Bestsearch (Startseite) und Favoriteneintrag kehren immer wieder zurück

#1 Hallo,

nach vielen Versuchen mit HijackThis und durchsuchen dieses Forum bekomme ich die Einträge einfach nicht weg.
Alle "bösen" Einträge mehrmal gefixt, Rechner neugestartet und alle waren sie wieder da, *heul*.

Wer kann helfen? Danke!

Logfile of HijackThis v1.98.2
Scan saved at 21:54:31, on 29.08.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINXP\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
H:\Programme\Norton AntiVirus\navapsvc.exe
c:\apache\APACHE.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
c:\apache\APACHE.EXE
C:\WINXP\System32\svchost.exe
C:\WINXP\System32\MsPMSPSv.exe
C:\WINXP\Explorer.EXE
H:\Programme\Norton AntiVirus\SAVScan.exe
C:\SCANJET\PrecisionScanLT\hppwrsav.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Roxio\WinOnCD 6 DVD\DirectCD\DirectCD.exe
C:\WINXP\System32\devldr32.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\WINXP\System32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
H:\Eigene Dateien\Download\Neuer Ordner\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.52/668/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.52/668/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.191.52/668/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.52/668/sp.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.52/668/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.191.52/668/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://69.50.191.52/668/sp.php
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: G1.GZ - {79C03BC5-6C55-4B5B-921F-C02B6F1ABD7B} - C:\DOKUME~1\Frank\ANWEND~1\Pribi\Pribi.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - H:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - H:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINXP\System32\msdxm.ocx
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [hppwrsav] C:\SCANJET\PrecisionScanLT\hppwrsav.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\WinOnCD 6 DVD\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [WinPatrol] h:\PROGRA~1\BILLPS~1\WINPAT~1\WinPatrol.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] H:\Programme\UrlLstCk.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [svchost] C:\WINXP\svchost.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [\IEService.exe] C:\DOKUME~1\Frank\ANWEND~1\IESERV~1\IEService.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Mountit.lnk = C:\Programme\Roxio\WinOnCD 6 DVD\MountIt.exe
O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: View EXIF - C:\ViewEXIF\EXIF.htm
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O13 - DefaultPrefix: http://69.50.191.50/?
O13 - WWW Prefix: http://69.50.191.50/?
O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://pub.plan.at/mgaxctrlde.cab
O16 - DPF: {72C23FEC-3AF9-48FC-9597-241A8EBDFE0A} (InstallShield International Setup Player) - http://ftp.hp.com/pub/automatic/player/isetupML.cab
O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemplates/ActiveSecurity.cab
O16 - DPF: {90A29DA5-D020-4B18-8660-6689520C7CD7} (DmiReader Class) - http://support.euro.dell.com/global/apps/systemprofiler/PROFILER.CAB
O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} (InstallShield International Setup Player) - http://www.installengine.com/engine/isetup.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_02) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{A157EC3A-403F-4699-A80D-6777A82C288B}: NameServer = 217.237.150.33 194.25.2.129

grüße
froschi

#2 Hallo,

Zitat

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Dein System ist völlig ungepatcht!

Fixe diese Einträge:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.52/668/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.52/668/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.191.52/668/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.52/668/sp.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.52/668/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.191.52/668/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://69.50.191.52/668/sp.php
O2 - BHO: G1.GZ - {79C03BC5-6C55-4B5B-921F-C02B6F1ABD7B} - C:\DOKUME~1\Frank\ANWEND~1\Pribi\Pribi.dll
O4 - HKLM\..\Run: [svchost] C:\WINXP\svchost.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O13 - DefaultPrefix: http://69.50.191.50/?
O13 - WWW Prefix: http://69.50.191.50/?

Wechsle in den abgesicherten Modus und lösche diese Dateien:

- FullScan mit aktualisierten Norton AntiVirus
- Neustart
- dein System updaten http://v5.windowsupdate.microsoft.com/v5consumer/default.aspx
- neues Log-File

Wenn du eine dauerhafte Lösung für dein Problem suchst, dann wende dies an:

- dein System updaten und stets aktuell halten http://v5.windowsupdate.microsoft.com/v5consumer/default.aspx
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/selbstdatenschutz/internet/absichern/browser/msie/config.htm
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/

by the way: Wenn diese Datei C:\WINXP\svchost.exe noch existiert, dann überprüfe sie bei http://www.kaspersky.com/de/remoteviruschk.html
und poste das Ergebnis
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung

#3 Deine Variante ist etwas trickreich. Da ist noch eine Datei, die sich woanders einhaakt. Du kannst sie sehen, indem du eine Startup liste von Hijackthis erstellen laesst. Escan sollte diese Variante sauber entfernen koennen. Es ist wohl sicherer als es manuell zu machen.

Denke an ein Update deines Windows via www.windowsupdate.com !

Fixe auch noch das

O2 - BHO: G1.GZ - {79C03BC5-6C55-4B5B-921F-C02B6F1ABD7B} - C:\DOKUME~1\Frank\ANWEND~1\Pribi\Pribi.dll
O4 - HKCU\..\Run: [\IEService.exe] C:\DOKUME~1\Frank\ANWEND~1\IESERV~1\IEService.exe

Starte neu und schicke bitte diese Dateien bitte an virus@protecus.de
C:\DOKUME~1\Frank\ANWEND~1\Pribi\Pribi.dll
C:\DOKUME~1\Frank\ANWEND~1\IESERV~1\IEService.exe

loesche dann bitte die obigen zwei verzeichnisse!
__________
MfG Ralf
SEO-Spam Hunter

#4 @ raman

Merci für die Ergänzung, hatte ich leider übersehen.
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung

#5 Ich hatte dein Posting gar nicht gesehen. Ich habe so lange gebraucht zum schreiben!
__________
MfG Ralf
SEO-Spam Hunter

#6 Vielen Dank für die schnelle Hilfe!!

Ich bin jetzt so vorgegangen wie Cidre vorgeschlagen hat. Erst Einträge gefixt, im abgesichertem Modus FullScan, Neustart, System upgedatet, Neustart.

Folgende Ergebnisse:

Logfile of HijackThis v1.98.2
Scan saved at 12:06:21, on 30.08.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINXP\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
H:\Programme\Norton AntiVirus\navapsvc.exe
c:\apache\APACHE.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
c:\apache\APACHE.EXE
C:\WINXP\System32\svchost.exe
C:\WINXP\System32\MsPMSPSv.exe
C:\WINXP\Explorer.EXE
C:\SCANJET\PrecisionScanLT\hppwrsav.exe
C:\Programme\Roxio\WinOnCD 6 DVD\DirectCD\DirectCD.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\WINXP\System32\devldr32.exe
H:\Programme\Norton AntiVirus\SAVScan.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINXP\System32\wuauclt.exe
C:\PROGRA~1\MICROS~1\Office\OUTLOOK.EXE
H:\Eigene Dateien\Download\Spywarebekaempfung\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.52/668/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.52/668/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.191.52/668/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.52/668/sp.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.52/668/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.191.52/668/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://69.50.191.52/668/sp.php
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - H:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - H:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINXP\System32\msdxm.ocx
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [hppwrsav] C:\SCANJET\PrecisionScanLT\hppwrsav.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\WinOnCD 6 DVD\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [WinPatrol] h:\PROGRA~1\BILLPS~1\WINPAT~1\WinPatrol.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] H:\Programme\UrlLstCk.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [svchost] C:\WINXP\svchost.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Mountit.lnk = C:\Programme\Roxio\WinOnCD 6 DVD\MountIt.exe
O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: View EXIF - C:\ViewEXIF\EXIF.htm
O13 - DefaultPrefix: http://69.50.191.50/?
O13 - WWW Prefix: http://69.50.191.50/?
O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://pub.plan.at/mgaxctrlde.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093812588434
O16 - DPF: {72C23FEC-3AF9-48FC-9597-241A8EBDFE0A} (InstallShield International Setup Player) - http://ftp.hp.com/pub/automatic/player/isetupML.cab
O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemplates/ActiveSecurity.cab
O16 - DPF: {90A29DA5-D020-4B18-8660-6689520C7CD7} (DmiReader Class) - http://support.euro.dell.com/global/apps/systemprofiler/PROFILER.CAB
O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} (InstallShield International Setup Player) - http://www.installengine.com/engine/isetup.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_02) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{A157EC3A-403F-4699-A80D-6777A82C288B}: NameServer = 217.237.150.33 194.25.2.129

Leider bin ich den Mist nicht losgeworden. Norton hat 30 Adware Dateien gefunden (angeblich kein Virus), konnte aber nur 4 löschen.

Hier das Ergebnis der svchost.exe. Ups, da ist noch so ein Saulümmel. Warum checkt das Norton AntiVirus nicht??

Zu überprüfende Datei: svchost.exe

svchost.exe - packed with Yoda
svchost.exe Infiziert: Trojan.Win32.StartPage.my

Statistiken:
Bekannte Viren: 97732 Updated: 30-08-2004
Größe der Datei (Kb): 10 Viren-Korpus: 1
Datei: 2 Warnungen: 0
Archive: 0 Verdächtigt: 0

Und jetzt? Datei einfach löschen??

@raman:

Zitat

Du kannst sie sehen, indem du eine Startup liste von Hijackthis erstellen laesst. Escan sollte diese Variante sauber entfernen koennen

Sorry, aber wie mache ich eine Startupliste? Escan habe ich runtergeladen. Führe ich den auch im abgesichertem Modus aus?

Zitat

Starte neu und schicke bitte diese Dateien bitte an virus@protecus.de
C:\DOKUME~1\Frank\ANWEND~1\Pribi\Pribi.dll
C:\DOKUME~1\Frank\ANWEND~1\IESERV~1\IEService.exe

Wer ist rokop-security.de? Warum soll ich das zu denen schicken? Bin halt neugierg.

Danke nochmals für eure Hilfe!

grüße
froschi

#7 Mich interessiert, was diese Dateien machen, ob sie ueberhaupt boese sind. Lesen kannst du auch mal hier: http://www.rokop-security.de/main/article.php?sid=144

In bezug auf Startup-list.
Starte Hijackthis und gehe nach config/misc tools/ generate startuplist log, hake list empty sections an. dort wirst du unter:

File association entry for .EXE:
HKEY_CLASSES_ROOT\exefile\shell\open\command

(Default) = "%1" %*

etwas anderes Sstehen haben. Hier steht bei dir noch ein Dateiname: (Default) = "%1" %*

Escan sollte die Datei und den Registrierungseintrag reparieren/loeschen koennen
__________
MfG Ralf
SEO-Spam Hunter

#8 Hallo raman,

eScan hat gute Arbeit vollbracht! Die Einträge sind bis jetzt verschwunden, auch "File association entry for .EXE:" ist wieder in Ordnung!

Nochmals vielen Dank für die SUPER Hilfe. Ich hatte mich schon mit einer Formatierung abgefunden. Puh, nochmal abgewendet. Danke!

Jetzt schicke ich die zwei Dateien an virus@protecus.de und werde dir ggfs. Bescheid geben.

grüße
froschi

EDIT:

Oh...

kann leider

C:\DOKUME~1\Frank\ANWEND~1\Pribi\Pribi.dll
C:\DOKUME~1\Frank\ANWEND~1\IESERV~1\IEService.exe

nicht mehr auf dem Rechner finden. Sind weg!

grüße
froschi

#9 Na, ist egal, hauptsache der Rechner ist sauber.

Nicht das Windowsupdate vergessen!
__________
MfG Ralf
SEO-Spam Hunter