Home » Spyware & Browser Hijacker Support Forum » effectivebandtoolbar & coolwwwsearch.leftovers » Themenansicht
effectivebandtoolbar & coolwwwsearch.leftovers |
||
|---|---|---|
| #0
| ||
|
06.05.2005, 12:36
Ehrenmitglied
 Beiträge: 29434 |
||
 
|
|
|
|
06.05.2005, 19:14
Member
Beiträge: 41 |
#32
leider läßt sich mein rechner noch immer nicht im abgesicherten modus starten, deshalb habe ich den scan im normalmodus gemacht.
Files Found................. ---------------------------------------- Files Not deleted................. ---------------------------------------- Merging registry entries ----------------------------------------------------------------- The Registry Entries Found... ----------------------------------------------------------------- REGEDIT4 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ms4Hd] Other bad files to be Manually deleted.. Please note that this might also list legit Files, be careful while deleting ----------------------------------------------------------------- msi.dll Finished die datei bad.txt ist leer. Logfile of HijackThis v1.99.1 Scan saved at 19:13:53, on 06.05.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\drivers\KodakCCS.exe C:\Programme\Eset\nod32krn.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\ScsiAccess.EXE C:\WINDOWS\System32\snmp.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe C:\Programme\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Generic\USB Card Reader Driver v1.9\Disk_Monitor.exe C:\Programme\Power Management\PwrGui.exe C:\Programme\Eset\nod32kui.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe C:\Programme\Mozilla1.7.7\Mozilla.exe C:\Programme\ONSPEED\onspeed.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\notepad.exe C:\Programme\WEBDE\SmartSurfer2.31\SmartSurfer.exe C:\WINDOWS\System32\wuauclt.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\WINDOWS\System32\cmd.exe C:\WINDOWS\system32\strings.exe C:\WINDOWS\system32\find.exe C:\Dokumente und Einstellungen\Maik\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.copzone.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.ashampoo.com/internet/trial/weka/0806d.htm R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:5400 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: PBlockHelper Class - {4115122B-85FF-4DD3-9515-F075BEDE5EB5} - C:\Programme\ONSPEED\PBHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [McAfee Guardian] "C:\Programme\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe" /SU O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Disk Monitor] C:\Programme\Generic\USB Card Reader Driver v1.9\Disk_Monitor.exe O4 - HKLM\..\Run: [PowerManagement] C:\Programme\Power Management\PwrGui.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Mozilla1.7.7\Mozilla.exe" -turbo O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: ONSPEED.lnk = C:\Programme\ONSPEED\onspeed.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Alle original Bilder anzeigen - res://C:\Programme\ONSPEED\onspeed.exe/250 O8 - Extra context menu item: Original Bild anzeigen - res://C:\Programme\ONSPEED\onspeed.exe/227 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://support.f-secure.com/ols/fscax.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} - O17 - HKLM\System\CCS\Services\Tcpip\..\{D110C7F2-86E2-4DC6-9741-0C907550B9D7}: NameServer = 69.50.188.180 195.225.176.31 O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe O23 - Service: McAfee Firewall - Unknown owner - c:\Programme\McAfee\McAfee Firewall\CPD.EXE" /SERVICE (file missing) O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Programme\Eset\nod32krn.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: ScsiAccess - Unknown owner - C:\WINDOWS\System32\ScsiAccess.EXE O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe C:\Dokumente und Einstellungen\Maik\Eigene Dateien\rkfiles PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE. Files Found in system Folder............ ------------------------ C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213 C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213 Files Found in all users startup Folder............ ------------------------ Files Found in all users windows Folder............ ------------------------ Finished bye Dieser Beitrag wurde am 06.05.2005 um 19:46 Uhr von neidhardt editiert.
|
|
|
|
|
|
|
07.05.2005, 16:17
Ehrenmitglied
Beiträge: 29434 |
#33
Hallo@neidhardt
Gehe in die Registry Start-->ausfuehren--> regedit loeschen: Ms4Hd HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ms4Hd Fixe mit dem HijackThis (muss nicht dort sein...) R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.ashampoo.com/internet/trial/weka/0806d.htm O4 - HKLM\..\Run: [PowerManagement] C:\Programme\Power Management\PwrGui.exe Zitat Das Programm strings.exe extrahierthast du so ein Programmm ??? #TuneUp2004 (30 Tage free) http://www.tuneup.de/products/tuneup-utilities/ Cleanup repair -->TuneUp Diskcleaner Cleanup repair -->Registry Cleaner Ansonsten muss ich den Hut ziehen vor dir...  du warst sehr hartnaeckig und der PC war ziemlich verseucht. Aber nun ist alles wieder in Ordnung __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
07.05.2005, 20:57
Member
Beiträge: 41 |
#34
hallo sabina,
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ms4Hd diesen schlüssel finde ich nicht und wenn ich die suchfunktion benutze schließt sich auf einmal das fenster. Zitat: Das Programm strings.exe extrahiert aus Binärdateien die lesbaren Zeichen und gibt sie am bildschirm aus hast du so ein Programmm ??? das hab ich mal gesucht, und die datei ist in den ordnern von "rkfiles" und "l2mfix". du schriebst, dass mein rechner wieder in ordnung sei, allerdings meldet mir spybot noch immer die "effectivebandtoolbar", welche er nicht löschen kann?? mit freundlichen grüßen Dieser Beitrag wurde am 07.05.2005 um 22:09 Uhr von neidhardt editiert.
|
|
|
|
|
|
|
07.05.2005, 22:52
Ehrenmitglied
Beiträge: 29434 |
#35
Hallo@neidhardt
Ein schoenes Wochenende fuer dich, uebrigens Oh , oh, das ist wirklich ein hartes Stueck Arbeit mit deinem PC , Aber wir werden es schon noch hinbekommen 1. scanne noch einmal mit: remv3.zip 2.•Online-Scann (Panda)--> berichte vom Scann-->noch einmal http://www.pandasoftware.com/activescan/com/activescan_principal.htm __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
08.05.2005, 10:01
Member
Beiträge: 41 |
#36
guten morgen sabina,
ich setze meine ganzen hoffnungen in dich ;-) danke für deine mühe... :-) nachdem sich nun mein rechner sagenhafte 50 minuten geweigert hat im abgesicherten modus zu starten mußte ich die scans doch im normalmodus durchführen. Files Found................. ---------------------------------------- Files Not deleted................. ---------------------------------------- Merging registry entries ----------------------------------------------------------------- The Registry Entries Found... ----------------------------------------------------------------- REGEDIT4 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ms4Hd] Other bad files to be Manually deleted.. Please note that this might also list legit Files, be careful while deleting ----------------------------------------------------------------- msi.dll Finished Incident Status Location Spyware:Spyware/FastSearchWeb No disinfected C:\WINDOWS\System32\msacmx.dll Spyware:Spyware/FastSearchWeb No disinfected C:\WINDOWS\system32\dllhostxp.exe Spyware:Spyware/New.net No disinfected Windows Registry Adware:Adware/CWS No disinfected C:\Dokumente und Einstellungen\Maik\Favoriten\Spyware Uninstall.url Adware:Adware/MediaTickets No disinfected Windows Registry Adware:Adware/CWS No disinfected C:\Dokumente und Einstellungen\Maik\Favoriten\SPYWARE UNINSTALL.url Virus:W32/Sober.V.worm Disinfected Persönliche Ordner\Gelöschte Objekte\FwD: Mail-Fehler!\autoemail-text.zip[Winzipped-Text_Data.txt .pif] Virus:W32/Sober.V.worm Disinfected Persönliche Ordner\Gelöschte Objekte\WM-Ticket-Auslosung\okTicket-info.zip[Winzipped-Text_Data.txt .pif] Virus:W32/Sober.V.worm Disinfected Persönliche Ordner\Gelöschte Objekte\WM Ticket Verlosung\Fifa_Info-Text.zip[Winzipped-Text_Data.txt .pif] Virus:W32/Sober.V.worm Disinfected Persönliche Ordner\Gelöschte Objekte\Mail-Fehler!\autoemail-text.zip[Winzipped-Text_Data.txt .pif] mit freundlichen grüßen |
|
|
|
|
|
|
08.05.2005, 20:16
Ehrenmitglied
Beiträge: 29434 |
#37
loesche manuell oder mit der Killbox:
C:\WINDOWS\System32\msacmx.dll C:\WINDOWS\system32\dllhostxp.exe C:\Dokumente und Einstellungen\Maik\Favoriten\Spyware Uninstall.url C:\Dokumente und Einstellungen\Maik\Favoriten\SPYWARE UNINSTALL.url ClaerProg..lade die neuste Version <1.5.1 http://www.clearprog.de/programme/clearprog/index_new.php http://www.clearprog.de/downloads.php <und saeubere den Browser. Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera: - Verlauf - Temporäre Internetfiles (Cache) - URLs - index.dat  Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ms4Hd] Die Datei "fixme.reg" auf dem Desktop doppelklicken. scanne noch mal mit Panda + remv3.zip __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
09.05.2005, 12:32
Member
Beiträge: 41 |
#38
guten tag,
die dateien habe ich mit der kilbox gelöscht und clearprog habe ich ausgeführt. leider läßt sich mein editor nicht öffnen, also habe ich versucht die datei fixme.reg mit dem notepad zu erstellen. allerdings kann ich die nicht in die registry einfügen, da es keine registry-datei ist und diese wohl nur mit dem registry-editor erstellt werden können. und nun?? mit freundlichen grüßen |
|
|
|
|
|
|
09.05.2005, 13:22
Ehrenmitglied
Beiträge: 29434 |
#39
Text ins Notepad kopieren--> Speichern unter--> (waehle das Desktop)wenn du die Endung .reg gibst und beachtest--> Dateityp:alle Dateien, dann kann man es auch der Registry beifuegen..
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
10.05.2005, 00:18
Ehrenmitglied
Beiträge: 29434 |
#40
Hallo@neidhardt
ich habe einen fehler gemacht, ...niemand ist perfekt versuche es mal damit (und berichte)Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. REGEDIT4 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ms4Hd] Die Datei "fixme.reg" auf dem Desktop doppelklicken. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
10.05.2005, 06:56
Member
Beiträge: 41 |
#41
guten morgen,
bei start-zubehör finde ich keinen editor und wenn ich ihn in der suche gefunden habe, dann läßt er sich nicht öffnen. was soll ich jetzt tun?? |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
KILLBOX:
http://www.bleepingcomputer.com/files/killbox.php
1. Trenne die Internetverbindung und schließe alle laufenden Programme
2. Doppel-klicke auf Killbox.exe und lasse es offen
3. In Killbox klickeauf Delete on Reboot ( roter Kasten )
Fügen diese Datei oben in die Full Path of File to Delete Box (1) in
dem man den u.g. Pfad dort eingibt oder mit (2) auf dem Computer nach der Datei suchen.
C:\WINDOWS\system32\msupgr32.exe
C:\WINDOWS\system32\sp2chek.exe
C:\WINDOWS\system32\msupgr.exe
5. Klicke Yes beim Delete on Reboot Prompt.
6. Klicke No beim laufenden Prozesse Prompt
7. Klicke auf den Delete File Button (sieht aus wie ein Stopzeichen (3).
8. Klicke auf Yes beim Delete on Reboot Prompt.
9. Klicke auf Yes beim laufenden Prozesse Prompt, um den Computer neu zu starten. Lasse den Computer neustarten.
10. Sollte folgende Meldung erscheinen, dann führe einen manuellen Neustart durch. "PendingFileRenameOperations Registry Data has been Removed by External Process!"
PC neustarten
•1) lade remv3.zip
lade rem3v.zip
http://bilder.informationsarchiv.net/Nikitas_Tools/remv3.zip
2) entpacke es im verzeichnis C:\WINDOWS\System32\
(es ist wichtig, dass es in diesem verzeichnis ist!)
3) starte den rechner im abgesicherten modus.
http://www.tu-berlin.de/www/software/virus/savemode.shtml
4) starte die datei rem.bat, scannen lassen.
5) starte den rechner anschließend im normalen modus.
6) unter C:\ sollte nun eine datei namens log.txt und bad1.txt zu finden sein.
7) markiere den inhalt und füge ihn hier ein.
Cool erstelle ein aktuelles HijackThis log und poste es mit der log.txt von rem.
wurde eine malware entfernt, sollten noch zusätzlich zur log.txt unter C:\ die Dateien bad.reg und bad.zip erstellt worden sein.
Bitte diese Dateien zunächst so belassen, nicht öffnen !
dann scanne noch mal mit.rkfiles.bat-
__________
MfG Sabina
rund um die PC-Sicherheit