Home » Spyware & Browser Hijacker Support Forum » werde immer auf "http://t.swapx.cc/h.php?aid=20009" geleitet » Themenansicht

werde immer auf "http://t.swapx.cc/h.php?aid=20009" geleitet
#0
10.10.2004, 12:16
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#16 Hallo @koax

Das Log ist sauber ;)

Was deine Frage betrifft, ich verwende Sygate Prof . (kostet).
Man kann aber auch mit der Free-Version gut arbeiten, oder mit dem Free-Kerio.

Ansonsten benoetige ich keine Popup-Blocker oder aehnliches, weil ich nur mit dem Browser "Firefox" surfe. (ist sicherer als der IE)
Firefox
http://www.mozilla.org/products/firefox/index.html
Opera
http://www.opera7.de/

<Kerio Personal Firewall
Kerio ist freeware für den privaten Gebrauch.
http://www.kerio.com/kpf_download.html

<Deutsches Handbuch Tiny Personal/Kerio Firewall 2.x
Handbuch von Firewall-Info.net für die Version 2 von Kerio (vormals Tiny Personal).
http://www.firewallinfo.de/handbuecher/tiny_kerio_20/

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 10.10.2004 um 12:16 Uhr von Sabina editiert.
Seitenanfang Seitenende
13.10.2004, 12:55
abo-ticket
...neu hier

Beiträge: 5
#17 hallo ;D

ich hab das selbe problem mit der weiterleitung auf diese seit
vlt kann ja auch mir geholfen werden ^^

hier mein log

Logfile of HijackThis v1.98.2
Scan saved at 12:54:34, on 13.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\csrss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\System32\CTSvcCDA.EXE
D:\WINDOWS\System32\MsPMSPSv.exe
D:\WINDOWS\System32\ctfmon.exe
D:\PROGRA~1\AIM\aim.exe
D:\Programme\Steam\Steam.exe
C:\Downloads\hijackthis_198\HijackThis.exe
D:\Programme\Internet Explorer\iexplore.exe
D:\WINDOWS\System32\wuauclt.exe
C:\THUNDE~1\THUNDE~1.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=9
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - D:\WINDOWS\System32\45B1W8~1.DLL
O4 - HKLM\..\Run: [WinampAgent] "D:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [ATIPTA] D:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [AIM] D:\PROGRA~1\AIM\aim.exe -cnetwait.odl
O4 - HKCU\..\Run: [Steam] D:\Programme\Steam\Steam.exe -silent
O4 - HKCU\..\Run: [Mirabilis ICQ] D:\Program Files\ICQ\ICQ.exe -minimize
O4 - Startup: C-D.lnk = D:\Programme\Cheating-Death\cdeath.exe
O8 - Extra context menu item: Download with GetRight - D:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Download with NetPumper - D:\Programme\NetPumper\AddUrl.htm
O8 - Extra context menu item: Open with GetRight Browser - D:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Program Files\ICQ\ICQ.EXE (file missing)
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Program Files\ICQ\ICQ.EXE (file missing)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097661780583
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab
O20 - AppInit_DLLs: mbp2vzjnhz5g.dll
Seitenanfang Seitenende
13.10.2004, 14:29
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#18 Hallo @abo-ticket

oeffne das HijackThis, scan, Haekchen setzen, <fix<, neustarten

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=9
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - D:\WINDOWS\System32\45B1W8~1.DLL
O20 - AppInit_DLLs: mbp2vzjnhz5g.dll

neustarten

#Oeffne noch mal das HijackThis:
HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren: mbp2vzjnhz5g.dll < PC neustarten

HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren: 45B1W8~1.DLL <PC neustarten

Internetexplorer reinigen:
1. Klicken Sie in der Menüzeile des Internet Explorers auf Extras und Internet-Optionen.
2. Auf der Registerkarte Allgemein klicken Sie im Bereich Temporäre Internetdateien auf den Button Cookies löschen.
3.Temporaere Internet-Dateien<Dateien loeschen

Lade : #Antivirus (free)
http://www.free-av.de/
mache einen Komplettscan (konfigurieren. "alle Dateien" und Heuristik: mittel im Scanner und im Guard.

##Schutz: setze alle Haekchen««protected
Spywareblaster
http://www.javacoolsoftware.com/sbdownload.html

Dann poste das Log noch mal.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.10.2004, 14:42
abo-ticket
...neu hier

Beiträge: 5
#19 Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\System32\CTSvcCDA.EXE
D:\WINDOWS\System32\MsPMSPSv.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\wscntfy.exe
D:\Programme\D-Tools\daemon.exe
D:\WINDOWS\system32\ctfmon.exe
D:\PROGRA~1\AIM\aim.exe
D:\Programme\Steam\Steam.exe
D:\Program Files\ICQ\ICQ.exe
C:\Downloads\hijackthis_198\HijackThis.exe
D:\Programme\Internet Explorer\iexplore.exe
D:\WINDOWS\system32\wuauclt.exe

O4 - HKLM\..\Run: [WinampAgent] "D:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [ATIPTA] D:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AIM] D:\PROGRA~1\AIM\aim.exe -cnetwait.odl
O4 - HKCU\..\Run: [Steam] D:\Programme\Steam\Steam.exe -silent
O4 - HKCU\..\Run: [Mirabilis ICQ] D:\Program Files\ICQ\ICQ.exe -minimize
O4 - Startup: C-D.lnk = D:\Programme\Cheating-Death\cdeath.exe
O8 - Extra context menu item: Download with GetRight - D:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Download with NetPumper - D:\Programme\NetPumper\AddUrl.htm
O8 - Extra context menu item: Open with GetRight Browser - D:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Program Files\ICQ\ICQ.EXE
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Program Files\ICQ\ICQ.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097661780583
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab
O20 - AppInit_DLLs: mbp2vzjnhz5g.dll

hm... also die ersten beiden sachen hab ich wohl wegbekommen
allerdings lässt sich mbp2vzjnhz5g.dll nicht entfernen
ist immer wieder da ;(

zu av free
die datei avwinsfx.exe lässt sich bei mir nicht ausführen ?!
genauso der spyware blaster den ich schon vorher installiert hatte
nach nem neustart sind avwinsfx.exe und die spywareblaster.exe komischerweise verschwunden ?!
neu installation bringt nichts -> lässt sich nicht starten -> neustart --> sind wieder weg
Seitenanfang Seitenende
13.10.2004, 14:50
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#20 @abo-ticket

Gehe in die Registry
Start<Ausfuehren<regedit
suche folgenden Schluessel:
HKLM\..\Windows NT\CurrentVersion\Windows: AppInit_DLLs--mbp2vzjnhz5g.dll
diesen Eintrag loesche auf der rechten Seite der Registry

Start<Ausfuehren<cmd
reinkopieren:

attrib -h %systemroot%\system32\mbp2vzjnhz5g.dll & ren %systemroot%\SYSTEM32\mbp2vzjnhz5g.dll Badfile.bad

<enter<

#Oeffne noch mal das HijackThis:
HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren: mbp2vzjnhz5g.dll < PC neustarten

Dann poste das Log noch mal.

Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 13.10.2004 um 15:00 Uhr von Sabina editiert.
Seitenanfang Seitenende
13.10.2004, 15:13
abo-ticket
...neu hier

Beiträge: 5
#21 geht nicht ;(
wenn ich den eintrag in er registry gelöscht hab dann auf
ausführen>>cmd geh und eingebe

D:\>attrib -h %systemroot%\system32\mbp2vzjnhz5g.dll & ren %systemroot%\SYSTEM32
\mbp2vzjnhz5g.dll Badfile.bad
Systemdatei wird nicht zurückgesetzt - D:\WINDOWS\system32\mbp2vzjnhz5g.dll
Das System kann die angegebene Datei nicht finden.

und ja mein windows liegt auf D: ^^


Logfile of HijackThis v1.98.2
Scan saved at 15:10:09, on 13.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\System32\CTSvcCDA.EXE
D:\WINDOWS\System32\MsPMSPSv.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\wscntfy.exe
D:\Programme\D-Tools\daemon.exe
D:\WINDOWS\system32\ctfmon.exe
D:\PROGRA~1\AIM\aim.exe
D:\Programme\Steam\Steam.exe
D:\Program Files\ICQ\ICQ.exe
C:\Downloads\hijackthis_198\HijackThis.exe

O4 - HKLM\..\Run: [WinampAgent] "D:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [ATIPTA] D:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AIM] D:\PROGRA~1\AIM\aim.exe -cnetwait.odl
O4 - HKCU\..\Run: [Steam] D:\Programme\Steam\Steam.exe -silent
O4 - HKCU\..\Run: [Mirabilis ICQ] D:\Program Files\ICQ\ICQ.exe -minimize
O4 - Startup: C-D.lnk = D:\Programme\Cheating-Death\cdeath.exe
O8 - Extra context menu item: Download with GetRight - D:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Download with NetPumper - D:\Programme\NetPumper\AddUrl.htm
O8 - Extra context menu item: Open with GetRight Browser - D:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Program Files\ICQ\ICQ.EXE
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Program Files\ICQ\ICQ.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097661780583
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab
O20 - AppInit_DLLs: mbp2vzjnhz5g.dll
Seitenanfang Seitenende
13.10.2004, 15:42
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#22 Hallo @abo-ticket

Fixe:
O20 - AppInit_DLLs: mbp2vzjnhz5g.dll
neustarten


Start<Ausfuehren\cmd (reinkopieren)
regsvr32 /u [systemroot]\mbp2vzjnhz5g.dll
regsvr32 /u c:\system32\mbp2vzjnhz5g.dll

http://www.mwti.net/antivirus/escan/escandl_antivirus.asp
Das eScan AV Toolkit herunterladen (15-Tage free)

gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

und den Scanner starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives
<und "Scan clean" klicken.
Dann noch mal im Normalmodus scannen und poste , was gefunden wurde (aus Log-abkopieren)
Und poste das neue Log vom HijackThis.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 13.10.2004 um 15:46 Uhr von Sabina editiert.
Seitenanfang Seitenende
13.10.2004, 16:08
abo-ticket
...neu hier

Beiträge: 5
#23

Zitat

Sabina postete
Hallo @abo-ticket

Fixe:
O20 - AppInit_DLLs: mbp2vzjnhz5g.dll
neustarten <---- gemacht


Start<Ausfuehren\cmd (reinkopieren)
regsvr32 /u [systemroot]\mbp2vzjnhz5g.dll
regsvr32 /u c:\system32\mbp2vzjnhz5g.dll
<--- kommt folgendes http://mitglied.lycos.de/dadudi/Avatar/geht%20nicht.JPG

http://www.mwti.net/antivirus/escan/escandl_antivirus.asp
Das eScan AV Toolkit herunterladen (15-Tage free)

gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

und den Scanner starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives
<und "Scan clean" klicken.
Dann noch mal im Normalmodus scannen und poste , was gefunden wurde (aus Log-abkopieren)
Und poste das neue Log vom HijackThis.

mfg
Sabina



EDIT:
hab ma trotzdem e-scan im abgesicherten modus laufen lassen
aber:
Mi Okt 13 16:43:34 2004 => Scanning File D:\WINDOWS\system32\mbp2vzjnhz5g.dll
Mi Okt 13 16:43:36 2004 => File Infected with "TrojanDownloader.Win32.Agent.dg". (Zugriff verweigert)Unable to delete infected file. Virus could not be removed!

;(
Dieser Beitrag wurde am 13.10.2004 um 17:21 Uhr von abo-ticket editiert.
Seitenanfang Seitenende
13.10.2004, 18:35
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#24 Ja nun bin ich mit meinem Latein fast am Ende.

1.Gehe in die Registry und suche alle Eintraege mit <mbp2vzjnhz5g.dll<
(oben links ist die Suchfunktion)
Loesche alles, was du findest.

PC neustarten

2.<Und versuche noch mal: (im abgesicherten Modus)
HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren: mbp2vzjnhz5g.dll < PC neustarten

3. <attrib -h %systemroot%\system32\mbp2vzjnhz5g.dll & ren %systemroot%\SYSTEM32\mbp2vzjnhz5g.dll Badfile.bad
<enter<
<neustarten
<die mbp2vzjnhz5g.dll im abgesicherten Modus umbenennen in <mbp2vzjnhz5g.dl< und loeschen

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 13.10.2004 um 18:38 Uhr von Sabina editiert.
Seitenanfang Seitenende
13.10.2004, 18:46
abo-ticket
...neu hier

Beiträge: 5
#25

Zitat

Sabina postete
Ja nun bin ich mit meinem Latein fast am Ende.

1.Gehe in die Registry und suche alle Eintraege mit <mbp2vzjnhz5g.dll<
(oben links ist die Suchfunktion)
Loesche alles, was du findest.

PC neustarten

2.<Und versuche noch mal: (im abgesicherten Modus)
HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren: mbp2vzjnhz5g.dll < PC neustarten

mfg
Sabina
ES IST WEG
und ich kann wieder .exe datein ausführen
bei der suche in de regedit haben sich 3 einträge ergeben -> hab ich gelöscht
hijackthis laufen lassen hats zwar noch gefunden aber --> fick checked dann wars weg
zu sicherheit noch das mit dem löschen nach dem neustart gemacht
und nu
nu isses weg ;D

wow echt große klasse wie einem hier geholfen wird ;D
danke für deine geduld ^^

mfg

Abo-Ticket
Seitenanfang Seitenende
13.10.2004, 18:49
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#26 ;) ;)

Vergiss nicht, die Wiederherstellung zu deaktivieren, booten und wieder aktivieren.

Gruss
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 13.10.2004 um 18:51 Uhr von Sabina editiert.
Seitenanfang Seitenende
25.10.2004, 23:39
Minne
...neu hier

Beiträge: 2
#27 Ich brauche HILFE!!!
Hab auch diesen Mist mit der Startseite und bekomm das einfach nicht weg!!!!!!
Bin total verzweifelt...WER KANN MIR HELFEN?????BITTE!!

Logfile of HijackThis v1.98.2
Scan saved at 23:39:12, on 25.10.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\XP-Kraftpaket\Anonym im Internet\ANONYM.exe
C:\WINDOWS\szchost.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\ZyDAS Technology Corporation\ZyDAS_802.11g_Utility\ZDWlan.exe
C:\WINDOWS\twain_32\A4CIS600\WATCH.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Bacher\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/hp.htm?id=191
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=191
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/hp.htm?id=191
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\U8R46S~1.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [KEWelcomeReBoot] D:\welcome_S500.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Anonym im Internet] C:\Programme\XP-Kraftpaket\Anonym im Internet\ANONYM.exe -TRAY
O4 - HKLM\..\Run: [Zone system] C:\WINDOWS\szchost.exe
O4 - HKLM\..\Run: [Control handler] C:\WINDOWS\ahjinst.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\A4CIS600\WATCH.exe
O4 - Global Startup: ZDWLan Utility.lnk = C:\Programme\ZyDAS Technology Corporation\ZyDAS_802.11g_Utility\ZDWlan.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - Trusted Zone: *.greg-search.com
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://greg-tut.com/G7/chm9.chm::/file1.exe
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/yinst20040510.cab
O20 - AppInit_DLLs: k7b48xphchzrb7.dll
Seitenanfang Seitenende
26.10.2004, 00:34
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#28 Hallo@Minne

Gehe in die Registry
Start<Ausfuehren<regedit:

Suche und loesche, falls es da ist:

#HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Mrdodf<
loesche:
<"winid"=[date and time of infection]

#HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Mctest
loesche:
"Datu"=[IP address]

#HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
loesche:
<[Anonym im Internet] C:\Programme\XP-Kraftpaket\Anonym
<[KEWelcomeReBoot] D:\welcome_S500.exe
<[Control handler] C:\WINDOWS\ahjinst.exe
<[Zone system] C:\WINDOWS\szchost.exe

Fixe:...dann PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/hp.htm?id=191
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=191
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/hp.htm?id=191
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\U8R46S~1.DLL
O4 - HKLM\..\Run: [KEWelcomeReBoot] D:\welcome_S500.exe
O4 - HKLM\..\Run: [Anonym im Internet] C:\Programme\XP-Kraftpaket\Anonym im Internet\ANONYM.exe -TRAY
O4 - HKLM\..\Run: [Zone system] C:\WINDOWS\szchost.exe [Trojan.Mercurycas.A]
O4 - HKLM\..\Run: [Control handler] C:\WINDOWS\ahjinst.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - Trusted Zone: *.greg-search.com
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://greg-tut.com/G7/chm9.chm::/file1.exe

neustarten

#Deinstalliere:
C:\Programme\XP-Kraftpaket\Anonym im Internet\ANONYM.exe -TRAY

#Oeffne das HijackThis
HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:
C:\WINDOWS\System32\U8R46S~1.DLL <PC neustarten

#Das machst du mit:
<D:\welcome_S500.exe
<C:\WINDOWS\szchost.exe
<C:\WINDOWS\ahjinst.exe

Suche und loesche: file1.exe

Internetexplorer reinigen:
1. Klicken Sie in der Menüzeile des Internet Explorers auf Extras und Internet-Optionen.
2. Auf der Registerkarte Allgemein klicken Sie im Bereich Temporäre Internetdateien auf den Button Cookies löschen.
3.Temporaere Internet-Dateien<Dateien loeschen

#CWShredder 1.59
http://www.chip.de/downloads/c_downloads_11353799.html
WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen

# AboutBuster
www.malwarebytes.biz/AboutBuster.zip
Alle Dateien in einen Ordner entpacken, die Readme Datei lesen, dann das Programm ausführen (evtl auch im abgesicherten Modus)

#AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen

#TraXEx 2.2 ist ein zuverlässiges Sicherheits-Programm für alle aktuellen Internet-Browser und Windows.
TraXEx löscht Spuren, die Ihr Internet-Browser beim Surfen auf Ihrem PC hinterläßt und durch jedermann, der Zutritt zu Ihrem Computer hat, ausgewertet werden können.
http://www.almisoft.de/traxex2.htm

#Datentraegerbereinigung: und Loeschen der Temporary-Dateien
<Start<Ausfuehren<cleanmgr
#Click Temporary Internet Files, O.K
#Temporary Files, O.K

#Testversion "Antivirus Personal 5.0"
http://www.kaspersky.com/trials

#deaktiviere die Wiederherstellung
«XP
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

und poste das Log noch mal (stelle vorher eine neue Startseite ein)

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 26.10.2004 um 00:44 Uhr von Sabina editiert.
Seitenanfang Seitenende
26.10.2004, 14:17
ruderudi
...neu hier

Beiträge: 4
#29 Hi Leute! Kann mir bitte auch jemand helfen? Wäre supernett!

Hier mein Log:

Logfile of HijackThis v1.98.2
Scan saved at 14:09:08, on 26.10.04
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v5.50 SP1 (5.50.4522.1800)

Running processes:
C:\DIR00002\SYSTEM\KERNEL32.DLL
C:\DIR00002\SYSTEM\MSGSRV32.EXE
C:\DIR00002\SYSTEM\MPREXE.EXE
C:\DIR00002\SYSTEM\MSTASK.EXE
C:\DIR00002\SYSTEM\mmtask.tsk
C:\DIR00002\TASKMON.EXE
C:\DIR00002\SYSTEM\SYSTRAY.EXE
C:\DIR00002\STARTER.EXE
C:\PROGRAMME\MICROSOFT MONEY\SYSTEM\REMINDER.EXE
C:\DIR00002\SYSTEM\DDHELP.EXE
C:\PROGRAMME\MIL INCORPORATED\MIL SHIELD\SHIELDWORKER.EXE
C:\DIR00002\EXPLORER.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\WINRAR\WINRAR.EXE
C:\DIR00002\TEMP\RAR$EX02.838\HIJACKTHIS.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://super-spider.com/sp.htm?id=632
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://super-spider.com/sp.htm?id=632
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=632
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://super-spider.com/sp.htm?id=632
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://mypoiskovik.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://mypoiskovik.com/index.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.web.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.btx.dtag.de:80
F1 - win.ini: run=C:\DIR00002\hpfsched.exe
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\DIR00002\SYSTEM\2XKY8D~1.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\DIR00002\SYSTEM\MSDXM.OCX
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAMME\YAHOO!\MESSENGER\YCOMP.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\DIR00002\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\DIR00002\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [WindowsUpdate] C:\DIR00002\winv.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\DIR00002\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [jopa] C:\DIR00002\SYSTEM\SYSSTARTUP.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\DIR00002\SYSTEM\mstask.exe
O4 - HKCU\..\Run: [Reminder] C:\Programme\Microsoft Money\System\reminder.exe
O4 - HKCU\..\Run: [my-playlist] "C:\Programme\my-playlist\my-playlist.exe" /Autostart
O4 - HKCU\..\Run: [Uninstal] regsvr32 /u /s image.dll
O4 - HKCU\..\Run: [romahere2] C:\DIR00002\SYSTEM\CGY4945MS1C1E.EXE
O4 - HKCU\..\Run: [XSC SIP Client] "C:\PROGRAMME\X-LITE\X-LITE.EXE"
O4 - HKCU\..\Run: [MilShieldSlave] "C:\Programme\Mil Incorporated\Mil Shield\ShieldWorker.exe" -logon
O4 - Startup: MSN Blitz-Menü.lnk = C:\Programme\Plus!\SYSAGENT.EXE
O9 - Extra button: Player! - {C377C94E-5A4F-11d3-940D-00001CD3D236} - C:\PROGRAMME\DATANGO\PLAYER\DATANGOPLAYER.DLL (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\DIR00002\SYSTEM\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\DIR00002\SYSTEM\MSJAVA.DLL
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRAMME\YAHOO!\MESSENGER\YPAGER.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRAMME\YAHOO!\MESSENGER\YPAGER.EXE
O9 - Extra button: XM2002® - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - C:\PROGRAMME\IPPS\XM2002®\XM2002.exe (file missing)
O9 - Extra 'Tools' menuitem: &XM2002® - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - C:\PROGRAMME\IPPS\XM2002®\XM2002.exe (file missing)
O12 - Plugin for .pcg: C:\PROGRA~1\INTERN~1\PLUGINS\nppcgplg.dll
O12 - Plugin for .pca: C:\PROGRA~1\INTERN~1\Plugins\nppcaplg.dll
O15 - Trusted Zone: *.greg-search.com
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://apple.speedera.net/qtinstall.info.apple.com/sikes/de/win/QuickTimeInstaller.exe
O16 - DPF: {00000000-663f-49e8-bdf6-f26db51c7dd5} -
O16 - DPF: {103DFAE7-50CC-41FC-9D57-1A4BCA0DFD87} (Upload Control) - https://img.web.de/v/mail/mms/activex/mms_upload_1104.cab
O16 - DPF: {BD092CD7-AA66-4FF6-8CE1-D4E01489ED2B} (VacPro.UserControl1) - http://www.7adpower.com/dialer/EMSAT.CAB
O16 - DPF: {D67AC55A-B750-41A4-BEE6-020E017A7996} (IEPlugIn Class) - http://www.popfile.de/myplaylist/pc/MY-PLAYLIST-WEBINSTALLER_loader.exe
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = HOUSE
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 194.25.2.129,217.5.115.7
Seitenanfang Seitenende
26.10.2004, 15:45
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#30 Hallo@ruderudi

Gehe in die Registry

Loesche :

HKEY_CLASSES_ROOT\clsid\{467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E}
HKEY_CLASSES_ROOT\clsid\{467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E}
HKEY_CLASSES_ROOT\clsid\{467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ romahere2
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run\romahere2

schliesse die Registry

Oeffne das HijackThis<scan<hakean< fix< PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://super-spider.com/sp.htm?id=632
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://super-spider.com/sp.htm?id=632
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=632
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://super-spider.com/sp.htm?id=632
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://mypoiskovik.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://mypoiskovik.com/index.htm
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\DIR00002\SYSTEM\2XKY8D~1.DLL [Trojan.Small]
O4 - HKLM\..\Run: [WindowsUpdate] C:\DIR00002\winv.exe [Trojaner "Small.I.DL]
O4 - HKLM\..\Run: [jopa] C:\DIR00002\SYSTEM\SYSSTARTUP.EXE [Trojan.Win32.Krepper.p]
O4 - HKCU\..\Run: [Uninstal] regsvr32 /u /s image.dll
O4 - HKCU\..\Run: [romahere2] C:\DIR00002\SYSTEM\CGY4945MS1C1E.EXE [Trojan.Small]
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file
O9 - Extra button: XM2002® - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - C:\PROGRAMME\IPPS\XM2002®\XM2002.exe (file missing)
O9 - Extra 'Tools' menuitem: &XM2002® - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - C:\PROGRAMME\IPPS\XM2002®\XM2002.exe (file missing)
O15 - Trusted Zone: *.greg-search.com
O16 - DPF: {00000000-663f-49e8-bdf6-f26db51c7dd5} -
O16 - DPF: {BD092CD7-AA66-4FF6-8CE1-D4E01489ED2B} (VacPro.UserControl1) - http://www.7adpower.com/dialer/EMSAT.CAB
O16 - DPF: {D67AC55A-B750-41A4-BEE6-020E017A7996} (IEPlugIn Class) - http://www.popfile.de/myplaylist/pc/MY-PLAYLIST-WEBINSTALLER_loader.exe

neustarten

#oeffne das HijackThis:
<HijackThis<Config<Misc Tools<Delete a file on reboot<<reinkopieren:
C:\DIR00002\SYSTEM\2XKY8D~1.DLL <PC neustarten

<HijackThis<Config<Misc Tools<Delete a file on reboot<<reinkopieren:
C:\DIR00002\winv.exe <PC neustarten

<HijackThis<Config<Misc Tools<Delete a file on reboot<<reinkopieren:
C:\DIR00002\SYSTEM\SYSSTARTUP.EXE <PC neustarten

<HijackThis<Config<Misc Tools<Delete a file on reboot<<reinkopieren:
C:\DIR00002\SYSTEM\CGY4945MS1C1E.EXE <PC neustarten

<suche und loesche den Dialer:
EMSAT.CAB

#CWShredder 1.59
http://www.chip.de/downloads/c_downloads_11353799.html
WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!.

# AboutBuster
www.malwarebytes.biz/AboutBuster.zip

Lade Antivirus
#Antivirus (free)
http://www.free-av.de/

Internetexplorer reinigen:
1. Klicken Sie in der Menüzeile des Internet Explorers auf Extras und Internet-Optionen.
2. Auf der Registerkarte Allgemein klicken Sie im Bereich Temporäre Internetdateien auf den Button Cookies löschen.
3.Temporaere Internet-Dateien<Dateien loeschen

#saeubere den PC (tools<Registry saeubern<alles durchfuehren<;)
#RegCleaner (Deutsch)
http://www.chip.de/downloads/c_downloads_8830516.html

#Internet Explorer 6 Service Pack 1
http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=1E1550CB-5E5D-48F5-B02B-20B602228DE6

Dann stelle eine neue Startseite ein und poste das Log noch mal.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 26.10.2004 um 16:07 Uhr von Sabina editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: