Home » Spyware & Browser Hijacker Support Forum » Spyware Infection » Themenansicht

Spyware Infection

Thema ist geschlossen!
Thema ist geschlossen!
#0
07.01.2006, 23:52
Avatar
Member

Beiträge: 13
#1 nabend zusammen!

ich habe da ein problem mit der spyware. sobald ich den browser öffne werde ich auf C:\secure32.html umgeleitet. Als warnmeldung bekomme ich dann folgenden hinweis Detected SPYware! System error #384

ich habe schon sämtliche virenprogramme etc. drüberlaufen lassen...aber ohne wirklichen erfolg!

könnte mir vielleicht einer weiterhelfen wenn ich meine logfiles (Logfile of HijackThis v1.99.1) poste? ich weis auch nicht wirklich welche ich fixen kann / darf! die automatische auswertung der logfiles hat leider auch nichts gebracht!

MfG
AVATAR
Seitenanfang Seitenende
08.01.2006, 00:08
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hijackthis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.01.2006, 01:01
Avatar
Member

Themenstarter

Beiträge: 13
#3 so hier sind sie:

Logfile of HijackThis v1.99.1
Scan saved at 01:00:30, on 08.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\htpatch.exe
C:\WINDOWS\system32\RunDll32.exe
F:\Programme\DAEMON Tools\daemon.exe
F:\Programme\Anti-Blaxx\Anti-Blaxx.exe
F:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
F:\spiele\steam\steam.exe
F:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Internet Explorer\iexplore.exe
F:\Sven\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [DAEMON Tools] "F:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Anti-Blaxx Manager] F:\Programme\Anti-Blaxx\Anti-Blaxx.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [WinampAgent] F:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "f:\spiele\steam\steam.exe" -silent
O4 - HKCU\..\Run: [SpybotSD TeaTimer] F:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\system32\paytime.exe
O4 - Startup: Xfire.lnk = F:\Programme\Xfire\Xfire.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

vielen dank schon mal im vorraus!!

MfG
AVATAR
Seitenanfang Seitenende
08.01.2006, 11:43
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 stelle den Cleaner genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

kopiere hier die 4 Textdateien (3 Monate vom Datum her genuegen)
http://virus-protect.org/datfindbat.html
-------------------

schreibe mir bitte, wozu dieses Programm dient:
C:\Programme\Anti-Blaxx
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.01.2006, 17:06
Avatar
Member

Themenstarter

Beiträge: 13
#5 Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4CEA-E186

Verzeichnis von C:\WINDOWS\system32

08.01.2006 16:57 29.204 nvapps.xml
07.01.2006 23:58 7.006 jupdate-1.5.0_06-b05.log
06.01.2006 18:18 7.110 paytime.exe
06.01.2006 17:13 2.206 wpa.dbl
31.12.2005 15:35 39.992 perfc009.dat
31.12.2005 15:35 48.156 perfc007.dat
31.12.2005 15:35 316.594 perfh007.dat
31.12.2005 15:35 311.604 perfh009.dat
31.12.2005 15:35 723.744 PerfStringBackup.INI
31.12.2005 15:33 90.296 FNTCACHE.DAT
29.12.2005 23:09 34.064 lhacm.acm
29.12.2005 03:54 280.064 gdi32.dll
29.12.2005 02:07 2.293 sdbackup.reg
28.12.2005 22:05 13.280 PQ_DEBUG.TXT
28.12.2005 22:05 985 PQ_BATCH.PQB
28.12.2005 20:51 261 $winnt$.inf
28.12.2005 20:47 2.951 CONFIG.NT
28.12.2005 20:47 16.832 amcompat.tlb
28.12.2005 20:47 23.392 nscompat.tlb
28.12.2005 20:45 488 WindowsLogon.manifest
28.12.2005 20:45 488 logonui.exe.manifest
28.12.2005 20:45 749 wuaucpl.cpl.manifest
28.12.2005 20:45 749 ncpa.cpl.manifest
28.12.2005 20:45 749 nwc.cpl.manifest
28.12.2005 20:45 749 cdplayer.exe.manifest
28.12.2005 20:45 749 sapi.cpl.manifest
28.12.2005 20:39 21.740 emptyregdb.dat
28.12.2005 20:35 0 h323log.txt
08.12.2005 16:25 2.723.680 MRT.exe
01.12.2005 04:31 1.492.480 shdocvw.dll
24.11.2005 00:58 3.013.632 mshtml.dll
24.11.2005 00:58 1.022.464 browseui.dll
10.11.2005 13:03 127.078 javaws.exe
10.11.2005 13:03 49.265 jpicpl32.cpl
10.11.2005 11:27 49.250 javaw.exe
10.11.2005 11:27 49.248 java.exe
05.11.2005 04:16 606.208 urlmon.dll
05.11.2005 04:16 1.056.256 danim.dll
21.10.2005 04:40 664.064 wininet.dll

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4CEA-E186

Verzeichnis von C:\DOKUME~1\EIKEPA~1\LOKALE~1\Temp

08.01.2006 16:57 32.768 ~DFCE61.tmp
08.01.2006 15:30 32.768 ~DF1721.tmp
2 Datei(en) 65.536 Bytes
0 Verzeichnis(se), 6.106.411.008 Bytes frei



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4CEA-E186

Verzeichnis von C:\WINDOWS

08.01.2006 16:57 155 winamp.ini
08.01.2006 15:31 0 0.log
08.01.2006 15:30 540.354 WindowsUpdate.log
08.01.2006 15:30 2.048 bootstat.dat
08.01.2006 02:07 5.318 SchedLgU.Txt
07.01.2006 23:58 283.264 setupapi.log
07.01.2006 01:00 284.129 iis6.log
07.01.2006 01:00 87.644 comsetup.log
07.01.2006 01:00 51.442 ntdtcsetup.log
07.01.2006 01:00 12.137 tabletoc.log
07.01.2006 01:00 108.922 tsoc.log
07.01.2006 01:00 1.355 imsins.log
07.01.2006 01:00 12.855 ocmsn.log
07.01.2006 01:00 11.075 KB912919.log
07.01.2006 01:00 16.362 MedCtrOC.log
07.01.2006 01:00 40.695 netfxocm.log
07.01.2006 01:00 11.686 msgsocm.log
07.01.2006 01:00 116.792 ocgen.log
07.01.2006 01:00 227.936 FaxSetup.log
07.01.2006 01:00 76.522 msmqinst.log
07.01.2006 01:00 13.113 updspapi.log
06.01.2006 18:19 1.999 desktop.html
06.01.2006 18:18 3.048 secure32.html
06.01.2006 18:18 31.744 soft.exe
04.01.2006 00:38 50 wiaservc.log
04.01.2006 00:38 214 wiadebug.log
31.12.2005 16:15 176.330 setupact.log
31.12.2005 01:39 1.393 imsins.BAK



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 4CEA-E186

Verzeichnis von C:\

08.01.2006 17:02 0 sys.txt
08.01.2006 17:02 6.445 system.txt
08.01.2006 17:01 344 systemtemp.txt
08.01.2006 16:58 93.496 system32.txt
08.01.2006 15:30 805.306.368 pagefile.sys
06.01.2006 18:18 3.048 secure32.html
06.01.2006 18:18 31.744 winstall.exe
28.12.2005 22:05 211 boot.ini
28.12.2005 20:47 0 IO.SYS
28.12.2005 20:47 0 MSDOS.SYS
28.12.2005 20:47 0 AUTOEXEC.BAT
28.12.2005 20:47 0 CONFIG.SYS
31.12.2002 13:00 4.952 bootfont.bin
31.12.2002 13:00 251.184 ntldr
31.12.2002 13:00 47.564 NTDETECT.COM
15 Datei(en) 805.745.356 Bytes
0 Verzeichnis(se), 6.106.398.720 Bytes frei



so ich hoffe es ist alles komplett!

ach ja die datei Anti-Blaxx ist nichts gefährliches!

Danke nochmal!

MfG
AVATAR
Seitenanfang Seitenende
08.01.2006, 17:22
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 AVATAR

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\system32\paytime.exe


KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
reinkopieren:
...
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\WINDOWS\system32\paytime.exe
C:\secure32.html
C:\winstall.exe
C:\WINDOWS\desktop.html
C:\WINDOWS\secure32.html
C:\WINDOWS\soft.exe

PC neustarten

Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.


kopiere hier das Log vom Silentrunner
http://virus-protect.org/silentrunner.html
----------------------------------------------------

c:\secure32.html
http://virus-protect.org/artikel/spyware/secure_32.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.01.2006, 10:37
Avatar
Member

Themenstarter

Beiträge: 13
#7 so hier noch das Log vom Silentrunner:




"Silent Runners.vbs", revision 42, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"Steam" = ""f:\spiele\steam\steam.exe" -silent" ["Valve Corporation"]
"SpybotSD TeaTimer" = "F:\Programme\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"]

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\ {++}
"ICQ Lite" = "C:\Programme\ICQLite\ICQLite.exe -trayboot" ["ICQ Ltd."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS]
"HTpatch" = "C:\WINDOWS\htpatch.exe" [null data]
"SiSUSBRG" = "C:\WINDOWS\SiSUSBrg.exe" ["Silicon Integrated Systems Corp."]
"Cmaudio" = "RunDll32 cmicnfg.cpl,CMICtrlWnd" [MS]
"DAEMON Tools" = ""F:\Programme\DAEMON Tools\daemon.exe" -lang 1033" ["DT Soft Ltd."]
"Anti-Blaxx Manager" = "F:\Programme\Anti-Blaxx\Anti-Blaxx.exe" [null data]
"ICQ Lite" = "C:\Programme\ICQLite\ICQLite.exe -minimize" ["ICQ Ltd."]
"WinampAgent" = "F:\Programme\Winamp\winampa.exe" [null data]
"SunJavaUpdateSched" = "C:\Programme\Java\jre1.5.0_06\bin\jusched.exe" ["Sun Microsystems, Inc."]
"PayTime" = "C:\WINDOWS\system32\paytime.exe" [file not found]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "F:\Programme\Spybot - Search & Destroy\SDHelper.dll" ["Safer Networking Limited"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = "SSVHelper Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
"{21569614-B795-46b1-85F4-E737A8DC09AD}" = "Shell Search Band"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll" [MS]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Group Policies [Description] {enabled Group Policy setting}:
------------------------------------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
HIJACK WARNING! "ForceActiveDesktopOn"=dword:00000001
[enables Active Desktop and prevents disabling it]
{User Configuration|Administrative Templates|Desktop|Active Desktop|
Enable Active Desktop}

HIJACK WARNING! "Wallpaper" = "C:\WINDOWS\desktop.html"
[disables the Display Properties|Desktop (tab) (except the "Customize
Desktop..." button); selects wallpaper and enables Active Desktop]
{User Configuration|Administrative Templates|Desktop|Active Desktop|
Active Desktop Wallpaper|Wallpaper Name:}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop enabled via Group Policy.

Wallpaper selected via Group Policy.


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\

HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0\
"SCRNSAVE.EXE" = "C:\WINDOWS\system32\logon.scr" [MS]


Startup items in "Eike Pauls" & "All Users" startup folders:
------------------------------------------------------------

C:\Dokumente und Einstellungen\Eike Pauls\Startmenü\Programme\Autostart
"Xfire" -> shortcut to: "F:\Programme\Xfire\Xfire.exe" ["Xfire Inc."]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 11
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{855F3B16-6D32-4FE6-8A56-BBB695989046}" = "ICQ Toolbar" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQToolbar\toolbaru.dll" ["ICQ Inc."]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{855F3B16-6D32-4FE6-8A56-BBB695989046}" = "ICQ Toolbar" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQToolbar\toolbaru.dll" ["ICQ Inc."]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBC}"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll" ["Sun Microsystems, Inc."]

{B863453A-26C3-4E1F-A54D-A2CD196348E9}\
"ButtonText" = "ICQ Lite"
"MenuText" = "ICQ Lite"
"Exec" = "C:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Miscellaneous IE Hijack Points
------------------------------

HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\

Missing lines (compared with English-language version):
"{855F3B16-6D32-4fe6-8A56-BBB695989046}" = "ICQ Toolbar" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQToolbar\toolbaru.dll" ["ICQ Inc."]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
took 20 seconds.
+ The search for all Registry CLSIDs containing dormant Explorer Bars
took 7 seconds.
---------- (total run time: 45 seconds)
Seitenanfang Seitenende
09.01.2006, 11:06
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 AVATAR

Gehe in die Registry
Start-->Ausfuehren--> regedit

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\
"Wallpaper" = "C:\WINDOWS\desktop.html"

-----------------------------------------------------------------------------

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als sheriff.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "sheriff.reg" auf dem Desktop doppelklicken.

Zitat

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PayTime"=-

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoViewContextMenu"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoViewContextMenu"=-
"NoActiveDesktop"=-
"ForceActiveDesktopOn"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop]
"NoChangingWallPaper"=-
"NoComponents"=-
"NoAddingComponents"=-
"NoDeletingComponents"=-
"NoEditingComponents"=-
"NoHTMLWallpaper"=-
scanne mit kaspersky und kopiere hier den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.01.2006, 11:18
Avatar
Member

Themenstarter

Beiträge: 13
#9 hi sabina!

du die
"Wallpaper" = "C:\WINDOWS\desktop.html" ist in
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
nicht enthalten. es gibt diese aber in HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System. Was soll ich machen?

MfG
Avatar
Seitenanfang Seitenende
09.01.2006, 11:29
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 dann loesche sie dort, wo du sie gefunden hast ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.01.2006, 11:41
Avatar
Member

Themenstarter

Beiträge: 13
#11 ich habe noch etwas.... ;-)

und zwar kann der die reg datei im abgesichertem modus nicht importieren....er sagt es sein keine regestrierungsdatei??

muss ich beim speicher die codierung änder? die steht jetzt auf ANSI !

oder hast du sonst eine idee woran es liegen könnte?
Seitenanfang Seitenende
09.01.2006, 11:46
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 ich hatte einen klitzekleinen Fehler gemacht...ist schon korigiert ;) mache refresh und kopiere die reg neu...dann wird es klappen ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.01.2006, 13:42
Avatar
Member

Themenstarter

Beiträge: 13
#13 so es hat etwas gedauert aber hier ist der report:


-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Monday, January 09, 2006 13:41:35
Operating System: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version: 5.0.67.0
Kaspersky Anti-Virus database last update: 9/01/2006
Kaspersky Anti-Virus database records: 159682
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - My Computer:
A:\
C:\
D:\
E:\
F:\
G:\

Scan Statistics:
Total number of scanned objects: 27060
Number of viruses found: 2
Number of infected objects: 6
Number of suspicious objects: 0
Duration of the scan process: 2894 sec

Infected Object Name - Virus Name
C:\!KillBox\paytime.exe Infected: Trojan.Win32.StartPage.agq
C:\!KillBox\soft.exe Infected: not-virus:Hoax.Win32.Renos.an
C:\!KillBox\winstall.exe Infected: not-virus:Hoax.Win32.Renos.an
C:\System Volume Information\_restore{6A7D7076-A11F-421D-9B29-DC75CD5F96D1}\RP12\A0004295.exe Infected: Trojan.Win32.StartPage.agq
C:\System Volume Information\_restore{6A7D7076-A11F-421D-9B29-DC75CD5F96D1}\RP12\A0004296.exe Infected: not-virus:Hoax.Win32.Renos.an
C:\System Volume Information\_restore{6A7D7076-A11F-421D-9B29-DC75CD5F96D1}\RP12\A0004297.exe Infected: not-virus:Hoax.Win32.Renos.an

Scan process completed.
Seitenanfang Seitenende
09.01.2006, 13:44
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 deaktiviere die systemwiederherstellung, loesche manuell:
C:\!KillBox\paytime.exe
C:\!KillBox\soft.exe
C:\!KillBox\winstall.exe

dann aktiviere die Systemwiederherstellung wieder.
dann sollte eigentlich wieder alles in Ordnung sein ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.01.2006, 13:49
Avatar
Member

Themenstarter

Beiträge: 13
#15 mhhh...wie deaktiviere / aktiviere ich sie?
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 12