"Search for..." Startseite kommt immer wieder!Thema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
14.01.2005, 09:35
Moderator
Beiträge: 7805 |
||
|
||
14.01.2005, 11:09
...neu hier
Beiträge: 5 |
#272
Leider Nein schon alles mit den neusten Update sprobiert!
|
|
|
||
14.01.2005, 11:27
Moderator
Beiträge: 7805 |
#273
Dann kopiere mal dein Hijackthis in einen extra ordner. z.B. c:\programme\hijackthis
Dann fix folgendes: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\LBCKE~1\LOKALE~1\Temp\sp.dll/sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\LBCKE~1\LOKALE~1\Temp\sp.dll/sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {0B9A86C9-FB08-49D5-B5B5-B09D72564731} - C:\WINDOWS\system32\cgohb.dll O4 - HKLM\..\Run: [WinsysRsr] C:\WINDOWS\WinsysRsr.exe O18 - Filter: text/html - {39FAF0D0-407F-4235-81B0-74B2C5DEF7FF} - C:\WINDOWS\system32\cgohb.dll O18 - Filter: text/plain - {39FAF0D0-407F-4235-81B0-74B2C5DEF7FF} - C:\WINDOWS\system32\cgohb.dll Starte neu. Im Hijackthis ordner sollte nun ein Ordner mit Namen Backup existieren. Packe ihn mit Winzip oder Winrar und schicke alles an virus@rokop-security.de, diese Datei bitte auch noch: C:\WINDOWS\WinsysRsr.exe Dann schauen wir mal weiter..... __________ MfG Ralf SEO-Spam Hunter |
|
|
||
14.01.2005, 12:02
Ehrenmitglied
Beiträge: 29434 |
#274
Hallo@beerle
Download Registry Search Tool : http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip Doppelklick:regsrch.vbs {00A10670-85E8-41F1-8B60-CA2E7F6E6332} Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) ---------------------------------------------------------------------------- Lade: FindIt.zip--> noch einmal posten, bitte http://bilder.informationsarchiv.net/Nikitas_Tools/ Lade, entpacke und klicke auf: "find.bat" [ignoriere : File not found messages] <DOS oeffnet sich -->warte den Scan ab --> es oeffnet sich der Texteditor --> und poste den Text von output.txt. Please download DllCompare from here http://www.atribune.org/downloads/DllCompare.exe <klick: Locate.com button. wenn der Scan beendet ist <klick:Compare button <klick: und erstelle das Log--->bitte posten #Ad-aware SE Personal 1.05 Updated http://fileforum.betanews.com/detail/965718306/1 Log bitte posten --------------------------------------------------------------------------------- Start--> Ausfuehren<: cmd -> kopiere rein: regsvr32 /u c:\system32\ibmg.dll klick "enter" del temp ----> bestaetige mit "yes" oder "ja" #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Klaus\LOKALE~1\Temp\sp.dll/sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Klaus\LOKALE~1\Temp\sp.dll/sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://deesc.netfirms.com/mob/lan (???) R3 - URLSearchHook: (no name) - {1C78AB3F-A857-482e-80C0-3A1E5238A565} - (no file) O2 - BHO: (no name) - {9452C2C7-917D-4A67-9258-33AEA016D628} - C:\WINDOWS\system32\ibmg.dll O18 - Filter: text/html - {00A10670-85E8-41F1-8B60-CA2E7F6E6332} - C:\WINDOWS\system32\ibmg.dll O18 - Filter: text/plain - {00A10670-85E8-41F1-8B60-CA2E7F6E6332} - C:\WINDOWS\system32\ibmg.dll PC neustarten Loesche: C:\DOKUME~1\Klaus\LOKALE~1\Temp\sp.dll C:\WINDOWS\system32\ibmg.dll #backdoor.agent.b.removal.tool.(Symantec) http://securityresponse.symantec.com/avcenter/venc/data/backdoor.agent.b.removal.tool.html Datenträgerbereinigung: und Löschen der Temporary-Dateien <Start<Ausfuehren<cleanmgr #Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k. #Click:Temporäre Dateien, o.k #ClaerProg..lade die neuste Version <1.4.0 Final http://www.clearprog.de/downloads.php <und saeubere den Browser. Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera: - Cookies - Verlauf - Temporäre Internetfiles (Cache) - die eingetragenen URLs #neue Startseite gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein poste dann alle Logs + das neue Log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 14.01.2005 um 12:19 Uhr von Sabina editiert.
|
|
|
||
14.01.2005, 12:28
...neu hier
Beiträge: 5 |
#275
@raman
Hab die Datein abgeschickt...an der Stelle schonmal Vielen Dank! Dieser Beitrag wurde am 14.01.2005 um 12:29 Uhr von Styler7 editiert.
|
|
|
||
14.01.2005, 12:43
Moderator
Beiträge: 7805 |
#276
Die DLL ist der Hijacker, wie anzunehmen und mit der Exe kann ich so noch nichts anfangen.Mal schauen!
Die Tipps von Sabina solltest du zur Sicherheit auch noch beherzigen: #backdoor.agent.b.removal.tool.(Symantec) http://securityresponse.symantec.com/avcenter/venc/data/backdoor.agent.b.removal.tool.html Datenträgerbereinigung: und Löschen der Temporary-Dateien <Start<Ausfuehren<cleanmgr #Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k. #Click:Temporäre Dateien, o.k Die Systemwiederherstellung solltest du auch noch deaktivieren, neu starten und wieder aktivieren. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
14.01.2005, 13:13
...neu hier
Beiträge: 5 |
#277
vielen vielen dank...auf einmal ist es weg ...ihr seid echt spitze vielen dank!!!
|
|
|
||
14.01.2005, 22:23
...neu hier
Beiträge: 3 |
#278
Hallo!
Habe genau das selbe Problem ... mir geht das sowas von auf die Nerven -.- Hab mich mal schlau gemacht .. inhaber von der ganzen sache ist: Pojan Rousov 53 Smetanovo Praha 1,Prague,CZ 88327 Zumindest mal die Domain (www.sesupport.com) ... folglich wird er wohl auch für den Inhalt verantwortlich sein dieser Spasti!!!!! Naja.. Wer kenn mir helfen das los zu werden?? Meine Log-File: Logfile of HijackThis v1.99.0 Scan saved at 22:17:42, on 14.01.2005 Platform: Unknown Windows (WinNT 5.02.3790) --> Windows Server 03 is des MSIE: Internet Explorer v6.00 (6.00.3790.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe D:\Programme\AVNetNT\avguard.exe D:\PROGRA~1\DIRECT~1\DUService.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\TGTSoft\StyleXP\StyleXPService.exe D:\Programme\VMware\VMware Workstation\vmware-authd.exe C:\WINDOWS\System32\vmnat.exe C:\WINDOWS\system32\Dfssvc.exe C:\WINDOWS\System32\vmnetdhcp.exe D:\PROGRA~1\DIRECT~1\DUControl.exe C:\WINDOWS\system32\LVCOMSX.EXE D:\Programme\Logitech\Video\LogiTray.exe C:\Programme\Messenger Plus! 3\MsgPlus.exe C:\WINDOWS\ehome\ehtray.exe C:\WINDOWS\system32\ctfmon.exe D:\Programme\T-DSL SpeedManager\tsmsvc.exe D:\Programme\Logitech\Video\FxSvr2.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\explorer.exe C:\Programme\MSN Messenger\msnmsgr.exe D:\TYPSoft FTP Server\ftpserv.exe D:\Programme\ICQLite\ICQLite.exe D:\Programme\Mozilla1.7.3\mozilla.exe D:\PROGRA~1\WINZIP\winzip32.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ww.icq.com/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {0767B149-A2BC-42BA-8549-F751DB4ECB58} - C:\WINDOWS\system32\aofc.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: AIM Search - {40D41A8B-D79B-43d7-99A7-9EE0F344C385} - C:\Programme\AIM Toolbar\AIMBar.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [DUControl] D:\PROGRA~1\DIRECT~1\DUControl.exe O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE O4 - HKLM\..\Run: [LogitechVideoRepair] D:\Programme\Logitech\Video\ISStart.exe O4 - HKLM\..\Run: [FTP Server] D:\TYPSOF~1\ftpserv.exe O4 - HKLM\..\Run: [LogitechVideoTray] D:\Programme\Logitech\Video\LogiTray.exe O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe O4 - HKLM\..\Run: [T-DSL SpeedMgr] "D:\Programme\T-DSL SpeedManager\SpeedMgr.exe" O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe O4 - HKLM\..\Run: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [SmcService] D:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [Yahoo! Pager] D:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Startup: WinMySQLadmin.lnk = C:\apachefriends\xampp\mysql\bin\winmysqladmin.exe O4 - Global Startup: Acrobat Assistant.lnk = D:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O8 - Extra context menu item: &AIM Search - res://C:\Programme\AIM Toolbar\AIMBar.dll/aimsearch.htm O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - D:\Programme\AIM95\aim.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:oo.mht!http://195.225.177.13/dia_214/online.chm::/on-line.exe O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab O18 - Filter: text/html - {7D76921F-FCCE-4E0A-91B6-54B6DB6D10A1} - C:\WINDOWS\system32\aofc.dll O18 - Filter: text/plain - {7D76921F-FCCE-4E0A-91B6-54B6DB6D10A1} - C:\WINDOWS\system32\aofc.dll O23 - Service: Adobe LM Service - Unknown - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir Downloader - H+BEDV Datentechnik GmbH - D:\Programme\AVNetNT\dwldsvc.exe O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - D:\Programme\AVNetNT\avguard.exe O23 - Service: DirectUpdate engine - http://www.directupdate.net/ - D:\PROGRA~1\DIRECT~1\DUService.exe O23 - Service: Macromedia Licensing Service - Unknown - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: ArGoSoft Mail Server - ArGo Software Design - C:\Program Files\ArGo Software Design\Mail Server\mlsrvnt.exe O23 - Service: MySql - Unknown - C:/apachefriends/xampp/mysql/bin/mysqld-nt.exe (file missing) O23 - Service: Sygate Personal Firewall - Sygate Technologies, Inc. - D:\Programme\Sygate\SPF\smc.exe O23 - Service: StyleXPService - Unknown - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe O23 - Service: TSMService - T-Systems Nova, Berkom - D:\Programme\T-DSL SpeedManager\tsmsvc.exe O23 - Service: VMware Authorization Service - VMware, Inc. - D:\Programme\VMware\VMware Workstation\vmware-authd.exe O23 - Service: VMware DHCP Service - VMware, Inc. - C:\WINDOWS\System32\vmnetdhcp.exe O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\System32\vmnat.exe |
|
|
||
14.01.2005, 23:41
Ehrenmitglied
Beiträge: 29434 |
#279
Hallo@..slater..
Deaktivieren Wiederherstellung «XP http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 Start--> Ausfuehren<: cmd -> kopiere rein: regsvr32 /u c:\system32\aofc.dll klick "enter" del temp ----> bestaetige mit "yes" oder "ja" #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {0767B149-A2BC-42BA-8549-F751DB4ECB58} - C:\WINDOWS\system32\aofc.dll O3 - Toolbar: AIM Search - {40D41A8B-D79B-43d7-99A7-9EE0F344C385} - C:\Programme\AIM Toolbar\AIMBar.dll O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe" O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe O8 - Extra context menu item: &AIM Search - res://C:\Programme\AIM Toolbar\AIMBar.dll/aimsearch.htm O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:oo.mht!http://195.225.177.13/dia_214/online.chm::/on-line .exe O18 - Filter: text/html - {7D76921F-FCCE-4E0A-91B6-54B6DB6D10A1} - C:\WINDOWS\system32\aofc.dll O18 - Filter: text/plain - {7D76921F-FCCE-4E0A-91B6-54B6DB6D10A1} - C:\WINDOWS\system32\aofc.dll PC neustarten Deinstallieren: C:\Programme\Messenger Plus! 3\ KillBox http://www.bleepingcomputer.com/files/killbox.php <Delete File on Reboot <Unregister .dll before deleting.” und klick auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" kopiere in die Killbox: C:\WINDOWS\system32\aofc.dll C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html C:\Programme\AIM Toolbar\AIMBar.dll C:\Programme\AIM Toolbar\AIMBar.dll/aimsearch.htm PC neustarten #backdoor.agent.b.removal.tool.(Symantec) http://securityresponse.symantec.com/avcenter/venc/data/backdoor.agent.b.removal.tool.html Datenträgerbereinigung: und Löschen der Temporary-Dateien <Start<Ausfuehren<cleanmgr #Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k. #Click:Temporäre Dateien, o.k #eScan-Erkennungstool eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich: http://www.mwti.net/antivirus/free_utilities.asp erstelle den Ordner c:\bases mwav.exe runterladen, die Datei in den Ordner c:\bases (wichtig!) entpacken und danach kavupd.exe (Update- in DOS) ausführen gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen : Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory -->und "Scan " klicken. mache bitte folgendes: nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du infected ein jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw. und ganz unten steht die zusammenfassung, diese auch hier posten #ClaerProg..lade die neuste Version <1.4.0 Final http://www.clearprog.de/downloads.php <und saeubere den Browser. Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera: - Cookies - Verlauf - Temporäre Internetfiles (Cache) - die eingetragenen URLs #neue Startseite gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein poste dann alle Logs + das neue Log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 14.01.2005 um 23:45 Uhr von Sabina editiert.
|
|
|
||
15.01.2005, 11:26
...neu hier
Beiträge: 3 |
||
|
||
15.01.2005, 12:59
...neu hier
Beiträge: 3 |
#281
so .. hab nun mal alles so gemacht wie du gesagt hast und es funktioniert trotz MsgPlus! 3 thx
|
|
|
||
15.01.2005, 19:53
Ehrenmitglied
Beiträge: 29434 |
#282
Hallo@..slater..
wenn du den MsgPlus! 3 nicht sofort deinstallierst, wirst du ernste Probleme mit deinem PC bekommen (ich weiss, wovon ich rede) Es gibt andere Messis, die nicht verseucht sind . Poste bitte das neue Log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
15.01.2005, 20:10
...neu hier
Beiträge: 1 |
#283
Hallo potentielle Helfer!
Vorab: Ich bewege mich - aus Not - zum ersten Mal auf einer Chat-Seite. Hier das Problem, zu dem ich Hilfe gebrauche: Auch bei mir hat sich die Startseite "Searchweb2" eingeschlichen und lässt sich nicht mehr entfernen. Außerdem melden sich Fenster, die mich zum Laden von Spyware-Entfernern animieren usw. Ich habe hier schon herumgelesen und mir HijackThis 1.99.0 installiert. Damit kann ich leider - noch - nicht umgehen. Ich habe die Liste der gescanten Software abgespeichert, - *.log - , kann sie aber nicht öffnen. Wie gehe ich am besten weiter vor? Vielen Dank für potentielle Helfer! |
|
|
||
16.01.2005, 00:07
Ehrenmitglied
Beiträge: 29434 |
#284
Hallo@Camillo41
HijackThis http://www.downloads.subratam.org/hijackthis.zip Lade/entpacke HijackThis in einem Ordner -->None of the above, just start the program --> Save--> Savelog -->es öffnet sich der Editor --> nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" Please download DllCompare http://www.atribune.org/downloads/DllCompare.exe <klick: Locate.com button. wenn der Scan beendet ist <klick:Compare button <klick: und erstelle das Log--->bitte posten Lade: FindIt.zip--> noch einmal posten, bitte http://bilder.informationsarchiv.net/Nikitas_Tools/ Lade, entpacke und klicke auf: "find.bat" [ignoriere : File not found messages] <DOS oeffnet sich -->warte den Scan ab --> es oeffnet sich der Texteditor --> und poste den Text von output.txt. #Ad-aware SE Personal 1.05 Updated http://fileforum.betanews.com/detail/965718306/1 Poste das Log __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 16.01.2005 um 00:08 Uhr von Sabina editiert.
|
|
|
||
17.01.2005, 00:13
...neu hier
Beiträge: 2 |
#285
Ich habe auch das Prob mit der "Search for..." seite, wo eigentlich ne leere seite sein soll:
Hier das Logfile Logfile of HijackThis v1.99.0 Scan saved at 00:08:37, on 17.01.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe C:\Programme\AVPersonal\AVGNT.EXE C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\SEBAST~1\LOKALE~1\Temp\Rar$EX01.141\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\SEBAST~1\LOKALE~1\Temp\sp.dll/sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\ger.htm R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\SEBAST~1\LOKALE~1\Temp\sp.dll/sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Messenger\ycomp.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {8B338F82-2326-4FE2-8209-32C042B5DB67} - C:\WINDOWS\system32\eon.dll O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\ger.htm O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab27571.cab O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab27571.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab27571.cab O18 - Filter: text/html - {427AB8F7-E3EC-4563-875E-23FC78081436} - C:\WINDOWS\system32\eon.dll O18 - Filter: text/plain - {427AB8F7-E3EC-4563-875E-23FC78081436} - C:\WINDOWS\system32\eon.dll O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: EPSON Printer Status Agent2 - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe O23 - Service: SmartLinkService - Unknown - slserv.exe (file missing) Danke im vorraus |
|
|
||
__________
MfG Ralf
SEO-Spam Hunter