Windupdates bzw. Isearch nicht löschbar => IE springt immer weg |
||
---|---|---|
#0
| ||
04.11.2004, 22:29
...neu hier
Beiträge: 3 |
||
|
||
04.11.2004, 23:50
...neu hier
Themenstarter Beiträge: 3 |
#2
Hi zusammen,
zur meiner eigenen Freude habe ich noch etwas ausprobiert und bin damit endlich durchgekommen. Nämlich bei einem Start im abgesicherten Zustand und der Ausführung von HiJack gab es einen Eintrag mehr als zuvor und zwar O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\WINDOWS\System32\msacmx.dll Was das genau ist, weiß ich nicht, aber nach dem Fixen gings meinem PC besser. Ich habe auch noch einen Verweis dazu gefunden: http://www.trojaner-board.de/archive/index.php/t-8967.html Dort steht etwas von "partytime-germany.ice@web.de", so ähnlich war die Sprungseite dann bei mir. Gleichzeitig ließen sich auch die O16-Einträge fixen im abgesicherten Modus. Thx für den Tip, wo immer auch das gelesen habe. Für jeden, der nachgedacht hat, trozdem vielen Dank. Grüße und Erleichterung Shea Dieser Beitrag wurde am 04.11.2004 um 23:52 Uhr von Shea editiert.
|
|
|
||
05.11.2004, 12:12
Ehrenmitglied
Beiträge: 29434 |
#3
Hallo@Shea
Das Fixen mit dem HijackThis loescht nichts. Du musst die C:\WINDOWS\System32\msacmx.dll loeschen. HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren: C:\WINDOWS\System32\msacmx.dll PC neustarten. #mache eine Datentraegerbereinigung und loesche auch die Downloaded-Files. Datentraegerbereinigung: und Loeschen der Temporary-Dateien <Start<Ausfuehren<cleanmgr Temporary Internet Files, O.K Temporary Files, O.K Downloaded-Files Loesche in der Registry alle Eintrage auf den Hijacker O16 - DPF: {1C78AB3F-A857-482E-80C0-3A1E5238A565} - http://toolbar.isearch.com/general/initial.cab Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\Distribution Units\{1C78AB3F-A857-482E-80C0-3A1E5238A565}] "SystemComponent"=dword:00000000 "Installer"="MSICD" [HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\Distribution Units\{1C78AB3F-A857-482E-80C0-3A1E5238A565}\Contains] [HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\Distribution Units\{1C78AB3F-A857-482E-80C0-3A1E5238A565}\DownloadInformation] "CODEBASE"="http://toolbar.isearch.com/general/initial.cab" "INF"="C:\\WINDOWS\\Downloaded Program Files\\initial.inf" [HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\Distribution Units\{1C78AB3F-A857-482E-80C0-3A1E5238A565}\InstalledVersion] @="1,0,0,4" "LastModified"="Tue, 08 Jun 2004 16:09:43 GMT" O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=4b14ebcfcc86666276ad17e150abdafa3d2cb2aef65f01db555ab59a2e2870b1d106007a2b605c595f1e31f6c6b102223cc1195e638fbdbb52802d:92d63af79d5017ef95cb164cb01a51b9 Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\Distribution Units\{15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6}] "SystemComponent"=dword:00000000 "Installer"="MSICD" [HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\Distribution Units\{15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6}\Contains] [HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\Distribution Units\{15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6}\DownloadInformation] "CODEBASE"="http://public.windupdates.com/get_file.php?bt=ie&p=4b14ebcfcc86666276ad17e150abdafa3d2cb2aef65f01db555ab59a2e2870b1d106007a2b605c595f1e31f6c6b102223cc1195e638fbdbb52802d:92d63af79d5017ef95cb164cb01a51b9" "INF"="C:\\WINDOWS\\Downloaded Program Files\\ActiveX.inf" [HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\Distribution Units\{15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6}\InstalledVersion] @="0,0,0,1" "LastModified"="Tue, 05 Oct 2004 15:48:29 GMT" mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 05.11.2004 um 12:28 Uhr von Sabina editiert.
|
|
|
||
06.11.2004, 14:19
...neu hier
Themenstarter Beiträge: 3 |
#4
Hi Sabina,
vielen Dank für deine Mühe, bei mir hat aber HiJack die Datei msacmx.dll mitgelöscht, vielleicht lag das ja an dem abgesichertem Zustand. Alle O16-Einträge habe ich ebenfalls weggeworfen. Zusätzliche hatte ich ClearCache durchgeführt und somit war ich auch die Temps los. Aber meinen Dank trotzdem für deien Lösung. Gruß Shea |
|
|
||
Ich habe die verschiedenen Threads gelesen und daraus einiges ausprobiert, aber bisher hat nichts geholfen.
Mein HiJack-Protokoll dazu ist:
Logfile of HijackThis v1.98.2
Scan saved at 21:54:12, on 04.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Tiny Personal Firewall\persfw.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Twain_32\FlatBed\HotKey.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\totalcmd\TOTALCMD.EXE
C:\WINDOWS\System32\msmsgs.exe
C:\WINDOWS\System32\service.exe
C:\Programme\HiJack\HijackThis.exe
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\FlatBed\HotKey.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - Global Startup: SETI Driver.lnk = C:\Programme\setidriver\SETI Driver.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O16 - DPF: ppctlcab -
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} -
O16 - DPF: {1C78AB3F-A857-482E-80C0-3A1E5238A565} -
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} -
Nach meiner Ansicht sind die Probleme unter O16 alle zu suchen, aber die lassen sich nicht fixen.
Ausprobiert habe ich schon
- Regcleaner von Microsoft => Kein Effekt
- Regcleaner von jv16 => Absturz bei verwaiste Dateien finden
- Regedit pur => Delete wird verweigert (Kann nicht gelöscht werden) Der Inhalt des Schlüssel verschwindet kurz ist aber dann wieder da
- BHODemon => Stürzt sofort beim Start ab
- AdAware => Findet windupdate, ist aber nach Fix sofort wieder da
- Spybot => Findet nichts
- eScan => Findet nichts
- AntiVir => Findet nichts
Vor dem Fixen mit HiJack (dort im Backup gefunden) waren folgende Werte vorhanden
1)
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=4b14ebcfcc86666276ad17e150abdafa3d2cb2aef65f01db555ab59a2e2870b1d106007a2b605c595f1e31f6c6b102223cc1195e638fbdbb52802d:92d63af79d5017ef95cb164cb01a51b9
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\Distribution Units\{15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6}]
"SystemComponent"=dword:00000000
"Installer"="MSICD"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\Distribution Units\{15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6}\Contains]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\Distribution Units\{15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6}\DownloadInformation]
"CODEBASE"="http://public.windupdates.com/get_file.php?bt=ie&p=4b14ebcfcc86666276ad17e150abdafa3d2cb2aef65f01db555ab59a2e2870b1d106007a2b605c595f1e31f6c6b102223cc1195e638fbdbb52802d:92d63af79d5017ef95cb164cb01a51b9"
"INF"="C:\\WINDOWS\\Downloaded Program Files\\ActiveX.inf"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\Distribution Units\{15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6}\InstalledVersion]
@="0,0,0,1"
"LastModified"="Tue, 05 Oct 2004 15:48:29 GMT"
2)
O16 - DPF: {1C78AB3F-A857-482E-80C0-3A1E5238A565} - http://toolbar.isearch.com/general/initial.cab
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\Distribution Units\{1C78AB3F-A857-482E-80C0-3A1E5238A565}]
"SystemComponent"=dword:00000000
"Installer"="MSICD"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\Distribution Units\{1C78AB3F-A857-482E-80C0-3A1E5238A565}\Contains]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\Distribution Units\{1C78AB3F-A857-482E-80C0-3A1E5238A565}\DownloadInformation]
"CODEBASE"="http://toolbar.isearch.com/general/initial.cab"
"INF"="C:\\WINDOWS\\Downloaded Program Files\\initial.inf"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\Distribution Units\{1C78AB3F-A857-482E-80C0-3A1E5238A565}\InstalledVersion]
@="1,0,0,4"
"LastModified"="Tue, 08 Jun 2004 16:09:43 GMT"
3)
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\Distribution Units\{2FC9A21E-2069-4E47-8235-36318989DB13}]
"SystemComponent"=dword:00000000
"Installer"="MSICD"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\Distribution Units\{2FC9A21E-2069-4E47-8235-36318989DB13}\Contains]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\Distribution Units\{2FC9A21E-2069-4E47-8235-36318989DB13}\DownloadInformation]
"CODEBASE"="http://www.pestscan.com/scanner/axscanner.cab"
"INF"="C:\\WINDOWS\\Downloaded Program Files\\PPSDKActiveXScanner.INF"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\Distribution Units\{2FC9A21E-2069-4E47-8235-36318989DB13}\InstalledVersion]
@="1,5,0,1"
4)
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\Distribution Units\ppctlcab]
@="ppctlcab"
"SystemComponent"=dword:00000000
"Installer"="MSICD"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\Distribution Units\ppctlcab\Contains]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\Distribution Units\ppctlcab\DownloadInformation]
"CODEBASE"="http://www.pestscan.com/scanner/ppctlcab.cab"
"OSD"="C:\\WINDOWS\\Downloaded Program Files\\OSD406.OSD"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\Distribution Units\ppctlcab\InstalledVersion]
@="5,6,1,1"
"LastModified"="Thu, 18 Mar 2004 05:41:07 GMT"
Ein Export mit Regedit bringt nur noch
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\ppctlcab]
@="ppctlcab"
"SystemComponent"=dword:00000000
"Installer"="MSICD"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\ppctlcab\Contains]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6}]
"SystemComponent"=dword:00000000
"Installer"="MSICD"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6}\Contains]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{1C78AB3F-A857-482E-80C0-3A1E5238A565}]
"SystemComponent"=dword:00000000
"Installer"="MSICD"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{1C78AB3F-A857-482E-80C0-3A1E5238A565}\Contains]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{2FC9A21E-2069-4E47-8235-36318989DB13}]
"SystemComponent"=dword:00000000
"Installer"="MSICD"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{2FC9A21E-2069-4E47-8235-36318989DB13}\Contains]
wobei Contains mit einem [+] versehen ist, aber nicht aufklappt.
Bin ich hier auf der total falschen Suche oder hat jemand eine Idee, wie ich mein System wieder sauber bekomme ?
Für Antworten, Hinweise oder Tipps wäre ich sehr dankbar
Gruß
Shea