virus (trojaner?) per msn messenger,werd ihn net los

#0
06.08.2005, 21:17
Member

Themenstarter

Beiträge: 30
#16 Diese Dateien hab ich mit Killbox im abgesicherten Modus gelöscht...

C:\WINDOWS\system32\Uninstall.ico
C:\WINDOWS\system32\Help.ico
C:\WINDOWS\system32\Open.ico
C:\WINDOWS\system32\AddQuit.ico
C:\WINDOWS\system32\IE.ico
C:\WINDOWS\system32\Desktop.ico
C:\WINDOWS\system32\Quick.ico

Diese hier gab's net...weder per suchen noch per kopieren und einfügen...:

C:\DOKUME~1\Main\LOKALE~1\Temp\TFRA.tmp


McAfee OnlineScan hat keinen Virus gefunden...



HJT:

Logfile of HijackThis v1.99.1
Scan saved at 21:11:48, on 06.08.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\WINDOWS\Mixer.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\PROGRA~1\Java\J2RE14~1.2\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MD40323\ICON.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\ICQLite\ICQLite.exe
D:\Downloads\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 164.58.28.250:80
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\PROGRA~1\Java\J2RE14~1.2\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\winampa.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: 2Mega Camera Manager Monitor.lnk = ?
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\J2RE14~1.2\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\J2RE14~1.2\bin\npjpi142_04.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkId=39204&clcid=0x409
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1100457644077
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - http://www.arcor.de/vod/dmd/WMDownload.cab
O16 - DPF: {DA511858-B44C-439E-A0EA-704ED20035E7} (EphoxEditLive4.EditLive) - http://www.beepworld.de/hp/activexeditor/editlive4.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4549/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7C77F6E2-526E-4650-94CA-241F40420B1F}: NameServer = 217.237.149.161 217.237.150.97
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


Und DOS Befehle:

Verzeichnis von C:\WINDOWS\system32

06.08.2005 20:28 890 vsconfig.xml
06.08.2005 18:24 2.550 Uninstall.ico
06.08.2005 18:24 1.406 Help.ico
06.08.2005 18:24 1.718 Open.ico
06.08.2005 18:24 1.406 AddQuit.ico
06.08.2005 18:24 5.350 IE.ico
06.08.2005 18:24 9.470 Desktop.ico
29.07.2005 21:07 73.728 asuninst.exe
23.07.2005 17:31 2.206 wpa.dbl


Verzeichnis von C:\DOKUME~1\Main\LOKALE~1\Temp

06.08.2005 21:02 74.720 TFR21.tmp
06.08.2005 21:02 62.753 TFR1E.tmp
06.08.2005 21:02 122.366 TFR1B.tmp
06.08.2005 21:02 80.121 TFR19.tmp
06.08.2005 21:02 67.277 TFR18.tmp
06.08.2005 21:02 33.317 TFR17.tmp
06.08.2005 21:02 50.917 TFR15.tmp
06.08.2005 21:02 10.225 TFR14.tmp
06.08.2005 21:01 978 TmpICQMagic_{05736BBE-C20F-4F10-A6DE-4DB1E3564B0E}10118.html
06.08.2005 21:00 983 TmpICQMagic_{EC202595-1DFD-4301-A1EA-13C1E331B505}18603.html
06.08.2005 20:50 16.384 ~DFDEF2.tmp
06.08.2005 20:50 512 ~DFBF6E.tmp
06.08.2005 20:50 16.384 ~DFBF5E.tmp
06.08.2005 20:46 9.961 TFR13.tmp
06.08.2005 20:29 16.384 Perflib_Perfdata_d44.dat
06.08.2005 20:28 444 jusched.log
06.08.2005 20:27 108 kb.log
06.08.2005 20:21 16.384 ~DF15E6.tmp
06.08.2005 19:30 34.162 GRD$LOGFILE.LOG

Verzeichnis von C:\WINDOWS

06.08.2005 20:32 3.638 setupapi.log
06.08.2005 20:29 840 win.ini
06.08.2005 20:28 0 0.log
06.08.2005 20:28 1.215.385 WindowsUpdate.log
06.08.2005 20:28 159 wiadebug.log
06.08.2005 20:28 50 wiaservc.log
06.08.2005 20:28 2.048 bootstat.dat
06.08.2005 20:19 100.794 ntbtlog.txt
06.08.2005 20:17 32.638 SchedLgU.Txt
06.08.2005 00:00 32 wininit.ini
22.07.2005 01:20 278 CMISETUP.INI
22.07.2005 01:20 26 CMCDPLAY.INI


Verzeichnis von C:\

06.08.2005 21:16 0 sys.txt
06.08.2005 21:15 4.796 system.txt
06.08.2005 21:15 1.258 systemtemp.txt
06.08.2005 21:12 93.453 system32.txt
06.08.2005 20:27 402.653.184 pagefile.sys
06.08.2005 17:14 0 23990098.$$$
06.08.2005 17:14 6 AVPCallback.log
06.08.2005 14:53 678 log.txt
06.08.2005 14:53 0 windows.txt
06.08.2005 14:48 216 win.txt
06.08.2005 14:38 0 start.txt
12.07.2005 15:14 512 camusd.log


Da die .ico Dateien ja immer noch da sind, scheint das löschen net zu funktionieren...
Systemwiederherstellung hab ich deaktiviert und wieder aktiviert...
__________
Rettet den Wald, esst mehr Bieber!
Seitenanfang Seitenende
06.08.2005, 21:24
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#17 die temp. laden immer wieder nach, aber das kann auch normal sein...ich weiss es nicht.

aber du hast schnell und gut gearbeitet ;)
Alles Gute fuer dich+ PC und wenn wieder mal eine unbekannte Nachricht im Messi erscheint, weisst du ja schon, dass du UNBEDINGT drauf klicken musst, nur um uns hier erhalten zu bleiben ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.08.2005, 21:27
Member

Themenstarter

Beiträge: 30
#18 *lach* danke...ich überlegs mir....nein scherz, lieber nicht...ich werd euch aber bestimmt nochmal besuchen, weil der pc von der freundin, die mich "infiziert" hat, ja auch viren besessen ist...und da sie grad mal weiß, wie man den pc anmacht, werd ich wohl zumindest das posten hier übernehmen müssen ;) mal schaun...werd ihr erstmal die wichtigsten progs draufhauen, die ich hier so empfohlen bekommen hab... ;)
__________
Rettet den Wald, esst mehr Bieber!
Seitenanfang Seitenende
14.08.2005, 14:15
...neu hier

Beiträge: 7
#19 Hi ich habe das selbe problem bin aber nicht ganz so fit wie ihr .....alles was ihr hier schreibt hört sich für mich an wie bömische dörfer .....könntet ihr mir helfen ohne das es so kompliziert klingt? habe immer diese Schei... msn toolbar drin....und in den fav auch.....bitte helft mir ....
THX
Seitenanfang Seitenende
14.08.2005, 14:37
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#20 Hallo@EyTie

HijackThis
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
-->None of the above,
just start the program --> Save--> Savelog -->es öffnet sich der
Editor -->
oder:
Do a system scan and save a logfile --> Save--> Savelog -->es öffnet sich der
Editor -->
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins
Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.08.2005, 14:39
...neu hier

Beiträge: 7
#21 Hi thx erstmal für die rasche antwort!



Logfile of HijackThis v1.99.1
Scan saved at 14:35:53, on 14.08.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\Razer\razerhid.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Razer\razerofa.exe
c:\progra~1\intern~1\iexplore.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Teamspeak2_RC2\TeamSpeak.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Foxmail\Foxmail.exe
C:\Downloads\Virushijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.eizjdlekagucvfmxbrgv.com/68LiyKGRr_q6xCioibSLwfbxtRBOQj9xOaTiBDl8znOnBOxks_i7kdjkl6h6gtBo.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1314059E-F08E-4307-A585-6824015E709E} - C:\DOKUME~1\Andre\ANWEND~1\MEALSK~1\Wipe Drive.exe
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Tweak UI 1.33 deutsch] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [razer] C:\Programme\Razer\razerhid.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [RaidTool] C:\Programme\VIA\RAID\raid_tool.exe
O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [Hold Tool Internet Tray] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\The Exit Hold Tool\axis boob.exe
O4 - HKCU\..\Run: [Waitcool] C:\DOKUME~1\Andre\ANWEND~1\STARTL~1\Mix great.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {1C955F3B-5B32-4393-A05D-24B4970CD2A1} - http://streamp.babenet.com/cabs/videox.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://appldnld.m7z.net/qtinstall.info.apple.com/pthalo/de/win/QuickTimeFullInstaller.exe
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://www.opentopia.com/support/activex/AxisCamControl.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3A760703-C7ED-49D6-A1D8-C86D21B3A235}: NameServer = 213.191.74.18,213.191.92.87
O17 - HKLM\System\CS1\Services\Tcpip\..\{3A760703-C7ED-49D6-A1D8-C86D21B3A235}: NameServer = 213.191.74.18,213.191.92.87
O17 - HKLM\System\CS2\Services\Tcpip\..\{3A760703-C7ED-49D6-A1D8-C86D21B3A235}: NameServer = 213.191.74.18,213.191.92.87
O17 - HKLM\System\CS3\Services\Tcpip\..\{3A760703-C7ED-49D6-A1D8-C86D21B3A235}: NameServer = 213.191.74.18,213.191.92.87
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
Seitenanfang Seitenende
14.08.2005, 14:46
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#22 Hallo@EyTie

das ist eine LOP-Verseuchung

Deaktivieren Wiederherstellung
«XP
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.eizjdlekagucvfmxbrgv.com/68LiyKGRr_q6xCioibSLwfbxtRBOQj9xOaTiBDl8znOnBOxks_i7kdjkl6h6gtBo.htm

O2 - BHO: (no name) - {1314059E-F08E-4307-A585-6824015E709E} - C:\DOKUME~1\Andre\ANWEND~1\MEALSK~1\Wipe Drive.exe

O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause

O4 - HKLM\..\Run: [Hold Tool Internet Tray] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\The Exit Hold Tool\axis boob.exe

O4 - HKCU\..\Run: [Waitcool] C:\DOKUME~1\Andre\ANWEND~1\STARTL~1\Mix great.exe

PC neustarten
-->in den abgesicherten modus (F8 druecken, wenn der PC hochfaehrt)

----------------------------------------------------------------------------------------------

Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren
+
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren

deinstallieren:
BearShare

loesche;
C:\Dokumente und Einstellungen\Andre\Anwendungsdaten\STARTL~1\Mix great.exe
C:\Dokumente und Einstellungen\Andre\Anwendungsdaten\MEALSK~1\Wipe Drive.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\The Exit Hold Tool\axis boob.exe

CCleaner--> loesche alle *temp-Datein

http://virus-protect.org/temp.html

dann lade escan
(poste alles, was angezeigt wird)...das Tool wird die restlichen Verseuchungen finden, da ich nicht alles sehen kann.
http://virus-protect.org/escan.html

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.08.2005, 15:30
...neu hier

Beiträge: 7
#23 Bis jetzt ging alles......soll ich bei ccleaner alle häkchen drin lasse?
Seitenanfang Seitenende
14.08.2005, 15:46
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#24 ja, alle Haekchen drinlassen ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.08.2005, 16:19
...neu hier

Beiträge: 7
#25 Normal das das so lange dauert? :-(
Seitenanfang Seitenende
14.08.2005, 16:20
Member
Avatar Gool

Beiträge: 4730
#26 Bei eScan? Ja, das kann schon so ne Stunde dauern, bis alle Dateien überprüft sind - evtl. sogar noch länger...

Wenn es der CCleaner ist, dann versuch ihn zu beenden und starte ihn erneut.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
14.08.2005, 17:45
...neu hier

Beiträge: 7
#27 Also bei escan sagt er mir wenn ich die liste öffnen will keine daten zum löschen vorhanden. Was mache ich falsch?
Seitenanfang Seitenende
14.08.2005, 18:02
Member
Avatar Gool

Beiträge: 4730
#28 gar nix. bei mir gab's dieses Problem auch. Öffne einfach die Datei MWAV.log im Verzeichnis c:\bases_x und suche nach den Einträgen mit "infected" oder "infiziert". Kopiere die jeweilige Zeile hier rein.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
14.08.2005, 18:52
...neu hier

Beiträge: 7
#29 Also ich habe bearshare eigentlich deinstalliert......

Sun Aug 14 16:50:22 2005 => ***** Scanning Registry and File system for Adware/Spyware *****
Sun Aug 14 16:50:22 2005 => Loading Spyware Signatures from FIXED Database...
Sun Aug 14 16:50:23 2005 => System found infected with BearShare Spyware/Adware ({905d0df2-3a0a-4d94-853c-54a12a745905})! Action taken: No Action Taken.
Sun Aug 14 16:50:23 2005 => System found infected with BearShare Spyware/Adware ({9f95f736-0f62-4214-a4b4-caa6738d4c07})! Action taken: No Action Taken.
Sun Aug 14 16:50:23 2005 => System found infected with BearShare Spyware/Adware ({558ec983-bedb-9168-b2de-31dbf0ee543e})! Action taken: No Action Taken.
Sun Aug 14 16:50:25 2005 => Offending value found in HKLM\Software\microsoft\downloadmanager !!!
Sun Aug 14 16:50:25 2005 => Object "AltNet Spyware/Adware" found in File System! Action Taken: No Action Taken.



--------------------------------------------------
-------------------- INFECTED --------------------
--------------------------------------------------

1: Sun Aug 14 16:50:23 2005 => System found infected with BearShare Spyware/Adware ({905d0df2-3a0a-4d94-853c-54a12a745905})! Action taken: No Action Taken.
2: Sun Aug 14 16:50:23 2005 => System found infected with BearShare Spyware/Adware ({9f95f736-0f62-4214-a4b4-caa6738d4c07})! Action taken: No Action Taken.
3: Sun Aug 14 16:50:23 2005 => System found infected with BearShare Spyware/Adware ({558ec983-bedb-9168-b2de-31dbf0ee543e})! Action taken: No Action Taken.
4: Sun Aug 14 17:00:07 2005 => Scanning File C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\Infected.wav [**]
Seitenanfang Seitenende
14.08.2005, 19:05
Member
Avatar Gool

Beiträge: 4730
#30 Jo, jetzt solltest Du nochmal mit Spybot Search & Destroy Dein System scannen und säubern.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: