Home » Spyware & Browser Hijacker Support Forum » Toolbar bei Win 98 (IE, Papierkorb, Explorer) läßt sich nicht entfernen! » Themenansicht

Toolbar bei Win 98 (IE, Papierkorb, Explorer) läßt sich nicht entfernen!

Thema ist geschlossen!
Thema ist geschlossen!
#0
03.08.2005, 10:47
Ohli
Member

Beiträge: 15
#1 Hallo zusammen!

Bin neu hier und hoffe auf eure Hilfe.

Ich habe mir eine "Toolbar" eingefangen, die ich nicht brauche. Adaware, Norton Anti-Virus helfen leider nicht mehr.
Durch Hijackthis (Tipp aus dem Forum) habe ich folgende Auswertung bekommen:

Logfile of HijackThis v1.99.1
Scan saved at 10:45:09, on 03.08.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.51 SP2 (5.51.4807.2300)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\ATI2EVXX.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCSETMGR.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
C:\PROGRAMME\CREATIVE\SBLIVE\AUDIOHQ\AHQTB.EXE
C:\PROGRAMME\MICROSOFT HARDWARE\MOUSE\POINT32.EXE
C:\WINDOWS\SYSTEM\HPZTSB01.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\LVCOMS.EXE
C:\PROGRAMME\WINAMP\WINAMPA.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE
C:\WINDOWS\98SAFEREMOVE.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\PROGRAMME\SONY CORPORATION\IMAGE TRANSFER\SONYTRAY.EXE
C:\PROGRAMME\WINDOWS MEDIA COMPONENTS\ENCODER\WMENCAGT.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\WEBDE\SMARTSURFER3.0\SMARTSURFER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\SYSTEM\HPZSTATX.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\OUTLOOK EXPRESS\MSIMN.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\OPSCAN.EXE
D:\CD PROGRAMME\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = www.freshsperm.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.searchxp.com/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.searchxp.com/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.searchxp.com/search.php?qq=%s
R3 - URLSearchHook: (no name) - {EB50EB57-2660-AA71-17E7-BA26ECC96F67} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\SYSTEM\IPPNE.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\SYSTEM\IPPNE.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [AudioHQ] C:\Programme\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb01.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A
O4 - HKLM\..\Run: [LVComs] C:\WINDOWS\SYSTEM\LVComS.exe
O4 - HKLM\..\Run: [WinampAgent] C:\PROGRAMME\WINAMP\winampa.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SetIcon] C:\Program Files\SMSC\Seticon.exe
O4 - HKLM\..\Run: [98SafeRemove] C:\Windows\98SafeRemove.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [HCLEAN32.EXE] C:\WINDOWS\SYSTEM\HCLEAN32.EXE
O4 - HKLM\..\Run: [dmrms.exe] C:\WINDOWS\SYSTEM\dmrms.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [ATIPOLL] ati2evxx.exe
O4 - HKLM\..\RunServices: [ATISmart] C:\WINDOWS\SYSTEM\ati2s9ag.exe
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe"
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
O4 - Startup: Image Transfer.lnk = C:\Programme\Sony Corporation\Image Transfer\SonyTray.exe
O4 - Startup: Encoder Agent.lnk = C:\Programme\Windows Media Components\Encoder\WMENCAGT.EXE
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O12 - Plugin for .mp3: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin4.dll
O12 - Plugin for .mpga: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin4.dll
O15 - Trusted Zone: *.isprime.com
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 195.95.218.1,85.255.112.7
O18 - Protocol: cdefs - {B5F329B4-2BBD-48F5-ADAF-9EAF2AFE37B3} - (no file)


Wie bekomme ich diese Tollbar bloß wieder weg?

Danke schon jetzt für die Hilfe!

Grüße
Ohli
Seitenanfang Seitenende
03.08.2005, 12:10
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo@Ohli

ja, das ist wirklich sehr unappetietlich, was man da zu sehen bekommt.
Aber wir werden das saeubern ;)


#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = www.freshsperm.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.searchxp.com/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.searchxp.com/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.searchxp.com/search.php?qq=%s
R3 - URLSearchHook: (no name) - {EB50EB57-2660-AA71-17E7-BA26ECC96F67} - (no file)
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\SYSTEM\IPPNE.DLL
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\SYSTEM\IPPNE.DLL
O4 - HKLM\..\Run: [98SafeRemove] C:\Windows\98SafeRemove.exe
O4 - HKLM\..\Run: [HCLEAN32.EXE] C:\WINDOWS\SYSTEM\HCLEAN32.EXE
O4 - HKLM\..\Run: [dmrms.exe] C:\WINDOWS\SYSTEM\dmrms.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O15 - Trusted Zone: *.isprime.com
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 195.95.218.1,85.255.112.7
O18 - Protocol: cdefs - {B5F329B4-2BBD-48F5-ADAF-9EAF2AFE37B3} - (no file)

PC neustarten

ClaerProg..lade die neuste Version
http://virus-protect.org/temp.html
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Verlauf
- Temporäre Internetfiles (Cache)
- URLs
- index.dat

•KillBox
http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip
Anleitung: (bebildert)
http://virus-protect.org/killbox.html

•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"


C:\WINDOWS\SYSTEM\IPPNE.DLL
C:\WINDOWS\SYSTEM\dmrms.exe
C:\WINDOWS\SYSTEM\HCLEAN32.EXE

PC neustarten

Ewido-->scannen-->poste mir den Report vom Sca
http://virus-protect.org/antivirenfree.html

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein


Onlinescan-->Panda-->poste alles, was angezeigt wird
http://virus-protect.org/onlinescan.html


----------
INFO (ist fuer mich)
O18 - Protocol: cdefs - {B5F329B4-2BBD-48F5-ADAF-9EAF2AFE37B3} - D:\monki.dll
O18 - Protocol: cdefs - {B5F329B4-2BBD-48F5-ADAF-9EAF2AFE37B3} - C:\Program
Files\Easy Computing\3D Modeltreinen\monki.dll
SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved

"hclean32.exe" = "C:\WINDOWS\system32\hclean32.exe" [null data]
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
03.08.2005, 16:01
Ohli
Member

Themenstarter

Beiträge: 15
#3 Hallo und vielen Dank für die schnelle Hilfe!

Die nervige Toolbar ist verschwunden! TOP!

2 Dinge noch:

1. Den Ewido Scan habe ich nicht ausgeführt, denn ich bin leider ein analoger Surfer und das Programm war doch recht groß, des weiterne hab ich WIN 98 und da steht WIN 2000 oder höher...

2. Beim IE unter Ansicht > Symbolleisten > ist leider immer noch alles grau hinterlegt (Anwahl nicht möglich) HILFE!

Hier der Panda-Scan (der eine Ewigkeit für Analogis dauert...):

Leider "abgestürzt"

Aber er hat was von 2 Viren und 4 Spyware-Programmen geschrieben!

> Mist, immer noch was gefunden...

> Gibt es vielleicht noch ein anderes Programm, am besten ein OFFLINE-Programm.


Und noch eine Frage:
Wie kann ich die Sicherheit weiter erhöhen? Ist mein IE auf dem neuesten Stand? (bin nicht so fit auf diesem Gebiet)

Danke für die geniale Hilfe!

Grüße
Ohli

PS: Was bedeuten eigentlich Dateien wie: file0008.chk ?
Dieser Beitrag wurde am 03.08.2005 um 16:58 Uhr von Ohli editiert.
Seitenanfang Seitenende
03.08.2005, 17:09
Gool
Member
Avatar Gool

Beiträge: 4730
#4

Zitat

PS: Was bedeuten eigentlich Dateien wie: file0008.chk ?
Das sind normalerweise Dateien, die Checkdisk erstellt hat, als es Fehler gefunden und repariert hat. Darin befinden sich teilweise noch die Daten der zerstörten und wiederhergestellten Dateien.

Die paar Minuten, um einen Virenscanner (hier Ewido) zu laden, solltest Du Dir schon nehmen. Du kannst auch wahlweise Deine Festplatte formatieren und Dein System neu aufsetzen. Dann ist es auf jeden Fall sauber.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
03.08.2005, 17:12
Gool
Member
Avatar Gool

Beiträge: 4730
#5 Nachtrag:

Zitat

MSIE: Internet Explorer v5.51 SP2 (5.51.4807.2300)
Dein Internet Explorer ist nicht mehr aktuell. Aktuell ist der IE 6 SP 2, allerdings weiß ich nicht, inwieweit man neuere IE-Versionen noch unter Windows 98 installieren kann, da Win98 ja nun schon seit längerem nicht mehr von Microsoft unterstützt wird (es gibt keine Patches, Updates mehr).

Denke mal über einen alternativen Browser wie Firefox nach. Der funktioniert auf jeden Fall unter Win98. http://www.firefox-browser.de
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
03.08.2005, 17:18
Ohli
Member

Themenstarter

Beiträge: 15
#6 Hi blueslayah!

Danke für Deine Hilfe!

Ich habe einen Virenscanner im Einsatz > Norton, der immer "up to date" ist.
Der hatte nichts gefunden... Abe rich laß den nochmal laufen und melde mich dann nochmal!

Kann ich die .chk Dateien bedenkenlos löschen?

Danke & Grüße
Ohli
Seitenanfang Seitenende
03.08.2005, 18:48
Gool
Member
Avatar Gool

Beiträge: 4730
#7 Norton ist nicht immer gut (obwohl ich auch jahrelang Norton hatte und niemals ein Problem mit Viren). Jeder installierte Virenscanner wird ab dem Zeitpunkt nutzlos, wo man sich Viren eingefangen hat und die das System beherrschen.

Die .chk-Datei kannst Du löschen. Du könntest nochmal vorher mit Notepad oder einem anderen Text-Editor nachschauen, ob da noch was wichtiges drinsteht (ich war manchmal schon ganz froh, dass ich nachgeschaut hatte), aber eigentlich ist das nur ne Datei, die von nun an auf der Festplatte rumgammeln würde.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
03.08.2005, 23:29
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 Ohli

wir gehen mal auf Nummer sicher:

Lade escan (aber alles ohne den abgesicherten Modus ausfuehren, da es den bei WIN 98 in dieser Form nicht gibt.
Das Tool wird dir berichten, dass du es "kaufen " sollst, klicke die Message weg ;)

http://virus-protect.org/escan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.08.2005, 23:36
Ohli
Member

Themenstarter

Beiträge: 15
#9 Hi Sabina!

So, hat etwas länger gedauert. Alleine der Scan lief 2 Stunden...

Und es wurde nichts gefunden :-)

Scheint also alles OK zu sein :-)

Nochmal Danke für die kompetenete & schnelle Hilfe!

Super nett hier!

Grüße
Ohli
Seitenanfang Seitenende
04.08.2005, 23:44
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 Hallo@Ohli

ich glaube immer noch nicht, dass ich alle Dateien "erwischt" habe und das Problem geloest ist.

wenn es dir nichts ausmacht-->

•Ad-aware SE Personal
http://virus-protect.org/antispywaretools.html
Laden--> Updaten-->Konfigurieren
http://virus-protect.org/adaware.html
#VOR jedem Scanvorgang das Programm Updaten!
waehrend des Scanvorganges müssen ALLE sonstige
Anwendungen beendet werden und alle Browserfenster müssen
geschlossen sein!
scannen-->PC neustarten--> noch mal scannen--> poste das Log vom Scann
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.08.2005, 20:43
Ohli
Member

Themenstarter

Beiträge: 15
#11 Hi Sabina!

Auch hier alles positiv, bis auf den üblichen "Cookie-Alarm".

Scheint doch alles gut zu sein!

Grüße
Ohli
Seitenanfang Seitenende
05.08.2005, 21:19
MerlinX
zu Gast
#12 Hi Ohli !
Es gibt ein neues inoffizielles Service Pack für Win98SE! Mach dich mal schlau unter>
http://www.pcwelt.de/news/software/117097/index.html
Gruß Merlinx ;)
Dieser Beitrag wurde am 05.08.2005 um 22:03 Uhr von Merlinx editiert.
Seitenanfang Seitenende
07.10.2005, 19:41
Ohli
Member

Themenstarter

Beiträge: 15
#13 Leider ist die Toolbar schon wieder da!

Könnt Ihr mir bitte wieder helfen? Danke schon mal wieder im voraus!

Hier das übliche Hijackthis-Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 19:40:41, on 07.10.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.51 SP2 (5.51.4807.2300)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\ATI2EVXX.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCSETMGR.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\IWP\NPFMNTOR.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
C:\PROGRAMME\CREATIVE\SBLIVE\AUDIOHQ\AHQTB.EXE
C:\PROGRAMME\MICROSOFT HARDWARE\MOUSE\POINT32.EXE
C:\WINDOWS\SYSTEM\HPZTSB01.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\LVCOMS.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCPD-LC\SYMLCSVC.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE
C:\PROGRAMME\WINAMP\WINAMPA.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\PROGRAMME\SONY CORPORATION\IMAGE TRANSFER\SONYTRAY.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\WINDOWS MEDIA COMPONENTS\ENCODER\WMENCAGT.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\SNDSRVC.EXE
C:\PROGRAMME\WEBDE\SMARTSURFER3.0\SMARTSURFER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\OUTLOOK EXPRESS\MSIMN.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\WINAMP\WINAMP.EXE
C:\WINDOWS\HH.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\SYMANTEC\LIVEUPDATE\AUPDATE.EXE
C:\PROGRAMME\SYMANTEC\LIVEUPDATE\LUCOMSERVER_2_6.EXE
D:\CD PROGRAMME\HIJACKTHIS\HIJACKTHIS.EXE

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\SYSTEM\IJNZA.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\SYSTEM\IJNZA.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [AudioHQ] C:\Programme\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb01.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A
O4 - HKLM\..\Run: [LVComs] C:\WINDOWS\SYSTEM\LVComS.exe
O4 - HKLM\..\Run: [SetIcon] C:\Program Files\SMSC\Seticon.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMON.EXE /Consumer
O4 - HKLM\..\Run: [Symantec Core LC] C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe start
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\PROGRAMME\WINAMP\winampa.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [hgqhp.exe] C:\WINDOWS\SYSTEM\hgqhp.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [ATIPOLL] ati2evxx.exe
O4 - HKLM\..\RunServices: [ATISmart] C:\WINDOWS\SYSTEM\ati2s9ag.exe
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe"
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [NPFMonitor] C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - Startup: Image Transfer.lnk = C:\Programme\Sony Corporation\Image Transfer\SonyTray.exe
O4 - Startup: Encoder Agent.lnk = C:\Programme\Windows Media Components\Encoder\WMENCAGT.EXE
O12 - Plugin for .mp3: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin4.dll
O12 - Plugin for .mpga: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin4.dll
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 85.255.113.125,85.255.112.26

Grüße
Ohli
Seitenanfang Seitenende
07.10.2005, 23:54
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 BHO.SearchToolbar hijacker

Win98

Bitte führe folgendes aus:
Erstelle auf dem Desktop eine Datei findit.bat. Rechte Maustaste - Bearbeiten
Dort fügst Du ein und speicherst:

@echo off
cd\
cd %windir%\system
dir /a:-d /o:-d > %systemdrive%\system.txt
cd\
cd %temp%\
dir /a:-d /o:-d > %systemdrive%\systemtemp.txt
cd\
cd %windir%
dir /a:-d /o:-d > %systemdrive%\win.txt
cd\
dir /a:-d /o:-d > %systemdrive%\sys.txt
exit


Ausführen!
Im Verzeichnis C:\ liegen nun vier Text-Dateien. Die öffnest Du bitte und kopierst alle Einträge der letzten 2 Wochen hier

------------------------------------------------------------------------------------


Bazooka laden
http://virus-protect.org/bazooka.html

Spybot - Search/Destroy laden
http://virus-protect.org/antispytools.html

CWShredder laden
http://virus-protect.org/antispytools.html

fixe mit dem HijackThis:

O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\SYSTEM\IJNZA.DLL
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\SYSTEM\IJNZA.DLL
O4 - HKLM\..\Run: [hgqhp.exe] C:\WINDOWS\SYSTEM\hgqhp.exe
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 85.255.113.125,85.255.112.26

PC neustarten

eine neue internetverbindung erstellen

scanne mit Bazooka + CWShredder + Spybot - Search/Destroy und berichte (scanreports posten)

loeschen
C:\WINDOWS\SYSTEM\IJNZA.DLL
C:\WINDOWS\SYSTEM\hgqhp.exe

Silentrunner: poste das log bitte
http://virus-protect.org/silentrunner.html


Zitat

inetnum: 85.255.112.0 - 85.255.113.255
netname: inhoster
descr: Inhoster hosting company
descr: OOO Inhoster, Poltavskij Shliax 24, Kharkiv, 61000, Ukraine

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.10.2005, 20:51
Ohli
Member

Themenstarter

Beiträge: 15
#15 sys.txt:


Datentr„ger in Laufwerk C: SYSTEM
Seriennummer des Datentr„gers: 2F48-1605
Verzeichnis von C:\

SYSTEM~1 TXT 570 08.10.05 20:45 systemtemp.txt
WIN TXT 18.491 08.10.05 20:45 win.txt
SYS TXT 0 08.10.05 20:45 sys.txt
SYSTEM TXT 101.406 08.10.05 20:45 system.txt
AUTOEXEC BAT 329 07.10.05 21:31 AUTOEXEC.BAT
WINZIP LOG 289.155 07.10.05 20:13 winzip.log
WIN386 SWP 1.048.576.000 01.10.05 0:03 WIN386.SWP
LOG TXT 0 20.09.05 20:03 Log.txt
AUTOEXEC 002 308 17.09.05 21:00 AUTOEXEC.002
23990098 $$$ 308 04.08.05 23:31 23990098.$$$
AVPCAL~1 LOG 5 04.08.05 23:31 AVPCallback.log

systemtemp.txt:


Datentr„ger in Laufwerk C: SYSTEM
Seriennummer des Datentr„gers: 2F48-1605
Verzeichnis von C:\WINDOWS\TEMP

SMURFVER XML 2.233 08.10.05 20:36 smurfver.xml
ZLT079A4 TMP 0 08.10.05 20:07 ZLT079a4.TMP
ZLT00E80 TMP 256 07.10.05 19:59 ZLT00e80.TMP
PTSA234 TMP 86.016 07.10.05 19:42 ptsA234.TMP
PTSA235 TMP 81.920 07.10.05 19:42 ptsA235.TMP
ZLT05E17 TMP 0 07.10.05 18:26 ZLT05e17.TMP
6 Datei(en) 170.425 Bytes
0 Verzeichnis(se) 3.003,42 MB frei

win.txt:


Datentr„ger in Laufwerk C: SYSTEM
Seriennummer des Datentr„gers: 2F48-1605
Verzeichnis von C:\WINDOWS

SYSTEM DAT 9.007.136 08.10.05 20:45 SYSTEM.DAT
USER DAT 958.496 08.10.05 20:45 USER.DAT
MICROL~1 LOG 2.546 08.10.05 20:34 MicroLink 56k Fun .log
HCWPNP INI 1.743 08.10.05 20:33 HCWPNP.INI
HCWBTDLG INI 32 08.10.05 20:33 HCWBTDLG.INI
SCHEDLOG TXT 32.630 08.10.05 20:07 SchedLog.Txt
SYSTEM INI 2.367 08.10.05 20:06 SYSTEM.INI
NDISLOG TXT 0 08.10.05 20:06 NDISLOG.TXT
DOSSTART BAT 96 07.10.05 21:31 DOSSTART.BAT
POWERPNT INI 60 07.10.05 21:17 POWERPNT.INI
WAVEMIX INI 54 07.10.05 21:17 WAVEMIX.INI
WINAMP INI 1.125 07.10.05 19:57 winamp.ini
WININIT BAK 0 07.10.05 19:43 WININIT.BAK
COMMAND PIF 967 07.10.05 19:35 COMMAND.PIF
BALLOON WAV 6.400 07.10.05 19:35 balloon.wav
RDT INI 4.334 07.10.05 19:34 rdt.ini
HOSTS SAM 23 07.10.05 19:33 hosts.sam
TRACK INI 3.228 01.10.05 20:45 TRACK.INI
AUTOLNCH REG 1.080 20.09.05 20:03 AUTOLNCH.REG
PLUGSPK INI 36 14.09.05 20:17 PLUGSPK.INI

System.txt:

Nur alte Dateien!

Bin leider ein "analoger" Surfer, die Programme sind natürlich langwärig... aber ich hab's gepackt!

Die Datei O4 - HKLM\..\Run: [hgqhp.exe] C:\WINDOWS\SYSTEM\hgqhp.exe ist leider verschwunden, kann ich also nicht "fixen".

Grüße
Ohli
Dieser Beitrag wurde am 08.10.2005 um 21:24 Uhr von Ohli editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
  • »
  • »
  • »
  • »
  • »
Seite(n): 123