Unfixbare Spyware-Dateien auch für HijackThis ?!?

#0
14.10.2004, 12:34
...neu hier

Beiträge: 2
#1 Hallo, ich bin den Anleitungen auf der tollen seite von www.hijackthis.de gefolgt und habe entsprechend den Bewertungen "unbekannt" über "evtl. böse" bis "böse" alles "gefixt". Zwei Dateien sind jedoch hartnäckig und wollen sich anscheinend nicht fixen lassen:

O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=

Weiß da jmd Bescheid?

lg, Thomas ;-)
Seitenanfang Seitenende
14.10.2004, 15:29
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo @SpywareOpfer

Vielleicht postest du mal das komplette Log vom HijackThis:

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 14.10.2004 um 15:30 Uhr von Sabina editiert.
Seitenanfang Seitenende
14.10.2004, 17:58
...neu hier

Themenstarter

Beiträge: 2
#3 Hallo Sabina ;-)

Klar, mach ich - wenn es denn weiterhilft... ?!?

Hier also das Post:


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\ACROBAT\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRA~1\AVPERS~1\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [CreativeMixer] C:\SBPCI\ctmix32.exe /T
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - Startup: Microsoft Office.lnk = C:\WINDOWS\Anwendungsdaten\Microsoft\Installer\{00030407-78E1-11D2-B60F-006097C998E7}\misc.exe
O4 - Startup: Acrobat Assistant.lnk = ?
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .mpl: C:\PROGRA~1\INTERN~1\PLUGINS\nppmin32.dll
O12 - Plugin for .swf: C:\Programme\Netscape\Communicator\Program\PLUGINS\npswf32.dll
O12 - Plugin for .ram: C:\Programme\Netscape\Communicator\Program\PLUGINS\nppl3260.dll
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll

O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=

O16 - DPF: {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - ms-its:mhtml:file://c:\explorer.mht!http://download.lansolution.net/rundlg32.chm::/rundlg32.cab
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.5.1
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\MSOPT.DLL


lG! ;-)
Dieser Beitrag wurde am 14.10.2004 um 18:00 Uhr von SpywareOpfer editiert.
Seitenanfang Seitenende
15.10.2004, 09:36
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Hallo @SpywareOpfer

Fixe mit dem HijackThis, dann neustarten:
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - Startup: Microsoft Office.lnk = C:\WINDOWS\Anwendungsdaten\Microsoft\Installer\{00030407-78E1-11D2-B60F-006097C998E7}\misc.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - ms-its:mhtml:file://c:\explorer.mht!http://download.lansolution.net/rundlg32.chm::/rundlg32.cab
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\MSOPT.DLL


neustarten

#Deinstalliere (unbedingt)
C:\Program Files\Internet Optimizer\optimize.exe"
und suche + loesche dann noch die <optimize.exe<

Gehe in die Registry
Start<Aussfuehren<regedit
und loesche rechts, falls es da ist:
# 'HKEY_LOCAL_MACHINE \ SOFTWARE \ Classes \ CLSID \ {B9D90B27-AD4A-413a-88CB-3E6DDC10DC2D}'
# 'HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Browser Helper Objects \ {B9D90B27-AD4A-413a-88CB-3E6DDC10DC2D}

#oeffne noch mal das HijackThis:
HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:C:\WINDOWS\MSOPT.DLL < und PC neustarten

#Datentraegerbereinigung: und Loeschen der Temporary-Dateien
Disk Cleanup Wizard
1. Start<Ausfuehren<cleanmgr
2. Click Temporary Internet Files, O.K

#suche und loesche (vielleicht in WinRar)
<rundlg32.cab< sowie eine rundlg32.dll

HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:rundlg32.dll <PC neustarten

# AboutBuster
www.malwarebytes.biz/AboutBuster.zip
Alle Dateien in einen Ordner entpacken, die Readme Datei lesen, dann das Programm ausführen (evtl auch im abgesicherten Modus)

#AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!.
Files, die Adaware findet, können bedenkenlos gelöscht werden.


#Das eScan AV Toolkit (mwav.exe) herunterladen,
Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives
<und "Scan clean" klicken.

<Öffne die mwav.log -> Bearbeiten -> Suchen ->
Wenn man infizierte Dateien in dem eScan Log finden will, sollte man nach infected suchen und die Eintraege hier posten,

Poste bitte auch das KOMPLETTE Log vom HijackThis.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 15.10.2004 um 09:42 Uhr von Sabina editiert.
Seitenanfang Seitenende