Üble Malware hat sich festgesetzt

#0
12.10.2004, 09:34
Member

Beiträge: 69
#16 @ Sebuko,

würde ich nicht machen was moelbi da schreibt. Tue erst mal das was Sabina und Speedyweb Dir vorschlagen. Das ist der richtige Weg.

@ moelbi,

und wieso empfiehlst Du Dateien zu löschen die Du selber hast. (Und auch brauchst!)

brainbox

PS: Es lebe der Feuerfuchs!
__________
Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.0.4) Gecko/20060428 Firefox/1.5.0.4
Seitenanfang Seitenende
16.12.2004, 19:20
...neu hier

Beiträge: 4
#17 hey, ich hoffe ihr könnt mir auch helfen...
ist im grunde das gleiche problem wie alle anderen auch haben..
aber ich find einfach keine lösung..
hab auch richfind probleme und sowas..
hab aber vor kurzem erst formatiert, dann sofort norton drauf, neuste versi, u spyware remover und dann das hijack programm laufen lassen..
findet natürlich auch solche einträge von richfind, aber kann sie nur im abgesichterten modus löschen, aber kommen dann immer wieder...
ich kann euch mal die log.. dazuschicken...also wär echt klasse wenn ihr mir helfen könntet..
ich weiss net mehr, was ich da noch machen soll..
danke schonmal im vorraus..
hier ist log..........


Logfile of HijackThis v1.98.2
Scan saved at 19:19:22, on 16.12.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\System32\NVATray.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Cherry\KeyMan\KeyMan.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\nlsfuncs.exe
C:\WINDOWS\System32\openconf.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\eMule\emule.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\dl\hijackthis_198\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.richfind.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.richfind.com/ie/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.richfind.com/home/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.richfind.com/ie/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.richfind.com/ie/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.richfind.com/home/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.richfind.com/ie/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.richfind.com/ie/
R3 - URLSearchHook: Richfind - {1D259E03-FC4C-487A-A55F-4F1DF576CE74} - C:\WINDOWS\System32\Q7379050.dll
O2 - BHO: Richfind - {59C63629-9B34-4367-B9CA-B24FA2044096} - C:\WINDOWS\System32\Q7379050.dll
O3 - Toolbar: Richfind - {5DA3A7E2-C525-4F1C-AF3E-3CF5625CC5E6} - C:\WINDOWS\System32\Q7379050.dll
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [NVIDIA nForce APU1 Utilities] NVATray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [CherryKeyMan] C:\Programme\Cherry\KeyMan\KeyMan.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] C:\spiele\steam\Steam.exe -silent
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: Richfind - {5DA3A7E2-C525-4F1C-AF3E-3CF5625CC5E6} - C:\WINDOWS\System32\Q7379050.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O15 - Trusted Zone: http://*.63.219.181.7
O15 - Trusted Zone: http://*.search-soft.net
O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} (Moniker32 Class) - http://63.219.181.7/cax.cab
O18 - Filter: text/html - {61439AE4-A32D-4EC9-AC3B-FC6D891D75F5} - C:\WINDOWS\System32\Q7379050.dll
O18 - Filter: text/plain - {61439AE4-A32D-4EC9-AC3B-FC6D891D75F5} - C:\WINDOWS\System32\Q7379050.dll

dazu öffnet sich dann in meiner leiste unten immer son fake von wegen beste antspy programm laden oder son quatsch..
naja danke wenn ihr mir helfen könnt!!!!!!
cu
Seitenanfang Seitenende
16.12.2004, 22:08
...neu hier

Themenstarter

Beiträge: 8
#18 also als ich mir richfind eingefangen hab half damals nur komplette neuinstallation von Windows.
ging wesentlich schneller als alle programme über den pc laufen zu lassen
und dan noch in der registry rumforschen nur um dann ebenfalls fest zu stellen,
dass alle Registry-Einträge wieder da sind! das kan sehr demotivierend sein;)
irgendwie merken die bei richfind deine adresse oder sonst irgendwas,
und installieren alles immer wieder neu!!!
aber seit ich den pc neu aufgesetzt habe, null problemo mehr.
nun ja. ich bein kein experte, vielleicht hat ja sonst jemand 'nen klugen Rat.
macht ja auch nicht immer spass alle dateien zu backupen
und wieder 2-3 Stunden um den PC neu auf zu setzen und alles wieder einrichten (dieses Windows Update geht ja sooooooooo verdammt lang!;)

das ist was ich dir sagen kann.
good luck
Seitenanfang Seitenende
17.12.2004, 03:10
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#19 Hallo@trulli4ever

Deaktivieren Wiederherstellung
«XP
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.richfind.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.richfind.com/ie/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.richfind.com/home/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.richfind.com/ie/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.richfind.com/ie/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.richfind.com/home/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.richfind.com/ie/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.richfind.com/ie/
R3 - URLSearchHook: Richfind - {1D259E03-FC4C-487A-A55F-4F1DF576CE74} - C:\WINDOWS\System32\Q7379050.dll
O2 - BHO: Richfind - {59C63629-9B34-4367-B9CA-B24FA2044096} - C:\WINDOWS\System32\Q7379050.dll
O3 - Toolbar: Richfind - {5DA3A7E2-C525-4F1C-AF3E-3CF5625CC5E6} - C:\WINDOWS\System32\Q7379050.dll
O4 - HKLM\..\Run: [CherryKeyMan] C:\Programme\Cherry\KeyMan\KeyMan.exe
O9 - Extra button: Richfind - {5DA3A7E2-C525-4F1C-AF3E-3CF5625CC5E6} - C:\WINDOWS\System32\Q7379050.dll
O15 - Trusted Zone: http://*.63.219.181.7
O15 - Trusted Zone: http://*.search-soft.net
O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} (Moniker32 Class) - http://63.219.181.7/cax.cab
O18 - Filter: text/html - {61439AE4-A32D-4EC9-AC3B-FC6D891D75F5} - C:\WINDOWS\System32\Q7379050.dll
O18 - Filter: text/plain - {61439AE4-A32D-4EC9-AC3B-FC6D891D75F5} - C:\WINDOWS\System32\Q7379050.dll

neustarten

-->Löschen/mit der Killbox:
KillBox
geh auf Delete File on Reboot und klick auf das rote Kreuz,
wenn gefragt wird, ob reboot-> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"
http://www.bleepingcomputer.com/files/killbox.php

C:\WINDOWS\System32\Q7379050.dll
C:\WINDOWS\System32\nlsfuncs.exe
C:\WINDOWS\System32\openconf.exe

PC neustarten

Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

1) lade rem.zip
Rem.zip http://users.pandora.be/bluepatchy/www/rem.zip

2) entpacke es im verzeichnis C:\WINDOWS\System32\
(es ist wichtig, dass es in diesem verzeichnis ist!)
3) starte den rechner im abgesicherten modus.
http://www.tu-berlin.de/www/software/virus/savemode.shtml
4) starte die datei rem.bat, scannen lassen.
5) starte den rechner anschließend im normalen modus.
6) unter C:\ sollte nun eine datei namens log.txt zu finden sein.
7) markiere den inhalt und füge ihn hier ein.

erstelle ein aktuelles HijackThis log und poste es mit der log.txt von rem.
HijackThis/1.99 BETA Version
Download: http://www.merijn.org/files/beta/hijackthis199_beta.zip
Alternativ: http://www.hijackthis.de/downloads/...his199_beta.zip
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 17.12.2004 um 03:14 Uhr von Sabina editiert.
Seitenanfang Seitenende
27.12.2004, 18:54
...neu hier

Beiträge: 4
#20 hey, danke sabina, für die hilfe..
aber ganz ehrlich, es hat nichts geholfen..
es kommt wirklich immer alles wieder..hier..
ich kann dir nochmal log schicken..
aber ist im grunde immer das gleiche..
kommt halt immer wieder


Logfile of HijackThis v1.98.2
Scan saved at 18:53:35, on 27.12.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\System32\NVATray.exe
C:\Programme\ICQLite\ICQLite.exe
C:\PROGRA~1\eScan\TRAYSSER.EXE
C:\Programme\D-Tools\daemon.exe
C:\PROGRA~1\eScan\avpm.exe
C:\Programme\Cherry\KeyMan\KeyMan.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\eScan\MAILDISP.EXE
C:\PROGRA~1\eScan\TRAYICOS.EXE
C:\PROGRA~1\eScan\AVPMWrap.EXE
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\ctfmon.exe
C:\spiele\steam\steam.exe
C:\WINDOWS\System32\?hkntfs.exe
C:\PROGRA~1\eScan\SPOOLER.EXE
C:\PROGRA~1\eScan\MAILSCAN.EXE
C:\PROGRA~1\eScan\kavss.exe
C:\PROGRA~1\eScan\AvpM.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Winamp\winamp.exe
C:\dl\hijackthis_198\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.bestsearch.name/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.bestsearch.name/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.richfind.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.richfind.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.richfind.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.bestsearch.name/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.bestsearch.name/search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.bestsearch.name/index.html
R3 - URLSearchHook: Search - {CC713437-3204-4F9A-A8F6-BAE567236C2E} - C:\WINDOWS\System32\Q45162900.dll (file missing)
R3 - URLSearchHook: Search - {5FD7CD24-4B25-45CE-938B-CF9C10EA9893} - C:\WINDOWS\System32\Q23494022.dll (file missing)
R3 - URLSearchHook: Search - {9444A24C-C84E-4F24-9133-DC799D8ED893} - C:\WINDOWS\System32\Q23494022.dll (file missing)
R3 - URLSearchHook: Search - {4EF608B5-7F4F-4431-BCA6-F5630DDD6EFB} - C:\WINDOWS\System32\Q23494022.dll (file missing)
R3 - URLSearchHook: Search - {5C624969-D0FE-48DC-A144-EC55DF253E90} - C:\WINDOWS\System32\Q23494022.dll (file missing)
R3 - URLSearchHook: Search - {320D44D6-355F-4538-8CF6-C7D920ACE344} - C:\WINDOWS\System32\Q23494022.dll (file missing)
R3 - URLSearchHook: Search - {54DB6C1B-DEE9-4F66-A2A8-442ACD364B83} - C:\WINDOWS\System32\Q44359785.dll (file missing)
R3 - URLSearchHook: Search - {10FFA519-ECB7-456E-A0D5-99A93FA55EF4} - C:\WINDOWS\System32\Q23494022.dll (file missing)
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NVIDIA nForce APU1 Utilities] NVATray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [CherryKeyMan] C:\Programme\Cherry\KeyMan\KeyMan.exe
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\eScan\AVPMWrap.EXE
O4 - HKLM\..\Run: [Win32SystemMonitor] C:\WINDOWS\Frn.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "c:\spiele\steam\steam.exe" -silent
O4 - HKCU\..\Run: [Ennmyvy] C:\WINDOWS\System32\?hkntfs.exe
O4 - HKCU\..\Run: [Ttlr] C:\Dokumente und Einstellungen\Engelchen\Anwendungsdaten\ttar.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing
O15 - Trusted Zone: http://*.63.219.181.7
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.crazywinnings.com
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: http://*.search-soft.net
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.topconverting.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.xxxtoolbar.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1103268142504
O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} (Loader2 Control) - http://static.topconverting.com/activex/loader2.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{9AB9D9F1-9B38-4187-9FCB-1789D92430C6}: NameServer = 69.50.166.94,69.31.80.244
O17 - HKLM\System\CCS\Services\Tcpip\..\{F5504B99-2876-426D-B23C-D4BF0E9352C9}: NameServer = 69.50.166.94,69.31.80.244

ich hab keine ahnung mehr...
ich hoffe du hast noch ne idee, was ich tun kann, ausser zu formatieren..danke schonmal im vorraus
Seitenanfang Seitenende
27.12.2004, 20:08
Member

Beiträge: 1132
#21 Hi trulli4ever,

Zitat

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
ohne Sabrina und den anderen Profis vorgreifen zu wollen: so lange Du Dein System ungepatcht läßt und im Net damit surfst, wirst Du den Müll immer wieder haben und die Mühe der Board-Profis mit Dir wird vergebens sein.
Lade erst einmal alle Windows und IE-Sicherheits-Patches von der MS-Update-Seite herunter (wie das funktioniert findest Du mehrfach in diesem Board beschrieben) und versuche danach noch einmal eine Reinigung wie Sabrina sie Dir vorschlägt.

Gruß
Heron

Edit:
Natürlich mußt Du Deinen IE auch sicher konfigurieren. Die Anleitung dazu findest Du ebenfalls hier im Board.
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Dieser Beitrag wurde am 27.12.2004 um 20:28 Uhr von Heron editiert.
Seitenanfang Seitenende
27.12.2004, 20:35
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#22 Hallo@trulli4ever

#Windows Explorer -> "Extras/Ordneroptionen" ->
"Ansicht" -> Haken entfernen bei "Geschützte Systemdateien
ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen"
aktivieren -> "OK


Deaktivieren Wiederherstellung
«XP
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

Deinstalliere den eSCan wieder.
------------------------------------------------------------------------------------------------
Lade: mwav.exe
http://bilder.informationsarchiv.net/Nikitas_Tools/
mwav.exe runterladen, die Datei in den Ordner c:\bases (wichtig!) entpacken und danach kavup.exe (Update- in DOS) ausführen

1) lade rem.zip
Rem.zip http://users.pandora.be/bluepatchy/www/rem.zip
2) entpacke es im verzeichnis C:\WINDOWS\System32\
(es ist wichtig, dass es in diesem verzeichnis ist!)

Start<Ausfuehren schreib rein: cmd
DOS oeffnet sich

kopiere rein:
del C:\Dokumente und Einstellungen\Engelchen\Anwendungsdaten\ttar.exe
klicke "enter"

del C:\WINDOWS\System32\?hkntfs.exe
klicke "enter"

del C:\WINDOWS\Frn.exe
klicke "enter"

del c:\windows\downlaoded program files\loader2.ocx
klicke "enter"

regsvr32 /u c:\system32\Q23494022.dll
klicke "enter"
...........................................................................................................
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.bestsearch.name/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.bestsearch.name/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.richfind.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.richfind.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.richfind.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.bestsearch.name/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.bestsearch.name/search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.bestsearch.name/index.html
R3 - URLSearchHook: Search - {CC713437-3204-4F9A-A8F6-BAE567236C2E} - C:\WINDOWS\System32\Q45162900.dll (file missing)
R3 - URLSearchHook: Search - {5FD7CD24-4B25-45CE-938B-CF9C10EA9893} - C:\WINDOWS\System32\Q23494022.dll (file missing)
R3 - URLSearchHook: Search - {9444A24C-C84E-4F24-9133-DC799D8ED893} - C:\WINDOWS\System32\Q23494022.dll (file missing)
R3 - URLSearchHook: Search - {4EF608B5-7F4F-4431-BCA6-F5630DDD6EFB} - C:\WINDOWS\System32\Q23494022.dll (file missing)
R3 - URLSearchHook: Search - {5C624969-D0FE-48DC-A144-EC55DF253E90} - C:\WINDOWS\System32\Q23494022.dll (file missing)
R3 - URLSearchHook: Search - {320D44D6-355F-4538-8CF6-C7D920ACE344} - C:\WINDOWS\System32\Q23494022.dll (file missing)
R3 - URLSearchHook: Search - {54DB6C1B-DEE9-4F66-A2A8-442ACD364B83} - C:\WINDOWS\System32\Q44359785.dll (file missing)
R3 - URLSearchHook: Search - {10FFA519-ECB7-456E-A0D5-99A93FA55EF4
O4 - HKLM\..\Run: [Win32SystemMonitor] C:\WINDOWS\Frn.exe
O4 - HKCU\..\Run: [Ennmyvy] C:\WINDOWS\System32\?hkntfs.exe
O4 - HKCU\..\Run: [Ttlr] C:\Dokumente und Einstellungen\Engelchen\Anwendungsdaten\ttar.exe
O15 - Trusted Zone: http://*.63.219.181.7
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.crazywinnings.com
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: http://*.search-soft.net
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.topconverting.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.xxxtoolbar.com
O16 - DPF: {79849612-A98F-45B8-95E9-4D13C7B6B35C} (Loader2 Control) - http://static.topconverting.com/activex/loader2.ocx

PC neustarten
gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

Loesche: (mit der Killbox oder manuell)
c:\windows\downlaoded program files\loader2.ocx
C:\WINDOWS\System32\?hkntfs.exe
C:\WINDOWS\Frn.exe
C:\WINDOWS\System32\Q23494022.dll
C:\Dokumente und Einstellungen\Engelchen\Anwendungsdaten\ttar.exe

4) starte die datei rem.bat,(aus dem rem.zip Ordner) scannen lassen.

#und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory
-->und "Scan " klicken.

mache bitte folgendes:
nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du infected ein

jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
und ganz unten steht die zusammenfassung, diese auch hier posten ;)

5) starte den rechner anschließend im normalen modus.
6) unter C:\ sollte nun eine datei namens log.txt zu finden sein.
7) markiere den inhalt und füge ihn hier ein.
Poste also die zwei Logs + das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 27.12.2004 um 20:45 Uhr von Sabina editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: