Mein Notebook ist total mit Home Search Verseucht !!!! |
||
---|---|---|
#0
| ||
04.11.2004, 00:11
...neu hier
Beiträge: 7 |
||
|
||
04.11.2004, 12:47
Moderator
Beiträge: 7805 |
#2
Fix bitte mal das im abgesicherten Modus:
1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\vcxlp.dll/sp.html#29126 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\vcxlp.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\vcxlp.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\vcxlp.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\vcxlp.dll/sp.html#29126 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\vcxlp.dll/sp.html#29126 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\vcxlp.dll/sp.html#29126 R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {4ABE41DC-C2D6-27FC-DA9B-029097147C6C} - C:\WINDOWS\system32\apihd32.dll O4 - HKLM\..\Run: [sysni.exe] C:\WINDOWS\system32\sysni.exe O4 - HKCU\..\Run: [Udem] C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\ldnu.exe O13 - DefaultPrefix: O13 - WWW Prefix: O13 - Home Prefix: O13 - Mosaic Prefix: O13 - FTP Prefix: O13 - Gopher Prefix: Dann bitte diese Datei umbenennen: C:\WINDOWS\system32\d3zf.exe und neu starten. Schicke die Datei und folgende bitte an virus@protecus.de: C:\WINDOWS\system32\apihd32.dll C:\WINDOWS\vcxlp.dll C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\ldnu.exe C:\WINDOWS\system32\sysni.exe Das Problem bei Homesearch ist, das er Trojan.downloader nutzt, der immer wieder neue/wechselnde Malware nachlaedt, darum ist es schwer genaue aussagen darueber zu treffen, was es macht. Wen du msconfig uber start /Ausfuehren satrtest, dort auf den Reiter Dienste gehst, "Alle Microsoftdienste ausblenden" anhakst, solltest du neben diversen Norton Diensten auch einen mit namen PNP oder Network service finden. diesen Eintrag solltest du auch deaktivieren. Dein Norton hat nichts gefunden und auch Escan nicht? __________ MfG Ralf SEO-Spam Hunter |
|
|
||
04.11.2004, 21:30
...neu hier
Themenstarter Beiträge: 7 |
#3
Danke für die Infos. Werde ich mal versuchen und dann wieder posten!
FRAGE noch: Habe zwar ESCAN durchlaufen lassen und er hat auch 46 (!) Viren bzw. Trojaner gefunden aber dieser kann ja nichts löschen. Es steht ich muss eine Vollversion kaufen ... UND DIESE DATEI C:\WINDOWS\system32\d3zf.exe habe ich NICHT !!! Kannst du mir da einen Tipp geben!?!? Danke. EDIT2: Finde bei diesen Diensten KEINEN PNP. Sondern lediglich neben vieeelen Norton Diensten diesen komischen DIENST: Workstation NetLogon Service Was ist das !??!?! Soll ich es deaktivieren ?!!? Dieser Beitrag wurde am 04.11.2004 um 23:45 Uhr von Monkeytosh editiert.
|
|
|
||
05.11.2004, 02:46
Ehrenmitglied
Beiträge: 29434 |
#4
Hallo@Monkeytosh
<Öffne die mwav.log -> Bearbeiten -> Suchen -> Wenn man infizierte Dateien in dem eScan Log finden will, sollte man nach infected suchen und die Eintraege hier posten, bzw die Dateien im abgesicherten Modus loeschen. Auch muss man die Eintraege in der Registrierung per Hand entfernen ODER: Deaktiviere fuer 15 Tage deinen Virenscanner und lade: #eScan-Trial http://www.mwti.net/antivirus/escan/escandl_antivirus.asp (15-Tage- trial-Freeversion) <gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml klicke auf: awn2k3e.exe mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 05.11.2004 um 02:49 Uhr von Sabina editiert.
|
|
|
||
05.11.2004, 21:07
...neu hier
Themenstarter Beiträge: 7 |
#5
Danke erstmal für eure große Mühe!!
Habe mir nun die 15 Tage Trial Version von escan gezogen und installiert. Es hat fast 70 (!) Viren bzw. Trojaner gefunden und mir alle gelöscht bzw. 3 umbenannt. Nun habe ich KEIN Homesearch mehr. Aber sobald ich es wieder habe gebe ich hier Bescheid. Danke aber erstmal !!!!!!!! |
|
|
||
Hier mal mein Hijack Log das ich schon dutzende Male fixde. Es nützt nichts.
Vielleicht weiß einer Rat. Danke!
HIER DAS LOG:
Logfile of HijackThis v1.98.2
Scan saved at 00:02:07, on 04.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\system32\d3zf.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\SYSTEM32\THOTKEY.EXE
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\TPWRTRAY.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Nokia\Card Phone 2.0\Setup\CardPhoneUIStarter.exe
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver2\LVCOMS.EXE
C:\PROGRA~1\INSTAN~1\INSTAN~1\IWCTRL.EXE
C:\Programme\Gemeinsame Dateien\Nokia\MPAPI\MPAPI3d.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\sysni.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\ldnu.exe
C:\Programme\ARtem\Onair Client Manager\cmART.exe
C:\Programme\FRITZ!\FriFon32.exe
C:\Dokumente und Einstellungen\Besitzer\Desktop\Privat\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\vcxlp.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\vcxlp.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\vcxlp.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\vcxlp.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\vcxlp.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\vcxlp.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\vcxlp.dll/sp.html#29126
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {4ABE41DC-C2D6-27FC-DA9B-029097147C6C} - C:\WINDOWS\system32\apihd32.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [TOSHIBSU] TOSHIBSU.EXE
O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [UIStarter] "C:\Programme\Nokia\Card Phone 2.0\Setup\CardPhoneUIStarter.exe"
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver2\LVCOMS.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [IW Controlcenter] C:\PROGRA~1\INSTAN~1\INSTAN~1\IWCTRL.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [OmgStartup] C:\Programme\Gemeinsame Dateien\Sony Shared\OpenMG\OmgStartup.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [sysni.exe] C:\WINDOWS\system32\sysni.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Udem] C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\ldnu.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: ARtem Onair Client Manager.lnk = C:\Programme\ARtem\Onair Client Manager\cmART.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O13 - DefaultPrefix:
O13 - WWW Prefix:
O13 - Home Prefix:
O13 - Mosaic Prefix:
O13 - FTP Prefix:
O13 - Gopher Prefix:
O17 - HKLM\System\CCS\Services\Tcpip\..\{20DF5B3E-2971-413F-82C0-E7DEA5B38B3C}: NameServer = 198.6.97.65 213.33.98.136
O17 - HKLM\System\CS1\Services\Tcpip\..\{20DF5B3E-2971-413F-82C0-E7DEA5B38B3C}: NameServer = 198.6.97.65 213.33.98.136