vermutlich mehrere Malware auf PC - Hijackthis File |
||
---|---|---|
#0
| ||
20.05.2006, 14:25
...neu hier
Beiträge: 7 |
||
|
||
20.05.2006, 16:14
Ehrenmitglied
Beiträge: 29434 |
#2
Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren) Mein PONSline in edit und klicke "Ok". Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
20.05.2006, 17:28
...neu hier
Themenstarter Beiträge: 7 |
#3
Hallo!
Also, hab gescannt und hier das Ergebnis: REGEDIT4 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.1.0 ; Results at 20.05.2006 18:20:25 for strings: ; 'mein ponsline mein ponsline mein ponsline mein ponsline mein ponsline mein ponsline mein ponsline' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS ; End Of The Log... und jetzt?!?!!? Danke |
|
|
||
20.05.2006, 20:13
Ehrenmitglied
Beiträge: 29434 |
#4
gib ein: 1. {54F33362-1828-4181-9CC7-4BC727C38B78} 2. {A6F74643-242A-A7A4-8DD5-AB40B9E25345} 3. MeinPONSline __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
20.05.2006, 23:23
...neu hier
Themenstarter Beiträge: 7 |
#5
Hier das Ergebnis:
REGEDIT4 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.1.0 ; Results at 21.05.2006 00:23:45 for strings: ; '{54f33362-1828-4181-9cc7-4bc727c38b78}' ; '{a6f74643-242a-a7a4-8dd5-ab40b9e25345}' ; 'meinponsline' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{54F33362-1828-4181-9CC7-4BC727C38B78}] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{54F33362-1828-4181-9CC7-4BC727C38B78}\InprocServer32] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{54F33362-1828-4181-9CC7-4BC727C38B78}\ProgID] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{54F33362-1828-4181-9CC7-4BC727C38B78}\Programmable] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{54F33362-1828-4181-9CC7-4BC727C38B78}\TypeLib] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{54F33362-1828-4181-9CC7-4BC727C38B78}\VersionIndependentProgID] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A6F74643-242A-A7A4-8DD5-AB40B9E25345}] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A6F74643-242A-A7A4-8DD5-AB40B9E25345}\Implemented Categories] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A6F74643-242A-A7A4-8DD5-AB40B9E25345}\Implemented Categories\{7DD95801-9882-11CF-9FA9-00AA006C42C4}] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A6F74643-242A-A7A4-8DD5-AB40B9E25345}\Implemented Categories\{7DD95802-9882-11CF-9FA9-00AA006C42C4}] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A6F74643-242A-A7A4-8DD5-AB40B9E25345}\InprocServer32] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A6F74643-242A-A7A4-8DD5-AB40B9E25345}\InprocServer32] @="C:\\Programme\\Mein PONSline\\MeinPONSline.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A6F74643-242A-A7A4-8DD5-AB40B9E25345}\ProgID] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A6F74643-242A-A7A4-8DD5-AB40B9E25345}\Programmable] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A6F74643-242A-A7A4-8DD5-AB40B9E25345}\TypeLib] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A6F74643-242A-A7A4-8DD5-AB40B9E25345}\VersionIndependentProgID] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ToolBand.XBTP00885\CLSID] @="{54F33362-1828-4181-9CC7-4BC727C38B78}" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ToolBand.XBTP00885.1\CLSID] @="{54F33362-1828-4181-9CC7-4BC727C38B78}" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{0F4DC27C-263A-4D3E-A348-9C363F0A54BE}\1.0\0\win32] @="C:\\Programme\\Mein PONSline\\MeinPONSline.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\XBTB00885.IEToolbar\CLSID] @="{A6F74643-242A-A7A4-8DD5-AB40B9E25345}" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\XBTB00885.IEToolbar.1\CLSID] @="{A6F74643-242A-A7A4-8DD5-AB40B9E25345}" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\XBTB00885.XBTB00885\CLSID] @="{A6F74643-242A-A7A4-8DD5-AB40B9E25345}" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\XBTB00885.XBTB00885.1\CLSID] @="{A6F74643-242A-A7A4-8DD5-AB40B9E25345}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] ; Contents of value: ; "{A6F74643-242A-A7A4-8DD5-AB40B9E25345}"=hex:00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{54F33362-1828-4181-9CC7-4BC727C38B78}] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\XBTB00885.XBTB00885Toolbar] "UninstallString"="regsvr32 /u /s \"C:\\Programme\\Mein PONSline\\MeinPONSline.dll\" " [HKEY_USERS\S-1-5-21-1536709521-3590902428-946217501-1005\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser] ; Contents of value: ; cf÷¦*$¤§Õ«@¹âse{24a7168c-5e41-4a8a-af96-afb39df2061e} "{A6F74643-242A-A7A4-8DD5-AB40B9E25345}"=hex:43,46,f7,a6,2a,24,a4,a7,8d,d5,ab,\ 40,b9,e2,53,45,7b,32,34,41,37,31,36,38,43,2d,35,45,34,31,2d,34,61,38,61,2d,\ 41,46,39,36,2d,41,46,42,33,39,44,46,32,30,36,31,45,7d,00 [HKEY_USERS\S-1-5-21-1536709521-3590902428-946217501-1005\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] ; Contents of value: ; cf÷¦*$¤§Õ«@¹âse{24a7168c-5e41-4a8a-af96-afb39df2061e} "{A6F74643-242A-A7A4-8DD5-AB40B9E25345}"=hex:43,46,f7,a6,2a,24,a4,a7,8d,d5,ab,\ 40,b9,e2,53,45,7b,32,34,41,37,31,36,38,43,2d,35,45,34,31,2d,34,61,38,61,2d,\ 41,46,39,36,2d,41,46,42,33,39,44,46,32,30,36,31,45,7d,00 [HKEY_USERS\S-1-5-21-1536709521-3590902428-946217501-1005\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{54F33362-1828-4181-9CC7-4BC727C38B78}] [HKEY_USERS\S-1-5-21-1536709521-3590902428-946217501-1005\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{54F33362-1828-4181-9CC7-4BC727C38B78}\iexplore] [HKEY_USERS\S-1-5-21-1536709521-3590902428-946217501-1005\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A6F74643-242A-A7A4-8DD5-AB40B9E25345}] [HKEY_USERS\S-1-5-21-1536709521-3590902428-946217501-1005\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A6F74643-242A-A7A4-8DD5-AB40B9E25345}\iexplore] [HKEY_USERS\S-1-5-21-1536709521-3590902428-946217501-1005\Software\XBTB00885\Toolbar] "firstURL"="http://www.pons.de/aktiv/onlinewb/meinponsline/gewinnspiel.htm" "updateUrl"="http://www.ponsline.de/suchleisten/IE/MeinPONSline.cab" "urlAfterUpdate"="http://www.pons.de/aktiv/onlinewb/meinponsline/nachupdate.htm" "urlAfterUninstall"="http://www.pons.de/aktiv/onlinewb/meinponsline/nachdeinstallation.htm" ; End Of The Log... und nun?? danke |
|
|
||
21.05.2006, 12:56
Ehrenmitglied
Beiträge: 29434 |
#6
bigmo23
1. Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. Zitat REGEDIT42. Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry mit "ja" oder "yes" beifügen 3. PC neustarten 4. deinstallieren C:\\Programme\\Mein PONSline ------------ 5. poste noch mal die Logs von: gib ein: 1. {54F33362-1828-4181-9CC7-4BC727C38B78} 2. {A6F74643-242A-A7A4-8DD5-AB40B9E25345} 3. MeinPONSline __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
21.05.2006, 16:42
...neu hier
Themenstarter Beiträge: 7 |
#7
Hallo!
Also, hab die schritte vollzogen, hier das Ergebnis. Myponsline konnte ich nicht finden um es sauber zu deinstallieren, deshalb hab ich es neu installiert und deinstalliert unter Systemsteuerung --> Programme. Hier das Logfile: REGEDIT4 ; Registry Search 2.0 by Bobbi Flekman © 2005 ; Version: 2.0.1.0 ; Results at 21.05.2006 17:38:17 for strings: ; '{54f33362-1828-4181-9cc7-4bc727c38b78}' ; '{a6f74643-242a-a7a4-8dd5-ab40b9e25345}' ; 'meinponsline' ; Strings excluded from search: ; (None) ; Search in: ; Registry Keys Registry Values Registry Data ; HKEY_LOCAL_MACHINE HKEY_USERS [HKEY_USERS\S-1-5-21-1536709521-3590902428-946217501-1005\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser] ; Contents of value: ; cf÷¦*$¤§Õ«@¹âse{24a7168c-5e41-4a8a-af96-afb39df2061e} "{A6F74643-242A-A7A4-8DD5-AB40B9E25345}"=hex:43,46,f7,a6,2a,24,a4,a7,8d,d5,ab,\ 40,b9,e2,53,45,7b,32,34,41,37,31,36,38,43,2d,35,45,34,31,2d,34,61,38,61,2d,\ 41,46,39,36,2d,41,46,42,33,39,44,46,32,30,36,31,45,7d,00 [HKEY_USERS\S-1-5-21-1536709521-3590902428-946217501-1005\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] ; Contents of value: ; cf÷¦*$¤§Õ«@¹âse{5ede7817-6020-4e06-b70d-a978f6d203ad} "{A6F74643-242A-A7A4-8DD5-AB40B9E25345}"=hex:43,46,f7,a6,2a,24,a4,a7,8d,d5,ab,\ 40,b9,e2,53,45,7b,35,45,44,45,37,38,31,37,2d,36,30,32,30,2d,34,65,30,36,2d,\ 42,37,30,44,2d,41,39,37,38,46,36,44,32,30,33,41,44,7d,00 [HKEY_USERS\S-1-5-21-1536709521-3590902428-946217501-1005\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{54F33362-1828-4181-9CC7-4BC727C38B78}] [HKEY_USERS\S-1-5-21-1536709521-3590902428-946217501-1005\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{54F33362-1828-4181-9CC7-4BC727C38B78}\iexplore] [HKEY_USERS\S-1-5-21-1536709521-3590902428-946217501-1005\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A6F74643-242A-A7A4-8DD5-AB40B9E25345}] [HKEY_USERS\S-1-5-21-1536709521-3590902428-946217501-1005\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A6F74643-242A-A7A4-8DD5-AB40B9E25345}\iexplore] [HKEY_USERS\S-1-5-21-1536709521-3590902428-946217501-1005\Software\Microsoft\Windows\ShellNoRoam\MUICache] "D:\\Downloads\\MeinPONSline.exe"="MeinPONSline" ; End Of The Log... Danke mo |
|
|
||
21.05.2006, 20:07
Ehrenmitglied
Beiträge: 29434 |
#8
1.
loesche manuell: D:\Downloads\MeinPONSline.exe ---------------------------------------- 2. Start - Ausfuehren - regedit bearbeiten - suchen reinkopieren: {A6F74643-242A-A7A4-8DD5-AB40B9E25345} {54F33362-1828-4181-9CC7-4BC727C38B78} loesche alles, was du findest und starte den PC neu. ----------------- 3. berichte, ob es noch Probleme mit dem Rechner gibt __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
21.05.2006, 21:29
...neu hier
Themenstarter Beiträge: 7 |
#9
Hab ich alles gemacht, aber selbe probleme!
Hotkeys, die nicht funktionieren, Smileys, die nicht erkannt werden, ein Mousepad, das nicht richtig funktioniert. Was kann ich denn sonst noch machen? bigmo23 |
|
|
||
21.05.2006, 23:10
Ehrenmitglied
Beiträge: 29434 |
#10
TuneUp 2006 (30 Tage free) Shareware
http://virus-protect.org/reinigungstoolsregistry.html wende an: Cleanup repair -- TuneUp Diskcleaner Cleanup repair -- Registry Cleaner dann berichte, wie es laueft __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
27.05.2006, 14:20
...neu hier
Themenstarter Beiträge: 7 |
#11
Hallo!
Hab TuneUp laufen lassen, hat 927 Probleme gefunden und behoben aber immernoch die gleichen Probleme. Was nun? bigmo |
|
|
||
27.05.2006, 14:50
Ehrenmitglied
Beiträge: 29434 |
#12
Zitat Hotkeys, wie Lautstärkeregler, nicht und jetzt gehen z.B. smilys im MSN Messenger nicht.an Viren kann es nicht liegen... ich kann dir nicht weiterhelfen. Sorry __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
27.05.2006, 19:30
...neu hier
Themenstarter Beiträge: 7 |
||
|
||
Ich hab seit ungefär 5-6 Wochen Probleme mit meinem Laptop. Erst gingen einige Hotkeys, wie Lautstärkeregler, nicht und jetzt gehen z.B. smilys im MSN Messenger nicht. Hab mal HijackThis geladen und einen Scan gemacht. Kenn mich aber nicht gut genug um es zu deuten!
Vielleicht könnt ihm mir ja helfen:
Logfile of HijackThis v1.99.1
Scan saved at 15:20:42, on 20.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\svchost.exe
C:\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: XBTP00885 - {54F33362-1828-4181-9CC7-4BC727C38B78} - C:\PROGRA~1\MEINPO~1\MEINPO~1.DLL
O3 - Toolbar: Mein PONSline - {A6F74643-242A-A7A4-8DD5-AB40B9E25345} - C:\Programme\Mein PONSline\MeinPONSline.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [SunServer] C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F551} (Flatcast Viewer 4.15) - http://www.flatcast.com/de/download/NpFv415.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
Dankeschön!
bigmo23[b]