Naupoint-->TR/Startpage.OX & Windows Media Player verschwunden

#0
26.12.2004, 01:18
...neu hier

Beiträge: 2
#1 erstmal frohe weihnachten !! hoffe ihr hattet/habt n schönes fest !
naja nun zum meinem problem... irgenwie glaub ich, dass mein compu von nem virus befallen ist... mein windows media player ist einfach so verschwunden.... hoffe ihr könnt mir helfen !
THX IM VORRAUS !!
nun der log:

Logfile of HijackThis v1.98.2
Scan saved at 01:17:01, on 26.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\Programme\Winamp\winampa.exe
D:\Programme\D-Tools\daemon.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Program Files\Windows AdControl\WinAdCtl.exe
C:\Programme\NetPumper\NetPumperIEProxy.exe
C:\Program Files\Windows AdControl\WinAdAlt.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\MSMSGS.EXE
C:\WINDOWS\System32\ehvox.exe
D:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Winamp\Winamp.exe
D:\hjackthis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = search.naupoint.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.naupoint.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.naupoint.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = search.naupoint.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.naupoint.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://search.naupoint.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = search.naupoint.com
O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\localNRD.dll
O2 - BHO: My Search BHO - {014DA6C1-189F-421a-88CD-07CFE51CFF10} - C:\Programme\MySearch\bar\1.bin\S4BAR.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll
O2 - BHO: C:\WINDOWS\lbbho.dll - {827812BE-353A-441E-A77A-2FDD4EFC96F1} - C:\WINDOWS\lbbho.dll
O2 - BHO: No description - {88CC91DE-5930-45AD-9E04-6B1233609FEA} - C:\WINDOWS\System32\jmk2C10.dll
O2 - BHO: CNisExtBho Class - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll
O3 - Toolbar: PopUpCop - {DB43E4E6-FF8A-4018-8C8E-F68587A44A73} - C:\PROGRA~1\POPUPCOP\PopUpCop.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: My Search Bar - {014DA6C9-189F-421a-88CD-07CFE51CFF10} - C:\Programme\MySearch\bar\1.bin\S4BAR.DLL
O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe"
O4 - HKLM\..\Run: [sbepavkh] c:\windows\sbepavkh.exe
O4 - HKLM\..\Run: [sdqjgnir] C:\WINDOWS\sdqjgnir.exe
O4 - HKLM\..\Run: [qdsxomyaijb] C:\WINDOWS\System32\wybougqi.exe
O4 - HKLM\..\Run: [conscorr] C:\WINDOWS\conscorr.exe
O4 - HKLM\..\Run: [Windows AdControl] C:\Program Files\Windows AdControl\WinAdCtl.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [NetPumper] "C:\Programme\NetPumper\NetPumperIEProxy.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [JavaUpdate0.07] C:\WINDOWS\System32\ehvox.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Exif Launcher.lnk = D:\Programme\FinePixViewer\QuickDCF.exe
O4 - Global Startup: Acrobat Assistant.lnk = D:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O12 - Plugin for .lpw: D:\Programme\Opera\PLUGINS\NPNetPumper_Application.dll
O12 - Plugin for .zip: D:\Programme\Opera\PLUGINS\NPNetPumper_Application.dll
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - ms-its:mhtml:file://c:\nosuxyz.mht!http://xxxtgp.ath.cx/loud.chm::/bridge-c32.cab
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9DBF7ABC-B5C9-4B1D-81FB-BC6BAD64B0DE}: NameServer = 192.168.1.1
O21 - SSODL: eplrr9 - {62DA6D9B-71BE-4E20-92BA-8AEEFB41F091} - C:\WINDOWS\System32\eplrr9.dll (file missing)
Dieser Beitrag wurde am 26.12.2004 um 11:22 Uhr von Sabina editiert.
Seitenanfang Seitenende
26.12.2004, 10:50
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo@cHill3n

"Trojan.Win32.StartPage.ox/Troj/StartPa-DJ

Keylogger:
Troj/Banker-Y/"TrojanProxy.Win32.Small.ah" ist ein Trojaner, der versucht, ausführbare Dateien herunterzuladen und auszuführen. Außerdem versucht er, vertrauliche Daten , auch Bankdaten aufzuspüren und diese an einen remoten Speicherort zu senden.
Die Hauptkomponente von Troj/Banker-Y ist eine DLL namens lsd_f3.dll, die im Windows-Systemordner installiert wird.
lsd_f3.dll exportiert Code, um Text zu speichern, der in Fenster eingegeben wird, deren Namen folgende Zeichenfolgen enthalten:
'Welcome to Citi', 'Ameritrade', 'E*TRADE', 'e-gold Account Access', 'PayPal', 'Chase.com', 'NETeller.com', 'e-Bullion', 'Evocash', 'INT Gold',
'pecunix', 'moneybookers.com'.
Die gespeicherten Daten werden via HTTP an einen remoten Speicherort gesendet.
lsd_f3.dll exportiert außerdem Code, um ausführbare Dateien als filtmp?.exe (wobei ? für ein Zeichen von 0 bis 9 steht) von einem remoten Speicherort in den Systemordner herunterzuladen und zu starten.
Eine DLL namens eplrr.dll kann in den Windows-Systemordner heruntergeladen und installiert werden. Außerdem werden folgende Registrierungseinträge erstellt:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
ShellServiceObjectDelayLoad\eplrr =
<HKCR\CLSID\<CLSID>\InprocServer32 = %SYSTEM%\eplrr.dll
(wobei <CLSID> variabel ist.)
Wenn eplrr.dll geladen wird, versucht sie, Konfigurationsdaten von einem remoten Speicherort herunterzuladen und kann - abhängig von den Konfigurationsdaten - Programme herunterladen und starten oder die Einstellungen im Microsoft Internet Explorer verändern, indem sie folgende Registrierungseinträge ändert:

HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\Search Page
usw.
eplrr.dll lädt Programme mit dem Namen tmpf??.exe (wobei ?? für eine zweistellige Zahl steht) in den Systemordner herunter.
Typischerweise wird eine Datei mit dem Namen timestamp.sys im Systemordner erstellt und eine Datei namens iesprt kann ebenfalls erstellt werden.
______________________________________________________________________________________

Deaktivieren Wiederherstellung
«XP
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924
_______________________________________________________________________________________

Start<Ausfuehren<-->schreib rein : cmd
dann kopiere rein:
regsvr32 /u c:\system32\eplrr9.dll
enter

del c:\windows\sbepavkh.exe
enter

del C:\WINDOWS\System32\ehvox.exe
enter

del C:\WINDOWS\sdqjgnir.exe
enter

del C:\WINDOWS\System32\wybougqi.exe
enter

del C:\WINDOWS\conscorr.exe
enter

C:\Program Files\Windows AdControl\WinAdCtl.exe uninst
enter

C:\Program Files\Windows AdControl\WinAdAlt.exe uninst
enter

C:\Programme\Web_Rebates\WebRebates0.exe uninst
enter

-------------------------------------------------------------------------------------------------
Lade (auf dem Desktop entpacken, aber noch nicht scanne-->erst im abgesicherten Modus)

#LSPfix.exe
http://www10.brinkster.com/expl0iter/freeatlast/L2M/ts.htm
<"I know what I'm doing"

Killbox
http://www.bleepingcomputer.com/files/killbox.php

#Antivirus (free)--<warte den Installationsscann in aller Ruhe ab.
http://www.free-av.de/
[X] Speicher
[X] Bootsektor Suchlaufwerke
[ ] Unbekannte Bootsektoren melden
[X] Alle Dateien
[ ] Programmdateien

<gehe in den abgesicherten Modus-->F8 druecken, wenn der PC hochfaehrt und sich als Administrator anmelden

http://www.tu-berlin.de/www/software/virus/savemode.shtml

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked"

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.naupoint.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.naupoint.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = search.naupoint.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.naupoint.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://search.naupoint.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = search.naupoint.com
O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\localNRD.dll
O2 - BHO: My Search BHO - {014DA6C1-189F-421a-88CD-07CFE51CFF10} - C:\Programme\MySearch\bar\1.bin\S4BAR.DLL
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll
O2 - BHO: C:\WINDOWS\lbbho.dll - {827812BE-353A-441E-A77A-2FDD4EFC96F1} - C:\WINDOWS\lbbho.dll
O2 - BHO: No description - {88CC91DE-5930-45AD-9E04-6B1233609FEA} - C:\WINDOWS\System32\jmk2C10.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll
O3 - Toolbar: PopUpCop - {DB43E4E6-FF8A-4018-8C8E-F68587A44A73} - C:\PROGRA~1\POPUPCOP\PopUpCop.dll
O3 - Toolbar: My Search Bar - {014DA6C9-189F-421a-88CD-07CFE51CFF10} - C:\Programme\MySearch\bar\1.bin\S4BAR.DLL
O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe"
O4 - HKLM\..\Run: [sbepavkh] c:\windows\sbepavkh.exe
O4 - HKLM\..\Run: [sdqjgnir] C:\WINDOWS\sdqjgnir.exe
O4 - HKLM\..\Run: [qdsxomyaijb] C:\WINDOWS\System32\wybougqi.exe
O4 - HKLM\..\Run: [conscorr] C:\WINDOWS\conscorr.exe
O4 - HKLM\..\Run: [Windows AdControl] C:\Program Files\Windows AdControl\WinAdCtl.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - HKCU\..\Run: [JavaUpdate0.07] C:\WINDOWS\System32\ehvox.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - ms-its:mhtml:file://c:\nosuxyz.mht!http://xxxtgp.ath.cx/loud.chm::/bridge-c32.cab
O21 - SSODL: eplrr9 - {62DA6D9B-71BE-4E20-92BA-8AEEFB41F091} - C:\WINDOWS\System32\eplrr9.dll (file missing)
___________________________________________________________________________________
___________________________________________________________________________________
Gehe in die Registry

Start<Ausfuehren<regedit

REGISTRY:
Loesche folgendes:

Bearbeiten-->suchen:

naupoint

eventuell findesr du folgendes:
alles unter :-->naupoint
#Software
kompletten Schluessel loeschen:
Naupointbar Toolbar
Bar ID------- Reg_SZ -------- 2004082916352380108252196

#HKEY_CURRENT_USER <Software
kompletten Schluessel loeschen:
< Naupointbar Toolbar\.Ink
Standard --> Inkfile
Default_Page_URL -----> search.naupoint.com
Default_Page_URL -----> *http://search.naupoint.com*
Search Page -----> *http://search.naupoint.com*

#HKEY_LOKAL_MACHINE < Software < Classes \Ink.
Standard --> Inkfile
loeschen:
=Default_Page_URL --> search.naupoint.com
=Default_Page_URL --> *http://search.naupoint.com*
=Search Page --> *http://search.naupoint.com*

#HKEY_CLASSES_ROOT\
kompletten Schluessel loeschen:
CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\
InProcServer32\
=(Standard) --> REG_EXPAND_SZ----> %SystemRoot%\System32\browser
=Default_Page_URL--------------------->search.naupoint.com
=Default_Page_UR---------------------->search.naupoint.com
=Default_Page_URL--------------------->*http://search.naupoint.com*
=Lokal Page------------------------------>search.naupoint.com
=Search Page---------------------------->*http://search.naupoint.com*
=Start Page------------------------------->search.naupoint.com
=ThreadingModel------------------------>Both

#HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU
loeschen.
=a----------REG_SZ--------D:\HTML\dialer
=b----------REG_SZ--------D:\HTML\systemvolumeninformation
=c----------REG_SZ--------D:\HTML\registry_2611
=d----------REG_SZ--------D:\HTML\naupoint
=e----------REG_SZ--------D:\HTML\install properties
=f----------REG_SZ--------D:\HTML\tracing
=g----------REG_SZ--------D:\HTML\iesprt
=h----------REG_SZ--------C:\WINDOWS\Downloaded Programm Files\avsniff
=i----------REG_SZ-------- D.\RECYCLER\S-1-5-21-583907252-920026266-1060284298-1003

#HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU*
loeschen:-->alles, was du rechts findest
=a----------REG_SZ----------D:\HTML\naupoint
=b----------REG_SZ----------D:\HTML\naupoint3.jpg
=c----------REG_SZ----------D:\HTML\naupoint2.jpg
=d----------REG_SZ----------D:\HTML\registry_2611.psd
=e----------REG_SZ----------D:\HTML\tracing
=f----------REG_SZ----------D:\HTML\install properties
=g----------REG_SZ----------D:\HTML\naupoint4.jpg
=h----------REG_SZ----------D:\HTML\naupoint.jpg
=i----------REG_SZ----------D:\HTML\iesprt
=j----------REG_SZ----------D:\HTML\naupoint5.jpg

#HKEY_LOKAL_MACHINE\Software\Microsoft\InternetExplorer\Search
loeschen:
=First Home Page---------->search.naupoint.com
=LokalPage------------------>*http://www.startnow.com/*
=SearchPage---------------->*http://search.naupoint.com*
=StartPage------------------>search.naupoint.com

#HKEY_USERS\S-1-5-21-583907252-920026266-1060284298-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg3
\OpenSave MRU
loeschen:-->alles, was du rechts findest

=i----------REG_SZ---------- C.\RECYCLER\S-1-5-21-583907252-920026266-1060284298
-------------------------------------------------------------------------------
C:\Windows\System32\cplrr9.dll

Bearbeiten-->suchen --> cplrr9

eventuell findest du folgende:
#HKEY_CLASSES_ROOT\CLSID\
loeschen:
{AAC61E8F-5ABA-4B66-BBCB-CCB2CD4FFF3C}\InproServer32

#HKEY_CLASSES_ROOT\CLSID\
loeschen:
{ED816CFC-CF40-456C-835D-ADB732762301}\InproServer32

#HKEY_CLASSES_ROOT\CLSID\
loeschen:
{D5B8F92A-0A26-439F-BAAB-B7E64C3814BC}\InproServer32

#HKEY_CLASSES_ROOT\CLSID\
loeschen:
{62DA6D9B-71BE-4E20-92BA-8AEEFB41F091}

#HKEY_CLASSES_ROOT\CLSID\
loeschen:
{FB2EFD55-ACAA-4249-9D1A-5986AE371F6A}\InproServer32
.........................................................................................................
HKEY_LOKAL_MACHINE\Software\Classes\CLSID
loeschen:
{7B745B95-D118-4C9A-A2CC-240962575C60}\InproServer32

HKEY_LOKAL_MACHINE\Software\Classes\CLSID
loeschen:
{62DA6D9B-71BE-4E20-92BA-8AEEFB41F091}

schliesse die Registry
___________________________________________________________________
___________________________________________________________________

Deinstallieren:
"Start -> Einstellungen -> Systemsteuerung -> Software"
<NEWDOT
<versuche auch zu deinstallieren:Web_Rebates
<versuche auch zu deinstallieren:Windows AdControl

#oeffne -->LSPfix.exe

http://www10.brinkster.com/expl0iter/freeatlast/L2M/ts.htm
<"I know what I'm doing"
bringe die "newdotnet6_38.dll"
von der linken auf die rechte Seite und loesche sie
(das Tool ist ganz wichtig, sonst hast du kein Internet mehr)

#Windows Explorer -> "Extras/Ordneroptionen" ->
"Ansicht" -> Haken entfernen bei "Geschützte Systemdateien
ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen"
aktivieren -> "OK


suche und loesche:
tmpf??.exe (wobei ?? für eine zweistellige Zahl steht)
iesprt (exe oder dll ???)

oeffne die Killbox:
es kann sein, dass einige exe und dll schon nicht mehr vorhanden sind......

geh auf
<Delete File on Reboot
und klick auf das rote Kreuz,
wenn gefragt wird, ob reboot-> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINDOWS\localNRD.dll
C:\WINDOWS\Downloaded Program Files\bridge.dll
C:\Programme\MySearch\bar\1.bin\S4BAR.DLL
C:\WINDOWS\lbbho.dll
C:\WINDOWS\System32\jmk2C10.dll
C:\PROGRA~1\FLASHGET\jccatch.dll
C:\PROGRA~1\POPUPCOP\PopUpCop.dll
C:\Programme\Web_Rebates\WebRebates0.exe
C:\Program Files\Windows AdControl\WinAdCtl.exe
C:\Program Files\Windows AdControl\WinAdAlt.exe
c:\windows\sbepavkh.exe
C:\WINDOWS\sdqjgnir.exe
C:\WINDOWS\System32\wybougqi.exe
C:\WINDOWS\conscorr.exe
C:\WINDOWS\System32\ehvox.exe
C:\WINDOWS\System32\lsd_f3.dll
C:\WINDOWS\system32\timestamp.sys
C:\WINDOWS\System32\eplrr9.dll

PC neustarten , wieder in den abgesicherten Modus.

loesche:
C:\RECYCLER\S-1-5-21-583907252-920026266-1060284298-1003
C:\Programme\MySearch
C:\Program Files\Windows AdControl
C:\Programme\Web_Rebates\

ganz wichtig:
Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

Einfach in den MS-DOS-Modus begeben:
Start<ausfuehren<cmd
reinkopieren:
del c:\windows\temp ---> mit Y bestätigen
(Entertaste drücken)

ganz wichtig:
#C:\Windows\Downloaded Programm Files\ -->löschen (ALLE)

mache mit Antivirus einen Komplettscann.-->poste mit bitte das Log vom Scann

gehe wieder in den Normalmodus.

#AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
waehrend des Scanvorganges müssen ALLE sonstige
Anwendungen beendet werden und alle Browserfenster müssen
geschlossen sein!

MRU-Clear XP 1.2
Windows merkt sich von jedem Benutzer die zuletzt benutzten Dateien und ausgeführten Funktionen. Diese Einstellungen werden nicht in einer extra Datei, sondern in der Registrierdatenbank abgelegt. Auf diese MRU-Einträge der einzelnen USER kann aber auch ein anderer Benutzer über die Registry zugreifen und so feststellen, was der Anwender denn so als letztes auf seinem Rechner gemacht hat.
Diese MRU-Listen können Sie mit MRU-Clear XP anzeigen und löschen.
http://www.ok-s.de/download/download.html

#ClaerProg..lade die neuste Version <1.4.0 Final
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)
- die eingetragenen URLs

- Autovervollständigen-Einträge in Web-Formularen des IE (bisher
nur Win9x/ME)
- Download-Listen des Netscape/Opera
http://www.clearprog.de/downloads.php

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

und poste das Log noch einmal.
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 26.12.2004 um 11:24 Uhr von Sabina editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: