SearchUpgrader.exe und vieleicht auch mehr. |
||
---|---|---|
#0
| ||
08.11.2004, 17:20
...neu hier
Beiträge: 6 |
||
|
||
09.11.2004, 13:32
Ehrenmitglied
Beiträge: 29434 |
#17
hallo@nelly2003
Fixe: O8 - Extra context menu item: Subscribe in Desktop Sidebar - res://D:\Programme\Desktop Sidebar\sbhelp.dll/menuhandler.html neustarten Loesche: D:\Programme\Desktop Sidebar\ D:\Programme\Desktop Sidebar\sbhelp.dll D:\Programme\Desktop Sidebar\sbhelp.dll/menuhandler.html mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
19.11.2004, 23:35
...neu hier
Beiträge: 6 |
#18
Hallo Sabine,
so mein PC läuft jetzt wieder super. Nur habe ich noch ein Problem. In meiner Software wird das Programm "HPChanger" angezeit. Kenne das Programm nicht und es lässt sich leider auch nicht entfernen. Immer wenn ich es löschen möchte, kommt ein Fenster mit "Please reboot your system". Nach dem Neustart ist der Eintrag leider immer noch da. Hast du ebtl. Rat wie ich diesen Eintrag löschen kann? Bzw. weißt du was er bewirkt? Über Google bin ich leider nicht fündig geworden. Gruß nelly |
|
|
||
19.11.2004, 23:41
Ehrenmitglied
Beiträge: 29434 |
#19
Hallo@nelly2003
Gib HPChanger in die Suchfunktion von Windows ein und loesche dann alles mit: ->Löschen/mit der Killbox: KillBox http://www.bleepingcomputer.com/files/killbox.php (sieh auch in der Registry nach) mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
19.11.2004, 23:53
...neu hier
Beiträge: 6 |
#20
Hi,
vielen Dank für die schnelle Antowrt! Das Problem ist, dass ich über die Suche nichts finde! Keine einzige Datei..in der Registry hab ich auch nachgeguckt, leider auch nichts gefunden! Gibt es noch eine andere Möglickeit diesen Enitrag zu löschen? gruß nelly |
|
|
||
19.11.2004, 23:56
Ehrenmitglied
Beiträge: 6028 |
#21
http://www.4dev.com/addremove/index.htm
http://www.innovatools.com/deutsch/ __________ MfG Argus Dieser Beitrag wurde am 20.11.2004 um 00:00 Uhr von Arnold editiert.
|
|
|
||
20.11.2004, 00:05
...neu hier
Beiträge: 6 |
||
|
||
21.11.2004, 11:31
...neu hier
Beiträge: 4 |
#23
hallo!
ich hatte bzw. hab genau das gleiche problem im IE - die startseite naupoint.com. hab mich durch verschiedene foren gekämpft, bin den trojaner aber immer noch nicht los. der link zur aktuellen situation: http://www.informationsarchiv.net/foren/l_beitrag-11023-0-asc-0.html dazu ein aktuelles hijackthis-log: Logfile of HijackThis v1.98.2 Scan saved at 11:29:52, on 21.11.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\drivers\CDAC11BA.EXE C:\WINDOWS\SOUNDMAN.EXE D:\programme\jana2\janad.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\ahead\InCD\InCD.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\WINDOWS\System32\wisptis.exe C:\Programme\Opera\opera.exe D:\programme\HijackThis1.98.2\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orf.at/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.orf.at/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=80.108.252.196:3128;gopher=80.108.252.196:3128;http=80.108.252.196:3128;https=80.108.252.196:3128;socks=80.108.252.196:1080 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 80.108.252.196;127.0.0.1;localhost;<local> O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Programme\ahead\InCD\InCD.exe O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\beate\LOKALE~1\Temp\mwavscan.com" /s O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 [/url] |
|
|
||
21.11.2004, 11:42
Moderator
Beiträge: 7805 |
#24
Nach dem Schreibstil von "nikita" zu urteilen, ist das unsere "Sabina" also denke ich, das sie das schon in den Griff bekommen wird.
Uebrigens sieht dein Log doch ganz gut aus. Was fuer ein Problem besteht denn noch? __________ MfG Ralf SEO-Spam Hunter |
|
|
||
21.11.2004, 11:54
...neu hier
Beiträge: 4 |
#25
naja, ich kann den rechner mit installiertem virenscanner nicht booten!
zumindest nicht in den normalen modus, nur in den abgesicherten. wenn ich nun ihn nun im normalen modus hochfahre und vor dem online-gehen den kaspersky installiere, folgt, sobald ich das virenprogramm upgedated hab, kasperskys meldung, dass der Zugriff auf C:\....\Temp\tempchngr.exe verweigert wurde, weil mit Virus Trojan Dropper.Win32.Small.mi infiziert! ich lass kaspersky zwar jedesmal löschen, aber same story beim nächsten versuch. diese tempchngr.exe lässt sich beim suchen auch gar nicht ausmachen. stand der dinge ist jedenfalls, dass ich den rechner auf normalem wege nur zum hochfahren bringe, solange KEIN VIRENPROGRAMM installiert ist. gruß, s+l[/b] |
|
|
||
21.11.2004, 12:36
Moderator
Beiträge: 7805 |
#26
Im Abgesicherten Modus die Datentraegerbereinigung shon gemaht?
http://support.microsoft.com/default.aspx?scid=kb;de;315246 und dies: http://www.ish.de/service/internet/technikinfo/cache-leeren.html und mal ueber Start Ausfuehren %temp% eingeben, Enter druecken und alles in dem Ordner loeschen, welcher AUfpopt! __________ MfG Ralf SEO-Spam Hunter |
|
|
||
21.11.2004, 12:39
...neu hier
Beiträge: 4 |
#27
datenträgerbereinigung hab ich noch nicht probiert, weil klingt so gefährlich....
es ist nämlich so, dass ich ein netzwerk installiert hab und den rechner deshalb ungern neu aufsetzen möchte, es sei denn es ist tatsächlich unumgänglich. dank Dir jedenfalls für die tipps, ich werd's ausprobieren und dann berichten! |
|
|
||
21.11.2004, 13:10
Moderator
Beiträge: 7805 |
#28
Ich habe deine ganzen Threads zwar nicht durchgelesen( ausser, das ich mit den Jungs vom TB einer Meinung binn, naelich Kiste Platmachen), aber hast du den uninstaller von naupoint.com schon probiert?
Im Zweifelsfalle mir mal die tempchngr.exe und versuche nochmal auf verdacht diesen Cleaner: http://securityresponse1.symantec.com/sarc/sarc-intl.nsf/html/de-backdoor.agent.b.removal.tool.html?Open __________ MfG Ralf SEO-Spam Hunter |
|
|
||
21.11.2004, 13:12
Ehrenmitglied
Beiträge: 29434 |
#29
Mit einer Datentraegerbereinigung (oder manuell) muesste man das loeschen koennen:
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temp\*.* spezifischer Pfad: C:\Dokumente und Einstellungen\beate\Lokale Einstellungen\Temp\tempchngr.exe Datentraegerbereinigung: und Löschen der Temporary-Dateien <Start<Ausfuehren<cleanmgr nur loeschen; #Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k. #Click:Temporäre Dateien, o.k mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 21.11.2004 um 13:14 Uhr von Sabina editiert.
|
|
|
||
21.11.2004, 20:35
...neu hier
Beiträge: 4 |
#30
hei, da bin ich wieder.
geändert hat sich am stand der dinge immer noch nix, obwohl ich alle eure tipps befolgt hab. tmp-files sind gelöscht, wobei KEIN "tempchngr.exe" aufzufinden war. auch dieses backdoor.agent.b-entfernungsprogramm hat nichts gefunden: Zitat Symantec Backdoor.Agent.B Removal Tool 1.0.1.2wobei ich glaube, das programm schon mal benutzt zu haben, als ich vor ca. einem jahr erstmals XP aufgesetzt bekam und nicht darüber informiert wurde, dass es dermaßen netz-unsicher ist und man sich schleunigst die neuesten (viren-)updates downloaden soll! damals hab ich mir gleich diesen "agbot-virus" eingefangen, aber mittels eines entfernungsprogrammes wieder beseitigt. seither gabs nie mehr probleme, das ganze jahr über nicht, obwohl norton anti-virus eine kopie in einem eigenen, gesicherten ordner abgelegt hatte.... wie ich nun im zuge dieser probleme mit der Start Page search.naupoint.com bzw. Trojan Dropper.Win32.Small.mi festgestellt hab. nachdem ich alle ratschläge befolgt, der hijackthis-log in ordnung zu sein scheint, beim kaspersky- und escan-virus-check kein virus gefunden wird und auch das backdoor.agent.b-entfernungsprogramm nichts bedenkliches äußert, ich aber IMMER NOCH NICHT BOOTEN KANN, solange ein virusprogramm installiert ist, kenne ich mich nun gar nicht mehr aus. lg, soleluna PS: kaspersky hat bislang auch keinen entdeckten trojan dropper mehr gemeldet. |
|
|
||
habe alles so gemacht wie oben beschrieben. Hier das neue Log:
Logfile of HijackThis v1.98.2
Scan saved at 17:18:16, on 08.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
C:\Programme\Gemeinsame Dateien\Nokia\Tools\NclTray.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\WinFast\WFTVFM\WFWIZ.exe
C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
D:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
D:\MSI\PC Alert 4\PCAlert4.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
D:\Programme\GIANT Company Software\GIANT AntiSpyware\gcasDtServ.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
D:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
D:\PROGRA~1\TOBITC~1\Server\ClipInc-Server.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Downloads\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\Tools\NclTray.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [WinFast Schedule] C:\Programme\WinFast\WFTVFM\WFWIZ.exe
O4 - HKLM\..\Run: [iTunesHelper] D:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [gcasServ] "D:\Programme\GIANT Company Software\GIANT AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: PC Alert 4.lnk = D:\MSI\PC Alert 4\PCAlert4.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Download with GetRight - D:\Fun Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - D:\Fun Programme\GetRight\GRbrowse.htm
O8 - Extra context menu item: Subscribe in Desktop Sidebar - res://D:\Programme\Desktop Sidebar\sbhelp.dll/menuhandler.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROProj.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/01a533f7b49a70b4b816/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1096205542328
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab
Gruß nelly