SearchUpgrader.exe und vieleicht auch mehr. |
||
---|---|---|
#0
| ||
21.10.2004, 14:36
...neu hier
Beiträge: 6 |
||
|
||
24.10.2004, 01:45
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo@Saul
Gehe in die Registry Start<Ausfuehren<regedit TROJ_IEFEATS.A Loesche folgende Schluessel, falls sie da sind: <HKEY_CLASSES_ROOT\iefeatsl.ViewSource <HKEY_CLASSES_ROOT\iefeatsl.ViewSource.1 <HKEY_CLASSES_ROOT\SearchHook.SearchHookObject <HKEY_CLASSES_ROOT\SearchHook.SearchHookObject.1 <HKEY_CLASSES_ROOT\CLSID\ {587DBF2D-9145-4c9e-92C2-1F953DA73773} <HKEY_CLASSES_ROOT\CLSID\ {FD9BC004-8331-4457-B830-4759FF704C22} <HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Explorer\ {587DBF2D-9145-4c9e-92C2-1F953DA73773} <HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Explorer\ {FD9BC004-8331-4457-B830-4759FF704C22} <HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Uninstall\iefeatsl <HKEY_CLASSES_ROOT\ae23.ae23Obj <HKEY_CLASSES_ROOT\ae23.ae23Obj.1 <HKEY_CLASSES_ROOT\CLSID\ {2E9CAFF6-30C7-4208-8807-E79D4EC6F806} <HKEY_CLASSES_ROOT\Interface\ {7B9A715E-9D87-4C21-BF9E-F914F2FA953F} <HKEY_CLASSES_ROOT\TypeLib\ {ED7A0B22-11D9-4F74-8C1D-0936EFA66B3D} <HKEY_CURRENT_USER\Software\d78ffc13 adware. KeenValue loesche die Eintraege rechts in der Registry: HKEY_CURRENT_USER\Software\Visicom Media\PWRS0RBI HKEY_LOCAL_MACHINE\SOFTWARE\eUniverse HKEY_LOCAL_MACHINE\SOFTWARE\KeenValue HKEY_LOCAL_MACHINE\SOFTWARE\updater Oeffne das HijackThjis, scan, hake an, was ich poste, dann <fix< und den PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.naupoint.com/toolbar/ie.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.naupoint.com/toolbar/ie.html R3 - URLSearchHook: PerfectNavBHO Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\2.bin\MYBAR.DLL O2 - BHO: 1096936232 - {262277EC-5BB5-4849-8BF2-1824330C9CAC} - (no file) O2 - BHO: (no name) - {2E9CAFF6-30C7-4208-8807-E79D4EC6F806} - C:\Program Files\Submit\submithook.dll [TROJ_IEFEATS.A] O2 - BHO: (no name) - {44FD0AF8-9D30-4E96-8ECE-306446B5E0D3} - C:\WINDOWS\DOWNLO~1\iEBINST2.dll O2 - BHO: (no name) - {4E7BD74F-2B8D-469E-95BE-B378BA9CB52D} - C:\WINDOWS\DOWNLO~1\NAUPOI~1.DLL O2 - BHO: (no name) - {60261C06-81B0-4DE0-9313-E5BA203A64E9} - C:\WINDOWS\DOWNLO~1\pdfmgr.dll O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\2.bin\MYBAR.DLL O3 - Toolbar: NAUPOINTBAR - {4E7BD74F-2B8D-469E-95BE-B378BA9CB52D} - C:\WINDOWS\DOWNLO~1\NAUPOI~1.DLL O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe" O16 - DPF: {44FD0AF8-9D30-4E96-8ECE-306446B5E0D3} (No description) - http://naupoint.com/toolbar/installer/iEBINST2.cab O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab neustarten Standardansicht in Windows Explorer anpassen, um ausgeblendete Ordner anzuzeigen. 1. Klicken Sie unter Start auf Arbeitsplatz. 2. Klicken Sie im Menü Extras auf Ordneroptionen. 3. Klicken Sie auf die Registerkarte Ansicht und anschließend auf Versteckte Dateien und Ordner. Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> "Alle Dateien und Ordner anzeigen" aktivieren #Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK" Suchfunktion von Windows: 1. "Bevorzugte Einstellungen ändern | Datei- und Ordnersuchverhalten ändern | Erweitert [...] Empfohlen für fortgeschrittene Benutzer" 2. Über "OK" auf "Weitere Optionen" gehen und die folgenden Optionen auswählen: [x] Systemordner durchsuchen [x] Versteckte Elemente durchsuchen [x] Unterordner durchsuchen Internetexplorer reinigen: 1. Klicken Sie in der Menüzeile des Internet Explorers auf Extras und Internet-Optionen. 2. Auf der Registerkarte Allgemein klicken Sie im Bereich Temporäre Internetdateien auf den Button Cookies löschen. 3.Temporaere Internet-Dateien<Dateien loeschen TROJ_IEFEATS.A #suche und loesche: Dokumente und Anwendungen\Application Data\iefeatsl dort muesstest du folgende Dateien finden, die alle zu loeschen sind: # DICT.DAT # KEYWORDS.DAT # MSIESH.NEW.EXE # SUBMIT2.EXE loeschen: # C:\Program Files\Submit\SUBMITHOOK.DLL # C:\Program Files\Submit\UNINSTALL.EXE # C:\Program Files\Submit\UNINSTALL.INI #Deinstalliere <C:\PROGRA~1\PERFEC <C:\Programme\MyWay\myBar <C:\Program Files\Submit <naupoint/toolbar <Visicom Media's ‘Dynamic Toolbar’ #oeffne noch mal das HijackThis: <HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren: C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL <PC neustarten <HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren: C:\Programme\MyWay\myBar\2.bin\MYBAR.DLL <PC neustarten <HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren: C:\Program Files\Submit\submithook.dll <PC neustarten das machst du mit: <C:\WINDOWS\DOWNLO~1\iEBINST2.dll <C:\WINDOWS\DOWNLO~1\NAUPOI~1.DLL <C:\WINDOWS\DOWNLO~1\pdfmgr.dll <C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe [Trojaner] <C:\Programme\Gemeinsame Dateien\GMT\GMT.exe [Trojaner] <C:\Programme\Common Files\SearchUpgrader [adware. KeenValue] <C:\Programme\Common files\updmgr\updmgr.exe __________________________________________________________________ Datentraegerbereinigung: und Loeschen der Temporary-Dateien Start<Ausfuehren<cleanmgr #Click Temporary Internet Files, O.K #Temporary Files # AboutBuster www.malwarebytes.biz/AboutBuster.zip Alle Dateien in einen Ordner entpacken, die Readme Datei lesen, dann das Programm ausführen (evtl auch im abgesicherten Modus) #AdAware (free) http://www.lavasoft.de/support/download/ VOR jedem Scanvorgang das Programm Updaten! WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!. Das eScan AV Toolkit (mwav.exe) herunterladen, http://www.rokop-security.de/board/index.php?showtopic=3867 * und danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen. (oder unter Start<Ausfuehren<%temp% die kavupd.exe suchen) und anklicken <gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen : Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives <und "Scan " klicken. <Öffne die mwav.log -> Bearbeiten -> Suchen -> Wenn man infizierte Dateien in dem eScan Log finden will, sollte man nach infected suchen und die Eintraege hier posten und das neue Log vom HijackThis. mfg Sabina **** http://www.doxdesk.com/parasite/KeenValue.html __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 24.10.2004 um 02:04 Uhr von Sabina editiert.
|
|
|
||
27.10.2004, 17:52
...neu hier
Themenstarter Beiträge: 6 |
#3
Boha echt danke für die Hilfe.
Ist mein PC so verseucht oder kommt mir es nur so vor ? Wegen den vielen Txt ? Und bei ausführen deiner anweisungen bin ich auf WebFindBandHook {68F2D3FC-8366-4a46-8224-58EFA2749425} in Microsoft...CurentVersion...Explorer gestossen. WebFindBandHook stinkt irgendiwe kan das sein ? Dieser Beitrag wurde am 27.10.2004 um 18:01 Uhr von Saul editiert.
|
|
|
||
27.10.2004, 17:58
Ehrenmitglied
Beiträge: 29434 |
||
|
||
27.10.2004, 18:07
...neu hier
Themenstarter Beiträge: 6 |
#5
Dann noch ne Frage.
Ich habe eben <HKEY_CLASSES_ROOT\ae23.ae23Obj <HKEY_CLASSES_ROOT\CLSID\ {2E9CAFF6-30C7-4208-8807-E79D4EC6F806} Gefunden und Wert gelöscht da ist aber noch dieser Ordner CLSID soll ich ihn komplett löschen ? oder nur den Inhalt ? Und neben Clsid gibt es noch den CurVers ordner soll der uach weg ? |
|
|
||
27.10.2004, 18:25
Ehrenmitglied
Beiträge: 29434 |
#6
Hallo@Saul
Loeschen: <HKEY_CLASSES_ROOT\CLSID\ {2E9CAFF6-30C7-4208-8807-E79D4EC6F806} Ws meinst du mit: CurVers ordner ? Mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
27.10.2004, 18:47
...neu hier
Themenstarter Beiträge: 6 |
#7
Ja da ist ein Ordner der so heisst er ist gleich neben dem CLSID.
Ob er weg muss. ---------------- oeffne noch mal das HijackThis: <HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren: C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL <PC neustarten <HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren: C:\Programme\MyWay\myBar\2.bin\MYBAR.DLL <PC neustarten <HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren: C:\Program Files\Submit\submithook.dll <PC neustarten das machst du mit: <C:\WINDOWS\DOWNLO~1\iEBINST2.dll <C:\WINDOWS\DOWNLO~1\NAUPOI~1.DLL <C:\WINDOWS\DOWNLO~1\pdfmgr.dll <C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe [Trojaner] <C:\Programme\Gemeinsame Dateien\GMT\GMT.exe [Trojaner] <C:\Programme\Common Files\SearchUpgrader [adware. KeenValue] <C:\Programme\Common files\updmgr\updmgr.exe Kan man sie nicht alle gleichzeitug einfügen und einmal Rebooten ? Und wie kopiert man es da rein ? Dieser Beitrag wurde am 27.10.2004 um 18:50 Uhr von Saul editiert.
|
|
|
||
27.10.2004, 18:55
Ehrenmitglied
Beiträge: 29434 |
#8
Hallo@Saul
1. Loesche den Eintrag in der Registry, von dem du berichtet hast. 2. Ich poste z. B. C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL Das kopierst du so, wie es ist, mit der Maus ab und kopierst es in deas Fenster, eas sich oefnet, wenn du <Delete a file on reboot<anklickst. Leider ist nur Platz fuer eine Datei und deshalb muss man alles einzeln loeschen und immer neustarten, denn waehrend des Neustarts wird die Datei entladen und geloescht. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 27.10.2004 um 18:55 Uhr von Sabina editiert.
|
|
|
||
27.10.2004, 19:12
...neu hier
Themenstarter Beiträge: 6 |
#9
Tut mir leid ich bin blöd oder habe andere Version von Htj bei mir gibt es kein Delete a file on reboot.
Ich Uploade gleich Screenshot von meinem HTJ. Hier: http://www.hc-crew.org/2on2/hitj.jpg Dieser Beitrag wurde am 27.10.2004 um 19:13 Uhr von Saul editiert.
|
|
|
||
28.10.2004, 10:37
Ehrenmitglied
Beiträge: 29434 |
#10
HijackThisneue Version)
http://www.downloads.subratam.org/hijackthis.zip mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
28.10.2004, 13:43
...neu hier
Themenstarter Beiträge: 6 |
#11
Jo habe mir schon gestern ein Update gezogen aber Trozdem danke für alles.
Ich poste das neue Log dann heute abend. |
|
|
||
07.11.2004, 16:34
...neu hier
Beiträge: 6 |
#12
Hallo,
ich bin durch Google auf den Thread gekommen. Habe ein ähnliches Problem. Meine Startseite lässt sich einfach nicht mehr ändern. Ich werde immer auf http://search.naupoint.com/ geleitet. Ad-Aware hat auch nicts gefunden... Hab mal ein Logfile erstellt, hoffe ihr könnt mir helfen. Logfile of HijackThis v1.98.2 Scan saved at 14:51:32, on 07.11.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Logitech\iTouch\iTouch.exe C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe C:\Programme\Gemeinsame Dateien\Nokia\Tools\NclTray.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\WinFast\WFTVFM\WFWIZ.exe C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe D:\Programme\iTunes\iTunesHelper.exe C:\Programme\QuickTime\qttask.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\eBay\eBay Toolbar\4.4.0.2\ebaytbar.exe C:\PROGRA~1\INCRED~1\bin\IMApp.exe D:\Fun Programme\GetRight\getright.exe D:\Fun Programme\GetRight\getright.exe D:\MSI\PC Alert 4\PCAlert4.exe C:\WINDOWS\System32\drivers\CDAC11BA.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe D:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe D:\PROGRA~1\TOBITC~1\Server\ClipInc-Server.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Internet Explorer\iexplore.exe D:\Downloads\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = search.naupoint.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.naupoint.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.naupoint.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = search.naupoint.com R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = www.google.de R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.naupoint.com R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://search.naupoint.com R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = search.naupoint.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = search.naupoint.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = search.naupoint.com O2 - BHO: eBay Helper Object - {001F2570-5DF5-11d3-B991-00A0C9BB0874} - C:\Programme\eBay\eBay Toolbar\4.4.0.2\eBayBand.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: 1096962695 - {262277EC-5BB5-4849-8BF2-1824330C9CAC} - (no file) O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - D:\Fun Programme\GetRight\xx2gr.dll O2 - BHO: No description - {44FD0AF8-9D30-4E96-8ECE-306446B5E0D3} - C:\WINDOWS\DOWNLO~1\iEBINST2.dll O2 - BHO: Idea2 SidebarBrowserMonitor Class - {45AD732C-2CE2-4666-B366-B2214AD57A49} - D:\Programme\Desktop Sidebar\sbhelp.dll O2 - BHO: No description - {60261C06-81B0-4DE0-9313-E5BA203A64E9} - C:\WINDOWS\DOWNLO~1\pdfmgr.dll O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: eBay Toolbar - {46AE04C0-BCFA-4728-90E7-00EB4A8B3863} - C:\Programme\eBay\eBay Toolbar\4.4.0.2\eBayBand.dll O4 - HKLM\..\Run: [PtiuPbmd] Rundll32.exe ptipbm.dll,SetWriteBack O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\Tools\NclTray.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [WinFast Schedule] C:\Programme\WinFast\WFTVFM\WFWIZ.exe O4 - HKLM\..\Run: [iTunesHelper] D:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKLM\..\Run: [LiveMonitor] C:\Programme\MSI\Live Update 3\LMonitor.exe O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: eBay Toolbar.LNK = C:\Programme\eBay\eBay Toolbar\4.4.0.2\ebaytbar.exe O4 - Global Startup: GetRight - Tray Icon.lnk = D:\Fun Programme\GetRight\getright.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: PC Alert 4.lnk = D:\MSI\PC Alert 4\PCAlert4.exe O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Download with GetRight - D:\Fun Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Open with GetRight Browser - D:\Fun Programme\GetRight\GRbrowse.htm O8 - Extra context menu item: Subscribe in Desktop Sidebar - res://D:\Programme\Desktop Sidebar\sbhelp.dll/menuhandler.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - D:\Programme\Desktop Sidebar\sbhelp.dll O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - D:\Programme\Desktop Sidebar\sbhelp.dll O9 - Extra button: eBay Toolbar - {92D7F210-7F20-11d3-8157-0090278B20DE} - C:\Programme\eBay\eBay Toolbar\4.4.0.2\eBayBand.dll O9 - Extra 'Tools' menuitem: eBay Toolbar - {92D7F210-7F20-11d3-8157-0090278B20DE} - C:\Programme\eBay\eBay Toolbar\4.4.0.2\eBayBand.dll O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROProj.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O13 - WWW. Prefix: http:// O16 - DPF: ppctlcab - http://69.44.122.156/scanner/ppctlcab.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://69.44.122.156/scanner/axscanner.cab O16 - DPF: {44FD0AF8-9D30-4E96-8ECE-306446B5E0D3} (No description) - http://naupoint.com/toolbar/installer/iEBINST2.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/01a533f7b49a70b4b816/netzip/RdxIE601_de.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1096205542328 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {AE609930-A6EB-4A78-B7DA-B3200705FEBD} (Mophun Control) - http://www.mophun.com/codebase/mophun.cab O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab O21 - SSODL: eplrr9 - {B30F2395-1E12-4180-8B19-B8F1767C78E2} - C:\WINDOWS\system32\eplrr9.dll Vielen Dank, nelly Dieser Beitrag wurde am 07.11.2004 um 18:03 Uhr von Sabina editiert.
|
|
|
||
07.11.2004, 18:00
Ehrenmitglied
Beiträge: 29434 |
#13
Hallo@nelly2003
#Oeffne das HijackTHis< scan< anhaken < Button "Fix checked" < PC neustarten R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = search.naupoint.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.naupoint.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.naupoint.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = search.naupoint.com R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.naupoint.com R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://search.naupoint.com R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = search.naupoint.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = search.naupoint.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = search.naupoint.com O2 - BHO: eBay Helper Object - {001F2570-5DF5-11d3-B991-00A0C9BB0874} - C:\Programme\eBay\eBay Toolbar\4.4.0.2\eBayBand.dll O2 - BHO: 1096962695 - {262277EC-5BB5-4849-8BF2-1824330C9CAC} - (no file) O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - D:\Fun Programme\GetRight\xx2gr.dll O2 - BHO: No description - {44FD0AF8-9D30-4E96-8ECE-306446B5E0D3} - C:\WINDOWS\DOWNLO~1\iEBINST2.dll O2 - BHO: Idea2 SidebarBrowserMonitor Class - {45AD732C-2CE2-4666-B366-B2214AD57A49} - D:\Programme\Desktop Sidebar\sbhelp.dll O2 - BHO: No description - {60261C06-81B0-4DE0-9313-E5BA203A64E9} - C:\WINDOWS\DOWNLO~1\pdfmgr.dll O3 - Toolbar: eBay Toolbar - {46AE04C0-BCFA-4728-90E7-00EB4A8B3863} - C:\Programme\eBay\eBay Toolbar\4.4.0.2\eBayBand.dll O4 - HKLM\..\Run: [PtiuPbmd] Rundll32.exe ptipbm.dll,SetWriteBack O4 - Global Startup: eBay Toolbar.LNK = C:\Programme\eBay\eBay Toolbar\4.4.0.2\ebaytbar.exe O4 - Global Startup: GetRight - Tray Icon.lnk = D:\Fun Programme\GetRight\getright.exe O9 - Extra button: eBay Toolbar - {92D7F210-7F20-11d3-8157-0090278B20DE} - C:\Programme\eBay\eBay Toolbar\4.4.0.2\eBayBand.dll O9 - Extra 'Tools' menuitem: eBay Toolbar - {92D7F210-7F20-11d3-8157-0090278B20DE} - C:\Programme\eBay\eBay Toolbar\4.4.0.2\eBayBand.dll O13 - WWW. Prefix: http:// O16 - DPF: ppctlcab - http://69.44.122.156/scanner/ppctlcab.cab O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://69.44.122.156/scanner/axscanner.cab O16 - DPF: {44FD0AF8-9D30-4E96-8ECE-306446B5E0D3} (No description) - http://naupoint.com/toolbar/installer/iEBINST2.cab O16 - DPF: {AE609930-A6EB-4A78-B7DA-B3200705FEBD} (Mophun Control) - http://www.mophun.com/codebase/mophun.cab O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab O21 - SSODL: eplrr9 - {B30F2395-1E12-4180-8B19-B8F1767C78E2} - C:\WINDOWS\system32\eplrr9.dll [Troj/StartPa-DJ] PC neustarten #oeffne das HijackThis: HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren: C:\WINDOWS\system32\eplrr9.dll PC neustarten HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren: C:\Programme\eBay\eBay Toolbar\4.4.0.2\eBayBand.dll PC neustarten HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren: D:\Fun Programme\GetRight\xx2gr.dll PC neustarten HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren: C:\WINDOWS\DOWNLO~1\iEBINST2.dll PC neustarten HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren: D:\Programme\Desktop Sidebar\sbhelp.dll PC neustarten HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren: C:\WINDOWS\DOWNLO~1\pdfmgr.dll PC neustarten HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren: C:\Programme\eBay\eBay Toolbar\4.4.0.2\ebaytbar.exe PC neustarten Internetexplorer reinigen: 1. Klicken Sie in der Menüzeile des Internet Explorers auf Extras und Internet-Optionen. 2. Auf der Registerkarte Allgemein klicken Sie im Bereich Temporäre Internetdateien auf den Button Cookies löschen. 3.Temporaere Internet-Dateien<Dateien loeschen #Datentraegerbereinigung: und Loeschen der Temporary-Dateien <Start<Ausfuehren<reinschreiben <cleanmgr #Click:Temporary Internet Files, O.K #Click:Temporary Files, O.K Hier das Reg-File, das die Standardwerte unter "DefaultPrefix" und "Prefixes" wieder herstellt. defaultprefix.reg downloaden. http://www.wintotal.de/Tipps/Eintrag.php?TID=434 <Das Erkennungstool eScan AV Toolkit (mwav.exe) herunterladen, oeffnen, aber nicht scannen http://www.mwti.net/antivirus/free_utilities.asp * danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen. (oder unter Start<Ausfuehren<%temp% die kavupd.exe suchen) und anklicken. <gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen : Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives <und "Scan " klicken. <Öffne die mwav.log -> Bearbeiten -> Suchen -> Wenn man infizierte Dateien in dem eScan Log finden will, sollte man nach infected suchen und die Eintraege hier posten (zusammen mit dem neuen Log vom HijackThis mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 07.11.2004 um 18:15 Uhr von Sabina editiert.
|
|
|
||
07.11.2004, 20:25
...neu hier
Beiträge: 6 |
#14
Hi Sabine,
erstmal vielen Dank für die schnelle Antwort. Habe alles so gemacht, wie du es aufgelistet hast. Das mit der Startseie funktioniert jetzt wieder! Der eScan Log hat folgendes ergeben: Sun Nov 07 19:45:49 2004 => File C:\Dokumente und Einstellungen\Britt\Lokale Einstellungen\Temp\tempchngr.exe infected by "TrojanDropper.Win32.Small.mi" Virus. Action Taken: No Action Taken. Und hier ist noch der neue Log von HijackThis Logfile of HijackThis v1.98.2 Scan saved at 20:21:55, on 07.11.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Logitech\iTouch\iTouch.exe C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe C:\Programme\Gemeinsame Dateien\Nokia\Tools\NclTray.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\WinFast\WFTVFM\WFWIZ.exe C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe D:\Programme\iTunes\iTunesHelper.exe C:\Programme\QuickTime\qttask.exe C:\WINDOWS\system32\ctfmon.exe C:\PROGRA~1\INCRED~1\bin\IMApp.exe D:\MSI\PC Alert 4\PCAlert4.exe D:\Programme\GIANT Company Software\GIANT AntiSpyware\gcasDtServ.exe C:\WINDOWS\System32\drivers\CDAC11BA.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe D:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe D:\PROGRA~1\TOBITC~1\Server\ClipInc-Server.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe D:\Downloads\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = search.naupoint.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.naupoint.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.naupoint.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = search.naupoint.com R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.naupoint.com R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://search.naupoint.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = search.naupoint.com O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\Tools\NclTray.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [WinFast Schedule] C:\Programme\WinFast\WFTVFM\WFWIZ.exe O4 - HKLM\..\Run: [iTunesHelper] D:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKLM\..\Run: [gcasServ] "D:\Programme\GIANT Company Software\GIANT AntiSpyware\gcasServ.exe" O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: PC Alert 4.lnk = D:\MSI\PC Alert 4\PCAlert4.exe O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Download with GetRight - D:\Fun Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Open with GetRight Browser - D:\Fun Programme\GetRight\GRbrowse.htm O8 - Extra context menu item: Subscribe in Desktop Sidebar - res://D:\Programme\Desktop Sidebar\sbhelp.dll/menuhandler.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - (no file) O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - (no file) O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROProj.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/01a533f7b49a70b4b816/netzip/RdxIE601_de.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1096205542328 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite.net/detection/ITDetector.cab Gruß nelly |
|
|
||
07.11.2004, 22:55
Ehrenmitglied
Beiträge: 29434 |
#15
Hallo@nelly2003
#Oeffne das HijackTHis< scan< anhaken < Button "Fix checked" < PC neustarten R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = search.naupoint.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.naupoint.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.naupoint.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = search.naupoint.com R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.naupoint.com R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://search.naupoint.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = search.naupoint.com O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - (no file) O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - (no file) neustarten #Datentraegerbereinigung: und Loeschen der Temporary-Dateien <Start<Ausfuehren<reinschreiben <cleanmgr #Click:Temporary Internet Files, O.K #Click:Temporary Files, O.K #ClaerProg..lade die neuste Version <1.4.0 Final <und saeubere den Browser. Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera: - Cookies (mit Ausschlußmöglichkeit beim IE) - Verlauf - Temporäre Internetfiles (Cache) - die eingetragenen URLs - Autovervollständigen-Einträge in Web-Formularen des IE (bisher nur Win9x/ME) - Download-Listen des Netscape/Opera http://www.clearprog.de/downloads.php Dann poste das Log noch mal. _________________________________________________ Tip: surfen ohne Startseiten-Trojaner #Alternativbrowser zum IE (stelle oben unter "Options" deine Startseite ein , aber poste das Log vom HijackThis mit dem IE . Firefox http://www.mozilla.org/products/firefox/index.html mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 07.11.2004 um 23:01 Uhr von Sabina editiert.
|
|
|
||
Was mich stört ist C:\Programme\Common Files\SearchUpgrader und das es nicht nicht einfach löschen lässt.
----
Was ist eine gtwatch.exe, app.exe, hpztsb09.exe (Hewlet Packard Teiber?), updmgr.exe, SearchUpgrader.exe ? Das sind alles .exe dateien die in meiner Autostart sind und mir verdächtig vorkommen.
Da ich mich nicht auskenne bleibt beim normalen Deutsch bitte .
Logfile of HijackThis v1.97.7
Scan saved at 14:32:14, on 21.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\gtwatch.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\programme\powerstrip\pstrip.exe
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\hjt\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.naupoint.com/toolbar/ie.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.naupoint.com/toolbar/ie.html
R3 - URLSearchHook: PerfectNavBHO Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\2.bin\MYBAR.DLL
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: 1096936232 - {262277EC-5BB5-4849-8BF2-1824330C9CAC} - (no file)
O2 - BHO: (no name) - {2E9CAFF6-30C7-4208-8807-E79D4EC6F806} - C:\Program Files\Submit\submithook.dll
O2 - BHO: (no name) - {44FD0AF8-9D30-4E96-8ECE-306446B5E0D3} - C:\WINDOWS\DOWNLO~1\iEBINST2.dll
O2 - BHO: (no name) - {4E7BD74F-2B8D-469E-95BE-B378BA9CB52D} - C:\WINDOWS\DOWNLO~1\NAUPOI~1.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {60261C06-81B0-4DE0-9313-E5BA203A64E9} - C:\WINDOWS\DOWNLO~1\pdfmgr.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\2.bin\MYBAR.DLL
O3 - Toolbar: NAUPOINTBAR - {4E7BD74F-2B8D-469E-95BE-B378BA9CB52D} - C:\WINDOWS\DOWNLO~1\NAUPOI~1.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Gtwatch] C:\WINDOWS\gtwatch.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [PowerStrip] c:\programme\powerstrip\pstrip.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] C:\Valve\Steam\Steam.exe -silent
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ 4.0 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: concept/design's onlineTV (HKLM)
O16 - DPF: Yahoo! Literati - http://download.games.yahoo.com/games/clients/y/tt3_x.cab
O16 - DPF: {02BCC737-B171-4746-94C9-0D8A0B2C0089} (Microsoft Office Template and Media Control) - http://office.microsoft.com/templates/ieawsdc.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {44FD0AF8-9D30-4E96-8ECE-306446B5E0D3} (No description) - http://naupoint.com/toolbar/installer/iEBINST2.cab
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/de/win/QuickTimeInstaller.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1096672483968
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web8.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38140.6163888889
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5F0AE6E8-6AB4-44FE-BE09-1A873B6A7079}: NameServer = 213.191.92.86 213.191.74.19