TR\LEFEAT.DLL1 wie entfernen? |
||
---|---|---|
#0
| ||
10.02.2005, 11:04
...neu hier
Themenstarter Beiträge: 8 |
||
|
||
10.02.2005, 12:15
Member
Beiträge: 11 |
#17
hallo zusammen ich brauche dringen eure hilfe!
ich habe diesen bescheuerten Lefeat.DLL1 virus egal was ich mache löschen oder so er kommt imemr wieder leider bin ich ein totaler leie was sowas angeht! wie kann ich den weg bekommen !? bitte helft mir! lg timy |
|
|
||
10.02.2005, 12:20
Ehrenmitglied
Beiträge: 29434 |
#18
Hallo@timyneuss
HijackThis http://www.downloads.subratam.org/hijackthis.zip http://www.spywareinfo.com/~merijn/files/hijackthis.zip Lade/entpacke HijackThis in einem Ordner -->None of the above, just start the program --> Save--> Savelog -->es öffnet sich der Editor --> nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
10.02.2005, 12:28
Member
Beiträge: 11 |
#19
das kamm dabei raus!°
Logfile of HijackThis v1.99.0 Scan saved at 12:27:38, on 10.02.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\PROGRA~1\GEMEIN~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe F:\îtunes\iTunesHelper.exe C:\Programme\AVPersonal\AVGNT.EXE F:\Adobe\Acrobat 5.0\Distillr\AcroTray.exe F:\nikon\NkvMon.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\svchost.exe F:\ipod\bin\iPodService.exe F:\TurboLaunch\TurboLaunch.exe F:\eMule0.44d\eMule\emule.exe F:\Programme\ICQLite\ICQLite.exe C:\WINDOWS\system32\ipji32.exe C:\WINDOWS\system32\addmb.exe F:\Spybot - Search & Destroy\TeaTimer.exe F:\Office XP\Office10\OUTLOOK.EXE F:\Office XP\Office10\WINWORD.EXE F:\Spybot - Search & Destroy\SpybotSD.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\Jannis\Desktop\Hijacker Spyware Viren Trojaner entfernen!\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://lookfor.cc/sp.php?pin=28129 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://lookfor.cc/sp.php?pin=28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://lookfor.cc?pin=28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://lookfor.cc/sp.php?pin=28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://lookfor.cc/sp.php?pin=28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://lookfor.cc/sp.php?pin=28129 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://lookfor.cc?pin=28129 R3 - Default URLSearchHook is missing F3 - REG:win.ini: load=C:\WINDOWS\twain_32\Vivid\FLATBED.EXE O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - f:\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: (no name) - {DF5125BB-1DFB-BAA4-431C-8C73208BE2D2} - C:\WINDOWS\system32\sysra.dll (file missing) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [Agent] F:\Medion\PowerVCR II\Agent.exe O4 - HKLM\..\Run: [Remote_Agent] F:\Medion\PowerVCR II\RemoteAgent.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [XTNDConnect PC - ErPhn2] C:\PROGRA~1\GEMEIN~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe O4 - HKLM\..\Run: [iTunesHelper] F:\îtunes\iTunesHelper.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [addmb.exe] C:\WINDOWS\system32\addmb.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [SpybotSD TeaTimer] F:\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\RunOnce: [ICQ Lite] F:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Startup: DSL.lnk = ? O4 - Startup: TurboLaunch.lnk = F:\TurboLaunch\TurboLaunch.exe O4 - Global Startup: Acrobat Assistant.lnk = F:\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = F:\Office XP\Office10\OSA.EXE O4 - Global Startup: NkvMon.exe.lnk = F:\nikon\NkvMon.exe O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\OFFICE~1\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - F:\PROGRA~1\Yahoo!\YPager.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - F:\PROGRA~1\Yahoo!\YPager.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O15 - Trusted Zone: *.05p.com O15 - Trusted Zone: *.awmdabest.com O15 - Trusted Zone: *.blazefind.com O15 - Trusted Zone: *.clickspring.net O15 - Trusted Zone: *.flingstone.com O15 - Trusted Zone: *.frame.crazywinnings.com O15 - Trusted Zone: *.mt-download.com O15 - Trusted Zone: *.my-internet.info O15 - Trusted Zone: *.scoobidoo.com O15 - Trusted Zone: *.searchbarcash.com O15 - Trusted Zone: *.searchmiracle.com O15 - Trusted Zone: *.slotch.com O15 - Trusted Zone: *.static.topconverting.com O15 - Trusted Zone: *.xxxtoolbar.com O15 - Trusted Zone: *.05p.com (HKLM) O15 - Trusted Zone: *.awmdabest.com (HKLM) O15 - Trusted Zone: *.blazefind.com (HKLM) O15 - Trusted Zone: *.clickspring.net (HKLM) O15 - Trusted Zone: *.flingstone.com (HKLM) O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM) O15 - Trusted Zone: *.mt-download.com (HKLM) O15 - Trusted Zone: *.my-internet.info (HKLM) O15 - Trusted Zone: *.scoobidoo.com (HKLM) O15 - Trusted Zone: *.searchbarcash.com (HKLM) O15 - Trusted Zone: *.searchmiracle.com (HKLM) O15 - Trusted Zone: *.slotch.com (HKLM) O15 - Trusted Zone: *.static.topconverting.com (HKLM) O15 - Trusted Zone: *.xxxtoolbar.com (HKLM) O15 - Trusted IP range: 206.161.125.149 O15 - Trusted IP range: 206.161.124.130 (HKLM) O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-17.cab O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/130c51663858d8595916/netzip/RdxIE601_de.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1108026499015 O17 - HKLM\System\CCS\Services\Tcpip\..\{ECB8A9C8-40BB-4D2C-8AE6-C2C00424CEBF}: NameServer = 217.237.151.33 217.237.149.225 O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: iPod Service - Apple Computer, Inc. - F:\ipod\bin\iPodService.exe O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - F:\tune up 2004\WinStylerThemeSvc.exe O23 - Service: Network Security Service - Unknown - C:\WINDOWS\system32\ipji32.exe |
|
|
||
10.02.2005, 12:49
Ehrenmitglied
Beiträge: 29434 |
#20
Dienste anzeigen:
License: Freeware/Getservices Note: You must run this program as a user with Administrator privaleges. ->klicke auf "getservice.bat und poste, was im Editor erscheint. http://www.bleepingcomputer.com/files/getservices.php __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
10.02.2005, 12:54
Member
Beiträge: 11 |
#21
nun kamm das!
danke für deine bemühungen! PsService v1.1 - local and remote services viewer/controller Copyright (C) 2001-2003 Mark Russinovich Sysinternals - www.sysinternals.com SERVICE_NAME: %AF夶À¨ (null) TYPE : 20 WIN32_SHARE_PROCESS START_TYPE : 2 AUTO_START ERROR_CONTROL : 0 IGNORE BINARY_PATH_NAME : C:\WINDOWS\system32\ipji32.exe /s LOAD_ORDER_GROUP : TAG : 0 DISPLAY_NAME : Network Security Service DEPENDENCIES : SERVICE_START_NAME: LocalSystem Dieser Beitrag wurde am 10.02.2005 um 13:17 Uhr von Sabina editiert.
|
|
|
||
10.02.2005, 13:00
Ehrenmitglied
Beiträge: 29434 |
#22
Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein.
So wird der Dienst deaktiviert: Start-> Einstellungen-> Systemsteuerung-> Verwaltung-> Computerverwaltung und dann den Eintrag Dienste auswählen. Nun werden alle laufenden Dienste angezeigt. Hier den Punkt "Network Security Service " aussuchen. Wenn unter Status "gestartet" steht, mit der rechten Maustaste anklicken und die Option "Eigenschaften" auswählen. Nicht "Den Dienst beenden" auswählen, denn dann wird der "Network Security Service " beim nächsten Systemstart erneut ausgeführt. Als Starttyp "deaktiviert" auswählen und den Dienststatus mit "Beenden" schliessen. Jetzt noch "Übernehmen" anklicken. Der " " läuft nicht mehr im Hintergrund und wird auch nicht mehr bei einem Neustart ausgeführt. Download Registry Search Tool : http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip Doppelklick:regsrch.vbs kopiere rein: Network Security Service Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) kopiere rein: %AF夶À¨ Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 10.02.2005 um 13:06 Uhr von Sabina editiert.
|
|
|
||
10.02.2005, 13:05
Member
Beiträge: 11 |
#23
das du so viel weist wahnsin! so das kamm nun !
REGEDIT4 ; RegSrch.vbs © Bill James ; Registry search results for string "Network Security Service" 10.02.2005 13:04:46 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_*008F*0010%AF*00E5*0003*0017*001A*00A4*00B6*00C0*00A8\0000] "DeviceDesc"="Network Security Service" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\%AF夶À¨] "DisplayName"="Network Security Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_*008F*0010%AF*00E5*0003*0017*001A*00A4*00B6*00C0*00A8\0000] "DeviceDesc"="Network Security Service" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\%AF夶À¨] "DisplayName"="Network Security Service" |
|
|
||
10.02.2005, 13:22
Member
Beiträge: 11 |
#24
sory habe das 2 vergesse hier ist es!!
REGEDIT4 ; RegSrch.vbs © Bill James ; Registry search results for string "%AF夶À¨" 10.02.2005 13:21:03 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_*008F*0010%AF*00E5*0003*0017*001A*00A4*00B6*00C0*00A8\0000] "Service"="%AF夶À¨" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_*008F*0010%AF*00E5*0003*0017*001A*00A4*00B6*00C0*00A8\0000\Control] "ActiveService"="%AF夶À¨" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\%AF夶À¨] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\%AF夶À¨\Security] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\%AF夶À¨\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_*008F*0010%AF*00E5*0003*0017*001A*00A4*00B6*00C0*00A8\0000] "Service"="%AF夶À¨" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_*008F*0010%AF*00E5*0003*0017*001A*00A4*00B6*00C0*00A8\0000\Control] "ActiveService"="%AF夶À¨" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\%AF夶À¨] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\%AF夶À¨\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\%AF夶À¨\Enum] |
|
|
||
10.02.2005, 13:42
Ehrenmitglied
Beiträge: 29434 |
#25
Deaktivieren Wiederherstellung
«XP Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. Lade (noch nicht scannen, nur Updaten) #AboutBuster--> laden--> updaten http://www.spychecker.com/program/aboutbuster.html #update den Antivirus auf den Neusten Stand und konfiguriere: [X] Speicher [X] Bootsektor Suchlaufwerke [ ] Unbekannte Bootsektoren melden [X] Alle Dateien [ ] Programmdateien eScan-Erkennungstool--> noch nicht scannen (das machst du dann im abgesicherten Modus) eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich: http://www.mwti.net/antivirus/free_utilities.asp oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche kavupd.exe, die klickst du an--> (Update- in DOS) ausführen 1. Öffne den Editor (Start -> Programme -> Zubehör) und kopiere den Inhalt des folgenden Zitats in das Editorfenster. Speichere die Datei anschließend unter dem Namen DelDomains.inf mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. 2. Schließe den InternetExplorer. 3. Klicke die Datei DelDomains.inf mit der rechten Maustaste an und dann auf 'Installieren'. --------------------------------------------------------------------------------------------------------- [version] signature="$CHICAGO$" [DefaultInstall] DelReg=DelTemps AddReg=AddTemps [DelTemps] HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges" HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges" ; Recreate the keys to avoid a restart [AddTemps] HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges" HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges" ----------------------------------------------------------------------------------------- #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://lookfor.cc/sp.php?pin=28129 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://lookfor.cc/sp.php?pin=28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://lookfor.cc?pin=28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://lookfor.cc/sp.php?pin=28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://lookfor.cc/sp.php?pin=28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://lookfor.cc/sp.php?pin=28129 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://lookfor.cc?pin=28129 R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {DF5125BB-1DFB-BAA4-431C-8C73208BE2D2} - C:\WINDOWS\system32\sysra.dll (file missing) O4 - HKLM\..\Run: [addmb.exe] C:\WINDOWS\system32\addmb.exe O15 - Trusted Zone: *.05p.com O15 - Trusted Zone: *.awmdabest.com O15 - Trusted Zone: *.blazefind.com O15 - Trusted Zone: *.clickspring.net O15 - Trusted Zone: *.flingstone.com O15 - Trusted Zone: *.frame.crazywinnings.com O15 - Trusted Zone: *.mt-download.com O15 - Trusted Zone: *.my-internet.info O15 - Trusted Zone: *.scoobidoo.com O15 - Trusted Zone: *.searchbarcash.com O15 - Trusted Zone: *.searchmiracle.com O15 - Trusted Zone: *.slotch.com O15 - Trusted Zone: *.static.topconverting.com O15 - Trusted Zone: *.xxxtoolbar.com O15 - Trusted Zone: *.05p.com (HKLM) O15 - Trusted Zone: *.awmdabest.com (HKLM) O15 - Trusted Zone: *.blazefind.com (HKLM) O15 - Trusted Zone: *.clickspring.net (HKLM) O15 - Trusted Zone: *.flingstone.com (HKLM) O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM) O15 - Trusted Zone: *.mt-download.com (HKLM) O15 - Trusted Zone: *.my-internet.info (HKLM) O15 - Trusted Zone: *.scoobidoo.com (HKLM) O15 - Trusted Zone: *.searchbarcash.com (HKLM) O15 - Trusted Zone: *.searchmiracle.com (HKLM) O15 - Trusted Zone: *.slotch.com (HKLM) O15 - Trusted Zone: *.static.topconverting.com (HKLM) O15 - Trusted Zone: *.xxxtoolbar.com (HKLM) O15 - Trusted IP range: 206.161.125.149 O15 - Trusted IP range: 206.161.124.130 (HKLM) O23 - Service: Network Security Service - Unknown - C:\WINDOWS\system32\ipji32.exe PC neustarten KillBox http://www.bleepingcomputer.com/files/killbox.php <Delete File on Reboot und klick auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" -->"you want to reboot" auf "yes" gehen dann kommt die Meldung : "PendingFileRenameOperations Registry Data has been Removed by External Process". C:\WINDOWS\system32\sysra.dll C:\WINDOWS\system32\ipji32.exe C:\WINDOWS\system32\addmb.exe PC neustarten gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml C:\Documents and Settings\dein Username\Local Settings\Temp\ <---loesche alles Datein "tmp", die du in diesen Ordnern findest, nicht die Ordner selbst loeschen z.B: 2.tmp.exe und 2.tmp usw.... #mache einen Komplettscann im abgesicherten Modus mit dem Antivirus (poste mir dann da Log vom Scann) #scanne 2 Mal mit AboutBuster (poste mir dann das Log vom Scann) und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen : Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory • Beim Start von e-scan sollten folgende Optionen aktiviert sein: -->und "Scan " klicken. Gehe wieder in den Normalmodus: mache bitte folgendes: nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du infected ein jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw. und ganz unten steht die zusammenfassung, diese auch hier posten die infizierten Dateien musst du dann mit der Killbox oder manuell loeschen (und du musst den Papierkorb leeren) wenn das fertig ist: #ClaerProg..lade die neuste Version <1.4.1 http://www.clearprog.de/downloads.php <und saeubere den Browser. Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera: - Cookies - Verlauf - Temporäre Internetfiles (Cache) #neue Startseite gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein #Ad-aware SE Personal 1.05 Updated http://fileforum.betanews.com/detail/965718306/1 Laden--> Updaten-->scannen-->PC neustarten--> noch mal scannen--> poste das Log vom Scann + poste as neue Log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 10.02.2005 um 13:54 Uhr von Sabina editiert.
|
|
|
||
10.02.2005, 13:43
Member
Beiträge: 11 |
#26
[b][color="red"] also dan cdem ich den rechner im abgesicherten modus gestartet habe und die datei ausgeführt habe kamm das
datein können nur inerhalb des reg.editor importiert werden! wat nun? [color="red"][/color][/color][/b] |
|
|
||
10.02.2005, 13:50
Ehrenmitglied
Beiträge: 29434 |
#27
ja, du hast es nicht richtig gemacht--> und das war auch gut so, denn du hast nicht korrekt gearbeitet, als du mir nur die Haelfte gepostet hast.
Mache nichts mehr, der Dienst ist schon durch das Tool geloescht. nun arbeite alles andere ab und poste mir dann die Scannlogs. und die infizierten Dateien vom escan (bevor du sie loeschst) __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 10.02.2005 um 13:51 Uhr von Sabina editiert.
|
|
|
||
10.02.2005, 13:59
Member
Beiträge: 11 |
#28
du hast geschrieben
Deaktivieren Wiederherstellung «XP Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. soll ich danahc auf übernehmen klicken? |
|
|
||
10.02.2005, 14:01
Ehrenmitglied
Beiträge: 29434 |
||
|
||
10.02.2005, 14:11
Member
Beiträge: 11 |
#30
den teil vertseh ich nicht mit dem program! runtergeladen habe ich das
sorry wie gesagt bin ein totaler leihe! KillBox http://www.bleepingcomputer.com/files/killbox.php <Delete File on Reboot und klick auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" -->"you want to reboot" auf "yes" gehen dann kommt die Meldung : "PendingFileRenameOperations Registry Data has been Removed by External Process". C:\WINDOWS\system32\sysra.dll C:\WINDOWS\system32\ipji32.exe C:\WINDOWS\system32\addmb.exe |
|
|
||
Was mich noch interessieren würde..
Was haben diese Viren angestellt? Hab ich passwörter verloren?
Finde keine richtige Beschreibung meiner Angreifer im Netz.
Werde mir firefox ziehen.
Liebe Grüße Teasy33