Search Page = *res://C:\WINDOWS\system32\vnumn.dll/sp.html#11111*

#0
25.11.2004, 15:33
Member

Beiträge: 11
#1 Hi !
also hab mir mal wieder spyware eingefangen hab versucht sie mit ad-aware zu löschen aber ad-aware bleibt immer wieder hängen !

mein logfile:
Logfile of HijackThis v1.97.7
Scan saved at 15:31:48, on 25.11.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\addal32.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\mszg32.exe
C:\Dokumente und Einstellungen\Waqar Waseem\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\vnumn.dll/sp.html#11111
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\vnumn.dll/sp.html#11111
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\vnumn.dll/sp.html#11111
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\vnumn.dll/sp.html#11111
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\vnumn.dll/sp.html#11111
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\vnumn.dll/sp.html#11111
O2 - BHO: (no name) - {5CFAF24E-30D8-16EC-61C5-3C8D3C3A482F} - C:\WINDOWS\iemn.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [mszg32.exe] C:\WINDOWS\system32\mszg32.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: eBay - Homepage (HKLM)
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by22fd.bay22.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{029955C8-41B6-4776-AE80-BB8BC2E20010}: NameServer = 217.237.151.33 217.237.149.225
O17 - HKLM\System\CS1\Services\Tcpip\..\{029955C8-41B6-4776-AE80-BB8BC2E20010}: NameServer = 217.237.151.33 217.237.149.225

bitte um hilfe !
danke
Dieser Beitrag wurde am 25.11.2004 um 15:45 Uhr von Sabina editiert.
Seitenanfang Seitenende
25.11.2004, 15:42
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo@Waqar

Bevor wir mit der Reinigung beginnen:

versuche den IE zu updaten:
#Internet Explorer 6 Service Pack 1
http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=1E1550CB-5E5D-48F5-B02B-20B602228DE6
-----------------------------------------------------------------------------------------------
License: Freeware/Getservices
->klicke auf "getservice.bat und poste, was im Editor erscheint.
http://www.bleepingcomputer.com/files/getservices.php

http://home.comcast.net/~rand1038/v...rviceFilter.zip
-->>Klicke auf "TTFilter.dat" und poste, was im Editor erscheint.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 25.11.2004 um 15:46 Uhr von Sabina editiert.
Seitenanfang Seitenende
25.11.2004, 16:24
Member

Themenstarter

Beiträge: 11
#3 hi sabina !
jaa hab ich soweit und wie lösche ich jetzt diese spyware!und beim starten kriege ich auch jedes mal als startseite about blank !
Seitenanfang Seitenende
25.11.2004, 16:47
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 License: Freeware/Getservices
->klicke auf "getservice.bat und poste, was im Editor erscheint.
http://www.bleepingcomputer.com/files/getservices.php

http://home.comcast.net/~rand1038/v...rviceFilter.zip
-->>Klicke auf "TTFilter.dat" und poste, was im Editor erscheint.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
25.11.2004, 19:12
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#5 Hallo

Wenn du die Dienste nicht postest, dann beginnen wir also mit der Reinigung

1.Schritt:
#Deinstalliere deinen gegenwaertigen Free-Virenscanner und lade: eScan-Trial ...noch nicht scannen, sondern nur auf dem Desktop entpacken
http://www.mwti.net/antivirus/escan/escandl_antivirus.asp (15-Tage- trial-Freeversion)

<"cwsfix.reg" + "cwsserviceremove.reg downloaden, einen neuen Ordner anlegen und alle Dateien in diesen Ordner entpacken.
--> http://d21c.com/Tom41/?D=A

<AboutBuster.zip downloaden, einen neuen Ordner anlegen und alle Dateien in diesen Ordner entpacken. AboutBuster starten und updaten. Noch nicht scannen lassen.
--> www.malwarebytes.biz/AboutBuster.zip

<AdAware downloaden, installieren und updaten. Ebenfalls noch nicht scannen lassen.
--> http://www.lavasoft.de/support/download/

2. Schritt:
#Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl ein --> services.msc
suche und deaktiviere:
Network Security Service (NSS) -->(Service Status" klick "Stop"

3.Schritt:
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\vnumn.dll/sp.html#11111
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\vnumn.dll/sp.html#11111
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\vnumn.dll/sp.html#11111
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\vnumn.dll/sp.html#11111
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\vnumn.dll/sp.html#11111
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\vnumn.dll/sp.html#11111
O2 - BHO: (no name) - {5CFAF24E-30D8-16EC-61C5-3C8D3C3A482F} - C:\WINDOWS\iemn.dll
O4 - HKLM\..\Run: [mszg32.exe] C:\WINDOWS\system32\mszg32.exe

PC neustarten..und
<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

4.Schritt:
loesche:

C:\WINDOWS\system32\addal32.exe
C:\WINDOWS\system32\mszg32.exe
C:\WINDOWS\iemn.dll
C:\WINDOWS\system32\vnumn.dll

das kannst du mit dem HijackTHis machen:
1.) öffne das HijackThis:
2.) HijackThis starten, den Config Button klicken - MiscTools - "Delete a file on reboot" .
3.) In dem Fenster bei Dateiname einfügen\reinkopieren:
C:\WINDOWS\iemn.dll
4.) wenn dann die Frage kommt, ob neugestartet werden soll (will be deleted by Windows when the system restarts....Do you want to restart your computer now?" )-->>klicke "No"
5.)und füge das Nächste ein.
Erst beim letzten klickst du "Yes" und startest den PC neu und wieder in den abgesicherten Modus.

5. Schritt:
und dort füge cwsfix.reg" +
"cwsserviceremove.reg durch "yes" der Registry bei und scanne mit
AboutBuster und AdAware.

#eScan-Trial scanne
klicke auf: awn2k3e.exe

5.Schritt:
mache ebenfalls im abgesicherten Modus:
Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

6.Schritt:
Deaktivieren Wiederherstellung
«XP
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924
Dann stelle unter "Internetoption" eine neue Startseite ein und poste das Log noch mal.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 25.11.2004 um 19:13 Uhr von Sabina editiert.
Seitenanfang Seitenende
26.11.2004, 11:51
Member

Themenstarter

Beiträge: 11
#6 Hi Sabina !

2. Schritt:
#Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl ein --> services.msc
suche und deaktiviere:
Network Security Service (NSS) -->(Service Status" klick "Stop"

also das network sercurity service (nss) gibts bei bei mir nicht was soll ich machen ß
Seitenanfang Seitenende
26.11.2004, 12:25
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#7 ist o.k., dann arbeite die anderen Punkte ab.
--------------------------------------------------------
Warum hast du mir die Dienste nicht gepostet, wie ich wollte ?

License: Freeware/Getservices
->klicke auf "getservice.bat und poste, was im Editor erscheint.
http://www.bleepingcomputer.com/files/getservices.php

http://home.comcast.net/~rand1038/v...rviceFilter.zip
-->>Klicke auf "TTFilter.dat" und poste, was im Editor erscheint.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 26.11.2004 um 12:25 Uhr von Sabina editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: