Falsche links aus google bzw. keine Weiterleitung

#0
10.02.2007, 00:27
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#16 SDFix.zip entpacken
http://virus-protect.org/artikel/tools/sdfix.html
es erscheint folgende Meldung:

"The SDFix Folder has been extracted to %systemdrive% - Please run from that location.
(%systemdrive% = drive that contains the Windows directory - typically C:\SDFix )"

unter C:\ findet man nun den SDFix-Ordner

boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet)

gehe in den Ordner C:\SDFix

RunThis.bat doppelt klicken

schreibe: Y

folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten
kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag

----------------------------

avenger

Zitat

registry keys to delete:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\rpcc
HKLM\SOFTWARE\Classes\CLSID\{FAC62615-B14E-412D-B32C-1A8E766EE53A}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FAC62615-B14E-412D-B32C-1A8E766EE53A}

Files to delete:
C:\WINNT\system32\msxml2ad.dll
C:\WINNT\system32\rpcc.dll
falls es noch vorhanden ist:
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O2 - BHO: (no name) - {FAC62615-B14E-412D-B32C-1A8E766EE53A} - C:\WINNT\system32\msxml2ad.dll

O20 - Winlogon Notify: rpcc - C:\WINNT\system32\rpcc.dll

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.02.2007, 09:31
Member

Themenstarter

Beiträge: 12
#17 SDFix: Version 1.64

Run by: THOR - Sa 10.02.2007 @ 9:05:56,60

Microsoft Windows 2000 [Version 5.00.2195]

Running From: C:\SDFix

Safe Mode:
Checking Services:

Name:

Path:


Restoring Windows Registry Entries
Restoring Default Hosts File

Killing PID 116 'smss.exe'
Killing PID 164 'winlogon.exe'
Killing PID 164 'winlogon.exe'

Rebooting...

Normal Mode:
Checking Files:

Below files will be copied to Backups folder then removed:

C:\WINNT\system32\cmd32.exe - Deleted
C:\WINNT\system32\rpcc.dll - Deleted
C:\WINNT\system32\svcp.csv - Deleted
C:\WINNT\system32\winsub.xml - Deleted

Nach reinem Scan mit HijackThis habe ich die angeführten Einträge nicht in den Results.

avenger: Fehlermeldung kam wieder:
Es befindet sich kein Datenträger im Laufwerk.
Legen Sie einen Datenträger in Laufwerk \device\harddiks2\DR5
und dann noch 3 x mit
\device\harddiks3\DR6
\device\harddiks4\DR7
\device\harddiks5\DR8


//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 1813
Line: C:\WINNT\system32\msxml2ad.dll


Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.
Error code: 1813
Line: C:\WINNT\system32\rpcc.dll


//////////////////////////////////////////


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\hapqwjsq

*******************

Script file located at: \??\C:\vgonovpf.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\rpcc not found!
Deletion of registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\rpcc failed!
Status: 0xc0000034

Registry key HKLM\SOFTWARE\Classes\CLSID\{FAC62615-B14E-412D-B32C-1A8E766EE53A} deleted successfully.
Registry key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FAC62615-B14E-412D-B32C-1A8E766EE53A} deleted successfully.

Completed script processing.

*******************

Finished! Terminate.
Seitenanfang Seitenende
10.02.2007, 15:30
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#18 im normalmodus
http://virus-protect.org/artikel/tools/sdfix.html

««
reinschreiben: 1
1 : es wird a-squared geladen - scanne und poste den report

««
reinschreiben: 3 - Sophos wird geladen - waehle 6 - scane und poste den report
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.02.2007, 18:48
Member

Themenstarter

Beiträge: 12
#19 Hat etwas gedauert:

Scan settings:

Objects: Memory, Traces, Cookies, C:
Scan archives: On
Heuristics: On
ADS Scan: On

Scan start: 10.02.2007 15:33:05

C:\WINNT\system32\z11.exe detected: Trace.File.Delf
C:\WINNT\system32\z14.exe detected: Trace.File.Delf
C:\WINNT\system32\z16.exe detected: Trace.File.Delf
C:\Dokumente und Einstellungen\THOR1\Cookies\thor@atdmt[2].txt detected: Trace.TrackingCookie
C:\Dokumente und Einstellungen\THOR1\Cookies\thor@tradedoubler[1].txt detected: Trace.TrackingCookie
C:\Dokumente und Einstellungen\THOR1\Cookies\thor@tribalfusion[1].txt detected: Trace.TrackingCookie
C:\Dokumente und Einstellungen\THOR1\Cookies\thor@doubleclick[1].txt detected: Trace.TrackingCookie
C:\Dokumente und Einstellungen\THOR1\Cookies\thor@cgi-bin[1].txt detected: Trace.TrackingCookie
C:\Dokumente und Einstellungen\THOR1\Cookies\thor@landing.domainsponsor[1].txt detected: Trace.TrackingCookie
C:\Dokumente und Einstellungen\THOR1\Cookies\thor@fastclick[2].txt detected: Trace.TrackingCookie
C:\Dokumente und Einstellungen\THOR1\Cookies\thor@2o7[2].txt detected: Trace.TrackingCookie
C:\Dokumente und Einstellungen\THOR1\Cookies\thor@advertising[2].txt detected: Trace.TrackingCookie
C:\Dokumente und Einstellungen\THOR1\Lokale Einstellungen\Temp\install\setup.exe detected: Adware.Win32.BHO.aa

Scanned

Files: 81969
Traces: 78819
Cookies: 96
Processes: 40

Found

Files: 1
Traces: 3
Cookies: 9
Processes: 0

Quarantined

Files: 1
Traces: 3
Cookies: 9
Processes: 0

Scan end: 10.02.2007 18:44:39
Scan time: 03:11:34

Momentan erfolgt keine Weiterleitung. *Zitter*
Seitenanfang Seitenende
10.02.2007, 21:19
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#20 netter_guido

Avenger

Zitat

registry keys to delete:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\rpcc
HKLM\SOFTWARE\Classes\CLSID\{FAC62615-B14E-412D-B32C-1A8E766EE53A}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FAC62615-B14E-412D-B32C-1A8E766EE53A}

Files to delete:
C:\WINNT\system32\msxml2ad.dll
C:\WINNT\system32\rpcc.dll
C:\WINNT\system32\z11.exe
C:\WINNT\system32\z14.exe
C:\WINNT\system32\z16.exe

Folders to delete:
C:\Dokumente und Einstellungen\THOR1\Lokale Einstellungen\Temp\install

poste den report vom avenger
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.02.2007, 21:35
Member

Themenstarter

Beiträge: 12
#21 Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\vnrchftu

*******************

Script file located at: \??\C:\twqrvfnv.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINNT\system32\msxml2ad.dll deleted successfully.


File C:\WINNT\system32\rpcc.dll not found!
Deletion of file C:\WINNT\system32\rpcc.dll failed!

Could not process line:
C:\WINNT\system32\rpcc.dll
Status: 0xc0000034



File C:\WINNT\system32\z11.exe not found!
Deletion of file C:\WINNT\system32\z11.exe failed!

Could not process line:
C:\WINNT\system32\z11.exe
Status: 0xc0000034



File C:\WINNT\system32\z14.exe not found!
Deletion of file C:\WINNT\system32\z14.exe failed!

Could not process line:
C:\WINNT\system32\z14.exe
Status: 0xc0000034



File C:\WINNT\system32\z16.exe not found!
Deletion of file C:\WINNT\system32\z16.exe failed!

Could not process line:
C:\WINNT\system32\z16.exe
Status: 0xc0000034

Folder C:\Dokumente und Einstellungen\THOR1\Lokale Einstellungen\Temp\install deleted successfully.


Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\rpcc not found!
Deletion of registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\rpcc failed!
Status: 0xc0000034



Registry key HKLM\SOFTWARE\Classes\CLSID\{FAC62615-B14E-412D-B32C-1A8E766EE53A} not found!
Deletion of registry key HKLM\SOFTWARE\Classes\CLSID\{FAC62615-B14E-412D-B32C-1A8E766EE53A} failed!
Status: 0xc0000034



Registry key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FAC62615-B14E-412D-B32C-1A8E766EE53A} not found!
Deletion of registry key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FAC62615-B14E-412D-B32C-1A8E766EE53A} failed!
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.
Seitenanfang Seitenende
10.02.2007, 21:45
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#22 nun muesste wieder alles i.o. sein ;)
wenn es noch Probleme gibt - melde dich
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.02.2007, 22:00
Member

Themenstarter

Beiträge: 12
#23 Hallo Sabina,

vielen vielen Dank. Ich hoffe auch sehr das der Spuk nun vorbei ist und nicht mehr auftaucht.

Muß man das jedesmal individuell machen? Ist ja Wahnsinn.

Abschließend noch ein paar (dumme) Fragen:

a) Was war es und wo kommt sowas her? Habe ja Antivir / Firewall / Adware
b) Wie kann man das zukünftig vermeiden?
c) Kann ich den CCleaner laufen lassen und den CleanUp deinstallieren?

Hoffe ich kann mich mal revanchieren (z.B. wenn Du mal ein Problem Strassenverkehr hast: Melden!.)

Lieber Gruß aus Nürnberg (aus der Gegend bist Du nicht zufällig?)

Guido
Seitenanfang Seitenende
10.02.2007, 22:15
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#24 1.
keine Ahnung, auf welchen falschen Link oder welche falsche Seite du angeklickt hast ;)

Die URL ist folgende:
://193.37.152.88/**********
Diese Datei enthält wahrscheinlich Download-Adressen welche als weitere Quelle für neue Bedrohungen dienen können.
http://www.avira.com/de/threats/section/fulldetails/id_vir/3437/tr_proxy.dlena.at.html

2.
Cleanup und CCleaner dienen dem loeschen der temp-Dateien , sollte man ab und an anwenden

3.
im Strassenverkehr habe ich normaerweise keine Probleme, die portugiesischen Polizisten (in Lissabon) erliegen regelmaessig meinem deutschen Charme + blauen Augen ;)

Alles Gute fuer dich + PC.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: