Gehe in die Registry Start<Ausfuehren<regedit HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run loesche rechts: <"Win Server Updt"="%WinDir%\Wupdt.exe"
#Bevor du das loescht , ueberpruefe es bitte, denn es kann ein Backdoor sein, aber auch ein Driver (?) <C:\WINNT\hql.exe Jotti's malware scan 2.4 - einzelne "exe" ueberpruefen http://virusscan.jotti.dhs.org/ Internetexplorer reinigen: 1. Klicken Sie in der Menüzeile des Internet Explorers auf Extras und Internet-Optionen. 2. Auf der Registerkarte Allgemein klicken Sie im Bereich Temporäre Internetdateien auf den Button Cookies löschen. 3.Temporaere Internet-Dateien<Dateien loeschen
# AboutBuster www.malwarebytes.biz/AboutBuster.zip Alle Dateien in einen Ordner entpacken, die Readme Datei lesen, dann das Programm ausführen (evtl auch im abgesicherten Modus)
#AdAware (free) http://www.lavasoft.de/support/download/ VOR jedem Scanvorgang das Programm Updaten! WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!.
Dann deaktivierst du fuer 15 Tage deinen Antivirus und laedst: #Testversion "Antivirus Personal 5.0" http://www.kaspersky.com/trials und scannst im abgesicherten Modus. (!)
#Extras -> Internetoptionen -> Erweitert -> Sicherheit -> Haken setzen bei Leeren des Ordners Temporary Internet Files beim Schließen des Browsers und Verschlüsselte Seiten nicht auf der Festplatte speichern.
Saeubere den IE #TraXEx 2.2 ist ein zuverlässiges Sicherheits-Programm für alle aktuellen Internet-Browser und Windows. TraXEx löscht Spuren, die Ihr Internet-Browser beim Surfen auf Ihrem PC hinterläßt http://www.almisoft.de/traxex2.htm Stelle eine neue Startseite ein und poste das Log noch mal.
Gehe in die Registry
Start<Ausfuehren<regedit
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
loesche rechts:
<"Win Server Updt"="%WinDir%\Wupdt.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
loesche rechts:
<"Win Server"="%WinDir%\winserv.exe"
<Loesche :[TROJ_SCAGENT.C]
HKEY_CLASSES_ROOT>TypeLib>{C89E0F84-3C34-43D1-A72C-AF1A160A7C07}
Gib oben links in die Suchfunktion der Registry ein: <m.dll< und dann <digfilt.dll<
und loesche<alles, was angezeigt wird.
schliesse die Registry
Oeffne das HijackThis, scan, hake an, was ich schreibe, <fix< und PC neustarten
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://stormseekers.nwy.at
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://srd.yahoo.com/*http://www.pixpox.com/cgi-bin/click.pl?url=www.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srd.yahoo.com/*http://www.pixpox.com/cgi-bin/click.pl?url=www.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.dourcttuqxbyuhhcelrxtvci.com/QQQFR0dLmiOzfiDkBOGw90Y_IOEEE_/9uv/Ga3a2LoLdrb3C8W_aIyXNj7LyNr53.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gdblbqvofnagglqkahgvy.com/QQQFR0dLmiNBRLjQ9076zWU4XhhwRgjBrInxnUR3Ank.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://riviera.cc (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://srd.yahoo.com/*http://www.pixpox.com/cgi-bin/click.pl?url=www.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://riviera.cc (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://riviera.cc (obfuscated)
O2 - BHO: (no name) - {03EBC03C-8BC9-4749-9CA3-3F02989A0DE7} - C:\WINNT\m.dll (file missing)
O2 - BHO: (no name) - {1C03A3D8-FBAB-5253-4BBB-405BB6640FAF} - C:\DOKUME~1\Tommy\ANWEND~1\SITEAI~1\boltdale.exe
O2 - BHO: (no name) - {7B55BB05-0B4D-44fd-81A6-B136188F5DEB} - C:\WINNT\questmod.dll (file missing)
O2 - BHO: (no name) - {DE3BEBDB-AEE7-4277-8B6E-4EEFFA9508AE} - C:\WINNT\system32\qilexolo.dll (file missing)
O4 - HKLM\..\Run: [saap] c:\winnt\180solutions\saap.exe
O4 - HKLM\..\Run: [hql] C:\WINNT\hql.exe
O4 - HKLM\..\Run: [heck 64 global free] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BagsSizeHeck64\atom close.exe
O4 - HKCU\..\Run: [loader] c:\WINNT\loader.exe [coollllwebsearch\TR/Small.DG]
O4 - HKCU\..\Run: [winlogon] c:\winnt\winserv.exe [Adware.IEPlugin]
O4 - HKCU\..\Run: [NoAdware] "C:\NoAdware\NoAdware.exe" /s
O4 - HKCU\..\Run: [helpextra] C:\DOKUME~1\Tommy\ANWEND~1\SPAMIN~1\save each intra.exe
O8 - Extra context menu item: Download with Go!Zilla - file://C:\Programme\Go!Zilla\download-with-gozilla.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O18 - Filter: text/html - {EE7A946E-61FA-4979-87B8-A6C462E6FA62} - C:\WINNT\digfilt.dll [TR/Scagent.DLL.C]
O18 - Filter: text/plain - {957F957E-818D-43DF-BA48-3DD4B1CB0309} - C:\WINNT\m.dll [Trojan Horse Downloader.Winshow.D]
neustarten
Gehe in den abgesicherten Modus
#deinstalliere den Go!Zilla
Oeffne das hijackThis und loesche:
<HijackThis<Config<Misc Tools<Delete a file on reboot<
reinkopieren: C:\WINNT\m.dll <PC neustarten
<HijackThis<Config<Misc Tools<Delete a file on reboot<
reinkopieren: C:\DOKUME~1\Tommy\ANWEND~1\SITEAI~1\boltdale.exe <PC neustarten
Das machst du mit:
TROJ_SCAGENT.C
<C:\WINNT\saintag.exe
<C:\WINNT\digfilt.dll
<<C:\WINNT\m.dll
<C:\WINNT\questmod.dll
<C:\WINNT\system32\qilexolo.dll
<C:\DOKUME~1\Tommy\ANWEND~1\SITEAI~1\boltdale.exe
<c:\winnt\180solutions\saap.exe
<c:\Program Files\Music Station\saap.exe (?)
<c:\WINNT\loader.exe
<C:\DOKUME~1\Tommy\ANWEND~1\SPAMIN~1\save each intra.exe
<c:\WINNT\0887e3.exe
<c:\WINNT\0887e4.exe
#Adware.IEPlugin
Start<Ausfuehren< cmd
kopiere rein: regsvr32 /u winobject.dll
<enter<
PC neustarten
Start<Ausfuehren<cmd
kopiere rein:
regsvr32 /u systb.dll
<enter<
PC neustarten
Loesche mit dem HijackThis:oder manuell
<HijackThis<Config<Misc Tools<Delete a file on reboot<
reinkopieren: c:\winnt\winserv.exe <PC neustarten
<c:\winnt\winserv.exe
<c:\winnt\winobject.dll
<c:\winnt\wupdt.exe
<c:\winnt\systb.dll
<C:\Winnt\Kw.dat
<C:\Winnt\Toserver.pst
<C:\Winnt\Lu.dat
<C:\Winnt\Extract.exe
<C:\Winnt\Button0.ico
<C:\Winnt\Button1.ico
<C:\Winnt\Button2.ico
<C:\Winnt\Logo.ico
#Bevor du das loescht , ueberpruefe es bitte, denn es kann ein Backdoor sein, aber auch ein Driver (?)
<C:\WINNT\hql.exe
Jotti's malware scan 2.4 - einzelne "exe" ueberpruefen
http://virusscan.jotti.dhs.org/
Internetexplorer reinigen:
1. Klicken Sie in der Menüzeile des Internet Explorers auf Extras und Internet-Optionen.
2. Auf der Registerkarte Allgemein klicken Sie im Bereich Temporäre Internetdateien auf den Button Cookies löschen.
3.Temporaere Internet-Dateien<Dateien loeschen
# AboutBuster
www.malwarebytes.biz/AboutBuster.zip
Alle Dateien in einen Ordner entpacken, die Readme Datei lesen, dann das Programm ausführen (evtl auch im abgesicherten Modus)
#AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!.
Dann deaktivierst du fuer 15 Tage deinen Antivirus und laedst:
#Testversion "Antivirus Personal 5.0"
http://www.kaspersky.com/trials
und scannst im abgesicherten Modus. (!)
Dann aktualisierst du den IE und machst die WindowsUpdates:
#Internet Explorer 6 Service Pack 1
http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=1E1550CB-5E5D-48F5-B02B-20B602228DE6
#Apply the fix to the Java VM vulnerability and clear temporary Internet files cache. See http://www.microsoft.com/technet/security/bulletin/ms03-011.asp for more info.
#Installiere java-Sun
http://java.com/en/download/windows_xpi.jsp
#Extras -> Internetoptionen -> Erweitert -> Sicherheit -> Haken setzen bei Leeren des Ordners Temporary Internet Files beim Schließen des Browsers und Verschlüsselte Seiten nicht auf der Festplatte speichern.
#Standardeinstellungen für die Sicherheitszonen (IE)
http://www.misitio.ch/ie/ie6/securityzones.html
Saeubere den IE
#TraXEx 2.2 ist ein zuverlässiges Sicherheits-Programm für alle aktuellen Internet-Browser und Windows.
TraXEx löscht Spuren, die Ihr Internet-Browser beim Surfen auf Ihrem PC hinterläßt
http://www.almisoft.de/traxex2.htm
Stelle eine neue Startseite ein und poste das Log noch mal.
Dann poste das Log noch mal.
MfG
Sabina
******
http://sarc.com/avcenter/venc/data/pf/adware.ieplugin.html
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=TROJ_SCAGENT.C
__________
MfG Sabina
rund um die PC-Sicherheit