wieder einmal Probleme mit StartPage / Trojaner

#0
23.02.2005, 13:00
...neu hier

Beiträge: 10
#1 Hallo Leute,
ich weiß schon, Windows Interenet Explorer zu benutzen ist dämlich und auch sonst mache ich an meinem Computer sicher einiges, was nicht so klug ist. Bin halt doch (auch nach einigen Jahren Nutzungserfahrung) noch ein Anfänger.
Jedenfalls habe ich mal wieder Probleme mit dem allseits bekannten StartPage-Trojaner. Wer von Euch mag sich mal mein HiJack-Log ansehen und mir sagen, wie ich weiterkomme??? Schon mal tausend Dank im voraus :-) ...

Logfile of HijackThis v1.99.0
Scan saved at 11:47:54, on 23.02.2005
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINNT\System32\internat.exe
C:\Dokumente und Einstellungen\MK1\Lokale Einstellungen\Temp\NoURL.exe
C:\Corel\Graphics8\Programs\MFIndexer.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\Programme\1&1 Internet\Profi-Dialer\ProfiDialer.exe
F:\Eigene Dateien\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://clearsurfing.net/srch.php?qq=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\System32\sfcman32.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\System32\sfcman32.dll/sp.html (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.amritapuri.org/Mother-page.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\System32\sfcman32.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\System32\sfcman32.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\System32\sfcman32.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\System32\sfcman32.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von AOL
O2 - BHO: REALBAR - {4E7BD74F-2B8D-469E-C0FF-FD60B590A87D} - C:\PROGRA~1\GEMEIN~1\Real\Toolbar\realbar.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {8C827C3A-A6DD-42E2-83D1-122BBC038819} - C:\WINNT\System32\sfcman32.dll
O3 - Toolbar: REALBAR - {4E7BD74F-2B8D-469E-C0FF-FD60B590A87D} - C:\PROGRA~1\GEMEIN~1\Real\Toolbar\realbar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - C:\WINNT\System32\iecustom32.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [NoURL] C:\Dokumente und Einstellungen\MK1\Lokale Einstellungen\Temp\NoURL.exe
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Shorten URL - http://www.cjb.net/menuext.html
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O10 - Broken Internet access because of LSP provider 'c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll' missing
O16 - DPF: {2359626E-7524-4F87-B04E-22CD38A0C88C} (ICSScannerLight Class) - http://download.zonelabs.com/bin/free/cm/ICSCM.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{58F02E7C-98A6-4E3D-B5E4-BDA8A9BE7551}: NameServer = 69.50.176.196,195.225.176.37
O17 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.50.176.196,195.225.176.37
O17 - HKLM\System\CS2\Services\VxD\MSTCP: NameServer = 69.50.176.196,195.225.176.37
O17 - HKLM\System\CS2\Services\Tcpip\..\{225ED2D2-FF51-4401-AE72-840B4C475244}: NameServer = 217.237.150.141 217.237.150.97
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 69.50.176.196,195.225.176.37
O18 - Filter: text/html - {87581800-6345-4B1B-A4F9-705EBF802FEC} - C:\WINNT\System32\sfcman32.dll
O18 - Filter: text/plain - {87581800-6345-4B1B-A4F9-705EBF802FEC} - C:\WINNT\System32\sfcman32.dll
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Network Devices Controller - Unknown - msndc32.exe (file missing)
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe
Seitenanfang Seitenende
23.02.2005, 13:52
Member

Beiträge: 95
#2 Hi,

jo da sind einige Einträge sehr faul ;)

Achja, ich glaube da gibts schon eine neuere Version von HijackThis aber schau mal ob ich trotzdem alles finde:

Schädliche Einträge sind:

R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://clearsurfing.net/srch.php?qq=%s

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\System32\sfcman32.dll/sp.html (obfuscated)

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\System32\sfcman32.dll/sp.html (obfuscated)

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.amritapuri.org/Mother-page.php

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\System32\sfcman32.dll/sp.html (obfuscated)

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\System32\sfcman32.dll/sp.html (obfuscated)

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\System32\sfcman32.dll/sp.html (obfuscated)

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\System32\sfcman32.dll/sp.html (obfuscated)

O2 - BHO: (no name) - {8C827C3A-A6DD-42E2-83D1-122BBC038819} - C:\WINNT\System32\sfcman32.dll

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

O18 - Filter: text/html - {87581800-6345-4B1B-A4F9-705EBF802FEC} - C:\WINNT\System32\sfcman32.dll

O18 - Filter: text/plain - {87581800-6345-4B1B-A4F9-705EBF802FEC} - C:\WINNT\System32\sfcman32.dll

O23 - Service: Network Devices Controller - Unknown - msndc32.exe (file missing)


Folgende Vorgehensweise:

- Backup anlegen und dann die Einträge fixen!

- Zuvor bitte hier nochmal posten ob Du eine IE Erweiterung (Einen bestimmten Erweiterungspack etc.) und die Realbar von Real Media verwendest.


Folgende Einträge kannst Du auch noch fixen lassen von Hijackthis (Unnötige Autostarts):

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [internat.exe] internat.exe


und noch ein Eintrag, kA ob Dir das wichtig ist? (cjb.net)

O8 - Extra context menu item: Shorten URL - http://www.cjb.net/menuext.html


Hope this helps ;)

Ciao
Dieser Beitrag wurde am 23.02.2005 um 13:53 Uhr von unzen editiert.
Seitenanfang Seitenende
23.02.2005, 15:03
...neu hier

Themenstarter

Beiträge: 10
#3 Hallo unzen,

weiß garnicht, wie ich Dir danken kann! Scheint jetzt soweit alles ruhig zu sein.

Diese Einträge werde ich jetzt auch noch fixen, wie von Dir empfohlen:

Folgende Einträge kannst Du auch noch fixen lassen von Hijackthis (Unnötige Autostarts):

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [internat.exe] internat.exe


und noch ein Eintrag, kA ob Dir das wichtig ist? (cjb.net)

O8 - Extra context menu item: Shorten URL - http://www.cjb.net/menuext.html


Hier aber schon einmal das neue logfile:

Logfile of HijackThis v1.99.0
Scan saved at 14:58:10, on 23.02.2005
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Dokumente und Einstellungen\MK1\Lokale Einstellungen\Temp\NoURL.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\Programme\1&1 Internet\Profi-Dialer\ProfiDialer.exe
C:\Programme\Internet Explorer\iexplore.exe
F:\Eigene Dateien\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\System32\sfcman32.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\System32\sfcman32.dll/sp.html (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.amritapuri.org/Mother-page.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\System32\sfcman32.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\System32\sfcman32.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\System32\sfcman32.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\System32\sfcman32.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von AOL
O2 - BHO: REALBAR - {4E7BD74F-2B8D-469E-C0FF-FD60B590A87D} - C:\PROGRA~1\GEMEIN~1\Real\Toolbar\realbar.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: REALBAR - {4E7BD74F-2B8D-469E-C0FF-FD60B590A87D} - C:\PROGRA~1\GEMEIN~1\Real\Toolbar\realbar.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - C:\WINNT\System32\iecustom32.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [NoURL] C:\Dokumente und Einstellungen\MK1\Lokale Einstellungen\Temp\NoURL.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Shorten URL - http://www.cjb.net/menuext.html
O10 - Broken Internet access because of LSP provider 'c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll' missing
O16 - DPF: {2359626E-7524-4F87-B04E-22CD38A0C88C} (ICSScannerLight Class) - http://download.zonelabs.com/bin/free/cm/ICSCM.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{225ED2D2-FF51-4401-AE72-840B4C475244}: NameServer = 217.237.150.141 217.237.150.97
O17 - HKLM\System\CCS\Services\Tcpip\..\{58F02E7C-98A6-4E3D-B5E4-BDA8A9BE7551}: NameServer = 69.50.176.196,195.225.176.37
O17 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.50.176.196,195.225.176.37
O17 - HKLM\System\CS1\Services\Tcpip\..\{225ED2D2-FF51-4401-AE72-840B4C475244}: NameServer = 217.237.150.141 217.237.150.97
O17 - HKLM\System\CS2\Services\VxD\MSTCP: NameServer = 69.50.176.196,195.225.176.37
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 69.50.176.196,195.225.176.37
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe

Ist jetzt alles okay? :-) ?

Nochmal Danke, Mercy, Thank´s, Gracias, Tak....
Seitenanfang Seitenende
24.02.2005, 11:25
Member

Beiträge: 95
#4 Hallo,

folgende Einträge noch fixen:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\System32\sfcman32.dll/sp.html (obfuscated)

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\System32\sfcman32.dll/sp.html (obfuscated)

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.amritapuri.org/Mother-page.php

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\System32\sfcman32.dll/sp.html (obfuscated)

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\System32\sfcman32.dll/sp.html (obfuscated)

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\System32\sfcman32.dll/sp.html (obfuscated)

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\System32\sfcman32.dll/sp.html (obfuscated)

O2 - BHO: REALBAR - {4E7BD74F-2B8D-469E-C0FF-FD60B590A87D} - C:\PROGRA~1\GEMEIN~1\Real\Toolbar\realbar.dll (file missing)

O3 - Toolbar: REALBAR - {4E7BD74F-2B8D-469E-C0FF-FD60B590A87D} - C:\PROGRA~1\GEMEIN~1\Real\Toolbar\realbar.dll (file missing)

O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - C:\WINNT\System32\iecustom32.dll

O8 - Extra context menu item: Shorten URL - http://www.cjb.net/menuext.html

O17 - HKLM\System\CCS\Services\Tcpip\..\{58F02E7C-98A6-4E3D-B5E4-BDA8A9BE7551}: NameServer = 69.50.176.196,195.225.176.37

O17 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.50.176.196,195.225.176.37

O17 - HKLM\System\CS2\Services\VxD\MSTCP: NameServer = 69.50.176.196,195.225.176.37

O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 69.50.176.196,195.225.176.37



Mfg
Seitenanfang Seitenende
24.02.2005, 14:52
...neu hier

Themenstarter

Beiträge: 10
#5 Hallo unzen,

und wieder einmal: Vielen Dank!!!!!!

Nachdem ich jetzt, wie Du empfohlen hast, einiges mittels hiJack gefixt habe, und nachdem ich den ganzen Morgen damit verbracht habe, mittels eScan im abgesicherten Modus meine Festplatte zu scannen (und dabei 9 Viren / Trojaner in 16 Ordnern killte), Papierkorb leeren, wieder scannen, im normalen Modus hochfahren, cwshredder, Ad-aware und Spybot durchlaufen lassen, sieht es jetzt ganz gut aus (siehe logfile). Der Eintrag:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.amritapuri.org/Mother-page.php
ist meine Startpage; das ist in Ordnung :-) !

Hier erstmal das aktuelle Logfile und dann noch eine Frage:

Logfile of HijackThis v1.99.1
Scan saved at 14:39:28, on 24.02.2005
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Dokumente und Einstellungen\MK1\Lokale Einstellungen\Temp\NoURL.exe
C:\program files\InterMute\SpySubtract\SpySub.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\Programme\1&1 Internet\Profi-Dialer\ProfiDialer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
C:\WINNT\explorer.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\MK1\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.amritapuri.org/Mother-page.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von AOL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [NoURL] C:\Dokumente und Einstellungen\MK1\Lokale Einstellungen\Temp\NoURL.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: SpySubtract.lnk = C:\program files\InterMute\SpySubtract\SpySub.exe
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O10 - Broken Internet access because of LSP provider 'c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll' missing
O16 - DPF: {2359626E-7524-4F87-B04E-22CD38A0C88C} (ICSScannerLight Class) - http://download.zonelabs.com/bin/free/cm/ICSCM.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{225ED2D2-FF51-4401-AE72-840B4C475244}: NameServer = 217.237.150.141 217.237.150.97
O17 - HKLM\System\CS1\Services\Tcpip\..\{225ED2D2-FF51-4401-AE72-840B4C475244}: NameServer = 217.237.150.141 217.237.150.97
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe

Sieht gut aus, oder ???

So, zu meiner Frage: eScan fand noch ein paar Einträge, die gelöscht werden sollen, und zwar:

Sat Feb 05 18:39:35 2005 => ERROR!!! Invalid Entry ToADiMon.exe = C:\T-ONLI~1\BSW4\ToADiMon.exe -TOnlineAutodialStart (in key SOFTWARE\Microsoft\Windows\CurrentVersion\Run). Removing it.

Sat Feb 05 18:39:35 2005 => ERROR!!! Invalid Entry Rapidspark = C:\WINNT\System32\ShellExt\RSCNTR.EXE -n (in key SOFTWARE\Microsoft\Windows\CurrentVersion\Run). Removing it.

Sat Feb 05 18:39:37 2005 => ERROR!!! Invalid Entry crtdll = C:\WINNT\System32\crtdll.exe (in key SOFTWARE\Microsoft\Windows\CurrentVersion\Run). Removing it.

Sat Feb 05 18:39:37 2005 => ERROR!!! Invalid Entry dpwsock = C:\WINNT\System32\dpwsock.exe (in key SOFTWARE\Microsoft\Windows\CurrentVersion\Run). Removing it.

Mon Feb 21 12:34:35 2005 => ERROR!!! Invalid Entry = C:\WINNT\System32\mgmi.dll (in key Software\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{70205262-6335-4B7D-ABB7-83D3D4D8AAF7}). Removing it.


Wie komme ich zu diesen key - Einträgen und wie kann ich diese löschen?

Und noch was: eScan fand in einem Ordner namens: C:\WINNT\Downloaded Program Files noch einen Virus, den ich allerdings nicht ausmachen konnte. Das heißt, wenn ich den Ordner öffne (nachdem ich in den Ordneroptionen die Freigabe der versteckten Ordner bewirkt habe), ist da bis auf zwei Ordner nix drin. Kein Eintrag wie den mit dem Virus, auch nicht über die Suchfunktion. Irgendwie versteckt sich aber in dem Ordner noch mehr. Sagt auch der Eigenschaftsanzeiger. Gibts einen Trick, den ganzen Inhalt anzeigen zu lassen? eScan würde mir doch nicht einen Ordner anzeigen, den es gar nicht gibt, oder?

Wie immer dankbar für jede Antwort!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Herzliche Grüße

Michael
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: