ich werd immer auf komische seiten verlinkt

#0
19.04.2006, 14:49
Member

Beiträge: 18
#1 Hallo ihr lieben!
ich hab ein Rechner Problem und hoffe das ihr mir dabei helfen könnt, das Problem besteht seit ca einer woche und ich weiß nicht mehr weiter.
Immer wenn ich etwas in google eintippe und dann auf die entsprechenden, von google aufgerufenen Seiten, raufklicke, lande ich auf seiten, die garnichts mit der von mir ausgesuchten seite zutun haben (immer unterschiedliche). Eben zum beispiel, auf der suche nach einem computer hilfe forum (bei google eingetippt) bin ich auf euch gestoßen. Als ich das erstemal auf den link geklickt hab bin ich bei ebay gelandet, beim zweitenmal raufklicken bei lycos und beim dritten mal auf irgendeiner webcamgirls seite (nach dem vierten klick bin ich dann endlich hier gelandet). Die Adresse oben in der Leiste wird selbständig in ne ellenlange Adresse ausgetauscht.Hab Antivir, Adaware und spyware begone mehrmals durchlaufen lassen, die fnden nichts.Garnichts! hab die cookies gelöscht, temporäre internet dateien ebenfalls. Und office spinnt auch (erstellt zwischenspeicher von meinen Word Dokumenten auf dem Desktop)wisst ihr was/wer das sein könnte?
Hab auch schon ne Hijackthis datei erstellt:

Scan saved at 16:39:21, on 17.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\wltrysvc.exe
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\WLTRAY.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\spywarebegone\SpywareBeGone.exe
C:\Programme\acer\eRecovery\Monitor.exe
C:\Acer\eManager\anbmServ.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\WISPTIS.EXE
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Privat\Desktop\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O4 - HKLM\..\Run: [preload] C:\Windows\RUNXMLPL.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\WINDOWS\system32\WLTRAY
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [NI.UERSU_0001_N68M1402] "C:\Dokumente und Einstellungen\Privat\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4BJFYGDD\ErrorSafeScannerInstall_de[1].exe" -nag
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "d:\valve\steam\steam.exe" -silent
O4 - HKCU\..\Run: [Spyware Begone] "C:\spywarebegone\SpywareBeGone.exe" -FastScan
O4 - Startup: Registration .LNK = D:\Dokumente und Einstellungen\Privat\Desktop\RegistrationReminder.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {92E230C9-51BB-4BF1-B53C-9BCB030F7334} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {92E230C9-51BB-4BF1-B53C-9BCB030F7334} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) - https://signup.msn.com/pages/MsnInstC.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-30.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1125613106120
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0E66788C-92A9-4F5E-8E58-69F9D5167BBB}: NameServer = 85.255.116.37,85.255.112.85
O17 - HKLM\System\CCS\Services\Tcpip\..\{9C326CF7-D258-43E6-B289-58188A752047}: NameServer = 85.255.116.37,85.255.112.85
O17 - HKLM\System\CCS\Services\Tcpip\..\{C53A3B91-A386-42CC-B8A9-79A556D6F5B0}: NameServer = 85.255.116.37,85.255.112.85
O17 - HKLM\System\CCS\Services\Tcpip\..\{E601F222-4275-44CB-8C63-91AC87534883}: NameServer = 85.255.116.37,85.255.112.85
O17 - HKLM\System\CCS\Services\Tcpip\..\{EA4FE34A-288F-47A4-90BF-EFA8E7E41F53}: NameServer = 85.255.116.37 85.255.112.85
O17 - HKLM\System\CCS\Services\Tcpip\..\{F72FF9F7-17D6-4A08-8C11-768F3CF00D79}: NameServer = 85.255.116.37,85.255.112.85

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe
O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe

Bitte helft mir! Dankeschööön
LG Jelly
Seitenanfang Seitenende
19.04.2006, 14:53
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 jelly

1.
Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe
nach dem Check klicke -- next
nun findet man eine Log-Datei (txt) auf dem Desktop

2.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

3.
Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

4.
echo.zip
entpacken--> klicke echo.bat --> der Texteditor wird sich oeffnen--> Text abkopieren http://virus-protect.org/bat/echo.zip
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.04.2006, 15:24
Member

Themenstarter

Beiträge: 18
#3 hallo sabina!
erstmal vielen dank für deine super schnelle Antwort!

So, hab alles gemacht was du gesagt hast:


19.04.2006 14:31 2.576 PerfStringBackup.TMP
19.04.2006 14:27 41.103 vsconfig.xml
19.04.2006 14:27 692 eRLog.ini
14.04.2006 14:53 1.158 wpa.dbl
13.04.2006 23:32 43.520 CmdLineExt03.dll
13.04.2006 00:59 4.212 zllictbl.dat
06.04.2006 21:48 5.143.456 MRT.exe
30.03.2006 11:26 1.492.480 shdocvw.dll
30.03.2006 03:16 18.944 xpsp3res.dll
27.03.2006 20:03 98.304 CmdLineExt.dll
26.03.2006 06:51 262.232 FNTCACHE.DAT
24.03.2006 06:37 49.152 wdigest.dll
23.03.2006 22:34 3.074.560 mshtml.dll
18.03.2006 13:09 615.424 urlmon.dll
17.03.2006 11:11 679.424 inetcomm.dll
17.03.2006 06:03 8.493.056 shell32.dll
17.03.2006 02:38 28.672 verclsid.exe
16.03.2006 11:34 71.448 zlcommdb.dll
16.03.2006 11:34 79.640 zlcomm.dll
16.03.2006 11:33 100.120 vsxml.dll
16.03.2006 11:33 382.744 vsutil.dll
16.03.2006 11:33 71.448 vsregexp.dll
16.03.2006 11:33 227.096 vspubapi.dll
16.03.2006 11:33 104.216 vsmonapi.dll
16.03.2006 11:33 141.080 vsinit.dll
16.03.2006 11:33 372.824 vsdatant.sys
16.03.2006 11:32 83.736 vsdata.dll
16.03.2006 11:16 54.960 vsutil_loc0407.dll
10.03.2006 06:09 5.533.696 wmp.dll
05.03.2006 14:32 45 mapisvc.inf
04.03.2006 05:34 664.064 wininet.dll
04.03.2006 05:34 474.624 shlwapi.dll
04.03.2006 05:34 39.424 pngfilt.dll
04.03.2006 05:34 448.512 mshtmled.dll
04.03.2006 05:34 532.480 mstime.dll
04.03.2006 05:34 146.432 msrating.dll
04.03.2006 05:34 251.392 iepeers.dll
04.03.2006 05:34 1.056.256 danim.dll
04.03.2006 05:34 55.808 extmgr.dll
04.03.2006 05:34 205.312 dxtrans.dll
04.03.2006 05:34 96.768 inseng.dll
04.03.2006 05:34 152.064 cdfview.dll
04.03.2006 05:34 1.022.976 browseui.dll
14.02.2006 09:20 550.120 LegitCheckControl.dll
18.01.2006 13:05 57.344 avsda.dll

und:
10)DPF????
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 0D2C-13DD

Verzeichnis von C:\WINDOWS\Downloaded Program Files

13.09.2004 12:32 <DIR> .
13.09.2004 12:32 <DIR> ..
26.05.2005 04:19 291 wuweb.inf
14.08.2005 00:26 113.664 MsnMessengerSetupDownloader.ocx
30.06.2005 15:19 227 MsnMessengerSetupDownloader.inf
26.08.2005 15:57 495 LegitCheckControl.inf
07.06.2005 15:35 1.124.872 EPUWALcontrol.dll
09.05.2005 08:54 539 EPUWALcontrol.inf
27.08.2005 13:30 5.065 swflash.inf
25.08.2005 15:14 322.776 MsnInstC.dll
25.08.2005 08:51 250 MsnInstC.inf
16.02.2005 17:15 401.408 isusweb.dll
25.07.2002 18:13 196.608 dwusplay.exe
25.07.2002 18:13 24.576 dwusplay.dll
12 Datei(en) 2.190.771 Bytes

Anzahl der angezeigten Dateien:
12 Datei(en) 2.190.771 Bytes
2 Verzeichnis(se), 12.956.303.360 Bytes frei

Danke, danke
Seitenanfang Seitenende
19.04.2006, 16:06
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 jelly

1. fehlt

2. o.k.

3. es sind 4 Textdateien und der Pfad oberhalb ware auch ganz hilfreich

4. o.k.

bitte korrekt arbeiten !
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.04.2006, 16:26
...neu hier

Beiträge: 6
#5 Hallo Sabine, dass ist mein erster Beitrag aber leider habe ich auch
dieser TR/Swizzor.A und popup problem, währe sehr dankbar wenn man mir
helfen könnte.
(entschuldigt bitte wegen mangelhafte Deutschkenntnisse) :-)


Logfile of HijackThis v1.99.1
Scan saved at 16:02:42, on 19.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\PROGRA~1\MI3AA1~1\wcescomm.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\uTorrent\utorrent.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {44009683-ABB1-4084-B45E-2A0CB1B47338} - C:\DOKUME~1\ADMINI~1\ANWEND~1\flawchic\Hole Poll.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRA~1\MI3AA1~1\wcescomm.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: START_PAGE_URL=about:blank
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128166227833
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE
O23 - Service: License Management Service ESD - element5 - C:\Programme\Gemeinsame Dateien\element5 Shared\Service\Licence Manager ESD.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
Seitenanfang Seitenende
19.04.2006, 16:30
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 orhanefe

öffne das HijackThis -- Button "scan" -- vor Malware-Eintrag Häkchen setzen -- Button "Fix checked" -- PC neustarten

O2 - BHO: (no name) - {44009683-ABB1-4084-B45E-2A0CB1B47338} - C:\DOKUME~1\ADMINI~1\ANWEND~1\flawchic\Hole Poll.exe


PC neustarten

arbeite das ab, also CleanUp, Dr.Web und Panda-Online [CounterSpy brauchst du nicht zu laden]
http://virus-protect.org/artikel/spyware/lop1.html

-----------------------------------------------------------------

wenn alles sauber ist:

Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:


dir %Windir%\tasks /a h > files.txt
notepad files.txt


- Speichern als: findjobs.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate findjobs.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.04.2006, 16:57
Member

Themenstarter

Beiträge: 18
#7 zu nummer 1
04/19/06 15:09:59 [Info]: BlackLight Engine 1.0.35 initialized
04/19/06 15:09:59 [Info]: OS: 5.1 build 2600 (Service Pack 2)
04/19/06 15:10:00 [Note]: 7019 4
04/19/06 15:10:00 [Note]: 7005 0
04/19/06 15:10:04 [Note]: 7006 0
04/19/06 15:10:04 [Note]: 7011 1872
04/19/06 15:10:04 [Note]: 7026 0
04/19/06 15:10:04 [Note]: 7026 0
04/19/06 15:10:04 [Note]: FSRAW library version 1.7.1015
04/19/06 15:10:11 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\WBEM\WBEMTEST.EXE
04/19/06 15:10:15 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\CSDKW.EXE
04/19/06 15:10:15 [Note]: 7002 32
04/19/06 15:10:15 [Note]: 7003 1
04/19/06 15:10:15 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\DMREP.EXE
04/19/06 15:10:15 [Note]: 7002 32
04/19/06 15:10:15 [Note]: 7003 1
04/19/06 15:10:16 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\PPPCGM.EXE
04/19/06 15:10:16 [Info]: Hidden file: C:\WINDOWS\SYSTEM32\FILESA~1.EXE
04/19/06 15:11:00 [Note]: 7007 0
Seitenanfang Seitenende
19.04.2006, 17:05
...neu hier

Beiträge: 6
#8 Vielen dank für schnelle antwort...

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 405D-2F32

Verzeichnis von C:\WINDOWS\tasks

03.04.2006 00:38 <DIR> .
03.04.2006 00:38 <DIR> ..
16.04.2006 17:15 412 1-Klick-Wartung.job
19.04.2006 17:00 284 A39260AD911E1B85.job
31.12.2002 14:00 65 desktop.ini
19.04.2006 16:37 6 SA.DAT
4 Datei(en) 767 Bytes

Verzeichnis von C:\Dokumente und Einstellungen\Administrator\Desktop
Seitenanfang Seitenende
19.04.2006, 19:01
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#9 orhanefe

Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

Zitat

%systemdrive%
cd C:\WINDOWS\Tasks
attrib -r -s -h A39260AD911E1B85.job
del A39260AD911E1B85.job
- Speichern als: remjob.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate remjob.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich kurz ist normal
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.04.2006, 19:02
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 jelly

Zitat

3. es sind 4 Textdateien
1.Log Verzeichnis von C:\WINDOWS\system32
2.Log Verzeichnis von C:\DOKUME~1\Username\LOKALE~1\Temp
3.Log Verzeichnis von C:\WINDOWS
4.Log Verzeichnis von C:\

lies dir durch, wie man die anderen 3 Textdateien erhaelt...ist genau auf der Seite erklaert...man muss nur lesen.
noch mal schreibe ich es nicht...das artet ja in spammen aus. ;)

--------------------------------------------------------------------

da ist der wareout auf dem pc ...deine Internetverbindung geht in die Ukraine
die reinigung bedarf einiger kenntnisse....auch wenn ich helfe und alles erklaere...
wenn du gleich formatieren willst, so tu es.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.04.2006, 21:15
...neu hier

Beiträge: 6
#11 Habe ich gemacht, vielen dank nochmal...
Seitenanfang Seitenende
19.04.2006, 21:38
Member

Themenstarter

Beiträge: 18
#12 Ach, ich bin so doof! Tut mir leid! Danke für deine Geduld! steht es denn wirklich so schlecht um meinen Rechner?

Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 0D2C-13DD

Verzeichnis von C:\WINDOWS\system32

19.04.2006 14:31 2.576 PerfStringBackup.TMP
19.04.2006 14:27 41.103 vsconfig.xml
19.04.2006 14:27 692 eRLog.ini
14.04.2006 14:53 1.158 wpa.dbl
13.04.2006 23:32 43.520 CmdLineExt03.dll
13.04.2006 00:59 4.212 zllictbl.dat
06.04.2006 21:48 5.143.456 MRT.exe
30.03.2006 11:26 1.492.480 shdocvw.dll
30.03.2006 03:16 18.944 xpsp3res.dll
27.03.2006 20:03 98.304 CmdLineExt.dll
26.03.2006 06:51 262.232 FNTCACHE.DAT
24.03.2006 06:37 49.152 wdigest.dll
23.03.2006 22:34 3.074.560 mshtml.dll
18.03.2006 13:09 615.424 urlmon.dll
17.03.2006 11:11 679.424 inetcomm.dll
17.03.2006 06:03 8.493.056 shell32.dll
17.03.2006 02:38 28.672 verclsid.exe
16.03.2006 11:34 71.448 zlcommdb.dll
16.03.2006 11:34 79.640 zlcomm.dll
16.03.2006 11:33 100.120 vsxml.dll
16.03.2006 11:33 382.744 vsutil.dll
16.03.2006 11:33 71.448 vsregexp.dll
16.03.2006 11:33 227.096 vspubapi.dll
16.03.2006 11:33 104.216 vsmonapi.dll
16.03.2006 11:33 141.080 vsinit.dll
16.03.2006 11:33 372.824 vsdatant.sys
16.03.2006 11:32 83.736 vsdata.dll
16.03.2006 11:16 54.960 vsutil_loc0407.dll
10.03.2006 06:09 5.533.696 wmp.dll
05.03.2006 14:32 45 mapisvc.inf
04.03.2006 05:34 664.064 wininet.dll
04.03.2006 05:34 474.624 shlwapi.dll
04.03.2006 05:34 39.424 pngfilt.dll
04.03.2006 05:34 448.512 mshtmled.dll
04.03.2006 05:34 532.480 mstime.dll
04.03.2006 05:34 146.432 msrating.dll
04.03.2006 05:34 251.392 iepeers.dll
04.03.2006 05:34 1.056.256 danim.dll
04.03.2006 05:34 55.808 extmgr.dll
04.03.2006 05:34 205.312 dxtrans.dll
04.03.2006 05:34 96.768 inseng.dll
04.03.2006 05:34 152.064 cdfview.dll
04.03.2006 05:34 1.022.976 browseui.dll
14.02.2006 09:20 550.120 LegitCheckControl.dll
18.01.2006 13:05 57.344 avsda.dll

atentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 0D2C-13DD

Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 0D2C-13DD

Verzeichnis von C:\DOKUME~1\Privat\LOKALE~1\Temp

18.04.2006 12:23 16.384 ~WRF1394.tmp
18.04.2006 12:23 393.806 ~WRS0003.tmp
18.04.2006 12:23 4.254 ~WRD2404.doc
18.04.2006 10:13 80.384 ~WRS0000.tmp
18.04.2006 10:13 16.384 ~WRF0003.tmp
17.04.2006 20:41 16.384 ~WRF0004.tmp
...
..

Verzeichnis von C:\WINDOWS

19.04.2006 17:34 93.344 wmsetup.log
19.04.2006 14:25 97 ComponentList.xml
19.04.2006 14:25 0 0.log
19.04.2006 14:25 2.048 bootstat.dat
19.04.2006 01:30 1.562.760 WindowsUpdate.log
19.04.2006 01:30 32.626 SchedLgU.Txt
17.04.2006 19:31 442.469 setupapi.log
16.04.2006 05:13 116 NeroDigital.ini
14.04.2006 14:57 1.830 spupdsvc.log
14.04.2006 14:54 412.558 FaxSetup.log
14.04.2006 14:54 15.946 KB904942.log
14.04.2006 14:54 212.268 ocgen.log
14.04.2006 14:54 136.701 comsetup.log
14.04.2006 14:54 156.830 tsoc.log
14.04.2006 14:54 1.374 imsins.log
14.04.2006 14:54 22.111 ocmsn.log
14.04.2006 14:54 59.395 iis6.log
14.04.2006 14:54 19.790 msgsocm.log
14.04.2006 14:54 84.449 ntdtcsetup.log
14.04.2006 14:54 25.728 updspapi.log
14.04.2006 14:53 24.807 KB911565.log
13.04.2006 23:00 9.037 Spyware Begone Setup Log.txt
13.04.2006 22:59 170 spywarebegone-fullversion-installed.html
13.04.2006 22:58 737.280 iun6002.exe

13.04.2006 19:12 216 wiadebug.log
13.04.2006 19:12 50 wiaservc.log
13.04.2006 14:01 46.592 Thumbs.db
12.04.2006 22:17 20.744 DirectX.log
12.04.2006 21:39 1.374 imsins.BAK
12.04.2006 21:39 18.331 KB911562.log
12.04.2006 21:39 20.846 KB912812.log
12.04.2006 21:38 13.079 KB908531.log
12.04.2006 21:38 12.500 KB911567.log
12.04.2006 00:13 11.133 WGA.log
09.04.2006 02:34 4.166 ModemLog_SoftV90 Data Fax Modem with SmartCP.txt
08.04.2006 20:33 220.544 setupact.log
08.04.2006 10:53 4.395 rdt.ini
08.03.2006 12:31 680 hpinfo.lnk
08.03.2006 12:30 376 mozregistry.dat

06.03.2006 18:35 10 WININIT.INI
05.03.2006 14:35 400 ODBC.INI
05.03.2006 14:34 573 win.ini
25.02.2006 12:15 227 system.ini
22.02.2006 20:51 11.537 KB901190.log
18.02.2006 19:36 10.691 KB911927.log
18.02.2006 19:36 11.256 KB911564.log
18.02.2006 19:35 6.658 KB913446.log
06.02.2006 22:36 2.906 COM+.log
21.01.2006 12:24 30.576 LVEventLog.log
13.01.2006 19:27 11.114 KB912919.log
13.01.2006 19:27 10.227 KB908519.log

Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 0D2C-13DD

Verzeichnis von C:\

19.04.2006 21:32 0 sys.txt
19.04.2006 21:32 10.053 system.txt
19.04.2006 21:31 7.549 systemtemp.txt
19.04.2006 21:30 102.692 system32.txt
19.04.2006 15:22 1.071 DirDPF.txt
19.04.2006 15:22 2 DirDPFCns.txt
19.04.2006 14:25 535.007.232 hiberfil.sys
19.04.2006 14:25 734.003.200 pagefile.sys
13.04.2006 23:00 13.030 PDOXUSRS.NET
25.02.2006 12:15 194 BOOT.INI
27.07.2005 09:20 6 ISACER.ID
27.07.2005 01:58 0 IO.SYS
27.07.2005 01:58 0 MSDOS.SYS
02.05.2005 17:15 1.922 PATCH.REV
12.04.2005 10:25 65 PRELOAD.REV
12.04.2005 10:25 65 PRELOAD.AAA
12.04.2005 10:04 776 IPH.PH
08.04.2005 15:46 167 bcmwl5.log
08.04.2005 15:39 4 wps.dat

21.03.2005 15:09 854 Readme.txt
13.09.2004 12:14 512 BOOTSECT.DOS
04.08.2004 05:00 4.952 bootfont.bin
04.08.2004 05:00 251.184 ntldr
04.08.2004 05:00 47.564 NTDETECT.COM
24 Datei(en) 1.269.453.094 Bytes
0 Verzeichnis(se), 12.949.225.472 Bytes frei
Seitenanfang Seitenende
19.04.2006, 21:46
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#13 **

Information ErrorSafeScanner
http://virus-protect.org/artikel/spyware/errorsafe.html

--------

0.
Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

Spyware Begone

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.

in: "Enter search strings" (reinschreiben oder reinkopieren)

ErrorSafe

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.



1.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

PC neustarten

2.
dann das zweite log noch mal hier posten...muss leer sein

Zitat

Verzeichnis von C:\DOKUME~1\Privat\LOKALE~1\Temp
3.
Spyware Begone deinstallieren (ist ein Faketool, was dir den PC verseucht)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
19.04.2006, 22:43
Member

Themenstarter

Beiträge: 18
#14 Hallo Sabina,

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.0.1

; Results at 19.04.2006 22:24:12 for strings:
; 'errorsafe
'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.0.1

; Results at 19.04.2006 22:18:57 for strings:
; 'spyware begone'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Spyware Begone]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\spywarebegoneV4.85]
"DisplayName"="Spyware Begone V4.85"

[HKEY_LOCAL_MACHINE\SOFTWARE\Spyware Begone!]

[HKEY_USERS\S-1-5-21-437324933-2853435292-784922137-1005\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Spyware Begone Full Version]

[HKEY_USERS\S-1-5-21-437324933-2853435292-784922137-1005\Software\Microsoft\Windows\CurrentVersion\Run]
"Spyware Begone"="\"C:\\spywarebegone\\SpywareBeGone.exe\" -FastScan"

; End Of The Log...


Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 0D2C-13DD

Verzeichnis von C:\DOKUME~1\Privat\LOKALE~1\Temp
und, alles wieder gut? Danke danke!
Seitenanfang Seitenende
19.04.2006, 23:56
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#15 Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry beifuegen

Zitat

REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Spyware Begone]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\spywarebegoneV4.85]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Spyware Begone!]

[HKEY_USERS\S-1-5-21-437324933-2853435292-784922137-1005\Software\Microsoft\Windows\CurrentVersion\Run]
"Spyware Begone"=-

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ..... von hier aus...eins nach dem anderen und danach immer das rote kreuz klicken

-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

C:\WINDOWS\SYSTEM32\CSDKW.EXE

C:\Dokumente und Einstellungen\Privat\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4BJFYGDD\ErrorSafeScannerInstall_de[1].exe

C:\WINDOWS\SYSTEM32\DMREP.EXE

C:\WINDOWS\SYSTEM32\PPPCGM.EXE

C:\WINDOWS\SYSTEM32\FILESA~1.EXE

C:\wps.dat

C:\WINDOWS\rdt.ini

C:\WINDOWS\Spyware Begone Setup Log.txt

C:\WINDOWS\spywarebegone-fullversion-installed.html

C:\WINDOWS\iun6002.exe

C:\WINDOWS\SYSTEM32\eRLog.ini

PC neustarten

nach dem Neustart musst du eine neue Internetverbindung erstellen


öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O4 - HKLM\..\Run: [NI.UERSU_0001_N68M1402] "C:\Dokumente und Einstellungen\Privat\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4BJFYGDD\ErrorSafeScannerInstall_de[1].exe" -nag
O4 - HKCU\..\Run: [Spyware Begone] "C:\spywarebegone\SpywareBeGone.exe" -FastScan

O17 - HKLM\System\CCS\Services\Tcpip\..\{0E66788C-92A9-4F5E-8E58-69F9D5167BBB}: NameServer = 85.255.116.37,85.255.112.85
O17 - HKLM\System\CCS\Services\Tcpip\..\{9C326CF7-D258-43E6-B289-58188A752047}: NameServer = 85.255.116.37,85.255.112.85
O17 - HKLM\System\CCS\Services\Tcpip\..\{C53A3B91-A386-42CC-B8A9-79A556D6F5B0}: NameServer = 85.255.116.37,85.255.112.85
O17 - HKLM\System\CCS\Services\Tcpip\..\{E601F222-4275-44CB-8C63-91AC87534883}: NameServer = 85.255.116.37,85.255.112.85
O17 - HKLM\System\CCS\Services\Tcpip\..\{EA4FE34A-288F-47A4-90BF-EFA8E7E41F53}: NameServer = 85.255.116.37 85.255.112.85
O17 - HKLM\System\CCS\Services\Tcpip\..\{F72FF9F7-17D6-4A08-8C11-768F3CF00D79}: NameServer = 85.255.116.37,85.255.112.85

PC neustarten

**
Spyware Begone deinstallieren

**
Download FixWareout:
http://swandog46.geekstogo.com/Fixwareout.exe

Fixwareout.exe --> next --> Install --> Run fixit --> Finish / der PC wird neustarten --> C:\fixwareout\report.txt

**
counterspy
http://virus-protect.org/counterspy.html
* nach dem Scan muss man sich entscheiden für:

*Ignore
*Remove --> Status: Deleted
*Quarantaine

wähle immer Remove und starte den PC neu (dann kopiere den Scanreport ab
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: