se.dll/sp.html entfernen / about:blank

#0
09.05.2005, 23:43
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#31 Hallo@Jovanotti10

Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein.


dann den Eintrag Dienste auswählen. Nun werden alle laufenden Dienste angezeigt. Hier den Punkt " ISEXEng+Workstation NetLogon Service " aussuchen. Wenn unter Status "gestartet" steht, mit der rechten Maustaste anklicken und die Option "Eigenschaften" auswählen. Nicht "Den Dienst beenden" auswählen, denn dann wird der
" ISEXEng+Workstation NetLogon Service " beim nächsten Systemstart erneut ausgeführt.

Als Starttyp "deaktiviert" auswählen und den Dienststatus mit "Beenden" schliessen. Jetzt noch "Übernehmen" anklicken. Der " " läuft nicht mehr im Hintergrund und wird auch nicht mehr bei einem Neustart ausgeführt.

Start-->Ausfuehren--> regedit

loesche mit rechtsklick:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ 11Fßä#·ºÄÖ`I
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\ 11Fßä#·ºÄÖ`I
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 11Fßä#·ºÄÖ`I

HKEY_LOCAL_MACHINE\SOFTWARE\ISTsvc]
[HKEY_LOCAL_MACHINE\SOFTWARE\ISTsvc]
"app_name"="istsvc.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\ISTsvc]
"popup_url"="http://www.ysbweb.com/ist/scripts/istsvc_ads_data.php"
[HKEY_LOCAL_MACHINE\SOFTWARE\ISTsvc]
"update_url"="http://www.ysbweb.com/ist/scripts/istsvc_update.php"
[HKEY_LOCAL_MACHINE\SOFTWARE\ISTsvc]
"config_url"="http://www.ysbweb.com/ist/scripts/istsvc_config.php"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IST Service"="C:\\Programme\\ISTsvc\\istsvc.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ISTsvc]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ISTsvc]
"DisplayName"="ISTsvc"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ISTsvc]
"UninstallString"="C:\\Programme\\ISTsvc\\istsvc.exe /remove"

bearbeiten--> suchen-->ISEXEng

loesche dann ebenfalls alle Eintraege, die du findest.

Sollte man Probleme haben, die Einträge zu löschen,

Klicke auf Bearbeiten-->Berechtigung und klicke dann auf Vollzugriff -->[Übernehmen] und auf [OK]. Erneuter [Rechtsklick] auf den Schlüssel und versuche diesen zu löschen.

-----------------------------------------------------------------------------------------------

öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\uxped.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\uxped.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\uxped.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\uxped.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\uxped.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\uxped.dll/sp.html#12345
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\uxped.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.b92.net/
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {7C167707-1A73-2D53-6A0D-3C3EB55BCAAE} - C:\WINDOWS\system32\mfcxy.dll
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [SearchUpgrader] C:\Programme\Common files\SearchUpgrader\SearchUpgrader.exe
O4 - HKLM\..\Run: [xcukuyfiodplq] C:\WINDOWS\System32\xdsdswi.exe
O4 - HKLM\..\Run: [Media Pass] C:\Program Files\Media Pass\MediaPassK.exe
O4 - HKLM\..\Run: [salm] c:\temp\salm.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [gah95on6] C:\WINDOWS\System32\gah95on6.exe
O4 - HKLM\..\Run: [Xukvek] C:\Program Files\Qciuv\Tgevrno.exe
O4 - HKLM\..\Run: [EbatesMoeMoneyMaker0] "C:\Programme\Ebates_MoeMoneyMaker\EbatesMoeMoneyMaker0.exe"
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [iexplore.exe] C:\Programme\Internet Explorer\iexplore.exe
O4 - HKLM\..\Run: [appqf32.exe] C:\WINDOWS\appqf32.exe
O8 - Extra context menu item: Ebates - file://C:\Programme\Ebates_MoeMoneyMaker\Sy350\Tp350\scri350a.htm
O9 - Extra button: Ebates - {6685509E-B47B-4f47-8E16-9A5F3A62F683} - file://C:\Programme\Ebates_MoeMoneyMaker\Sy350\Tp350\scri350a.htm (HKCU)
O16 - DPF: RaptisoftGameLoader - http://www.miniclip.com/hamsterball/raptisoftgameloader.cab
O16 - DPF: {00000000-7777-0704-0B53-2C8830E9FAEC} - http://gn.one2bill.de/soft/axload.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MusicUnlimited/ie/Bridge-c106.cab
O16 - DPF: {288C5F13-7E52-4ADA-A32E-F5BF9D125F98} (CR64Loader Object) - http://www.miniclip.com/bestfriends/miniclipGameLoader.dll
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_adult.cab
O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab
O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-intl/at/games4.cab
O23 - Service: Workstation NetLogon Service ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\apiwg32.exe
O23 - Service: ISEXEng - Unknown owner - C:\WINDOWS\System32\angelex.exe (file missing)

PC neustarten

KILLBOX:
http://www.bleepingcomputer.com/files/killbox.php
1. Trenne die Internetverbindung und schließe alle laufenden Programme
2. Doppel-klicke auf Killbox.exe und lasse es offen
3. In Killbox klickeauf Delete on Reboot ( roter Kasten )

C:\WINDOWS\Downloaded Program Files\istactivex.dll
C:\WINDOWS\Downloaded Program Files\ISTactivex.inf
C:\Programme\ISTsvc\istsvc.exe
C:\WINDOWS\System32\angelex.exe
C:\WINDOWS\apiwg32.exe
C:\WINDOWS\appqf32.exe
C:\WINDOWS\System32\xdsdswi.exe
C:\Programme\Ebates_MoeMoneyMaker\EbatesMoeMoneyMaker0.exe
C:\Programme\Ebates_MoeMoneyMaker\EbatesMoeMoneyMaker1.exe
C:\WINDOWS\system32\mfcxy.dll
C:\Programme\Common files\SearchUpgrader\SearchUpgrader.exe
C:\WINDOWS\System32\xdsdswi.exe
C:\Program Files\Media Pass\MediaPassK.exe
C:\Program Files\Media Pass\MediaPass.exe
C:\Program Files\Media Pass\MediaPassC.dll
C:\Program Files\Media Pass\Info.txt
C:\WINDOWS\temp\USB.exe
C:\WINDOWS\temp\oddworldz.exe
C:\WINDOWS\temp\istinstall.exe
c:\temp\salm.exe
C:\WINDOWS\System32\gah95on6.exe
C:\Program Files\Internet Optimizer\optimize.exe
C:\Program Files\Internet Optimizer\actalert.exe
C:\Program Files\Qciuv\Tgevrno.exe

Fügen diese Datei oben in die Full Path of File to Delete Box (1) in
dem man den u.g. Pfad dort eingibt oder mit (2) auf dem Computer nach der Datei suchen.

5. Klicke Yes beim Delete on Reboot Prompt.
6. Klicke No beim laufenden Prozesse Prompt
7. Klicke auf den Delete File Button (sieht aus wie ein Stopzeichen (3).
8. Klicke auf Yes beim Delete on Reboot Prompt.
9. Klicke auf Yes beim laufenden Prozesse Prompt, um den Computer neu zu starten. Lasse den Computer neustarten.
10. Sollte folgende Meldung erscheinen, dann führe einen manuellen Neustart durch. "PendingFileRenameOperations Registry Data has been Removed by External Process!"

PC neustarten

CCleaner--> loesche alle *temp-Datein

http://www.ccleaner.com/ccdownload.asp

loeschen:
C:\Program Files\Internet Optimizer
C:\Program Files\Qciuv
C:\Program Files\Media Pass
C:\Programme\Common files\SearchUpgrader
C:\Programme\Ebates_MoeMoneyMaker
C:\Programme\ISTsvc

FxIstbar.exe--> scanne
http://bilder.informationsarchiv.net/Nikitas_Tools/FxIstbar.exe

http://virus-protect.org/onlinescan.html
suche den Onlinescann von Panda, scanne und berichte (poste alles)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.05.2005, 20:26
...neu hier

Beiträge: 4
#32 Hallo Sabina!

Ich habe deinen hilfreichen Anweisungen befolgt, aber die Startseite About:blank ist leider noch immer da. Anbei poste ich das Ergebnis von PandaScan:
Incident Status Location

Virus:Trj/Downloader.BSU Disinfected Operating system
Adware:Adware/QuickWeb No disinfected C:\WINDOWS\wintl32.exe
Spyware:Spyware/BargainBuddy No disinfected Windows Registry
Adware:Adware/MyWay No disinfected C:\Programme\MyWay
Adware:Adware/nCase No disinfected C:\Temp\FLEOK
Spyware:Spyware/Dyfuca No disinfected Windows Registry
Spyware:Spyware/ISTbar No disinfected C:\Programme\ISTbar
Adware:Adware/KeenValue No disinfected C:\Programme\IncrediFind
Spyware:Spyware/BetterInet No disinfected Windows Registry
Adware:Adware/IPInsight No disinfected C:\WINDOWS\FARMMEXT.exe
Adware:Adware/SideFind No disinfected C:\Programme\SideFind
Adware:Adware/Twain-Tech No disinfected C:\WINDOWS\smdat32a.sys
Adware:Adware/WUpd No disinfected Windows Registry
Adware:Adware/MoeMoney No disinfected C:\Programme\Ebates?MoeMoneyMaker
Spyware:Spyware/Altnet No disinfected Windows Registry
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Ab scissor.url
Adware:Adware/CWS.Aboutblank No disinfected Windows Registry
Adware:Adware/Transponder No disinfected C:\WINDOWS\dlmax.dll
Adware:Adware/InstaFinder No disinfected C:\Programme\INSTAFINK
Adware:Adware/CWS.HomeSearchAsisstantNo disinfected Windows Registry
Virus:Trj/Downloader.CFJ Disinfected Operating system
Virus:Trj/Downloader.BSU Disinfected C:\!Submit\apiwg32.exe
Virus:Exploit/ByteVerify Disinfected C:\Dokumente und Einstellungen\sikimic\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\archive.jar-55150002-5ff74041.zip[Dummy.class]
Virus:Exploit/ByteVerify Disinfected C:\Dokumente und Einstellungen\sikimic\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\archive.jar-68e08231-27fa4a47.zip[Dummy.class]
Adware:Adware/SearchAid No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Only sex website.url
Adware:Adware/SearchAid No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Search the web.url
Adware:Adware/SearchAid No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Seven days of free porn.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Ab scissor.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Broadband comparison.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Credit counseling.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Credit report.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Crm software.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Debt credit card.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Escorts.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Fha.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Health insurance.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Help desk software.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Insurance home.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Loan for debt consolidation.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Loan for people with bad credit.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Marketing email.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Mortgage insurance.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Mortgage life insurance.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Nevada corporations.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Online Betting Site.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Online gambling casino.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Online instant loan.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Order phentermine.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Payroll advance.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Personal loans online.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Personal loans with bad credit.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Prescription Drugs Rx Online.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Refinancing my mortgage.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Tahoe vacation rental.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Unsecured bad credit loans.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Videos.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\What is hydrocodone.url
Adware:Adware/Trymedia No disinfected C:\Downloads\MallTycoonSetup-dm[1].exe
Spyware:Spyware/Altnet No disinfected C:\Program Files\Altnet\Download Manager\asmps.dll
Spyware:Spyware/BetterInet No disinfected C:\Programme\Common Files\SearchUpgrader\system.cfg
Adware:Adware/KeenValue No disinfected C:\Programme\IncrediFind\BHO\IncFindBHO170.dll
Adware:Adware/MyWay No disinfected C:\Programme\MyWay\myBar\1.bin\MY2NS.EXE
Adware:Adware/MyWay No disinfected C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
Adware:Adware/MyWay No disinfected C:\Programme\MyWay\myBar\1.bin\NPMYWAY.DLL
Adware:Adware/nCase No disinfected C:\Temp\salm.log
Adware:Adware/nCase No disinfected C:\Temp\salmau.dat
Adware:Adware/nCase No disinfected C:\Temp\salmhook.dll
Adware:Adware/nCase No disinfected C:\Temp\salm_gdf.dat
Adware:Adware/nCase No disinfected C:\Temp\salm_kyf.dat
Adware:Adware/SAHAgent No disinfected C:\WINDOWS\70tovmto.exe
Virus:Trj/Downloader.BSU Disinfected C:\WINDOWS\addnz.exe
Virus:Trj/Downloader.BSU Disinfected C:\WINDOWS\addqy32.exe
Virus:Trj/Downloader.BSU Disinfected C:\WINDOWS\addtg.exe
Virus:Trj/Downloader.BSU Disinfected C:\WINDOWS\appdo32.exe
Virus:Trj/Downloader.BSU Disinfected C:\WINDOWS\apptb32.exe
Adware:Adware/SearchAid No disinfected C:\WINDOWS\conscorr.exe
Virus:Trj/Downloader.BSU Disinfected C:\WINDOWS\d3bu32.exe
Adware:Adware/Transponder No disinfected C:\WINDOWS\dlmax.dll
Adware:Adware/SearchAid No disinfected C:\WINDOWS\farmmext.exe
Adware:Adware/IPInsight No disinfected C:\WINDOWS\farmmext.ini
Virus:Trj/Downloader.BSU Disinfected C:\WINDOWS\iegr32.exe
Virus:Trj/Downloader.BSU Disinfected C:\WINDOWS\iekk.exe
Adware:Adware/Transponder No disinfected C:\WINDOWS\INF\dlmax.inf
Adware:Adware/IPInsight No disinfected C:\WINDOWS\INF\farmmext.inf
Virus:Trj/Downloader.BSU Disinfected C:\WINDOWS\iprz.exe
Adware:Adware/SearchAid No disinfected C:\WINDOWS\javapu32.exe
Virus:Trj/Downloader.BSU Disinfected C:\WINDOWS\mfcgm.exe
Adware:Adware/SearchAid No disinfected C:\WINDOWS\mzolgtot.exe
Virus:Trj/Downloader.BSU Disinfected C:\WINDOWS\ntdb.exe
Virus:Trj/Downloader.BSU Disinfected C:\WINDOWS\ntlo32.exe
Adware:Adware/SearchAid No disinfected C:\WINDOWS\oojmpkvv.exe
Virus:Trj/Downloader.BSU Disinfected C:\WINDOWS\sdkmm.exe
Adware:Adware/Twain-Tech No disinfected C:\WINDOWS\smdat32a.sys
Adware:Adware/Twain-Tech No disinfected C:\WINDOWS\smdat32m.sys
Virus:Trj/Downloader.BSU Disinfected C:\WINDOWS\sysiu.exe
Adware:Adware/SAHAgent No disinfected C:\WINDOWS\SYSTEM32\2b3fsk0h.dll
Virus:Trj/Downloader.BSU Disinfected C:\WINDOWS\SYSTEM32\addyl.exe
Virus:Trj/Downloader.BSU Disinfected C:\WINDOWS\SYSTEM32\apixc32.exe
Virus:Trj/Downloader.BSU Disinfected C:\WINDOWS\SYSTEM32\appvi32.exe
Virus:Trj/Downloader.BSU Disinfected C:\WINDOWS\SYSTEM32\atlax.exe
Adware:Adware/QuickWeb No disinfected C:\WINDOWS\SYSTEM32\atldg32.exe
Adware:Adware/SAHAgent No disinfected C:\WINDOWS\SYSTEM32\bln02nqv.exe
Virus:Trj/Downloader.BSU Disinfected C:\WINDOWS\SYSTEM32\crgv.exe
Virus:Trj/Downloader.BSU Disinfected C:\WINDOWS\SYSTEM32\d3df32.exe
Virus:Trj/Downloader.BSU Disinfected C:\WINDOWS\SYSTEM32\d3dt.exe
Virus:Trj/Downloader.BSU Disinfected C:\WINDOWS\SYSTEM32\mfcsg32.exe
Virus:Trj/Downloader.BSU Disinfected C:\WINDOWS\SYSTEM32\mfcsq.exe
Virus:Trj/Downloader.BSU Disinfected C:\WINDOWS\SYSTEM32\msmp32.exe
Virus:Trj/Downloader.BSU Disinfected C:\WINDOWS\SYSTEM32\msxh32.exe
Virus:Trj/Downloader.BSU Disinfected C:\WINDOWS\SYSTEM32\sdkbs32.exe
Virus:Trj/Downloader.BSU Disinfected C:\WINDOWS\SYSTEM32\windw.exe
Adware:Adware/QuickWeb No disinfected C:\WINDOWS\wintl32.exe
Vielleicht kannst du mir sagen, was ich falsch gemacht habe?
Vielen Dank nochmals
MfG
Jovanotti
Seitenanfang Seitenende
11.05.2005, 17:29
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#33 Hallo@Jovanotti10

Loesche mit der Killbox:

C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Ab scissor.url
C:\Dokumente und Einstellungen\sikimic\Favoriten\Only sex website.url
C:\Dokumente und Einstellungen\sikimic\Favoriten\Search the web.url
C:\Dokumente und Einstellungen\sikimic\Favoriten\Seven days of free porn.url
C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Ab scissor.url
C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Broadband comparison.url
C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Credit counseling.url
C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Credit report.url
C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Crm software.url
C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Debt credit card.url
C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Escorts.url
C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Fha.url
C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Health insurance.url
C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Help desk software.url
C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Insurance home.url
C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Loan for debt consolidation.url
C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Loan for people with bad credit.url
C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Marketing email.url
C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Mortgage insurance.url
C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Mortgage life insurance.url
C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Nevada corporations.url
C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Online Betting Site.url
C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Online gambling casino.url
C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Online instant loan.url
C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Order phentermine.url
C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Payroll advance.url
C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Personal loans online.url
C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Personal loans with bad credit.url
C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Prescription Drugs Rx Online.url
C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Refinancing my mortgage.url
C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Tahoe vacation rental.url
C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Unsecured bad credit loans.url
C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Videos.url
C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\What is hydrocodone.url

C:\WINDOWS\smdat32a.sys
C:\WINDOWS\wintl32.exe
C:\Downloads\MallTycoonSetup-dm[1].exe
C:\Program Files\Altnet\Download Manager\asmps.dll
C:\Programme\Common Files\SearchUpgrader\system.cfg
C:\Programme\IncrediFind\BHO\IncFindBHO170.dll
C:\Programme\MyWay\myBar\1.bin\MY2NS.EXE
C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
C:\Programme\MyWay\myBar\1.bin\NPMYWAY.DLL
C:\Temp\salm.log
C:\Temp\salmau.dat
C:\Temp\salmhook.dll
C:\Temp\salm_gdf.dat
C:\Temp\salm_kyf.dat
C:\WINDOWS\70tovmto.exe
C:\WINDOWS\conscorr.exe
C:\WINDOWS\dlmax.dll
C:\WINDOWS\farmmext.exe
C:\WINDOWS\farmmext.ini
C:\WINDOWS\INF\dlmax.inf
C:\WINDOWS\INF\farmmext.inf
C:\WINDOWS\iprz.exe
C:\WINDOWS\javapu32.exe
C:\WINDOWS\mzolgtot.exe
C:\WINDOWS\oojmpkvv.exe
C:\WINDOWS\smdat32a.sys
C:\WINDOWS\smdat32m.sys
C:\WINDOWS\SYSTEM32\2b3fsk0h.dll
C:\WINDOWS\SYSTEM32\atldg32.exe
C:\WINDOWS\SYSTEM32\bln02nqv.exe

PC neustarten
--------------------------------------------------------------------------------------------------------------------------------------
C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\

ueberpruefe, ob die ganzen url wirklich geloescht sind........

loesche manuell:
C:\Programme\MyWay
C:\Temp\FLEOK
C:\Programme\ISTbar
C:\Programme\IncrediFind
C:\WINDOWS\FARMMEXT.exe
C:\Programme\SideFind
C:\Programme\Ebates?MoeMoneyMaker
C:\Programme\INSTAFINK
C:\Program Files\Altnet
C:\Programme\Common Files\SearchUpgrader
C:\Programme\MyWay\myBar


#TuneUp2004 (30 Tage free)

http://www.tuneup.de/products/tuneup-utilities/
Cleanup repair -->TuneUp Diskcleaner
Cleanup repair -->Registry Cleaner

•Ad-aware SE Personal 1.05 Updated
http://www.lavasoftusa.com/german/software/adaware/
http://www.lavasoft.de/support/download/
Laden--> Updaten-->Konfigurieren
http://virus-protect.org/adaware.html
#VOR jedem Scanvorgang das Programm Updaten!
waehrend des Scanvorganges müssen ALLE sonstige
Anwendungen beendet werden und alle Browserfenster müssen
geschlossen sein!
scannen-->PC neustarten--> noch mal scannen--> poste das Log vom Scann

dann scanne noch mal mit Panda
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
13.05.2005, 19:00
...neu hier

Beiträge: 4
#34 Hallo Sabina!

die ..\Sites about lassen sich leider im Killbox nicht löschen!

Folgendes Ergebnis habe ich von AdAware bekommen:
Ad-Aware SE Build 1.05
Logfile Created on:Saturday, May 14, 2005 2:20:55 AM
Created with Ad-Aware SE Personal, free for private use.
Using definitions file:SE1R45 13.05.2005
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

References detected during the scan:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
VX2(TAC index:10):1 total references
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Ad-Aware SE Settings
===========================
Set : Search for negligible risk entries
Set : Safe mode (always request confirmation)
Set : Scan active processes
Set : Scan registry
Set : Deep-scan registry
Set : Scan my IE Favorites for banned URLs
Set : Scan my Hosts file

Extended Ad-Aware SE Settings
===========================
Set : Unload recognized processes & modules during scan
Set : Scan registry for all users instead of current user only
Set : Always try to unload modules before deletion
Set : During removal, unload Explorer and IE if necessary
Set : Let Windows remove files in use at next reboot
Set : Delete quarantined objects after restoring
Set : Include basic Ad-Aware settings in log file
Set : Include additional Ad-Aware settings in log file
Set : Include reference summary in log file
Set : Include alternate data stream details in log file
Set : Play sound at scan completion if scan locates critical objects


5-14-2005 2:20:55 AM - Scan started. (Full System Scan)

Listing running processes
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

#:1 [smss.exe]
FilePath : \SystemRoot\System32\
ProcessID : 620
ThreadCreationTime : 5-13-2005 4:19:11 PM
BasePriority : Normal


#:2 [csrss.exe]
FilePath : \??\C:\WINDOWS\system32\
ProcessID : 668
ThreadCreationTime : 5-13-2005 4:19:12 PM
BasePriority : Normal


#:3 [winlogon.exe]
FilePath : \??\C:\WINDOWS\system32\
ProcessID : 692
ThreadCreationTime : 5-13-2005 4:19:13 PM
BasePriority : High


#:4 [services.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 736
ThreadCreationTime : 5-13-2005 4:19:13 PM
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Anwendung für Dienste und Controller
InternalName : services.exe
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : services.exe

#:5 [lsass.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 748
ThreadCreationTime : 5-13-2005 4:19:13 PM
BasePriority : Normal
FileVersion : 5.1.2600.1106 (xpsp1.020828-1920)
ProductVersion : 5.1.2600.1106
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : LSA Shell (Export Version)
InternalName : lsass.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : lsass.exe

#:6 [ati2evxx.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 956
ThreadCreationTime : 5-13-2005 4:19:13 PM
BasePriority : Normal


#:7 [svchost.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 980
ThreadCreationTime : 5-13-2005 4:19:13 PM
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:8 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1084
ThreadCreationTime : 5-13-2005 4:19:13 PM
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:9 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1248
ThreadCreationTime : 5-13-2005 4:19:14 PM
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:10 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1280
ThreadCreationTime : 5-13-2005 4:19:14 PM
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:11 [ccsetmgr.exe]
FilePath : C:\Programme\Gemeinsame Dateien\Symantec Shared\
ProcessID : 1344
ThreadCreationTime : 5-13-2005 4:19:14 PM
BasePriority : Normal
FileVersion : 103.0.1.26
ProductVersion : 103.0.1.26
ProductName : Client and Host Security Platform
CompanyName : Symantec Corporation
FileDescription : Symantec Settings Manager Service
InternalName : ccSetMgr
LegalCopyright : Copyright (c) 2000-2004 Symantec Corporation. All rights reserved.
OriginalFilename : ccSetMgr.exe

#:12 [sndsrvc.exe]
FilePath : C:\Programme\Gemeinsame Dateien\Symantec Shared\
ProcessID : 1364
ThreadCreationTime : 5-13-2005 4:19:14 PM
BasePriority : Normal
FileVersion : 5.4.4.17
ProductVersion : 5.4
ProductName : Symantec Security Drivers
CompanyName : Symantec Corporation
FileDescription : Network Driver Service
InternalName : SndSrvc
LegalCopyright : Copyright 2002, 2003, 2004 Symantec Corporation
OriginalFilename : SndSrvc.exe

#:13 [spbbcsvc.exe]
FilePath : C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\
ProcessID : 1448
ThreadCreationTime : 5-13-2005 4:19:14 PM
BasePriority : Normal
FileVersion : 1,0,1,47
ProductVersion : 1,0,1,47
ProductName : SPBBC
CompanyName : Symantec Corporation
FileDescription : SPBBC Service
InternalName : SPBBCSvc
LegalCopyright : Copyright (c) 2004 Symantec Corporation. All rights reserved.
OriginalFilename : SPBBCSvc.exe

#:14 [ccevtmgr.exe]
FilePath : C:\Programme\Gemeinsame Dateien\Symantec Shared\
ProcessID : 1536
ThreadCreationTime : 5-13-2005 4:19:15 PM
BasePriority : Normal
FileVersion : 103.0.1.26
ProductVersion : 103.0.1.26
ProductName : Client and Host Security Platform
CompanyName : Symantec Corporation
FileDescription : Symantec Event Manager Service
InternalName : ccEvtMgr
LegalCopyright : Copyright (c) 2000-2004 Symantec Corporation. All rights reserved.
OriginalFilename : ccEvtMgr.exe

#:15 [explorer.exe]
FilePath : C:\WINDOWS\
ProcessID : 1656
ThreadCreationTime : 5-13-2005 4:19:15 PM
BasePriority : Normal
FileVersion : 6.00.2800.1106 (xpsp1.020828-1920)
ProductVersion : 6.00.2800.1106
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Windows Explorer
InternalName : explorer
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : EXPLORER.EXE

#:16 [lexbces.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 1840
ThreadCreationTime : 5-13-2005 4:19:15 PM
BasePriority : Normal
FileVersion : 9.45
ProductVersion : 9.45
ProductName : MarkVision for Windows (32 bit)
CompanyName : Lexmark International, Inc.
FileDescription : LexBce Service
InternalName : LexBce Service
LegalCopyright : (C) 1993 - 2004 Lexmark International, Inc.
OriginalFilename : LexBceS.exe

#:17 [lexpps.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 1876
ThreadCreationTime : 5-13-2005 4:19:15 PM
BasePriority : Normal
FileVersion : 9.45
ProductVersion : 9.45
ProductName : MarkVision for Windows (32 bit)
CompanyName : Lexmark International, Inc.
FileDescription : LEXPPS.EXE
InternalName : LEXPPS
LegalCopyright : (C) 1993 - 2004 Lexmark International, Inc.
OriginalFilename : LEXPPS.EXE
Comments : MarkVision for Windows '95 New P2P Server (32-bit)

#:18 [spoolsv.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 1884
ThreadCreationTime : 5-13-2005 4:19:15 PM
BasePriority : Normal
FileVersion : 5.1.2600.0 (XPClient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Spooler SubSystem App
InternalName : spoolsv.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : spoolsv.exe

#:19 [navapsvc.exe]
FilePath : C:\Programme\Norton AntiVirus\
ProcessID : 316
ThreadCreationTime : 5-13-2005 4:19:22 PM
BasePriority : Normal
FileVersion : 11.0.1.3
ProductVersion : 11.0.1
ProductName : Norton AntiVirus
CompanyName : Symantec Corporation
FileDescription : Norton AntiVirus Auto-Protect Service
InternalName : NAVAPSVC
LegalCopyright : Norton AntiVirus 2005 for Windows 98/ME/2000/XP Copyright © 2004 Symantec Corporation. All rights reserved.
OriginalFilename : NAVAPSVC.EXE

#:20 [npfmntor.exe]
FilePath : C:\Programme\Norton AntiVirus\IWP\
ProcessID : 344
ThreadCreationTime : 5-13-2005 4:19:22 PM
BasePriority : Normal
FileVersion : 11.0.1.3
ProductVersion : 11.0.1
ProductName : Norton AntiVirus
CompanyName : Symantec Corporation
FileDescription : Norton AntiVirus Firewall Install Monitor
InternalName : NPFMonitor
LegalCopyright : Norton AntiVirus 2005 for Windows 98/ME/2000/XP Copyright © 2004 Symantec Corporation. All rights reserved.
OriginalFilename : NPFMonitor.EXE

#:21 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 488
ThreadCreationTime : 5-13-2005 4:19:25 PM
BasePriority : Normal
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:22 [symlcsvc.exe]
FilePath : C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\
ProcessID : 516
ThreadCreationTime : 5-13-2005 4:19:25 PM
BasePriority : Normal
FileVersion : 1, 8, 54, 419
ProductVersion : 1, 8, 54, 419
ProductName : Symantec Core Component
CompanyName : Symantec Corporation
FileDescription : Symantec Core Component
InternalName : symlcsvc
LegalCopyright : Copyright (C) 2003
OriginalFilename : symlcsvc.exe

#:23 [addtj32.exe]
FilePath : C:\WINDOWS\
ProcessID : 1392
ThreadCreationTime : 5-13-2005 4:20:13 PM
BasePriority : Normal


VX2 Object Recognized!
Type : Process
Data : addtj32.exe
Category : Malware
Comment : (CSI MATCH)
Object : C:\WINDOWS\


Warning! VX2 Object found in memory(C:\WINDOWS\addtj32.exe)

"C:\WINDOWS\addtj32.exe"Process terminated successfully
"C:\WINDOWS\addtj32.exe"Process terminated successfully

#:24 [jusched.exe]
FilePath : C:\Programme\Java\j2re1.4.2_03\bin\
ProcessID : 972
ThreadCreationTime : 5-13-2005 4:20:14 PM
BasePriority : Normal


#:25 [dvdlauncher.exe]
FilePath : C:\Programme\CyberLink\PowerDVD\
ProcessID : 1068
ThreadCreationTime : 5-13-2005 4:20:14 PM
BasePriority : Normal
FileVersion : 3.00.0000
ProductVersion : 3.00.0000
ProductName : Cyberlink PowerCinema 3.0
CompanyName : CyberLink Corp.
FileDescription : CyberLink PowerCinema Resident Program
InternalName : CyberLink PowerCinema Resident Program
LegalCopyright : Copyright (c) 2003 CyberLink Corp.
OriginalFilename : DVDLauncher.EXE

#:26 [tfswctrl.exe]
FilePath : C:\WINDOWS\system32\dla\
ProcessID : 1244
ThreadCreationTime : 5-13-2005 4:20:15 PM
BasePriority : Normal
FileVersion : 1.04.07b
CompanyName : Sonic Solutions
FileDescription : Drive Letter Access Component
LegalCopyright : Copyright © 2004 Sonic Solutions

#:27 [sgtray.exe]
FilePath : C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\
ProcessID : 1240
ThreadCreationTime : 5-13-2005 4:20:15 PM
BasePriority : Normal
FileVersion : 1.01.32a
CompanyName : Sonic Solutions
FileDescription : Sonic Update Manager
LegalCopyright : Copyright © 2002 Sonic Solutions

#:28 [realsched.exe]
FilePath : C:\Programme\Gemeinsame Dateien\Real\Update_OB\
ProcessID : 1372
ThreadCreationTime : 5-13-2005 4:20:15 PM
BasePriority : Normal
FileVersion : 0.1.0.3018
ProductVersion : 0.1.0.3018
ProductName : RealPlayer (32-bit)
CompanyName : RealNetworks, Inc.
FileDescription : RealNetworks Scheduler
InternalName : schedapp
LegalCopyright : Copyright © RealNetworks, Inc. 1995-2004
LegalTrademarks : RealAudio(tm) is a trademark of RealNetworks, Inc.
OriginalFilename : realsched.exe

#:29 [icqlite.exe]
FilePath : C:\Programme\ICQLite\
ProcessID : 740
ThreadCreationTime : 5-13-2005 4:20:15 PM
BasePriority : Normal
FileVersion : 20, 34, 2321, 0
ProductVersion : 20, 34, 2321, 0
ProductName : ICQLite
CompanyName : ICQ Ltd.
FileDescription : ICQLite
InternalName : ICQ Lite
LegalCopyright : Copyright (C) 2002
OriginalFilename : ICQLite.exe

#:30 [ccapp.exe]
FilePath : C:\Programme\Gemeinsame Dateien\Symantec Shared\
ProcessID : 672
ThreadCreationTime : 5-13-2005 4:20:15 PM
BasePriority : Normal
FileVersion : 103.0.1.26
ProductVersion : 103.0.1.26
ProductName : Client and Host Security Platform
CompanyName : Symantec Corporation
FileDescription : Symantec User Session
InternalName : ccApp
LegalCopyright : Copyright (c) 2000-2004 Symantec Corporation. All rights reserved.
OriginalFilename : ccApp.exe

#:31 [usrprmpt.exe]
FilePath : C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\
ProcessID : 1628
ThreadCreationTime : 5-13-2005 4:20:16 PM
BasePriority : Normal
FileVersion : 2005.1.2.20
ProductVersion : 2005.1
ProductName : Norton Security Center
CompanyName : Symantec Corporation
FileDescription : Norton Security Center Helper
InternalName : UsrPrmpt.dll
LegalCopyright : Copyright (c) 1997-2004 Symantec Corporation
OriginalFilename : UsrPrmpt.dll

#:32 [winampa.exe]
FilePath : C:\Programme\Winamp\
ProcessID : 464
ThreadCreationTime : 5-13-2005 4:20:16 PM
BasePriority : Normal


#:33 [crvw32.exe]
FilePath : C:\WINDOWS\
ProcessID : 1508
ThreadCreationTime : 5-13-2005 4:20:16 PM
BasePriority : Normal


#:34 [ctfmon.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 2072
ThreadCreationTime : 5-13-2005 4:20:16 PM
BasePriority : Normal
FileVersion : 5.1.2600.1106 (xpsp1.020828-1920)
ProductVersion : 5.1.2600.1106
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : CTF Loader
InternalName : CTFMON
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : CTFMON.EXE

#:35 [msmsgs.exe]
FilePath : C:\Programme\Messenger\
ProcessID : 2116
ThreadCreationTime : 5-13-2005 4:20:16 PM
BasePriority : Normal
FileVersion : 4.7.0041
ProductVersion : Version 4.7
ProductName : Messenger
CompanyName : Microsoft Corporation
FileDescription : Messenger
InternalName : msmsgs
LegalCopyright : Copyright (c) Microsoft Corporation 1997-2001
LegalTrademarks : Microsoft(R) is a registered trademark of Microsoft Corporation in the U.S. and/or other countries.
OriginalFilename : msmsgs.exe

#:36 [quickdcf.exe]
FilePath : C:\Program Files\FinePixViewer\
ProcessID : 2260
ThreadCreationTime : 5-13-2005 4:20:17 PM
BasePriority : Normal
FileVersion : 2, 0, 0, 3
ProductVersion : 2, 0, 0, 3
ProductName : FinePixViewer
CompanyName : FUJI PHOTO FILM CO., LTD.
FileDescription : Exif Launcher
InternalName : QuickDCF
LegalCopyright : Copyright 2000-2001 FUJI PHOTO FILM CO.,LTD.
OriginalFilename : QuickDCF.exe

#:37 [ad-aware.exe]
FilePath : C:\Programme\Lavasoft\Ad-Aware SE Personal\
ProcessID : 2924
ThreadCreationTime : 5-13-2005 4:20:36 PM
BasePriority : Normal
FileVersion : 6.2.0.206
ProductVersion : VI.Second Edition
ProductName : Lavasoft Ad-Aware SE
CompanyName : Lavasoft Sweden
FileDescription : Ad-Aware SE Core application
InternalName : Ad-Aware.exe
LegalCopyright : Copyright © Lavasoft Sweden
OriginalFilename : Ad-Aware.exe
Comments : All Rights Reserved

#:38 [wuauclt.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 2952
ThreadCreationTime : 5-13-2005 4:20:43 PM
BasePriority : Normal
FileVersion : 5.4.3630.1106 (xpsp1.020828-1920)
ProductVersion : 5.4.3630.1106
ProductName : Betriebssystem Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Client des automatischen Updates von Windows Update
InternalName : wuauclt.exe
LegalCopyright : © Microsoft Corporation. Alle Rechte vorbehalten.
OriginalFilename : wuauclt.exe

Memory scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 1
Objects found so far: 1


Started registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Registry Scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 1


Started deep registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Deep registry scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 1


Started Tracking Cookie scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»


Tracking cookie scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 1



Deep scanning and examining files (C;)
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Disk Scan Result for C:\
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 1


Performing conditional scans...
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Conditional scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 1

2:25:46 AM Scan Complete

Summary Of This Scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Total scanning time:00:04:51.359
Objects scanned:111896
Objects identified:1
Objects ignored:0
New critical objects:1

Das Ergebnis von Panda schaut nun:

Incident Status Location

Adware:Adware/QuickWeb No disinfected C:\WINDOWS\crvw32.exe
Virus:Trj/Downloader.BSU Disinfected Operating system
Adware:Adware/SearchExe No disinfected C:\WINDOWS\iezy.dll
Spyware:Spyware/BargainBuddy No disinfected Windows Registry
Adware:Adware/IPInsight No disinfected C:\WINDOWS\inf\farmmext.inf
Adware:Adware/WUpd No disinfected Windows Registry
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Ab scissor.url
Adware:Adware/CWS.Aboutblank No disinfected Windows Registry
Adware:Adware/Transponder No disinfected C:\WINDOWS\inf\dlmax.inf
Adware:Adware/InstaFinder No disinfected Windows Registry
Adware:Adware/SearchAid No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Only sex website.url
Adware:Adware/SearchAid No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Search the web.url
Adware:Adware/SearchAid No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Seven days of free porn.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Ab scissor.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Broadband comparison.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Credit counseling.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Credit report.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Crm software.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Debt credit card.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Escorts.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Fha.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Health insurance.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Help desk software.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Insurance home.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Loan for debt consolidation.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Loan for people with bad credit.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Marketing email.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Mortgage insurance.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Mortgage life insurance.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Nevada corporations.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Online Betting Site.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Online gambling casino.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Online instant loan.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Order phentermine.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Payroll advance.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Personal loans online.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Personal loans with bad credit.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Prescription Drugs Rx Online.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Refinancing my mortgage.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Tahoe vacation rental.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Unsecured bad credit loans.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Videos.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\What is hydrocodone.url
Adware:Adware/SearchExe No disinfected C:\WINDOWS\addgd.dll
Virus:Trj/Downloader.BSU Disinfected C:\WINDOWS\addka.exe
Adware:Adware/QuickWeb No disinfected C:\WINDOWS\apizk32.exe
Virus:Trj/Downloader.BSU Disinfected C:\WINDOWS\appmc32.exe
Virus:Bck/Haxdoor.H Disinfected C:\WINDOWS\atlet.dll
Adware:Adware/QuickWeb No disinfected C:\WINDOWS\crvw32.exe
Virus:Trj/Downloader.BSU Disinfected C:\WINDOWS\d3er.exe
Adware:Adware/Startpage.AS No disinfected C:\WINDOWS\d3yz32.exe
Adware:Adware/SearchExe No disinfected C:\WINDOWS\iezy.dll
Adware:Adware/Transponder No disinfected C:\WINDOWS\INF\dlmax.inf
Adware:Adware/IPInsight No disinfected C:\WINDOWS\INF\farmmext.inf
Adware:Adware/QuickWeb No disinfected C:\WINDOWS\ipcn32.exe
Adware:Adware/Startpage.AS No disinfected C:\WINDOWS\ipkl.exe
Virus:Bck/Haxdoor.H Disinfected C:\WINDOWS\javatn.dll
Adware:Adware/Startpage.VQ No disinfected C:\WINDOWS\jveme.dll
Virus:Trj/Downloader.BSU Disinfected C:\WINDOWS\mfcuv32.exe
Virus:Trj/Downloader.BSU Disinfected C:\WINDOWS\netcu32.exe
Adware:Adware/SearchExe No disinfected C:\WINDOWS\ntga32.dll
Adware:Adware/Startpage.VQ No disinfected C:\WINDOWS\pmtnm.dll
Virus:Trj/Downloader.BSU Disinfected C:\WINDOWS\sdkcv32.exe
Virus:Trj/Downloader.BSU Disinfected C:\WINDOWS\syshp.exe
Virus:Trj/Downloader.BSU Disinfected C:\WINDOWS\SYSTEM32\addzp32.exe
Virus:Trj/Downloader.BSU Disinfected C:\WINDOWS\SYSTEM32\appsp32.exe
Virus:Trj/Downloader.BSU Disinfected C:\WINDOWS\SYSTEM32\crgl.exe
Virus:Trj/Downloader.BSU Disinfected C:\WINDOWS\SYSTEM32\crvq.exe
Adware:Adware/Startpage.AS No disinfected C:\WINDOWS\SYSTEM32\d3is32.exe
Virus:Trj/Downloader.BSU Disinfected C:\WINDOWS\SYSTEM32\javakk.exe
Adware:Adware/QuickWeb No disinfected C:\WINDOWS\SYSTEM32\mfcoh32.exe
Adware:Adware/SearchExe No disinfected C:\WINDOWS\SYSTEM32\mfcro32.dll
Adware:Adware/QuickWeb No disinfected C:\WINDOWS\SYSTEM32\mfcto.exe
Virus:Trj/Downloader.BSU Disinfected C:\WINDOWS\SYSTEM32\netae.exe
Virus:Trj/Downloader.BSU Disinfected C:\WINDOWS\SYSTEM32\netfy32.exe
Adware:Adware/SearchExe No disinfected C:\WINDOWS\SYSTEM32\netqd.dll
Virus:Trj/Downloader.BSU Disinfected C:\WINDOWS\SYSTEM32\nthf.exe
Adware:Adware/Startpage.VQ No disinfected C:\WINDOWS\SYSTEM32\prfhy.dll
Adware:Adware/Startpage.VQ No disinfected C:\WINDOWS\SYSTEM32\qqhhq.dll
Adware:Adware/Startpage.VQ No disinfected C:\WINDOWS\SYSTEM32\rhfrb.dll
Virus:Trj/Downloader.BSU Disinfected C:\WINDOWS\SYSTEM32\sdkpe.exe
Adware:Adware/Startpage.VQ No disinfected C:\WINDOWS\SYSTEM32\uogqd.dll
Adware:Adware/Startpage.VQ No disinfected C:\WINDOWS\SYSTEM32\uxped.dll
Adware:Adware/Startpage.VQ No disinfected C:\WINDOWS\SYSTEM32\woang.dll
Virus:Trj/Downloader.BSU Disinfected C:\WINDOWS\sysxb.exe

Wie du siehts, ist es bei mir anscheinend sehr schwer das dIng weg zu kriegen!
Hoffe, du kannst mir weiter helfen
MfG
Jovanotti10
Seitenanfang Seitenende
13.05.2005, 23:38
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#35 Hallo@Jovanotti10

CCleaner--> loesche alle *temp-Datein
http://www.ccleaner.com/ccdownload.asp

Loesche die url manuell

Adware:Adware/SearchAid No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Only sex website.url
Adware:Adware/SearchAid No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Search the web.url
Adware:Adware/SearchAid No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Seven days of free porn.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Ab scissor.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Broadband comparison.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Credit counseling.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Credit report.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Crm software.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Debt credit card.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Escorts.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Fha.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Health insurance.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Help desk software.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Insurance home.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Loan for debt consolidation.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Loan for people with bad credit.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Marketing email.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Mortgage insurance.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Mortgage life insurance.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Nevada corporations.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Online Betting Site.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Online gambling casino.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Online instant loan.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Order phentermine.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Payroll advance.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Personal loans online.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Personal loans with bad credit.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Prescription Drugs Rx Online.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Refinancing my mortgage.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Tahoe vacation rental.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Unsecured bad credit loans.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Videos.url
Spyware:Spyware/Petro-Line No disinfected C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\What is hydrocodone.url

und alles andere mit der Killbox ;)

C:\WINDOWS\addgd.dll
C:\WINDOWS\apizk32.exe
C:\WINDOWS\crvw32.exe
C:\WINDOWS\d3yz32.exe
C:\WINDOWS\iezy.dll
C:\WINDOWS\INF\dlmax.inf
C:\WINDOWS\INF\farmmext.inf
C:\WINDOWS\ipcn32.exe
C:\WINDOWS\ipkl.exe
C:\WINDOWS\jveme.dll
C:\WINDOWS\ntga32.dll
C:\WINDOWS\pmtnm.dll
C:\WINDOWS\SYSTEM32\d3is32.exe
C:\WINDOWS\SYSTEM32\mfcoh32.exe
C:\WINDOWS\SYSTEM32\mfcro32.dll
C:\WINDOWS\SYSTEM32\mfcto.exe
C:\WINDOWS\SYSTEM32\netqd.dll
C:\WINDOWS\SYSTEM32\prfhy.dll
C:\WINDOWS\SYSTEM32\qqhhq.dll
C:\WINDOWS\SYSTEM32\rhfrb.dll
C:\WINDOWS\SYSTEM32\uogqd.dll
C:\WINDOWS\SYSTEM32\uxped.dll
C:\WINDOWS\SYSTEM32\woang.dll
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.05.2005, 16:00
...neu hier

Beiträge: 1
#36 Hi, habe das selbe about ding auf meinem Pc, nur hab ich das problem dass ich mich da kein bisschen auskenne mit solchen sachen..........Voll Übel
Seitenanfang Seitenende
18.05.2005, 17:18
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#37 Hallo@Dj - Cj

HijackThis
http://www.downloads.subratam.org/hijackthis.zip
http://www.spywareinfo.com/~merijn/files/hijackthis.zip
Lade/entpacke HijackThis in einem Ordner
-->None of the above,
just start the program --> Save--> Savelog -->es öffnet sich der
Editor -->
oder:
Do a system scan and save a logfile --> Save--> Savelog -->es öffnet sich der
Editor -->
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins
Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.05.2005, 00:01
...neu hier

Beiträge: 4
#38 Hi Sabina!

Funktioniert noch immer nicht!
Bin langsam verzweifelt.

Entschuldige dass ich dich belästige, aber alleine kann es nicht schaffen!

Danke
Jovanotti10
Seitenanfang Seitenende
19.05.2005, 16:29
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#39 Hallo@Jovanotti10

Du musst die url manuell loeschen:

zum Beispiel:
C:\Dokumente und Einstellungen\sikimic\Favoriten\Sites about\Marketing email.url

oder:

ClaerProg..lade die neuste Version <1.5.1
http://www.clearprog.de/programme/clearprog/index_new.php
http://www.clearprog.de/downloads.php
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Verlauf
- Temporäre Internetfiles (Cache)
- URLs
- index.dat


ansonsten berichte, was du nicht schaffst . Das Loeschen mit der Killbox ?

----------------------


•Antivirus (free)
http://www.free-av.de/

Nach dem Installationsscan (in Ruhe abwarten und alles Bestaetigen waehrend der Installation:
Optionen--> Konfiguration-->Heuristik-->win32 Datei-heuristik--> aktivieren--> auf Mittel stellen

[X] Speicher
[X] Bootsektor Suchlaufwerke
[ ] Unbekannte Bootsektoren melden
[X] Alle Dateien
[ ] Programmdateien

gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

mache einen Komplettscan mit dem Antivirus + poste mir unbedingt den Report vom Scan ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.06.2005, 01:40
...neu hier

Beiträge: 2
#40 hi,

aus lauter verzweifelung will ich nun auch mal mein log posten:

Logfile of HijackThis v1.99.0
Scan saved at 01:39:53, on 01.06.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\ircomm2k.exe
C:\Programme\Eset\nod32krn.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Eset\nod32kui.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Caere\OmniPagePro10.0\opware32.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programme\Softick\PPP\Bin\PPPGate.exe
C:\Programme\Meaya\Popup Ad Filter\PopFilter.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Dennis\LOKALE~1\Temp\Rar$EX00.203\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Dennis\LOKALE~1\Temp\se.dll/spage.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Dennis\LOKALE~1\Temp\se.dll/spage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.arcor-ip.net:8080
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {96181CC8-3679-4B95-85A9-7BB48DCD737F} - C:\WINDOWS\System32\kenk.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: (no name) - {BB33B07C-CE2E-4EAF-BB31-8D00E468923F} - (no file)
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Programme\Xi\NetTransport 2\NTIEHelper.dll
O2 - BHO: (no name) - {D962C376-3E24-4D0C-B34A-3037061576CF} - (no file)
O3 - Toolbar: 3DNA Toolbar - {2ECB7FB2-0333-416F-92FD-4904AD49252B} - C:\WINDOWS\system32\3DNATO~1.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [nod32kui] C:\Programme\Eset\nod32kui.exe /WAITSERVICE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [sp] rundll32 C:\DOKUME~1\Dennis\LOKALE~1\Temp\se.dll,DllInstall
O4 - HKLM\..\Run: [AccG160] C:\PROGRA~1\WLANQU~1\AccG160.exe
O4 - HKLM\..\Run: [WLAN Quick-Starter] "C:\Programme\WLAN Quick-Starter\WLAN Quick-Starter.exe" -update
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [OmniPage] C:\Programme\Caere\OmniPagePro10.0\opware32.exe
O4 - HKLM\..\Run: [NetPumper] "C:\Programme\NetPumper\NetPumperIEProxy.exe"
O4 - HKLM\..\Run: [SoftickPPP] "C:\Programme\Softick\PPP\Bin\PPPGate.exe"
O4 - HKCU\..\Run: [Popup Ad Filter] C:\Programme\Meaya\Popup Ad Filter\PopFilter.exe
O4 - HKCU\..\Run: [YAW starten] "c:\programme\yaw 3.5\fast.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: Alles mit Net Transport herunterladen - C:\Programme\Xi\NetTransport 2\NTAddList.html
O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
O8 - Extra context menu item: Herunterladen mit Net Transport - C:\Programme\Xi\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v45/yacscom.cab
O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://E:\content\include\XPPatchInstaller.CAB
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{25D548A3-DF74-4F6C-9957-8F7958C33E94}: NameServer = 192.168.0.1,145.253.2.75,195.50.140.252,195.50.140.250,192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{8E19F818-957C-4F33-8A2E-777756708342}: NameServer = 195.50.140.252,192.168.0.1
O18 - Filter: text/html - {21588A1A-0F4A-40A9-937A-95B48DE87844} - C:\WINDOWS\System32\kenk.dll
O18 - Filter: text/plain - {21588A1A-0F4A-40A9-937A-95B48DE87844} - C:\WINDOWS\System32\kenk.dll
O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\PROGRAMME\TELEDAT\de_serv.exe
O23 - Service: Virtueller Infrarot-Kommunikationsanschluß, Dienstprogramm - Jan Kiszka - C:\WINDOWS\System32\ircomm2k.exe
O23 - Service: License Management Service ESD - Unknown - C:\Programme\Gemeinsame Dateien\element5 Shared\Service\Licence Manager ESD.exe
O23 - Service: NOD32 Kernel Service - Unknown - C:\Programme\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe



wie soll ich hier weiter machen?

gruß
dennis
Seitenanfang Seitenende
01.06.2005, 11:23
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#41 Hallo@dennism

Hijacker about:blank - se.dll\sp.html--> scannen
http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Dennis\LOKALE~1\Temp\se.dll/spage.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Dennis\LOKALE~1\Temp\se.dll/spage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O4 - HKLM\..\Run: [sp] rundll32 C:\DOKUME~1\Dennis\LOKALE~1\Temp\se.dll,DllInstall
O18 - Filter: text/html - {21588A1A-0F4A-40A9-937A-95B48DE87844} - C:\WINDOWS\System32\kenk.dll
O18 - Filter: text/plain - {21588A1A-0F4A-40A9-937A-95B48DE87844} - C:\WINDOWS\System32\kenk.dll

PC neustarten


#neue Startseite

gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

CCleaner--> loesche alle *temp-Datein
http://virus-protect.org/temp.html



surfe nur noch mit dem Firefox
(links auf der Seite-->Download)
http://virus-protect.org/

+ poste das neue Log vom HijackTHis ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.06.2005, 00:01
...neu hier

Beiträge: 2
#42 hi sabina,

habe das tool (SpSeHjfix112.exe) benutzt und es hat alles prima geklappt.
anschließend musste ich zwar den ie6 neu installieren aber nun ist alles weg. keine startsearchseite mehr und keine lästigen popups.!!!


hier noch das logfile:


Logfile of HijackThis v1.99.0
Scan saved at 00:00:42, on 02.06.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\ircomm2k.exe
C:\Programme\Eset\nod32krn.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Eset\nod32kui.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Caere\OmniPagePro10.0\opware32.exe
C:\Programme\NetPumper\NetPumperIEProxy.exe
C:\Programme\Softick\PPP\Bin\PPPGate.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programme\Meaya\Popup Ad Filter\PopFilter.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Dennis\LOKALE~1\Temp\Rar$EX00.313\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.heise.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.arcor-ip.net:8080
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: (no name) - {BB33B07C-CE2E-4EAF-BB31-8D00E468923F} - (no file)
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Programme\Xi\NetTransport 2\NTIEHelper.dll
O2 - BHO: (no name) - {D962C376-3E24-4D0C-B34A-3037061576CF} - (no file)
O3 - Toolbar: 3DNA Toolbar - {2ECB7FB2-0333-416F-92FD-4904AD49252B} - C:\WINDOWS\system32\3DNATO~1.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [nod32kui] C:\Programme\Eset\nod32kui.exe /WAITSERVICE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [AccG160] C:\PROGRA~1\WLANQU~1\AccG160.exe
O4 - HKLM\..\Run: [WLAN Quick-Starter] "C:\Programme\WLAN Quick-Starter\WLAN Quick-Starter.exe" -update
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [OmniPage] C:\Programme\Caere\OmniPagePro10.0\opware32.exe
O4 - HKLM\..\Run: [NetPumper] "C:\Programme\NetPumper\NetPumperIEProxy.exe"
O4 - HKLM\..\Run: [SoftickPPP] "C:\Programme\Softick\PPP\Bin\PPPGate.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKCU\..\Run: [Popup Ad Filter] C:\Programme\Meaya\Popup Ad Filter\PopFilter.exe
O4 - HKCU\..\Run: [YAW starten] "c:\programme\yaw 3.5\fast.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: Alles mit Net Transport herunterladen - C:\Programme\Xi\NetTransport 2\NTAddList.html
O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
O8 - Extra context menu item: Herunterladen mit Net Transport - C:\Programme\Xi\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v45/yacscom.cab
O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://E:\content\include\XPPatchInstaller.CAB
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{25D548A3-DF74-4F6C-9957-8F7958C33E94}: NameServer = 192.168.0.1,145.253.2.75,195.50.140.252,195.50.140.250,192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{8E19F818-957C-4F33-8A2E-777756708342}: NameServer = 195.50.140.252,192.168.0.1
O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\PROGRAMME\TELEDAT\de_serv.exe
O23 - Service: Virtueller Infrarot-Kommunikationsanschluß, Dienstprogramm - Jan Kiszka - C:\WINDOWS\System32\ircomm2k.exe
O23 - Service: License Management Service ESD - Unknown - C:\Programme\Gemeinsame Dateien\element5 Shared\Service\Licence Manager ESD.exe
O23 - Service: NOD32 Kernel Service - Unknown - C:\Programme\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe


vielen dank für die hilfe
dennis
Seitenanfang Seitenende
02.06.2005, 15:11
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#43 Hallo@dennism

Surfe nicht mehr mit dem IE, sonst gibt es nur probleme

#Alternativbrowser zum IE
Firefox
http://www.firefox-browser.de/windows.php
http://www.mozilla-europe.org/de/
Installation+Konfiguration Firefox
http://www.pcwelt.de/know-how/software/103924/index1.html

dann brauchst du auch das hier nicht mehr (kannst du deinstallieren)
O4 - HKCU\..\Run: [Popup Ad Filter] C:\Programme\Meaya\Popup Ad Filter\PopFilter.exe

dann solltest du auch die WindowsUpdates machen
Anleitung hier.
http://virus-protect.org/seite1.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.06.2005, 22:24
...neu hier

Beiträge: 1
#44 Hallo!

Ich habe die ersten Seiten gelesen und soweit ich weiß alles befolgt, doch trotzdem habe ich immer noch ein blaues Hintergrundbild auf dem Deskop mit der Warnmeldung. Habe auch die Datein se.dll entfernt. Mitlerweile läuft der IE bei mir schon gar nicht mehr. Kann mir da vielleicht jemand helfen, unten mein Logfile!

Danke

Logfile of HijackThis v1.99.1
Scan saved at 22:16:24, on 09.06.2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\INET20057\WINLOGON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\WINAMP\WINAMPA.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\WINDOWS\TASKMON.EXE
C:\PROGRAMME\MICROSOFT ACTIVESYNC\WCESCOMM.EXE
C:\PROGRAMME\BYSOFT FREERAM\FREERAM.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\WINSOCKS5.EXE
C:\T-Online\BSW4\ONLINE.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\ICQLITE\ICQLITE.EXE
C:\WINDOWS\TEMP\TD_0005.DIR\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ie/defaults/su/ymsgr6/us/*http://www.yahoo.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRAMME\ICQTOOLBAR\TOOLBAR.DLL
F1 - win.ini: run=C:\WINDOWS\INET20057\WINLOGON.EXE
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRAMME\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_3_18_0.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: HBO Class - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\inet20057\3.00.05.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRAMME\ICQTOOLBAR\TOOLBAR.DLL
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAMME\MSN TOOLBAR\01.01.1601.0\DE\MSNTB.DLL
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAMME\YAHOO!\COMPANION\INSTALLS\CPN\YCOMP5_3_18_0.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\INET20057\WINLOGON.EXE
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRAMME\MICROSOFT ACTIVESYNC\WCESCOMM.EXE"
O4 - HKCU\..\Run: [BySoft FreeRAM] C:\PROGRAMME\BYSOFT FREERAM\FREERAM.EXE
O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\INET20057\WINLOGON.EXE
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\PROGRAMME\ICQLITE\ICQLITE.EXE -trayboot
O4 - Startup: Hardware sensors monitor (2).lnk = C:\Programme\Hmonitor\hmonitor.exe
O4 - Startup: T-Online.lnk = ?
O4 - Startup: AntiVir Guard (2).lnk = C:\Programme\AVPersonal\AVGCTRL.EXE
O4 - User Startup: Hardware sensors monitor (2).lnk = C:\Programme\Hmonitor\hmonitor.exe
O4 - User Startup: T-Online.lnk = ?
O4 - User Startup: AntiVir Guard (2).lnk = C:\Programme\AVPersonal\AVGCTRL.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\PROGRAMME\ICQTOOLBAR\TOOLBAR.DLL/SEARCH.HTML
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRAMME\YAHOO!\MESSENGER\YHEXBMES.DLL
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRAMME\YAHOO!\MESSENGER\YHEXBMES.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRAMME\MICROSOFT ACTIVESYNC\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRAMME\MICROSOFT ACTIVESYNC\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRAMME\MICROSOFT ACTIVESYNC\INETREPL.DLL
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {A17E30C4-A9BA-11D4-8673-60DB54C10000} (YahooYMailTo Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/yse/ymmapi_416.dll
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20021205/qtinstall.info.apple.com/drakken/us/win/QuickTimeInstaller.exe
O16 - DPF: Yahoo! Fleet - http://download.games.yahoo.com/games/clients/y/fltt3_x.cab
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/potc_x.cab
O16 - DPF: Yahoo! Checkers - http://download.games.yahoo.com/games/clients/y/kt3_x.cab
O16 - DPF: Yahoo! Blackjack - http://download.games.yahoo.com/games/clients/y/jt0_x.cab
O16 - DPF: Yahoo! Dominoes - http://download.games.yahoo.com/games/clients/y/dot4_x.cab
O16 - DPF: Yahoo! Graffiti - http://download.games.yahoo.com/games/clients/y/grt5_x.cab
O16 - DPF: Yahoo! Mensch - http://download.games.yahoo.com/games/clients/y/mat3_x.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://arcade.icq.com/multiplayer/odyssey_web8.cab
O16 - DPF: {51EA44E6-C8C3-4E30-8F3D-D8EE71A44DCB} (Upload Control) - https://img.web.de/v/fotoalbum/activex/upload_1115.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://antu.popcap.com/games/popcaploader_v5.cab
O16 - DPF: Yahoo! Gin - http://download.games.yahoo.com/games/clients/y/nt1_x.cab
O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - http://www.dww.at/movies/Components/downloadcontrol.cab
Seitenanfang Seitenende
09.06.2005, 22:34
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#45 Hallo@Changhuat

gehe in die Registry

loesche mit rechtsklick:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
[xp_system] C:\WINDOWS\INET20057\WINLOGON.EXE

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
[xp_system] C:\WINDOWS\INET20057\WINLOGON.EXE

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\
[xp_system] C:\WINDOWS\INET20057\WINLOGON.EXE

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\(5321E378-FFAD-4999-8C62-03CA8155F0B3)

HKCU\Software\Microsoft\Internet Explorer\Main\
Enable Browser Extensions = "yes" --> aendern in no


#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

F1 - win.ini: run=C:\WINDOWS\INET20057\WINLOGON.EXE
O2 - BHO: HBO Class - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\inet20057\3.00.05.dll
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\PROGRAMME\MSN TOOLBAR\01.01.1601.0\DE\MSNTB.DLL
O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\INET20057\WINLOGON.EXE
O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\INET20057\WINLOGON.EXE
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://antu.popcap.com/games/popcaploader_v5.cab

PC neustarten

•KillBox
http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip
Anleitung: (bebildert)
http://virus-protect.org/killbox.html

•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINDOWS\Downloaded Program Files\popcaploader.dll
C:\WINDOWS\inet20057\3.00.05.dll
C:\WINDOWS\INET20057\WINLOGON.EXE
C:\WINDOWS\WINSOCKS5.EXE

PC neustarten--> in den abgesicherten Modus

http://www.tu-berlin.de/www/software/virus/savemode.shtml

C:\WINDOWS\INET20057<--loeschen

dann mache Onlinescans + berichte
http://virus-protect.org/onlinescan.html
+
poste das neue Log vom HijackTHis

---------------------------

INFO:
Backdoor.Graybird.F
http://securityresponse.symantec.com/avcenter/venc/data/backdoor.graybird.f.html

* Deliver system and network information to the Trojan's creator, including the login names and cached network passwords.
* Install an FTP server, allowing the Trojan's creator to use the compromised computer as a temporary storage device.
* Open or close the CD-ROM drive and perform other annoying actions.
* Download and execute files.
* Install a Socks5 proxy server.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: