grosses Problem mit dem Internet Explorer

#1 Hallo zusammen!

Seit einiger Zeit belässtigt mich ein grosses Problem und zwar dies mit dem Internet Explorer! Meine startseite ist unveränderbar!
Ich habe bis jetzt viele Dinge ausprobiert und nichts hat geholfen!
Mit dem HijackThis Programm habe ich nur ein Teil entfernen können. Aber das eigentliche Problem konnte ich damit nicht aus der Welt schaffen, weil die Software dies aus irgend einem Grund nicht löschen konnte! Es hiess zwar, man solle alle Internet Explorer- und Windows Explorer Fenster schliessen, doch auch so ging es einfach nicht!

Kann mir jemand helfen???

Hier mein Log:

Logfile of HijackThis v1.98.2
Scan saved at 12:38:08, on 07.12.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Intel\LDCM\bin\IIDS.exe
C:\Programme\Norton Internet Security Professional\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton Internet Security Professional\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\LDCM\bin\ssm.exe
C:\WINDOWS\System32\kkr0lficte9thd.exe
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\Programme\Norton Internet Security Professional\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Norton Internet Security Professional\md5\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=9
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - (no file)
O4 - HKLM\..\Run: [Control handler] C:\WINDOWS\System32\kkr0lficte9thd.exe
O20 - AppInit_DLLs: ek1fl9dhmp3opbll.dll.dll.dll.dll.dll.dll.dll.dll.d ll.dll.dll.dll.dll.dll.dll

#2 Hallo@riff

Schritt:
Deaktivieren Wiederherstellung
«XP
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

LADE:und alles auf dem Desktop (Arbeitsplatz) lassen , ohne zu scannen, das machst du dann erst im abgesicherten Modus (!)
#CWShredder 1.59
http://www.chip.de/downloads/c_downloads_11353799.html

#AboutBuster--> updaten
www.malwarebytes.biz/AboutBuster.zip

<"cwsfix.reg" --> nicht öffnen (im abgesicherten Modus dann durch "yes" der Registry beifuegen
von hier laden:
http://d21c.com/Tom41/?D=A

#cwsserviceremove
lade:: http://d21c.com/Tom41/cwsserviceremove
oder von hier:
http://d21c.com/Tom41/?D=A

#KillBox
http://www.bleepingcomputer.com/files/killbox.php

#eScan-Trial (deaktiviere vorher deinen Virenscanner)
http://www.mwti.net/antivirus/escan/escandl_antivirus.asp (15-Tage- trial-Freeversion)
klicke auf: awn2k3e.exe

#AdAware (free)
http://www.lavasoft.de/support/download/

#Lade:Attached File(s)
swap.zip ( 45.7k )
http://forums.skads.org/index.php?showtopic=81&st=0&p=187&#entry187
klicke auf: swap.bat
PC neustarten
suche: c:\swap.txt und c:\log.txt und poste den Text

Schritt:
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=9
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - (no file)
O4 - HKLM\..\Run: [Control handler] C:\WINDOWS\System32\kkr0lficte9thd.exe
O20 - AppInit_DLLs: ek1fl9dhmp3opbll.dll.dll.dll.dll.dll.dll.dll.dll.d ll.dll.dll.dll.dll.dll.dll

Schritt:
PC neustarten
<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

Schritt:
Gehe in die Registry
Start<Ausfuehren<regedit

Bearbeiten->Suchen-> (reinkopieren)--> alles rechts in der Registry loeschen
<Control handler
<*http://t.swapx.cc/h.php?aid=20009* (ohne Sternchen suchen)
<*http://win-eto.com/sp.htm?id=9*
<ek1fl9dhmp3opbll
<win-eto.com

schliesse die Registry

Schritt:
KillBox
geh auf Delete File on Reboot und klick auf das rote Kreuz,
wenn gefragt wird, ob reboot-> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINDOWS\System32\kkr0lficte9thd.exe
ek1fl9dhmp3opbll.dll
C:\WINDOWS\System32\

Schritt:
#PC neustarten und wieder in den abgesicherten Modus gehen

Schritt:
Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

Schritt:
Fuehre alle Programme , die du vorher geladen hast nach Anleitung aus.

Schritt:
Gehe in den Normalmodus.
Lade: und arbeite alles ab:
#eScan-Erkennungstool
http://www.rokop-security.de/board/index.php?showtopic=3867

Schritt:
#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein
und poste das Log noch einmal.und suche: c:\swap.txt und c:\log.txt und poste den Text
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hallo @Sabina, ich habe das gleiche Problem wie riff, allerdings weiß/ kann die Datei cwsfix.reg nicht runterladen. Könntest du mir bitte Schritt für Schritt erklären, wie man dabei vorgeht? Ich könnte alles andere allein machen, wenn es nicht an diesem Problem hängen würde. 1000 Dank im voraus. mfg Pistwood

#4 Hallo@Pistwood

HijackThis
http://www.downloads.subratam.org/hijackthis.zip

Lade/entpacke HijackThis in einem Ordner -->None of the above,
just start the program --> Save--> Savelog -->es öffnet sich der
Editor -->
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins
Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hallo@sabina, danke für die schnelle Antwort, hier das:
Logfile of HijackThis v1.99.0
Scan saved at 15:28:54, on 17.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Internet Spurenloescher\Spurenloescher.exe
C:\Programme\Dell\Media Experience\PCMService.exe
C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
C:\PROGRA~1\0190WA~1\WARN0900.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\WINDOWS\System32\efg5ij3hotzhvthd.exe
c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
C:\Programme\Creative\MediaSource\Detector\CTDetect.exe
C:\Programme\KlickMedia\KM Popup-Destroyer\pkill.exe
C:\Programme\Analog Devices\SoundMAX\spkrmon.exe
C:\Programme\Creative\MediaSource\Go\CTCMSGo.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Dialer-Alarm\alarm.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\AVerTV USB 2.0\QuickTV.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Dr. Fotzengucker\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://win-eto.com/sp.htm?id=33464
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://win-eto.com/sp.htm?id=33464
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/hp.htm?id=33464
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=33464
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/hp.htm?id=33464
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://win-eto.com/sp.htm?id=33464
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\TLGMDS~1.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: Pa&nicware Pop-Up Stopper Basic - {B1E741E7-1E77-40D4-9FD8-51949B9CCBD0} - C:\Programme\Panicware\Pop-Up Stopper Basic\popuppro.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [G DATA Internet Spurenloescher] C:\Programme\Internet Spurenloescher\Spurenloescher.exe -TRAY
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Dell\Media Experience\PCMService.exe"
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [CTDVDDet] C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [0900 Warner] C:\PROGRA~1\0190WA~1\WARN0900.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [VirusScan Online] c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [Control handler] C:\WINDOWS\System32\efg5ij3hotzhvthd.exe
O4 - HKCU\..\Run: [Creative Detector] C:\Programme\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - HKCU\..\Run: [CK POPUP KILLER] C:\Programme\KlickMedia\KM Popup-Destroyer\pkill.exe -hide
O4 - HKCU\..\Run: [Creative MediaSource Go] C:\Programme\Creative\MediaSource\Go\CTCMSGo.exe /SCB
O4 - HKCU\..\Run: [Dialer-Alarm] "C:\Programme\Dialer-Alarm\alarm.exe" /autorun
O4 - Startup: QuickTV.lnk = ?
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.1_01\bin\npjpi141_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.1_01\bin\npjpi141_01.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O10 - Broken Internet access because of LSP provider 'xfire_lsp_10908.dll' missing
O15 - Trusted Zone: *.greg-search.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1105797948437
O17 - HKLM\System\CCS\Services\Tcpip\..\{A271935D-3CA7-4DA8-A588-FF69018DF19B}: NameServer = 145.253.2.11,145.253.2.75
O20 - AppInit_DLLs: ss536f2rmy1pg2.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.
dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: McAfee.com McShield - Unknown - c:\PROGRA~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee SecurityCenter Update Manager - Networks Associates Technology, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee.com VirusScan Online Realtime Engine - Networks Associates Technology, Inc - c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
O23 - Service: McAfee Personal Firewall Service - McAfee Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
O23 - Service: spkrmon - Unknown - C:\Programme\Analog Devices\SoundMAX\spkrmon.exe

mfg Pistwood

#6 Hallo@Pistwood

Gehe in die Registry
Start<Ausfuehren<regedit

Bearbeiten->Suchen-> (reinkopieren)--> alles loeschen, was du findest

<Control handler
<*http://t.swapx.cc/h.php?aid=20009* (ohne Sternchen suchen)
<*http://win-eto.com/sp.htm?id=9*
<win-eto.com

Deaktivieren Wiederherstellung
«XP
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

Windows so einstellen, daß alle Dateien angezeigt werden (Systemsteuerung - Ordneroptionen - Ansicht - "Alle Dateien und Ordner anzeigen" aktivieren und "Geschützte Systemdateien ausblenden" deaktivieren)

Den folgenden Text in den Editor (Start - Zubehör - Editor) mit kopieren/einfügen und als Dateinamen "fix.reg" (mit Anführungszeichen) angeben und als fix.reg auf dem Desktop speichern.


REGEDIT4

[-HKEY_CLASSES_ROOT\Interface\{0D721150-AEF3-457B-B03A-5097B623CE45}]
[-HKEY_CLASSES_ROOT\Plugin6.DNSErrObj]
[-HKEY_CLASSES_ROOT\redalert.here]
[-HKEY_CLASSES_ROOT\TypeLib\{444A5674-FF85-45D4-9AE2-4199D8D70C85}]



#eScan-Trial (deaktiviere vorher deinen Virenscanner
http://www.mwti.net/antivirus/escan/escandl_antivirus.asp (15-Tage- trial-Freeversion)-> noch nicht scannen (erst im abgesicherten Modus)

#AdAware (free)--> noch nicht scannen
http://www.lavasoft.de/support/download/
--------------------------------------------------------------------------------------

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://win-eto.com/sp.htm?id=33464
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://win-eto.com/sp.htm?id=33464
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/hp.htm?id=33464
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=33464
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/hp.htm?id=33464
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://win-eto.com/sp.htm?id=33464
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\TLGMDS~1.DLL
O4 - HKLM\..\Run: [Control handler] C:\WINDOWS\System32\efg5ij3hotzhvthd.exe
O20 - AppInit_DLLs: ss536f2rmy1pg2.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll
.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.

Schritt:
PC neustarten
<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

Die Datei fix.reg auf dem Desktop doppelklicken.

loesche:
C:\WINDOWS\System32\efg5ij3hotzhvthd.exe
C:\WINDOWS\System32\TLGMDS~1.DLL

Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

#scanne mit eScan (klicke auf: awn2k3e.exe) und AdAware

gehe wieder in den Normalmodus

#ClaerProg..lade die neuste Version <1.4.0 Final
http://www.clearprog.de/downloads.php
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)
- die eingetragenen URLs

gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

+ poste das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Hi @ Sabina, hab fast alles soweit gemacht, Wiederherstellung is deaktiviert, diese Registrydatei hab ich auch erstellt, die beiden Programme auch gedownloaded, aber in der Registry findet er außer bei Control handler nichts, is dass jetzt gut oder schlecht? Also in dem Current User Ordner findet er zweimal dieses efg5ij3hotzhvthd.exe Programm, dass du in deinem Post weiter unten stehen hast, dann aber auch noch z.B. CTHELPER.EXE, FX mit dem Wert C\Windows\Downloaded Program Files\ieloader.exe, IMJPMIG8 mit dem Wert: "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 und noch PHIME2002A und PHIME2002ASync mit dem fast gleichen Wert C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /(jetzt kommt der Unterschied) IMEName und SYNC, ansonsten noch zwei Programme die ich selbst habe, denke mal nicht dass von denen Gefahr ausgeht. OK, im LOCAL MACHINE Ordner is dann auch nochmal ein Control handler mit dem Wert efg5ij3hotzhvthd.exe, und dann noch dla mit dem Wert C:\WINDOWS\system32\dla\tfswctrl.exe, welches mir als Leihe eben auch etwas verdächtig vorkommt, ansonsten noch 15 Programme die ich kenne und denen ich vertraue. Sorry wenn ich irgendwas leichtes nich so ganz gepeilt hab, aber die Formulierung "alles löschen, was du findest" hat mich stutzig gemacht. Aber hey, es hängt alles wirklich nur noch daran, wenn du das Problemchen für mich bitte lösen könntest wäre ich dir unendlich dankbar und könnte endlich loslegen meinen Computer zu cleanen. Das wärs, 1000 mal Danke und mfg Pistwood

#8 Lass die Registry, wenn du dir unsicher bist.

Loeschen:
C\Windows\Downloaded Program Files\ieloader.exe
C:\WINDOWS\System32\efg5ij3hotzhvthd.exe
C:\WINDOWS\System32\TLGMDS~1.DLL

#scanne mit eScan (klicke auf: awn2k3e.exe) und AdAware
im abgesicherten Modus und fuere alles weiter aus.
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Hi@ Sabina, sorry, aber es gibt immer noch ein kleines Problemchen: In dem von dir oben beschriebenen Ordner: C\Windows\Downloaded Program Files gibt es keinen ieloader.exe, sondern nur zwei Dateien die sicher aussehen und dann diese hier:{33564D57-0000-0010-8000-00AA00389B71}, die exe Datei is kein Problem, nur diese C:\WINDOWS\System32\TLGMDS~1.DLL heißt bei mir etwas anders, nämlich: tlgmdsx4vjp.dll. Soll ich die löschen? Das wärs dann auch schon, vielen dank im voraus Pistwood

#10 Hallo@Pistwood

suche und loesche:
C:\WINDOWS\System32\ss536f2rmy1pg2.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll
.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll

KillBox
http://www.bleepingcomputer.com/files/killbox.php

<Delete File on Reboot

und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C\Windows\Downloaded Program Files\ieloader.exe
C:\WINDOWS\System32\efg5ij3hotzhvthd.exe
C:\WINDOWS\System32\tlgmdsx4vjp.dll

PC neustarten

#eScan-Erkennungstool
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp

erstelle den Ordner c:\bases
mwav.exe runterladen, die Datei in den Ordner c:\bases (wichtig!) entpacken und danach kavupd.exe (Update- in DOS) ausführen

gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen :
Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory
-->und "Scan " klicken.

mache bitte folgendes:
nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du infected ein
jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
und ganz unten steht die zusammenfassung, diese auch hier posten
__________
MfG Sabina

rund um die PC-Sicherheit