Desktop Hijacker auf dem PC! Vorgehensweise benötigt! |
||
---|---|---|
#0
| ||
07.09.2005, 12:58
...neu hier
Beiträge: 6 |
||
|
||
07.09.2005, 17:16
Member
Beiträge: 4730 |
#2
Hallo rosh,
zunächst tu Dir den Gefallen und aktualisiere Dein Windows auf ServicePack2 mit allen verfügbaren weiteren Updates. Fixe mit HJT (Häkchen vor den Eintrag machen und auf "fix checked" klicken): O4 - HKLM\..\Run: [vmcleaner] gxlib.exe O4 - HKLM\..\Run: [PSGuard] C:\Programme\PSGuard\PSGuard.exe O16 - DPF: {288C5F13-7E52-4ADA-A32E-F5BF9D125F98} (CR64Loader Object) - http://www.miniclip.com/bestfriends/retro64_loader.dll Lade Dir Killbox und entpacke es. Starte den PC in den abgesicherten Modus. Öffnet dort Killbox und aktiviere "Delete on Reboot". Füge folgende Dateien in das Eingabefeld ein und bestätige jeweils mit Klick auf das Kreuz rechts daneben. Die Abfrage, ob jetzt neugestartet werden soll, erst nach der letzten Datei mit JA bestätigen. c:\windows\system32\gxlib.exe C:\Programme\PSGuard\PSGuard.exe Der PC wird neugestartet. Lösche das Verzeichnis c:\Programme\PSGuard Start -> Ausführen -> cmd Dort einzeln reinkopieren: cd\ cd %windir%\system32 dir /a:-d /o:-d > %systemdrive%\system32.txt start %systemdrive%\system32.txt cls exit cd\ cd %temp%\ dir /a:-d /o:-d > %systemdrive%\systemtemp.txt start %systemdrive%\systemtemp.txt cls exit cd\ cd %windir% dir /a:-d /o:-d > %systemdrive%\system.txt start %systemdrive%\system.txt cls exit cd\ dir /a:-d /o:-d > %systemdrive%\sys.txt start %systemdrive%\sys.txt cls exit Es wird sich jeweils Notepad mit einer Auflistung der Dateien öffnen. Kopiere die Einträge der vergangenen zwei Wochen (vor jeder Datei steht ein Datum) hier rein. __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
08.09.2005, 21:17
...neu hier
Themenstarter Beiträge: 6 |
#3
Hallo managor.
ich habe es so durchgeführt wie du gesagt hast, doch musste ich feststellen dass es die dateien: c:\windows\system32\gxlib.exe C:\Programme\PSGuard\PSGuard.exe nicht gibt! was soll ich jetztz tun? mfg Rosh |
|
|
||
08.09.2005, 22:38
Ehrenmitglied
Beiträge: 6028 |
||
|
||
09.09.2005, 01:25
Member
Beiträge: 4730 |
#5
Fahre so fort, wie ich es empfohlen habe.
__________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
09.09.2005, 12:43
...neu hier
Themenstarter Beiträge: 6 |
#6
Hier sind die LIsten vom Notepad:
09.09.2005 12:46 0 wppp.html 09.09.2005 12:39 890 vsconfig.xml 08.09.2005 12:57 4.212 zllictbl.dat 07.09.2005 17:57 4.286 ptainfo2.ico 07.09.2005 17:57 4.286 ptainfo1.ico 05.09.2005 20:15 2.206 wpa.dbl it Datentr„ger in Laufwerk C: ist System Volumeseriennummer: 0C40-0014 Verzeichnis von C:\DOKUME~1\Admin\LOKALE~1\Temp 08.09.2005 13:07 133 kb.log 05.09.2005 20:29 0 C.tmp 04.09.2005 16:28 0 7.tmp 04.09.2005 16:27 2.131.974 PSGuardInstall.exe 28.08.2005 16:23 32.768 ~DF9A7D.tmp 28.08.2005 15:17 594.709 gtb30.tmp.cab 28.08.2005 15:17 0 gtb30.tmp 06.07.2005 14:11 10.538 control.xml Verzeichnis von C:\WINDOWS 09.09.2005 12:40 1.141 win.ini 09.09.2005 12:39 0 0.log 09.09.2005 12:38 2.048 bootstat.dat 08.09.2005 22:44 155 winamp.ini 08.09.2005 22:41 116 NeroDigital.ini 08.09.2005 13:08 384.504 ntbtlog.txt 04.09.2005 16:26 3.072 uninstIU.exe 27.08.2005 18:27 309.432 h_eJay2.inf 26.08.2005 01:15 298 cdplayer.ini Datentr„ger in Laufwerk C: ist System Volumeseriennummer: 0C40-0014 Verzeichnis von C:\ 09.09.2005 12:49 0 sys.txt 09.09.2005 12:48 7.525 system.txt 09.09.2005 12:47 218.399 systemtemp.txt 09.09.2005 12:46 89.948 system32.txt 09.09.2005 12:38 267.964.416 hiberfil.sys 09.09.2005 12:38 402.653.184 pagefile.sys Das wars hoffentlich Mfg Rosh |
|
|
||
09.09.2005, 13:03
Ehrenmitglied
Beiträge: 29434 |
#7
Hallo@rosh
datfindbat (poste bitte die 4 logs, aber bitte (C:\WINDOWS\system32\) bis Mitte August und nicht schon am 5. September enden...so koennen wir nicht sehen was los ist) und kopiere bitte auch immer den Pfad oben mit http://virus-protect.org/bat/datFind.bat Zitat C:\WINDOWS\system32\#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten O4 - HKLM\..\Run: [vmcleaner] gxlib.exe O4 - HKLM\..\Run: [PSGuard] C:\Programme\PSGuard\PSGuard.exe PC neustarten CCleaner--> loesche alle *temp-Datein http://virus-protect.org/temp.html deinstallieren: -->PSGuard loeschen: -->gxlib.exe smitRem TOOL (Entfernungstool)--> poste den Report http://noahdfear.geekstogo.com/ öffne smitRem folder,Doppelklick: RunThis.bat warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal) suche smitfiles.txt und poste die Textdatei in den Thread Lade Ewido von dieser Seite -- poste den Report http://virus-protect.org/ewido.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
09.09.2005, 19:43
...neu hier
Themenstarter Beiträge: 6 |
#8
Hallo an alle Helfer
es hat geklappt. wie weiß ich nicht genau. doch der hijakcer ist weg. ich hab alle anweisungen kreuz und quer verfolgt, von jedem etwas . also danke nochmal MFG ROSH |
|
|
||
ich bin verzweifelt auf der suche nach einem Computerfreak, der mir hilft diesen Hijacker zu löschen. ich habe mein HJT logfile hier, mehr weiss ich nicht wie man sonst vorzugehen hat!! #
Logfile of HijackThis v1.99.1
Scan saved at 13:02:43, on 07.09.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\T-ONLINE\BSW4\ToDuCAlC.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Dokumente und Einstellungen\Admin\Eigene Dateien\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe -osboot
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [vmcleaner] gxlib.exe
O4 - HKLM\..\Run: [PSGuard] C:\Programme\PSGuard\PSGuard.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {288C5F13-7E52-4ADA-A32E-F5BF9D125F98} (CR64Loader Object) - http://www.miniclip.com/bestfriends/retro64_loader.dll
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-9.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8F2269FC-7BA4-4E85-A370-62723BCF05D0}: NameServer = 217.237.150.33 217.237.151.161
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Druckwarteschlange (Spooler) - Unknown owner - C:\WINDOWS\system32\spoolsv.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Wäre echt nett wenn mir jemand helfen könnte.
Mit freundlichen internetten Grüßen
ROSH