Home » Spyware & Browser Hijacker Support Forum » "IBIS Toolbar" [C:\WINDOWS\System32\toolbar.dll] » Themenansicht

"IBIS Toolbar" [C:\WINDOWS\System32\toolbar.dll]
#0
05.11.2004, 13:54
The Remover
Member

Beiträge: 25
#1 Habe mir eine Toolbar eingefangen, die laut "AD Aware" den Namen "IBIS Toolbar" trägt. Sie verhindert, dass ich in's Internet gehen kann (sitze am Rechner meines Vaters), und lässt "Pest Patrol" net mehr starten. Wenn ich mit Adware die Files lösche, und, ohne was zu machen, nochmal gleich darauf neu scanne, is alles wieder da. Wie kommt das? Würde die Dinger ja wegkriegen, aber warum kommen die immer wieder? Ich habe auch schon den Ordner, der meinen I-Net Explorer mit einer Toolbar "ausgestattet" hat gelöscht, die Toolbar is jetzt auch weg, aber die anderen Probleme bestehen weiterhin. Der Ordner befand sich unter "C:/Programme/Toolbar". Ich brauche ect dringend Hilfe, muss an dem´Rechner nämlich auch was dringend machen, was an dem hier net geht.
__________
Think Positive. ;)
Dieser Beitrag wurde am 05.11.2004 um 15:07 Uhr von Sabina editiert.
Seitenanfang Seitenende
05.11.2004, 14:58
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo@The Remover

Gehe in die Registry

Start<Ausfuehren<regedit

loesche rechts in der Registry: (alles,was du findest)
<HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run\
#wintools
<From: HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\
#emusicclient systray,
#fash
#wintools
<From: HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices\
#wintools
<HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservicesonce\
#wintools

HKEY_CLASSES_ROOT\CLSID\{1C78AB3F-A857-482E-80C0-3A1E5238A565}
HKEY_CLASSES_ROOT\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1C78AB3F-A857-482E-80C0-3A1E5238A565}
HKEY_LOCAL_MACHINE\CLSID\{1C78AB3F-A857-482E-80C0-3A1E5238A565}
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{1C78AB3F-A857-482E-80C0-3A1E5238A565}
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\{1C78AB3F-A857-482E-80C0-3A1E5238A565}
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1C78AB3F-A857-482E-80C0-3A1E5238A565}
HKEY_LOCAL_MACHINE\Microsoft\Windows\CurrentVersion\Uninstall\iSearch Toolbar_is1
HKEY_CLASSES_ROOT\iSearch.Object
HKEY_CLASSES_ROOT\iSearch.Object.1
HKEY_CLASSES_ROOT\TypeLib\{6D3F5DE4-E980-4407-A10F-9AC771ABAAE6}
HKEY_CURRENT_USER\Software\iSearch
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{1C78AB3F-A857-482E-80C0-3A1E5238A565}
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks\{1C78AB3F-A857-482E-80C0-3A1E5238A565} HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\&iSearch The Web

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer
veraendere die Werte, die da sind in :
"Btn_Search"="0x00000000"
"NoDriveTypeAutoRun"="0x00000000"

"SpecifyDefaultButtons"="0x00000000"

Starte den PC neu

Lass dir versteckte Dateien anzeigen:
Klick auf Arbeitsplatz ->Extras ->Ansicht
Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.

Suchfunktion von Windows:
1. "Bevorzugte Einstellungen ändern | Datei- und Ordnersuchverhalten
ändern | Erweitert [...] Empfohlen für fortgeschrittene Benutzer"
2. Über "OK" auf "Weitere Optionen" gehen und die folgenden Optionen
auswählen:
[x] Systemordner durchsuchen
[x] Versteckte Elemente durchsuchen
[x] Unterordner durchsuchen

Loesche:...achte darauf , dass keiner dieser Prozesse aktiv im Autostart ist (sonst kannst du sie nicht loeschen) Start-->Ausfuehren-->>msconfig -->startup Tab.

<Program Files\common files\wintools\
<Program Files\common~1\wintools\
<Program Files\funwebproducts\installr\2.bin

<iexploreskins.exe
<emusicclient.exe
<fash.exe
<wintools.exe
<wtoolsa.exe
<wsup.exe
<wtoolss.exe
<C:\Winnt\unins000.exe
<C:\Winnt\unins000.dat
<C:\WINDOWS\System32\Version.txt

Hole dir das HijackThis von einem PC mit Internetzugang (falls du es nicht hast)
<zip<
http://www.downloads.subratam.org/hijackthis.zip

HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:
C:\WINDOWS\System32\toolbar.dll
PC neustarten

HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:
c:\progra~1\iesearchbar\iesearchbar.dll
PC neustarten

HijackThis[/b]<Config<Misc Tools<Delete a file on reboot< reinkopieren:
C:\WINDOWS\System32\Version.txt
PC neustarten

das machst du auch mit diesen dll´s, denn ich weiss nicht, welche Version der Toolbar du dir eingefangen hast.

C:\WINDOWS\System32\btiein.dll
C:\WINDOWS\System32\f3ezsetp.dll
C:\WINDOWS\System32\sep.dll
C:\WINDOWS\System32\toolbar.dll
C:\WINDOWS\System32\wtoolsb.dll

<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml
und scanne mit deinen Tools.

Internetexplorer reinigen:
1. Klicken Sie in der Menüzeile des Internet Explorers auf Extras und Internet-Optionen.
2. Auf der Registerkarte Allgemein klicken Sie im Bereich Temporäre Internetdateien auf den Button Cookies löschen.
3.Temporaere Internet-Dateien<Dateien loeschen

#Datentraegerbereinigung: und Loeschen der Temporary-Dateien
<Start<Ausfuehren<cleanmgr
#Click:Temporary Internet Files, O.K
#Click:Temporary Files, O.K
#Click: Downloaded-Files

Dann berichte.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 05.11.2004 um 15:26 Uhr von Sabina editiert.
Seitenanfang Seitenende
05.11.2004, 15:24
The Remover
Member

Themenstarter

Beiträge: 25
#3 Ich glaube, es ist jetzt weg, aber ich habe irgendwo in der Registry einen Eintrag [kam noch was davor, was mir jetzt net einfällt].net Startup gelöscht, und jetzt stellt er keine Internetverbindung mehr her. ;)


EDIT :


Glaube es funzt alles wieder. Danke für die Hilfe. Schreibe übrigens gerade von meinem Rechner. ;)
__________
Think Positive. ;)
Dieser Beitrag wurde am 05.11.2004 um 15:29 Uhr von The Remover editiert.
Seitenanfang Seitenende
05.11.2004, 15:48
The Remover
Member

Themenstarter

Beiträge: 25
#4 Sorry für den Doppelpost, aber zur Sicherheit, hier nochmal mein Hijack This! Log :


Zitat

Logfile of HijackThis v1.97.7
Scan saved at 15:46:41, on 05.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe
C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
c:\programme\mcafee.com\agent\mcagent.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\PRISMSTA.EXE
C:\Programme\PestPatrol\PPMemCheck.exe
C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\PestPatrol\CookiePatrol.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\System32\atwtusb.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Microtek\ScanWizard 5\ScannerFinder.exe
C:\WINDOWS\CNYHKey.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
c:\progra~1\mcafee.com\vso\mcvsftsn.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
C:\WINDOWS\System32\msiexec.exe
D:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R3 - URLSearchHook: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972} - (no file)
O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {339BB23F-A864-48C0-A59F-29EA915965EC} - (no file)
O4 - HKLM\..\Run: [WinDVR SchSvr] "C:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe"
O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [TBPS] C:\Programme\Toolbar\TBPS.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\McAfee.com\Agent\mcupdate.exe
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [Firebat Assistant] C:\Dokumente und Einstellungen\*****\Desktop\LLuna\llunaAssistant.exe
O4 - HKLM\..\Run: [DVD43] C:\Programme\DVD Region+CSS Free\DVD43.exe /hidden
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [atwtusb] atwtusb.exe beta
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\aolshare\AOLMIcon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Registration-InstantCopy.lnk = C:\Programme\Pinnacle\Shared Files\InstantCDDVD\Pixie\RegTool.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microtek Scanner Finder.lnk = C:\Programme\Microtek\ScanWizard 5\ScannerFinder.exe
O4 - Global Startup: USB Tastatur Kontrollfeld.lnk = C:\WINDOWS\CNYHKey.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Bold - C:\WINDOWS\Vb-World\bold.htm
O8 - Extra context menu item: Code - C:\WINDOWS\Vb-World\code.htm
O8 - Extra context menu item: Color - C:\WINDOWS\Vb-World\color.htm
O8 - Extra context menu item: Email - C:\WINDOWS\Vb-World\email.htm
O8 - Extra context menu item: Gradient - C:\WINDOWS\Vb-World\Gradient.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Italic - C:\WINDOWS\Vb-World\Italic.htm
O8 - Extra context menu item: Line - C:\WINDOWS\Vb-World\line.htm
O8 - Extra context menu item: List - C:\WINDOWS\Vb-World\list.htm
O8 - Extra context menu item: Quote - C:\WINDOWS\Vb-World\quote.htm
O8 - Extra context menu item: Rainbow - C:\WINDOWS\Vb-World\Rainbow.htm
O8 - Extra context menu item: Strip Tags - C:\WINDOWS\Vb-World\StrpTags.htm
O8 - Extra context menu item: SubScript - C:\WINDOWS\Vb-World\Sub.htm
O8 - Extra context menu item: SuperScript - C:\WINDOWS\Vb-World\Super.htm
O8 - Extra context menu item: UnderLine - C:\WINDOWS\Vb-World\Undrline.htm
O8 - Extra context menu item: Url - C:\WINDOWS\Vb-World\url.htm
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Recherchieren (HKLM)
O9 - Extra button: ICQ 4 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O9 - Extra button: MedionShop (HKCU)
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37878.3897453704
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://bin.mcafee.com/molbin/shared/mcgdmgr/de/1,0,0,19/mcgdmgr.cab
O16 - DPF: {D1E7CBDA-E60E-4970-A01C-37301EF7BF98} (Measurement Service Client v.3.4) - http://ccon.futuremark.com/global/msc34.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab


__________
Think Positive. ;)
Dieser Beitrag wurde am 06.11.2004 um 00:09 Uhr von Sabina editiert.
Seitenanfang Seitenende
05.11.2004, 23:58
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#5 Hallo@The Remover

#Oeffne das HijackTHis< scan< anhaken < Button "Fix checked" < PC neustarten

R3 - URLSearchHook: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972} - (no file)
O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: (no name) - {339BB23F-A864-48C0-A59F-29EA915965EC} - (no file)
O4 - HKLM\..\Run: [TBPS] C:\Programme\Toolbar\TBPS.exe
O4 - HKLM\..\Run: [Firebat Assistant] C:\Dokumente und Einstellungen\*******\Desktop\LLuna\llunaAssistant.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab

neustarten

#deinstalliere:
<NewDotNet
<C:\Programme\Toolbar\TBPS

Lade:
#LSPfix.exe
http://www10.brinkster.com/expl0iter/freeatlast/L2M/ts.htm
<"I know what I'm doing"
bringe die <newdotnet6_38.dll<
von der linken auf die rechte Seite und loesche sie.

#oeffne das HijackThis:
HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:
C:\Programme\Toolbar\TBPS.exe
PC neustarten

#Datentraegerbereinigung: und Loeschen der Temporary-Dateien
<Start<Ausfuehren<cleanmgr
#Click:Temporary Internet Files, O.K
#Click:Temporary Files, O.K
#Click: Downloaded-Files

#AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!

#Search&Destroy
http://www.safer-networking.org/de/download/index.html

<Das eScan AV Toolkit (mwav.exe) herunterladen, oeffnen, aber nicht scannen
http://www.mwti.net/antivirus/free_utilities.asp
*
danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen. (oder unter Start<Ausfuehren<%temp% die kavupd.exe suchen) und anklicken.

<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives
<und "Scan " klicken.

<Öffne die mwav.log -> Bearbeiten -> Suchen ->
Wenn man infizierte Dateien in dem eScan Log finden will, sollte man nach infected suchen und die Eintraege hier posten
(zusammen mit dem neuen Log vom HijackThiS)
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 08.01.2005 um 16:25 Uhr von Sabina editiert.
Seitenanfang Seitenende
06.11.2004, 00:10
The Remover
Member

Themenstarter

Beiträge: 25
#6 1. : 1-2 Sachen konnte ich net finden.

2. : Der Ordner "Toolbar" mit samt Inhalt existiert nicht mehr, habe ich schon lange gelöscht.

3. : Wieso sollte ich "Scan Wizard 5" deisntallieren? Das ist das Programm meines Scanners ...


Ich mach' da nix mehr, da scheint nix mehr drauf zu sein, ich will nicht riskieren, dass noch was kaputt geht.
__________
Think Positive. ;)
Seitenanfang Seitenende
06.11.2004, 00:12
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#7 Du musst unbedingt den WinsockVirus newdotnet6_38.dll loeschen.

#deinstalliere:
<NewDotNet

Lade:
#LSPfix.exe
http://www10.brinkster.com/expl0iter/freeatlast/L2M/ts.htm
<"I know what I'm doing"
bringe die <newdotnet6_38.dll<
von der linken auf die rechte Seite und loesche sie.

O4 - HKLM\..\Run: [TBPS] C:\Programme\Toolbar\TBPS.exe
ist im Autostart...und sehr aktiv :p
#oeffne das HijackThis:
HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:
C:\Programme\Toolbar\TBPS.exe
PC neustarten
_________________________


Dann scanne mit eScan (loescht nicht...zeigt nur an)

____________________________

Wegen dem Scanner entschuldige, aber du kannst dir dein Log selbst auswerten
http://www.hijackthis.de/index.php
Kopiere es rein.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 06.11.2004 um 00:17 Uhr von Sabina editiert.
Seitenanfang Seitenende
06.11.2004, 14:00
The Remover
Member

Themenstarter

Beiträge: 25
#8

Zitat

Sabina postete
Du musst unbedingt den WinsockVirus newdotnet6_38.dll loeschen.

#deinstalliere:
<NewDotNet

Deinstalliert habe ich es.

Lade:
#LSPfix.exe
http://www10.brinkster.com/expl0iter/freeatlast/L2M/ts.htm
<"I know what I'm doing"
bringe die <newdotnet6_38.dll<
von der linken auf die rechte Seite und loesche sie.

Öhm ja, die DLL ist da net aufgeführt, aber ich habe damit eh schon eine DLL (glaube sogar, es war die), gelöscht. Und wie du siehst, funktioniert mein I-Net ja auch wieder. ;)


O4 - HKLM\..\Run: [TBPS] C:\Programme\Toolbar\TBPS.exe
ist im Autostart...und sehr aktiv :p
#oeffne das HijackThis:
HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:
C:\Programme\Toolbar\TBPS.exe
PC neustarten

Der Ordner "C:\Programme\Toolbar" existiert nicht mehr, ich habe es gleich am Anfang schon geschafft, ihn zu löschen, mit samt seinem Inhalt, also auch diesen ganzen .exe-Dateien.
_________________________


Dann scanne mit eScan (loescht nicht...zeigt nur an)

____________________________

Wegen dem Scanner entschuldige, aber du kannst dir dein Log selbst auswerten
http://www.hijackthis.de/index.php
Kopiere es rein.

Macht ja nichts. ;)

mfg
Sabina
EDIT :


Was war denn die "llunaAssistant.exe", die ich löschen sollte?
__________
Think Positive. ;)
Dieser Beitrag wurde am 06.11.2004 um 14:09 Uhr von The Remover editiert.
Seitenanfang Seitenende
06.11.2004, 16:01
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#9 du solltest das erst mal aus dem Autostart nehmen..<llunaAssistant.exe<
Je weniger Tools man im Autostart hat...desto besser.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.11.2004, 19:49
The Remover
Member

Themenstarter

Beiträge: 25
#10 Was war denn die "llunaAssistant.exe", die ich löschen sollte? Sag' mal ...
__________
Think Positive. ;)
Seitenanfang Seitenende
06.11.2004, 23:13
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#11

Zitat

The Remover postete
Was war denn die "llunaAssistant.exe", die ich löschen sollte? Sag' mal ...
Du bist doch Spezialist in AdWare (ich erinnere mich noch an dein Problem mit "Gain"
Du laedst zu viele Freewaretools. Aber wenn es DAS ist, kannst du es im Autostart lassen.
http://community.lluna.de/
mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.01.2005, 16:03
Turukano
Member

Beiträge: 11
#12 hi

leider habe ich das gleiche problem mit der toolbar
bekommen, hab auch angefangen die anleitung
zur entfernung der toolbar zu benutzen doch einige teile
sind mir unklar, ich bin nicht so der spezialist und hab
die frage ob es vieleicht nicht eine einfachere anleitung
zur entfernung gibt oder eine leichter verständliche
danke schonmal im vorraus

mfg

Turukano
Seitenanfang Seitenende
08.01.2005, 16:24
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#13 Hallo@Turukano

HijackThis
http://www.downloads.subratam.org/hijackthis.zip
http://www.spywareinfo.com/~merijn/files/hijackthis.zip
Lade/entpacke HijackThis in einem Ordner -->None of the above,
just start the program --> Save--> Savelog -->es öffnet sich der
Editor -->
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins
Forum mit rechtem Mausklick "einfügen"

StartupList 1.20
http://bilder.informationsarchiv.net/Nikitas_Tools/
klicke : startuplist.exe und
kopiere die startuplist.txt ind Forum
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.01.2005, 16:53
Turukano
Member

Beiträge: 11
#14 danke schonmal für deine hilfe
hier der log :
Logfile of HijackThis v1.99.0
Scan saved at 16:44:14, on 08.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Toolbar\TBPS.exe
C:\Programme\Toolbar\PIB.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Dokumente und Einstellungen\tri.Morpheus\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für getusage2xp.zip\getusage2xp.exe
C:\WINDOWS\System32\rmctrl.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\Programme\PestPatrol\PPControl.exe
C:\Programme\PestPatrol\PPMemCheck.exe
C:\Programme\PestPatrol\CookiePatrol.exe
C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe
C:\Programme\Web_Rebates\WebRebates0.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb11.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\System32\hphmon06.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Web_Rebates\WebRebates1.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\Programme\HP\Digital Imaging\bin\hpqgalry.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Messenger\msmsgs.exe
C:\Download\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.websearch.com/ie.aspx?tb_id=50193
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.websearch.com/ie.aspx?tb_id=50193
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = res://C:\PROGRA~1\Toolbar\toolbar.dll/sa
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.websearch.com/ie.aspx?tb_id=50193
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = res://C:\PROGRA~1\Toolbar\toolbar.dll/sa
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972} - C:\Programme\Toolbar\toolbar.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972} - C:\Programme\Toolbar\toolbar.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Search Toolbar - {339BB23F-A864-48C0-A59F-29EA915965EC} - C:\Programme\Toolbar\toolbar.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATI DeviceDetect] C:\Programme\ATI Multimedia\\Program Files\ATI Multimedia\main\ATIDtct.EXE
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [GetUsagev2] C:\Dokumente und Einstellungen\tri.Morpheus\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für getusage2xp.zip\getusage2xp.exe
O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\System32\rmctrl.exe
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programme\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb11.exe
O4 - HKLM\..\Run: [HPHUPD06] C:\Programme\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\hphupd06.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HPHmon06] C:\WINDOWS\System32\hphmon06.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [TBPS] C:\Programme\Toolbar\TBPS.exe
O4 - HKLM\..\RunOnce: [TBPS] C:\Programme\Toolbar\TBPS.exe /boot
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\digital imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\digital imaging\bin\hpqthb08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Mountit.lnk = C:\Programme\Roxio\WinOnCD 6 DVD\MountIt.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - C:\Programme\ATI Multimedia\tv\EXPLBAR.DLL
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://69.44.122.156/scanner/axscanner.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28177.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web8.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = msheimnetz
O17 - HKLM\Software\..\Telephony: DomainName = msheimnetz
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = msheimnetz
O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Programme\HP\hpcoretech\comp\hpuiprot.dll
O18 - Protocol: tpro - {FF76A5DA-6158-4439-99FF-EDC1B3FE100C} - C:\Programme\Toolbar\toolbar.dll
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection - Symantec Corporation - C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: X10 Device Network Service - Unknown - C:\PROGRA~1\ATIMUL~1\RemCtrl\x10nets.exe (file missing)
Seitenanfang Seitenende
08.01.2005, 17:37
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#15 Hallo@Turukano

#Windows Explorer -> "Extras/Ordneroptionen" ->
"Ansicht" -> Haken entfernen bei "Geschützte Systemdateien
ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen"
aktivieren -> "OK"

KillBox (entpacke auf dem Desktop)
http://www.bleepingcomputer.com/files/killbox.php

http://bilder.informationsarchiv.net/Nikitas_Tools/
erstelle den Ordner c:\bases
mwav.exe runterladen, die Datei in den Ordner c:\bases (wichtig!) entpacken und danach kavupd.exe (Update- in DOS) ausführen

Start<Ausfuehren
kopiere rein:
regsvr32 /u "%System%\toolbar.dll"
----------------------------------------------------------------------------------

gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked"

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.websearch.com/ie.aspx?tb_id=50193
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.websearch.com/ie.aspx?tb_id=50193
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = res://C:\PROGRA~1\Toolbar\toolbar.dll/sa
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.websearch.com/ie.aspx?tb_id=50193
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = res://C:\PROGRA~1\Toolbar\toolbar.dll/sa
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972} - C:\Programme\Toolbar\toolbar.dll
O2 - BHO: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972} - C:\Programme\Toolbar\toolbar.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll
O3 - Toolbar: &Search Toolbar - {339BB23F-A864-48C0-A59F-29EA915965EC} - C:\Programme\Toolbar\toolbar.dll
4 - HKLM\..\Run: [GetUsagev2] C:\Dokumente und Einstellungen\tri.Morpheus\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für getusage2xp.zip\getusage2xp.exe
O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe"
O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe"
O4 - HKLM\..\Run: [TBPS] C:\Programme\Toolbar\TBPS.exe
O4 - HKLM\..\RunOnce: [TBPS] C:\Programme\Toolbar\TBPS.exe /boot
O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://69.44.122.156/scanner/axscanner.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: tpro - {FF76A5DA-6158-4439-99FF-EDC1B3FE100C} - C:\Programme\Toolbar\toolbar.dll

Button "Fix checked"

oeffne die Killbox:
<Delete File on Reboot<

kopiere rein:

C:\Programme\Toolbar\toolbar.dll
C:\WINDOWS\Unins000.exe
C:\WINDOWS\Unins000.dat
C:\WINDOWS\System32\Version.txt

C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
C:\Programme\Web_Rebates\WebRebates0.exe
C:\Programme\Web_Rebates\WebRebates1.exe
C:\Programme\Toolbar\TBPS.exe
C:\Programme\Toolbar\PIB.exe

und klick auf das rote Kreuz,
wenn gefragt wird, ob reboot-> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

PC neustarten-->wieder in den abgesicherten Modus

loeschen temporaere Dateien
C:\WINDOWS\Temp\
C:\Temp\
C:\Dokumente und Einstellungen\tri.Morpheus\Lokale Einstellungen\Temporary Internet Files\Content.IE5 (loesche nicht die index.dat)
C:\Dokumente und Einstellungen\tri.Morpheus\Lokale Einstellungen\Temp

Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen :
Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory
-->und "Scan " klicken.

Pc neustarten (Normalmodus)

#AboutBuster
www.malwarebytes.biz/AboutBuster.zip

CWShredder 2.12 [2004-12-13]
http://www.majorgeeks.com/download3019.html

#Search&Destroy
http://www.safer-networking.org/de/download/index.html
Spybot - Search && Destroy process list report,-->bitte abkopieren und posten

MRU-Clear XP 1.2
Windows merkt sich von jedem Benutzer die zuletzt benutzten Dateien und ausgeführten Funktionen. Diese Einstellungen werden nicht in einer extra Datei, sondern in der Registrierdatenbank abgelegt. Auf diese MRU-Einträge der einzelnen USER kann aber auch ein anderer Benutzer über die Registry zugreifen und so feststellen, was der Anwender denn so als letztes auf seinem Rechner gemacht hat.
Diese MRU-Listen können Sie mit MRU-Clear XP anzeigen und löschen.
http://www.ok-s.de/download/download.html

#ClaerProg..lade die neuste Version <1.4.0 Final
http://www.clearprog.de/downloads.php
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)
- die eingetragenen URLs
- Autovervollständigen-Einträge in Web-Formularen des IE (bisher
nur Win9x/ME)
- Download-Listen des Netscape/Opera

#Ad-aware SE Personal 1.05 Updated-->poste das Log vom Scann
http://fileforum.betanews.com/detail/965718306/1
---------------------------------------------------------------------------

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein
+ das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 08.01.2005 um 17:57 Uhr von Sabina editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 123