Coolwebsearch kann nicht gelöscht werden! - Fortsetzung

#0
27.04.2004, 14:01
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#31

Zitat

paff postete

Zitat

Sabina postete
http://www.soft411.com/company/MicroWorld-Technologies-Inc/MicroWorld-Anti-Virus-Toolkit.htm
Das Tool hat dir Raman schon empfohlen, ist die mwav.exe von "microworld"

Einfach "Seite eins" des Threads anschauen.

Gruß paff
DOPPELT haelt besser....das naechste Mal lese ich genauer...
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
27.04.2004, 20:53
Member

Themenstarter

Beiträge: 32
#32 Hallo paff,

ja Du hat recht. Es steht dort genau das drinne. Hinten in der beschreibung lese ich folgendes: windows\system32\hlpckjo.dll. Wenn ich das da nun lösche ist der Eintrag natürlich sofort wieder drinne.

Im c:\windows\system32 findet sich aber keine dll mit dem o.g. namen. Was mache ich nun damit?

Gruß Tgorke
Seitenanfang Seitenende
27.04.2004, 21:44
Member

Beiträge: 1095
#33 Hi TGorke

Also, das wir jetzt ein bißchen hart ;)
Die Anleitung steht hier
http://www.rokop-security.de/board/index.php?showtopic=2968&st=0

Ich poste die Anleitung nochmal

Ok in dem Thread
http://computercops.biz/modules.php?name=Forums&file=viewtopic&p=133970
gibts das ganze auf Englisch
Der Post von "steamwiz" ist der wichtige!

Jetzt gehts los
Am besten ausdrucken
----------------------------
Das hier Runterladen
http://download.broadbandmedic.com/VbStuff/KillBox.zip
Den neusten CWShredder von dieser Seite
http://www.computercops.biz/downloads-cat-14.html

Die Internetverbindung beenden und alle Internet-Explorerfenster schließen

Starte CWShredder. Fix drücken

kopieren Sie den Inhalt der Meldungsbox in Notepad/Editor. Speichern Sie diese unter dem Namen <fix.reg>
Das File müßte ungefähr so aussehen

Zitat



Windows Registry Editor Version 5.00
[-HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/html]
[-HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/plain]


Dann doppelklicken auf Datei fix.reg

-----------------------------------------------------------------------
Durch unser "Binäres Registry auslesen" haben wir den Namen des Übeltäters gefunden (siehe oben)
x.x.x.x.x.x.....d.l.l.
=
windows\system32\xxxxxx.dll

(xxxxx könne alle Buchstabenkombinationen sein)
-----------------------------------------------------------------------
Wenn Sie den Namen der Datei haben, die Datei "TheKillBox" in ein Verzeichnis auspacken.

Dann killbox.exe starten

In das Textfeld "Paste Full Path of File to Delete" das reinkopieren

c:\windows\system32\<Filename> wobei <Filename> dann der Dateiname von oben, ist also <xxxxx>.dll

Jetzt keine Knöpfe Drücken sondern in Menu "Action" gehen und "Delete on reboot" wählen.
Im Aufpoppenden Fenster das Menu "File" wählen und wähle "Add File". "c:\Windows\system32\<xxxxx>.dll" auswählen

Für andere
<Achtung: Wichtig: Hier den eigenen Windowspfad angeben>
"z.B. C:\WINNT oder D:\Windows" system32 belibt im Normalfall gleich.

Wenn das geklappt hat dann wählen Sie Menu "Action" und wählen "Process and Reboot". Nachfrage ob Neustart , Neustart

Wenn Windows wieder da ist, Such-Seite und StandardSeite wieder zurücksetzen
(Mit HiJackThis oder in Internetoptionen)

In die Registry schauen und den Eintrag in
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\\Windows
NT\CurrentVersion\Windows]
AppInit_DLLs suchen

Der Eintrag müsste jetzt im Klartext dastehen
Text rauslöschen.

fertig
So einfach ist das ;)

Bei Fragen einfach melden

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Dieser Beitrag wurde am 27.04.2004 um 22:00 Uhr von paff editiert.
Seitenanfang Seitenende
27.04.2004, 22:02
Member

Themenstarter

Beiträge: 32
#34 Hallo Paff,

das folgende kapiere ich nicht!

Die Internetverbindung beenden und alle Internet-Explorerfenster schließen

Starte CWShredder. Fix drücken

kopieren Sie den Inhalt der Meldungsbox in Notepad/Editor. Speichern Sie diese unter dem Namen <fix.reg>
Das File müßte ungefähr so aussehen
Zitat:
Windows Registry Editor Version 5.00
[-HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/html]
[-HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/plain]
Dann doppelklicken auf Datei fix.reg

Von welcher Meldungsbox redet IHr????? Wenn ich meinen CWS mir fix durchlaufen lasse wird er fertig und hat keine Meldungsbox.

Oder bin ich da zu doof?

Alles ander hebe ich nach Anweisung gemacht lieder ist nach dem reboot der Eintrag in AppInit_DLLs wieder vorhanden. Was mache ich falsch.

Gruß TGorke
PS: Version des CWS 1.57.0
Seitenanfang Seitenende
27.04.2004, 22:10
Moderator

Beiträge: 7799
#35 Ich hoffe du kommst mit Englisch einigermassen klar:

Variant #39 of CoolWebSearch - IE pages changed to real-yellow-page.com, drxcount.biz,
list2004.com or linklist.cc, hijack inexplicably returning on reboot with no file seemingly
responsible

Please following the procedure below exactly as listed:

1 - Close all programs and disable system restore Now Reboot and enable system restore.

2 - Download this zip: Process Viewer: http://tools.zerosrealm.com/downloads/pv.zip . Please
unzip it to the desktop. It will not work if you run it from inside the zip. After unzipped go
to the desktop. Open the pv folder. Double click on the runme.bat - A dos window will open.
Please select option 1 for explorer dll's by typing 1 and then pressing enter.

3 - A notepad window will open with a lot of information in it about running processes etc.
Click "Format" and make sure "Word Wrap" is not selected. Click on "Edit" => "Find" and type
in "61c00000 61440" (Without the quotation marks) and click on "Find Next". If this particular
version of CWS is found, you will get a match similar to: "logignh.dll 61c00000 61440
c:\windows\system32\logignh.dll". The filename will always be different (i.e. loginh.dll) -
This is the problem but this will always be constant: 61c00000 61440.

4 - Please download TheKillbox from http://download.broadbandmedic.com/VbStuff/KillBox.zip .
Unzip the files to a folder, then double-click on Killbox.exe to run it. In the "Paste Full
Path of File to Delete" box, copy and paste the following: c:\windows\system32\logignh.dll < =
Remember that the dll filname will be different than the one here. Don't click any of the
buttons though, instead please click on the "Action menu" and choose "Delete on Reboot". On the
next screen, click on the "File" menu and choose "Add File". The filename and path should show
up in the window. If that's successful, choose the Action menu and select "Process and Reboot".
You'll be prompted to reboot, do so.

5 - When you're back in windows, please run the latest version of cwshredder. Keep in mind -
You must not have any programs running while you scan as this can cause the clean up to fail.

6 - Please double click the runme.bat again. This time chose option 6 for appinit contents.
Notepad will open with a log in it. The specific line we are interested in is:
"AppInit_DLLs"="". There may be valid programs in this line. If it is only the dll as found
above, proceed to the next step, if you are unsure, please post the entire contents and wait
for expert clarification.

7 - Please double click the runme.bat again. This time chose option 7 to clean appinit.

8 - Please double click the runme.bat again. This time chose option 6 for appinit contents
once more. Notepad will open with a log in it. This line= "AppInit_DLLs"="", should either be
empty or contain only the valid dll's. not the one as found in point #3.

9 - Run http://www.spywareinfo.com/downloads/tools/IEFIX.reg , which will reset your search
page, load page etc for IE back to the defaults from Microsoft. If you want a different "Start
Page", open Internet Explorer and browse to the page/site that you want. Once it has loaded,
click on "Tools" => "Internet Options" and under the "General" tab, click on "Use current".

10 - Reboot one final time.


Cheers, Tony
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
27.04.2004, 22:15
Member

Beiträge: 1095
#36

Zitat


Alles ander hebe ich nach Anweisung gemacht lieder ist nach dem reboot der Eintrag in AppInit_DLLs wieder vorhanden. Was mache ich falsch.
Steht der Eintrag jetzt als Klartext drin?
Wenn ja kannst du den Eintrag löschen und die Dll (da nicht mehr da) schreibt ihn nicht wieder rein.

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Dieser Beitrag wurde am 27.04.2004 um 22:16 Uhr von paff editiert.
Seitenanfang Seitenende
27.04.2004, 22:22
Member

Beiträge: 1095
#37 @alle
An die,
die selben Probleme haben UND ein zweites Betriebssystem auf dem Rechner.

Bitte bevor ihr mit KillBox die DLL löscht.

Sucht den Namen der DLL nach Anweisung oben unter dem "AppInit_DLLs" Eintrag.

Bootet neu, im anderen Betriebssystem und sucht die DLL im system32 des anderen Betriebsystems.
Vom anderen Betriebssystem aus müßte man sie finden.
Dann einfach in ein ZIPFile packen und an
virus@protecus.de
schicken und bitte auch
mike_hangover@gozomail.com

Vielen Dank
paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
27.04.2004, 22:22
Member

Themenstarter

Beiträge: 32
#38

Zitat

paff postete

Zitat


Alles ander hebe ich nach Anweisung gemacht lieder ist nach dem reboot der Eintrag in AppInit_DLLs wieder vorhanden. Was mache ich falsch.
Steht der Eintrag jetzt als Klartext drin?
Wenn ja kannst du den Eintrag löschen und die Dll (da nicht mehr da) schreibt ihn nicht wieder rein.

Gruß paff
Doch genau das ist hier der Fall !!!! Bei mir kann ich AppInit_Dlls löschen und bein erneuten Aufruf von regedit sehe ich genau den Mist da drin wie vorher. ???!!!!

Gruß Thomas Gorke
Seitenanfang Seitenende
27.04.2004, 22:47
Member

Beiträge: 1095
#39 Hi TGorke
Nicht den Eintrag "AppInit_DLLs" löschen sondern nur den Inhalt.

Wenn noch fragen sind schick mir ne "Private Message"

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Dieser Beitrag wurde am 28.04.2004 um 23:30 Uhr von paff editiert.
Seitenanfang Seitenende
28.04.2004, 23:25
Member

Themenstarter

Beiträge: 32
#40 @All

Hurra !!!!!!!!!!!!!!!


geschafft ich bin es los! Vielen Dank an Euch!!!!!!!!!!!!!!!

Super Hilfe!

Gruß TGorke
Seitenanfang Seitenende
11.05.2004, 12:50
...neu hier

Beiträge: 9
#41 ich habe dasselbe problem.

sobald ich den explorer starte geht das fenster "search for...) auf. aber als startseite habe ich eine andere festgelegt.

ich habe bereits alles versucht. adware upgedated, spyware upgedatet, windows upgedate, cwshredder upgedatet und alle durchlaufenlassen. nix zu machen, das ding ist immer noch da?

kann mir jemand helfen?

hier die logdatei:

Logfile of HijackThis v1.97.7
Scan saved at 12:20:37, on 11.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\pcAnywhere\awhost32.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\tp4mon.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
c:\cowis\c16_serv\c16_wins.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinAce\WinAce.exe
C:\Dokumente und Einstellungen\meins\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\iondoaa.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\iondoaa.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\iondoaa.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\iondoaa.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\iondoaa.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\iondoaa.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {4950785E-99D0-4036-A388-63968ECE5B5D} - C:\WINDOWS\System32\iondoaa.dll
O2 - BHO: (no name) - {499CC866-4387-442C-99A7-C07DF3F29E6B} - C:\WINDOWS\System32\mhjl.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {ABBB4040-6E43-4859-8D7C-D8C7C55160D1} - C:\WINDOWS\System32\dood.dll (file missing)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [TrackPointSrv] tp4mon.exe
O4 - HKLM\..\Run: [pdfFactory Dispatcher v2] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [dlr] C:\WINDOWS\netstat.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Microsoft® JavaScript® Console (HKLM)
O9 - Extra 'Tools' menuitem: JavaScript Console (HKLM)
O9 - Extra button: Microsoft® JavaScript® Console (HKCU)
O9 - Extra 'Tools' menuitem: JavaScript Console (HKCU)
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://c:\MAIN.MHT!http://213.159.117.236/buka.chm::/x.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/075290544b3c1a195915/netzip/RdxIE601_de.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38113.3405555556
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{86990440-0F01-4A7E-A34C-CCBC310BED50}: NameServer = 192.168.1.1

schonmal vielen dank im voraus für hilfe!

john
Seitenanfang Seitenende
11.05.2004, 16:44
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#42 0) Deaktiviere die Wiederherstellung
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

Lade folgendes Programm

-----------------------------------------------------------------------------

http://www.spywareremove.com/

Fixe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\iondoaa.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\iondoaa.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\iondoaa.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\iondoaa.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\iondoaa.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\iondoaa.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

O2 - BHO: (no name) - {4950785E-99D0-4036-A388-63968ECE5B5D} - C:\WINDOWS\System32\iondoaa.dll
O2 - BHO: (no name) - {499CC866-4387-442C-99A7-C07DF3F29E6B} - C:\WINDOWS\System32\mhjl.dll (file missing)
2 - BHO: (no name) - {ABBB4040-6E43-4859-8D7C-D8C7C55160D1} - C:\WINDOWS\System32\dood.dll (file missing)

O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://c:\MAIN.MHT!http://213.159.117.236/buka.chm::/x.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/075290544b3c1a195915/netzip/RdxIE601_de.cab


neustarten

-----------------------------------------------------------------------------


dann mit den Tools scannen(AdAware, Spybot, Spyhunter)
------------------------------------------------------------------------------------

-mache einen Onlinescann mit PestPatrol
http://www.pestscan.com/Scan.asp

-mache einen OnlineScann
http://housecall.trendmicro.com/

lade die mwav.exe, scanne .
Alles was er dir anzeigt, (falls), dann manuell loeschen.
http://www.mwti.net/antivirus/free_utilities.asp

Lade den Webwasher...zum Saeubern vom IE
http://www.zdnet.de/downloads/programs/a/f/de000PAF_is-wc.html

Stelle unter InternetOptionen deine StartSeite neu ein.

ade den Firefox als Zweitbrowser, so gibt es keine Probleme mehr mit Hijackern
http://www.firebird-browser.de/

loesche manuell in der Registry:
{4950785E-99D0-4036-A388-63968ECE5B5D}
{499CC866-4387-442C-99A7-C07DF3F29E6B}

falls es noch da ist, nach der Reinigung mit den Tools

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.05.2004, 20:16
...neu hier

Beiträge: 9
#43 so, alles erledigt, und es ist weg!!!!!!!!!!
Ich hoffe zumindest das der shit weg ist.

vielen dank für deine hilfe und deine tipps sabina!
Seitenanfang Seitenende
11.05.2004, 20:19
Member
Avatar Dafra

Beiträge: 1122
#44 Poste noch mal zur Sicherheit noch ein Log.
MFG
DAFRA
Seitenanfang Seitenende
12.05.2004, 08:20
...neu hier

Beiträge: 9
#45 also bis jetzt ist das ding nicht mehr aufgetaucht, ich hoffe ja es ist endgültig weg.
hier nochmal ein aktuelles Log:

Logfile of HijackThis v1.97.7
Scan saved at 08:12:47, on 12.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\pcAnywhere\awhost32.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\tp4mon.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinAce\WinAce.exe
C:\Dokumente und Einstellungen\meins\Lokale Einstellungen\Temp\HijackThis.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [TrackPointSrv] tp4mon.exe
O4 - HKLM\..\Run: [pdfFactory Dispatcher v2] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [dlr] C:\WINDOWS\netstat.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Microsoft® JavaScript® Console (HKLM)
O9 - Extra 'Tools' menuitem: JavaScript Console (HKLM)
O9 - Extra button: Microsoft® JavaScript® Console (HKCU)
O9 - Extra 'Tools' menuitem: JavaScript Console (HKCU)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38113.3405555556
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{86990440-0F01-4A7E-A34C-CCBC310BED50}: NameServer = 192.168.1.1

Vielen Dank nochmal für Eure Hilfe!

John
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: