Rotes X bei TrayIcons, ,Start Page = http://www.specialgoods.info/ad/ad0128/ |
||
---|---|---|
#0
| ||
05.08.2005, 12:01
...neu hier
Beiträge: 3 |
||
|
||
05.08.2005, 13:08
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo@evo2
Lade: rkfiles.zip http://bilder.informationsarchiv.net/Nikitas_Tools/rkfiles.zip -->entpacken--> gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml -->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich das DOS-Fenster schliesst....auch wenn es lange dauert....--->poste C:\log.txt DLLCompare http://downloads.subratam.org/DllCompare.exe <klick: Locate.com button. wenn der Scan beendet ist <klick:Compare button <klick: und erstelle das Log--->bitte posten __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
15.08.2005, 19:07
...neu hier
Themenstarter Beiträge: 3 |
#3
Hi.
Sorry hat ein wenig länger gedauert, war aber noch im Urlaub ;) So. hier die Logfiles: PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE. Files Found in system Folder............ ------------------------ D:\WINNT\system32\searchdll.dll: UPX! D:\WINNT\system32\Gsbest32.dll: UPX! Files Found in all users startup Folder............ ------------------------ D:\WINNT\system32\searchdll.dll: UPX! D:\WINNT\system32\Gsbest32.dll: UPX! Files Found in all users windows Folder............ ------------------------ D:\WINNT\sigldr.exe: UPX! Finished bye und Nummer 2: * DLLCompare Log version(1.0.0.127) Files Found that Windows does not See or cannot Access *Not everything listed here means you are infected! ________________________________________________ O^E says: "There were no files found :)" ________________________________________________ 1.029 items found: 1.029 files, 0 directories. Total of file sizes: 169.601.339 bytes 161,74 M Administrator Account = True --------------------End log--------------------- |
|
|
||
15.08.2005, 19:14
Ehrenmitglied
Beiträge: 29434 |
#4
Hallo@evo2
Gehe in die Registry Start-->Ausfuehren-->regedit HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ Explorer\SharedTaskScheduler unter diesem Schluessel loesche folgenden Eintrag: {D56A1203-1452-EBA1-7294-EE3377770000} Interlinking Memory Support HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ Internet Connection Update and HomeP KB234087\ HKCR\CLSID\{C7EDAB2E-D7F9-11D8-BA48-C79B0C409D70}\ HKCR\CLSID\{D56A1203-1452-EBA1-7294-EE3377770000}\ HKCR\Interface\{C7EDAB2D-D7F9-11D8-BA48-C79B0C409D70}\ HKCR\Serch_hook.transURL\ HKCR\Serch_hook.transURL.1\ HKCR\TypeLib\{C7EDAB21-D7F9-11D8-BA48-C79B0C409D70}\ #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.specialgoods.info/ad/ad0128/ O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= PC neustarten •KillBox http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip Anleitung: (bebildert) http://virus-protect.org/killbox.html •Delete File on Reboot <--anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" D:\WINNT\system32\guninst.exe D:\WINNT\system32\param32.dll D:\WINNT\system32\searchdll.dll D:\WINNT\48.exe D:\WINNT\59.exe D:\WINNT\sigldr.exe PC neustarten #neue Startseite gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein + berichte+ poste das neue Log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
17.08.2005, 16:04
...neu hier
Themenstarter Beiträge: 3 |
#5
Hi.
Also erstmal Danke nochmal. Das rote X ist nun weg und ich kann auch wieder eine Startseite einstellen die so bleibt und das laufend ein neues Fenster mit Werbung augeht ist nun auch nicht mehr. Die Registryeinträge waren nicht vorhanden, die anderen hab ich aber gelöscht. HKCR\CLSID\{C7EDAB2E-D7F9-11D8-BA48-C79B0C409D70}\ HKCR\Interface\{C7EDAB2D-D7F9-11D8-BA48-C79B0C409D70}\ HKCR\Serch_hook.transURL\ HKCR\Serch_hook.transURL.1\ HKCR\TypeLib\{C7EDAB21-D7F9-11D8-BA48-C79B0C409D70}\ Sonst hat alles geklappt, bis auf Webeinstellungen zurücksetzen. Da kommt immer die Meldung: Die Webeinstellungen konnten nicht zurückgesetzt werden. So und nun noch mein aktuelles Hijackthis logfile: Logfile of HijackThis v1.99.1 Scan saved at 14:45:26, on 17.08.2005 Platform: Windows 2000 (WinNT 5.00.2195) MSIE: Internet Explorer v5.00 (5.00.2920.0000) Running processes: D:\WINNT\System32\smss.exe D:\WINNT\system32\winlogon.exe D:\WINNT\system32\services.exe D:\WINNT\system32\lsass.exe D:\WINNT\system32\svchost.exe D:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe D:\Programme\Norton Personal Firewall\NISUM.EXE D:\WINNT\system32\spoolsv.exe D:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe D:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe D:\Programme\Norton Personal Firewall\ccPxySvc.exe D:\WINNT\System32\svchost.exe D:\WINNT\system32\regsvc.exe D:\WINNT\system32\MSTask.exe D:\WINNT\system32\stisvc.exe D:\WINNT\System32\WBEM\WinMgmt.exe D:\WINNT\Explorer.exe D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe D:\WINNT\System32\atiptaxx.exe D:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe D:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe D:\Palm\HOTSYNC.EXE D:\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe D:\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe D:\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE D:\Programme\Internet Explorer\iexplore.exe D:\Dokumente und Einstellungen\appel\Desktop\hijackthis_199\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [ccApp] D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe O4 - HKLM\..\Run: [ccRegVfy] D:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe O4 - HKLM\..\Run: [AVG7_CC] D:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP O4 - HKLM\..\Run: [AVG7_EMC] D:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe O4 - Startup: HotSync Manager.lnk = D:\Palm\HOTSYNC.EXE O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= O17 - HKLM\System\CCS\Services\Tcpip\..\{E10DC8D3-27F3-4DDF-AC67-C9ECA9705847}: NameServer = 217.237.149.225 217.237.151.97 O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - D:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - D:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - D:\Programme\Norton Personal Firewall\ccPxySvc.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - D:\WINNT\System32\dmadmin.exe O23 - Service: Norton Personal Firewall Accounts Manager (NISUM) - Symantec Corporation - D:\Programme\Norton Personal Firewall\NISUM.EXE Mfg evo2 |
|
|
||
Hab seit neustem so einrotes X bei denTrayicons, kann das auch nicht beenden.
Beim IE ist die Startseite nun http://www.specialgoods.info/ad/ad0128/ und wenn ich die änder, wird die automatisch wieder zurückgesetzt.
Auf dem Desktop sind nun auch nen Haufen Verknüpfungen wie Lesbian Sex usw.
Hijackthis logFile:
Logfile of HijackThis v1.99.1
Scan saved at 10:43:43, on 05.08.2005
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 (5.00.2920.0000)
Running processes:
D:\WINNT\System32\smss.exe
D:\WINNT\system32\winlogon.exe
D:\WINNT\system32\services.exe
D:\WINNT\system32\lsass.exe
D:\WINNT\system32\svchost.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
D:\Programme\Norton Personal Firewall\NISUM.EXE
D:\WINNT\system32\spoolsv.exe
D:\Programme\Norton Personal Firewall\ccPxySvc.exe
D:\WINNT\System32\svchost.exe
D:\WINNT\system32\regsvc.exe
D:\WINNT\system32\MSTask.exe
D:\WINNT\system32\stisvc.exe
D:\WINNT\Explorer.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
D:\WINNT\System32\atiptaxx.exe
D:\Palm\HOTSYNC.EXE
D:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
D:\Programme\Grisoft\AVG Free\avgemc.exe
D:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
D:\Programme\Grisoft\AVG Free\avgcc.exe
D:\Programme\Internet Explorer\IEXPLORE.EXE
D:\WINNT\System32\WBEM\WinMgmt.exe
D:\Dokumente und Einstellungen\appel\Desktop\hijackthis_199\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.specialgoods.info/ad/ad0128/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ccApp] D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] D:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe
O4 - HKLM\..\Run: [AVG7_CC] D:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] D:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - Startup: HotSync Manager.lnk = D:\Palm\HOTSYNC.EXE
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O17 - HKLM\System\CCS\Services\Tcpip\..\{E10DC8D3-27F3-4DDF-AC67-C9ECA9705847}: NameServer = 217.237.149.225 217.237.151.97
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - D:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - D:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - D:\Programme\Norton Personal Firewall\ccPxySvc.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - D:\WINNT\System32\dmadmin.exe
O23 - Service: Norton Personal Firewall Accounts Manager (NISUM) - Symantec Corporation - D:\Programme\Norton Personal Firewall\NISUM.EXE