Win Min + Desktop Hijacker + flsmngr.dll |
||
---|---|---|
#0
| ||
04.05.2005, 09:33
...neu hier
Beiträge: 3 |
||
|
||
04.05.2005, 12:25
Member
Beiträge: 669 |
#2
Du hast noch so einiges auf dem Rechner. Lade bitte folgende Programme herunter:
about:blank - se.dll\sp.html - Cleaner-Tool http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html LSPFix http://www.cexx.org/lspfix.htm eScan http://www.mwti.net/antivirus/free_utilities.asp Lasse zuerst das se.dll\sp.html Cleaner Tool durchlaufen, und danach gehst du wie folgt vor: Erster Schritt: Deaktiviere die Systemwiederherstellung (Arbeitsplatz => Rechtsklick => Eigenschaften). Nach erfolgter Reinigung des Systems nicht vergessen, wieder zu aktivieren! Diagnose und Vorbereinigung: Deaktiviere den Virenwächter, falls vorhanden, und führe mit AdAware und Spybot S&D im abgesicherten Modus (Rechner neu starten und F8 drücken beim Booten) einen vollständigen Systemscan durch. Markiere (Häkchen setzen) und lösche alle gefundenen kritischen Objekte (AdAware: "Next", Spybot S&D: "markierte Probleme beheben" drücken) (DSO Exploit im Spybot S&D kannst Du vernachlässigen, ist ein Bug im Programm. Wenn Du willst, kannst Du ihn mit dem Fix von hier beseitigen, ist für die Funktion von Spybot aber nicht notwendig). Lese dir aufmerksam die Informationen auf folgender Seite zu eScan durch: http://www.trojaner-info.de/hijacker/escan.shtml Update und scanne mit eScan entsprechend der Beschreibung für die Version 4.5.1 oder jünger von trojaner-info. Setze im eScan alle Häkchen, außer bei "Folder" und wähle bei "Drives" "All Local Drives" aus und ein paar Zeilen darunter "Scan All Files" anstelle von "Program Files". Drücke dann den Scan-Button um den Vorgang zu starten (das kann je nach Größe deiner Festplatten ziemlich lange dauern, aber unbedingt zu Ende scannen lassen und nicht abbrechen!). Lass dir danach das eScan-Log anzeigen und speichere es ab. Öffne es mit dem Editor und suche per Suchfunktion nach "infected". Kopiere alle betroffenen Zeilen vollständig und poste sie hier im Forum (kompletter Pfad + Datei, sowie Art der Infektion!) Virenwächter danach wieder aktivieren! HijackThis-Einträge: Weiterhin im abgesicherten Modus (Rechner neu starten und F8 drücken beim Booten): Scanne mit HijackThis und fixe folgende Einträge (Häkchen setzen und "fix checked" drücken) (sollten manche Einträge nicht mehr im HijackThis-Log vorhanden sein, ist es sehr wahrscheinlich, dass sie bereits durch das sp.dll-Cleaner Tool entfernt worden sind) Zitat R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://w-find.com/sp.htmDes weiteren überprüfe bitte ob du folgende Einträge dir bekannten und vertrauenswürdigen Programmen/Domänen zuordnen kannst (sehr wichtig!) und gib dazu eine Rückmeldung. Zitat O4 - HKLM\..\Run: [SURUNREG] C:\APCPV\SURUNREG.EXELasse bitte unbekannte Dateien hier überprüfen indem du sie hochlädst: http://virusscan.jotti.org/ und poste dann das Ergebnis. Starte nun die LSPFix.exe: Zitat Quelle: http://board.protecus.de/t16317.htmWähle wie oben beschrieben folgende .dll-Datei aus und lasse sie von LSPFix fixen: c:\winnt\system32\flsmngr.dll (wichtig: erst danach die Datei löschen!) Löschen von ActiveX-Programmen: Lösche alle Dateien in folgendem Verzeichnis: C:\Windows\Downloaded Programm Files\ Löschen von temporären Dateien: Lösche alle Dateien in folgenden Verzeichnisen: C:\WINDOWS\Temp\ C:\Temp\ C:\Dokumente und Einstellungen\[dein Username]\Lokale Einstellungen\Temp\ C:\Dokumente und Einstellungen\[dein Username]\Lokale Einstellungen\Temporary Internet Files\Content.IE5 (lösche nicht die index.dat!) Erstelle danach ein neues HijackThis-Log und poste es zusammen mit den anderen angeforderten Informationen (eScan-Ergebnisse, HijackThis Einträge und jotti-Informationen). __________ "life's a bitch, turn around and she'll backstab you for a buck." Dieser Beitrag wurde am 04.05.2005 um 12:30 Uhr von Malkesh editiert.
|
|
|
||
04.05.2005, 18:37
...neu hier
Themenstarter Beiträge: 3 |
#3
also ich habe deine anweisungen befolgt und kam zu folgendem ergebnis:
adaware - nichts gefunden spybot - nichts gefunden eScan Code
Bei der Überprüfung mit Jotti fand ich 2 infizierte dateien (die einträge mit brz.gv.at sind nicht böse, da das fürs intranet der firma benötigt wird): Code
Mit LSPFix habe ich dann die flsmngr.dll removed, leider konnte ich sie nicht löschen da sie verwendet wurde...obwohl ich im abgesicherten modus war. Und jetzt nochmal der letzte HijackThis Scan Code
Muss ich jetzt noch was tun? übrigends danke für die hilfe!! Dieser Beitrag wurde am 04.05.2005 um 18:40 Uhr von mattl_ editiert.
|
|
|
||
04.05.2005, 20:50
Member
Beiträge: 669 |
#4
Besorge dir noch:
CWShredder: http://cwshredder.net/bin/CWShredder.exe Lasse den CWShredder über dein System laufen, melde bitte wenn er fündig wird. Zitat Löschen von temporären Dateien:Hast du dies befolgt? Wenn ja, vor oder nach dem Scan mit eScan? (einige infizierte Dateien in deinen temporären Verzeichnissen im Log) Wenn du's bisher nicht gemacht hast, dringend die temporären Dateien löschen. Danach: Start -> Ausführen -> cleanmgr Laufwerk C: auswählen Wähle aus: [X] Temporary Internet Files [X] Offlinewebseiten [X] Papierkorb [X] Temporäre Dateien [X] Webclient/Publisher Temporary Files Bestätige dann mit OK Zu folgenden Einträgen in HijackThis hast du mir leider keine konkrete Rückmeldung gegeben, kennst du sie? Zitat O4 - HKLM\..\Run: [SURUNREG] C:\APCPV\SURUNREG.EXEFixe nun mit HijackThis: Zitat O4 - HKLM\..\Run: [combop.exe] combop.exeLösche manuell folgende Dateien: Zitat C:\WINNT\Start.exeFalls sich Dateien nicht löschen lassen, musst du dies vielleicht durch ein Tool direkt nach dem Neustart erledigen lassen. HijackThis bringt solch eine Funktion bereits mit: Zitat http://board.protecus.de/t16317.htmPoste danach bitte ein neues Logfile vom HijackThis und eScan und versuche bitte die Informationen zu den gefragten HijackThis-Einträgen zu liefern (bei dir unbekannten Dateien wieder jotti benutzen und Ergebnis ebenfalls posten). __________ "life's a bitch, turn around and she'll backstab you for a buck." Dieser Beitrag wurde am 04.05.2005 um 20:53 Uhr von Malkesh editiert.
|
|
|
||
Habe schon alles versucht, AdAware, SpyBot, CWShredder usw. Mitlerweile findet er nichts mehr. Nur mit Spy Sweeper findet er infizierte Dateien am laufenden Band...Scannen mit AntiVir im abgesicherten Modus und der neuesten Virusdefenition, brachte zwar ein Ergebnis von 8 Viren die alle gelöscht wurden. Jedoch ist meine Startseite noch immer www.w-find.com und Spw Sweeper schickt noch immer Warnungen...
Bitte um Hilfe! Danke!
Code