME~1\PATRIC~1\LOKALE~1\Temp\A6.tmp.exe
O4 - HKLM\..\Run: [WinHound] C:\Programme\WinHound\WinHound.exe
O4 - HKLM\..\Run: [A5.tmp.exe] C:\DOKUME~1\PATRIC~1\LOKALE~1\Temp\A5.tmp.exe
O4 - HKLM\..\Run: [A6.tmp.exe] C:\DOKUME~1\PATRIC~1\LOKALE~1\Temp\A6.tmp.exe
O4 - HKCU\..\Run: [DealHelperDown] "C:\WINDOWS\Temp\Download.exe"

O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\javaxz.exe

PC neustarten

loeschen
C:\Programme\WinHound

SmitRem2.8
http://noahdfear.geekstogo.com/click%20counter/click.php?id=1

öffne smitRem folder,Doppelklick: RunThis.bat
warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal


ADSSpy--> loesche alle Streams
http://virus-protect.org/artikel/tools/ADSSpy.exe

http://virus-protect.org/multiavtool.html
klicke "3" McAfee -- es erscheint ein leeres DOS-Fenster.
- man muss eingeben, was gescannt werden soll

- C:\Windows\System32 dann beginnt der Scan, man sollte dann auch scannen lassen:
- C:\Windows
- C:\

kopiere hier die drei scanreporte
__________
MfG Sabina

rund um die PC-Sicherheit

#19 Fehlermeldung vor dem Reboot von Killbox:

PendingFileRenameOperations Registry Data has been Removed by External Process

was hat das jetzt zu bedeuten?

#20 dann musst du selbst den pC neustarten
__________
MfG Sabina

rund um die PC-Sicherheit

#21 Ich hab alles gemacht wie du's beschrieben hast. Der weiße Hintergrund ist noch da, aber zumindest der Internet Explorer startet zumindest im Moment wieder auf "meiner" Startseite.
Zu meiner Verwunderung befinden sich im Ordner C:\!Killbox einige der .ini Datein, die Killbox löschen sollte.
Hier sind die drei Scanreporte:

-------------------------------------------------------------------------------
Virus Scan Report File
Virus Scan Information

McAfee VirusScan for Win32 v4.40.0
Copyright (c) 1992-2004 Networks Associates Technology Inc. All rights reserved.
(408) 988-3832 LICENSED COPY - Sep 23 2004

Scan engine v4.4.00 for Win32.
Virus data file v4665 created Jan 02 2006
Scanning for 168430 viruses, trojans and variants.

Virus Scan Results



01/02/2006 18:16:21


Options:
"C:\WINDOWS" /UNZIP /WINMEM /SUB /ANALYZE /PANALYZE /STREAMS /CLEAN /ALL /DEL /PROGRAM /EXCLUDE C:\AV-CLS\EXCLIST.TXT /HTML "C:\AV-CLS\MCAFEE\SCANREPORT.HTML"

Scanning C: []
C:\WINDOWS\iedg.dll ... Found the AdClicker-AJ.gen trojan !!!
The file or process has been deleted.
C:\WINDOWS\KB835732.log:aipyi ... Found the AdClicker-AJ.gen trojan !!!
The file or process has been deleted.
C:\WINDOWS\KB842773.log:lkaje ... Found trojan or variant New Malware.q !!!
Please send a copy of the file to McAfee
The file or process has been deleted.
C:\WINDOWS\KB885250.log:xfotc ... Found the AdClicker-AJ.gen trojan !!!
The file or process has been deleted.
C:\WINDOWS\KB886185.log:qgygwq ... Found the AdClicker-AJ.gen trojan !!!
The file or process has been deleted.
C:\WINDOWS\KB890175.log:bhjrsd ... Found trojan or variant New Malware.q !!!
Please send a copy of the file to McAfee
The file or process has been deleted.
C:\WINDOWS\mfcnq32.exe ... Found trojan or variant New Malware.q !!!
Please send a copy of the file to McAfee
The file or process has been deleted.
C:\WINDOWS\sessmgr.setup.log:tsizax ... Found trojan or variant New Malware.q !!!
Please send a copy of the file to McAfee
The file or process has been deleted.
C:\WINDOWS\wininit.ini:jdcok ... Found trojan or variant New Malware.q !!!
Please send a copy of the file to McAfee
The file or process has been deleted.
C:\WINDOWS\_default.pif:dylmbm ... Found trojan or variant New Malware.q !!!
Please send a copy of the file to McAfee
The file or process has been deleted.
C:\WINDOWS\_default.pif:ihrmqb ... Found the StartPage-DU.dll trojan !!!
The file or process has been deleted.
Scanning C:\WINDOWS\*.*

Summary report on C:\WINDOWS\*.*
File(s)
Total files: ........... 35671
Clean: ................. 35647
Possibly Infected: ..... 11
Cleaned: ............... 0
Deleted: ............... 11
Non-critical Error(s): 1


Time: 00:20.26
----------------------------------------------------------------------------
Virus Scan Report File
Virus Scan Information

McAfee VirusScan for Win32 v4.40.0
Copyright (c) 1992-2004 Networks Associates Technology Inc. All rights reserved.
(408) 988-3832 LICENSED COPY - Sep 23 2004

Scan engine v4.4.00 for Win32.
Virus data file v4665 created Jan 02 2006
Scanning for 168430 viruses, trojans and variants.

Virus Scan Results



01/02/2006 18:40:36


Options:
"C:\" /UNZIP /WINMEM /SUB /ANALYZE /PANALYZE /STREAMS /CLEAN /ALL /DEL /PROGRAM /EXCLUDE C:\AV-CLS\EXCLIST.TXT /HTML "C:\AV-CLS\MCAFEE\SCANREPORT.HTML"

Scanning C: []
Scanning C:\*.*
C:\!KillBox\addwm.exe ... Found trojan or variant New Malware.q !!!
Please send a copy of the file to McAfee
The file or process has been deleted.
C:\!KillBox\atlts32.exe ... Found trojan or variant New Malware.q !!!
Please send a copy of the file to McAfee
The file or process has been deleted.
C:\!KillBox\javaif32.exe ... Found trojan or variant New Malware.q !!!
Please send a copy of the file to McAfee
The file or process has been deleted.
C:\!KillBox\javaxz.exe ... Found trojan or variant New Malware.q !!!
Please send a copy of the file to McAfee
The file or process has been deleted.
C:\!KillBox\ntkd32.exe ... Found trojan or variant New Malware.q !!!
Please send a copy of the file to McAfee
The file or process has been deleted.
C:\!KillBox\sdkzw32.exe ... Found trojan or variant New Malware.q !!!
Please send a copy of the file to McAfee
The file or process has been deleted.
C:\!KillBox\sysgr.exe ... Found trojan or variant New Malware.q !!!
Please send a copy of the file to McAfee
The file or process has been deleted.
C:\!KillBox\syszy32.exe ... Found trojan or variant New Malware.q !!!
Please send a copy of the file to McAfee
The file or process has been deleted.
C:\!KillBox\warnhp.html:omchza ... Found trojan or variant New Malware.q !!!
Please send a copy of the file to McAfee
The file or process has been deleted.
C:\!KillBox\winnt256.bmp:roxfpx ... Found trojan or variant New Malware.q !!!
Please send a copy of the file to McAfee
The file or process has been deleted.
C:\!KillBox\winstart.bat:wcmsxp ... Found the StartPage-DU.dll trojan !!!
The file or process has been deleted.
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Atari\Civilization III Conquests\Conquests online mit Gamespy Arcade spielen!.url ... Found potentially unwanted program Adware-Url.gen.
The file or process has been deleted.
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Infogrames\Civilization III Play the World\Civ3PTW online mit Gamespy Arcade spielen!.url ... Found potentially unwanted program Adware-Url.gen.
The file or process has been deleted.
C:\Programme\Zeug\update.exe ... Found potentially unwanted program Adware-Xupiter.
The file or process has been deleted.
C:\Programme\Zeug\view.exe ... Found potentially unwanted program Adware-Xupiter.
The file or process has been deleted.

Summary report on C:\*.*
File(s)
Total files: ........... 191401
Clean: ................. 187795
Possibly Infected: ..... 11
Cleaned: ............... 0
Deleted: ............... 15
Non-critical Error(s): 3


Time: 01:33.40
----------------------------------------------------------------------------

Virus Scan Report File
Virus Scan Information

McAfee VirusScan for Win32 v4.40.0
Copyright (c) 1992-2004 Networks Associates Technology Inc. All rights reserved.
(408) 988-3832 LICENSED COPY - Sep 23 2004

Scan engine v4.4.00 for Win32.
Virus data file v4665 created Jan 02 2006
Scanning for 168430 viruses, trojans and variants.

Virus Scan Results



01/02/2006 20:38:49


Options:
"C:\WINDOWS\SYSTEM32" /UNZIP /WINMEM /SUB /ANALYZE /PANALYZE /STREAMS /CLEAN /ALL /DEL /PROGRAM /EXCLUDE C:\AV-CLS\EXCLIST.TXT /HTML "C:\AV-CLS\MCAFEE\SCANREPORT.HTML"

Scanning C: []
Scanning C:\WINDOWS\SYSTEM32\*.*

Summary report on C:\WINDOWS\SYSTEM32\*.*
File(s)
Total files: ........... 6914
Clean: ................. 6903
Possibly Infected: ..... 0
Cleaned: ............... 0
Non-critical Error(s): 1


Time: 00:07.05
---------------------------------------------------------------------------

Eine Idee wie's weitergehen könnte?

#22 scanne mit Kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#23 Fertig!
-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Tuesday, January 03, 2006 00:28:49
Operating System: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 2/01/2006
Kaspersky Anti-Virus database records: 158475
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
A:\
C:\
D:\
E:\
F:\

Scan Statistics:
Total number of scanned objects: 83919
Number of viruses found: 3
Number of infected objects: 34
Number of suspicious objects: 0
Duration of the scan process: 8363 sec

Infected Object Name - Virus Name
C:\System Volume Information\_restore{3C31EBCC-85EF-4B91-A41F-8677FC36C500}\RP607\A0136825.ini:jdcok:$DATA Infected: Trojan-Downloader.Win32.Agent.td
C:\System Volume Information\_restore{3C31EBCC-85EF-4B91-A41F-8677FC36C500}\RP607\A0136840.ini:jdcok:$DATA Infected: Trojan-Downloader.Win32.Agent.td
C:\System Volume Information\_restore{3C31EBCC-85EF-4B91-A41F-8677FC36C500}\RP607\A0136871.pif:dylmbm:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{3C31EBCC-85EF-4B91-A41F-8677FC36C500}\RP607\A0136947.pif:dylmbm:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{3C31EBCC-85EF-4B91-A41F-8677FC36C500}\RP607\A0137978.pif:dylmbm:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{3C31EBCC-85EF-4B91-A41F-8677FC36C500}\RP607\A0138215.ini:jdcok:$DATA Infected: Trojan-Downloader.Win32.Agent.td
C:\System Volume Information\_restore{3C31EBCC-85EF-4B91-A41F-8677FC36C500}\RP607\A0138287.dll Infected: Trojan-Downloader.Win32.Agent.bc
C:\System Volume Information\_restore{3C31EBCC-85EF-4B91-A41F-8677FC36C500}\RP609\A0138436.ini:jdcok:$DATA Infected: Trojan-Downloader.Win32.Agent.td
C:\System Volume Information\_restore{3C31EBCC-85EF-4B91-A41F-8677FC36C500}\RP609\A0138640.exe Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{3C31EBCC-85EF-4B91-A41F-8677FC36C500}\RP609\A0138641.exe Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{3C31EBCC-85EF-4B91-A41F-8677FC36C500}\RP609\A0138642.exe Infected: Trojan-Downloader.Win32.Agent.td
C:\System Volume Information\_restore{3C31EBCC-85EF-4B91-A41F-8677FC36C500}\RP609\A0138643.exe Infected: Trojan-Downloader.Win32.Agent.td
C:\System Volume Information\_restore{3C31EBCC-85EF-4B91-A41F-8677FC36C500}\RP609\A0138645.exe Infected: Trojan-Downloader.Win32.Agent.td
C:\System Volume Information\_restore{3C31EBCC-85EF-4B91-A41F-8677FC36C500}\RP609\A0138646.exe Infected: Trojan-Downloader.Win32.Agent.td
C:\System Volume Information\_restore{3C31EBCC-85EF-4B91-A41F-8677FC36C500}\RP609\A0138647.exe Infected: Trojan-Downloader.Win32.Agent.td
C:\System Volume Information\_restore{3C31EBCC-85EF-4B91-A41F-8677FC36C500}\RP609\A0138648.exe Infected: Trojan-Downloader.Win32.Agent.td
C:\System Volume Information\_restore{3C31EBCC-85EF-4B91-A41F-8677FC36C500}\RP609\A0138650.exe Infected: Trojan-Downloader.Win32.Agent.td
C:\System Volume Information\_restore{3C31EBCC-85EF-4B91-A41F-8677FC36C500}\RP609\A0139763.exe Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{3C31EBCC-85EF-4B91-A41F-8677FC36C500}\RP609\A0139764.exe Infected: Trojan-Downloader.Win32.Agent.td
C:\System Volume Information\_restore{3C31EBCC-85EF-4B91-A41F-8677FC36C500}\RP609\A0139765.exe Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{3C31EBCC-85EF-4B91-A41F-8677FC36C500}\RP609\A0139766.exe Infected: Trojan-Downloader.Win32.Agent.td
C:\System Volume Information\_restore{3C31EBCC-85EF-4B91-A41F-8677FC36C500}\RP609\A0139767.exe Infected: Trojan-Downloader.Win32.Agent.td
C:\System Volume Information\_restore{3C31EBCC-85EF-4B91-A41F-8677FC36C500}\RP609\A0139769.dll Infected: Trojan-Downloader.Win32.Agent.bc
C:\System Volume Information\_restore{3C31EBCC-85EF-4B91-A41F-8677FC36C500}\RP609\A0139770.exe Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{3C31EBCC-85EF-4B91-A41F-8677FC36C500}\RP609\A0139771.ini:jdcok:$DATA Infected: Trojan-Downloader.Win32.Agent.td
C:\System Volume Information\_restore{3C31EBCC-85EF-4B91-A41F-8677FC36C500}\RP609\A0139772.pif:dylmbm:$DATA Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{3C31EBCC-85EF-4B91-A41F-8677FC36C500}\RP609\A0139774.exe Infected: Trojan-Downloader.Win32.Agent.td
C:\System Volume Information\_restore{3C31EBCC-85EF-4B91-A41F-8677FC36C500}\RP609\A0139775.exe Infected: Trojan-Downloader.Win32.Agent.td
C:\System Volume Information\_restore{3C31EBCC-85EF-4B91-A41F-8677FC36C500}\RP609\A0139776.exe Infected: Trojan-Downloader.Win32.Agent.td
C:\System Volume Information\_restore{3C31EBCC-85EF-4B91-A41F-8677FC36C500}\RP609\A0139777.exe Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{3C31EBCC-85EF-4B91-A41F-8677FC36C500}\RP609\A0139778.exe Infected: Trojan-Downloader.Win32.Agent.td
C:\System Volume Information\_restore{3C31EBCC-85EF-4B91-A41F-8677FC36C500}\RP609\A0139779.exe Infected: Trojan-Downloader.Win32.Agent.td
C:\System Volume Information\_restore{3C31EBCC-85EF-4B91-A41F-8677FC36C500}\RP609\A0139780.exe Infected: Trojan.Win32.Agent.bi
C:\System Volume Information\_restore{3C31EBCC-85EF-4B91-A41F-8677FC36C500}\RP609\A0139781.exe Infected: Trojan-Downloader.Win32.Agent.td

Scan process completed.

#24 scumi

deaktiviere die systemwiederherstellung, boooten, dann wieder aktivieren, dann muesste alles wieder in Ordung sein
http://virus-protect.org/systemwiederherstellung.html

um sicher zu gehen, kannst du noch mit Counterspy scannen
http://virus-protect.org/counterspy.html
nach dem Scan muss man sich entscheiden für:
*Ignore
*Remove
*Quarantaine
wähle immer Remove und starte den PC neu
__________
MfG Sabina

rund um die PC-Sicherheit

#25 Super, der Desktop ist wieder da nachdem ich die Eigenschaften verändert hatte.
Ich werd nach dem Aufstehen noch mal ein paar Scans durchführen lassen zur Sicherheit.
Da Windows jetzt aktualisiert ist, sollte ich doch hoffentlich zumindest vorübergehend verschont bleiben!?

Ansonsten muß ich mich auf jeden Fall bedanken, ohne Leute wie dich würde das Internet gar nicht funktionieren.

Gute Nacht.