Winfixer 2005 wie kann ich ihn löschen?

#1 Bei mir öffnet sich egal ob ich gerade auf irgendeiner Seite bin oder nicht sporadisch eine Fenster mit folgender Adresse:

http://de.winfixer.com/pages/scanner_de/?aid=vm_sv_wfx5de_1&ed=2&ax=2&ex=1

Kein Bild - nichts anderes öffnet isch - ich schätze das ist was vom Winfixer noch übrig blieb. Wie bekomme ich das weg?

Bitte Hilfe - IT-Abt bekommts einfach nicht gebacken - hier der Log WINFIXER2005 macht mich WAHNSINNIG!!!!
Vielen Dank im Voraus


Logfile of HijackThis v1.99.1
Scan saved at 10:01:44, on 18.11.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\PSSVC.EXE
C:\Programme\Symantec\pcAnywhere\awhost32.exe
C:\Programme\F-Secure\Anti-Virus\fsgk32st.exe
C:\Programme\F-Secure\Anti-Virus\FSGK32.EXE
C:\Programme\F-Secure\Anti-Virus\fssm32.exe
C:\WINNT\System32\NALNTSRV.EXE
C:\NOVELL\ZENRC\wuser32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\Programme\F-Secure\Common\FSMA32.EXE
C:\Programme\F-Secure\Common\FSMB32.EXE
C:\Programme\F-Secure\Common\FCH32.EXE
C:\Programme\F-Secure\Common\FAMEH32.EXE
C:\Programme\F-Secure\Common\FNRB32.EXE
C:\Programme\F-Secure\Common\FIH32.EXE
C:\Programme\F-Secure\Anti-Virus\fsav32.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\NWTRAY.EXE
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\F-Secure\Common\FSM32.EXE
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINNT\system32\ntvdm.exe
C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
C:\Programme\Gemeinsame Dateien\System\MAPI\1031\nt\MAPISP32.EXE
C:\WINNT\msagent\AgentSvr.exe
C:\unzipped\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://192.168.71.6/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://intranet/netz/index.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.71.2:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 192.168.*,192,10,*.cbp.net;<local>
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: CleanMyPC Popup Blocker - {7A9BC6B1-7F27-47c6-A66D-13582E81E537} - C:\Programme\CleanMyPC Popup Blocker\CleanBHO.dll
O2 - BHO: MSEvents Object - {B313D637-F405-4052-AC37-E2119AB3C8F8} - C:\WINNT\system32\nnljh.dll
O3 - Toolbar: CleanMyPC Toolbar - {04164EC4-1E48-4279-818E-3721931E7636} - C:\Programme\CleanMyPC Popup Blocker\CleanBar.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [TCASUTIEXE] TCAUDIAG -off
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O14 - IERESET.INF: START_PAGE_URL=http://intranet/netz/index.html
O16 - DPF: {1F831FA3-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://C:\ADT33\InstFred.ocx
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by15fd.bay15.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday-Steuerung) - file://C:\ADT33\AcDcToday.ocx
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file://C:\ADT33\AcPreview.ocx
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = cbp.net
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = cbp.net
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = cbp.net
O20 - Winlogon Notify: nnljh - C:\WINNT\system32\nnljh.dll
O23 - Service: AutoShutdown - Dell Computer Corporation - C:\WINNT\System32\PSSVC.EXE
O23 - Service: pcAnywhere Host Service (awhost32) - Symantec Corporation - C:\Programme\Symantec\pcAnywhere\awhost32.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Programme\F-Secure\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Programme\F-Secure\Common\FNRB32.EXE
O23 - Service: F-Secure Authentication Agent (FSAA) - F-Secure Corporation. All Rights Reserved. - C:\Programme\F-Secure\Common\FSAA.EXE
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Programme\F-Secure\Common\FSMA32.EXE
O23 - Service: Novell Application Launcher (NALNTSERVICE) - Novell, Inc. - C:\WINNT\System32\NALNTSRV.EXE
O23 - Service: Z.E.N.works Remote Control Agent (Novell WUser Agent) - Unknown owner - C:\NOVELL\ZENRC\wuser32.exe

#2 Danke habe ich bereits probiert - Spybot ist schon 'drübergelaufen' - habe aber immer noch das Problem wie ganz oben beschrieben. Es öffnet sich der IE mit der genannten Adresse, jedoch ohne Bild oder sonst irgendetwas. Alles andere (also die ganzen Fenster des Winfixers) erscheint nicht mehr.
Welche Möglichkeiten gibt es um das Öffnen des IE mit o. g. Adresse zu verhindern?

Vielen Dank

#3

Zitat

Sabina postete
Hallo@cass

poste mir bitte das Log von Option 1, dann helfe ich dir, den Hijacker zu entfernen
http://virus-protect.org/l2mfix.html

ich wollte das hier:
__________
MfG Sabina

rund um die PC-Sicherheit

#4 Hallo Sabian,
hier der Log - vielen Dank im Voraus

Logfile of HijackThis v1.99.1
Scan saved at 13:01:41, on 21.11.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\PSSVC.EXE
C:\Programme\Symantec\pcAnywhere\awhost32.exe
C:\Programme\F-Secure\Anti-Virus\fsgk32st.exe
C:\Programme\F-Secure\Anti-Virus\FSGK32.EXE
C:\Programme\F-Secure\Anti-Virus\fssm32.exe
C:\WINNT\System32\NALNTSRV.EXE
C:\NOVELL\ZENRC\wuser32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\Programme\F-Secure\Common\FSMA32.EXE
C:\Programme\F-Secure\Common\FSMB32.EXE
C:\Programme\F-Secure\Common\FCH32.EXE
C:\Programme\F-Secure\Common\FAMEH32.EXE
C:\Programme\F-Secure\Common\FNRB32.EXE
C:\Programme\F-Secure\Common\FIH32.EXE
C:\Programme\F-Secure\Anti-Virus\fsav32.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\NWTRAY.EXE
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\F-Secure\Common\FSM32.EXE
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
C:\Programme\Gemeinsame Dateien\System\MAPI\1031\nt\MAPISP32.EXE
C:\WINNT\msagent\AgentSvr.exe
C:\Programme\Microsoft Office\Office\WINWORD.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\unzipped\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://192.168.71.6/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://intranet/netz/index.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.71.2:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 192.168.*,192,10,*.cbp.net;<local>
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: MSEvents Object - {B313D637-F405-4052-AC37-E2119AB3C8F8} - C:\WINNT\system32\nnljh.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [TCASUTIEXE] TCAUDIAG -off
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O14 - IERESET.INF: START_PAGE_URL=http://intranet/netz/index.html
O16 - DPF: {1F831FA3-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://C:\ADT33\InstFred.ocx
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} -
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday-Steuerung) - file://C:\ADT33\AcDcToday.ocx
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file://C:\ADT33\AcPreview.ocx
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = cbp.net
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = cbp.net
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = cbp.net
O20 - Winlogon Notify: nnljh - C:\WINNT\system32\nnljh.dll
O23 - Service: AutoShutdown - Dell Computer Corporation - C:\WINNT\System32\PSSVC.EXE
O23 - Service: pcAnywhere Host Service (awhost32) - Symantec Corporation - C:\Programme\Symantec\pcAnywhere\awhost32.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Programme\F-Secure\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Programme\F-Secure\Common\FNRB32.EXE
O23 - Service: F-Secure Authentication Agent (FSAA) - F-Secure Corporation. All Rights Reserved. - C:\Programme\F-Secure\Common\FSAA.EXE
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Programme\F-Secure\Common\FSMA32.EXE
O23 - Service: Novell Application Launcher (NALNTSERVICE) - Novell, Inc. - C:\WINNT\System32\NALNTSRV.EXE
O23 - Service: Z.E.N.works Remote Control Agent (Novell WUser Agent) - Unknown owner - C:\NOVELL\ZENRC\wuser32.exe

#5 Hallo,
ich hoffe es ist in Ordnung wenn ich mich kurz einmische, aber mit look2me wird das hier nichts zu tun haben. Hier scheint mir ein Vundo.b (vielleicht auch andere Variante) vorzuliegen, zu erkennen an der Kombination dieser Einträge(besonders auch an dem MSEvents Object):
O2 - BHO: MSEvents Object - {B313D637-F405-4052-AC37-E2119AB3C8F8} - C:\WINNT\system32\nnljh.dll
O20 - Winlogon Notify: nnljh - C:\WINNT\system32\nnljh.dll

Mit dieser Anleitung ist das meist zu beseitigen. Auf jeden Fall danach nochmal ein neues HijackThis Log posten.


P.S. Dein Java bräuchte mal dringend wieder ein Update (Systemsteuerung>>Java in der Karteikarte Aktualisierung auf "jetzt aktualisieren" klicken).


Grüße Wildone

#6 natuerlich ist es ein Vundoooo --> Troj/ConHook-C
http://virus-protect.org/artikel/tools/vundofix.html

aber ich will alle dll sehen, die dazugehoeren und deshalb brauche ich die Option1 von L2mfix
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Hallo,
ups, okay dann will ich nichts gesagt haben, ich hatte das l2m Tool bisher immer nur zur look2me Erkennung verwendet.


Grüße Wildone

#8 da Tool ist nicht nur fuer Look2Me gut...es ist ein hervorragendes Erkennungstool, was dll und andere Dateien betrifft
__________
MfG Sabina

rund um die PC-Sicherheit

#9 sorry, was meinst du mit dem Log zu Opt. 1? Die Web-Adresse von diesem bildlosen Fenster?
Die steht nämlich bei #1 dabei.

hilflose Grüsse
Cass

#10

Zitat

L2mfix
http://www.downloads.subratam.org/l2mfix.exe

# Speichern der Datei auf dem Desktop und doppel-klicken l2mfix.exe.

# Klicken auf Installieren um die Dateien zu extrahieren und folgen Sie den Anweisungen während der Installation.

# Dann öffnen Sie den auf Ihrem Desktop neuerstellten Ordner l2mfix

# Doppel-klicken Datei l2mfix.bat und tippen sie eine 1 und drücken Sie [Enter], um Findlog laufen zu lassen. Dies wird Ihren Computer scannen. Es kann sein, das es so aussieht als ob nichts passiert, aber nach 1 oder 2 Minuten wird sich Notepad mit einem Log öffnen.

# Kopieren Sie den Inhalt durch Strg+A und fügen Sie den Inhalt in Ihren Thread durch Strg+V...oder einfach mit der Maus abkopieren.

http://virus-protect.org/l2mfix.html

__________
MfG Sabina

rund um die PC-Sicherheit

#11 OK. Hier nun der L2Mfix log

hoffnungsfrohe grüsse
Cass


L2MFIX find log 1.99
These are the registry keys present
**********************************************************************************
Winlogon/notify:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\
6c,00,00,00
"Logoff"="ChainWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Logoff"="CryptnetWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\nnljh]
"Asynchronous"=dword:00000001
"DllName"="C:\\WINNT\\system32\\nnljh.dll"
"Impersonate"=dword:00000000
"Startup"="SysLogon"
"Logoff"="SysLogoff"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00

**********************************************************************************
useragent:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"LDE0308a"="IEAK"

**********************************************************************************
Shell Extension key:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell

C:\WINNT\SYSTEM32\
mtxlegih.dll Mon 5 Sep 2005 9:18:24 A.... 35.600 34,77 K
comsvcs.dll Mon 5 Sep 2005 9:18:22 A.... 1.477.904 1,41 M
msdtctm.dll Mon 5 Sep 2005 9:18:22 A.... 1.200.400 1,14 M
es.dll Mon 5 Sep 2005 9:18:20 A.... 242.960 237,27 K
mtxclu.dll Mon 5 Sep 2005 9:18:22 A.... 52.496 51,27 K
mtxoci.dll Mon 5 Sep 2005 9:18:24 A.... 122.640 119,77 K
dxtrans.dll Fri 2 Sep 2005 16:35:16 A.... 192.000 187,50 K
linkinfo.dll Fri 23 Sep 2005 12:03:10 A.... 17.680 17,27 K
mshtml.dll Tue 4 Oct 2005 12:33:40 A.... 2.700.288 2,57 M
mstime.dll Fri 2 Sep 2005 17:31:26 A.... 496.128 484,50 K
shlwapi.dll Mon 12 Sep 2005 5:00:28 A.... 409.600 400,00 K
catsrv.dll Mon 5 Sep 2005 9:18:20 A.... 165.648 161,77 K
gdi32.dll Fri 7 Oct 2005 7:19:30 A.... 233.744 228,27 K
wvwuu.dll Thu 10 Nov 2005 7:19:56 ..SH. 28.173 27,51 K
quartz.dll Tue 30 Aug 2005 9:26:24 A.... 1.233.408 1,18 M
nnljh.dll Fri 11 Nov 2005 8:50:18 ..SH. 544.788 532,02 K
txfaux.dll Mon 5 Sep 2005 9:18:20 A.... 398.608 389,27 K
danim.dll Fri 2 Sep 2005 11:07:00 A.... 988.160 965,00 K
comrepl.dll Mon 5 Sep 2005 9:18:20 A.... 99.088 96,77 K
olecnv32.dll Mon 5 Sep 2005 9:18:20 A.... 36.624 35,77 K
cdosys.dll Tue 30 Aug 2005 10:29:34 A.... 2.532.112 2,41 M
umpnpmgr.dll Fri 2 Sep 2005 10:24:00 A.... 94.992 92,77 K
catsrvut.dll Mon 5 Sep 2005 9:18:20 A.... 595.728 581,77 K
clbcatex.dll Mon 5 Sep 2005 9:18:20 A.... 97.040 94,77 K
urlmon.dll Fri 2 Sep 2005 17:31:26 A.... 458.752 448,00 K
winsrv.dll Fri 23 Sep 2005 12:03:12 A.... 245.520 239,77 K
shell32.dll Fri 23 Sep 2005 12:03:10 A.... 2.385.168 2,27 M
webvw.dll Fri 23 Sep 2005 12:03:12 A.... 1.122.576 1,07 M
clbcatq.dll Mon 5 Sep 2005 9:18:20 A.... 551.184 538,27 K
colbact.dll Mon 5 Sep 2005 9:18:20 A.... 41.744 40,77 K
comuid.dll Mon 5 Sep 2005 9:18:22 A.... 641.296 626,27 K
msdtclog.dll Mon 5 Sep 2005 9:18:22 A.... 96.016 93,77 K
msdtcprx.dll Mon 5 Sep 2005 9:18:22 A.... 739.600 722,27 K
olecli32.dll Mon 5 Sep 2005 9:18:20 A.... 69.392 67,77 K
msdtcui.dll Mon 5 Sep 2005 9:18:22 A.... 153.872 150,27 K
mtxdm.dll Mon 5 Sep 2005 9:18:24 A.... 26.896 26,27 K
ole32.dll Mon 5 Sep 2005 9:18:18 A.... 957.712 935,27 K
rpcss.dll Mon 5 Sep 2005 9:18:20 A.... 212.240 207,27 K
stclient.dll Mon 5 Sep 2005 9:18:24 A.... 71.440 69,77 K
xolehlp.dll Mon 5 Sep 2005 9:18:24 A.... 20.240 19,77 K

40 items found: 40 files (2 H/S), 0 directories.
Total of file sizes: 21.789.457 bytes 20,78 M
Locate .tmp files:

C:\WINNT\SYSTEM32\
hjlnn.tmp Thu 17 Nov 2005 14:27:54 ..SH. 382.170 373,21 K

1 item found: 1 file (1 H/S), 0 directories.
Total of file sizes: 382.170 bytes 373,21 K
**********************************************************************************
Directory Listing of system files:
Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 07D0-0915

Verzeichnis von C:\WINNT\System32

21.11.2005 15:29 441.449 hjlnn.bak2
21.11.2005 15:09 441.225 hjlnn.ini2
21.11.2005 15:00 442.478 hjlnn.bak1
17.11.2005 16:45 382.255 hjlnn.ini
17.11.2005 14:27 382.170 hjlnn.tmp
11.11.2005 08:50 544.788 nnljh.dll
10.11.2005 07:19 28.173 wvwuu.dll
21.09.2000 18:59 <DIR> dllcache
7 Datei(en) 2.662.538 Bytes
1 Verzeichnis(se), 2.165.596.160 Bytes frei

#12 oben im Browser: Datei -- Seite speichern unter.. -- wähle "Desktop" -- speichern --> dann erscheint eine vundo.reg auf dem Desktop

http://virus-protect.org/reg/vundo.reg

--------------------------------------------------------------------------
VundoFix.exe
http://www.atribune.org/downloads/VundoFix.exe
http://virus-protect.org/artikel/tools/vundofix.html

reinkopieren:

C:\WINNT\system32\nnljh.dll

# Enter -> F6 --> Enter
# dann wird erscheinen:
Please type in the second filepath as instructed by the forum staff Then Press Enter, Then F6, Then Enter Again to continue with the fix.

# Enter --> dann die F6 Taste --> Enter
reinkopieren:

C:\WINDOWS\system32\hjlnn.*

# Enter --> F6 --> Enter
# HijackThis wird sich oeffnen
# In HijackThis --> Haekchen setzen vor diese Eintraege --> FIX CHECKED:

O2 - BHO: MSEvents Object - {B313D637-F405-4052-AC37-E2119AB3C8F8} - C:\WINNT\system32\nnljh.dll
O20 - Winlogon Notify: nnljh - C:\WINNT\system32\nnljh.dll

# schliesse Hijackthis, druecke irgendeine Taste und der PC wird neustarten
# es wird einen"Blue Screen of Death" geben, das ist normal

# schliesse Hijackthis, druecke irgendeine Taste und der PC wird neustarten
# es wird einen"Blue Screen of Death" geben, das ist normal

Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "vundo.reg" auf dem Desktop doppelklicken und bestaetigen, dass sie der Registry beigefuegt wird


KILLBOX
http://virus-protect.org/killbox.html
Delete File on Reboot -- anhaken
reinkopieren:

C:\WINNT\system32\wvwuu.dll

und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "yes

PC neustarten

wende CleanUp an
http://virus-protect.org/cleanup.html
__________
MfG Sabina

rund um die PC-Sicherheit

#13 okay - bin wohl zu dämlich - VundoFix.exe ist installiert - vundureg gibt's auch kann da aber nicht's reinkopieren, sonder werde nur gefragt ob ich die Information C:\.......vundo.reg zur Registrierung hinzufügen möchten. Das wars dann auch schon. Dann gibt's da noch eine ReadMe.txt datei einen process.exe und einen killvundo.exe. process habe ich mal angeklickt -> kommt für eine millisekunde ein DOS ähnl. Bildschirm - der dann aber auch sofort wieder weg ist. Wo kopiere ich jetzt was rein?

Silly Me

#14

Zitat

Double-click VundoFix.exe to extract the files
This will create a VundoFix folder on your desktop.
After the files are extracted, please reboot your computer into Safe Mode. You can do this by restarting your computer and continually tapping the F8 key until a menu appears. Use your up arrow key to highlight Safe Mode then hit enter.

Once in safe mode open the VundoFix folder and doubleclick on KillVundo.bat

You will first be presented with a warning and a list of forums to seek help at.
it should look like this:

At this point press Enter one time.
Next you will see:
"Type in the filepath as instructed by the forum staff
Then Press Enter, Then F6, Then Enter Again to continue with the fix."
At this point please type the following file path (make sure to enter it exactly as below!):




reinkopieren:

C:\WINNT\system32\nnljh.dll

# Enter -> F6 --> Enter
# dann wird erscheinen:
Please type in the second filepath as instructed by the forum staff Then Press Enter, Then F6, Then Enter Again to continue with the fix.

# Enter --> dann die F6 Taste --> Enter
reinkopieren:

C:\WINDOWS\system32\hjlnn.*

# Enter --> F6 --> Enter
# HijackThis wird sich oeffnen

usw. usw....
__________
MfG Sabina

rund um die PC-Sicherheit

#15 Danke!
Hab's gestern doch noch hinbekommen. Scheint funktioniert zu haben - bis jetzt war den ganzen Tag keins dieser lästigen Fenster da.

Vielen Dank!

Cass