gestern riefen mich Bekannte (PC-Ahnungslose) von mir an und baten mich um Hilfe. Beim Aufruf des I-Net-Explorers (Version 6) ist die Toolbar komplett verschwunden. Man sieht nur noch die Adressleiste zur Eingabe der Url. Ich habe erstmal Ad-Aware installiert und laufen lassen. Alles entfernt was gefunden wurde. Aufruf des I-Net-Explorers und siehe da, alle Buttons etc. sind wieder da. Nach dem 2. Aufruf des I-Net-Explorers war wieder alles weg. So haben wir das 3 Mal gemacht (teilweise telefonisch), jedoch nicht wirklich mit dauerhaftem Erfolg. Bei jedem 2. Aufuf ist die Toolbar wieder weg. Am Schluss haben wir dann noch Spybat laufen lassen und es wurde Pipas.A gefunden. Ich weiß nicht ob es einen Zusammenhang gibt mit der Toolbar.
Update vom 12.06.2006
Hat alles nix gebracht bis jetz. Jetzt ist auch noch Pipas.A aufgetaucht.
Hier alle Infos:
Spybot brachte folgendes:
--- Search result list --- Pipas.A: Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins
Logfile of HijackThis v1.99.1 Scan saved at 09:16:34, on 12.06.2006 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
gestern riefen mich Bekannte (PC-Ahnungslose) von mir an und baten mich um Hilfe. Beim Aufruf des I-Net-Explorers (Version 6) ist die Toolbar komplett verschwunden. Man sieht nur noch die Adressleiste zur Eingabe der Url. Ich habe erstmal Ad-Aware installiert und laufen lassen. Alles entfernt was gefunden wurde. Aufruf des I-Net-Explorers und siehe da, alle Buttons etc. sind wieder da. Nach dem 2. Aufruf des I-Net-Explorers war wieder alles weg. So haben wir das 3 Mal gemacht (teilweise telefonisch), jedoch nicht wirklich mit dauerhaftem Erfolg. Bei jedem 2. Aufuf ist die Toolbar wieder weg.
Am Schluss haben wir dann noch Spybat laufen lassen und es wurde Pipas.A gefunden. Ich weiß nicht ob es einen Zusammenhang gibt mit der Toolbar.
Update vom 12.06.2006
Hat alles nix gebracht bis jetz. Jetzt ist auch noch Pipas.A aufgetaucht.
Hier alle Infos:
Spybot brachte folgendes:
--- Search result list ---
Pipas.A: Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins
Logfile of HijackThis v1.99.1
Scan saved at 09:16:34, on 12.06.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
c:\winnt\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\DATEV\SYSTEM\PSNTSERV.EXE
C:\DATEV\PROGRAMM\B0000000\DFUEMNGR\DcManag.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Microsoft SQL Server\MSSQL$DATEV_CL_DE01\Binn\sqlservr.exe
C:\DATEV\PROGRAMM\A0000008\NHOSTSVC.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\DATEV\PROGRAMM\B0000301\aida\aida.exe
C:\DATEV\PROGRAMM\B0000299\as\as.exe
C:\DATEV\PROGRAMM\B0000299\as\as.exe
C:\DATEV\PROGRAMM\B0000301\MP\MP.exe
C:\DATEV\PROGRAMM\B0000301\NF\NF.exe
C:\DATEV\PROGRAMM\B0000000\RZNRDAEM\rznrdaem.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINNT\Explorer.EXE
C:\Programme\QuickTime\qttask.exe
C:\DATEV\PROGRAMM\Install\DvInesASDService.Exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\DATEV\PROGRAMM\B0000000\DFUEMNGR\dfueman.exe
C:\WINNT\system32\wuauclt.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\CleanUp!\cleanup.exe
C:\# Tools\hijackthis\HijackThis.exe
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R3 - URLSearchHook: (no name) - {89029C65-2BC2-9BC2-4AEB-91EBF5223B5A} - trycrt.dll (file missing)
O1 - Hosts: localhost 127.0.0.1
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SfWinStartInfo] C:\SFIRM32\sfWinStartupInfo.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DATEV Updateservice] "C:\DATEV\PROGRAMM\Install\DvInesASDService.Exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [scanSYS] backorif.exe
O4 - HKLM\..\Run: [dmxzb.exe] C:\WINNT\system32\dmxzb.exe
O4 - HKCU\..\Run: [corrida] zxc.exe
O4 - HKCU\..\Run: [PasswdMon] ___.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: DFÜ-Manager.lnk = C:\DATEV\PROGRAMM\B0000000\DFUEMNGR\dfueman.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\..\{9D1E1365-288A-4D66-840A-47878E4895E2}: NameServer = 85.255.115.60,85.255.112.136
O20 - Winlogon Notify: polymorphreg - C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\polymorph.dll
O21 - SSODL: DCOM Server - {2C1CD3D7-86AC-4068-93BC-A02304BB8C34} - (no file)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: DATEV Druckservice (DatevPrintService) - DATEV eG - C:\DATEV\SYSTEM\PSNTSERV.EXE
O23 - Service: DATEV DFÜ-System Dienst (Dcmanag) - DATEV eG - C:\DATEV\PROGRAMM\B0000000\DFUEMNGR\DcManag.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NetOp Helper ver. 7.60 (2003146) (NetOp Host for NT Service) - Danware Data A/S - C:\DATEV\PROGRAMM\A0000008\NHOSTSVC.EXE
Cleanup ausgeführt, jedoch konnte man Delete Prefetch files nicht markieren.
Hier kommt das Ergebnis von datfind
Datentr„ger in Laufwerk C: ist SYSTEM
Datentr„gernummer: 2069-13DB
Verzeichnis von C:\WINNT\system32
12.06.2006 08:25 16.384 Perflib_Perfdata_240.dat
11.06.2006 19:14 89 d.bat
06.06.2006 10:10 425.020 kilacln.exe
07.05.2006 21:20 100.352 dfrg.msc
06.05.2006 13:29 17 dlh9jkdq8.exe
26.03.2006 20:59 158.752 FNTCACHE.DAT
18.01.2006 13:05 57.344 avsda.dll
Datentr„ger in Laufwerk C: ist SYSTEM
Datentr„gernummer: 2069-13DB
Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp
12.06.2006 09:20 0 DVFEHLER.LOG
1 Datei(en) 0 Bytes
0 Verzeichnis(se), 2.392.702.976 Bytes frei
Datentr„ger in Laufwerk C: ist SYSTEM
Datentr„gernummer: 2069-13DB
Verzeichnis von C:\WINNT
12.06.2006 09:19 109.010 WindowsUpdate.log
11.06.2006 19:52 52.070 ntbtlog.txt
11.06.2006 19:43 32.556 SchedLgU.Txt
11.06.2006 19:20 26 Lic.xxx
11.06.2006 19:14 896 win.ini
11.06.2006 09:30 234.228 setupapi.log
10.06.2006 10:29 337 hpbafd.ini
10.06.2006 10:20 3.742 ODBC.INI
06.06.2006 10:14 4.456 rdt.ini
07.05.2006 13:16 229 system.ini
13.01.2006 09:36 177 dvinesinstart001.INI
13.01.2006 09:36 177 dvinesinstalllocation001.INI
13.01.2006 09:34 77 Startup.INI
Datentr„ger in Laufwerk C: ist SYSTEM
Datentr„gernummer: 2069-13DB
Verzeichnis von C:\
12.06.2006 09:31 0 sys.txt
12.06.2006 09:31 8.830 system.txt
12.06.2006 09:31 292 systemtemp.txt
12.06.2006 09:31 99.402 system32.txt
12.06.2006 08:24 603.979.776 PAGEFILE.SYS
11.06.2006 23:53 84 23990098.$$$
11.06.2006 19:20 2 AVPCallback.log
06.05.2006 13:29 0 uniq
29.04.2006 11:00 2.871 DeoExcept_DvZMSDPushServer_Administrator_CALISTO.log
14.02.2006 09:12 691 DeoExcept_mandant_Administrator_CALISTO.log
13.01.2006 10:07 14.561 REWECleanUp.log
Vielen Dank schon mal
painkiller9 8)