Problem mit DSO-Exploit, was macht der

#226 noch ne frage vielleicht kannst mir ja bei auch helfen und zwar werden programme wie msconfig regedit oda hijackthis im normalen modus sofort wieda geschlossen und können nur im abgesicherten modus gestartet werden

#227 Das passiert wahrscheinlich, weil noch zwei ueble Viren im Autostart sind.....

@Kite

Fixe
O4 - HKLM\..\Run: [Video Process] MStli32s.exe
O4 - HKLM\..\RunServices: [Video Process] MStli32s.exe
O4 - HKCU\..\Run: [Video Process] MStli32s.exe
O4 - HKCU\..\Run: [Nukrkbf] C:\WINDOWS\System32\bnr.exe

neustarten

Ueberprufe mit Kaspersky
http://www.kaspersky.com/remoteviruschk.html
MStli32s.exe
C:\WINDOWS\System32\bnr.exe

Was wird angezeigt ?

MFG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#228 Danke Sabina,

leider bin ich noch nicht so versiert und verstehe nichts davon was dort geschrieben steht. Macht nichts, wird schon nicht so wichtig sein.....

Weisst Du wie es sich bei Netzwerken verhällt, wird der Dialer und/oder dieses DSO exploit weitergereicht an die anderen Rechner im Netzwerk?
Habe auf den anderen Rechnern schon nach der BTV datei gesucht, aber ohne erfolg, aber vielleicht versteckt sie sich irgendwo?

Auch würde mich interessieren ob sich der dialer von meinem Rechner auf dem ich ihn gefunden habe ins Internet einwählen kann? Der rechner hängt wie gesagt am Netzwerk...

Hast Du vielleicht noch einen Tipp für mich wie ich mich in Zukunft vor einem
Dialer schützen kann?

Besten Dank!

Dome

#229 so neuer log

Logfile of HijackThis v1.98.1
Scan saved at 16:44:06, on 07.08.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\David\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.examined.de/daoc/ally_news.php
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL (file missing)
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [BGNewsAgent] C:\Programme\BullGuard\bgnewsag.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [QSB] C:\Programme\Company\Quick Start Button\QSB.exe
O4 - HKCU\..\Run: [Nukrkbf] C:\WINDOWS\System32\bnr.exe
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab



aba der link geht nich ich glaub dien seite is down funkt +über google auch net

#230 @Kite

fixe
O4 - HKCU\..\Run: [Nukrkbf] C:\WINDOWS\System32\bnr.exe

neustarten !!!!!

loesche manuell:
C:\WINDOWS\System32\bnr.exe
suche und loesche alles mit :
[Video Process] MStli32s.exe

#mache unbedingt die WindowsUpdates, falls keine cdkey da ist, alles ausser SP1
#aktualisiere den IE auf IE 6 Sp1 (keine cdkey notwendig)
http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=1E1550CB-5E5D-48F5-B02B-20B602228DE6

#Gehe mal in die Host-Datei (mit Editor oeffnen)
schau mal in c:\Windows\System32\drivers\etc\hosts

Im Normalfall sollte dass hier drin stehen, alles andere loeschen !!!!!!!!!!!.
127.0.0.1 localhost
#Orginal Host Datei


Kaspersky
http://www.kaspersky.com/remoteviruschk.html
rechtsklick...<open link in new Window< oeffnet sich der Link jetzt ?
Er ist nicht tot....

Dann poste das Log noch mal, uff
mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#231 @samuidome

Da kann man mal sehen, was eine simple Anfrage wegen einem Exploid so alles mit sich bringt..................
.....................................................................................................................
Der Dialer waehlt sich normalerweise, wenn er aktiviert und im Autostart ist, sofort ein, wenn du ins Netz gehst.

Variante 1 :
Da du aber , wie erwaehnt dies mit dem Firewall abgeblockt hast, duerfte keine Verbindung zustandegekommen sein..

oder

Variante 2 (wahrscheinlicher)
Es kann aber auch sein, dass der Dialer deine normale InternetProvider #gekapert# hat und du gesurft bist, fuer $3.99 per minute
wenn der Dialer nur auf deinem Rechner war, (trotz Netzwerk) duerftest nur du die teure Verbindung gehabt haben.....sicher bin ich mir jedoch nicht, da ich mich in der Funktion von Netzwerken nicht so gut auskenne.

BTV
Type: Dialer
A program that (secretly!!!!!!!!!!!!!!!!!!!!!!!!!!) changes your dialup connection setting so that instead of calling your local internet provider, your Pc calls some very expensive 0900 or international phone number..............

Falls es Firmenrechner sind, wende dich an den Netzwerkadministrator.
...........................................................................................................

Recent restraining orders and pending court cases against BTV industries Court case pertains to 900 pay per dial charges at $3.99 per minute and fake "You won a SonyPlaystations 2 spam e-mail mass mailings
http://www.ftc.gov/opa/2002/04/btv.htm
Dialer: Software that dials a phone number. Some dialers connect to local Internet Service Providers and are beneficial as configured. Others connect to toll numbers without user awareness or permission.


Dialer:
BTV Industries
Mailing Address:
BTV Industries El Cangrejo 15 Mala, Lanzarote, 35543 Canary Islands ES
Date of Origin:
August, 2003
Place of Origin:
Canary Islands

#arbeite das durch
http://www.dialerschutz.de/


Eine gute Nachricht:
nach dem 15.8.2003 ( Neues Gesetz gegen 0190 Mißbrauch in Kraft ) und zu keiner der Nummern die ich TTW zuordnen kann existiert auf der RegTP Datenbank ein registrierter Dialer (regtp.de). Damit ist die Rechnung nach dem Gesetz unrechtmäßig.
................

Wie es bei 0900 or international phone number. steht, musst du auf der Site vom "Dialerschutz" nachlesen.
mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#232 so windowsupdate läuft aba ina host datei hab ich nur das drin stehn

# Copyright (c) 1993-1999 Microsoft Corp.
#
# This is a sample LMHOSTS file used by the Microsoft TCP/IP for Windows.
#



127.0.0.1 www.symantec.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 symantec.com
127.0.0.1 www.sophos.com
127.0.0.1 sophos.com
127.0.0.1 www.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 www.viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 viruslist.com
127.0.0.1 f-secure.com
127.0.0.1 www.f-secure.com
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky-labs.com
127.0.0.1 www.avp.com
127.0.0.1 www.kaspersky.com
127.0.0.1 avp.com
127.0.0.1 www.networkassociates.com
127.0.0.1 networkassociates.com
127.0.0.1 www.ca.com
127.0.0.1 ca.com
127.0.0.1 mast.mcafee.com
127.0.0.1 my-etrust.com
127.0.0.1 www.my-etrust.com
127.0.0.1 download.mcafee.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 secure.nai.com
127.0.0.1 nai.com
127.0.0.1 www.nai.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 us.mcafee.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 trendmicro.com
127.0.0.1 www.trendmicro.com
127.0.0.1 www.grisoft.com


und die kaspersky hp funkt bei mir komischerweise nich ... seite kann nich angezeigt werden ... aba der rest funkt so gut wie noch nie dank dir

#233 @Kite


Das hatte ich mir gedacht...die Viren haben die Hosts-Datei manipuliert und nun kommst du nicht mehr auf die Sites.
Also:
Im Normalfall sollte dass hier drin stehen, alles andere loeschen !!!!!!!!!!!.
127.0.0.1 localhost
#Orginal Host Datei


Dann loesche noch die Viren
C:\WINDOWS\System32\bnr.exe
suche und loesche alles mit :
[Video Process] MStli32s.exe


(nun muesste der Link von Kaspersky wieder funzen)

und poste das Log noch mal.
MFG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#234 ok hat geklappt da stand
Attention!
Kaspersky Anti-Virus has detected a virus in the file you have submitted.

We suggest that you consider:

Reading about the virus/viruses in our Virus Encyclopedia

Downloading a trial version of Kaspersky Anti-Virus

Purchasing a copy of Kaspersky Anti-Virus in our E-Store

Purchasing Kaspersky Anti-Virus from a certified partner


Scanned file: bnr.exe

bnr.exe - infected by TrojanDownloader.Win32.PurityScan.i


Statistics:
Known viruses: 95591 Updated: 07-08-2004
File size (Kb): 360 Virus bodies: 1
Files: 1 Warnings: 0
Archives: 0 Suspicious: 0

#235 Kite

fixe
O4 - HKCU\..\Run: [Nukrkbf] C:\WINDOWS\System32\bnr.exe

neustarten !!!!!


Dann loesche noch die Viren
C:\WINDOWS\System32\bnr.exe
suche und loesche alles mit :
[Video Process] MStli32s.exe

und lade eventuell die trial version of Kaspersky Anti-Virus

was mich wundert ist, dass die mwav.exe das alles nicht erkannt hat ....
oder hast du nicht damit gescannt ?
http://www.mwti.net/antivirus/free_utilities.asp

Dann poste das Log noch mal.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#236 hmm hab ich schon mit gescannt so alles gemacht datei is wech guck ma

Logfile of HijackThis v1.98.1
Scan saved at 18:01:14, on 07.08.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\BullGuard\bgnewsag.exe
C:\Programme\Company\Quick Start Button\QSB.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\Programme\Gemeinsame Dateien\BullGuard\BullGuard Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\BullGuard\BullGuard Scan Server\bdss.exe
C:\Programme\BullGuard\vsserv.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WUTemp\com_microsoft.XP_SP1_Express_5590\sp1aexpress_ger.exe
c:\4\update\update.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\David\Desktop\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe
C:\WINDOWS\system32\xpsp1hfm.exe
C:\WINDOWS\$xpsp1hfm$\Q817606\update\update.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.examined.de/daoc/ally_news.php
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL (file missing)
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [BGNewsAgent] C:\Programme\BullGuard\bgnewsag.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKCU\..\Run: [QSB] C:\Programme\Company\Quick Start Button\QSB.exe
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab

#237 Kite
Sieht so aus, dass alles o.k. ist.

Funktioniert msconfig und regedit wieder ?

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#238 joa alles wieda da
danke das du mir geholfen hast hät sonst echt net weiter gewusst

#239 hallo zusammen,

mich nerft der exploid auch schon 2 tage!
mein antivir macht immer alarm, ich lösch den dann und denn kommt er ruckzuck wieder!
habe es auch schon versucht mit adaware und spybot im abgescherten modus!
aber ich werde die sau nicht los, helft mir obiwan ihr seid meine letzte hoffnung...

hier mal mein logfile welches ich mit hijack this geschossen habe...



Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AVPersonal\AVGNT.EXE
E:\Programme\iTouch\iTouch.exe
E:\Programme\Winamp3\winampa.exe
E:\programme\quicktime\qttask.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\csrss.exe
E:\Programme\MouseWare\system\em_exec.exe
E:\Programme\Common\Bin\WinCinemaMgr.exe
C:\WINDOWS\system32\WTablet\TabUserW.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\Tablet.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
E:\Programme\wincmd\WinCmd32.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
E:\PROGRA~1\ZONEAL~1\zlclient.exe
E:\install\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [zBrowser Launcher] E:\Programme\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [WinampAgent] "E:\Programme\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [QuickTime Task] "E:\programme\quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [System Process] C:\WINDOWS\csrss.exe /i svchost
O4 - HKLM\..\Run: [Zone Labs Client] E:\PROGRA~1\ZONEAL~1\zlclient.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = E:\Programme\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\WTablet\TabUserW.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab28578.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab28578.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28578.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38054.4153587963
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab28578.cab

wenn ihr mir helfen könnt dann bitte eine version für doofe....

vielen dank schonmal im voraus, grazellka.

#240 @grazellka

Deaktiviere die Wiederherstellung
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

Fixe (anhaken was ich poste und <fix< dann neustarten
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O4 - HKLM\..\Run: [System Process] C:\WINDOWS\csrss.exe /i svchost

neustarten


#Lade das W32.Nimda.E@mm Removal Tool
http://securityresponse.symantec.com/avcenter/FxNimdaE.com.
...........................................................................................................
#Deinstalliere
"My Search Bar" oder "MyWay SpeedBar" using the Add/Remove Programs utility.

Loesche:
<C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
<Mybar.dll
..............................................................................................................
#Lade mwav.exe und scann<alle Dateien< und <alle Folder<
http://www.mwti.net/antivirus/free_utilities.asp
Dann poste, was der Scanner als Infiziert gemeldet hat und das neue Log vom HijackThis

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit