Problem bei Home Search Assistent etc |
||
---|---|---|
#0
| ||
23.01.2005, 01:03
...neu hier
Beiträge: 4 |
||
|
||
23.01.2005, 22:16
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo@Gerri223
Deaktivieren Wiederherstellung «XP Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. 1. Öffne den Editor (Start -> Programme -> Zubehör) und kopiere den Inhalt des folgenden Zitats in das Editorfenster. Speichere die Datei anschließend unter dem Namen DelDomains.inf mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. 2. Schließe den InternetExplorer. 3. Klicke die Datei DelDomains.inf mit der rechten Maustaste an und dann auf 'Installieren'. --------------------------------------------------------------------------------------------------------- [version] signature="$CHICAGO$" [DefaultInstall] DelReg=DelTemps AddReg=AddTemps [DelTemps] HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges" HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges" ; Recreate the keys to avoid a restart [AddTemps] HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges" HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges" ---------------------------------------------------------------------- C:\Dokumente und Einstellungen\*********\Lokale Einstellungen\Temp\ <---loesche alle Dateien in diesem Ordner Datenträgerbereinigung: und Löschen der Temporary-Dateien <Start<Ausfuehren--> reinschreiben : cleanmgr loesche nur: #Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k. #Click:Temporäre Dateien, o.k KillBox http://www.bleepingcomputer.com/files/killbox.php <Delete File on Reboot und klick auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\RECYCLER\S-1-5-21-1220945662-1284227242-725345543-1003\Dc2.dll C:\RECYCLER\S-1-5-21-1220945662-1284227242-725345543-1003\Dc1.exe C:\WINDOWS\system32\mfcki32.dll C:\WINDOWS\system32\ntdl32.exe C:\WINDOWS\ieas.exe C:\WINDOWS\javaib32.exe C:\WINDOWS\osnbg.dll C:\WINDOWS\System32\mfcnd.exe C:\RECYCLER\Desktop.ini C:\WINDOWS\System32\sytpo.dll PC neustarten #ClaerProg..lade die neuste Version <1.4.0 Final http://www.clearprog.de/downloads.php <und saeubere den Browser. Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera: - Cookies - Verlauf - Temporäre Internetfiles (Cache) - die eingetragenen URLs #neue Startseite gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein + poste das neue Log vom HijackThis (ueberpruefe mit escan, ob alles sauber ist) __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 23.01.2005 um 22:18 Uhr von Sabina editiert.
|
|
|
||
23.01.2005, 23:30
...neu hier
Themenstarter Beiträge: 4 |
#3
Danke Sabina für die schnelle Antwort, werd das gleich mal durchprobieren, eine Frage hab ich aber noch:
Du hast geschrieben:"kopiere den Inhalt des folgenden Zitats in das Editorfenster..." welches Zitat meinst du? oder steh ich grad etwas auf dem Schlauch? Viele Grüße Gerri |
|
|
||
23.01.2005, 23:48
Ehrenmitglied
Beiträge: 29434 |
#4
---------------------------------------------------------------------------------------------------------
[version] signature="$CHICAGO$" [DefaultInstall] DelReg=DelTemps AddReg=AddTemps [DelTemps] HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges" HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges" ; Recreate the keys to avoid a restart [AddTemps] HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges" HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges" ---------------------------------------------------------------------- __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
24.01.2005, 00:09
...neu hier
Themenstarter Beiträge: 4 |
#5
Ach ja klar, ich dummerchen
So hab alles erledigt wie du beschrieben hast, escan hat nix gefunden außer zwei Hijack Log files die infected sein sollten, die hab ich aber dann gelöscht und so als Laie würde ich sagen mein neues Logfile sieht gut aus oder? Logfile of HijackThis v1.99.0 Scan saved at 00:04:16, on 24.01.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Jetico\BestCrypt\BCResident.exe C:\Programme\Alwil Software\Avast4\aswUpdSv.exe C:\Programme\Alwil Software\Avast4\ashServ.exe C:\Programme\HijackThis\HijackThis.exe O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll O4 - HKLM\..\Run: [BCWipeTM Startup] "C:\Programme\Jetico\BestCrypt\BCWipeTM.exe" startup O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: BestCrypt Auto Open.lnk = C:\Programme\Jetico\BestCrypt\BestCrypt.exe O4 - Global Startup: SpySubtract.lnk = C:\program files\InterMute\SpySubtract\SpySub.exe O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O23 - Service: avast! iAVS4 Control Service - Unknown - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown - C:\Programme\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe Ach so kann ich denn jetzt wieder bei "Systemwiederherstellung auf allen Laufwerken aktivieren" ein Häkchen machen oder bleibt das deaktiviert? Ansonsten super lieben dank für deine Hilfe! Dieser Beitrag wurde am 24.01.2005 um 00:12 Uhr von Gerri223 editiert.
|
|
|
||
24.01.2005, 00:30
Ehrenmitglied
Beiträge: 29434 |
#6
Hallo@Gerri223
du kannst wieder die Systemwiederherstellung aktivieren und die Dateien vom HijackThis loeschen. Das Log ist sauber #Internet Explorer 6 Service Pack 1 http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=1E1550CB-5E5D-48F5-B02B-20B602228DE6 #Alternativbrowser zum IE Firefox http://www.mozilla-europe.org/de/ Installation+Konfiguration Firefox http://www.pcwelt.de/know-how/software/103924/index1.html mache unbedingt die WindowsUpdates!!!!!!!!!!! __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 24.01.2005 um 00:32 Uhr von Sabina editiert.
|
|
|
||
24.01.2005, 00:48
...neu hier
Themenstarter Beiträge: 4 |
#7
Danke Sabina für deine Hilfe, bist die Beste
Werd die Updates machen, versprochen, hehe Hoffe ich kann dir auch mal helfen! viele Grüße Gerri |
|
|
||
Ich habe mir auch diese miesen Programme Home Search Assistent, Search Extender und Shopping Wizard eingefangen und daraufhin dieses Board durchsucht und mich an alle dort gelesenen Anweisungen gehalten, also sprich im abgesicherten Modus Programme wie Spybot, Adware und Escan laufen lassen, habe dann auch mit KillBox die ganzen Einträge bzw. Funde von Escan gelöscht und neugestartet, aber der Mist ist immernoch da und läßt sich einfach nicht löschen!
Habe auch versucht soweit es mir möglich die Registry zu bearbeiten und mit Hijack versucht zu fixen, war mir dabei nur bei einigen sachen nicht ganz sicher!
ich verzweifel bald.
Ich poste hier mal kurz meine Logfile(die infizierten daten) von Escan und mein Hijack Logfile nach dem ganzen prozedere und hoffe und würde mich sehr freuen wenn mir irgendwer helfen könnte, wäre traumhaft
Die von Escan gefunden Dateien:
Sat Jan 22 22:13:36 2005 => **********************************************************
Sat Jan 22 22:13:36 2005 => eScan AntiVirus Toolkit Utility.
Sat Jan 22 22:13:36 2005 => Copyright © 2003-2004, MicroWorld Technologies Inc.
Sat Jan 22 22:13:36 2005 => **********************************************************
Sat Jan 22 22:13:36 2005 => Version 4.8.6 (C:\bases\mwavscan.com)
Sat Jan 22 22:13:36 2005 => Log File: C:\bases\MWAV.LOG
File C:\WINDOWS\system32\mfcki32.dll infected by "Trojan-Downloader.Win32.Agent.bc" Virus
File C:\WINDOWS\system32\ntdl32.exe infected by "Trojan-Downloader.Win32.Agent.ap" Virus
File C:\WINDOWS\ieas.exe infected by "Backdoor.Win32.Small.dc" Virus
File C:\WINDOWS\javaib32.exe infected by "Backdoor.Win32.Small.dc" Virus
File C:\WINDOWS\osnbg.dll infected by "not-a-virus:AdWare.JS.OneMoreSearch.a" Virus
File C:\WINDOWS\System32\mfcnd.exe infected by "Backdoor.Win32.Small.dc" Virus
File C:\WINDOWS\System32\sytpo.dll infected by "not-a-virus:AdWare.JS.OneMoreSearch.a" Virus
File C:\Dokumente und Einstellungen\*********\Lokale Einstellungen\Temp\F9.tmp infected by "Trojan.Win32.HideProc.a" Virus
File C:\Dokumente und Einstellungen\*********\Lokale Einstellungen\Temp\FA.tmp infected by "not-a-virus:AdWare.WinShow.f" Virus
File C:\Dokumente und Einstellungen\*********\Lokale Einstellungen\Temp\FA.tmp.exe infected by "not-a-virus:AdWare.WinShow.f" Virus
File C:\RECYCLER\S-1-5-21-1220945662-1284227242-725345543-1003\Dc1.exe infected by "Trojan-Downloader.Win32.Small.abb" Virus
File C:\RECYCLER\S-1-5-21-1220945662-1284227242-725345543-1003\Dc2.dll infected by "Trojan-Downloader.Win32.Small.yo" Virus
File C:\System Volume Information\_restore{E12C546C-4FC2-44B6-8C16-0BAC6AC86F85}\RP11\A0003604.hta infected by "Trojan-Dropper.VBS.Inor.cj" Virus
File C:\System Volume Information\_restore{E12C546C-4FC2-44B6-8C16-0BAC6AC86F85}\RP11\A0003611.dll infected by "Trojan-Downloader.Win32.Agent.bc" Virus
File C:\System Volume Information\_restore{E12C546C-4FC2-44B6-8C16-0BAC6AC86F85}\RP11\A0003621.exe infected by "Trojan-Downloader.Win32.Small.abb" Virus
File C:\System Volume Information\_restore{E12C546C-4FC2-44B6-8C16-0BAC6AC86F85}\RP5\A0002347.exe infected by "Trojan-Downloader.Win32.Small.abb" Virus
File C:\WINDOWS\javaib32.exe infected by "Backdoor.Win32.Small.dc" Virus
File C:\WINDOWS\osnbg.dll infected by "not-a-virus:AdWare.JS.OneMoreSearch.a" Virus
File C:\WINDOWS\system32\mfcnd.exe infected by "Backdoor.Win32.Small.dc" Virus
File C:\WINDOWS\system32\sytpo.dll infected by "not-a-virus:AdWare.JS.OneMoreSearch.a" Virus
und das danach erstellte Hijack Logfile:
Logfile of HijackThis v1.99.0
Scan saved at 00:43:59, on 23.01.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Jetico\BestCrypt\BCResident.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\rundll32.exe
C:\Dokumente und Einstellungen\********\Eigene Dateien\hijackthis\HijackThis.exe
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll
O4 - HKLM\..\Run: [BCWipeTM Startup] "C:\Programme\Jetico\BestCrypt\BCWipeTM.exe" startup
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: BestCrypt Auto Open.lnk = C:\Programme\Jetico\BestCrypt\BestCrypt.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.static.topconverting.com
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.static.topconverting.com (HKLM)
O23 - Service: avast! iAVS4 Control Service - Unknown - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
Ziemlich kurzes Logfile wie ich finde, ist das normal?
Naja ich hoffe irgendwer kann mir helfen und hoffentlich bekomme ich dann auch mal die oben erwähnten Programme weg.
vielen dank schonmal und viele Grüße
Gerri