Home » Spyware & Browser Hijacker Support Forum » immer noch about:blank und suchseite » Themenansicht

immer noch about:blank und suchseite
#0
15.01.2005, 20:34
kwax
...neu hier

Beiträge: 2
#1 habe seit heute dieses problem mit dem about:blank im explorer. immer wird eine suchseite angezeigt. habe alle möglichen programme drüber laufen lassen, aber es ist immer noch da. habe es auch mit sphjfix probiert, habve es hier gelesen. aber auch der findet nix.
hier mal die logfile, hoffe ihr könnt mir helfen:

Logfile of HijackThis v1.98.2
Scan saved at 20:21:22, on 15.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\VIA\RAID\raid_tool.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\Dokumente und Einstellungen\kwax\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\mcicdb.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\mcicdb.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\mcicdb.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\mcicdb.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\mcicdb.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\mcicdb.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R3 - URLSearchHook: Search - {D1189A4E-A025-4EC4-BC4F-C9B21E0E0BCF} - C:\WINDOWS\system32\Q3752046.dll
O2 - BHO: (no name) - {5AFBDA75-FF3D-45B4-BF5D-D510787EFE15} - C:\WINDOWS\system32\mcicdb.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - C:\WINDOWS\system32\iecust.dll (file missing)
O3 - Toolbar: Search - {F4CDD6B8-A478-44FB-AEF3-65B835D103DA} - C:\WINDOWS\system32\Q3752046.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~2\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [sp2chk.exe] sp2chk.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programme\VIA\RAID\raid_tool.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Search - {F4CDD6B8-A478-44FB-AEF3-65B835D103DA} - C:\WINDOWS\system32\Q3752046.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{30F79AE2-22CD-4BDA-98AA-AABDC83B4488}: NameServer = 69.50.188.178,69.31.80.244
O17 - HKLM\System\CCS\Services\Tcpip\..\{50FB75DF-6B62-48C6-A8AA-1844C8BE8534}: NameServer = 217.237.150.33 217.237.151.161
O17 - HKLM\System\CCS\Services\Tcpip\..\{7BC65229-D722-498D-94B2-0B233A75789F}: NameServer = 69.50.188.178,69.31.80.244
O17 - HKLM\System\CS1\Services\Tcpip\..\{30F79AE2-22CD-4BDA-98AA-AABDC83B4488}: NameServer = 69.50.188.178,69.31.80.244
O17 - HKLM\System\CS2\Services\Tcpip\..\{30F79AE2-22CD-4BDA-98AA-AABDC83B4488}: NameServer = 69.50.188.178,69.31.80.244
O18 - Filter: text/html - {66D512EA-017E-41D1-A5FA-9DDF14F44C67} - C:\WINDOWS\system32\mcicdb.dll
O18 - Filter: text/plain - {66D512EA-017E-41D1-A5FA-9DDF14F44C67} - C:\WINDOWS\system32\mcicdb.dll
Seitenanfang Seitenende
16.01.2005, 14:07
Tempelzwerg
...neu hier

Beiträge: 3
#2 Versuchs mal hiermit

http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html


hattest du schon versucht... habs überlesen... sorry
Dieser Beitrag wurde am 16.01.2005 um 14:18 Uhr von Tempelzwerg editiert.
Seitenanfang Seitenende
16.01.2005, 14:18
kwax
...neu hier

Themenstarter

Beiträge: 2
#3 hab ich schon probiert. das programm das aufgeführt wird erkennt bei mir keine infektion!
Seitenanfang Seitenende
16.01.2005, 14:42
Tempelzwerg
...neu hier

Beiträge: 3
#4 hab hier bei mir fast die selben einträge und auch noch keine lösung gefunden...


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\mcicdb.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\mcicdb.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\mcicdb.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\mcicdb.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\mcicdb.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\mcicdb.dll/sp.html (obfuscated)

Auch dieser eintrag ist bei mir:
O4 - HKLM\..\Run: [sp2chk.exe] sp2chk.exe

löschung der datei hat nix gebracht...

hast du auch einträge in deinen favoriten mit denen du nix anfangen kannst und plötzlich in der taskbar auftauchendes Symbol das davor warnt das spyware auf deinem compi ist?!

falls du es rausfindest bitte poste es hier rein, wäre dir sehr dankbar....

begebe mich jetzt auf die suche im WWW um vielleicht jmd zu finden der uns bei unserem problem helfen kann.
Seitenanfang Seitenende
18.01.2005, 13:20
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#5 Hallo@kwax

Deaktivieren Wiederherstellung
«XP
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924
(nach der Reinigung wieder aktivieren)

1) lade rem.zip herunter
http://forums.skads.org/index.php?showtopic=80
(dort im 1. Posting von Baskar unter Attached File(s)!).
2) entpacke es im verzeichnis C:\WINDOWS\System32\
(es ist wichtig, dass es in diesem verzeichnis ist!)

KillBox (laden)
http://www.bleepingcomputer.com/files/killbox.php

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\mcicdb.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\mcicdb.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\mcicdb.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\mcicdb.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\mcicdb.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\mcicdb.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R3 - URLSearchHook: Search - {D1189A4E-A025-4EC4-BC4F-C9B21E0E0BCF} - C:\WINDOWS\system32\Q3752046.dll
O2 - BHO: (no name) - {5AFBDA75-FF3D-45B4-BF5D-D510787EFE15} - C:\WINDOWS\system32\mcicdb.dll
O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - C:\WINDOWS\system32\iecust.dll (file missing)
O3 - Toolbar: Search - {F4CDD6B8-A478-44FB-AEF3-65B835D103DA} - C:\WINDOWS\system32\Q3752046.dll
O4 - HKLM\..\Run: [sp2chk.exe] sp2chk.exe
O9 - Extra button: Search - {F4CDD6B8-A478-44FB-AEF3-65B835D103DA} - C:\WINDOWS\system32\Q3752046.dll
O18 - Filter: text/html - {66D512EA-017E-41D1-A5FA-9DDF14F44C67} - C:\WINDOWS\system32\mcicdb.dll
O18 - Filter: text/plain - {66D512EA-017E-41D1-A5FA-9DDF14F44C67} - C:\WINDOWS\system32\mcicdb.dll

PC neustarten

oeffne die Killbox
<Delete File on Reboot
und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

kopiere in die Killbox:

C:\WINDOWS\system32\Q3752046.dll
C:\WINDOWS\System32\sp2chk.exe
oder:
C:\WINDOWS\sp2chk.exe
C:\WINDOWS\system32\mcicdb.dll/sp.html
C:\WINDOWS\system32\mcicdb.dll

PC neustarten
gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

4) starte die datei rem.bat, scannen lassen.

Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

Gehe wieder in den Normalmodus

#Backdoor.agent.b.removal.tool.(Symantec)
http://securityresponse.symantec.com/avcenter/venc/data/backdoor.agent.b.removal.tool.html

#Search&Destroy
http://www.safer-networking.org/de/download/index.html
Spybot - Search && Destroy process list report,-->bitte abkopieren und posten

CWShredder 2.12 [2004-12-13]
http://www.majorgeeks.com/download3019.html

#AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
waehrend des Scanvorganges müssen ALLE sonstige
Anwendungen beendet werden und alle Browserfenster müssen
geschlossen sein!

#ClaerProg..lade die neuste Version <1.4.0 Final
http://www.clearprog.de/downloads.php
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)
- die eingetragenen URLs

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

6) unter C:\ sollte nun eine datei namens log.txt zu finden sein.
7) markiere den inhalt und füge ihn hier ein.
erstelle ein aktuelles HijackThis log und poste es mit der log.txt von rem.

+ das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 18.01.2005 um 13:22 Uhr von Sabina editiert.
Seitenanfang Seitenende
22.01.2005, 14:34
fredmann
...neu hier

Beiträge: 2
#6 Hallo und guten Tag,
bin ganz neu hier und auf Empfehlung stelle ich auch mal ein Ergebnis rein, vielleicht Bekomme ich ein paar Tips, was so alle faul ist bei mir.
schönes WE noch.
Logfile of HijackThis v1.99.0
Scan saved at 14:02:47, on 22.01.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\WINDOWS\adapi.exe
C:\Programme\Windows Media Player\dlexport.exe
C:\Programme\Caere\OmniPagePro90\opware32.exe
C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
C:\Programme\CardReader2.0\CRBroadCasting.exe
C:\WINDOWS\tvwexdko.exe
C:\WINDOWS\system32\ntvdm.exe
C:\WINDOWS\System32\Uwryzc.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Telekom\T-Eumex 520PC\Capictrl.exe
C:\Programme\Hewlett-Packard\AiO\hp psc 900 series\Bin\hpobrt07.exe
C:\PROGRA~1\GEMEIN~1\Nokia\Services\SERVIC~1.EXE
C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
C:\Programme\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
C:\Programme\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\CardReader2.0\OTiReader.exe
C:\WINDOWS\C2F4.exe
C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\hpoipm07.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe
C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOFXM07.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Krause\LOKALE~1\Temp\Rar$EX00.906\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
O2 - BHO: MyWay Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - (no file)
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: (no name) - {46AE04C0-BCFA-4728-90E7-00EB4A8B3863} - (no file)
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [USSShReg] C:\PROGRA~1\ULEADS~1\ULEADP~1.2\SSaver\Ussshreg.exe /r
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [W32_ADAPI] C:\WINDOWS\adapi.exe
O4 - HKLM\..\Run: [dlexport] C:\Programme\Windows Media Player\dlexport.exe
O4 - HKLM\..\Run: [OmniPage] C:\Programme\Caere\OmniPagePro90\opware32.exe
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [CRBroadCasting] C:\Programme\CardReader2.0\CRBroadCasting.exe
O4 - HKLM\..\Run: [KeKpB] C:\WINDOWS\tvwexdko.exe
O4 - HKLM\..\Run: [sais] c:\programme\180solutions\sais.exe
O4 - HKLM\..\Run: [zwx] C:\WINDOWS\zwx.exe
O4 - HKLM\..\Run: [version] C:\WINDOWS\System32\Jpnbbd.exe
O4 - HKLM\..\Run: [secure] C:\WINDOWS\System32\Uwryzc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [YAW Autostart] "C:\Programme\YAW\yaw.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: HPAiODevice(hp psc 900 series) - 1.lnk = C:\Programme\Hewlett-Packard\AiO\hp psc 900 series\Bin\hpobrt07.exe
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZNxdm414
O8 - Extra context menu item: Allow Popups - C:\Programme\Meaya\Popup Ad Filter\WhiteGetUrl.js
O8 - Extra context menu item: CC Web-Interface - http://localhost:4002/cookie.cooker/loadifscript
O8 - Extra context menu item: Formulare ausfüllen (echte Daten) - http://localhost:4002/cookie.cooker/fillscriptp
O8 - Extra context menu item: Formulare ausfüllen (zufällig) - http://localhost:4002/cookie.cooker/fillscriptr
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Werbung blockieren - http://localhost:4002/cookie.cooker/scriptwerbung
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {00000000-7777-0704-0B53-2C8830E9FAEC} - http://gn.one2bill.de/soft/axload.cab
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094489147186
O16 - DPF: {9E98E84C-79E1-49C3-82EB-798FCD552EFB} (VacPro.internazionale_ver4) - http://advnt01.com/dialer/internazionale_ver4.CAB
O23 - Service: DefWatch - Symantec Corporation - C:\Programme\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
O23 - Service: Symantec AntiVirus Client - Symantec Corporation - C:\Programme\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: OTi Card Reader Service - Unknown - C:\Programme\CardReader2.0\OTiReader.exe
Seitenanfang Seitenende
22.01.2005, 15:36
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#7 Hallo@fredmann

#Antivirus (free)--Laden--> updaten--> konfigurieren--> noch nicht scannen (erst im abgesicherten Modus)
http://www.free-av.de/
[X] Speicher
[X] Bootsektor Suchlaufwerke
[ ] Unbekannte Bootsektoren melden
[X] Alle Dateien
[ ] Programmdateien

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
O2 - BHO: MyWay Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - (no file)
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - (no file)
O3 - Toolbar: (no name) - {46AE04C0-BCFA-4728-90E7-00EB4A8B3863} - (no file)
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - (no file)
O4 - HKLM\..\Run: [dlexport] C:\Programme\Windows Media Player\dlexport.exe
O4 - HKLM\..\Run: [KeKpB] C:\WINDOWS\tvwexdko.exe
O4 - HKLM\..\Run: [sais] c:\programme\180solutions\sais.exe
O4 - HKLM\..\Run: [zwx] C:\WINDOWS\zwx.exe
O4 - HKLM\..\Run: [version] C:\WINDOWS\System32\Jpnbbd.exe
O4 - HKLM\..\Run: [secure] C:\WINDOWS\System32\Uwryzc.exe
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZNxdm414
O8 - Extra context menu item: CC Web-Interface - http://localhost:4002/cookie.cooker/loadifscript
O8 - Extra context menu item: Formulare ausfüllen (echte Daten) - http://localhost:4002/cookie.cooker/fillscriptp
O8 - Extra context menu item: Formulare ausfüllen (zufällig) - http://localhost:4002/cookie.cooker/fillscriptr
O16 - DPF: {00000000-7777-0704-0B53-2C8830E9FAEC} - http://gn.one2bill.de/soft/axload.cab
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cab
O16 - DPF: {9E98E84C-79E1-49C3-82EB-798FCD552EFB} (VacPro.internazionale_ver4) - http://advnt01.com/dialer/internazionale_ver4.CAB -->Dialer

PC neustarten

KillBox
http://www.bleepingcomputer.com/files/killbox.php
<Delete File on Reboot

und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINDOWS\tvwexdko.exe
C:\WINDOWS\System32\Uwryzc.exe
C:\Programme\Windows Media Player\dlexport.exe
C:\WINDOWS\System32\Jpnbbd.exe
c:\programme\180solutions\sais.exe
C:\WINDOWS\zwx.exe

neustarten-->
gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

Loeschen temporaere Dateien --> loesche die Dateien in den Ordnern, nicht die ordner selbst
C:\WINDOWS\Temp\
C:\Temp\
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\
C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temporary Internet Files\Content.IE5 [loesche nicht die index.dat)

#C:\Windows\Downloaded Programm Files\ -->löschen (ALLE)

#scanne mit dem Antivirus (poste mir dann das Log vom Antivirus)

gehe wieder in den Normalmodus,

#Ad-aware SE Personal 1.05 Updated
http://fileforum.betanews.com/detail/965718306/1
Extended Ad-Aware SE Settings
===========================
Festlegen : Ident. Proz./Mod. beim Scanning aus Speicher entf.
Festlegen : Reg. f. für alle Benutzer (nicht nur f. akt. Ben.) scannen
Festlegen : Vor dem Löschen stets versuchen, Module aus dem Speicher zu entfernen
Festlegen : Explorer/IE b. Löschen ggf. beenden und aus Speicher entf.
Festlegen : Geöffnete Dateien beim nächsten Neustart von Windows löschen lassen
Festlegen : Nach der Wiederherstellung Objekte unter Quarantäne löschen
Festlegen : Grundlegende Ad-Aware-Einstellungen protokollieren

scannen--> neustarten-->scannen--> poste mir das Log vom Scann
poste mir das Log vom Antivirus und das neue Log vom HijackThis.
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 22.01.2005 um 15:39 Uhr von Sabina editiert.
Seitenanfang Seitenende
22.01.2005, 18:14
fredmann
...neu hier

Beiträge: 2
#8 Hallo Sabina,
ich hab den Symantec Antivirus auf meinen Rechner, soll ich da auch so verfahren?
Du mußt wissen, ich hab da nicht alzu viel Ahnung, mein Rechner ist eingerichtet und da ist ne Veränderung o.ä. für mich ein grauen
Grüße
fredmann
Seitenanfang Seitenende
23.01.2005, 00:53
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#9 Hallo@Fredmann

Hast recht, es koennte zu Komplikationen kommen.

Fuehre alles aus, was ich geschrieben habe, aber lade nicht den Antivirus

#eScan-Erkennungstool
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp

erstelle den Ordner c:\bases
mwav.exe runterladen, die Datei incs/bgmenu4.gif" height="31">
&nnach kavupd.exe (Update- in DOS) ausführen

gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen :
Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory
-->und "Scan " klicken.

mache bitte folgendes:
nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du infected ein

jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
und ganz unten steht die zusammenfassung, diese auch hier posten
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1