Searchweb2 als Startseite entfernen |
||
---|---|---|
#0
| ||
03.02.2005, 21:30
Member
Beiträge: 15 |
||
|
||
03.02.2005, 23:51
Ehrenmitglied
Beiträge: 29434 |
#32
Hallo@Manifesto
Visual Basic Scripting Edition Invalid picture The graphic file you attempted to load is in an unrecognizable format. Valid formats include bitmap (*.bmp), icon (*.ico), and Windows metafile (*.wmf). To correct this error Make sure the graphic file you want to load is in a valid graphic format. See Also LoadPicture Function http://msdn.microsoft.com/library/default.asp?url=/library/en-us/script56/html/vserrinvalidpicture.asp __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 03.02.2005 um 23:52 Uhr von Sabina editiert.
|
|
|
||
04.02.2005, 00:01
Member
Beiträge: 15 |
#33
aber hijackthis ist doch keine bild-datei, oder wie soll ich das mit der "graphic file" verstehen?!
außerdem ist es sehr komisch, dass es ja vor 2 tagen noch ging, jetzt aber nicht mehr |
|
|
||
04.02.2005, 00:04
Ehrenmitglied
Beiträge: 29434 |
#34
nun muss ich passen, das sind schon Softwareprobleme ;(
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
04.02.2005, 00:13
Member
Beiträge: 15 |
#35
verdammt..kann es sein, dass ich aus versehen mit einem der neuen programme (hab fast alles was du mir empfohlen hast auch angewendet) was wichtiges gelöscht hab?
|
|
|
||
04.02.2005, 00:29
Ehrenmitglied
Beiträge: 29434 |
#36
nein, das kann ich mir nicht vorstellen, denn ich hab acht gegeben, dass es nur Malware ist, was du loeschen solltest.
Und die Tools sind auch nur auf Malware optimiert, sie loeschen normalerweise keine regulaeren WindowsDateien. C:\DOKUME~1\mo\ANWEND~1\MATHST~1\PLANNEW.exe C:\DOKUME~1\oecke\ANWEND~1\MATHST~1\PLANNEW.exe C:\Program Files\Windows AdControl\WinAdCtl.exe C:\Program Files\Windows AdControl\WinAdCtl.exe C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Type Win Film Rdr\Blue does.exe C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mapi knob flaw bits\Open Find.exe C:\DOKUME~1\mo\ANWEND~1\AUDIOG~1\Sixthpurewait.exe es kann aber sein, dass dieses Programm dir einen Virus beschert hat, der fuer das beschaedigte Windows verantwortlich ist. oder die Malware, die ueber den Browser deinen PC kontrolliert O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 04.02.2005 um 00:34 Uhr von Sabina editiert.
|
|
|
||
04.02.2005, 14:40
Member
Beiträge: 12 |
#37
Hi Leute. Ich hab auch Problee mit searchweb2
auch schon antivir, adaware und spybot probiert. messenger plus! 3 hab ich mitlerweile gelöscht, da ich vermute, dass es daher kommt. is aber immernoch da hier das logfile von hijackthis: Zitat Logfile of HijackThis v1.99.0 Dieser Beitrag wurde am 04.02.2005 um 14:41 Uhr von Bastian editiert.
|
|
|
||
04.02.2005, 15:06
Ehrenmitglied
Beiträge: 29434 |
#38
Hallo@Bastian
eScan-Erkennungstool eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich: http://www.mwti.net/antivirus/free_utilities.asp oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche kavupd.exe, die klickst du an--> (Update- in DOS) ausführen #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q404&bd=pavilion&pf=desktop R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=Q404&bd=pavilion&pf=desktop R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.vrwcieyvbfkyyrxykwkwlhsp.com/Trvj9CdtxTEzFnYRZp/rVsu2smYBMmxL_nmG8DK24u66/VKgE50ZPi4qVMxc1W6V.htm R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q404&bd=pavilion&pf=desktop R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=Q404&bd=pavilion&pf=desktop R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q404&bd=pavilion&pf=desktop O2 - BHO: (no name) - {B94F0A7F-5D97-4507-0053-A2BF817DCEFE} - C:\DOKUME~1\Bastian_\ANWEND~1\STYLEF~1\roadsurf.exe O4 - HKLM\..\Run: [ShowWnd] ShowWnd.exe (?) O4 - HKLM\..\Run: [PTBSync] C:\Dokumente und Einstellungen\Bastian_\Eigene Dateien\Downloads\Pr0gz\PTBSync\PTBSync.exe /Start (?) O4 - HKLM\..\Run: [AMOK PEAK ENC CURB] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\2GramAmokPeak\Lite Skip.exe (?) O4 - HKCU\..\Run: [Owns Enc] C:\DOKUME~1\Bastian_\ANWEND~1\Intraace\Help User.exe (?) O4 - Startup: AntiSchoner.lnk = C:\Dokumente und Einstellungen\Bastian_\Eigene Dateien\Downloads\Pr0gz\Antischoner\AntiSchoner.exe (?) O16 - DPF: RaptisoftGameLoader - http://www.miniclip.com/hamsterball/raptisoftgameloader.cab PC neustarten gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen : Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory • Beim Start von e-scan sollten folgende Optionen aktiviert sein: -->und "Scan " klicken. Gehe wieder in den Normalmodus: mache bitte folgendes: nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du infected ein jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw. und ganz unten steht die zusammenfassung, diese auch hier posten __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 04.02.2005 um 15:07 Uhr von Sabina editiert.
|
|
|
||
04.02.2005, 15:24
Member
Beiträge: 12 |
#39
ok hab jetzt mal mit hijackthis alles bis auf antischoner und ptbsync entfernt. (diese programme sind mir bekannt und eigentlich ungefährlich).
gute nachricht: die falschen favoriten sind schonmal weg :-) werde mir jetzt das escan ding runterladen. schonmal vielen dank für deine hilfe ...dauert ganz schön lange dieses update... ...boah, was isn das fürn prog was fast ne stunde zum updaten braucht... ...so endlich fertig. ich geh jetzt in abgesicherten modus. Dieser Beitrag wurde am 04.02.2005 um 16:26 Uhr von Bastian editiert.
|
|
|
||
04.02.2005, 16:29
...neu hier
Beiträge: 8 |
#40
hi ich habe auch probleme mit searchweb,
hab eine graue suchleiste in meinem i-explorer die ich einfach nicht wegbekomme! wäre nett wenn mir jemand helfen könnte mein logfile: Logfile of HijackThis v1.99.0 Scan saved at 16:27:47, on 04.02.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\RunDll32.exe C:\WINDOWS\Dit.exe C:\WINDOWS\mHotkey.exe C:\WINDOWS\CNYHKey.exe C:\WINDOWS\AGRSMMSG.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe C:\Programme\Home Cinema\PowerCinema\PCMService.exe C:\Programme\CyberLink\PowerVCRII\Agent.exe C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe c:\progra~1\intern~1\iexplore.exe C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\DeTeWe\OpenCom 40dsl\Capictrl.exe C:\Programme\DeTeWe\OpenCom 40dsl\HNetCtrl.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Home Cinema\PowerCinema\PCM3.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\DOKUME~1\Yannick\LOKALE~1\Temp\Rar$EX00.969\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.vpjbwrairnfvinumqzjqyiqcy.com/r4OnK1t4ohu0bBiKMg05T8X2evqBT0KJhsG30l5Qr6pRrytqIRt2LZFsEb_REo_r.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Yannick\LOKALE~1\Temp\sp.dll/sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.aldi.com/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {07A22043-A78A-D810-79D1-9E8202BA1EDD} - C:\DOKUME~1\Yannick\ANWEND~1\ACIDOP~1\Body Trans.exe O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: (no name) - {65E56AD2-8C0D-490A-A931-1B724825F3F1} - C:\WINDOWS\system32\fdja.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [CHotkey] mHotkey.exe O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [Agent] C:\Programme\CyberLink\PowerVCRII\Agent.exe O4 - HKLM\..\Run: [Remote_Agent] C:\Programme\CyberLink\PowerVCRII\RemoteAgent.exe O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg O4 - HKLM\..\Run: [BARBWARNENCDRIVE] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dale cash barb warn\Bind hold.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [wave 32] C:\DOKUME~1\Yannick\ANWEND~1\GreyBall\16 draw style.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: BlueSoleil.lnk = C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: MedionShop - {5CF0F1D2-1D22-499D-93A1-8126F28412F4} - http://www.medionshop.de/ (file missing) (HKCU) O12 - Plugin for .wav: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097566082250 O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{9EBDBB30-F736-431D-BD9C-30A310FFAAAF}: NameServer = 192.168.69.254 O17 - HKLM\System\CCS\Services\Tcpip\..\{B8792156-B398-4755-8884-8090EF3B8E59}: NameServer = 192.168.69.254 O18 - Filter: text/html - {2DE4B900-81AF-41AB-9B52-4CDA01678A0B} - C:\WINDOWS\system32\fdja.dll O18 - Filter: text/plain - {2DE4B900-81AF-41AB-9B52-4CDA01678A0B} - C:\WINDOWS\system32\fdja.dll O23 - Service: AOL Connectivity Service - America Online, Inc. - C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe O23 - Service: BlueSoleil Hid Service - Unknown - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe O23 - Service: CA-Lizenz-Client - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe O23 - Service: CA-Lizenzserver - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe O23 - Service: Ereignisprotokoll-Überwachung - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: Symantec AntiVirus Client - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe O23 - Service: X10 Device Network Service - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe |
|
|
||
04.02.2005, 16:41
Member
Beiträge: 12 |
#41
ich komm irgendwie net in den abgesicherten modus.
ich schalt den pc ein und hau auf f8, aber es kommt nur folgendes menü: Boot Menu == Select a Boot First device == Hard Disk CD Rom wenn ich auf harddisk drück, sieht das so aus: Boot Menu == Select a Boot First device == Hard Disk - Cd2 M. : WDC Wd... irgendwas - Bootable Add-in Cards CD Rom ich hab halt das erste genommen. dann war ich aber im normalen windows. PS: schlechte nachrichten: die favoriten und die toolbar sind wieder da ;-((( Dieser Beitrag wurde am 04.02.2005 um 16:53 Uhr von Bastian editiert.
|
|
|
||
05.02.2005, 00:00
Ehrenmitglied
Beiträge: 29434 |
#42
Hallo@Y-Nick
#Arbeitsplatz -> rechter Mausklick -->Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK" #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.vpjbwrairnfvinumqzjqyiqcy.com/r4OnK1t4ohu0bBiKMg05T8X2evqBT0KJhsG30l5Qr6pRrytqIRt2LZFsEb_REo_r.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Yannick\LOKALE~1\Temp\sp.dll/sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {07A22043-A78A-D810-79D1-9E8202BA1EDD} - C:\DOKUME~1\Yannick\ANWEND~1\ACIDOP~1\Body Trans.exe O2 - BHO: (no name) - {65E56AD2-8C0D-490A-A931-1B724825F3F1} - C:\WINDOWS\system32\fdja.dll O4 - HKLM\..\Run: [BARBWARNENCDRIVE] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dale cash barb warn\Bind hold.exe O4 - HKCU\..\Run: [wave 32] C:\DOKUME~1\Yannick\ANWEND~1\GreyBall\16 draw style.exe O18 - Filter: text/html - {2DE4B900-81AF-41AB-9B52-4CDA01678A0B} - C:\WINDOWS\system32\fdja.dll O18 - Filter: text/plain - {2DE4B900-81AF-41AB-9B52-4CDA01678A0B} - C:\WINDOWS\system32\fdja.dll PC neustarten KillBox http://www.bleepingcomputer.com/files/killbox.php <Delete File on Reboot und klick auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\WINDOWS\system32\fdja.dll C:\DOKUME~1\Yannick\ANWEND~1\GreyBall\16 draw style.exe C:\DOKUME~1\Yannick\ANWEND~1\ACIDOP~1\Body Trans.exe C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dale cash barb warn\Bind hold.exe C:\DOKUME~1\Yannick\LOKALE~1\Temp\sp.dll/sp.html C:\DOKUME~1\Yannick\LOKALE~1\Temp\sp.dll PC neustarten Datenträgerbereinigung: und Löschen der Temporary-Dateien <Start<Ausfuehren--> reinschreiben : cleanmgr loesche nur: #Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k. #Click:Temporäre Dateien, o.k #backdoor.agent.b.removal.tool.(Symantec) http://securityresponse.symantec.com/avcenter/venc/data/backdoor.agent.b.removal.tool.html eScan-Erkennungstool eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich: http://www.mwti.net/antivirus/free_utilities.asp oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche kavupd.exe, die klickst du an--> (Update- in DOS) ausführen gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen : Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory • Beim Start von e-scan sollten folgende Optionen aktiviert sein: -->und "Scan " klicken. Gehe wieder in den Normalmodus: mache bitte folgendes: nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du infected ein jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw. und ganz unten steht die zusammenfassung, diese auch hier posten --> dann alles infizierte im abgesicherten Modus loeschen ______________________________________________________________________________ #RegCleaner (Tip: Lade RegCleaner, stelle das Tool in Deutsch ein und saeubere ueber <Tools<Registry saeubern<alles durchfuehren < den PC (du kannst alles angezeigte Loeschen, denn es verbleibt eine Sicherung) http://www.chip.de/downloads/c_downloads_8830516.html #ClaerProg..lade die neuste Version <1.4.0 Final http://www.clearprog.de/downloads.php <und saeubere den Browser. Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera: - Cookies - Verlauf - Temporäre Internetfiles (Cache) - die eingetragenen URLs #neue Startseite gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein + POSTE das neue Log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 05.02.2005 um 00:01 Uhr von Sabina editiert.
|
|
|
||
05.02.2005, 00:01
Ehrenmitglied
Beiträge: 29434 |
#43
Hallo@Bastian
Versuche die Malware im Normalmodus zu loeschen __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
05.02.2005, 00:57
Member
Beiträge: 12 |
#44
wie?
naja ich hab jetzt mal nen scan mit dem escan gemacht. hier die infected-dateien und die zusammenfassung. Zitat Sat Feb 05 00:18:05 2005 => File c:\dokume~1\bastian_\lokale~1\temp\xudeykhr.exe infected by "not-a-virus:AdWare.Lop.k" Virus. Action Taken: No Action Taken.die muss ich jetzt alle löschen, stimmts? muss ich jetzt nochmal mit hijackthis scannen? weil das zeuch is ja wieder da. Dieser Beitrag wurde am 05.02.2005 um 00:58 Uhr von Bastian editiert.
|
|
|
||
05.02.2005, 01:40
Ehrenmitglied
Beiträge: 6028 |
#45
Versuch mal diese Programme..............
__________ MfG Argus Dieser Beitrag wurde am 05.02.2005 um 15:21 Uhr von Sabina editiert.
|
|
|
||
heute fiel mir auf, dass ich den Antivir nicht mehr updaten kann. Fehlermeldung: "Fehler beim Erzeugen des Ziel-Verzeichnisses"
Außerdem funktioniert Hijackthis nicht mehr! Es kommt immer die Nachricht "Invalid Picture". Habe es auch nochmal runtergeladen, hat aber nichts genützt. dasselbe problem gibt es jetzt z.B. auch bei "clear prog": "Invalid picture" wird gemeldet.....