Searchweb2 als Startseite entfernen

#0
10.01.2005, 12:16
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#16 Hallo@stöps

infected by "Trojan-Downloader.Win32.Swizzor.cp"No Virus. Action Taken:

du must mir noch unbedingt den genauen Pfad abkopieren, und dann manuell loeschen.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.01.2005, 23:01
...neu hier

Beiträge: 4
#17 ups ... zu spät

hab schon gelöscht .... und hab mwav.exe noch mal scannen lassen ... mein pc iss ok ... sorry
Dieser Beitrag wurde am 10.01.2005 um 23:02 Uhr von stöps editiert.
Seitenanfang Seitenende
11.01.2005, 14:50
...neu hier

Beiträge: 2
#18 Ich benötige ebenfalls Hilfe deshalb habe ich auch gleich mal mein Log hier ...
hoffe mir kann jmd helfen ... Danke schonmal im voraus ! ;)

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Programme\Microsoft Hardware\Keyboard\type32.exe
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
C:\Programme\Logitech\ImageStudio\LogiTray.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\WINDOWS\System32\hphmon05.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\updatetc.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Logitech\ImageStudio\LowLight.exe
C:\Programme\AVPersonal\AVGNT.EXE
D:\Winamp\winampa.exe
C:\programme\powerstrip\pstrip.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\WINDOWS\system32\ctfmon.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\cidaemon.exe
D:\GAMES\steam\Steam.exe
C:\Programme\MSN Messenger\msnmsgr.exe
D:\LimeWire\LimeWire.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Opera\opera.exe
C:\PROGRA~1\MICROS~3\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Dokumente und Einstellungen\Julian Schäfer\Desktop\AntiSpy\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.igrfehugbawqilqwgeajkxsr.net/CE1PUHW7WM_4pqkCzlQcbYv6vt/4xmJpOZjcsSIpJMs9KMjs1RMFBNc7oATNS4zf.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.xetiiizlociibnj.info/CE1PUHW7WM/LIG8tkQrxzMgTU_EIZ0zfudT9WL6Ra_8.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R3 - URLSearchHook: (no name) - _{0428FFC7-1931-45b7-95CB-3CBB919777E1} - (no file)
R3 - URLSearchHook: (no name) - {34A44FCF-50E3-63A5-A8DA-7835752B9571} - (no file)
R3 - URLSearchHook: (no name) - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {4D8D4E3B-4FCF-0663-6FE8-41BB5F116172} - C:\DOKUME~1\JULIAN~1\ANWEND~1\SHIMSO~1\this dupe.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: (no name) - {D848A3CA-0BFB-4DE0-BA9E-A57F0CCA1C13} - (no file)
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [PtiuPbmd] Rundll32.exe ptipbm.dll,SetWriteBack
O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Programme\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Programme\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [HPHUPD05] C:\Programme\Hewlett-Packard\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
O4 - HKLM\..\Run: [dlncoyc] C:\WINDOWS\System32\flpvnhr.exe
O4 - HKLM\..\Run: [Windows SA] C:\Program Files\WindowsSA\omniscient.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [tpcupdater] C:\WINDOWS\updatetc.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Amen that time nurb] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\linksafeamenthat\Rule burn.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe /waitservice
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [WinampAgent] D:\Winamp\winampa.exe
O4 - HKLM\..\Run: [PowerStrip] c:\programme\powerstrip\pstrip.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [FORD COAL MANAGER ROAM] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Flaw Bird Ford Coal\Axisteam.exe
O4 - HKCU\..\Run: [Steam] "d:\games\steam\steam.exe" -silent
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [atom online] C:\DOKUME~1\JULIAN~1\ANWEND~1\FORBLE~1\timeprogram.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {00000EF1-0786-4633-87C6-1AA7A44296DA} - http://www.addictivetechnologies.net/DM0/cab/ATPartners.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{69C083E8-FEA2-4D49-875F-AC03D96DD2FC}: NameServer = 217.237.150.225 217.237.150.141
Seitenanfang Seitenende
12.01.2005, 00:17
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#19 Hallo@SCF

Was sollen die Doppelpostings ????? Bin echt nicht einverstanden damit. Wenn ich mich nicht an dich erinnert haette...haette ich nun die doppelte Arbeit. Find ich nicht in Ordnung von dir.

http://board.protecus.de/t14081.htm
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 12.01.2005 um 00:17 Uhr von Sabina editiert.
Seitenanfang Seitenende
31.01.2005, 15:27
Member

Beiträge: 15
#20 auch bei mir hat sich dieses sch.... searchweb2 eingeschlichen, mit allen schikanen: startseite, verknüpfungen auf dem desktop, favoriten....

wäre echt klasse wenn ihr mir auch helfen könntet...

Logfile of HijackThis v1.99.0
Scan saved at 15:08:06, on 31.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\1&1 Programme\cFos\cFosDNT.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\Windows AdControl\WinAdCtl.exe
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Corel Word Perfect Suite 8\Programs\DAD8.EXE
c:\progra~1\intern~1\iexplore.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\GEMEIN~1\SONYSH~1\AVLib\Sptisrv.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\svchost.exe
D:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\mo\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.xganexbexokrhtlqqpzdcnmm.net/q6z_H7Vd8vBIVxDPRUZ0EjVHpCDZgt1Bos3ZqkeEUn6aUYApdCotfo468VBHChAd.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.awbqocawldhlmuuuuriv.com/q6z_H7Vd8vCuNsCt9EyVsTW8ANSwoL4wvvp/N1IpAUk.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O2 - BHO: (no name) - {3845A1A3-0141-A53D-F176-BA1C1C70A54F} - (no file)
O2 - BHO: (no name) - {94A4A08B-5467-4376-97DE-635248C70632} - C:\DOKUME~1\mo\ANWEND~1\MATHST~1\PLANNEW.exe
O2 - BHO: (no name) - {BA1FAAFD-5967-18A7-7BD8-59B574DDE8A4} - C:\DOKUME~1\oecke\ANWEND~1\MATHST~1\PLANNEW.exe
O2 - BHO: (no name) - {D848A3CA-0BFB-4DE0-BA9E-A57F0CCA1C13} - (no file)
O3 - Toolbar: (no name) - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - (no file)
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\programme\quick time\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [cFosDNT] C:\Programme\1&1 Programme\cFos\cFosDNT.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Windows AdControl] C:\Program Files\Windows AdControl\WinAdCtl.exe
O4 - HKLM\..\Run: [filmrdrfragchic] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Type Win Film Rdr\Blue does.exe
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [Flaw bits does ford] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mapi knob flaw bits\Open Find.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [RDR BARB] C:\DOKUME~1\mo\ANWEND~1\AUDIOG~1\Sixthpurewait.exe
O4 - Global Startup: Corel DAD 8.LNK = C:\Programme\Corel Word Perfect Suite 8\Programs\DAD8.EXE
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: AOL Instant Messenger (TM) - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=d5ce257857a083868c1f4672b0407c8b9379fe5496c0e7d74dd5b79e931ad6d6d9b0f3669e53e51b8fba848fa8088c3fc64cb0edfedca287d6c4c1b056f368:c05c8ac2b23f939ff11a0351cafa03db
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/012acc0774fda69d5005/netzip/RdxIE601_de.cab
O16 - DPF: {9A54032D-31F7-400D-B184-83B33BDE65FA} (MSN File Upload Control) - http://sc.groups.msn.com/controls/FileUC/MsnUpld.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?326
O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Programme\HP\hpcoretech\comp\hpuiprot.dll
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sony SPTI Service - Sony Corporation - C:\PROGRA~1\GEMEIN~1\SONYSH~1\AVLib\Sptisrv.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe
Seitenanfang Seitenende
31.01.2005, 20:36
Member

Beiträge: 15
#21 sorry, hab jetzt erst gelesen, dass man vorher das automatisch checken lassen sollte. hab ich jetzt getan (problem aber trotzdem nicht gelöst)
hier neue logfile:
Logfile of HijackThis v1.99.0
Scan saved at 20:34:42, on 31.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\1&1 Programme\cFos\cFosDNT.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\Programme\Corel Word Perfect Suite 8\Programs\DAD8.EXE
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\programme\downloads\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.svrulydefgcztdwlcgukr.org/q6z_H7Vd8vBIVxDPRUZ0EjVHpCDZgt1Bos3ZqkeEUn6YmBXp3w6Sdo468VBHChAd.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.awbqocawldhlmuuuuriv.com/q6z_H7Vd8vCuNsCt9EyVsTW8ANSwoL4wvvp/N1IpAUk.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O2 - BHO: (no name) - {94A4A08B-5467-4376-97DE-635248C70632} - C:\DOKUME~1\mo\ANWEND~1\MATHST~1\PLANNEW.exe
O2 - BHO: (no name) - {BA1FAAFD-5967-18A7-7BD8-59B574DDE8A4} - C:\DOKUME~1\oecke\ANWEND~1\MATHST~1\PLANNEW.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\programme\quick time\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [cFosDNT] C:\Programme\1&1 Programme\cFos\cFosDNT.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [filmrdrfragchic] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Type Win Film Rdr\Blue does.exe
O4 - HKLM\..\Run: [Flaw bits does ford] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mapi knob flaw bits\Open Find.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [RDR BARB] C:\DOKUME~1\mo\ANWEND~1\AUDIOG~1\Sixthpurewait.exe
O4 - Global Startup: Corel DAD 8.LNK = C:\Programme\Corel Word Perfect Suite 8\Programs\DAD8.EXE
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/012acc0774fda69d5005/netzip/RdxIE601_de.cab
O16 - DPF: {9A54032D-31F7-400D-B184-83B33BDE65FA} (MSN File Upload Control) - http://sc.groups.msn.com/controls/FileUC/MsnUpld.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?326
O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Programme\HP\hpcoretech\comp\hpuiprot.dll
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sony SPTI Service - Sony Corporation - C:\PROGRA~1\GEMEIN~1\SONYSH~1\AVLib\Sptisrv.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe
Seitenanfang Seitenende
31.01.2005, 23:40
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#22 Hallo@Manifesto

Download Registry Search Tool :
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
Doppelklick:regsrch.vbs

kopiere rein:

{3845A1A3-0141-A53D-F176-BA1C1C70A54F}

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)

mache das auch mit.
{94A4A08B-5467-4376-97DE-635248C70632}
{BA1FAAFD-5967-18A7-7BD8-59B574DDE8A4}
{D848A3CA-0BFB-4DE0-BA9E-A57F0CCA1C13}
{0494D0D9-F8E0-41ad-92A3-14154ECE70AC}
{CD67F990-D8E9-11d2-98FE-00C0F0318AFE}
{15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6}
{EB387D2F-E27B-4D36-979E-847D1036C65D}


#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.xganexbexokrhtlqqpzdcnmm.net/q6z_H7Vd8vBIVxDPRUZ0EjVHpCDZgt1Bos3ZqkeEUn6aUYApdCotfo468VBHChAd.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.awbqocawldhlmuuuuriv.com/q6z_H7Vd8vCuNsCt9EyVsTW8ANSwoL4wvvp/N1IpAUk.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O2 - BHO: (no name) - {3845A1A3-0141-A53D-F176-BA1C1C70A54F} - (no file)
O2 - BHO: (no name) - {94A4A08B-5467-4376-97DE-635248C70632} - C:\DOKUME~1\mo\ANWEND~1\MATHST~1\PLANNEW.exe
O2 - BHO: (no name) - {BA1FAAFD-5967-18A7-7BD8-59B574DDE8A4} - C:\DOKUME~1\oecke\ANWEND~1\MATHST~1\PLANNEW.exe
O2 - BHO: (no name) - {D848A3CA-0BFB-4DE0-BA9E-A57F0CCA1C13} - (no file)
O3 - Toolbar: (no name) - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - (no file)
O4 - HKLM\..\Run: [Windows AdControl] C:\Program Files\Windows AdControl\WinAdCtl.exe
O4 - HKLM\..\Run: [filmrdrfragchic] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Type Win Film Rdr\Blue does.exe
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [Flaw bits does ford] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mapi knob flaw bits\Open Find.exe
O4 - HKCU\..\Run: [RDR BARB] C:\DOKUME~1\mo\ANWEND~1\AUDIOG~1\Sixthpurewait.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=d5ce257857a083868c1f4672b0407c8b9379fe5496c0e7d74dd5b79e931ad6d6d9b0f3669e53e51b8fba848fa8088c3fc64cb0edfedca287d6c4c1b056f368:c05c8ac2b23f939ff11a0351cafa03db
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/012acc0774fda69d5005/netzip/RdxIE601_de.cab
O16 - DPF: {9A54032D-31F7-400D-B184-83B33BDE65FA} (MSN File Upload Control) - http://sc.groups.msn.com/controls/FileUC/MsnUpld.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?326

PC neustarten

KillBox
http://www.bleepingcomputer.com/files/killbox.php
<Delete File on Reboot

C:\DOKUME~1\mo\ANWEND~1\MATHST~1\PLANNEW.exe
C:\DOKUME~1\oecke\ANWEND~1\MATHST~1\PLANNEW.exe
C:\Program Files\Windows AdControl\WinAdCtl.exe
C:\Program Files\Windows AdControl\WinAdCtl.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Type Win Film Rdr\Blue does.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mapi knob flaw bits\Open Find.exe
C:\DOKUME~1\mo\ANWEND~1\AUDIOG~1\Sixthpurewait.exe

und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

PC neustarten--> in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt)

Loeschen temporaere Dateien --> loesche die Dateien in den Ordnern, nicht die ordner selbst
C:\WINDOWS\Temp\
C:\Temp\
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\
C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temporary Internet Files\Content.IE5 [loesche nicht die index.dat)

#C:\Windows\Downloaded Programm Files\ -->löschen

ueberpruefe, ob alles geloescht ist
C:\DOKUME~1\mo\ANWEND~1\MATHST~1\PLANNEW.exe
C:\DOKUME~1\oecke\ANWEND~1\MATHST~1\PLANNEW.exe
C:\Program Files\Windows AdControl\WinAdCtl.exe
C:\Program Files\Windows AdControl\WinAdCtl.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Type Win Film Rdr\Blue does.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mapi knob flaw bits\Open Find.exe
C:\DOKUME~1\mo\ANWEND~1\AUDIOG~1\Sixthpurewait.exe


#Arbeitsplatz -> rechter Mausklick -->Windows Explorer -> "Extras/Ordneroptionen" ->
"Ansicht" -> Haken entfernen bei "Geschützte Systemdateien
ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen"
aktivieren -> "OK"

Gehe in den Normalmodus


#Search&Destroy
http://www.safer-networking.org/de/download/index.html
Spybot - Search && Destroy process list report,-->bitte abkopieren und posten

#Ad-aware SE Personal 1.05 Updated
http://fileforum.betanews.com/detail/965718306/1
Laden-->updaten-->scannen-->PC neustarten

#RegCleaner
(Tip: Lade RegCleaner, stelle das Tool in Deutsch ein und saeubere ueber <Tools<Registry saeubern<alles durchfuehren < den PC (du kannst alles angezeigte Loeschen, denn es verbleibt eine Sicherung)
http://www.chip.de/downloads/c_downloads_8830516.html

#ClaerProg..lade die neuste Version <1.4.0 Final
http://www.clearprog.de/downloads.php
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)
- die eingetragenen URLs


#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 31.01.2005 um 23:46 Uhr von Sabina editiert.
Seitenanfang Seitenende
01.02.2005, 13:36
Member

Beiträge: 15
#23 danke für die schnelle antwort! ich kenn mich nämlich überhaupt nicht aus mit sowas ;)
also hier dann erstmal die ergebnisse vom registry tool (ich hoffe mal, ich geb das richtig an):
{3845A1A3-0141-A53D-F176-BA1C1C70A54F}:
nichts gefunden!

{94A4A08B-5467-4376-97DE-635248C70632}:
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{94A4A08B-5467-4376-97DE-635248C70632}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{94A4A08B-5467-4376-97DE-635248C70632}\InprocServer32]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{94A4A08B-5467-4376-97DE-635248C70632}]

[HKEY_USERS\S-1-5-21-343818398-1715567821-725345543-1005\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{94A4A08B-5467-4376-97DE-635248C70632}]

[HKEY_USERS\S-1-5-21-343818398-1715567821-725345543-1005\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{94A4A08B-5467-4376-97DE-635248C70632}\iexplore]

{BA1FAAFD-5967-18A7-7BD8-59B574DDE8A4}:
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BA1FAAFD-5967-18A7-7BD8-59B574DDE8A4}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BA1FAAFD-5967-18A7-7BD8-59B574DDE8A4}\InprocServer32]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BA1FAAFD-5967-18A7-7BD8-59B574DDE8A4}]

[HKEY_USERS\S-1-5-21-343818398-1715567821-725345543-1005\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{BA1FAAFD-5967-18A7-7BD8-59B574DDE8A4}]

[HKEY_USERS\S-1-5-21-343818398-1715567821-725345543-1005\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{BA1FAAFD-5967-18A7-7BD8-59B574DDE8A4}\iexplore]

{D848A3CA-0BFB-4DE0-BA9E-A57F0CCA1C13}:
[HKEY_USERS\S-1-5-21-343818398-1715567821-725345543-1005\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D848A3CA-0BFB-4DE0-BA9E-A57F0CCA1C13}]

[HKEY_USERS\S-1-5-21-343818398-1715567821-725345543-1005\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D848A3CA-0BFB-4DE0-BA9E-A57F0CCA1C13}\iexplore]

{0494D0D9-F8E0-41ad-92A3-14154ECE70AC}:
[HKEY_USERS\S-1-5-21-343818398-1715567821-725345543-1005\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser]
"{0494D0D9-F8E0-41AD-92A3-14154ECE70AC}"=hex:d9,d0,94,04,e0,f8,ad,41,92,a3,14,\

[HKEY_USERS\S-1-5-21-343818398-1715567821-725345543-1005\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{0494D0D9-F8E0-41AD-92A3-14154ECE70AC}"=hex:d9,d0,94,04,e0,f8,ad,41,92,a3,14,\

[HKEY_USERS\S-1-5-21-343818398-1715567821-725345543-1005\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0494D0D9-F8E0-41AD-92A3-14154ECE70AC}]

[HKEY_USERS\S-1-5-21-343818398-1715567821-725345543-1005\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0494D0D9-F8E0-41AD-92A3-14154ECE70AC}\iexplore]

{CD67F990-D8E9-11d2-98FE-00C0F0318AFE}:
[HKEY_USERS\S-1-5-21-343818398-1715567821-725345543-1005\Software\Microsoft\Internet Explorer\Extensions\CmdMapping]
"{CD67F990-D8E9-11d2-98FE-00C0F0318AFE}"=dword:00002001

{15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6}:
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WinAdCtlX.Installer\CLSID]
@="{15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/WinAdCtlX.dll]
".Owner"="{15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/Downloaded Program Files/WinAdCtlX.dll]
"{15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6}"=""

[HKEY_USERS\S-1-5-21-343818398-1715567821-725345543-1005\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6}]

[HKEY_USERS\S-1-5-21-343818398-1715567821-725345543-1005\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6}\iexplore]


{EB387D2F-E27B-4D36-979E-847D1036C65D}:
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EB387D2F-E27B-4d36-979E-847D1036C65D}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EB387D2F-E27B-4d36-979E-847D1036C65D}\InprocServer32]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EB387D2F-E27B-4d36-979E-847D1036C65D}\ProgID]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EB387D2F-E27B-4d36-979E-847D1036C65D}\Programmable]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EB387D2F-E27B-4d36-979E-847D1036C65D}\TypeLib]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EB387D2F-E27B-4d36-979E-847D1036C65D}\VersionIndependentProgID]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\QDiagHUpdateObj.QDiagHUpdateObj.1\CLSID]
@="{EB387D2F-E27B-4d36-979E-847D1036C65D}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{EB387D2F-E27B-4D36-979E-847D1036C65D}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{EB387D2F-E27B-4D36-979E-847D1036C65D}\Contains]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{EB387D2F-E27B-4D36-979E-847D1036C65D}\Contains\Files]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{EB387D2F-E27B-4D36-979E-847D1036C65D}\DownloadInformation]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{EB387D2F-E27B-4D36-979E-847D1036C65D}\InstalledVersion]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/System32/DDMI.VXD]
".Owner"="{EB387D2F-E27B-4D36-979E-847D1036C65D}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/System32/DDMI.VXD]
"{EB387D2F-E27B-4D36-979E-847D1036C65D}"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/System32/DDMI2.sys]
".Owner"="{EB387D2F-E27B-4D36-979E-847D1036C65D}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/System32/DDMI2.sys]
"{EB387D2F-E27B-4D36-979E-847D1036C65D}"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/System32/DLPT2.sys]
".Owner"="{EB387D2F-E27B-4D36-979E-847D1036C65D}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/System32/DLPT2.sys]
"{EB387D2F-E27B-4D36-979E-847D1036C65D}"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/System32/DLPT2.VXD]
".Owner"="{EB387D2F-E27B-4D36-979E-847D1036C65D}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/System32/DLPT2.VXD]
"{EB387D2F-E27B-4D36-979E-847D1036C65D}"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/System32/qdiagh.ocx]
".Owner"="{EB387D2F-E27B-4D36-979E-847D1036C65D}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/WINDOWS/System32/qdiagh.ocx]
"{EB387D2F-E27B-4D36-979E-847D1036C65D}"=""


[Edit]
das spybot search & destroy hab ich installiert und einen durchlauf gemacht. habe dann 25 "probleme" behoben, aber nicht gefunden wo da ein report gespeichert wird, den man posten kann.....
Dieser Beitrag wurde am 01.02.2005 um 14:34 Uhr von Manifesto editiert.
Seitenanfang Seitenende
01.02.2005, 14:39
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#24 Hallo@Manifesto

#Arbeitsplatz -> rechter Mausklick -->Windows Explorer -> "Extras/Ordneroptionen" ->
"Ansicht" -> Haken entfernen bei "Geschützte Systemdateien
ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen"
aktivieren -> "OK"


ueberpruefe, ob alles geloescht ist

C:\DOKUME~1\mo\ANWEND~1\MATHST~1\PLANNEW.exe
C:\DOKUME~1\oecke\ANWEND~1\MATHST~1\PLANNEW.exe
C:/WINDOWS/Downloaded Program Files/WinAdCtlX.dll]
C:\Program Files\Windows AdControl\WinAdCtl.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Type Win Film Rdr\Blue does.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mapi knob flaw bits\Open Find.exe
C:\DOKUME~1\mo\ANWEND~1\AUDIOG~1\Sixthpurewait.exe


#ClaerProg..lade die neuste Version <1.4.0 Final
http://www.clearprog.de/downloads.php
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)
- die eingetragenen URLs

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

und poste das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 04.02.2005 um 00:36 Uhr von Sabina editiert.
Seitenanfang Seitenende
01.02.2005, 14:57
Member

Beiträge: 15
#25 erstmal: TAUSEND DANK SABINA!
das searchweb2 war schon entfernt, nachdem ich den schritt mit dem hijackthis gemacht habe!!!
hab aber trotzdem noch sämtliche anweisungen befolgt, programme runtergeladen und ausgeführt....hab soviel behoben und repariert, dass ich mal hoffe nicht zuviel gemacht zu haben ;) aber der computer funktioniert noch einwandfrei ;)

hier meine neue logfile:
Logfile of HijackThis v1.99.0
Scan saved at 14:52:45, on 01.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\1&1 Programme\cFos\cFosDNT.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Corel Word Perfect Suite 8\Programs\DAD8.EXE
C:\PROGRA~1\ICQ\ICQ.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\programme\downloads\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.uoziwnjnmomwtyoxoxeaun.info/q6z_H7Vd8vBIVxDPRUZ0EjVHpCDZgt1Bos3ZqkeEUn5Q4Bav_bx8oo468VBHChAd.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\programme\quick time\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [cFosDNT] C:\Programme\1&1 Programme\cFos\cFosDNT.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Corel DAD 8.LNK = C:\Programme\Corel Word Perfect Suite 8\Programs\DAD8.EXE
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Programme\HP\hpcoretech\comp\hpuiprot.dll
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sony SPTI Service - Sony Corporation - C:\PROGRA~1\GEMEIN~1\SONYSH~1\AVLib\Sptisrv.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe
Seitenanfang Seitenende
02.02.2005, 15:01
Member

Beiträge: 15
#26 oh nein, das kann doch nicht wahr sein....die searchweb2 sch**** ist schon heute wieder auf meinen pc zurückgekehrt ;)

Logfile of HijackThis v1.99.0
Scan saved at 15:00:39, on 02.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realevent.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\1&1 Programme\cFos\cFosDNT.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\ICQ\ICQ.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Corel Word Perfect Suite 8\Programs\DAD8.EXE
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\programme\downloads\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://web.qbnbswldapknh.org/q6z_H7Vd8vBIVxDPRUZ0EjVHpCDZgt1Bos3ZqkeEUn4jwDB2OztxnI468VBHChAd.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.taxnohsvqyxuppqunkztpf.com/q6z_H7Vd8vCuNsCt9EyVsUmT8_4yQnkjvvp/N1IpAUk.html
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {94A4A08B-5467-4376-97DE-635248C70632} - C:\DOKUME~1\mo\ANWEND~1\MATHST~1\PLANNEW.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\programme\quick time\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [cFosDNT] C:\Programme\1&1 Programme\cFos\cFosDNT.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Flaw bits does ford] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mapi knob flaw bits\Intra Cake.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [RDR BARB] C:\DOKUME~1\mo\ANWEND~1\AUDIOG~1\Sixthpurewait.exe
O4 - Global Startup: Corel DAD 8.LNK = C:\Programme\Corel Word Perfect Suite 8\Programs\DAD8.EXE
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Programme\HP\hpcoretech\comp\hpuiprot.dll
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sony SPTI Service - Sony Corporation - C:\PROGRA~1\GEMEIN~1\SONYSH~1\AVLib\Sptisrv.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe
Dieser Beitrag wurde am 02.02.2005 um 15:01 Uhr von Manifesto editiert.
Seitenanfang Seitenende
02.02.2005, 15:11
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#27 Hallo@Manifesto

#eScan-Erkennungstool[/u]
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp

oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche
kavupd.exe, die klickst du an--> (Update- in DOS) ausführen

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://web.qbnbswldapknh.org/q6z_H7Vd8vBIVxDPRUZ0EjVHpCDZgt1Bos3ZqkeEUn4jwDB2OztxnI468VBHChAd.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.taxnohsvqyxuppqunkztpf.com/q6z_H7Vd8vCuNsCt9EyVsUmT8_4yQnkjvvp/N1IpAUk.html
O2 - BHO: (no name) - {94A4A08B-5467-4376-97DE-635248C70632} - C:\DOKUME~1\mo\ANWEND~1\MATHST~1\PLANNEW.exe
O4 - HKLM\..\Run: [Flaw bits does ford] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mapi knob flaw bits\Intra Cake.exe
O4 - HKCU\..\Run: [RDR BARB] C:\DOKUME~1\mo\ANWEND~1\AUDIOG~1\Sixthpurewait.exe

PC neustarten--> unbedingt in den abgesicherten MODUS
gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

#Arbeitsplatz -> rechter Mausklick -->Windows Explorer -> "Extras/Ordneroptionen" ->
"Ansicht" -> Haken entfernen bei "Geschützte Systemdateien
ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen"
aktivieren -> "OK"


Loesche:
C:\DOKUME~1\mo\ANWEND~1\MATHST~1\PLANNEW.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mapi knob flaw bits\Intra Cake.exe
C:\DOKUME~1\mo\ANWEND~1\AUDIOG~1\Sixthpurewait.exe

und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen :
Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory

• Beim Start von e-scan sollten folgende Optionen aktiviert sein:


-->und "Scan " klicken.

Gehe wieder in den Normalmodus:

mache bitte folgendes:
nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du infected ein



jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
und ganz unten steht die zusammenfassung, diese auch hier posten ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 02.02.2005 um 15:24 Uhr von Sabina editiert.
Seitenanfang Seitenende
02.02.2005, 15:27
Member

Beiträge: 15
#28 das geht aber schnell mit der hilfe hier ;)
hab heute aber leider ziemlichen stress und werde deshalb erst morgen dazu kommen das gewissenhaft zu erledigen. aber nach so langer zeit mit dem searchweb2 werd ichs bis morgen auch noch aushalten....
wollte nur bescheid sagen, dass du heute hier nicht mehr umsonst reinschaust...
Seitenanfang Seitenende
03.02.2005, 15:53
Member

Beiträge: 15
#29 hi, leider scheitert das ganze bei mir schon an der installation vom escan erkennungsmodul....
hab mir die installationsdatei schon 2mal runtergeladen und auch schon direkt ausgeführt, es kommt aber immer diesselbe fehlermeldung (hab hier mal einen screenshot erstellt):
http://s4.yousendit.com/d.aspx?id=1U65BZEA7DUNF28J3E4IQHG8E7
soll ich die anderen schritte trotzdem ausführen?
Dieser Beitrag wurde am 03.02.2005 um 15:54 Uhr von Manifesto editiert.
Seitenanfang Seitenende
03.02.2005, 16:42
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#30 Dann loesche rigeros, was ich dir zum Loeschen angewiesen habe.
und fuehre alle weiteren Schritte aus + poste das neue Log vom HijacktHis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende