Start Upping, wvsvc, elitetoolbar |
||
---|---|---|
#0
| ||
04.12.2004, 16:33
...neu hier
Beiträge: 2 |
||
|
||
04.12.2004, 21:41
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo@Apabronsgen
Deaktivieren Wiederherstellung «XP http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten O4 - HKLM\..\Run: [Starting up] wvsvc.exe O4 - HKLM\..\Run: [Start Upping] iexplorerupdt.exe O4 - HKLM\..\RunServices: [Starting up] wvsvc.exe O4 - HKLM\..\RunServices: [Start Upping] iexplorerupdt.exe O4 - HKCU\..\Run: [Starting up] wvsvc.exe O4 - HKCU\..\Run: [Start Upping] iexplorerupdt.exe PC neustarten <gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml 1.) öffne das HijackThis: 2.) HijackThis starten, den Config Button klicken - MiscTools - "Delete a file on reboot" . 3.) In dem Fenster bei Dateiname einfügen\reinkopieren: C:\WINDOWS\System32\wvsvc.exe 4.) wenn dann die Frage kommt, ob neugestartet werden soll (will be deleted by Windows when the system restarts....Do you want to restart your computer now?" )-->>klicke "No" 5.)und füge das Nächste ein. C:\WINDOWS\System32\iexplorerupdt.exe Erst beim letzten klickst du "Yes" und startest den PC neu. Deinstalliere deinen Virenscanner und lade. #eScan-Trial http://www.mwti.net/antivirus/escan/escandl_antivirus.asp (15-Tage- trial-Freeversion) klicke auf: awn2k3e.exe ..scanne im Normal- und im abgesicherten Modus. Gehe in die Registry Start<Ausfuehren<regedit ueberpruefe folgende Werte und aendere sie, falls sie nicht korrekt sind: <HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM="N" "N"--also...in "Y" aendern <HKLM\SYSTEM\ControlSet001\Control\Lsa\restrictanonymous=dword:00000001 "1" --««also....in "0" [dword:00000000] aendern <HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous= dword:00000001 "1" --««also....in "0" [dword:00000000] aendern #neue Startseite gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein Danach die WindowsUpdates machen www.windowsupdate.com besuchen und alle Updates installieren #Internet Explorer 6 Service Pack 1 http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=1E1550CB-5E5D-48F5-B02B-20B602228DE6 #Alternativbrowser zum IE Firefox http://www.mozilla-europe.org/de/ Installation+Konfiguration Firefox http://www.pcwelt.de/know-how/software/103924/index1.html mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 04.12.2004 um 21:48 Uhr von Sabina editiert.
|
|
|
||
05.12.2004, 02:19
...neu hier
Themenstarter Beiträge: 2 |
#3
Pervers gut erklärt, ich ziehe meinen Hut Sabina!
Tausend Dank und einen fetten Kuß!!! Ich glaub ich habs mit deiner Hilfe hingekriegt, oder siehst du noch was auffälliges in der Logfile?? --> Logfile of HijackThis v1.98.2 Scan saved at 02:18:30, on 05.12.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Wussup\ESCANA~1\TRAYICOS.EXE C:\Wussup\ESCANA~1\AVPMWrap.EXE C:\Wussup\ESCANA~1\MAILDISP.EXE C:\Wussup\ESCANA~1\MAILSCAN.EXE C:\Wussup\ESCANA~1\SPOOLER.EXE C:\Wussup\ESCANA~1\kavss.exe C:\Wussup\ESCANA~1\AvpM.exe C:\WINDOWS\System32\drivers\CDAC11BA.EXE C:\Wussup\ESCANA~1\TRAYSSER.EXE C:\Wussup\ESCANA~1\avpm.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Netscape\Netscape\Netscp.exe C:\Wussup\hijackthis\hijackthis_1.98.2\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\spybot\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Wussup\escanantivir\LAUNCH.EXE" O4 - HKLM\..\Run: [eScan Updater] C:\Wussup\ESCANA~1\TRAYICOS.EXE /App O4 - HKLM\..\Run: [eScan Monitor] C:\Wussup\ESCANA~1\AVPMWrap.EXE O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Wussup\icq\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Wussup\icq\ICQLite\ICQLite.exe O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing O17 - HKLM\System\CCS\Services\Tcpip\..\{AF487154-12CA-4CC9-BD4E-587BB40CD0D1}: NameServer = 217.237.150.97 217.237.149.161 O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Programme\HP\hpcoretech\comp\hpuiprot.dll Noch ne Frage: Ich verwende den Netscape 7.1.... soll ich doch lieber nen anderen nehmen, und muß ich den inetexplorer trotzdem updaten?? Cheers! Apa |
|
|
||
05.12.2004, 12:34
Ehrenmitglied
Beiträge: 29434 |
#4
Hallo@Apabronsgen
Das Log ist sauber Aber du hast dir diese Backdoors eingefangen, weil dein Windows voellig ungesichert ist. Du solltest nicht nur den IE patchen, sondern alle Updates von MS laden...ansonsten wirst du deines Lebens (PCs ) nicht mehr froh. Das Net ist voller Muell (wenn ich mal die verschiedenen Malware so bezeichnen darf) und es reicht, ein CriticalUpdate nicht zu haben, dass der PC verseucht wird. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
Ich hoffe ihr könnt mir helfen. Ich hab den AV AntiVir, RegCleaner, CWShredder und Spybot drauf, bekomm sie aber nich weg... wenn ich so nen StartingUp oder StartUpping aus der Registry lösche stellt er sich sofort wieder ein...
Ich poste euch in Hoffnung auf Hilfe wie ich die Schmarozer vielleicht manuell wegbekomme mal ein Hijackthis-Logfile!!
Tausend Dank dem der mir helfen kann!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Logfile:
Logfile of HijackThis v1.98.2
Scan saved at 16:32:44, on 04.12.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Virenscanner\AVGNT.EXE
C:\WINDOWS\regedit.exe
C:\Programme\Virenscanner\AVGUARD.EXE
C:\Programme\Virenscanner\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wvsvc.exe
C:\Programme\Netscape\Netscape\Netscp.exe
C:\Regcleaner\RegCleanr.exe
C:\Wussup\hijackthis\hijackthis_1.98.2\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\spybot\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\Virenscanner\AVGNT.EXE /min
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [Starting up] wvsvc.exe
O4 - HKLM\..\Run: [Start Upping] iexplorerupdt.exe
O4 - HKLM\..\RunServices: [Starting up] wvsvc.exe
O4 - HKLM\..\RunServices: [Start Upping] iexplorerupdt.exe
O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\spybot\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [Starting up] wvsvc.exe
O4 - HKCU\..\Run: [Start Upping] iexplorerupdt.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Wussup\icq\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Wussup\icq\ICQLite\ICQLite.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{AF487154-12CA-4CC9-BD4E-587BB40CD0D1}: NameServer = 217.237.150.97 217.237.149.161
O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Programme\HP\hpcoretech\comp\hpuiprot.dll