Home » Spyware & Browser Hijacker Support Forum » "search for..." als startseite - wie entfernen? » Themenansicht
"search for..." als startseite - wie entfernen?Thema ist geschlossen! |
||
|---|---|---|
Thema ist geschlossen! |
||
| #0
| ||
|
28.05.2004, 09:18
Ehrenmitglied
 Beiträge: 29434 |
||
 
|
|
|
|
28.05.2004, 09:49
Ehrenmitglied
Beiträge: 29434 |
#197
@Uweeeeeeeeeeee
gehe in den abgesicherten Modus (F8 beim Hochfahren druecken) dort scannst du mit dem HijackThis und hakst an, was ich poste: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\fkmlmda.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\fkmlmda.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\fkmlmda.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\fkmlmda.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\fkmlmda.dll/sp.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\fkmlmda.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {88DC1113-58DE-41CE-AAB9-9A7EF3EAC403} - C:\WINDOWS\System32\fkmlmda.dll O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe dann <fix< Dann scannst du (auch im abgesicherten Modus noch einmal mit dem CWHRedder , AdAware und sphjfix.exe. http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html neustarten #. Nun hier http://members.shaw.ca/techcd/VB_Projects den File den Hostfilereader.exe downloaden, ausführen und die Schalfläche "Reset Default" klickern und danach OK und Exit. #. Editor öffnen und folgenden Text einfügen : REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] "System"=- [-HKEY_CLASSES_ROOT\CLSID\{88DC1113-58DE-41CE-AAB9-9A7EF3EAC403}] 6. Speichern unter "clear.reg" (dazu Dateityp : alle Dateien auswählen) 7. Doppelklick auf den so neu erzeugten File und der Abfrage "zur Registry hinzufügen" zustimmen. 8. Neustart 9. Diesen File C:\WINDOWS\System32\fkmlmda.dll finden und löschen. 10. Neustart Lade die mwav.exe und scanne <alle Dateien< Loesche manuell, was angezeigt wird http://www.mwti.net/antivirus/free_utilities.asp Loesche unter InternetOptionen die TemporaryInternetFiles und Cookies und stelle die Startseite neu ein. dann poste dein Log noch einmal. Gruss Sabina  __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 28.05.2004 um 09:59 Uhr von Sabina editiert.
|
|
|
|
|
|
|
28.05.2004, 11:22
...neu hier
Beiträge: 2 |
#198
Hallo Leute,
Ich habe mir in meinem W2000 System,Internetzugang über AVM-Fritz!Card und T-Online, trotz Norton Antivirus (akt. 21.05.04), am 23.05.04 vermutlich einen Trojaner eingefangen. NAV meldete sofort den Virus 'Trojan.horse', und dass die Datei dlm.exe nicht gelöscht werden kann. Ein anschließender Scan brachte keine neue Meldungen. Aber als Startseite wird im IE nun immer folgende Adresse eingetragen: 'http://cashsearch.biz/redir.php'. Fixen mit HiJackThis bringt nichts, sobald ein Klick auf ein anders Programm ausgeführt wird, ist der Eintrag wieder drin. Auch die Datei '\windows\system32\drivers\etc\hosts ist betroffen, sie wird vollgeschrieben mit versch. Internetadressen, löschen der Eintrage bzw. der Datei ist zwecklos, kaum abgespeichert wird sie wieder überschrieben, bzw. angelegt (Schreibschutz wird ignoriert). Aus dem 2. Betriebsystem (XP) habe ich zuerst mit Norton dann mit eTrust, nachdem Norten deinstalliert war, einen Scan auf dem 2000er Laufwerk durchgeführt. Norton hat nichts gefunden, eTrust meldete den Virus W32.harnig in \windows.tmp\dl.exe und die Löschung der Datei. Im Verzeichnis wahren noch weitere Dateien z.B. dlm.xml die ich alle von XP aus gelöscht habe. Laut Virenscanner war mein System nun sauber, was sich aber nach einem Neustart von W2000 nicht bewahrheitet hat, Die Einträge in der Registrierung und in der Hosts werden immer noch eingetragen bzw. geändert. Die Beschreibung des Virus von Symantec oder von CA passen auch nicht so richtig auf mein Problem. Meine Meinung nach läuft noch irgendwo ein Prozess der die Einträge vornimmt, oder die Windowsprogramme Winlogon und Explorer haben einen Virus intus, der von den AV Programmen nicht erkannt wird. Die Einträge in HK..\Run habe ich alle entfernt, hat aber nichts gebracht. Ich hoffe jemand kann mir sagen wie ich die Sache wieder in Ordnung bringen kann. Im Voraus schon mal herzlichen Dank ! Logfile of HijackThis v1.97.7 Scan saved at 22:12:09, on 27.05.2004 Platform: Windows 2000 SP3 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\CTsvcCDA.EXE C:\WINNT\System32\svchost.exe C:\WINNT\System32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\SLEE401.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\System32\MsPMSPSv.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\devldr32.exe C:\Programme\D\D-Info\dinfostarter.exe C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe C:\WINNT\system32\notepad.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\cmd.exe C:\Programme\HiJackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://cashsearch.biz/redir.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://cashsearch.biz/redir.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://cashsearch.biz/redir.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://cashsearch.biz/redir.php R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.100.5:80 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://cashsearch.biz/redir.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://cashsearch.biz/redir.php O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O3 - Toolbar: D-Info - {CB736FF0-1D72-11D6-BF3C-005056303009} - C:\Programme\D\D-Info\dinfoband.dll O4 - Startup: Quicken 2005 Zahlungserinnerung.lnk = C:\Programme\Quicken2005\billmind.exe O4 - Startup: Service Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe O4 - Global Startup: D-Info Starter.lnk = C:\Programme\D\D-Info\dinfostarter.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Quicken 2004 Zahlungserinnerung.lnk = C:\Programme\Quicken2004\billmind.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: D-Info (HKLM) O9 - Extra 'Tools' menuitem: D-Info (HKLM) O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/2547f42304aea8694916/netzip/RdxIE601_de.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{07E8F0C6-8419-4884-9D9C-F09193976525}: NameServer = 192.168.120.252,192.168.120.253 O17 - HKLM\System\CS1\Services\Tcpip\..\{07E8F0C6-8419-4884-9D9C-F09193976525}: NameServer = 192.168.120.252,192.168.120.253 O17 - HKLM\System\CS2\Services\Tcpip\..\{07E8F0C6-8419-4884-9D9C-F09193976525}: NameServer = 192.168.120.252,192.168.120.253 Gruss und Danke rome |
|
|
|
|
|
|
28.05.2004, 11:47
Ehrenmitglied
Beiträge: 29434 |
#199
rome:
Nun hier http://members.shaw.ca/techcd/VB_Projects den File den Hostfilereader.exe downloaden, ausführen und die Schalfläche "Reset Default" klickern und danach OK und Exit. Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
28.05.2004, 11:50
Ehrenmitglied
Beiträge: 29434 |
#200
Rome
Deaktiviere die Wiederherstellung http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 Lade ------------- AdAware Cwhsredder Spybot Sphjfix.exe http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html mwav.exe (e-scann) http://www.mwti.net/antivirus/free_utilities.asp Dann gehst du in den abgesicherten Modus und scannst mit dem HijackThis und hakst an, was ich poste und dann <fix< R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://cashsearch.biz/redir.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://cashsearch.biz/redir.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://cashsearch.biz/redir.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://cashsearch.biz/redir.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://cashsearch.biz/redir.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://cashsearch.biz/redir.php O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/2547f42304aea8694916/netzip/RdxIE601_de.cab neustarten 1)und im abgesicherten Modus ohne Internetverbindung scannen mit AdAware CWShredder Spybot Sphjfix.exe 2) Nun hier http://members.shaw.ca/techcd/VB_Projects den File den Hostfilereader.exe downloaden, ausführen und die Schalfläche "Reset Default" klickern und danach OK und Exit. 3)Dann scannst du mit der mwav.exe und loescht manuell, was angezeigt wird 4)Dann loescht du unter InternetOptionen die TemporaryInternetFiles und stellst die Startseite neu ein. ------------------------------------------------------------------------------------------- #Deaktiviere unter Verwaltung<Dienste Remote Registry Service, wenn du ihn nicht unbedingt brauchst (Sicherheitsrisiko) http://frankn.com/html/regsvc_exe.html #Lade den Firefox als Zweitbrowser (ist Hijackerfrei) http://firebird.stw.uni-duisburg.de/windows.php #Lade den Antivir. (<alle Dateien scannen <einstellen http://www.free-av.com/ #Mache einen Onlinescann http://www.pestscan.com/Scan.asp #Lade Bazooka http://www.kephyr.com/spywarescanner/supportus.phtml #Ueberpruefe, ob das dein Proxy ist: R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.100.5:80 Dann poste das Log noch einmal. Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 28.05.2004 um 12:11 Uhr von Sabina editiert.
|
|
|
|
|
|
|
28.05.2004, 12:15
...neu hier
Beiträge: 2 |
#201
Hallo Sabina,
werde mir die Programme besorgen und über die Feiertag versuchen das Thema zu Erledigen. Ich bin mal gespannt, ob im abgesicherten Modus die Einträge auch überschrieben werden. Besten Dank für Deinen Vorschlag Roman |
|
|
|
|
|
|
30.05.2004, 12:16
...neu hier
Beiträge: 2 |
#202
Dickes THX, endlich bin ich dieses Mistding los
 .Hier das Logfile: Logfile of HijackThis v1.97.7 Scan saved at 19:29:31, on 28.05.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WIN\System32\smss.exe C:\WIN\system32\winlogon.exe C:\WIN\system32\services.exe C:\WIN\system32\lsass.exe C:\WIN\system32\svchost.exe C:\WIN\System32\svchost.exe C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\WIN\Explorer.EXE C:\WIN\system32\spoolsv.exe C:\Programme\Logitech\iTouch\iTouch.exe C:\WIN\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE C:\WIN\System32\sstray.exe C:\Programme\PestPatrol\PPMemCheck.exe C:\Programme\PestPatrol\CookiePatrol.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Uptime\client.exe C:\Programme\AIM95\aim.exe C:\Program Files\Webroot\Washer\wwDisp.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\PROGRA~1\ICQ\ICQ.exe C:\WIN\System32\devldr32.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WIN\System32\nvsvc32.exe C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE C:\WIN\System32\svchost.exe C:\Downloads\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WIN\System32\msdxm.ocx O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WIN\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O5 "LPT1:" /M "Stylus C84" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WIN\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WIN\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [Uptime-Project] C:\Uptime\client.exe O4 - HKCU\..\Run: [AIM] C:\Programme\AIM95\aim.exe -cnetwait.odl O4 - HKCU\..\Run: [Window Washer] C:\Program Files\Webroot\Washer\wwDisp.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM) O9 - Extra button: ICQ Pro (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O9 - Extra button: AIM (HKLM) O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB |
|
|
|
|
|
|
30.05.2004, 13:16
Ehrenmitglied
Beiträge: 29434 |
#203
@Rugerto
Das Log ist sauber...Glueckwunsch Lade noch den Firefox als Zweit-und SurfBrowser(ist hijackerfrei) http://www.firebird-browser.de/ MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
1.Deaktiviere die Wiederherstellung
2. Deaktiviere den McAffee(oder am besten gleich voellig deinstallieren)
3.Lade den Antivir.
http://www.free-av.com/
(alle Dateien scannen< einstellen
4. Lade von dieser Site
http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html
AdAware (free)
Cwshredder
Spybot
Sphjfix.exe
5. mwav.exe
http://www.mwti.net/antivirus/free_utilities.asp
-------------------------------------------------------------------------
Skanne den HijackThis und hake folgendes an, dann fix
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://allaboutsearching.com/searchbar.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://svcs.microsoft.com/svcs/mms/addin.asp?Plcid=0407&Version=4.7&CLCID=0407&BrandID=WindowsMessenger&Country=CH
R3 - URLSearchHook: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972} - (no file)
O1 - Hosts: 207.36.196.189 ieautosearch
O1 - Hosts: 207.36.196.189 auto.search.msn.com
O1 - Hosts: 207.36.196.189 search.netscape.com
O3 - Toolbar: chic keep - {BDC46DD2-F487-E87C-4926-C3BFFCA5BFA4} - C:\PROGRA~1\ONLINE~3\DeafItch.dll (file missing)
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
C:\Programme\Save\Save.exe
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [WinTools] C:\Programme\Common files\WinTools\WToolsA.exe
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [KAZAA] C:\Programme\Kazaa\Kazaa.exe /SYSTRAY
O4 - HKLM\..\Run: [updmgr] C:\Programme\Common files\updmgr\updmgr.exe
O4 - HKLM\..\Run: [AltnetPointsManager] c:\program files\altnet\points manager\points manager.exe -s
O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [WhenUSave] "C:\Programme\Save\Save.exe"
O4 - HKLM\..\Run: [WhenUSearch] "C:\Programme\WhenUSearch\Search.exe"
O4 - HKLM\..\Run: [McRegWiz] C:\PROGRA~1\mcafee.com\agent\mcregwiz.exe /autorun
O4 - HKLM\..\Run: [MSKAGENTEXE] C:\PROGRA~1\McAfee\SPAMKI~1\MskAgent.exe
O4 - HKLM\..\Run: [MSKDetectorExe] C:\PROGRA~1\McAfee\SPAMKI~1\MSKDetct.exe /startup
O4 - HKCU\..\Run: [InstantTray] c:\Programme\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
O4 - HKCU\..\Run: [IW_Drop_Icon] c:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe /DropDisc
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ClockSync] "C:\Programme\ClockSync\Sync.exe" /q
O4 - Global Startup: Date Manager.lnk = C:\Programme\Date Manager\DateManager.exe
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
die 04-Eintraege auch im Taskmanager deaktivieren
neustarten und in den abgesicherten Modus gehen(F8 beim Hochfahren druecken)
--------------------------------------------------------------------------------------------------
#im abgesicherten Modus machst du einen Vollscann mit Antivir. und mwav.exe
#Scanne (ohne Internetverb. mit dem AdAware, Cwshredder und Sphjfixe.exe
neustarten
--------------------------------------------------------------------------------------------------
Nun hier http://members.shaw.ca/techcd/VB_Projects den File den Hostfilereader.exe downloaden, ausführen und die Schalfläche "Reset Default" klickern und danach OK und Exit.
5. Editor öffnen und folgenden Text einfügen :
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"System"=-
[-HKEY_CLASSES_ROOT\CLSID\{BDC46DD2-F487-E87C-4926-C3BFFCA5BFA4}]
Speichern unter "clear.reg" (dazu Dateityp : alle Dateien auswählen)
7. Doppelklick auf den so neu erzeugten File und der Abfrage "zur Registry hinzufügen" zustimmen.
8. Neustart
9. Diesen File C:\WIN\System32\ DeafItch.dll finden und löschen.
(eventuell mit diesem Tool)
http://www.diamondcs.com.au/index.php?page=apm
#lade das Tool, klicke die einzelnen Programme an, und
Such die DeafItch.dll und loesche
----------------------------------------------------------------------------------------------------
#Lade den Bazooka und poste, was das Tool noch anzeigt
http://www.kephyr.com/spywarescanner/supportus.phtml
#Lade den Firefox als Zweitbrowser(hijackerfrei)
http://firebird.stw.uni-duisburg.de/windows.php
#aktualisiere den IE
http://www.microsoft.com/windows/ie_intl/de/ie6sp1.asp
#Dann loescht du unter InternetOptionen die TemporaryInternetfiles und stellst die Startseite neu ein.
-----------------------------------------------------------------------------------
Dann poste bitte das HijackThis.Log noch einmal.
#Scanne noch einmal mit dem mwav.exe und poste (das infizierte Log)
MfG
Sabina
http://www.kephyr.com/spywarescanner/library/clocksync/index.phtml
http://sarc.com/avcenter/venc/data/adware.savenow.html
__________
MfG Sabina
rund um die PC-Sicherheit