ungewollte Icons auf dem Desktop

#0
10.07.2005, 16:34
...neu hier

Beiträge: 4
#1 Hallo, bei mir auch das Problem von ungewünschten Sex, Casino, etc. Links, sowie der Internetexplorer, der sich mit Sexseiten einfach so öffnet. Hier mein Hijack Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 15:59:08, on 10.07.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\QuickTime\qttask.exe
C:\program files\180search assistant\saap.exe
C:\Programme\Crazy Browser\Crazy Browser.exe
C:\Programme\WinRAR\WinRAR.exe
C:\hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://lookfor.cc/sp.php?pin=28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://lookfor.cc/sp.php?pin=28129
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.newgenlook.info/ad/ad0277/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://lookfor.cc?pin=28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://lookfor.cc/sp.php?pin=28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://lookfor.cc/sp.php?pin=28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://lookfor.cc/sp.php?pin=28129
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://lookfor.cc?pin=28129
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\System32\pmxinit.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [saap] c:\program files\180search assistant\saap.exe
O4 - HKLM\..\Run: [urax] C:\WINDOWS\urax.exe
O4 - HKCU\..\RunOnce: [ICQ] C:\Programme\ICQ\ICQ.exe -trayboot
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O16 - DPF: {00000000-7777-0704-0B53-2C8830E9FAEC} - http://gn.one2bill.de/soft/ieloader.cab
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://dl.ad-ware.cc/FVBtHUjAy44qd730v79M.chm::/on-line.exe
O16 - DPF: {27FA5271-12D2-43E3-9424-365A43236EE7} (PIXACO upload plugin) - http://www.pixaco.de/static/download/iedropupload.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab
O16 - DPF: {88D758A3-D33B-45FD-91E3-67749B4057FA} (Sinstaller Class) - http://dm.screensavers.com/dm/installers/si/1/sinstaller.cab
O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} (ClientInstaller Class) - http://www.180searchassistant.com/180saax.cab
O16 - DPF: {D67AC55A-B750-41A4-BEE6-020E017A7996} - http://www.popfile.de/myplaylist/pc/MY-PLAYLIST-WEBINSTALLER_loader.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{7918F5F7-486B-45B6-9730-8239742F1EE6}: NameServer = 194.97.173.124 194.97.173.125
O17 - HKLM\System\CS2\Services\Tcpip\..\{7918F5F7-486B-45B6-9730-8239742F1EE6}: NameServer = 194.97.173.124 194.97.173.125
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

Hab auch schon alle Einträge mit R1 und R0 sowie C:\program files\180search assistant\saap.exe gefixt/entfernt, aber beim nächsten Neustart war wieder alles da. Kann mir jemand helfen?
Seitenanfang Seitenende
10.07.2005, 18:29
...neu hier

Beiträge: 7
#2 Hi,
ich kenne mich zwar mit solchen Logfiles nicht so super aus und weiß ja auch nicht, welche Version von ICQ du hast.

Zitat

O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\ICQNet.exe
Aber ich glaube, ich habe noch nie im ICQ Ordner eine Datei ICQNet.exe gesehen. Außerdem steht danach ja der Standard-Eintrag von ICQ:

Zitat

O4 - HKCU\..\RunOnce: [ICQ] C:\Programme\ICQ\ICQ.exe -trayboot
Mir kommt die ICQNet.exe jedenfalls sehr verdächtig vor. Lass mal Spybot Search & Destroy über deinen PC laufen. Ich würde auch mal AD Aware ausprobieren.
Spybot S&D: http://hestiasn.cachefly.net/spybotsd14.exe
AD Aware SE Personal 1.06: http://www.download.com/3000-2144-10045910.html?part=69274&subj=dlpage
Language Pack für AD Aware: http://download.lavasoft.de.edgesuite.net/public/pllangs.exe

Gruß
Gouda
Dieser Beitrag wurde am 10.07.2005 um 18:33 Uhr von Gouda editiert.
Seitenanfang Seitenende
10.07.2005, 19:12
Member

Beiträge: 1132
#3 Hallo gOrg,

Lade Dir folgende Programme herunter:
Autoruns
http://www.sysinternals.com/Utilities/Autoruns.html

KillBox
http://www.bleepingcomputer.com/files/killbox.php

Öffne Autoruns (bei Win XP Du musst dabei als Admin angemeldet sein) => View => alle Häkchen nacheinander setzen => F5 drücken. Dann mit File => "Save as..." das Log als Textfile abspeichern, die Datei mit dem Texteditor (z.B. Notepad) öffnen, alles kopieren und hierher posten.


Lösche in der Registry die Einträge (sofern vorhanden)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lgbibsn
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msb
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\tov
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sais
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\saie
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\180ax
Rechner neu starten


Fixe mit HJT
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://lookfor.cc/sp.php?pin=28129
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://lookfor.cc/sp.php?pin=28129
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.newgenlook.info/ad/ad0277/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://lookfor.cc?pin=28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://lookfor.cc/sp.php?pin=28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://lookfor.cc/sp.php?pin=28129
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://lookfor.cc/sp.php?pin=28129
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://lookfor.cc?pin=28129
R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [saap] c:\program files\180search assistant\saap.exe
O4 - HKLM\..\Run: [urax] C:\WINDOWS\urax.exe
O16 - DPF: {00000000-7777-0704-0B53-2C8830E9FAEC} - http://gn.one2bill.de/soft/ieloader.cab
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://dl.ad-ware.cc/FVBtHUjAy44qd730v79M.chm::/on-line.exe
O16 - DPF: {27FA5271-12D2-43E3-9424-365A43236EE7} (PIXACO upload plugin) - http://www.pixaco.de/static/download/iedropupload.cab
O16 - DPF: {88D758A3-D33B-45FD-91E3-67749B4057FA} (Sinstaller Class) - http://dm.screensavers.com/dm/installers/si/1/sinstaller.cab
O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} (ClientInstaller Class) - http://www.180searchassistant.com/180saax.cab
O16 - DPF: {D67AC55A-B750-41A4-BEE6-020E017A7996} - http://www.popfile.de/myplaylist/pc/MY-PLAYLIST-WEBINSTALLER_loader.exe

(ICQNet.exe ist ein legitimes Programm, muss aber nicht im Autostart laufen. Wenn Du willst, kannst Du auch
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\ICQNet.exe
fixen)

Rechner neu starten

Prüfe die Datei C:\WINDOWS\urax.exe bei Jotti's Malware Scan
http://virusscan.jotti.org/
Poste das Ergebnis.

Suche mit dem WinExplorer folgende Dateien auf dem Laufwerk C: (Extras => Ordneroptionen => Ansicht. Dort dann das Häkchen bei "Geschützte und Systemddateien ausblenden" entfernen und weiter unten "Alle Dateien anzeigen" markieren)
180.dll
witircl.dll
Die Dateien befinden sich wahrscheinlich mehrfach an verschiedenen Stellen. Alle Funde mit kompletter Pfadangabe posten.

Poste ein aktuelles HJT Log

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Dieser Beitrag wurde am 11.07.2005 um 14:50 Uhr von Heron editiert.
Seitenanfang Seitenende
11.07.2005, 13:42
...neu hier

Themenstarter

Beiträge: 4
#4 Hallo, erstmal danke für Eure Hilfe!

Hier die Logfile von Autoruns:

HKCU\SOFTWARE\Policies\Microsoft\Windows\System\Scripts\Startup
HKLM\SOFTWARE\Policies\Microsoft\Windows\System\Scripts\Startup
HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logon
HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Logon
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
+ AVGCtrl AntiVir Guard/XP Control Program (Not verified) H+BEDV Datentechnik GmbH c:\programme\avpersonal\avgnt.exe
+ Mirabilis ICQ c:\programme\icq\icqnet.exe
+ PMXInit Card enumeration module (Not verified) Imagination Technologies Ltd. c:\windows\system32\pmxinit.exe
+ SmcService Sygate Agent Firewall Sygate Technologies, Inc.
c:\programme\sygate\spf\smc.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
C:\Dokumente und Einstellungen\Fam. Lindlacher\Startmenü\Programme\Autostart
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
+ ICQ ICQ (Not verified) ICQ Inc. c:\programme\icq\icq.exe
HKLM\System\CurrentControlSet\Services
+ AntiVirService Permanenter Virenschutz mit der H+BEDV AntiVir Suchengine. (Not verified) H+BEDV Datentechnik GmbH c:\programme\avpersonal\avguard.exe
+ AVWUpSrv Hilfsdienst fuer AntiVir Personal Edition. (Not verified) H+BEDV Datentechnik GmbH, Germany c:\programme\avpersonal\avwupsrv.exe
+ SmcService Sygate Agent Firewall Sygate Technologies, Inc. c:\programme\sygate\spf\smc.exe
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
HKCU\SOFTWARE\Microsoft\Active Setup\Installed Components
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
+ Interlinking Memory Support c:\windows\system32\param32.dll
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
+ AlcoholShellEx AXShlEx.dll (Not verified) Alcohol Soft Development Team c:\programme\alcohol soft\alcohol 120\axshlex.dll
+ CPL-Erweiterung für Anzeigeverschiebung File not found: deskpan.dll
+ ICQ Shell Extension ICQ Shell Extension (Not verified) ICQ c:\programme\icq\icqshext.dll
+ Web Folders Microsoft Web Folders (Not verified) Microsoft Corporation c:\programme\gemeinsame dateien\microsoft shared\web folders\msonsext.dll
+ WinRAR shell extension c:\programme\winrar\rarext.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
+ AcroIEHlprObj Class Adobe Acrobat IE Helper Version 6.0 for ActivieX Adobe Systems, Incorporated c:\programme\adobe\acrobat 6.0\reader\activex\acroiehelper.dll
HKLM\Software\Microsoft\Internet Explorer\Toolbar
HKLM\Software\Microsoft\Internet Explorer\Extensions
+ ICQ ICQ (Not verified) ICQ Inc. c:\programme\icq\icq.exe
Task Scheduler
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9
die von Heron geposteten registry-Einträge hab ich nicht gefunden, auch nicht mit regedit (was ja derselbe Vorgang wäre, oder?)

aktuelles Hijack Log:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\ICQ\ICQ.exe
C:\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
http://www.newgenlook.info/ad/ad0277/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\System32\pmxinit.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKCU\..\RunOnce: [ICQ] C:\Programme\ICQ\ICQ.exe -trayboot
O8 - Extra context menu item: E&xport to Microsoft Excel -
res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} -
C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} -
C:\Programme\ICQ\ICQ.exe
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) -
http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab
O17 -
HKLM\System\CCS\Services\Tcpip\..\{7918F5F7-486B-45B6-9730-8239742F1EE6}:
NameServer = 194.97.173.125 194.97.173.124
O17 -
HKLM\System\CS2\Services\Tcpip\..\{7918F5F7-486B-45B6-9730-8239742F1EE6}:
NameServer = 194.97.173.125 194.97.173.124
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH -
C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany
- C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. -
C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies,
Inc. - C:\Programme\Sygate\SPF\smc.exe


Virus-Scan-Ergebnis:

AntiVir
Found DR/180Solutions
ArcaVir
Found Adware.Ncase180
Avast
Found Win32:NcaseSpy AVG
Antivirus
Found nothing
BitDefender
Found Adware.180Solutions.5.11
ClamAV
Found Trojan.Spy.Ncase-1
Dr.Web
Found not a virus Adware.nCase
F-Prot Antivirus
Found security risk or a "backdoor" program
Fortinet
Found Adware/180Solutions
Kaspersky Anti-Virus
Found not-a-virus:AdWare.180Solutions
NOD32
Found Win32/Adware.180Solutions application
Norman Virus Control
Found W32/Ncase.B
UNA
Found Adware.180Solutions
VBA32
Found Adware.180Solutions

Die Suche nach den Beiden Dateien blieb erfolglos :/

Killbox hab ich noch nicht angewendet, hab mich nur strikt an Anweisung gehalten ;)
Seitenanfang Seitenende
11.07.2005, 14:43
Member

Beiträge: 1132
#5 Das HJT Log sieht soweit gut aus! Nur, das nächste Mal im Editor den Zeilenumbruch ausstellen (Format => Zeilenumbruch)

Start => Ausführen => regedit eingeben => Reg-Editor öffnet sich. Dann zu den oben angegebenen Einträgen manövrieren und sie löschen.

Öffne die Killbox => Delete on Reboot => und kopiere nacheinander die nachfolgenden Dateien mit kompletter Pfadangabe hinein, drücke das rote Kreuz und wenn angefragt wird, ob der Rechner neu gestartet werden soll, dann antworte mit "no" usf. bis zur letzten Datei, dann mit "yes" antworten
c:\program files\180search assistant\saap.exe
C:\WINDOWS\urax.exe

Lösche die Ordner
C:\Program Files\180search assistant
C:\Program Files\180solutions

So, und jetzt zur "Endreinigung"! Arbeite Punkt 1 - 4 von http://board.protecus.de/t9373.htm ab und poste das Ergebnis von eScan.

Ach ja, fast hätte ich es vergessen.
Deaktiviere die Systemwiederherstellung (Arbeitsplatz => Rechtsklick => Eigenschaften) => Rechner neu starten und dann die Systemwiederherstellung wieder aktivieren.

Gruß
Heron

edit:
Was ist den damit geschehen? C:\Programme\Crazy Browser\Crazy Browser.exe?
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Dieser Beitrag wurde am 11.07.2005 um 16:06 Uhr von Heron editiert.
Seitenanfang Seitenende
16.07.2005, 15:56
...neu hier

Themenstarter

Beiträge: 4
#6 Hallo,

sorry hat jetzt etwas länger gedauert, war die Woche nicht daheim. Also:

c:\program files\180search assistant\saap.exe
C:\WINDOWS\urax.exe
C:\Program Files\180search assistant
C:\Program Files\180solutions
ist alles gelöscht.

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =http://www.newgenlook.info/ad/ad0277/
bringt mich allerdings immernoch auf eine Sex-Startseite und nach jedem fixen wieder da, die Desktop-Icons sowie ein Tray-Icon sind auch noch da.

Die oben angegebenen registry-Einträge kann ich nicht finden, stattdessen aber
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\pmxinit
mit dem ich auch nix anfangen kann.

C:\Programme\Crazy Browser\Crazy Browser.exe ist mein Standard-Browser, der war vorher nur nicht offen.

Die Suche nach
180.dll
witircl.dll
blieb erfolglos.

escan und ad-aware laufen grad durch.
Seitenanfang Seitenende
16.07.2005, 23:22
Member

Beiträge: 1132
#7 Poste auch noch mal ein aktuelles HJT Log

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Seitenanfang Seitenende
18.07.2005, 10:29
...neu hier

Themenstarter

Beiträge: 4
#8 Hallo,

hab alles durchlaufen lassen und es wurden einfach _zu_ viele Spy/ Adware-Sachen/Viren gefunden, mir wird das alles zu unkontrollierbar. Werd mein System neu aufsetzen und das nächste Mal Opera statt IE verwenden. Schau mich auch noch nach weiteren Schutzmethoden um.
Meine Resignation soll Eure (Deine ;)) Hilfe aber nicht abwerten, auf jeden Fall vielen vielen Dank für die ausführlichen Posts!

Viele Grüße,
g0rg
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: