spybot und immer wieder kehrende problem

#0
05.07.2005, 19:49
Member

Beiträge: 66
#1 ich habe glaube ich folgendes problem (ich hoffe meine informationen langen die ich schreibe, sonst bitte ich einfach, mich zu verbessern, was noch fehlt)

wenn ich spybot bei mir durchlaufen lasse (ca. einmal die woche, manchmal auch zweimal - updates sind immer gemacht), bekomme ich leider jedes mal aufs neue folgende "probleme" angezeigt, bei denen ich aber leider nicht weiß, ob es normal ist, das die halt öfters drin stehen oder ich vielleicht noch was anderes machen sollte, damit das was es ist (ich habe keine ahnung) nun endlich loswerde.... die probleme lauten wie folgt:

- DoubleClick
- Avenue A. Inc.
- MediaPlex

was ist das und wie werde ich es dauerhaft los? sollte ich es falsch einsortiert haben vom thema hier in diesem forum, entschuldigt bitte....und schonmal vielen dank für eure hilfe
__________
*cremo*
Seitenanfang Seitenende
05.07.2005, 20:08
Member

Beiträge: 1132
#2 Hallo Cremosa,

hast Du die gefundenen Probleme mit Spybot S&D wirklich gefixt?
Du musst die gefundenen Einträge markieren (Häkchen in die Markierungsfelder links neben dem Problemnamen setzen) und dann "markierte Probleme beheben" drücken. Anschließend noch mal scannen, um zu sehen, ob die Probleme behoben worden sind.

Sollte das nicht funktionieren, dann versuche es im abgesicherten Modus (bei Win- XP F8 drücken beim Booten des Rechners) und scanne dort noch einmal.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Seitenanfang Seitenende
05.07.2005, 20:13
Member

Themenstarter

Beiträge: 66
#3 doch gefixt habe ich diese, aber die kommen nach ein paar tagen wieder ist das denn normal? vor allem was ist das überhaupt?
__________
*cremo*
Seitenanfang Seitenende
05.07.2005, 20:18
Member

Beiträge: 1132
#4 Naja, Ad- und Spyware halt. Hast Du Dir irgendwie eingefangen.
Sind die Probleme denn nach dem Fixen beseitigt und kommen erst einige Zeit später wieder, oder kann Spybot sie nicht löschen?

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Seitenanfang Seitenende
05.07.2005, 21:01
Member

Themenstarter

Beiträge: 66
#5 also beseitigt sind die dann schon, wenn ich spybot erneut durchlaufen lasse, habe ich keine fehlermeldungen mehr, erst dann wieder ein paar tage später
__________
*cremo*
Seitenanfang Seitenende
05.07.2005, 21:23
Member

Beiträge: 1132
#6 Dann fängst Du offenbar durch die Ausführung eines bestimmten Programmes oder den Besuch einer Webseite diese Malware immer wieder ein.

HijackThis 1.99.1
http://www.downloads.subratam.org/hijackthis.zip
http://www.spywareinfo.com/~merijn/files/hijackthis.zip
Entpacke das Programm in einem eigenen Ordner.
Starte das Programm mit der HijackThis.exe-Datei => Scan drücken => Save Log drücken => der Texteditor mit dem Log öffnet sich. Den gesamten Text abkopieren und hierher posten.

eScan Erkennungstool
http://www.mwti.net/antivirus/free_utilities.asp

Erstelle einen Ordner C:\bases_x
Entpacke die herunter geladene Datei mwav.exe in diesen Ordner (wenn Du mwav.exe doppelklickst, dann werden die Dateien automatisch in das User-Temp Verzeichnis entpackt!)
Update das Programm durch Doppelklicken auf kavupd.exe

Starte den Rechner im abgesicherten Modus (F8 drücken beim Booten bei Win-XP)
http://www.tu-berlin.de/www/software/virus/savemode.shtml

eScan mit "mwavscan.com" starten
Überall die Häkchen setzen bei: All Files, Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives => und dann "Scan" klicken.

Nach abgeschlossenem Scan in den Normalmodus zurückgehen, das Log öffnen und (Bearbeiten => Suchen) nach Zeilen mit "infected" (ohne die Anführungszeichen) suchen. Jede einzelne Zeile, die Du findest, abkopieren und posten. Danach alle Zeilen im Log mit "tagged" suchen und auch hierher posten.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Seitenanfang Seitenende
05.07.2005, 21:31
Member

Themenstarter

Beiträge: 66
#7 hier der logfile....wäre nett um das weiter zu machen was du mir geschrieben hast, ich weiß nicht was booten ist?

Logfile of HijackThis v1.99.1
Scan saved at 21:34:02, on 05.07.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\MANDYU~1\LOKALE~1\Temp\Rar$EX00.594\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ysyuc.dll/sp.html#60392
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\ysyuc.dll/sp.html#60392
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ysyuc.dll/sp.html#60392
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ysyuc.dll/sp.html#60392
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ysyuc.dll/sp.html#60392
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: (no name) - {BB1F6A0B-2603-715E-4A5E-41C927C21F83} - (no file)
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.microsoft.com/
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/26967d424b68a9bb1a23/netzip/RdxIE601_de.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{031CF1C5-CD1B-469D-8DC3-C6AEEC4DF29B}: NameServer = 217.237.149.161 217.237.151.225
O17 - HKLM\System\CS1\Services\Tcpip\..\{031CF1C5-CD1B-469D-8DC3-C6AEEC4DF29B}: NameServer = 217.237.149.161 217.237.151.225
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
__________
*cremo*
Seitenanfang Seitenende
05.07.2005, 22:32
Member

Beiträge: 1132
#8 Booten heißt neustarten!
Aber lass' das mit eScan erst mal. Ich sehe am HJT Log schon was los ist.

Lade Dir folgende Progs herunter:

About Buster
http://www.spychecker.com/program/aboutbuster.html
Entpacke es auf dem Desktop (noch nicht ausführen)

CCleaner
http://www.ccleaner.com/ccdownload.asp


Scanne mit HijackThis und fixe folgende Einträge (Häkchen setzen und "fix checked" drücken)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ysyuc.dll/sp.html#60392
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\ysyuc.dll/sp.html#60392
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ysyuc.dll/sp.html#60392
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ysyuc.dll/sp.html#60392
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ysyuc.dll/sp.html#60392
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: (no name) - {BB1F6A0B-2603-715E-4A5E-41C927C21F83} - (no file)
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab

Rechner neu starten

Gehe in den abgesicherten Modus (Rechner neu starten und dabei F8 drücken bis das Auswahlmenü kommt)

Scanne Dein System mit (upgedatetem Antivir)

Scanne mit AboutBuster

Rechner neu starten

Öffne CCleaner
Benutze die Standardeinstellungen wie sie sind => Analysieren => Starte CCleaner. Löscht die Surfspuren, Temp-Dateien etc.

Stelle eine neue IE-Startseite ein und poste ein aktuelles HJT-Log

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Seitenanfang Seitenende
06.07.2005, 18:54
Member

Themenstarter

Beiträge: 66
#9 was meinst du mit ie-startseite?

im abgesicherten modus sieht das bei mir ganz merkwürdig aus auf dem desktop, ich habe angst das ich anschließend den pc nicht iweder zum laufen bekomme, bevor ich das nun endgültig einschalte, wie bekomme ich das ganze wieder ausgestellt und vor allem, was muss ich einstellen wenn ich f8 drücke? einfach im abgesicherten modus oder mit netzwerkanbindung oder ohne?
__________
*cremo*
Seitenanfang Seitenende
06.07.2005, 19:16
Member

Beiträge: 1132
#10 IE = Internetexplorer
Die Startseite ist diejenige Seite, die beim öffnen des Explorers standardmäßig angezeigt wird, z.B. http://www.google.de
Rechtsklicken auf das IE-Symbol auf Deinem Desktop => Eigenschaften und dann auf den Reiter "Allgemein" gehen. Da findest Du ganz oben die Einstellungsmöglichkeit zur Startseite.

Das mit dem veränderten Aussehen im abgesicherten Modus ist schon ok. Windows lädt in diesem Modus nur die absolut notwendigen Treiber. Die schönen Desktop-Hintergrundbilder etc. sind dann nicht zu sehen. Aber, nach dem Neustart in den Normalmodus ist alles wieder wie gewohnt.

Aus dem abgesicherten Modus kommst Du ganz einfach wieder, indem Du den Rechner über den Start-Knopf in der Taskleiste neu startest.

Starte einfach, wie in der PM beschrieben, den Rechner aus dem Startmenü in den abgesicherten Modus, nachdem Du beim Hochfahren mehrfach F8 gedrückt hast. Du musst dann nur noch einmal mit "OK" bestätigen und Du bist im abgesicherten Modus.
Netzverbindung brauchst Du dann nicht. Mache alle Downloads vorher im Normalmodus.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Seitenanfang Seitenende
06.07.2005, 19:35
Member

Themenstarter

Beiträge: 66
#11 Logfile of HijackThis v1.99.1
Scan saved at 19:34:23, on 06.07.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\MANDYU~1\LOKALE~1\Temp\Rar$EX00.859\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ysyuc.dll/sp.html#60392
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\ysyuc.dll/sp.html#60392
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ysyuc.dll/sp.html#60392
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ysyuc.dll/sp.html#60392
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ysyuc.dll/sp.html#60392
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: (no name) - {BB1F6A0B-2603-715E-4A5E-41C927C21F83} - (no file)
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.microsoft.com/
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/26967d424b68a9bb1a23/netzip/RdxIE601_de.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{031CF1C5-CD1B-469D-8DC3-C6AEEC4DF29B}: NameServer = 217.237.149.161 217.237.151.225
O17 - HKLM\System\CS1\Services\Tcpip\..\{031CF1C5-CD1B-469D-8DC3-C6AEEC4DF29B}: NameServer = 217.237.149.161 217.237.151.225
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
__________
*cremo*
Seitenanfang Seitenende
06.07.2005, 19:40
Member

Beiträge: 1132
#12 Da ist ja überhaupt nichts passiert! Du hast weder die HJT-Einträge gefixt, noch die Tools angewandt. Du musst das machen, was ich Dir gepostet habe, und zwar der Reihe nach. Ansonsten ist es nicht möglich, Dir weiterzuhelfen.

Zitat

Lade Dir folgende Progs herunter:

About Buster
http://www.spychecker.com/program/aboutbuster.html
Entpacke es auf dem Desktop (noch nicht ausführen)

CCleaner
http://www.ccleaner.com/ccdownload.asp


Scanne mit HijackThis und fixe folgende Einträge (Häkchen setzen und "fix checked" drücken)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ysyuc.dll/sp.html#60392
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\ysyuc.dll/sp.html#60392
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ysyuc.dll/sp.html#60392
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ysyuc.dll/sp.html#60392
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ysyuc.dll/sp.html#60392
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: (no name) - {BB1F6A0B-2603-715E-4A5E-41C927C21F83} - (no file)
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab

Rechner neu starten

Gehe in den abgesicherten Modus (Rechner neu starten und dabei F8 drücken bis das Auswahlmenü kommt)

Scanne Dein System mit (upgedatetem Antivir)

Scanne mit AboutBuster

Rechner neu starten

Öffne CCleaner
Benutze die Standardeinstellungen wie sie sind => Analysieren => Starte CCleaner. Löscht die Surfspuren, Temp-Dateien etc.

Stelle eine neue IE-Startseite ein und poste ein aktuelles HJT-Log
Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Seitenanfang Seitenende
06.07.2005, 19:42
Member

Themenstarter

Beiträge: 66
#13 doch ich habe die sachen bereits gestern gefixt, saß dabei noch bis elf am pc und habe das gemacht, aber ich probiere es einfach nochmal
__________
*cremo*
Seitenanfang Seitenende
06.07.2005, 19:51
Member

Beiträge: 1132
#14 Du kannst noch ein weiteres tun.
Registry Search Tool
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip

regsrch.vbs doppelklicken und kopiere in das Fenster: 11Fßä.#·ºÄÖ`I
(wenn Antivir meckert von wegen Spyscript, einfach ignorieren)
Poste das Ergebnis.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Dieser Beitrag wurde am 06.07.2005 um 19:54 Uhr von Heron editiert.
Seitenanfang Seitenende
06.07.2005, 20:26
Member

Themenstarter

Beiträge: 66
#15 so ich habe das nun nochmal gemacht und hab da wohl doch nen fehler gemacht keine ahnung, am besten schreibe ich was ich nun gemacht habe.

rechner neu gestartet im abgesicherten modus, anschließend mit dem upgedateten antivir durchlaufen lassen und die zip datei entpackt von about bouster, kein problem bis ich folgende fehlermeldung bekommen habe :

run-time error '339': component 'comctl32.ocx' ore one oft its dependencies
not correctly registered: a file is missing invalid

hab diese mit ok bestätigt und im abgesicherten modus dann weitergemacht mit dem cleaner und da muss vorher wohl was falsch gelaufen sein, habe das durchlaufen lassen (auf analysieren), hat auch ne ganze zeit gedauert und dann kamen ne ganze menge datein die ich dann löschen musste bzw. "cleanen", zum schluß bekam ich die meldung das ca. 938mb entfernt wurden, habs zur sicherheit nochmals gemacht und keine angaben mehr erhalten, anschließend pc neu gestartet, werde jetzt eben die ie-seite machen und dann das logfile posten, muss aber nicht die datei dafür neu laden oder?


so hier mal der neue logfile, sieht auf jeden fall schonmal anders aus

Logfile of HijackThis v1.99.1
Scan saved at 20:31:28, on 06.07.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\MANDYU~1\LOKALE~1\Temp\Rar$EX00.250\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.microsoft.com/
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/26967d424b68a9bb1a23/netzip/RdxIE601_de.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{031CF1C5-CD1B-469D-8DC3-C6AEEC4DF29B}: NameServer = 217.237.149.161 217.237.151.225
O17 - HKLM\System\CS1\Services\Tcpip\..\{031CF1C5-CD1B-469D-8DC3-C6AEEC4DF29B}: NameServer = 217.237.149.161 217.237.151.225
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
__________
*cremo*
Dieser Beitrag wurde am 06.07.2005 um 20:30 Uhr von Cremosa editiert.
Seitenanfang Seitenende