Home » Spyware & Browser Hijacker Support Forum » *http://win-eto.com/hp.htm?id=11340*/http://super-spider.com/sp.htm?id=* » Themenansicht
*http://win-eto.com/hp.htm?id=11340*/http://super-spider.com/sp.htm?id=* |
||
|---|---|---|
| #0
| ||
|
22.10.2004, 20:00
...neu hier
Beiträge: 3 |
||
 
|
|
|
|
22.10.2004, 20:25
Ehrenmitglied
 Beiträge: 6028 |
||
|
|
|
|
|
23.10.2004, 16:54
...neu hier
Themenstarter Beiträge: 3 |
#3
log mit der neuen version:
Logfile of HijackThis v1.98.2 Scan saved at 16:53:21, on 23.10.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\logonui.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Medion\PowerCinema\My_TV\Agent.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\Programme\eMule.de\emule.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Sebastian.HENDRIX\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=11340 O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\0GW76S~1.DLL O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [Sys29] c:\windows\system32\winzjx32.exe O4 - HKLM\..\Run: [Agent] C:\Programme\Medion\PowerCinema\My_TV\Agent.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{9150FF62-9B10-4F83-B80F-2AA12BEA2550}: NameServer = 192.168.2.1 O20 - AppInit_DLLs: vwt7185zri77v.dll O21 - SSODL: SystemCheck - {54645654-2225-4455-44A1-9F4543D34544} - C:\WINDOWS\System32\vbsys.dll hallo warum antwortet denn niemand. Dieser Beitrag wurde am 24.10.2004 um 21:32 Uhr von crazytrain06 editiert.
|
|
|
|
|
|
|
25.10.2004, 17:53
...neu hier
Beiträge: 2 |
#4
Hallo!!!!!!!!!
Das Problem hab ich auch und langsam echt keine Lust mehr!!!!!!!!!! Wer kann mir sagen, wie ich den Mist loswerde?!? BITTE Logfile of HijackThis v1.98.2 Scan saved at 17:52:58, on 25.10.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\XP-Kraftpaket\Anonym im Internet\ANONYM.exe C:\WINDOWS\szchost.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\ZyDAS Technology Corporation\ZyDAS_802.11g_Utility\ZDWlan.exe C:\WINDOWS\twain_32\A4CIS600\WATCH.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\WINDOWS\System32\wuauclt.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Bacher\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/hp.htm?id=191 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=191 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/hp.htm?id=191 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\U8R46S~1.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [KEWelcomeReBoot] D:\welcome_S500.exe O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Anonym im Internet] C:\Programme\XP-Kraftpaket\Anonym im Internet\ANONYM.exe -TRAY O4 - HKLM\..\Run: [Zone system] C:\WINDOWS\szchost.exe O4 - HKLM\..\Run: [Control handler] C:\WINDOWS\ahjinst.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Spyware Vanisher] C:\spywarevanisher-free\FreeScanner.exe -FastScan O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\A4CIS600\WATCH.exe O4 - Global Startup: ZDWLan Utility.lnk = C:\Programme\ZyDAS Technology Corporation\ZyDAS_802.11g_Utility\ZDWlan.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O15 - Trusted Zone: *.greg-search.com O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://greg-tut.com/G7/chm9.chm::/file1.exe O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/yinst20040510.cab O20 - AppInit_DLLs: k7b48xphchzrb7.dll Dieser Beitrag wurde am 01.11.2004 um 13:06 Uhr von Sabina editiert.
|
|
|
|
|
|
|
28.10.2004, 21:08
...neu hier
Themenstarter Beiträge: 3 |
#5
warum antwortet hier denn niemand. das wär wirklich mal freundlich wenn mir jemand helfen könnte.
hier noch n aktuelles log: Logfile of HijackThis v1.98.2 Scan saved at 21:05:41, on 28.10.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Medion\PowerCinema\My_TV\Agent.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\Programme\eMule.de\emule.exe C:\Programme\Winamp\winamp.exe C:\Dokumente und Einstellungen\Sebastian.HENDRIX\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://super-spider.com/sp.htm?id=9 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://super-spider.com/sp.htm?id=9 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://super-spider.com/sp.htm?id=9 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=9 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://super-spider.com/sp.htm?id=9 O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\2JF6HF~1.DLL O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [Agent] C:\Programme\Medion\PowerCinema\My_TV\Agent.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O17 - HKLM\System\CCS\Services\Tcpip\..\{9150FF62-9B10-4F83-B80F-2AA12BEA2 550}: NameServer = 192.168.2.1 O20 - AppInit_DLLs: e7iemie2oxkb2t.dll Dieser Beitrag wurde am 01.11.2004 um 13:06 Uhr von Sabina editiert.
|
|
|
|
|
|
|
31.10.2004, 18:05
Member
Beiträge: 46 |
#6
Hallo crazytrain06 !
Hier gibt's eine (englische) Schritt-für-Schritt- Anleitung mit allen Tools zur Entfernung von h*tp://t.swapx.cc/h.php?aid=20009 bzw. h*tp://t.swapx.cc. Siehe: http://www.bleepingcomputer.com/forums/index.php?s=bdedd953eee4cd46140d4248171bf7d2&showtopic=3932&st=0&#entry27387 Viel Erfolg. |
|
|
|
|
|
|
31.10.2004, 18:24
Member
Beiträge: 46 |
#7
Hallo crazytrain 06 !
Hier noch eine Ergänzung aus dem US-Forum von majorgeeks: http://forums.majorgeeks.com/archive/index.php/t-45236 Da berichtet ein User, dass er das t.swapx.cc-Problem mit Hilfe von spysweeper (= http://www.spyware-removal.com/index.html) lösen konnte. Ich kenne spysweeper nicht persönlich, wird aber in US-Foren immer wieder mal lobend hervorgehoben. Soweit ich das Programm sehe, ist sogar der Download wie der Scan selbst free/frei. Die Entfernung dürfte dann wohl Geld kosten, denn sonst kann ich mir den Hinweis auf ein Abo von US$ $29.95 nicht erklären. Kenne das Programm ansonsten nicht wie gesagt. Deine freie Entscheidung, wie Du vorgehen willst. Mit diesem Spysweeper-Tool oder mit den o.g. Schritt-für-Schritt-Tips und den jeweiligen Tools dazu. |
|
|
|
|
|
|
01.11.2004, 12:44
Ehrenmitglied
 Beiträge: 29434 |
#8
Hallo@crazytrain06
SearchMiracle.EliteBar Gehe in die Registry Start<Ausfuehren<regedit Loesche: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ Sys29 HKCU\Software\Microsoft\Internet Explorer\Settings Plugin = (91D59E56-D3B4-40F1-993E-04A367E80391) HKCR\CLSID\(467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E) Default = "" HKCR\CLSID\(467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E)\InprocServer32 Default = e7iemie2oxkb2t.dll /oder/ vbsys.dll HKCR\CLSID\(467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E)\ProgID Default = Plugin6.DNSErrObj.1 HKCR\CLSID\(467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E)\TypeLib Default = (444A5674-FF85-45D4-9AE2-4199D8D70C85) HKCR\CLSID\(467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E)\VersionIndependentProgID Default = Plugin6.DNSErrObj HKCR\<zufällig erzeugter Name>.<zufällig erzeugte Ziffer>\CLSID Default = (467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E) HKCR\\CLSID Default = (467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E) HKCR\Interface\(0D721150-AEF3-457B-B03A-5097B623CE45) Default = IDNSErrObj HKCR\Interface\(0D721150-AEF3-457B-B03A-5097B623CE45)\ProxyStubClsid32 Default = (00020424-0000-0000-C000-000000000046) HKCR\Interface\(0D721150-AEF3-457B-B03A-5097B623CE45)\ProxyStubClsid Default = (00020424-0000-0000-C000-000000000046) HKCR\Interface\(0D721150-AEF3-457B-B03A-5097B623CE45)\TypeLib Default = (444A5674-FF85-45D4-9AE2-4199D8D70C85) HKCR\Plugin6.DNSErrObj.1 Default = "" HKCR\Plugin6.DNSErrObj.1\CLSID Default = (467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E) HKCR\Plugin6.DNSErrObj Default = "" HKCR\Plugin6.DNSErrObj\CLSID Default = (467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E) HKCR\Plugin6.DNSErrObj\CurVer Default = Plugin6.DNSErrObj.1 HKCR\TypeLib\(444A5674-FF85-45D4-9AE2-4199D8D70C85)\1.0 Default = PLUGIN6Lib HKCR\TypeLib\(444A5674-FF85-45D4-9AE2-4199D8D70C85)\1.0\0\win32 Default = <Windows-Systemordner>\<zufällig erzeugter Name>.dll HKCR\TypeLib\(444A5674-FF85-45D4-9AE2-4199D8D70C85)\1.0\FLAGS Default = 0 HKCR\TypeLib\(444A5674-FF85-45D4-9AE2-4199D8D70C85)\1.0\HELPDIR Default = <Windows-Systemordner> HKCR\CLSID\(467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E)\InprocServer32 ThreadingModel = Apartment HKCR\Interface\(0D721150-AEF3-457B-B03A-5097B623CE45)\TypeLib Version = 1.0 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs <2JF6HF~1.DLL>.tlb = 1 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows AppInit_DLLs=<e7iemie2oxkb2t.dll>.tlb Der Trojaner erstellt außerdem den folgenden Registrierungseintrag: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ Browser Helper Objects\(467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E) Default = "" oeffne das HijackThis<scan< anhaken< fix< PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://super-spider.com/sp.htm?id=9 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://super-spider.com/sp.htm?id=9 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://super-spider.com/sp.htm?id=9 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=9 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://super-spider.com/sp.htm?id=9 O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\2JF6HF~1.DLL O4 - HKLM\..\Run: [Sys29] c:\windows\system32\winzjx32.exe O20 - AppInit_DLLs: e7iemie2oxkb2t.dll O21 - SSODL: SystemCheck - {54645654-2225-4455-44A1-9F4543D34544} - C:\WINDOWS\System32\vbsys.dll PC neustarten Start<Ausfuehren< cmd reinkopieren: <attrib -h %systemroot%\system32\e7iemie2oxkb2t.dll & ren %systemroot%\SYSTEM32\e7iemie2oxkb2t.dll Badfile.bad <enter< #oeffne das HijackThis: HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren: C:\WINDOWS\System32\e7iemie2oxkb2t.dll PC neustarten HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren: C:\WINDOWS\System32\matrixhere.exe PC neustarten HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren: C:\WINDOWS\System32\2JF6HF~1.DLL PC neustarten HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren: C:\WINDOWS\System32\vbsys.dll PC neustarten HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren: c:\windows\system32\winzjx32.exe PC neustarten Suche und loesche: folder: %favorites%\casino & adult folder: %favorites%\finances & business folder: %favorites%\health & insurance folder: %favorites%\homelife & travel folder: %windows%\elitebar folder: %favorites%\casino & carrers folder: %windows%\elitetoolbar #ClaerProg..lade die neuste Version <1.4.0 Final <und saeubere den Browser. http://www.clearprog.de/downloads.php Internetexplorer reinigen: 1. Klicken Sie in der Menüzeile des Internet Explorers auf Extras und Internet-Optionen. 2. Auf der Registerkarte Allgemein klicken Sie im Bereich Temporäre Internetdateien auf den Button Cookies löschen. 3.Temporaere Internet-Dateien<Dateien loeschen #Datentraegerbereinigung: und Loeschen der Temporary-Dateien <Start<Ausfuehren<cleanmgr Temporary Internet Files, O.K Temporary Files, O.K #Internet Explorer 6 Service Pack 1 http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=1E1550CB-5E5D-48F5-B02B-20B602228DE6 #Update Pack XP SP1 Version 1.8 - Deutsch http://download.winboard.org/downloads.php?release_id=649 #Patches, Service Packs und Tools (XP) http://www.rz.uni-freiburg.de/pc/sys/winxp/index.php _______________________________________________________________________________________ Deaktiviere deinen jetzigen Virenscanner. Lade: #eScan-Trial ftp://update.mailscan.info/download/tools/ http://www.mwti.net/antivirus/escan/escandl_antivirus.asp (15-Tage- trial-Freeversion) klicke auf: awn2k3e.exe Poste dann das neue Log vom HijackThis: (vorher eine neue Startseite einstellen) mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 01.11.2004 um 13:37 Uhr von Sabina editiert.
|
|
|
|
|
|
|
01.11.2004, 12:57
Ehrenmitglied
Beiträge: 29434 |
#9
Hallo@Minne
Gehe in die Registry Start<Ausfuehren<regedit: Loesche: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows AppInit_DLLs= k7b48xphchzrb7.dll HKCU\Software\Microsoft\Internet Explorer\Settings Plugin = (91D59E56-D3B4-40F1-993E-04A367E80391) HKCR\CLSID\(467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E) Default = "" HKCR\CLSID\(467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E)\InprocServer32 Default = k7b48xphchzrb7.dll HKCR\CLSID\(467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E)\ProgID Default = Plugin6.DNSErrObj.1 HKCR\CLSID\(467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E)\TypeLib Default = (444A5674-FF85-45D4-9AE2-4199D8D70C85) HKCR\CLSID\(467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E)\VersionIndependentProgID Default = Plugin6.DNSErrObj HKCR\<zufällig erzeugter Name>.<zufällig erzeugte Ziffer>\CLSID Default = (467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E) HKCR\\CLSID Default = (467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E) HKCR\Interface\(0D721150-AEF3-457B-B03A-5097B623CE45) Default = IDNSErrObj HKCR\Interface\(0D721150-AEF3-457B-B03A-5097B623CE45)\ProxyStubClsid32 Default = (00020424-0000-0000-C000-000000000046) HKCR\Interface\(0D721150-AEF3-457B-B03A-5097B623CE45)\ProxyStubClsid Default = (00020424-0000-0000-C000-000000000046) HKCR\Interface\(0D721150-AEF3-457B-B03A-5097B623CE45)\TypeLib Default = (444A5674-FF85-45D4-9AE2-4199D8D70C85) HKCR\Plugin6.DNSErrObj.1 Default = "" HKCR\Plugin6.DNSErrObj.1\CLSID Default = (467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E) HKCR\Plugin6.DNSErrObj Default = "" HKCR\Plugin6.DNSErrObj\CLSID Default = (467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E) HKCR\Plugin6.DNSErrObj\CurVer Default = Plugin6.DNSErrObj.1 HKCR\TypeLib\(444A5674-FF85-45D4-9AE2-4199D8D70C85)\1.0 Default = PLUGIN6Lib HKCR\TypeLib\(444A5674-FF85-45D4-9AE2-4199D8D70C85)\1.0\0\win32 Default = <Windows-Systemordner>\<zufällig erzeugter Name>.dll HKCR\TypeLib\(444A5674-FF85-45D4-9AE2-4199D8D70C85)\1.0\FLAGS Default = 0 HKCR\TypeLib\(444A5674-FF85-45D4-9AE2-4199D8D70C85)\1.0\HELPDIR Default = <Windows-Systemordner> HKCR\CLSID\(467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E)\InprocServer32 ThreadingModel = Apartment HKCR\Interface\(0D721150-AEF3-457B-B03A-5097B623CE45)\TypeLib Version = 1.0 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs <U8R46S~1.DLL>.tlb = 1 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows AppInit_DLLs=<k7b48xphchzrb7.dll>.tlb Der Trojaner erstellt außerdem den folgenden Registrierungseintrag: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ Browser Helper Objects\(467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E) Default = "" oeffne das HijackThis<scan< anhaken< fix< PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/hp.htm?id=191 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=191 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/hp.htm?id=191 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\U8R46S~1.DLL O4 - HKLM\..\Run: [KEWelcomeReBoot] D:\welcome_S500.exe O4 - HKLM\..\Run: [Anonym im Internet] C:\Programme\XP-Kraftpaket\Anonym im Internet\ANONYM.exe -TRAY O4 - HKLM\..\Run: [Zone system] C:\WINDOWS\szchost.exe [Troj/Multidr-AC] O4 - HKLM\..\Run: [Control handler] C:\WINDOWS\ahjinst.exe O4 - HKCU\..\Run: [Spyware Vanisher] C:\spywarevanisher-free\FreeScanner.exe -FastScan O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O15 - Trusted Zone: *.greg-search.com O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://greg-tut.com/G7/chm9.chm::/file1.exe O20 - AppInit_DLLs: k7b48xphchzrb7.dll neustarten #Deinstalliere: <C:\Programme\XP-Kraftpaket\Anonym im Internet <[Spyware Vanisher] C:\spywarevanisher-free\ #oeffne das HijackThis: HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren: C:\WINDOWS\szchost.exe PC neustarten Start<Ausfuehren< cmd reinkopieren: <attrib -h %systemroot%\system32\k7b48xphchzrb7.dll & ren %systemroot%\SYSTEM32\k7b48xphchzrb7.dll Badfile.bad <enter< HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren: C:\WINDOWS\System32\k7b48xphchzrb7.dll PC neustarten HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren: C:\WINDOWS\System32\U8R46S~1.DLL PC neustarten HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren: C:\WINDOWS\ahjinst.exe PC neustarten #suche\Loesche: <C:\file1.exe <C:\foo.mht! # AboutBuster www.malwarebytes.biz/AboutBuster.zip Alle Dateien in einen Ordner entpacken, die Readme Datei lesen, dann das Programm ausführen #AdAware (free) http://www.lavasoft.de/support/download/ VOR jedem Scanvorgang das Programm Updaten! WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!. #ClaerProg..lade die neuste Version <1.4.0 Final <und saeubere den Browser. http://www.clearprog.de/downloads.php Internetexplorer reinigen: 1. Klicken Sie in der Menüzeile des Internet Explorers auf Extras und Internet-Optionen. 2. Auf der Registerkarte Allgemein klicken Sie im Bereich Temporäre Internetdateien auf den Button Cookies löschen. 3.Temporaere Internet-Dateien<Dateien loeschen #Datentraegerbereinigung: und Loeschen der Temporary-Dateien <Start<Ausfuehren<cleanmgr Temporary Internet Files, O.K Temporary Files, O.K #Internet Explorer 6 Service Pack 1 http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=1E1550CB-5E5D-48F5-B02B-20B602228DE6 #Update Pack XP SP1 Version 1.8 - Deutsch http://download.winboard.org/downloads.php?release_id=649 #Patches, Service Packs und Tools (XP) http://www.rz.uni-freiburg.de/pc/sys/winxp/index.php ____________________________________________________________________ Deaktiviere deinen jetzigen Virenscanner. Lade: #eScan-Trial ftp://update.mailscan.info/download/tools/ http://www.mwti.net/antivirus/escan/escandl_antivirus.asp (15-Tage- trial-Freeversion) klicke auf: awn2k3e.exe Poste dann das neue Log vom HijackThis: (vorher eine neue Startseite einstellen) mfg Sabina ****** http://www.sophos.de/virusinfo/analyses/trojsmallju.html __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 01.11.2004 um 13:48 Uhr von Sabina editiert.
|
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Seite(n): 1
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
hab mal n hijackthis.log gemacht:
Logfile of HijackThis v1.97.7
Scan saved at 19:59:20, on 22.10.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Medion\PowerCinema\My_TV\Agent.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\Sebastian.HENDRIX\Desktop\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=11340
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\0GW76S~1.DLL
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Sys29] c:\windows\system32\winzjx32.exe
O4 - HKLM\..\Run: [Agent] C:\Programme\Medion\PowerCinema\My_TV\Agent.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{9150FF62-9B10-4F83-B80F-2AA12BEA2550}: NameServer = 192.168.2.1
hab schon imm abgesicherten flogende einträge gefixt (kamen aber wieder):
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=11340
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\0GW76S~1.DLL
wäre euch sehr verbunden