Win32.Sober.I@mm?

#16 ja mach ich sorry das ich so begriffsstuzig bin .
Das dauert wider ne stunde bis dann und schon mal danke

#17 Gut habe ich gemacht null Infected Files.
Ich hoffe das war es jetzt und ich kann meine neue hardwear istalliren.
Ganz ganz grosses DANKE!

P.s. ich warte noch auf grünes licht von dir:)

MfG
Ghils33@KsK9

#18 Nun, wenn nichts mehr angezeigt wurde und es auch ansonsten keine Abstuerze gibt....hast du gruenes Licht.
Poste noch mal das Log vom HijackThis.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#19 Hallo @ Sabina

hier kommt noch mal das HijackThis

LG Monti (hier wieder Mutter)




Logfile of HijackThis v1.98.2
Scan saved at 17:59:49, on 26.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Creative\MediaSource\GO\CTCMSGo.exe
C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
C:\Programme\Gemeinsame Dateien\Softwin\Live\avxlive.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\SOFTWIN\BDHome\lmgui.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\system32\xcommsvr.exe
C:\Programme\Ventrilo\Ventrilo.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Ingo\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ksk9.de/wbb2/hmportal.php?sid=
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\smax4.exe" /tray
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Logitech Utility] LOGI_MWX.EXE
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Creative MediaSource Go] C:\Programme\Creative\MediaSource\GO\CTCMSGo.exe /SCB
O4 - HKCU\..\Run: [RemoteCenter] C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
O4 - Global Startup: BitDefender Live!.lnk = C:\Programme\Gemeinsame Dateien\Softwin\Live\avxlive.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Murphy Shield.lnk = ?
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {E56347B0-6C2B-4C2E-939F-EE513EAC80BC} (Creative Product Registration ActiveX Control Module) - http://www.creative.com/register/OCXs/CtORWebClientNoMFC.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6B63FDCA-8213-4202-BDE7-FB3D1B6D41F3}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{7825783D-3C1E-493E-AEF8-FF8D479AD872}: NameServer = 192.168.1.1

#20 Hallo@

Fixe:
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe

und deinstalliere das (wird als Malware betrachtet) oder lass es wenigstens nicht im Autostart.

#AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
WÄHREND des Scanvorganges müssen ALLE sonstige
Anwendungen beendet werden und alle Browserfenster müssen
geschlossen sein!

#Patches, Service Packs und Tools (XP)
http://www.rz.uni-freiburg.de/pc/sys/winxp/index.php

#Alternativbrowser zum IE
Firefox
http://www.mozilla-europe.org/de/
Installation+Konfiguration Firefox
http://www.pcwelt.de/know-how/software/103924/index1.html

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#21 Hallo @ Sabina

nochmals herzlichen Dank für alles. Bei Sohnemann ist alles wieder ok !!!
Nun habe ich das bei mir auch gleich mal geprüft und festgestellt, dass ich auch jukebox drauf hatte. Also habe ich es mit HijackThis gefixt und anschließend deinstalliert. Anschließend hat mir das Deinstallationsprogramm von Windows die Meldung gebracht, dass er nicht alles entfernen konnte und dass ich folgendes selbst löschen soll.
Kann man das wirklich einfach so löschen ? auch in der Registry ?

LG Monti



Kann eine selbstregistrierende Datei 'C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\MmjbVersion.ocx' nicht abmelden.
Kann das Verzeichnis 'C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\Library' nicht löschen.
Kann das Verzeichnis 'C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\Plugins' nicht löschen.
Kann das Verzeichnis 'C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\Skins' nicht löschen.
Kann das Verzeichnis 'C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\Html' nicht löschen.
Kann den Wert 'HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MMTray' in der Registry nicht löschen.
Kann den Wert 'HKEY_CURRENT_USER\Software\Netscape\Netscape Navigator\Viewers\application/x-mmjb-mmz' in der Registry nicht löschen.

#22 Hallo@

versuch es mal mit dem Schreduler:
#TuneUp2004 (30 Tage free)
http://www.tuneup.de/download/

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#23 gibts das auch für windows 2000

#24 Das funktioniert fuer Win95(?)- Xp Sp2. Also sollte Win2000 kein Problem darstellen!
__________
MfG Ralf
SEO-Spam Hunter

#25 Hallo @ Sabina,

habe jetzt Tuneup durchlaufen lassen. Wenn ich das wirklich alles löschen lasse, kriege ich Bauchschmerzen...kann man dem Programm wirklich vertrauen, dass es nur das löscht, was ohnehin nicht geht ? Der zeigt mir so viel an.
Nebenbei gesagt, ich habe festgestellt, dass dieses Jukebox/Musicmatch irgendwie werksmäßig auf dem PC war. Es ist ein Aldi PC (Medion/Multimedia). Unter Medion HomeCinema hatte er u.a. dieses Programm. Nun zeigt mir Tuneup einiges, was gelöscht werden könnte und was offenbar zu diesem Home Cinema gehört. Ich gestehe, ich habe mich bisher damit noch gar nicht befasst, wollte es mir aber irgendwann einrichten. Ich befürchte nun, wenn ich alles lösche, was Tuneup sagt, kann ich die Anwendungen nicht mehr gebrauchen ??? Kann das sein ???
LG Monti

#26 Hallo@monti

Lass alles, wie es ist....denn dein PC ist ja virenfrei und die Jukebox/Musicmatch
spioniert nicht mehr ins Net.
Sonst loescht du vielleicht Dinge, die dann nur durch Neuinstallation wieder nutzbar sind.
Und wie ich schon gesagt habe...der PC ist virenfrei

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#27 Danke Sabina,
das ist ja prima. Das Forum ist Spitze !!! Auch wenn es für euch manchmal nervig ist...Leute wie wir, die fast nur Anwender von Programmen sind, wären aufgeschmissen ohne euch ;o)))
Nochmals vielen, vielen Dank...
LG Monti

#28 Hallo alle zusammen ich hab mal ne frage an euch, ich hab auch mit hijackthis gescannt, und bei mir kam folgendes raus:

Logfile of HijackThis v1.98.2
Scan saved at 21:28:12, on 06.12.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\Programme\Norton Internet Security\ccPxySvc.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\8nt3ogmxwzpcthd.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\unzipped\hijackthis\HijackThis.exe
C:\WINDOWS\explorer.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://win-eto.com/sp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://win-eto.com/sp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/hp.htm?id=9
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=9
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.placeforsearch.com/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/hp.htm?id=9
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.placeforsearch.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.placeforsearch.com/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.placeforsearch.com/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.com/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=runonce&pver=6.0&plcid=0x0407
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\IBIW3Z~1.DLL
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll (file missing)
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Control handler] C:\WINDOWS\System32\8nt3ogmxwzpcthd.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O13 - DefaultPrefix: http://prolivation.com/cgi-bin/r.cgi?
O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi?
O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} (Moniker32 Class) - http://63.217.29.115/cax.cab
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://greg-tut.com/G7/chm10.chm::/ieloader.exe
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.2) - http://p1x.de/jinstall-1_4_2-windows-i586.cab
O20 - AppInit_DLLs: 3jeyd8yz171rejt.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll

also was muss oder kann ich jetzt dagegen machen??? ich denke mal ihr kennt euch etwas besser aus als ich und hoffe deswegen das ihr mir helfen könnt.
danke jetzt schon mal

#29 Hallo@Amphetamin

Deaktivieren Wiederherstellung
«XP
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

LADE:

1) lade rem.zip herunter http://derbilk.de/rem.zip (direkter download-link).
2) entpacke es im verzeichnis C:\WINDOWS\System32\
(es ist wichtig, dass es in diesem verzeichnis ist!)
3) starte den rechner im abgesicherten modus.
4) starte die datei rem.bat, scannen lassen.
5) starte den rechner anschließend im normalen modus.
6) unter C:\ sollte nun eine datei namens log.txt zu finden sein.
7) markiere den inhalt und füge ihn hier ein.
erstelle ein aktuelles HijackThis log und poste es mit der log.txt von rem.
wurde eine malware entfernt, sollten noch zusätzlich zur log.txt unter C:\ die Dateien bad.reg und bad.zip erstellt worden sein.
Bitte diese Dateien zunächst so belassen, nicht öffnen !
http://www.hijackthis.de/forum/showthread.php?t=812
Alternativ-Download: http://www.hijackthis.de/downloads/rem.zip

Lade:Attached File(s)
swap.zip ( 45.7k )
http://forums.skads.org/index.php?showtopic=81&st=0&p=187&#entry187
klicke auf: swap.bat (im abgesicherten Modus)
PC neustarten
suche: c:\swap.txt und c:\log.txt und poste den Text

Lade
#entpacke die Tools auf Arbeitsplatz [Desktop], öffne nur AboutBuster und Adware, die du updaten musst, aber noch nicht scannen-->
<"cwsfix.reg" --> nicht öffnen
<"cwsserviceremove.reg --> nicht öffnen
<"CWShredder" --> nicht öffnen
<"AdAware" --> updaten
<"AboutBuster"-->updaten"
http://d21c.com/Tom41/?D=A
www.malwarebytes.biz/AboutBuster.zip
http://www.lavasoft.de/support/download/
http://www.chip.de/downloads/c_downloads_11353799.html
_________________________________________________________________
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://win-eto.com/sp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://win-eto.com/sp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/hp.htm?id=9
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=9
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.placeforsearch.com/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/hp.htm?id=9
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.placeforsearch.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.placeforsearch.com/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.placeforsearch.com/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.com/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=runonce&pver=6.0&plcid=0x0407
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\IBIW3Z~1.DLL
O4 - HKLM\..\Run: [Control handler] C:\WINDOWS\System32\8nt3ogmxwzpcthd.exe
O13 - DefaultPrefix: http://prolivation.com/cgi-bin/r.cgi?
O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi?
O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} (Moniker32 Class) - http://63.217.29.115/cax.cab
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://greg-tut.com/G7/chm10.chm::/ieloader.exe
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.2) - http://p1x.de/jinstall-1_4_2-windows-i586.cab
O20 - AppInit_DLLs: 3jeyd8yz171rejt.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll

PC neustarten
gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

Loesche:
<C:\WINDOWS\System32\8nt3ogmxwzpcthd.exe
<3jeyd8yz171rejt.dll
<C:\Windows\System32\ieloader.dll
<C:\WINDOWS\System32\IBIW3Z~1.DLL


Fuehre alle geladenen Tools aus

gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml
und dort füge cwsfix.reg" + "cwsserviceremove.reg durch "yes" der Registry bei und scanne mit den anderen Tools

Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

#C:\Windows\Downloaded Programm Files\ --> ALLE löschen

_________________________________________________________________

abarbeiten:
#eScan-Erkennungstool
http://www.rokop-security.de/board/index.php?showtopic=3867

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

Poste das neue Log vom HijackThis und die txt-Texte.
__________
MfG Sabina

rund um die PC-Sicherheit

#30 Danke Sabina, aber die seite mit rem.zip ist nicht vorhanden.
oder ist das nur bei mir so???
amphetamin