Üble Malware hat sich festgesetzt |
||
---|---|---|
#0
| ||
12.10.2004, 09:34
Member
Beiträge: 69 |
||
|
||
16.12.2004, 19:20
...neu hier
Beiträge: 4 |
#17
hey, ich hoffe ihr könnt mir auch helfen...
ist im grunde das gleiche problem wie alle anderen auch haben.. aber ich find einfach keine lösung.. hab auch richfind probleme und sowas.. hab aber vor kurzem erst formatiert, dann sofort norton drauf, neuste versi, u spyware remover und dann das hijack programm laufen lassen.. findet natürlich auch solche einträge von richfind, aber kann sie nur im abgesichterten modus löschen, aber kommen dann immer wieder... ich kann euch mal die log.. dazuschicken...also wär echt klasse wenn ihr mir helfen könntet.. ich weiss net mehr, was ich da noch machen soll.. danke schonmal im vorraus.. hier ist log.......... Logfile of HijackThis v1.98.2 Scan saved at 19:19:22, on 16.12.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Winamp\winampa.exe C:\WINDOWS\System32\NVATray.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\D-Tools\daemon.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Cherry\KeyMan\KeyMan.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Norton AntiVirus\SAVScan.exe C:\WINDOWS\System32\nlsfuncs.exe C:\WINDOWS\System32\openconf.exe C:\Programme\Winamp\winamp.exe C:\Programme\eMule\emule.exe C:\Programme\Internet Explorer\iexplore.exe C:\dl\hijackthis_198\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.richfind.com/ie/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.richfind.com/ie/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.richfind.com/home/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.richfind.com/ie/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.richfind.com/ie/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.richfind.com/home/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.richfind.com/ie/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.richfind.com/ie/ R3 - URLSearchHook: Richfind - {1D259E03-FC4C-487A-A55F-4F1DF576CE74} - C:\WINDOWS\System32\Q7379050.dll O2 - BHO: Richfind - {59C63629-9B34-4367-B9CA-B24FA2044096} - C:\WINDOWS\System32\Q7379050.dll O3 - Toolbar: Richfind - {5DA3A7E2-C525-4F1C-AF3E-3CF5625CC5E6} - C:\WINDOWS\System32\Q7379050.dll O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [NVIDIA nForce APU1 Utilities] NVATray.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [CherryKeyMan] C:\Programme\Cherry\KeyMan\KeyMan.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Steam] C:\spiele\steam\Steam.exe -silent O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O9 - Extra button: Richfind - {5DA3A7E2-C525-4F1C-AF3E-3CF5625CC5E6} - C:\WINDOWS\System32\Q7379050.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O15 - Trusted Zone: http://*.63.219.181.7 O15 - Trusted Zone: http://*.search-soft.net O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} (Moniker32 Class) - http://63.219.181.7/cax.cab O18 - Filter: text/html - {61439AE4-A32D-4EC9-AC3B-FC6D891D75F5} - C:\WINDOWS\System32\Q7379050.dll O18 - Filter: text/plain - {61439AE4-A32D-4EC9-AC3B-FC6D891D75F5} - C:\WINDOWS\System32\Q7379050.dll dazu öffnet sich dann in meiner leiste unten immer son fake von wegen beste antspy programm laden oder son quatsch.. naja danke wenn ihr mir helfen könnt!!!!!! cu |
|
|
||
16.12.2004, 22:08
...neu hier
Themenstarter Beiträge: 8 |
#18
also als ich mir richfind eingefangen hab half damals nur komplette neuinstallation von Windows.
ging wesentlich schneller als alle programme über den pc laufen zu lassen und dan noch in der registry rumforschen nur um dann ebenfalls fest zu stellen, dass alle Registry-Einträge wieder da sind! das kan sehr demotivierend sein irgendwie merken die bei richfind deine adresse oder sonst irgendwas, und installieren alles immer wieder neu!!! aber seit ich den pc neu aufgesetzt habe, null problemo mehr. nun ja. ich bein kein experte, vielleicht hat ja sonst jemand 'nen klugen Rat. macht ja auch nicht immer spass alle dateien zu backupen und wieder 2-3 Stunden um den PC neu auf zu setzen und alles wieder einrichten (dieses Windows Update geht ja sooooooooo verdammt lang! das ist was ich dir sagen kann. good luck |
|
|
||
17.12.2004, 03:10
Ehrenmitglied
Beiträge: 29434 |
#19
Hallo@trulli4ever
Deaktivieren Wiederherstellung «XP http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.richfind.com/ie/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.richfind.com/ie/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.richfind.com/home/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.richfind.com/ie/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.richfind.com/ie/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.richfind.com/home/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.richfind.com/ie/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.richfind.com/ie/ R3 - URLSearchHook: Richfind - {1D259E03-FC4C-487A-A55F-4F1DF576CE74} - C:\WINDOWS\System32\Q7379050.dll O2 - BHO: Richfind - {59C63629-9B34-4367-B9CA-B24FA2044096} - C:\WINDOWS\System32\Q7379050.dll O3 - Toolbar: Richfind - {5DA3A7E2-C525-4F1C-AF3E-3CF5625CC5E6} - C:\WINDOWS\System32\Q7379050.dll O4 - HKLM\..\Run: [CherryKeyMan] C:\Programme\Cherry\KeyMan\KeyMan.exe O9 - Extra button: Richfind - {5DA3A7E2-C525-4F1C-AF3E-3CF5625CC5E6} - C:\WINDOWS\System32\Q7379050.dll O15 - Trusted Zone: http://*.63.219.181.7 O15 - Trusted Zone: http://*.search-soft.net O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} (Moniker32 Class) - http://63.219.181.7/cax.cab O18 - Filter: text/html - {61439AE4-A32D-4EC9-AC3B-FC6D891D75F5} - C:\WINDOWS\System32\Q7379050.dll O18 - Filter: text/plain - {61439AE4-A32D-4EC9-AC3B-FC6D891D75F5} - C:\WINDOWS\System32\Q7379050.dll neustarten -->Löschen/mit der Killbox: KillBox geh auf Delete File on Reboot und klick auf das rote Kreuz, wenn gefragt wird, ob reboot-> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" http://www.bleepingcomputer.com/files/killbox.php C:\WINDOWS\System32\Q7379050.dll C:\WINDOWS\System32\nlsfuncs.exe C:\WINDOWS\System32\openconf.exe PC neustarten Datenträgerbereinigung: und Löschen der Temporary-Dateien <Start<Ausfuehren--> reinschreiben : cleanmgr loesche nur: #Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k. #Click:Temporäre Dateien, o.k #neue Startseite gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein 1) lade rem.zip Rem.zip http://users.pandora.be/bluepatchy/www/rem.zip 2) entpacke es im verzeichnis C:\WINDOWS\System32\ (es ist wichtig, dass es in diesem verzeichnis ist!) 3) starte den rechner im abgesicherten modus. http://www.tu-berlin.de/www/software/virus/savemode.shtml 4) starte die datei rem.bat, scannen lassen. 5) starte den rechner anschließend im normalen modus. 6) unter C:\ sollte nun eine datei namens log.txt zu finden sein. 7) markiere den inhalt und füge ihn hier ein. erstelle ein aktuelles HijackThis log und poste es mit der log.txt von rem. HijackThis/1.99 BETA Version Download: http://www.merijn.org/files/beta/hijackthis199_beta.zip Alternativ: http://www.hijackthis.de/downloads/...his199_beta.zip __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 17.12.2004 um 03:14 Uhr von Sabina editiert.
|
|
|
||
27.12.2004, 18:54
...neu hier
Beiträge: 4 |
#20
hey, danke sabina, für die hilfe..
aber ganz ehrlich, es hat nichts geholfen.. es kommt wirklich immer alles wieder..hier.. ich kann dir nochmal log schicken.. aber ist im grunde immer das gleiche.. kommt halt immer wieder Logfile of HijackThis v1.98.2 Scan saved at 18:53:35, on 27.12.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Winamp\winampa.exe C:\WINDOWS\System32\NVATray.exe C:\Programme\ICQLite\ICQLite.exe C:\PROGRA~1\eScan\TRAYSSER.EXE C:\Programme\D-Tools\daemon.exe C:\PROGRA~1\eScan\avpm.exe C:\Programme\Cherry\KeyMan\KeyMan.exe C:\WINDOWS\System32\nvsvc32.exe C:\PROGRA~1\eScan\MAILDISP.EXE C:\PROGRA~1\eScan\TRAYICOS.EXE C:\PROGRA~1\eScan\AVPMWrap.EXE C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\System32\ctfmon.exe C:\spiele\steam\steam.exe C:\WINDOWS\System32\?hkntfs.exe C:\PROGRA~1\eScan\SPOOLER.EXE C:\PROGRA~1\eScan\MAILSCAN.EXE C:\PROGRA~1\eScan\kavss.exe C:\PROGRA~1\eScan\AvpM.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\Winamp\winamp.exe C:\dl\hijackthis_198\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.bestsearch.name/index.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.bestsearch.name/search.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.richfind.com/ie/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.richfind.com/ie/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.richfind.com/ie/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.bestsearch.name/search.html R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.bestsearch.name/search.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.bestsearch.name/index.html R3 - URLSearchHook: Search - {CC713437-3204-4F9A-A8F6-BAE567236C2E} - C:\WINDOWS\System32\Q45162900.dll (file missing) R3 - URLSearchHook: Search - {5FD7CD24-4B25-45CE-938B-CF9C10EA9893} - C:\WINDOWS\System32\Q23494022.dll (file missing) R3 - URLSearchHook: Search - {9444A24C-C84E-4F24-9133-DC799D8ED893} - C:\WINDOWS\System32\Q23494022.dll (file missing) R3 - URLSearchHook: Search - {4EF608B5-7F4F-4431-BCA6-F5630DDD6EFB} - C:\WINDOWS\System32\Q23494022.dll (file missing) R3 - URLSearchHook: Search - {5C624969-D0FE-48DC-A144-EC55DF253E90} - C:\WINDOWS\System32\Q23494022.dll (file missing) R3 - URLSearchHook: Search - {320D44D6-355F-4538-8CF6-C7D920ACE344} - C:\WINDOWS\System32\Q23494022.dll (file missing) R3 - URLSearchHook: Search - {54DB6C1B-DEE9-4F66-A2A8-442ACD364B83} - C:\WINDOWS\System32\Q44359785.dll (file missing) R3 - URLSearchHook: Search - {10FFA519-ECB7-456E-A0D5-99A93FA55EF4} - C:\WINDOWS\System32\Q23494022.dll (file missing) O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [NVIDIA nForce APU1 Utilities] NVATray.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [CherryKeyMan] C:\Programme\Cherry\KeyMan\KeyMan.exe O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE" O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\eScan\AVPMWrap.EXE O4 - HKLM\..\Run: [Win32SystemMonitor] C:\WINDOWS\Frn.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Steam] "c:\spiele\steam\steam.exe" -silent O4 - HKCU\..\Run: [Ennmyvy] C:\WINDOWS\System32\?hkntfs.exe O4 - HKCU\..\Run: [Ttlr] C:\Dokumente und Einstellungen\Engelchen\Anwendungsdaten\ttar.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing O15 - Trusted Zone: http://*.63.219.181.7 O15 - Trusted Zone: *.blazefind.com O15 - Trusted Zone: *.clickspring.net O15 - Trusted Zone: *.crazywinnings.com O15 - Trusted Zone: *.flingstone.com O15 - Trusted Zone: *.mt-download.com O15 - Trusted Zone: *.my-internet.info O15 - Trusted Zone: http://*.search-soft.net O15 - Trusted Zone: *.searchbarcash.com O15 - Trusted Zone: *.searchmiracle.com O15 - Trusted Zone: *.skoobidoo.com O15 - Trusted Zone: *.slotch.com O15 - Trusted Zone: *.topconverting.com O15 - Trusted Zone: *.windupdates.com O15 - Trusted Zone: *.xxxtoolbar.com O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1103268142504 O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} (Loader2 Control) - http://static.topconverting.com/activex/loader2.ocx O17 - HKLM\System\CCS\Services\Tcpip\..\{9AB9D9F1-9B38-4187-9FCB-1789D92430C6}: NameServer = 69.50.166.94,69.31.80.244 O17 - HKLM\System\CCS\Services\Tcpip\..\{F5504B99-2876-426D-B23C-D4BF0E9352C9}: NameServer = 69.50.166.94,69.31.80.244 ich hab keine ahnung mehr... ich hoffe du hast noch ne idee, was ich tun kann, ausser zu formatieren..danke schonmal im vorraus |
|
|
||
27.12.2004, 20:08
Member
Beiträge: 1132 |
#21
Hi trulli4ever,
Zitat Platform: Windows XP (WinNT 5.01.2600)ohne Sabrina und den anderen Profis vorgreifen zu wollen: so lange Du Dein System ungepatcht läßt und im Net damit surfst, wirst Du den Müll immer wieder haben und die Mühe der Board-Profis mit Dir wird vergebens sein. Lade erst einmal alle Windows und IE-Sicherheits-Patches von der MS-Update-Seite herunter (wie das funktioniert findest Du mehrfach in diesem Board beschrieben) und versuche danach noch einmal eine Reinigung wie Sabrina sie Dir vorschlägt. Gruß Heron Edit: Natürlich mußt Du Deinen IE auch sicher konfigurieren. Die Anleitung dazu findest Du ebenfalls hier im Board. __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch Dieser Beitrag wurde am 27.12.2004 um 20:28 Uhr von Heron editiert.
|
|
|
||
27.12.2004, 20:35
Ehrenmitglied
Beiträge: 29434 |
#22
Hallo@trulli4ever
#Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK Deaktivieren Wiederherstellung «XP http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 Deinstalliere den eSCan wieder. ------------------------------------------------------------------------------------------------ Lade: mwav.exe http://bilder.informationsarchiv.net/Nikitas_Tools/ mwav.exe runterladen, die Datei in den Ordner c:\bases (wichtig!) entpacken und danach kavup.exe (Update- in DOS) ausführen 1) lade rem.zip Rem.zip http://users.pandora.be/bluepatchy/www/rem.zip 2) entpacke es im verzeichnis C:\WINDOWS\System32\ (es ist wichtig, dass es in diesem verzeichnis ist!) Start<Ausfuehren schreib rein: cmd DOS oeffnet sich kopiere rein: del C:\Dokumente und Einstellungen\Engelchen\Anwendungsdaten\ttar.exe klicke "enter" del C:\WINDOWS\System32\?hkntfs.exe klicke "enter" del C:\WINDOWS\Frn.exe klicke "enter" del c:\windows\downlaoded program files\loader2.ocx klicke "enter" regsvr32 /u c:\system32\Q23494022.dll klicke "enter" ........................................................................................................... #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.bestsearch.name/index.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.bestsearch.name/search.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.richfind.com/ie/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.richfind.com/ie/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.richfind.com/ie/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.bestsearch.name/search.html R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.bestsearch.name/search.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.bestsearch.name/index.html R3 - URLSearchHook: Search - {CC713437-3204-4F9A-A8F6-BAE567236C2E} - C:\WINDOWS\System32\Q45162900.dll (file missing) R3 - URLSearchHook: Search - {5FD7CD24-4B25-45CE-938B-CF9C10EA9893} - C:\WINDOWS\System32\Q23494022.dll (file missing) R3 - URLSearchHook: Search - {9444A24C-C84E-4F24-9133-DC799D8ED893} - C:\WINDOWS\System32\Q23494022.dll (file missing) R3 - URLSearchHook: Search - {4EF608B5-7F4F-4431-BCA6-F5630DDD6EFB} - C:\WINDOWS\System32\Q23494022.dll (file missing) R3 - URLSearchHook: Search - {5C624969-D0FE-48DC-A144-EC55DF253E90} - C:\WINDOWS\System32\Q23494022.dll (file missing) R3 - URLSearchHook: Search - {320D44D6-355F-4538-8CF6-C7D920ACE344} - C:\WINDOWS\System32\Q23494022.dll (file missing) R3 - URLSearchHook: Search - {54DB6C1B-DEE9-4F66-A2A8-442ACD364B83} - C:\WINDOWS\System32\Q44359785.dll (file missing) R3 - URLSearchHook: Search - {10FFA519-ECB7-456E-A0D5-99A93FA55EF4 O4 - HKLM\..\Run: [Win32SystemMonitor] C:\WINDOWS\Frn.exe O4 - HKCU\..\Run: [Ennmyvy] C:\WINDOWS\System32\?hkntfs.exe O4 - HKCU\..\Run: [Ttlr] C:\Dokumente und Einstellungen\Engelchen\Anwendungsdaten\ttar.exe O15 - Trusted Zone: http://*.63.219.181.7 O15 - Trusted Zone: *.blazefind.com O15 - Trusted Zone: *.clickspring.net O15 - Trusted Zone: *.crazywinnings.com O15 - Trusted Zone: *.flingstone.com O15 - Trusted Zone: *.mt-download.com O15 - Trusted Zone: *.my-internet.info O15 - Trusted Zone: http://*.search-soft.net O15 - Trusted Zone: *.searchbarcash.com O15 - Trusted Zone: *.searchmiracle.com O15 - Trusted Zone: *.skoobidoo.com O15 - Trusted Zone: *.slotch.com O15 - Trusted Zone: *.topconverting.com O15 - Trusted Zone: *.windupdates.com O15 - Trusted Zone: *.xxxtoolbar.com O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} (Loader2 Control) - http://static.topconverting.com/activex/loader2.ocx PC neustarten gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml Loesche: (mit der Killbox oder manuell) c:\windows\downlaoded program files\loader2.ocx C:\WINDOWS\System32\?hkntfs.exe C:\WINDOWS\Frn.exe C:\WINDOWS\System32\Q23494022.dll C:\Dokumente und Einstellungen\Engelchen\Anwendungsdaten\ttar.exe 4) starte die datei rem.bat,(aus dem rem.zip Ordner) scannen lassen. #und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen : Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory -->und "Scan " klicken. mache bitte folgendes: nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du infected ein jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw. und ganz unten steht die zusammenfassung, diese auch hier posten 5) starte den rechner anschließend im normalen modus. 6) unter C:\ sollte nun eine datei namens log.txt zu finden sein. 7) markiere den inhalt und füge ihn hier ein. Poste also die zwei Logs + das neue Log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 27.12.2004 um 20:45 Uhr von Sabina editiert.
|
|
|
||
würde ich nicht machen was moelbi da schreibt. Tue erst mal das was Sabina und Speedyweb Dir vorschlagen. Das ist der richtige Weg.
@ moelbi,
und wieso empfiehlst Du Dateien zu löschen die Du selber hast. (Und auch brauchst!)
brainbox
PS: Es lebe der Feuerfuchs!
__________
Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.0.4) Gecko/20060428 Firefox/1.5.0.4