TR\LEFEAT.DLL1 wie entfernen? |
||
---|---|---|
#0
| ||
27.02.2005, 13:12
Ehrenmitglied
Beiträge: 29434 |
||
|
||
27.02.2005, 23:52
...neu hier
Beiträge: 7 |
#92
Hallo Sabine,
bis zu dem Punkt "oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche" bin ich gekommen, wenn ich %temp% reinschreibe kommt folgende Fehlermeldung: "Die Anweisung in "0x01610065" verweist auf Speicher in "0x00000000". Der Vorgang "written" konnte nicht auf dem Speicher durchgeführt werden." Kann ich diesen Punkt auch im abgesicherten Modus vornhemen, da scheint es zu funktionieren, hatte ja geschrieben, dass ich seit der Installation des SP2 nicht mehr auf Arbeitsplatz und Systemsteuerung zugreifen kann. Wenn ich das versuche kommt eine ähnliche Fehlermeldung. Kannst du sagen, ob dieses Problem vom SP2 oder vom Virus kommt? Lieben Gruss Thorsten Dieser Beitrag wurde am 27.02.2005 um 23:53 Uhr von hamlin editiert.
|
|
|
||
28.02.2005, 14:02
Ehrenmitglied
Beiträge: 29434 |
#93
deinstalliere das SP2 mal bitte vorruebergehnd, dann saeubere den PC nach meinen Anweisungen (alles im abgesicherten Modus)
dann poste das neue Log vom HijackThis dann kann man immer noch uber eine Neuinstallation von SP2 nachdenken __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
01.03.2005, 00:24
...neu hier
Beiträge: 7 |
#94
Hallo Sabina,
danke für deine schnelle Antwort. Hier ist schon mal der erste Scan. Liebe Grüsse Thorsten REGEDIT4 ; RegSrch.vbs © Bill James ; Registry search results for string "6QÔõ'ª´ÆÐ8" 28.02.2005 23:51:18 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_*008F__6Q*00D4*00F5*0013'*00AA*00B4*00C6*00D08\0000] "Service"=" 6QÔõ'ª´ÆÐ8" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ 6QÔõ'ª´ÆÐ8] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ 6QÔõ'ª´ÆÐ8\Security] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ 6QÔõ'ª´ÆÐ8\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_*008F__6Q*00D4*00F5*0013'*00AA*00B4*00C6*00D08\0000] "Service"=" 6QÔõ'ª´ÆÐ8" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ 6QÔõ'ª´ÆÐ8] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ 6QÔõ'ª´ÆÐ8\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_*008F__6Q*00D4*00F5*0013'*00AA*00B4*00C6*00D08\0000] "Service"=" 6QÔõ'ª´ÆÐ8" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 6QÔõ'ª´ÆÐ8] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 6QÔõ'ª´ÆÐ8\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 6QÔõ'ª´ÆÐ8\Enum] und hier ist der scan von "mwav.exe" File C:\DOKUME~1\thoRsten\LOKALE~1\Temp\cd_clint.dll infected by "not-a-virus:AdWare.Cydoor" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\thoRsten\Desktop\alte Dateien Festplatte\eigene Dateien\Eigene Dateien\mp3\kmd151_en.exe infected by "not-a-virus:AdWare.Cydoor" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\thoRsten\Desktop\alte Dateien Festplatte\eigene Dateien\Eigene Dateien\mp3\kmd171gu_en.exe infected by "not-a-virus:AdWare.Cydoor" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\thoRsten\Desktop\alte Dateien Festplatte\eigene Dateien\Eigene Dateien\Programme\cstrainer.zip tagged as not-a-virus:Cracker.Game.HotHook. No Action Taken. File C:\Dokumente und Einstellungen\thoRsten\Desktop\alte Dateien Festplatte\eigene Dateien\Eigene Dateien\Programme\setup_postpaket_2.11.zip tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File C:\Dokumente und Einstellungen\thoRsten\Desktop\alte Dateien Festplatte\eigene Dateien\Eigene Dateien\Programme\Vorsaliases3.81.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File C:\Dokumente und Einstellungen\thoRsten\Lokale Einstellungen\Temp\cd_clint.dll infected by "not-a-virus:AdWare.Cydoor" Virus. Action Taken: No Action Taken. File C:\Programme\AVPersonal\INFECTED\YYCGP.DLL.VIR infected by "not-a-virus:AdWare.JS.OneMoreSearch.a" Virus. Action Taken: No Action Taken. File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\0AE72631.htm infected by "Exploit.VBS.Phel.a" Virus. Action Taken: No Action Taken. File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\0AFB221C.htm infected by "Exploit.VBS.Phel.a" Virus. Action Taken: No Action Taken. File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\0D195BC7.hta infected by "Trojan-Dropper.VBS.Inor.cj" Virus. Action Taken: No Action Taken. File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\0D195BC7.php infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken. File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\0D1C05C4.hta infected by "Trojan-Dropper.VBS.Inor.cj" Virus. Action Taken: No Action Taken. File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\0D1C05C4.php infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken. File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\10D669AA.htm infected by "Exploit.VBS.Phel.a" Virus. Action Taken: No Action Taken. File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\10E0679F.htm infected by "Exploit.VBS.Phel.a" Virus. Action Taken: No Action Taken. File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\1AFC4097.htm infected by "Exploit.VBS.Phel.a" Virus. Action Taken: No Action Taken. File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\1B13667E.htm infected by "Exploit.VBS.Phel.a" Virus. Action Taken: No Action Taken. File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\1CE366DB.dll infected by "not-a-virus:AdWare.JS.OneMoreSearch.a" Virus. Action Taken: No Action Taken. File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\258E5E19.hta infected by "Trojan-Dropper.VBS.Inor.cj" Virus. Action Taken: No Action Taken. File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\25953212.dll infected by "not-a-virus:AdWare.JS.OneMoreSearch.a" Virus. Action Taken: No Action Taken. File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\259F3007.hta infected by "Trojan-Dropper.VBS.Inor.cj" Virus. Action Taken: No Action Taken. File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\2BB63DDD.exe infected by "Trojan-Dropper.Win32.Delf.fd" Virus. Action Taken: No Action Taken. File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\2C7D20FA.tmp infected by "Email-Worm.Win32.Bagle.z" Virus. Action Taken: No Action Taken. File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\633D2FD9.tmp infected by "Email-Worm.Win32.Bagle.z" Virus. Action Taken: No Action Taken. File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\670B46CD.exe infected by "Trojan.Win32.Dialer.ay" Virus. Action Taken: No Action Taken. File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\7F1D7F99.gif infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken. File C:\Sierra\Counter-Strike\hltv.exe tagged as not-a-virus:RiskWare.Proxy.Hltv. No Action Taken. File C:\Sierra\Counter-Strike\update\cs1005.exe tagged as not-a-virus:RiskWare.Proxy.Hltv. No Action Taken. File C:\System Volume Information\_restore{F46281DD-8EA4-4ECC-BE7B-60F8962ED634}\RP5\A0004901.dll infected by "not-a-virus:AdWare.Cydoor" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{F46281DD-8EA4-4ECC-BE7B-60F8962ED634}\RP5\A0004902.dll infected by "not-a-virus:AdWare.Cydoor" Virus. Action Taken: No Action Taken. File D:\Tools\DivX Video\DivX502Bundle.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Ich bekomme mit dem editor, die mwav.txt nicht geöffnet, da ich nur die Datei mwav.exe finde, kannst du mir bitte schreiben wie ich genau vorgehen muss. Danke Thorsten Dieser Beitrag wurde am 02.03.2005 um 20:10 Uhr von hamlin editiert.
|
|
|
||
04.03.2005, 23:39
Ehrenmitglied
Beiträge: 29434 |
#95
Hallo@hamlin
loesche mit der Killbox: __________________________________________________________________________________________________________________ C:\WINDOWS\msil32.dll C:\WINDOWS\System32\l?ass.exe C:\Dokumente und Einstellungen\thoRsten\Anwendungsdaten\estr.exe C:\WINDOWS\yycgp.dll C:\WINDOWS\system32\sdkew32.exe C:\WINDOWS\crqc32.exe C:\WINDOWS\ntpa32.exe C:\WINDOWS\system32\nttu.exe C:\Dokumente und Einstellungen\thoRsten\Lokale Einstellungen\Temp\cd_clint.dll C:\Dokumente und Einstellungen\thoRsten\Desktop\alte Dateien Festplatte\eigene Dateien\Eigene Dateien\mp3\kmd151_en.exe C:\Dokumente und Einstellungen\thoRsten\Desktop\alte Dateien Festplatte\eigene Dateien\Eigene Dateien\mp3\kmd171gu_en.exe PC neustarten #ClaerProg..lade die neuste Version <1.4.1 http://www.clearprog.de/downloads.php <und saeubere den Browser. Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera: - Cookies - Verlauf - Temporäre Internetfiles (Cache) #neue Startseite gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein + poste das neue Log vom HijackTis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
05.03.2005, 11:26
...neu hier
Beiträge: 7 |
#96
Hallo Sabina,
noch mal Danke für deine Hilfe, hier ist das aktuelle Logfile vom Hijack. Das mit der Startseite scheint funktioniert zu haben, auch sind diese blöden Einträge in Favoriten verschwunden. Gruss Thorsten Logfile of HijackThis v1.99.1 Scan saved at 11:24:49, on 05.03.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\Dit.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Gemeinsame Dateien\Sage KHK Shared\MAILSPOOL.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\DitExp.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\WINDOWS\SYSTEM32\GEARSEC.EXE C:\Programme\Norton Internet Security\ISSVC.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\Messenger\msmsgs.exe C:\Dokumente und Einstellungen\thoRsten\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [MAILSPOOL] C:\Programme\Gemeinsame Dateien\Sage KHK Shared\MAILSPOOL.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [iexplore.exe] C:\Programme\Internet Explorer\iexplore.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra button: MedionShop - {36AF14E3-8E6A-413E-A01F-360900AD6802} - http://www.medionshop.de (file missing) (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040105/qtinstall.info.apple.com/mickey/de/win/QuickTimeInstaller.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe |
|
|
||
05.03.2005, 14:55
Ehrenmitglied
Beiträge: 29434 |
#97
Hallo@hamlin
Jotti's malware scan 2.4 - einzelne "exe" ueberpruefen http://virusscan.jotti.org/ C:\Programme\Internet Explorer\iexplore.exe <----Added as a result of an unidentified VIRUS! Oben auf der Seite auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten und danach das Ergebnis abkopieren und hier im Beitrag posten Fixe mit dem HijackThis: O4 - HKLM\..\Run: [iexplore.exe] C:\Programme\Internet Explorer\iexplore.exe neustarten __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
05.03.2005, 17:58
...neu hier
Beiträge: 7 |
#98
Hallo Sabina,
bedeutet diese Datei: O4 - HKLM\..\Run: [iexplore.exe] C:\Programme\Internet Explorer\iexplore.exe das der IE bei Systemstart automatisch gestartet wird? Habe ihn bereits manuell rausgenommen, er wird jetzt nämlich nicht mehr von Hijack angezeigt. Habe jedoch diese Einträge, weisst du was sie bedeuten? O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [Dit] Dit.exe Und anbei der Bericht zum IE Service load: 0% 100% File: iexplore.exe Status: OK (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) Packers detected: None AntiVir No viruses found (0.40 seconds taken) Avast No viruses found (1.53 seconds taken) AVG Antivirus No viruses found (0.48 seconds taken) BitDefender No viruses found (0.51 seconds taken) ClamAV No viruses found (0.61 seconds taken) Dr.Web No viruses found (0.85 seconds taken) F-Prot Antivirus No viruses found (0.09 seconds taken) Fortinet No viruses found (0.44 seconds taken) Kaspersky Anti-Virus No viruses found (0.98 seconds taken) mks_vir No viruses found (0.24 seconds taken) NOD32 No viruses found (0.49 seconds taken) Norman Virus Control No viruses found (0.65 seconds taken) Statistics Last piece of malware found was Bifrose.D in server.exe, detected by: Scanner Malware name Time taken AntiVir X 0.48 seconds Avast X 1.53 seconds AVG Antivirus BackDoor.Bifrose.U 0.51 seconds BitDefender Backdoor.Bifrose.D 0.51 seconds ClamAV Trojan.Bifrose-4 0.61 seconds Dr.Web BackDoor.Bifrost 0.86 seconds F-Prot Antivirus X 0.12 seconds Fortinet X 0.47 seconds Kaspersky Anti-Virus Backdoor.Win32.Bifrose.d 1.03 seconds mks_vir Trojan.Bifrose.D 0.36 seconds NOD32 probably unknown NewHeur_PE 0.53 seconds Norman Virus Control Bifrose.D 0.19 seconds Dieser Beitrag wurde am 05.03.2005 um 18:04 Uhr von hamlin editiert.
|
|
|
||
05.03.2005, 18:07
Ehrenmitglied
Beiträge: 29434 |
#99
Hallo@hamlin
die "iexplore.exe" ist nicht geheuer, der IE kommt nie in den Autostart suche die exe, rechtsklick...Eigenschaften--> was steht da ? (das andere ist deine GraKa ) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
05.03.2005, 18:42
...neu hier
Beiträge: 7 |
#100
Hallo Sabina,
da steht nichts außergewöhnliches, so wie ich das sehe. Welche Daten meinst du? Ich habe bei Eigenschaften 4 Reiter: Allgemein, Version, Kompatibilität und Dateiinfo. Habe den IE vor geraumer Zeit selbst in den Autostart eingestellt, da ich sowieso jedes Mal wenn ich den PC hochfahre ins Internet gehe und es so einfacher ist. Nach diesem Trojaner werde ich nur noch mit Mozilla arbeiten, so dass ich versucht habe den IE aus dem Autostart zu nehmen. Hat aber über die Autostartordner in den einzelnen Profilen nicht geklappt, da war er raus aber startete immer noch. Habe dann unter Ausführen "msconfig" eingegeben und bei Systemstart den Haken entfernt. Gruss Thorsten |
|
|
||
06.03.2005, 20:00
Ehrenmitglied
Beiträge: 29434 |
||
|
||
06.03.2005, 23:29
...neu hier
Beiträge: 7 |
#102
Dann hoffe ich mal das alles weg ist und bedanke mich noch einmal für die Hilfe. Danke.
Thorsten |
|
|
||
Deaktivieren Wiederherstellung
«XP
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann aktiviere sie wieder)
KillBox (entpacke auf dem Desktop)
http://www.bleepingcomputer.com/files/killbox.php
eScan-Erkennungstool
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp
oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche
kavupd.exe, die klickst du an--> (Update- in DOS) ausführen
Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein.
So wird der Dienst deaktiviert:
Start-> Einstellungen-> Systemsteuerung-> Verwaltung-> Computerverwaltung und dann den Eintrag Dienste auswählen. Nun werden alle laufenden Dienste angezeigt. Hier den Punkt " Network Security Service (NSS)" aussuchen. Wenn unter Status "gestartet" steht, mit der rechten Maustaste anklicken und die Option "Eigenschaften" auswählen. Nicht "Den Dienst beenden" auswählen, denn dann wird der
"Network Security Service (NSS) " beim nächsten Systemstart erneut ausgeführt.
Als Starttyp "deaktiviert" auswählen und den Dienststatus mit "Beenden" schliessen. Jetzt noch "Übernehmen" anklicken. Der " " läuft nicht mehr im Hintergrund und wird auch nicht mehr bei einem Neustart ausgeführt.
Download Registry Search Tool :
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
Meldung (Symantec)--
warnmeldung:bösartiges skript entdeckt --> ignorieren
Doppelklick:regsrch.vbs
kopiere rein.
6QÔõ'ª´ÆÐ8
Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)
Network Security Service
Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\yycgp.dll/sp.html#44768
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\yycgp.dll/sp.html#44768
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\yycgp.dll/sp.html#44768
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\yycgp.dll/sp.html#44768
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\yycgp.dll/sp.html#44768
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\yycgp.dll/sp.html#44768
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\yycgp.dll/sp.html#44768
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {FC979FB4-4338-6B9C-818A-B1BB3202A5E7} - C:\WINDOWS\msil32.dll
O4 - HKLM\..\Run: [nttu.exe] C:\WINDOWS\system32\nttu.exe
O4 - HKLM\..\RunOnce: [ntpa32.exe] C:\WINDOWS\ntpa32.exe
O4 - HKLM\..\RunOnce: [crqc32.exe] C:\WINDOWS\crqc32.exe
O4 - HKCU\..\Run: [Rlos] C:\Dokumente und Einstellungen\thoRsten\Anwendungsdaten\estr.exe
O4 - HKCU\..\Run: [Aevip] C:\WINDOWS\System32\l?ass.exe
O16 - DPF: {22A88341-AFCB-45F0-A856-C2BAE74F878E} (InstallX Class) - http://www.20x2p.com/4d6f0a98/enter.cab
O23 - Service: Network Security Service (NSS) ( 6QÔõ'ª´ÆÐ8) - Unknown owner - C:\WINDOWS\system32\sdkew32.exe (file missing)
PC neustarten-->
gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml
oeffne die Killbox:
<Delete File on Reboot <---anhaken
C:\WINDOWS\msil32.dll
C:\WINDOWS\System32\l?ass.exe
C:\Dokumente und Einstellungen\thoRsten\Anwendungsdaten\estr.exe
C:\WINDOWS\yycgp.dll
C:\WINDOWS\system32\sdkew32.exe
C:\WINDOWS\crqc32.exe
C:\WINDOWS\ntpa32.exe
C:\WINDOWS\system32\nttu.exe
und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"
PC neustarten-->
gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml
und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen :
Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory
mache einen Komplettscann mit dem Antivirus (poste mir dann das Log vom Scann)
Gehe wieder in den Normalmodus:
mache bitte folgendes:
nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du "infected" ein
jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
und ganz unten steht die zusammenfassung, diese auch hier posten
danach alles " infected" mit der killbox loeschen.
___________________________________________________________________
#ClaerProg..lade die neuste Version <1.4.1
http://www.clearprog.de/downloads.php
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)
#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein
+ poste das neue Log vom HijackTis
__________
MfG Sabina
rund um die PC-Sicherheit