auch bei meiner tochter hat sich der swizzor eingenistet

#1 hallo

ich habe gelesen das viele mit dem trojaner ihre probleme haben. Ich habe schon mal den Hijack runtergeladen und eine kopie des log gemacht.

Aber wie erkenne ich jetzt was denn befallen ist.

Ich würde mich über hilfe wirklich freuen denn ich bin eine absolute pleite was den PC angeht.

Ich sage schon mal DANKE

gruss Fratzi

#2 Du kannst es so versuchen:
Nutze Drwe bCurit im abgesicherten Modus: http://virus-protect.org/cureit.html Poste danach bitte ein Hijackthis log und das, was Drweb gefunden hat.
Dazu unter Start ausfuehren %userprofil%\doctorweb\cureit.log eingeben und enter druecken. Den Inhalt der Dinge, die Drweb gefunden hat bitte hier posten.
__________
MfG Ralf
SEO-Spam Hunter

#3 Vielen Dank für die prompte Antwort
hab ich das jetzt richtig verstanden ich soll das Drwe bCurit installieren danach im abgesicherten Modus einen scan machen und das was Drweb und was hijackthis gefunden hat hier reinstellen.
Ich bin ehrlich gesagt ein pleite wie poste ich dann das Log hier ein??
Möglicherweise über den Anhag (Siehe unten)?

Danke
Fratzi

#4 Ja, so kannst du es machen. Du brauchst drweb nicht installieren. Starte die heruntergeladene Datei einfach im abgesicherten Modus, das ist einfacher. Du kannst die Log Dateien natuerlich anhaengen, aber auch mit Markieren/Kopiere in eine Antwort von dir einfuegen. Das ueberlass ich dir.
__________
MfG Ralf
SEO-Spam Hunter

#5 ich hab noch eine saublöde frage
um den log zu posten muss ich doch aus dem abgesicherten modus wieder raus oder nicht?
Gruß
Fratzi

#6 Ja, aber wenn Cureit mit dem scannen fertig ist, ist das log ja auch der Festplatte gespeichert
__________
MfG Ralf
SEO-Spam Hunter

#7 ich habe jetzt ein problem ich habe mit dr web den scan fertig und auch infizierte dateien gefunden. Aber wie geht es jetzt weiter? wie beende ich das programm ordnungsgemäß??

ich weiß blöde frage aber ich hab nicht untertrieben als ich schrieb das ich ein pc laie bin
Gruß Fratzi

#8 Wenn drweb fertig ist, kannst du es einfach schliessen. Im abgesicherten Modus ist es teilweise etwas schlecht zu erkennen. Du kannst es auf der Rechten seite sehen, welche aktionen du machen kannst. wenn du noch stop druecken kannst, scannt er noch! Wenn du das Fenster minimierst und er scannt noch, siehst du in der Taskleiste eine Prozent stehen....
__________
MfG Ralf
SEO-Spam Hunter

#9 drweb ist fertif aber wenn ich auch das x klicke dann erhalte ich die meldung: es sind unbehandelte... soll das programm verlassen werden? Ja oder nein

gruß
Fratzi

#10 Ja, poste das log, oder haenge es an, dann schauen wir mal weiter.
__________
MfG Ralf
SEO-Spam Hunter

#11 na denn probieren wir es mal hier der log file von dr web


mwsoemon.exe;C:\PROGRA~1\MYWEBS~1\bar\1.bin;Adware.Msearch;;
Roam title.exe;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SIZE BONE DENT PEAK;Trojan.Swizzor;Nicht desinfizierbar.Verschoben.;
MWSOEMON.EXE;C:\Programme\MyWebSearch\bar\1.bin;Adware.Msearch;;
MWSSRCAS.DLL;C:\Programme\MyWebSearch\SrchAstt\1.bin;Adware.MWS;;
MWSBAR.DLL;C:\Programme\MyWebSearch\bar\1.bin;Adware.MWS;;
LOVE OOZE.exe;C:\DOKUME~1\oem\ANWEND~1\REMOTE~1;Trojan.Swizzor;Gelöscht.;
2info.exe;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SIZE BONE DENT PEAK;Trojan.Swizzor;Nicht desinfizierbar.Verschoben.;
ClockPlatform.exe;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SIZE BONE DENT PEAK;Trojan.Swizzor;Nicht desinfizierbar.Verschoben.;
drive type.exe;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SIZE BONE DENT PEAK;Trojan.Swizzor;Nicht desinfizierbar.Verschoben.;
ErrorSafeScannerInstall_de.exe;C:\Dokumente und Einstellungen\oem\Desktop\Software\errorSafe;Trojan.DownLoader.6550;Gelöscht.;
2info.exe;C:\Dokumente und Einstellungen\oem\DoctorWeb\Quarantine;Trojan.Swizzor;Nicht desinfizierbar.Verschoben.;
ClockPlatform.exe;C:\Dokumente und Einstellungen\oem\DoctorWeb\Quarantine;Trojan.Swizzor;Nicht desinfizierbar.Verschoben.;
drive type.exe;C:\Dokumente und Einstellungen\oem\DoctorWeb\Quarantine;Trojan.Swizzor;Nicht desinfizierbar.Verschoben.;
Roam title.exe;C:\Dokumente und Einstellungen\oem\DoctorWeb\Quarantine;Trojan.Swizzor;Nicht desinfizierbar.Verschoben.;
18267b68.exe;C:\Dokumente und Einstellungen\oem\Lokale Einstellungen\Temp;Trojan.Swizzor;Gelöscht.;
uninst.exe;C:\Programme\Adverts;Trojan.LopAd;Gelöscht.;
riched20.dll;C:\Programme\MSN Messenger;Adware.Msearch;;
F3CJPEG.DLL;C:\Programme\MyWebSearch\bar\1.bin;Adware.Funweb;;
F3HISTSW.DLL;C:\Programme\MyWebSearch\bar\1.bin;Adware.Msearch;;
F3HTTPCT.DLL;C:\Programme\MyWebSearch\bar\1.bin;Trojan.Isbar.438;Gelöscht.;
F3PSSAVR.SCR;C:\Programme\MyWebSearch\bar\1.bin;Adware.Msearch;;
F3REPROX.DLL;C:\Programme\MyWebSearch\bar\1.bin;Adware.Funweb;;
F3RESTUB.DLL;C:\Programme\MyWebSearch\bar\1.bin;Adware.Msearch;;
F3SCHMON.EXE;C:\Programme\MyWebSearch\bar\1.bin;Adware.Msearch;;
F3SCRCTR.DLL;C:\Programme\MyWebSearch\bar\1.bin;Adware.MWS;;
F3WPHOOK.DLL;C:\Programme\MyWebSearch\bar\1.bin;Adware.Msearch;;
M3IDLE.DLL;C:\Programme\MyWebSearch\bar\1.bin;Adware.MWS;;
M3OUTLCN.DLL;C:\Programme\MyWebSearch\bar\1.bin;Adware.Msearch;;
MWSBAR.DLL;C:\Programme\MyWebSearch\bar\1.bin;Adware.MWS;;
MWSOEMON.EXE;C:\Programme\MyWebSearch\bar\1.bin;Adware.Msearch;;
NPMYWEBS.DLL;C:\Programme\MyWebSearch\bar\1.bin;Adware.Msearch;;
MWSSRCAS.DLL;C:\Programme\MyWebSearch\SrchAstt\1.bin;Adware.MWS;;
A0076402.exe;C:\System Volume Information\_restore{F2F355F7-289A-4FE6-8A8E-69FDCAEC7E84}\RP286;Trojan.Swizzor;Nicht desinfizierbar.Verschoben.;
A0076403.exe;C:\System Volume Information\_restore{F2F355F7-289A-4FE6-8A8E-69FDCAEC7E84}\RP286;Trojan.Swizzor;Gelöscht.;
A0076404.exe;C:\System Volume Information\_restore{F2F355F7-289A-4FE6-8A8E-69FDCAEC7E84}\RP286;Trojan.Swizzor;Gelöscht.;
A0076405.exe;C:\System Volume Information\_restore{F2F355F7-289A-4FE6-8A8E-69FDCAEC7E84}\RP286;Trojan.LopAd;Gelöscht.;
A0076943.exe;C:\System Volume Information\_restore{F2F355F7-289A-4FE6-8A8E-69FDCAEC7E84}\RP298;Trojan.Swizzor;Nicht desinfizierbar.Verschoben.;
A0076944.exe;C:\System Volume Information\_restore{F2F355F7-289A-4FE6-8A8E-69FDCAEC7E84}\RP298;Trojan.Swizzor;Nicht desinfizierbar.Verschoben.;
A0076945.exe;C:\System Volume Information\_restore{F2F355F7-289A-4FE6-8A8E-69FDCAEC7E84}\RP298;Trojan.Swizzor;Gelöscht.;
A0076946.exe;C:\System Volume Information\_restore{F2F355F7-289A-4FE6-8A8E-69FDCAEC7E84}\RP298;Trojan.LopAd;Gelöscht.;
A0076947.exe;C:\System Volume Information\_restore{F2F355F7-289A-4FE6-8A8E-69FDCAEC7E84}\RP298;Trojan.Swizzor;Gelöscht.;
A0077074.exe;C:\System Volume Information\_restore{F2F355F7-289A-4FE6-8A8E-69FDCAEC7E84}\RP301;Trojan.LopAd;Gelöscht.;
A0077075.exe;C:\System Volume Information\_restore{F2F355F7-289A-4FE6-8A8E-69FDCAEC7E84}\RP301;Trojan.Swizzor;Nicht desinfizierbar.Verschoben.;
A0077081.exe;C:\System Volume Information\_restore{F2F355F7-289A-4FE6-8A8E-69FDCAEC7E84}\RP301;Trojan.LopAd;Gelöscht.;
A0077082.exe;C:\System Volume Information\_restore{F2F355F7-289A-4FE6-8A8E-69FDCAEC7E84}\RP301;Trojan.Swizzor;Nicht desinfizierbar.Verschoben.;
A0077083.exe;C:\System Volume Information\_restore{F2F355F7-289A-4FE6-8A8E-69FDCAEC7E84}\RP301;Trojan.Swizzor;Nicht desinfizierbar.Verschoben.;
A0077084.exe;C:\System Volume Information\_restore{F2F355F7-289A-4FE6-8A8E-69FDCAEC7E84}\RP301;Trojan.Swizzor;Nicht desinfizierbar.Verschoben.;
A0077085.exe;C:\System Volume Information\_restore{F2F355F7-289A-4FE6-8A8E-69FDCAEC7E84}\RP301;Trojan.Swizzor;Nicht desinfizierbar.Verschoben.;
A0077086.exe;C:\System Volume Information\_restore{F2F355F7-289A-4FE6-8A8E-69FDCAEC7E84}\RP301;Trojan.Swizzor;Gelöscht.;
A0077126.exe;C:\System Volume Information\_restore{F2F355F7-289A-4FE6-8A8E-69FDCAEC7E84}\RP302;Trojan.Swizzor;Nicht desinfizierbar.Verschoben.;
A0077127.exe;C:\System Volume Information\_restore{F2F355F7-289A-4FE6-8A8E-69FDCAEC7E84}\RP302;Trojan.Swizzor;Gelöscht.;
A0077128.exe;C:\System Volume Information\_restore{F2F355F7-289A-4FE6-8A8E-69FDCAEC7E84}\RP302;Trojan.Swizzor;Nicht desinfizierbar.Verschoben.;
A0077129.exe;C:\System Volume Information\_restore{F2F355F7-289A-4FE6-8A8E-69FDCAEC7E84}\RP302;Trojan.Swizzor;Nicht desinfizierbar.Verschoben.;
A0077130.exe;C:\System Volume Information\_restore{F2F355F7-289A-4FE6-8A8E-69FDCAEC7E84}\RP302;Trojan.Swizzor;Nicht desinfizierbar.Verschoben.;
A0077131.exe;C:\System Volume Information\_restore{F2F355F7-289A-4FE6-8A8E-69FDCAEC7E84}\RP302;Trojan.DownLoader.6550;Gelöscht.;
A0077132.exe;C:\System Volume Information\_restore{F2F355F7-289A-4FE6-8A8E-69FDCAEC7E84}\RP302;Trojan.LopAd;Gelöscht.;
A0077133.DLL;C:\System Volume Information\_restore{F2F355F7-289A-4FE6-8A8E-69FDCAEC7E84}\RP302;Trojan.Isbar.438;Gelöscht.;

und der log file von hijack this

Logfile of HijackThis v1.99.1
Scan saved at 01:52:34, on 17.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\keyhook.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\D-Tools\daemon.exe
C:\WINDOWS\system32\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\OpenOffice.org1.1.3\program\soffice.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\PROGRA~1\MOZILL~1.3\Mozilla.exe
C:\Programme\hijack This\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.czatddphnprhqcwqdlho.net/37hlcULYtX6SUiRrLz8f6GdSrorvd1nKjlBNn2SjRZioBYi8H1/NWo1tCkLTjASF.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.taxinrvplybhkwrftcioipuet.biz/37hlcULYtX7dGTmOOl2I4Lt8ofp8C8JhhCYdNTyQlr0.html
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O2 - BHO: (no name) - {CC826447-F8CA-0BD8-B413-CFC81806817B} - C:\DOKUME~1\oem\ANWEND~1\REMOTE~1\LOVE OOZE.exe
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O3 - Toolbar: My &Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\System32\keyhook.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [QuickTime Task] C:\WINDOWS\system32\qttask.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NI.UERSU_0001_N68M1402] "C:\Dokumente und Einstellungen\oem\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OXEFCFC3\ErrorSafeScannerInstall_de[1].exe" -nag
O4 - HKLM\..\Run: [dent peak tons okay] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SIZE BONE DENT PEAK\Roam title.exe
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Mozilla1.7.3\Mozilla.exe" -turbo
O4 - HKCU\..\Run: [holdfrag] C:\DOKUME~1\oem\ANWEND~1\INTERS~1\64 Once Spam.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: MyWebSearch Email Plugin.lnk = C:\Programme\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O4 - Startup: OpenOffice.org 1.1.3.lnk = C:\Programme\OpenOffice.org1.1.3\program\quickstart.exe
O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Programme\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZNxmk970YYDE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralFWBInitialSetup1.0.0.15.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe

und was soll ich jetzt machen aber bitte mir langsam schritt für schritt erklären
übrigens ich bin nahe dran meiner tochter den pc zu zerhacken

Gruß
Fratzi

#12 Bitte folgendes in Hijackthis anhaken und fix checked druecken.

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.czatddphnprhqcwqdlho.net/37hlcULYtX6SUiRrLz8f6GdSrorvd1nKjlBNn2SjRZioBYi8H1/NWo1tCkLTjASF.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.taxinrvplybhkwrftcioipuet.biz/37hlcULYtX7dGTmOOl2I4Lt8ofp8C8JhhCYdNTyQlr0.html
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL
O2 - BHO: (no name) - {CC826447-F8CA-0BD8-B413-CFC81806817B} - C:\DOKUME~1\oem\ANWEND~1\REMOTE~1\LOVE OOZE.exe
O3 - Toolbar: My &Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" --->DEinstallieren, wenn sie es nicht mehr braucht/nutzt
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKLM\..\Run: [NI.UERSU_0001_N68M1402] "C:\Dokumente und Einstellungen\oem\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OXEFCFC3\ErrorSafeScannerInstall_de[1].exe" -nag
O4 - HKLM\..\Run: [dent peak tons okay] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SIZE BONE DENT PEAK\Roam title.exe
O4 - HKCU\..\Run: [holdfrag] C:\DOKUME~1\oem\ANWEND~1\INTERS~1\64 Once Spam.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - Startup: MyWebSearch Email Plugin.lnk = C:\Programme\MyWebSearch\bar\1.bin\MWSOEMON.EXE

Dann noch folgende Ordner loeschen:

C:\Programme\MyWebSearch\
C:\DOKUME~1\oem\ANWEND~1\INTERS~1\
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SIZE BONE DENT PEAK\
C:\DOKUME~1\oem\ANWEND~1\REMOTE~1


Auch solltet ihr die Datentraegerbereinigung nutzen http://support.microsoft.com/default.aspx?scid=kb;de;315246
oder gleich CClaener von http://www.ccleaner.de

Achja folgendes bitte auch noch:
Gebe unter Start/Ausfueren CMD ein und druecke enter, dadurch oeffnet sich ein MS-DOS Fenster. Dort gebe folgendes ein und druecke ebenfalls enter:

del /ah c:\windows\tasks\*.job

Du kannst die Zeile auch in die Dosbox mit Hilfe von Kopieren/einfuegen einfuegen und dann enter druecken. Es sollte keine Meldung erscheinen, wenn du Enter gedrueckt hast. Das Fenster schliesst du, indem du exit eingibst und enter drueckst.
__________
MfG Ralf
SEO-Spam Hunter

#13 ui das ging aber fix vielen dank. Ich hab aber die nächste blöde frage
ich soll in hijack die sachen anhaken und fix checked drücken so weit so gut aber wie komm ich in die logdatei rein??? oder soll ich nochmal scannen und dann das ergebnis anhaken.
Und die ordner wo und wie finde ich die insbesondere die so ne ~ haben ??
Und das ganze auch wieder im abgesicherten modus?? und wann soll ich das unter start=>Ausführen=> CDM eingeben?? ganz zum schluss??? und zu guterl letzt was mach ich mit den funden von dr web??

ich finde das toll von dir dass du mir hilfst ehrlich!!!!!!!!!
wenn du was rascheln hörst ist es mein DANK der dir hinterher schleicht
gruß
Fratzi

#14 Genau, du machst einen neuen scan mit Hijackthis und anstatt "save log" hakst du obige dinge an und drueckst "fix checked" Abgesicherter Modus ist dafuer nicht erforderlich.

Die Sachen von Drweb wirst du los, indem du diesen Ordner loeschst:
C:\Dokumente und Einstellungen\oem\DoctorWeb
Bei den Ordner mit der "~" musst du etwas tuefteln. Es ist eine Artr Abkuerzung

Z.B.
C:\DOKUME~1\oem\ANWEND~1
ist
C:\Dokumente und Einstellungen\oem\Anwendungsdaten

Sprich die Namen vor der Tilde(~) sind in diesem Falle immer gleich.

Die Sache mit der CMD machst du ganz zuletzt. Es ist nicht wirklich wichtig, aber sollte dennoch gemacht werden.
__________
MfG Ralf
SEO-Spam Hunter

#15 Hallöchen,
ich bin ja fast fertig mit dem löschen nur ich finde 2 sachen nicht
C.\Dokume~1\oem\Anwend*\INTERS~1\
C:\DOKUME~1\oem\ANWEND~1\REMOTE~1
das letztere könnte möglicherweise Remote Ain sein.der ordner ist leer
der erste könnte möglicherweise Identities oder Inter trust sein.
Wie kann ich das jetzt herausfinden???

Ach ja ich hab noch vergessen der ordner dr web enthält den unterordner quaratine. Soll ich den ordner oder den unterordner löschen

Gruß
Fratzi