Home » Spyware & Browser Hijacker Support Forum » topantispyware.com läßt sich nicht entfernen » Themenansicht
topantispyware.com läßt sich nicht entfernen |
||
|---|---|---|
| #0
| ||
|
22.04.2005, 14:12
Member
Beiträge: 15 |
||
 
|
|
|
|
22.04.2005, 23:45
Ehrenmitglied
 Beiträge: 29434 |
#107
Loesche mit der Killbox:(nur das, nichts weiter....)
C:\WINDOWS\System32\msmqins.dll C:\WINDOWS\System32\ntio40.sys neustarten Zitat Was die Dienste in der Registry betrifft, die solltest du loeschen, denn sie wurden vom Wurm erstellt. Zitat
•BitDefender Scan[/b] http://www.bitdefender.de/scan/licence.html www.bitdefender.com/scan/Msie/index.php •PC Pitstop Scan www.pcpitstop.com/antivirus/AV.asp berichte von den Scanns __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
23.04.2005, 02:03
Member
Beiträge: 15 |
#108
Sorry Sabina, diese 2 gibts nicht:
C:\WINDOWS\System32\msmqins.dll C:\WINDOWS\System32\ntio40.sys Und das hier versteh ich nicht arghhh sorry aber was meinst du damit ? Was die Dienste in der Registry betrifft, die solltest du loeschen, denn sie wurden vom Wurm erstellt. HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\ loeschen: 0 loeschen: "FriendlyName" = "Security" "Source" = "C:\WINDOWS\Web\desktop.html" "SubscribedURL" = "C:\WINDOWS\Web\desktop.html" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_COM+_SYSTEM_SERVICE\0000] "Service"="COM+ System Service" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\COM+ System Service] ........................??? Hab noch eine Frage an dich, warum hilfst du allen hier ? Das ist wirklich der hammer, wirklich 1000 Dank !!! |
|
|
|
|
|
|
23.04.2005, 17:00
Ehrenmitglied
Beiträge: 29434 |
#109
Hallo@Halbos
Es gibt Wuermer/Backdoors, die auch Dienste erstellen und sich damit immer wieder aktivieren. Man sollte sie in der Registry loeschen  C:\\Dokumente und Einstellungen\\user\\Desktop\\COMSS_results.txt C:\\Documents and Settings\\user\\Desktop\\LEGACY_COMCSVC2_backup.reg ueber diese txt wusste der Backdoorbesitzer alles, was sich auf deinem Desktop/PC abspielte. Du solltest also alle wichtigen Passworte usw. aendern. Info: http://castlecops.com/postp517616.html Sollte man Probleme haben, die Einträge zu löschen, Klicke auf Bearbeiten-->Berechtigung und klicke dann auf Vollzugriff -->[Übernehmen] und auf [OK]. Erneuter [Rechtsklick] auf den Schlüssel und versuche diesen zu löschen.  HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_COM+_SYSTEM_SERVICE\0000 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\COM+ System Service HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_COM+_SYSTEM_SERVICE\0000 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\COM+ System Service HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_COM+_SYSTEM_SERVICE\0000 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\COM+ System Service HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETDDEC HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETDDEC\0000 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NETDDEC HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NETDDEC HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\NETDDEC HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETDDEC HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NETDDEC HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\ loeschen: 0 loeschen: "FriendlyName" = "Security" "Source" = "C:\WINDOWS\Web\desktop.html" "SubscribedURL" = "C:\WINDOWS\Web\desktop.html" dann  C neustarten__________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
23.04.2005, 21:56
...neu hier
Beiträge: 3 |
#110
Hallo Sabina!
Habe hier gelesen, dass Du schon vielen geholfen hast (4297 Beiträge! Wahnsinn!). Leider ist mein Rechner auch von "topantispyware" infiziert. Vielleicht hast Du ja Zeit und kannst auch mir helfen. CWCredder hat nichts gefunden und Ad-Aware hat auch nichts genützt. Hier die Log-Datei von HijackThis: Logfile of HijackThis v1.99.1 Scan saved at 21:27:46, on 23.04.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\KMaestro\KMaestro.exe C:\MMaestro\BWheel35.exe C:\WINDOWS\system32\wscntfy.exe C:\Sven\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Bernd\LOKALE~1\Temp\se.dll/spage.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Bernd\LOKALE~1\Temp\se.dll/spage.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank O1 - Hosts: 66.250.57.252 altavista.com O1 - Hosts: 66.250.57.252 www.altavista.com O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O4 - HKLM\..\Run: [BtcMaestro] C:\Programme\KMaestro\KMaestro.exe O4 - HKLM\..\Run: [LWBMOUSE] C:\MMaestro\BWheel35.exe O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe Gruß von der Nordseeküste Sven |
|
|
|
|
|
|
24.04.2005, 00:46
Ehrenmitglied
Beiträge: 29434 |
#111
Hallo@Nordsee
1.Schritt: Hijacker about:blank - se.dll\sp.html http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html scanne und poste das neue log vom HijackTHis ------------------------------------------------------------------- 2.Schritt: •eScan-Erkennungstool eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich: http://www.mwti.net/antivirus/free_utilities.asp oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche kavupd.exe, die klickst du an--> (Update- in DOS) ausführen gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen : Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory -->und "Scan " klicken. •Gehe wieder in den Normalmodus: •mache bitte folgendes: nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du "infected" ein •jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw. •und ganz unten steht die zusammenfassung, diese auch hier posten __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
24.04.2005, 02:54
Member
Beiträge: 15 |
#112
Hallo @ Master Sabina, also ich habe diese hier gelöscht ------->
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_COM+_SYSTEM_SERVICE\0000 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\COM+ System Service HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_COM+_SYSTEM_SERVICE\0000 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\COM+ System Service HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_COM+_SYSTEM_SERVICE\0000 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\COM+ System Service HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETDDEC HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETDDEC\0000 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NETDDEC HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NETDDEC HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\NETDDEC HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETDDEC HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NETDDEC Den hab ich nicht gefunden --------> HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\ loeschen: 0 Hier versteh ich zum 2. mal nicht was du meinst ----> loeschen: "FriendlyName" = "Security" "Source" = "C:\WINDOWS\Web\desktop.html" "SubscribedURL" = "C:\WINDOWS\Web\desktop.html" Wenn ich hiermit scanne ----> •PC Pitstop Scan www.pcpitstop.com/antivirus/AV.asp -----> sagt er mir nach 3 Minuten immer: ''IE hat ein Problem festgestellt und muss beendet werden'' WARUM DIES ??? Und 1 ganz wichtige Frage ist, ob ich die ''Systemwiederherstellung'' wieder anmachen kann ??? Gruss & ergebene Dankbarkeit ;-) Halbos. |
|
|
|
|
|
|
24.04.2005, 12:17
Ehrenmitglied
Beiträge: 29434 |
#113
Hallo@Halbos
findest du ? HKCU\Software\Microsoft\Internet Explorer\Desktop\ Components  (die Systemwiederherstellung kannst du wieder aktivieren) •Trend-Micro (Online) http://de.trendmicro-europe.com/consumer/products/housecall_launch.php http://de.trendmicro-europe.com/enterprise/products/housecall_pre.php berichte vom Scann) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
24.04.2005, 18:16
...neu hier
Beiträge: 3 |
#114
Hallo Sabina!
Ich habe gestern noch Norton Antivirus installiert, damit ich mir in Zukunft nicht so schnell wieder etwas einfange. Mein System ist jetzt zwar nur noch halb so schnell :-( aber hoffentlich sicherer. Ich habe alles nach Deiner Anleitung gemacht. Hier jetzt die HijackThis-Logdatei: Logfile of HijackThis v1.99.1 Scan saved at 17:48:16, on 24.04.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\Programme\KMaestro\KMaestro.exe C:\MMaestro\BWheel35.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Sven\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = O1 - Hosts: 66.250.57.252 altavista.com O1 - Hosts: 66.250.57.252 www.altavista.com O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [BtcMaestro] C:\Programme\KMaestro\KMaestro.exe O4 - HKLM\..\Run: [LWBMOUSE] C:\MMaestro\BWheel35.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O17 - HKLM\System\CCS\Services\Tcpip\..\{A8CDB003-A974-4D15-9900-D80340BD428C}: NameServer = 192.168.0.1 O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe eScan habe ich auch im abgesicherten Modus durchlaufen lassen. Er hat dort auch 18 infizierte Dateien gefunden, in der Log-Datei ist jedoch nichts von "infected" zu lesen. Da die Datei nicht so lang ist, füge ich sie komplett ein: Logfile of HijackThis v1.99.1 Scan saved at 17:48:16, on 24.04.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\Programme\KMaestro\KMaestro.exe C:\MMaestro\BWheel35.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Sven\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = O1 - Hosts: 66.250.57.252 altavista.com O1 - Hosts: 66.250.57.252 www.altavista.com O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [BtcMaestro] C:\Programme\KMaestro\KMaestro.exe O4 - HKLM\..\Run: [LWBMOUSE] C:\MMaestro\BWheel35.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O17 - HKLM\System\CCS\Services\Tcpip\..\{A8CDB003-A974-4D15-9900-D80340BD428C}: NameServer = 192.168.0.1 O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe Ich glaube Deine Anleitung hat aber geholfen. Zumindest hat sich bisher mein Desktop nicht verändert, und auch beim Surfen scheint alles ganz normal zu sein. Schon jetzt herzlichen Dank Gruß Sven |
|
|
|
|
|
|
24.04.2005, 18:42
Ehrenmitglied
Beiträge: 29434 |
#115
Hallo@Nordsee
Zum Ueberpruefen, ob wirklich alles geloescht ist: Start-->Ausfuehren-->regedit HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\ loesche:0 "FriendlyName" = "Security" "Source" = "C:\WINDOWS\Web\desktop.html" "SubscribedURL" = "C:\WINDOWS\Web\desktop.html" #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten O1 - Hosts: 66.250.57.252 altavista.com O1 - Hosts: 66.250.57.252 www.altavista.com neustarten •KillBox http://www.bleepingcomputer.com/files/killbox.php •Delete File on Reboot <--anhaken und klick auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\WINDOWS\System32\runsrv32.exe C:\WINDOWS\System32\runsrv32.dll C:\WINDOWS\System32\txfdb32.dll C:\r.exe C:\WINNT\System32\srpcsrv32.dll C:\WINDOWS\System32\taskmanagr.exe C:\WINDOWS\System32\MTC.dll C:\WINDOWS\System32\mtc2608.dll C:\WINDOWS\System32\spm1316.dll C:\WINDOWS\System32\wer1316.dll C:\WINDOWS\System32\spoolsrv32.exe C:\WINDOWS\System32\srvc32.exe PC neustarten falls du es findest  loeschen)•C:\Program Files\TopAntiSpyware •C:\WINDOWS\desktop.html •C:\WINDOWS\Web\desktop.html •C:\WINDOWS\SSICO.ICO •C:\Dokumente und Einstellungen\User\\Desktop\! Protect Your Data.url •C:\Dokumente und Einstellungen\User\\Favorites\! Smart Security.url •C:\Dokumente und Einstellungen\User\\Recent\! Smart Security.url •C:\Dokumente und Einstellungen\User\\Start Menu\! Secure Yourself.url so kann man C:\WINDOWS\Web\desktop.html loeschen Geht auf Start -> Einstellungen -> Systemsteuerung und klickt dort auf "Anzeige" Darin gibt es ein Register "Desktop" und die Möglichkeit "Desktop anpassen". Darin wiederum klickt ihr auf das Register "Web" und entfernt dort "Security" in der Liste -------------------------------------------------------------------------- dann kopiere mir direkt aus dem Scann-Log (wo alles aufgefuehrt wird, was gescannt wurde) vom escan raus, was als infected angezeigt wurde __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
24.04.2005, 19:29
...neu hier
Beiträge: 3 |
#116
Hallo Sabina!
Nachdem ich alls Pfade nach und nach bei KillBox eingetragen habe, und dann auf "yes" zum reboot klicke erscheint folgende Fehlermeldung: "PendingFileRenameOparations Registry Data has been Removed by External Process!" Der PC bootet dann nicht selbsständig neu! Was soll ich tun? Gruß Sven[/img] |
|
|
|
|
|
|
24.04.2005, 21:30
Member
Beiträge: 15 |
#117
Hallo @ Sabina, Nun dann danke ich dir wirklich das du mir so geholfen hast !!!
Housecall macht irgendwie faxen, und den hier gibts bei mir nicht ---> HKCU\Software\Microsoft\Internet Explorer\Desktop\ Also tausend Dank & Gruss !!! Bye Master S.---> Halbos |
|
|
|
|
|
|
25.04.2005, 01:47
Ehrenmitglied
Beiträge: 29434 |
#118
Hallo@Nordsee
Zitat Nachdem ich alls Pfade nach und nach bei KillBox eingetragen habe, und dann auf "yes" zum reboot klicke erscheint folgende Fehlermeldung: dann boote du ClaerProg..lade die neuste Version <1.5.1 http://www.clearprog.de/programme/clearprog/index_new.php http://www.clearprog.de/downloads.php <und saeubere den Browser. Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera: - Verlauf - Temporäre Internetfiles (Cache) - index.dat •Online-Scann (Panda) http://www.pandasoftware.com/activescan/com/activescan_principal.htm Download the beta* of our new anti-spyware software today http://www.microsoft.com/athome/security/spyware/software/default.mspx #Ad-aware SE Personal 1.05 Updated http://fileforum.betanews.com/detail/965718306/1 Laden--> Updaten-->scannen-- (ich denke, dass DANN alles o.k. ist, alles Gute fuer dich + PC )__________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
25.04.2005, 01:56
Ehrenmitglied
Beiträge: 29434 |
#119
Hallo@Halbos
na ja, komisch, dass du den Eintrag in der Registey nicht findest, aber ich gehe mal davon aus , dass alles o.k. ist. Deaktiviere noch die Systemwiederherstellung...dann boote und aktiviere sie wieder «XP Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. Wenn es "Beschwerden "geben sollte, komme wieder ins Forum __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
25.04.2005, 23:01
...neu hier
Beiträge: 2 |
#120
Hi Sabina,
i hope so much you can help me - reading all tihs already helped me once, only now it seems like i have it all messed up pretty bad. only thing i can think of is post you my hijackthis log and hope you can make things better for me. Logfile of HijackThis v1.99.1 Scan saved at 22:53:28, on 25.04.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.exe C:\WINDOWS\System32\igfxtray.exe C:\WINDOWS\System32\hkcmd.exe C:\WINDOWS\System32\cmd32.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\isrvs\desktop.exe C:\PROGRA~1\GEMEIN~1\WinTools\WToolsA.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\System32\seee.exe C:\WINDOWS\System32\?hkntfs.exe c:\windows\system32\qdaalzs.exe C:\Programme\OnlineControl\ocontrol.exe C:\Programme\Gemeinsame Dateien\WinTools\WSup.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\BullsEye Network\bin\bargains.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Outlook Express\msimn.exe C:\Programme\Internet Explorer\iexplore.exe C:\Program Files\AutoUpdate\AutoUpdate.exe C:\WINDOWS\System32\hnemp32.exe C:\WINDOWS\System32\htita.exe C:\Programme\CxtPls\CxtPls.exe C:\Dokumente und Einstellungen\Administrator\Desktop\files\TNT\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de/service/redir/ie_t-online.htm R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=www-proxy.t-online.de:80;ftp=ftp-proxy.t-online.de:80 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.t-online.de;localhost;<local> R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll (file missing) O2 - BHO: (no name) - {016235BE-59D4-4CEB-ADD5-E2378282A1D9} - C:\Programme\CxtPls\cxtpls.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: BolgerObj Class - {302A3240-4805-4a34-97D7-1645A0B08410} - C:\WINDOWS\Bolger.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: IE Update Class - {5B4AB8E2-6DC5-477A-B637-BF3C1A2E5993} - C:\WINDOWS\isrvs\sysupd.dll O2 - BHO: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\PROGRA~1\GEMEIN~1\WinTools\WToolsB.dll O2 - BHO: (no name) - {CBFFE1FC-FDB2-4F03-A126-D6CC44C60F2B} - C:\WINDOWS\System32\jjbibb.dll (file missing) O2 - BHO: (no name) - {F4C7A16F-4AD8-1D76-FA88-631331FC6696} - C:\WINDOWS\System32\ffivvqd.dll O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: UCmore XP - The Search Accelerator - {44BE0690-5429-47f0-85BB-3FFD8020233E} - C:\Programme\TheSearchAccelerator\UCMTSAIE.dll O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\cmd32.exe internat.dll,LoadKeyboardProfile O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe O4 - HKLM\..\Run: [AutoLoaderAproposClient] "C:\WINDOWS\cxtpls_loader.exe" /HideUninstall /HideDir /PC=CP.AMS /ShowLegalNote=nonbranded O4 - HKLM\..\Run: [WinTools] C:\PROGRA~1\GEMEIN~1\WinTools\WToolsA.exe O4 - HKLM\..\Run: [AutoLoaderEnvoloAutoUpdater] "C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\~compoundinst0\auto_update_loader.exe" /HideUninstall /HideDir /PC=CP.AMS /ShowLegalNote=nonbranded O4 - HKLM\..\Run: [Security iGuard] C:\Programme\Security iGuard\Security iGuard.exe O4 - HKLM\..\Run: [oesaexq] c:\windows\system32\qdaalzs.exe O4 - HKLM\..\Run: [AutoUpdater] "C:\Program Files\AutoUpdate\AutoUpdate.exe" O4 - HKLM\..\Run: [rF6i3nh] htita.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Asbp] C:\WINDOWS\System32\seee.exe O4 - HKCU\..\Run: [Ugon] C:\WINDOWS\System32\?hkntfs.exe O4 - HKCU\..\Run: [WindowsFY] c:\wp.exe O4 - HKCU\..\Run: [aopsRhNpV] hnemp32.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: OnlineControl.lnk = C:\Programme\OnlineControl\ocontrol.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de/service/redir/ie_t-online.htm O15 - Trusted Zone: *.clickspring.net O15 - Trusted Zone: *.mt-download.com O15 - Trusted Zone: *.my-internet.info O15 - Trusted Zone: *.searchmiracle.com O15 - Trusted Zone: *.skoobidoo.com O15 - Trusted Zone: *.slotchbar.com O15 - Trusted Zone: *.windupdates.com O15 - Trusted Zone: *.ysbweb.com O15 - Trusted Zone: *.clickspring.net (HKLM) O15 - Trusted Zone: *.mt-download.com (HKLM) O15 - Trusted Zone: *.my-internet.info (HKLM) O15 - Trusted Zone: *.searchmiracle.com (HKLM) O15 - Trusted Zone: *.skoobidoo.com (HKLM) O15 - Trusted Zone: *.slotchbar.com (HKLM) O15 - Trusted Zone: *.windupdates.com (HKLM) O15 - Trusted Zone: *.ysbweb.com (HKLM) O15 - Trusted IP range: 67.19.185.246 O15 - Trusted IP range: 67.19.185.246 (HKLM) O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c7.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab?refid=3548 O17 - HKLM\System\CCS\Services\Tcpip\..\{8A7A971F-8BF3-495E-9CC8-32165C60A5D9}: NameServer = 192.168.0.1 O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - C:\WINDOWS\isrvs\mfiltis.dll O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe O23 - Service: ZESOFT - Unknown owner - C:\WINDOWS\zeta.exe would be so glad if you can fix me up! Tristan. p.s. ist ja auch ein deutscher thread... bin schon ganz irr im Kopf.. |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Du bist der master!!!
Also hier hab ich nicht verstanden nach was ich suchen sollte
Zitat: loeschen, was blau ist.
HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0\
"FriendlyName" = "Security"
"Source" = "C:\WINDOWS\Web\desktop.html"
"SubscribedURL" = "C:\WINDOWS\Web\desktop.html"
Hab aber über die Anzeige-Eigenschaften dann dieses security ding gelöscht , UND ES IST WEG! ---> Desktop wieder da.
Bei suche-->loesche--> hat er nur folgendes gefunden, was ich dann gelöscht habe:
C:\WINDOWS\System32\srpcsrv32.dll
Ich hab aber 3 mir verdächtige gefunden die heissen: rundll32 , spoolss.dll & spoolsv <---- sind die in Ordnung ?
---------------
So dann das Ergebnis vom ''Download Registry Search Tool'' für --> NETDDEC
REGEDIT4
; RegSrch.vbs © Bill James
; Registry search results for string "NETDDEC" 22.04.2005 13:37:10
; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETDDEC]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETDDEC\0000]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_NETDDEC\0000]
"Service"="NETDDEC"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NETDDEC]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NETDDEC\Parameters]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NETDDEC\Security]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NETDDEC\Enum]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NETDDEC\Enum]
"0"="Root\\LEGACY_NETDDEC\\0000"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NETDDEC]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NETDDEC\0000]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_NETDDEC\0000]
"Service"="NETDDEC"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\NETDDEC]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\NETDDEC\Parameters]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\NETDDEC\Security]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETDDEC]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETDDEC\0000]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETDDEC\0000]
"Service"="NETDDEC"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NETDDEC]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NETDDEC\Parameters]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NETDDEC\Security]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NETDDEC\Enum]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NETDDEC\Enum]
"0"="Root\\LEGACY_NETDDEC\\0000"
----------------------------------------------------------------------
-----------------------------------------------------------------------
Und noch für ---> COM+ System Service
REGEDIT4
; RegSrch.vbs © Bill James
; Registry search results for string "COM+ System Service" 22.04.2005 13:39:14
; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_COM+_SYSTEM_SERVICE\0000]
"Service"="COM+ System Service"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_COM+_SYSTEM_SERVICE\0000]
"DeviceDesc"="COM+ System Service"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\COM+ System Service]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\COM+ System Service]
"DisplayName"="COM+ System Service"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\COM+ System Service\Parameters]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\COM+ System Service\Security]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\COM+ System Service\Enum]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_COM+_SYSTEM_SERVICE\0000]
"Service"="COM+ System Service"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_COM+_SYSTEM_SERVICE\0000]
"DeviceDesc"="COM+ System Service"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\COM+ System Service]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\COM+ System Service]
"DisplayName"="COM+ System Service"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\COM+ System Service\Parameters]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\COM+ System Service\Security]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_COM+_SYSTEM_SERVICE\0000]
"Service"="COM+ System Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_COM+_SYSTEM_SERVICE\0000]
"DeviceDesc"="COM+ System Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\COM+ System Service]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\COM+ System Service]
"DisplayName"="COM+ System Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\COM+ System Service\Parameters]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\COM+ System Service\Security]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\COM+ System Service\Enum]
-------------------------------------------------------------------------
-------------------------------------------------------------------------
Panda Virus Scan hat folgendes gefunden:
3 infizierte:
Virus:Bck/Agent.FZ C:\Programme\AVPersonal\Infected\dntwyen.VIR
Virus:Trj/Multidropper.GV C:\WINDOWS\System32\msmqins.dll
Virus:Trj/Multidropper.GV C:\WINDOWS\System32\ntio40.sys
Er hat alle 3 disinfected.
Zum 4. mal vielen vielen Dank, muss ich jetzt noch etwas machen ???
Liebe Grüsse @ Sabina ---> Halbos
P.S. Kann ich die Systemwiderherstellung wieder aktivieren ? THX.