Browser und Desktop spinnen |
||
---|---|---|
#0
| ||
15.01.2006, 17:44
Member
Beiträge: 14 |
||
|
||
15.01.2006, 21:11
Moderator
Beiträge: 7805 |
#2
Dann gib uns mal ein paar mehr infos. Ein Hijackthis log waere schon ein guter Anfang. Haben deine AV und Adaware programme schon was gefunden und bereinigt?
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
15.01.2006, 21:23
Member
Themenstarter Beiträge: 14 |
#3
ja, hab alles durchgeprüft,
adaware:alles gesäubert, antivir: 1Virus bzw unerwünsches Programm: BDS/HacDef.BJ, Regfreeze hat auch 9 sachen gefunden (kann sie nur nicht entfernen, da keine Vollversion, das gleiche übrigens mit eScan) mir fallen auch langsam keine Virenscanner mehr ein. MFG Emanuel |
|
|
||
15.01.2006, 21:39
Moderator
Beiträge: 7805 |
#4
Wie waere es mit einem Hijackthis log?
http://cidres-security.de/hijackthis.html und ein Blacklight log: Nutzte bitte Blacklight http://www.f-secure.com/blacklight/try.shtml Lade es herunter, entpacke es in einen extra Ordner, starte es, waehle folgendes, erst " i acept the agreement", dann "scan", warte bis es den Rechner geprueft hat, dann "next" und "exit". Es befindet sich nun eine TXT Datei in dem Ordner, in dem sich auch Blacklight befindet, post es bitte hier. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
15.01.2006, 21:55
Member
Themenstarter Beiträge: 14 |
#5
Logfile of HijackThis v1.99.1
Scan saved at 21:52:02, on 15.01.2006 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKService.exe C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKWCtl.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\ICQLite\ICQLite.exe C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE C:\Programme\AVPersonal\AVSched32.EXE C:\Programme\Java\jre1.5.0_04\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\Programme\OpenOffice.org1.1.4\program\soffice.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Emanuel\Desktop\Hijyk\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/freenet R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: SIPAKBHO Class - {40FB69E1-9B7B-453F-B238-37D8E9528929} - C:\Programme\AntiVirenKit InternetSecurity\Webfilter\PAKIEPlugins.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: Offliner AdFilter Helper - {DC9377A2-2E8D-44A1-99DB-F8A821DF254D} - C:\WINDOWS\system32\SiPlugins.dll O3 - Toolbar: WebFilter-Leiste - {75CD0BC5-E317-449C-9FF6-4986B3D48F64} - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\PAKIEGUI.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE" O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Startup: OpenOffice.org 1.1.4.lnk = C:\Programme\OpenOffice.org1.1.4\program\quickstart.exe O4 - Startup: RegFreeze.lnk = C:\Programme\RegFreeze\regfreeze.exe O4 - Global Startup: hp psc 1000 series.lnk = ? O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html O8 - Extra context menu item: Add selected links to Link Container - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\System\Scripts\off_collector_sel.htm O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Show domain links - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\System\Scripts\off_domain_links.htm O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: Preispiraten 2.1.2 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten\Preispiraten2\preispiraten2ie.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: eBay Homepage - {D4951B60-8FF9-4813-B716-FF3E75386E74} - http://www.preispiraten.de/cgi-bin/e/tracker_short.pl?http://www.ebay.de (file missing) O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {B40643CD-83EE-4E2B-B70F-CD2C3CD023CE} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {B40643CD-83EE-4E2B-B70F-CD2C3CD023CE} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game09.zylom.com/activex/zylomgamesplayer.cab O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://download.games.yahoo.com/games/web_games/popcap/bejeweled2/popcaploader_v6.cab O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKService.exe O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKWCtl.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe O23 - Service: AntiVir Update Temp (TmpUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\DOKUME~1\EMANUEL\LOKALE~1\TEMP\_VWUPSRV.EXE das blacklighttool hat nix gefunden. mfg Emanuel |
|
|
||
15.01.2006, 22:11
Moderator
Beiträge: 7805 |
#6
avk ist ja auch kein schlechter scanner.Auffaellig ist da so nichts. haenge bitte die dirdat.txt hier an
http://board.protecus.de/t21471-1.htm#213002 Ein silentrunner log waere auch gut. http://www.silentrunners.org/ einfach die vbs datei herunterladen und pruefen lassen. Warte einige zeit, bis es ein logfile auf deinem desktop erstellt hat und poste den inhalt hier __________ MfG Ralf SEO-Spam Hunter |
|
|
||
15.01.2006, 22:30
Member
Themenstarter Beiträge: 14 |
#7
"Silent Runners.vbs", revision 43, http://www.silentrunners.org/
Operating System: Windows XP Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "SpybotSD TeaTimer" = "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"] HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\ {++} "ICQ Lite" = "C:\Programme\ICQLite\ICQLite.exe -trayboot" ["ICQ Ltd."] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "SoundMan" = "SOUNDMAN.EXE" ["Avance Logic, Inc."] "AVK Mail Checker" = ""C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE"" ["G DATA Software AG"] "AVSCHED32" = "C:\Programme\AVPersonal\AVSched32.EXE /min" ["H+BEDV Datentechnik GmbH"] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx" [empty string] {40FB69E1-9B7B-453F-B238-37D8E9528929}\(Default) = "SIPAKBHO Class" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "C:\Programme\AntiVirenKit InternetSecurity\Webfilter\PAKIEPlugins.dll" ["TODO: <Company name>"] {53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided) -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Spybot - Search & Destroy\SDHelper.dll" ["Safer Networking Limited"] {AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = "Google Toolbar Helper" [from CLSID] -> {CLSID}\InProcServer32\(Default) = "c:\programme\google\googletoolbar1.dll" ["Google Inc."] {DC9377A2-2E8D-44A1-99DB-F8A821DF254D}\(Default) = "Offliner AdFilter Helper" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\SiPlugins.dll" [null data] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."] "{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop-Explorer" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"] "{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\nvshell.dll" ["NVIDIA Corporation"] "{E0D79304-84BE-11CE-9641-444553540000}" = "WinZip" -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."] "{E0D79305-84BE-11CE-9641-444553540000}" = "WinZip" -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."] "{E0D79306-84BE-11CE-9641-444553540000}" = "WinZip" -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."] "{E0D79307-84BE-11CE-9641-444553540000}" = "WinZip" -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] "{E8D43C7E-EFA1-41A2-9AD9-0CFECD1678B7}" = "SafeErase" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Dateinentferner\SafeErase\oosesh.dll" ["O&O Software GmbH"] "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] "{63542C48-9552-494A-84F7-73AA6A7C99C1}" = "OpenOffice Property Sheet Handler" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\OpenOffice.org1.1.4\program\shlxthdl.dll" ["Sun Microsystems, Inc."] "{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS] "{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu" -> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS] "{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"] AVK9CM\(Default) = "{CAF4C320-32F5-11D3-A222-004095200FF2}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\AntiVirenKit InternetSecurity\AVK\ShellExt.dll" [empty string] ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] SafeErase\(Default) = "{E8D43C7E-EFA1-41A2-9AD9-0CFECD1678B7}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Dateinentferner\SafeErase\oosesh.dll" ["O&O Software GmbH"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}" -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}" -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ AntiVir/Win\(Default) = "{a7cda720-84ee-11d0-b5c0-00001b3ca278}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\AVPersonal\AVShlExt.DLL" ["H+BEDV Datentechnik GmbH"] AVK9CM\(Default) = "{CAF4C320-32F5-11D3-A222-004095200FF2}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\AntiVirenKit InternetSecurity\AVK\ShellExt.dll" [empty string] SafeErase\(Default) = "{E8D43C7E-EFA1-41A2-9AD9-0CFECD1678B7}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\Dateinentferner\SafeErase\oosesh.dll" ["O&O Software GmbH"] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}" -> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."] Group Policies [Description]: ----------------------------- HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ HIJACK WARNING! "ForceActiveDesktopOn"=dword:00000001 [enables Active Desktop and prevents disabling it] Active Desktop and Wallpaper: ----------------------------- Active Desktop enabled via Group Policy. HKCU\Software\Microsoft\Internet Explorer\Desktop\General\ "Wallpaper" = "C:\Dokumente und Einstellungen\Emanuel\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Active Desktop web content: HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0\ "FriendlyName" = "" "Source" = "C:\DOKUME~1\Emanuel\LOKALE~1\Temp\ec26c4e1b.html" "SubscribedURL" = "C:\DOKUME~1\Emanuel\LOKALE~1\Temp\ec26c4e1b.html" Startup items in "Emanuel" & "All Users" startup folders: --------------------------------------------------------- C:\Dokumente und Einstellungen\Emanuel\Startmenü\Programme\Autostart "OpenOffice.org 1.1.4" -> shortcut to: "C:\Programme\OpenOffice.org1.1.4\program\quickstart.exe" [null data] "RegFreeze" -> shortcut to: "C:\Programme\RegFreeze\regfreeze.exe" ["ActualResearch.com"] C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart "hp psc 1000 series" -> shortcut to: "C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe" ["Hewlett-Packard Co."] Enabled Scheduled Tasks: ------------------------ "FRU Task #Hewlett-Packard#hp psc 1200 series#1123514803" -> launches: "C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe -I "#Hewlett-Packard#hp psc 1200 series#1123514803"" [empty string] "WebReg 20050808172848" -> launches: "C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqwrg.exe /TaskName 20050808172848 /N "HP psc 1200 Series" /M Q1662A /S HU35FCP1ZD8X /AP 303 /F /T " ["Hewlett-Packard Co."] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 17 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Anhang: dirdat.txt
|
|
|
||
15.01.2006, 22:34
Ehrenmitglied
Beiträge: 6028 |
#8
RegFreeze gehört zum CWS-Syndikat also entfernen!
http://www.spywarewarrior.com/rogue_anti-spyware.htm __________ MfG Argus |
|
|
||
15.01.2006, 23:00
Moderator
Beiträge: 7805 |
#9
Okay, dann also drei Dinge,
deinstalliere regfreeze ueber Software, sofern moeglich, nutze CWshredder: http://www.trendmicro.com/cwshredder/ Nach einem neustarte noch Smitrem im abgesicherten Modus nutzen: http://noahdfear.geekstogo.com/click%20counter/click.php?id=1 entpacke die smitrem auf den desktop und starte die runme.bat und folge den Anweisungen, die es gibt. Fixe dort im abgesicherten Modus mit Hijackthis das: O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html O8 - Extra context menu item: Add selected links to Link Container - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\System\Scripts\off_collector_sel.htm O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Show domain links - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\System\Scripts\off_domain_links.htm O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O23 - Service: AntiVir Update Temp (TmpUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\DOKUME~1\EMANUEL\LOKALE~1\TEMP\_VWUPSRV.EXE Dann neu starten und berichte, was alles entfernt wurde und ob dein Problem damit schon beseitigt ist. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
16.01.2006, 00:03
Member
Themenstarter Beiträge: 14 |
#10
Hey,
hab alles getan so wie du es gesagt hast. Im Browser sind keine Banner mehr. Diese Meldung (Html-Seite) auf dem Desktop ist glaub ich immer noch da, mit dem Unterschied, dass sie jetzt komplett weiß ist. mfg Emanuel |
|
|
||
16.01.2006, 08:39
Moderator
Beiträge: 7805 |
#11
teste diese Datei C:\WINDOWS\system32\notepad.exe bitte bei http://virusscan.jotti.org/de/ und berichte das Ergebnis.
downloade die angehaengte reg Datei und doppelklick sie, die Registrierungs-Editor Frage beantwortest du einfach mit ja und starte neu. Dann nochmal die DAtentraegerbereinigung oder www.ccleaner.de nutzen. Es kann sein, das wir dann noch was am desktop drehen muessen, ich glaube es allerdings nicht. Anhang: poldesk.reg __________ MfG Ralf SEO-Spam Hunter |
|
|
||
16.01.2006, 10:09
Member
Themenstarter Beiträge: 14 |
#12
Hi,
hab alles nach anleitung durchprobiert. die notepad.exe ist sauber. kein virus gefunden. es hat sich aber auf meinem rechner was getan: die html-seite im Hintergrund ist nicht mehr weiß, sondern trägt jetzt das Aussehen meiner Startseite freenet. Außerdem habe ich eine Scrolleiste dazubekommen.Ist lustig anzuschauen aber auf Dauer doch nix für mich. Das muß doch beim Systemstart irgendwo mit geladen werden? Danke für die zahlreichen Bemühungen Emanuel |
|
|
||
16.01.2006, 10:35
Moderator
Beiträge: 7805 |
#13
klar, da ist noch "aktiv desktop" aktiv und als Link habe ich in der Datei about:home angegeben!
Machen wir es uns einfach. nutzt Smitrem dazu, der deaktiviert activ desktop: Einfach starten und anweisungen befolgen, du kennst es ja noch von oben: http://noahdfear.geekstogo.com/click%20counter/click.php?id=1 __________ MfG Ralf SEO-Spam Hunter |
|
|
||
16.01.2006, 12:07
Moderator
Beiträge: 7805 |
#14
Zitat die notepad.exe ist sauber.Fast vergessen. Schicke mir die Datei bitte an virus@protecus.de __________ MfG Ralf SEO-Spam Hunter |
|
|
||
16.01.2006, 13:18
Member
Themenstarter Beiträge: 14 |
#15
Das funktioniert einfach nicht. läuft immer noch. Was ist eigentlich mit diesem Prozessen: C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\ctfmon.exe? Könnten die der Grund dafür sein? Langsam glaube ich, das System braucht eine Neuinstallation. MFG Emanuel |
|
|
||
Bei mir läuft ständig im Hintergrund über dem Desktopbild folgende Nachricht: "you're visiting illegal porn sites" usw. Außerdem sind die browser-einstellungen verstellt. Hab schon einige Artikel zu dem Problem gefunden. Kapier's aber irgendwie nicht.
Brauche dringend Hilfe!!!!!
Danke