Search Page = http://morwillsearch.com/?adv_id=fish&sub_id=

#0
12.06.2005, 19:06
...neu hier

Beiträge: 2
#1 Hallo!
Ich hab seit gewisser Zeit Probleme mit meinem Computer. In meinem Internetexplorer wird die Startseite andauernd gegen meinen Willen geändert, egal was ich versucht habe bzw. versuche. Und von einige Seiten im Internet werde ich permanent auf diverse "search-Pages" geleitet. In der Taskleiste habe ich seit kurzem eine gelbes Dreieck mit Ausrufungszeichen, welches micht ständig darauf hinweist, dass ich doch Spyware auf meinem Computer habe und etwas dagegen tun sollte und mich dann auch auf irgendwelche Seiten bringt. Ab und zu hab ich dann einen etwas seltsame HTML-Hintergrund bei meinem Desktop, der mich auch auf irgendwelche Seiten verweist, welchen ich aber (hoffe ich zumindest) im Griff habe. Langsam treibt mich mein Computer zur Weißglut.
Dummerweise kenne ich mich nicht sehr gut mit den ganzen Programme zur Vernichtung von Spyware und dem ganzen Zeug aus, deswegen habe ich mir gehofft, hier Hile finden zu können.
Ich habe mir schon einige Programme heruntergalden, welche auch funktioniert haben, aber anscheinend nicht wirklich etwas genutzt.
Würde mich sehr freuen, wenn mir irgendwer helfen könnte. :-)

Mfg P. Cieslik

EDIT: Habe mich jetzt nochmal ein bisschen im Forum umgeschaut und eine Menge über dieses HiJackThis gelesen und habe es mir, obwohl ich es nicht wirklich verstanden habe, auch kurz geladen. Hoffe, mir kann wer damit weiterhelfen.

Logfile of HijackThis v1.99.0
Scan saved at 20:13:08, on 12.06.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\CTSvcCDA.EXE
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\WINDOWS\System32\r.exe
C:\WINDOWS\System32\iasrecst.exe
C:\Program Files\InterMute\SpySubtract\SpySub.exe
C:\PROGRA~2\Altnet\DOWNLO~1\adm4005.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\Programme\AOL 9.0\waol.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\WINDOWS\System32\Services\{254AE4EC-F309-4974-959A-4A34F26EFE4E}\SVCHOST.EXE
C:\WINDOWS\System32\Services\{A1105B93-C61E-4420-B2D6-08D7B2290D1F}\SVCHOST.EXE
C:\WINDOWS\System32\Services\{A1105B93-C61E-4420-B2D6-08D7B2290D1F}\SVCHOST.EXE
C:\Dokumente und Einstellungen\Yokerisback\Desktop\HijackThis.exe
c:\r.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://morwillsearch.com/?adv_id=fish&sub_id=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://morwillsearch.com/?adv_id=fish&sub_id=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://morwillsearch.com/?adv_id=fish&sub_id=
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0B519E07-7824-4adc-8890-93D5EABBF285} - C:\WINDOWS\System32\msadocm32.dll
O2 - BHO: (no name) - {3D8F3753-B232-71E2-8653-6C5508837943} - C:\WINDOWS\System32\nfreyl.dll (file missing)
O2 - BHO: IE PopUp-Killer ; Neikeisoft - {49E0E0F0-5C30-11D4-945D-000000000003} - C:\PROGRA~1\Ashampoo\ASHAMP~1\PopUp.dll
O2 - BHO: (no name) - {4A25D449-2BAA-4426-A992-D18CA70CF5A9} - C:\WINDOWS\system32\d0rvu.dll
O2 - BHO: Need2Find Bar BHO - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - C:\Programme\Need2Find\bar\2.bin\ND2FNBAR.DLL
O2 - BHO: InstaFinderK - {4E7BD74F-2B8D-469E-90F0-F66AB581A933} - C:\Programme\INSTAFINK\instafink.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {5943E015-2789-2951-8E2B-2427B595BCCE} - C:\WINDOWS\System32\mxjq.dll
O2 - BHO: (no name) - {64DE6859-B710-27BC-D552-175579D47B1F} - C:\WINDOWS\System32\kad.dll (file missing)
O2 - BHO: (no name) - {696ED01C-0ACC-1F10-A31A-1C0A80D491F6} - C:\WINDOWS\System32\mxjq.dll
O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\PROGRA~1\GEMEIN~1\WEBSPE~1.0\LgxIEBar.dll
O2 - BHO: (no name) - {A3DFDA85-1D92-4E28-8C0C-522574ACDC8A} - C:\WINDOWS\System32\msacrohlp.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: RX Toolbar - {25D8BACF-3DE2-4B48-AE22-D659B8D835B0} - C:\Programme\RXToolBar\RXToolBar.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [etn] C:\WINDOWS\System32\etn.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [RavTimeXP] C:\WINDOWS\Mstray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [8C049B56] C:\3.exe
O4 - HKLM\..\Run: [efwfycjbr] C:\WINDOWS\System32\lypnks.exe
O4 - HKLM\..\Run: [Windows Service] C:\WINDOWS\System32\r.exe
O4 - HKLM\..\Run: [Service Host] C:\WINDOWS\System32\Services\{A1105B93-C61E-4420-B2D6-08D7B2290D1F}\SVCHOST.EXE
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [Disk Keeper] C:\WINDOWS\System32\Services\{A1105B93-C61E-4420-B2D6-08D7B2290D1F}\SECURITY.EXE
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKLM\..\RunOnce: [d2cyk.exe] C:\WINDOWS\System32\d2cyk.exe /k
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [iasrecst] C:\WINDOWS\System32\iasrecst.exe
O4 - HKCU\..\Run: [8C049B56] C:\3.exe
O4 - HKCU\..\Run: [Ashampoo PopUpBlocker] C:\PROGRA~1\Ashampoo\ASHAMP~1\PopUpKiller.exe
O4 - HKCU\..\Run: [Windows Service] C:\WINDOWS\System32\r.exe
O4 - HKCU\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKCU\..\RunOnce: [d2cyk.exe] C:\WINDOWS\System32\d2cyk.exe /k
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: SpySubtract.lnk = C:\Program Files\InterMute\SpySubtract\SpySub.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Search - http://ky.bar.need2find.com/KY/menusearch.html?p=KY
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Shorten URL - http://www.cjb.net/menuext.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\PROGRA~1\GEMEIN~1\WEBSPE~1.0\LgxIEBar.dll
O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\PROGRA~1\GEMEIN~1\WEBSPE~1.0\LgxIEBar.dll
O9 - Extra button: MP3 - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\euro-libremp3-de\local.html (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O15 - Trusted Zone: http://*.baby4teen.com
O15 - Trusted Zone: *.morwillsearch.com
O15 - Trusted Zone: http://*.overpro.com
O16 - DPF: {10000000-1000-0000-1000-000000000000} - mhtml:file://C:\ARCHIVE.MHT!http://64.124.210.159//alla/server.exe
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1116786512562
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game12.zylomgames.com/activex/zylomgamesplayer.cab
O16 - DPF: {D7BF3304-138B-4DD5-86EE-491BB6A2286C} - http://morwillsearch.com/mwsearch.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0EEFCC56-9DF0-4880-9DA9-9E5842F6CC1C}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{378CF1F4-9273-460B-9130-E70C9B7F8868}: NameServer = 205.188.146.145
O17 - HKLM\System\CCS\Services\Tcpip\..\{82499025-5889-48B3-8D4D-CC38DA395A4E}: NameServer = 192.168.0.1
O21 - SSODL: systemp - {6714E001-C02C-4569-9DE1-3E0DCC5E0FC0} - systemp.dll (file missing)
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AOL Connectivity Service - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.EXE
O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: WAN Miniport (ATW) Service - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
Dieser Beitrag wurde am 12.06.2005 um 21:06 Uhr von Yokerisback editiert.
Seitenanfang Seitenende
13.06.2005, 13:52
Member
Avatar Gool

Beiträge: 4730
#2 Ok, abgesehen davon, dass du ne etwas ältere Version von HijackThis verwendest:

C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
Böse!!! Dies ist ein Böser Prozess! Den Prozess solltest Du fixen und evtl. manuell löschen!

Gleiches gilt bei
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe

Was c:\r.exe ist, weiß ich net, aber wenn Du es nicht als was gutartiges identifizieren kannst: auch weg damit.

Weiterhin zu fixen:
O2 - BHO: (no name) - {0B519E07-7824-4adc-8890-93D5EABBF285} - C:\WINDOWS\System32\msadocm32.dll

O2 - BHO: (no name) - {3D8F3753-B232-71E2-8653-6C5508837943} - C:\WINDOWS\System32\nfreyl.dll (file missing)

O2 - BHO: (no name) - {4A25D449-2BAA-4426-A992-D18CA70CF5A9} - C:\WINDOWS\system32\d0rvu.dll

O2 - BHO: Need2Find Bar BHO - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - C:\Programme\Need2Find\bar\2.bin\ND2FNBAR.DLL

O2 - BHO: InstaFinderK - {4E7BD74F-2B8D-469E-90F0-F66AB581A933} - C:\Programme\INSTAFINK\instafink.dll

O2 - BHO: (no name) - {A3DFDA85-1D92-4E28-8C0C-522574ACDC8A} - C:\WINDOWS\System32\msacrohlp.dll

O3 - Toolbar: RX Toolbar - {25D8BACF-3DE2-4B48-AE22-D659B8D835B0} - C:\Programme\RXToolBar\RXToolBar.dll

evtl. folgendes fixen (das sieht sehr verdächtig aus):
O4 - HKLM\..\Run: [etn] C:\WINDOWS\System32\etn.ex
O4 - HKLM\..\Run: [RavTimeXP] C:\WINDOWS\Mstray.exe
O4 - HKLM\..\Run: [8C049B56] C:\3.exe
O4 - HKLM\..\Run: [efwfycjbr] C:\WINDOWS\System32\lypnks.exe
O4 - HKLM\..\Run: [Windows Service] C:\WINDOWS\System32\r.exe
O4 - HKLM\..\Run: [Disk Keeper] C:\WINDOWS\System32\Services\{A1105B93-C61E-4420-B2D6-08D7B2290D1F}\SECURITY.EXE
O4 - HKCU\..\Run: [iasrecst] C:\WINDOWS\System32\iasrecst.exe
O4 - HKCU\..\Run: [8C049B56] C:\3.exe
O4 - HKCU\..\Run: [Windows Service] C:\WINDOWS\System32\r.exe


auf jeden Fall fixen:
O4 - HKLM\..\Run: [Service Host] C:\WINDOWS\System32\Services\{A1105B93-C61E-4420-B2D6-08D7B2290D1F}\SVCHOST.EXE

O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"

O4 - HKLM\..\RunOnce: [d2cyk.exe] C:\WINDOWS\System32\d2cyk.exe /k

O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe

O8 - Extra context menu item: &Search - http://ky.bar.need2find.com/KY/menusearch.html?p=KY

O8 - Extra context menu item: Shorten URL - http://www.cjb.net/menuext.html

O9 - Extra button: MP3 - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\euro-libremp3-de\local.html (file missing)

O15 - Trusted Zone: http://*.baby4teen.com

O15 - Trusted Zone: *.morwillsearch.com

O15 - Trusted Zone: http://*.overpro.com

O16 - DPF: {10000000-1000-0000-1000-000000000000} - mhtml:file://C:\ARCHIVE.MHT!http://64.124.210.159//alla/server.exe

O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -

O16 - DPF: {D7BF3304-138B-4DD5-86EE-491BB6A2286C} - http://morwillsearch.com/mwsearch.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{378CF1F4-9273-460B-9130-E70C9B7F8868}: NameServer = 205.188.146.145

O21 - SSODL: systemp - {6714E001-C02C-4569-9DE1-3E0DCC5E0FC0} - systemp.dll (file missing)


****

So, dann solltest Du mal mit Antivir nen Suchlauf starten und darin auch Spyware und Browserhijacker einbeziehen.
Außerdem würde ich Dir noch die Verwendung von Spybot -> http://security.kolla.de und von Adaware -> http://www.lavasoft.de empfehlen. Und schau mal nach dem CWS-Shredder ^^

Tipps für die Zukunft:
- Service Pack 2 installieren
- Einen sicheren Browser (Firefox, Opera) statt Internet Explorer verwenden
- Immer mit Spyware-Schutz (oben genannte Programme)
- Firewall verwenden
- nicht alles installieren, was man auf irgendwelchen Internetseiten vorgesetzt bekommt
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
14.06.2005, 15:35
...neu hier

Themenstarter

Beiträge: 2
#3 Danke für die Hilfe...
Aber ich werde immer noch auf ein paar agressiven WebSearch Seiten geleitet.
Würde es vielleicht etwas nutzen, eine neuere Version von HiJackThis runterzuladen um ein neue Logfile zu erstellen?

MfG Yoka
Seitenanfang Seitenende
14.06.2005, 16:11
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://morwillsearch.com/?adv_id=fish&sub_id=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://morwillsearch.com/?adv_id=fish&sub_id=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://morwillsearch.com/?adv_id=fish&sub_id=
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: (no name) - {0B519E07-7824-4adc-8890-93D5EABBF285} - C:\WINDOWS\System32\msadocm32.dll
O2 - BHO: (no name) - {3D8F3753-B232-71E2-8653-6C5508837943} - C:\WINDOWS\System32\nfreyl.dll (file missing)
O2 - BHO: (no name) - {4A25D449-2BAA-4426-A992-D18CA70CF5A9} - C:\WINDOWS\system32\d0rvu.dll
O2 - BHO: Need2Find Bar BHO - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - C:\Programme\Need2Find\bar\2.bin\ND2FNBAR.DLL
O2 - BHO: InstaFinderK - {4E7BD74F-2B8D-469E-90F0-F66AB581A933} - C:\Programme\INSTAFINK\instafink.dll
O2 - BHO: (no name) - {5943E015-2789-2951-8E2B-2427B595BCCE} - C:\WINDOWS\System32\mxjq.dll
O2 - BHO: (no name) - {64DE6859-B710-27BC-D552-175579D47B1F} - C:\WINDOWS\System32\kad.dll (file missing)
O2 - BHO: (no name) - {696ED01C-0ACC-1F10-A31A-1C0A80D491F6} - C:\WINDOWS\System32\mxjq.dll
O2 - BHO: (no name) - {A3DFDA85-1D92-4E28-8C0C-522574ACDC8A} - C:\WINDOWS\System32\msacrohlp.dll
O3 - Toolbar: RX Toolbar - {25D8BACF-3DE2-4B48-AE22-D659B8D835B0} - C:\Programme\RXToolBar\RXToolBar.dll
O4 - HKLM\..\Run: [etn] C:\WINDOWS\System32\etn.exe
O4 - HKLM\..\Run: [8C049B56] C:\3.exe
O4 - HKLM\..\Run: [efwfycjbr] C:\WINDOWS\System32\lypnks.exe
O4 - HKLM\..\Run: [Windows Service] C:\WINDOWS\System32\r.exe
O4 - HKLM\..\Run: [Service Host] C:\WINDOWS\System32\Services\{A1105B93-C61E-4420-B2D6-08D7B2290D1F}\SVCHOST.EXE
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [Disk Keeper] C:\WINDOWS\System32\Services\{A1105B93-C61E-4420-B2D6-08D7B2290D1F}\SECURITY.EXE
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKLM\..\RunOnce: [d2cyk.exe] C:\WINDOWS\System32\d2cyk.exe /k
O4 - HKCU\..\Run: [iasrecst] C:\WINDOWS\System32\iasrecst.exe
O4 - HKCU\..\Run: [8C049B56] C:\3.exe
O4 - HKCU\..\Run: [Windows Service] C:\WINDOWS\System32\r.exe
O4 - HKCU\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\RunOnce: [d2cyk.exe] C:\WINDOWS\System32\d2cyk.exe /k
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O8 - Extra context menu item: &Search - http://ky.bar.need2find.com/KY/menusearch.html?p=KY
O8 - Extra context menu item: Shorten URL - http://www.cjb.net/menuext.html
O9 - Extra button: MP3 - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\euro-libremp3-de\local.html (file missing)
O15 - Trusted Zone: http://*.baby4teen.com
O15 - Trusted Zone: *.morwillsearch.com
O15 - Trusted Zone: http://*.overpro.com
O16 - DPF: {10000000-1000-0000-1000-000000000000} - mhtml:file://C:\ARCHIVE.MHT!http://64.124.210.159//alla/server.exe
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game12.zylomgames.com/activex/zylomgamesplayer.cab
O16 - DPF: {D7BF3304-138B-4DD5-86EE-491BB6A2286C} - http://morwillsearch.com/mwsearch.cab
O21 - SSODL: systemp - {6714E001-C02C-4569-9DE1-3E0DCC5E0FC0} - systemp.dll (file missing)

PC neustarten

•KillBox
http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip
Anleitung: (bebildert)
http://virus-protect.org/killbox.html

•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINDOWS\System32\r.exe
C:\WINDOWS\System32\iasrecst.exe
C:\PROGRA~2\Altnet\DOWNLO~1\adm4005.exe
C:\WINDOWS\System32\systemp.dll
C:\WINDOWS\System32\Services\{254AE4EC-F309-4974-959A-4A34F26EFE4E}\SVCHOST.EXE
C:\WINDOWS\System32\Services\{A1105B93-C61E-4420-B2D6-08D7B2290D1F}\SVCHOST.EXE
C:\WINDOWS\System32\d2cyk.exe
C:\WINDOWS\System32\spoolsrv32.exe
C:\WINDOWS\System32\etn.exe
C:\WINDOWS\System32\msadocm32.dll
C:\WINDOWS\System32\nfreyl.dll
C:\WINDOWS\system32\d0rvu.dll
C:\Programme\INSTAFINK\instafink.dll
C:\Programme\INSTAFINK\InstaFinderK_inst.exe
C:\WINDOWS\System32\mxjq.dll
C:\WINDOWS\System32\kad.dll
C:\WINDOWS\System32\msacrohlp.dll
C:\WINDOWS\System32\lypnks.exe
C:\Programme\RXToolBar\RXToolBar.dll
C:\3.exe
c:\r.exe
C:\Programme\Gemeinsame Dateien\GMT\gtrawbm.fil
C:\Programme\Gemeinsame Dateien\GMT\EGGCEngine.dll
C:\Programme\Gemeinsame Dateien\GMT\egIEEngine.dll
C:\Programme\Gemeinsame Dateien\GMT\EGIEProcess.dll
C:\Programme\Gemeinsame Dateien\GMT\EGNSEngine.dll
C:\Programme\Gemeinsame Dateien\GMT\GatorRes.dll
C:\Programme\Gemeinsame Dateien\GMT\GatorStubSetup.exe
C:\Programme\Gemeinsame Dateien\GMT\GUninstaller.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe

C:\Programme\Gemeinsame Dateien\CMEII\CMEIIAPI.dll
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\Programme\Gemeinsame Dateien\CMEII\GAppMgr.dll
C:\Programme\Gemeinsame Dateien\CMEII\GController.dll
C:\Programme\Gemeinsame Dateien\CMEII\GDwldEng.dll
C:\Programme\Gemeinsame Dateien\CMEII\GIocl.dll
C:\Programme\Gemeinsame Dateien\CMEII\GIoclClient.dll
C:\Programme\Gemeinsame Dateien\CMEII\GMTProxy.dll
C:\Programme\Gemeinsame Dateien\CMEII\GObjs.dll
C:\Programme\Gemeinsame Dateien\CMEII\GStore.dll
C:\Programme\Gemeinsame Dateien\CMEII\GStoreServer.dll
C:\Programme\Gemeinsame Dateien\CMEII\Gtools.dll
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe

neustarten

CCleaner--> loesche alle *temp-Datein
http://virus-protect.org/temp.html




Antivirus (free)
http://virus-protect.org/antivirenfree.html
Nach dem Installationsscan (in Ruhe abwarten und alles Bestaetigen waehrend der Installation:
Optionen--> Konfiguration-->Heuristik-->win32 Datei-heuristik--> aktivieren--> auf Mittel stellen

[X] Speicher
[X] Bootsektor Suchlaufwerke
[ ] Unbekannte Bootsektoren melden
[X] Alle Dateien
[ ] Programmdateien

gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

mache einen Komplettscan mit dem Antivirus und poste mir dann das log vom San (Report)

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

---------------------------------------------------------------------------
silentrunners
http://www.silentrunners.org/sr_download.html
gehe auf:
Zitat:
Click here to download a zip file.
hier die Erklaerung:
http://www.silentrunners.org/sr_scriptuse.html
klicke: output file is in text format. --> Doppelklick und es oeffnet sich der Editor-->
und poste alles, was angezeigt wird.

arbeite das ab und poste alles:
http://virus-protect.org/escan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: