"Search for..." Startseite kommt immer wieder!

#346 Hallo@UhhhYeah

ja, es ist alles sauber.

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

[Start Page] about:blank --> trage die korrekte Startseite in der Registry ein

--> zum Beispiel: http://de.yahoo.com/

PC neustarten

Lade: FindIt.zip--> noch einmal posten, bitte
http://bilder.informationsarchiv.net/Nikitas_Tools/
Lade, entpacke und klicke auf: "find.bat" [ignoriere : File not found messages]
<DOS oeffnet sich -->warte den Scan ab --> es oeffnet sich der Texteditor --> und poste den Text von output.txt.

Please download DllCompare from here
http://www.atribune.org/downloads/DllCompare.exe
<klick: Locate.com button.
wenn der Scan beendet ist
<klick:Compare button
<klick: und erstelle das Log--->bitte posten

+ poste das Log vom HijackThis --> mit dem IE posten

___________________________________________________________

#Alternativbrowser zum IE
Firefox
http://www.mozilla-europe.org/de/
Installation+Konfiguration Firefox
http://www.pcwelt.de/know-how/software/103924/index1.html
__________
MfG Sabina

rund um die PC-Sicherheit

#347 okay...


hier sind die drei logs...


Warning! This utility will find legitimate files in addition to malware.
Do not remove anything unless you are sure you know what you're doing.

------- System Files in System32 Directory -------

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 64FB-BE8A

Verzeichnis von C:\WINDOWS\System32

06.02.2005 19:21 <DIR> dllcache
24.01.2005 20:58 10.824 netxo32.exe
23.01.2005 13:01 3.567 ynpmv.log
14.01.2005 03:01 29.256 sdkhi.exe
20.01.2004 01:39 56 44B35D1BEA.sys
06.03.2003 11:18 <DIR> Microsoft
4 Datei(en) 43.703 Bytes
2 Verzeichnis(se), 1.059.131.392 Bytes frei

------- Hidden Files in System32 Directory -------

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 64FB-BE8A

Verzeichnis von C:\WINDOWS\System32

06.02.2005 19:21 <DIR> dllcache
24.01.2005 20:58 10.824 netxo32.exe
23.01.2005 13:01 3.567 ynpmv.log
14.01.2005 03:01 29.256 sdkhi.exe
20.01.2004 01:39 56 44B35D1BEA.sys
06.03.2003 11:09 488 WindowsLogon.manifest
06.03.2003 11:09 488 logonui.exe.manifest
06.03.2003 11:09 749 cdplayer.exe.manifest
06.03.2003 11:09 749 sapi.cpl.manifest
06.03.2003 11:09 749 wuaucpl.cpl.manifest
06.03.2003 11:09 749 nwc.cpl.manifest
06.03.2003 11:09 749 ncpa.cpl.manifest
11 Datei(en) 48.424 Bytes
1 Verzeichnis(se), 1.059.131.392 Bytes frei

---------- Files Named "Guard" -------------

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 64FB-BE8A

Verzeichnis von C:\WINDOWS\System32


--------- Temp Files in System32 Directory --------

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 64FB-BE8A

Verzeichnis von C:\WINDOWS\System32


---------------- User Agent ------------

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"SV1"=""


------------ Keys Under Notify ------------

REGEDIT4

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,72,79,70,74,33,32,2e,64,6c,6c,00
"Logoff"="ChainWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,72,79,70,74,6e,65,74,2e,64,6c,6c,00
"Logoff"="CryptnetWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
"DLLName"="wlnotify.dll"
"Logon"="SCardStartCertProp"
"Logoff"="SCardStopCertProp"
"Lock"="SCardSuspendCertProp"
"Unlock"="SCardResumeCertProp"
"Enabled"=dword:00000001
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,6c,6e,6f,74,69,66,79,2e,64,6c,6c,00
"Impersonate"=dword:00000000
"StartShell"="SchedStartShell"
"Logoff"="SchedEventLogOff"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,63,6c,67,6e,74,66,79,2e,64,6c,6c,00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"PostShell"="SensPostShellEvent"
"Disconnect"="SensDisconnectEvent"
"Reconnect"="SensReconnectEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,6c,6e,6f,74,69,66,79,2e,64,6c,6c,00
"Impersonate"=dword:00000000
"Logoff"="TSEventLogoff"
"Logon"="TSEventLogon"
"PostShell"="TSEventPostShell"
"Shutdown"="TSEventShutdown"
"StartShell"="TSEventStartShell"
"Startup"="TSEventStartup"
"MaxWait"=dword:00000258
"Reconnect"="TSEventReconnect"
"Disconnect"="TSEventDisconnect"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
"DLLName"="wlnotify.dll"
"Logon"="RegisterTicketExpiredNotificationEvent"
"Logoff"="UnregisterTicketExpiredNotificationEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001


---------------- Xfind Results -----------------


-------------- Locate.com Results ---------------


C:\WINDOWS\SYSTEM32\
netxo32.exe Mon 24 Jan 2005 20:58:58 A.SH. 10.824 10,57 K
sdkhi.exe Fri 14 Jan 2005 3:01:42 A.SH. 29.256 28,57 K
ynpmv.log Sun 23 Jan 2005 13:01:48 A.SH. 3.567 3,48 K

3 items found: 3 files, 0 directories.
Total of file sizes: 43.647 bytes 42,62 K

* DLLCompare Log version(1.0.0.127)
Files Found that Windows does not See or cannot Access
*Not everything listed here means you are infected!
________________________________________________

O^E says: "There were no files found "
________________________________________________

1.300 items found: 1.300 files, 0 directories.
Total of file sizes: 268.865.269 bytes 256,41 M

Administrator Account = Wahr

--------------------End log---------------------



Logfile of HijackThis v1.99.0
Scan saved at 22:16:17, on 06.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
F:\Utils3\SygatePersonalFirewall\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
F:\Utils3\Antivir\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
F:\Utils3\NOKIA6~1\NOKIAP~1\TRAYAP~1.EXE
C:\WINDOWS\system32\ctfmon.exe
F:\Utils3\SwitchXP\SpeedswitchXP.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
F:\hijackthis\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.google.de
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] F:\Utils3\NOKIA6~1\NOKIAP~1\TRAYAP~1.EXE
O4 - HKLM\..\Run: [SmcService] F:\Utils3\SYGATE~1\smc.exe -startgui
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpeedswitchXP] F:\Utils3\SwitchXP\SpeedswitchXP.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - F:\Utils3\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - F:\Utils3\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .3gp: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O12 - Plugin for .m4a: C:\Programme\Internet Explorer\PLUGINS\npqtplugin5.dll
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - F:\Utils3\Antivir\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - F:\Utils3\Antivir\AVWUPSRV.EXE
O23 - Service: Sygate Personal Firewall Pro - Sygate Technologies, Inc. - F:\Utils3\SygatePersonalFirewall\smc.exe
O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - F:\Utils3\tuneup2005\WinStylerThemeSvc.exe

danke für die Mühe....

ich hoffe wirklich das in diesen logs kein mist mehr drin ist...... *zitter*

#348 @ Sabina


Nach eScan Anti Virus komme ich nicht weiter. Wo finde ich die mwav.txt Datei die ich mit dem Editor öffnen soll?

#349 Hallo@UhhhYeah

loesche mit der killbox:

C:\WINDOWS\System32\ynpmv.log
C:\WINDOWS\System32\netxo32.exe
C:\WINDOWS\System32\sdkhi.exe

dann durfte alles sauber sein
__________
MfG Sabina

rund um die PC-Sicherheit

#350 Nightfever

Start<Ausfuehren--> %temp% --> findest du sie dort ?
oder such mit der Suchfunktion von Windows
__________
MfG Sabina

rund um die PC-Sicherheit

#351 @ Sabina

Ich kann nur eine mwav.ini und eine mwav.log finden.

Habe eScan schon ein zweites mal drüberlaufen lassen da ich annehme das eScan die mwav.txt Datei erstellt?

#352 Nightfever

klicke einfach auf Log , neben dem Scan-Button und poste, was du dort findest.
da wird der komplette Scan aufgefuehrt...ich such dann raus, was wir loeschen werden
__________
MfG Sabina

rund um die PC-Sicherheit

#353 @ Sabina

Ich habe den Log posten wollen doch da der Text anscheinend zu lang ist wird er nicht übertragen. Deshalb habe ich nur C: posten wollen doch das hat mit der Übertragung auch nicht geklappt. :-((

Ich muß heute Abend für eine Woche ins Krankenhaus. Hoffe danach Deine Hilfe nochmals in Anspruch nehmen zu können.

Erstmal vielen Dank für Deine Bemühungen !!!!!!!!!!!


MfG

Nightfever

#354 Nightfever

alles Gute fuer dich und in einer Woche postest du wieder in den gleichen Thread , da werde ich benachrichtigt.
__________
MfG Sabina

rund um die PC-Sicherheit

#355 hey Sabina, hab die Dateien gelöscht und mich vorhin getraut den Internet Explorer zu öffnen und siehe da ..... ES IST WEG !!!! ........ ich hoffe es kommt nie wieder, weil es war der größte Mist den es im Internet gibt..... wer programmiert so ein Unsinn der sich bis in die letzte Registry Zeile versteckt und überhaupt das Ding kriegt man fast nicht los..... Ohne Deine Hilfe hätt ich´s nie geschafft (außer mit format c: und Windows neu drauf ) es ist unglaublich wie stark du mir helfen konntest..... ich frag mich wie ich mich bei Dir revanchieren könnte?? , ich stehe in Deiner Schuld...

Das Erste was ich jetzt mache ich lad mir den Mozilla Firefox runter damit son Shit nicht mehr passieren kann..... ich bin echt sauhappy, daß alles gerettet werden konnte......

Sehr großes Danke an Dir Sabina und an die Leute die das Forum betreuen......

#356 Betreff : "Search for" - Startseite im I.E.

Bonsoir tout le monde ! :-)
Guten Abend !

Ich habe mit großem Interesse eure vielen Beiträge über diese lästigen Spyware im Browser durchgelesen. Ich glaube, ich habe in Frankreich (ich bin franzose) noch nie so tolle Foren wie hier gesehen. Einfach klasse.

Zu meinem Problem :

Auch nach der Benutzung von diversen Tools (spybotsd13.exe, aawsepersonal.exe, SpHjfix.exe, BeClean.exe, avgw.exe) habe ich immer noch das gleiche Problem mit dieser "Search for"-StartSeite.

(der CWShredder.exe funktioniert bei mir leider nicht, weil die OLEACC.DLL fehlt... ??? Keine Ahnung warum er das meldet)

Wenn mir jemanden helfen könnte, oder eine Idee hätte, wie ich weiterkomme, wäre ich ihm/ihr sehr verbunden.
Danke vielmals im Vorraus !

Hier meine HiJack-LogFile :

Logfile of HijackThis v1.98.2
Scan saved at 19:34:14, on 08.02.05
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v5.50 SP1 (5.50.4522.1800)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\PROGRAMME\SYGATE\SPF\SMC.EXE
C:\WINDOWS\EXPLORER.EXE
C:\OPLIMIT\OCRAWARE.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\PDESK.EXE
C:\WINDOWS\STARTER.EXE
C:\T-ONLINE\BSW4\ISDN SPEEDMANAGER\TOMCAT.EXE
C:\WINDOWS\LOADQM.EXE
C:\OPLIMIT\OCRAWR32.EXE
C:\PROGRAMME\GRISOFT\AVG FREE\AVGCC.EXE
C:\PROGRAMME\GRISOFT\AVG FREE\AVGEMC.EXE
C:\WINDOWS\SYSTEM\WBEM\CIMOM.EXE
C:\PROGRAMME\GRISOFT\AVG FREE\AVGAMSVR.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\PROGRAMME\HP OFFICEJET SERIE 500\BIN\HPOSTART.EXE
C:\PROGRAMME\EUMEX 504PC USB\CAPICTRL.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\FINDFAST.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\HP OFFICEJET SERIE 500\BIN\HPOJVDIX.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\HPOMLCH.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\EIGENE DATEIEN\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\sp.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\sp.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
F1 - win.ini: load=C:\OPLIMIT\ocraware.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O2 - BHO: (no name) - {82472EE1-79CD-11D9-9A74-0040A3A72822} - C:\WINDOWS\SYSTEM\CMDG.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Yahoo! Assistent - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\WINDOWS\DOWNLOADED PROGRAM FILES\YCOMP5_3_18_0.DLL (file missing)
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.ExE
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Matrox PowerDesk] C:\WINDOWS\SYSTEM\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [ISDN SpeedManager] "C:\T-ONLINE\BSW4\ISDN SPEEDMANAGER\TOMCAT.EXE"
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\SYGATE\SPF\SMC.EXE -startgui
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGCC.EXE /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGEMC.EXE
O4 - HKLM\..\Run: [AVG7_AMSVR] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGAMSVR.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SmcService] C:\PROGRAMME\SYGATE\SPF\SMC.EXE
O4 - Startup: Démarrage d'Office.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: HP OfficeJet Serie 500 - Start.lnk = C:\Programme\HP OfficeJet Serie 500\bin\HPOstart.exe
O4 - Startup: CAPI Control.lnk = C:\Programme\Eumex 504PC USB\Capictrl.exe
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (Yahoo! Assistent) - http://us.dl1.yimg.com/download.companion.yahoo.com/dl/toolbar/yiebio5_3_18_0.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v45/yacscom.cab
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} (Microsoft VM) - http://www.flyordie.com/pub/dl/msjavx86.exe
O16 - DPF: {9C020689-FA7D-4D8D-BE7E-DC263791CB29} (EGEGAUTH Class) - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1033_EN.cab
O18 - Filter: text/html - {EFA1BEAD-79B0-11D9-9A74-00400233D36E} - C:\WINDOWS\SYSTEM\CMDG.DLL
O18 - Filter: text/plain - {EFA1BEAD-79B0-11D9-9A74-00400233D36E} - C:\WINDOWS\SYSTEM\CMDG.DLL

#357 Hi Sabina,

Hat zwar gedauert aber hier sind die Daten.

Mal die infected Liste:

Sun Feb 06 20:27:46 2005 => File C:\WINDOWS\System32\hdmhq.dll infected by "HackTool.Win32.Hidd.c" Virus. Action Taken: No Action Taken.
Sun Feb 06 20:28:52 2005 => File C:\WINDOWS\System32\smbdins.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: No Action Taken.
Sun Feb 06 20:28:54 2005 => File C:\WINDOWS\System32\sprestrst.exe infected by "Trojan.Win32.DNSChanger.e" Virus. Action Taken: No Action Taken.
Sun Feb 06 20:29:00 2005 => File C:\WINDOWS\System32\tsmsetup.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: No Action Taken.
Sun Feb 06 20:29:02 2005 => File C:\WINDOWS\System32\upncont.exe infected by "Trojan.Win32.StartPage.sl" Virus. Action Taken: No Action Taken.
Sun Feb 06 20:29:15 2005 => File C:\WINDOWS\System32\wowdbe.exe infected by "Trojan-Dropper.Win32.Small.qt" Virus. Action Taken: No Action Taken.
Sun Feb 06 20:31:35 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Sun Feb 06 20:33:43 2005 => Scanning Folder: C:\Programme\Softwin\BitDefender Free Edition\Infected\*.*
Sun Feb 06 20:47:41 2005 => File C:\WINDOWS\system32\hdmhq.dll infected by "HackTool.Win32.Hidd.c" Virus. Action Taken: No Action Taken.
Sun Feb 06 20:49:14 2005 => File C:\WINDOWS\system32\smbdins.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: No Action Taken.
Sun Feb 06 20:49:15 2005 => File C:\WINDOWS\system32\sprestrst.exe infected by "Trojan.Win32.DNSChanger.e" Virus. Action Taken: No Action Taken.
Sun Feb 06 20:49:22 2005 => File C:\WINDOWS\system32\tsmsetup.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: No Action Taken.
Sun Feb 06 20:49:24 2005 => File C:\WINDOWS\system32\upncont.exe infected by "Trojan.Win32.StartPage.sl" Virus. Action Taken: No Action Taken.
Sun Feb 06 20:49:49 2005 => File C:\WINDOWS\system32\wowdbe.exe infected by "Trojan-Dropper.Win32.Small.qt" Virus. Action Taken: No Action Taken.
Sun Feb 06 21:05:40 2005 => Total Disinfected Files: 0
Tue Feb 08 19:20:34 2005 => File C:\WINDOWS\System32\hdxeh.dll infected by "HackTool.Win32.Hidd.c" Virus. Action Taken: File Renamed.
Tue Feb 08 19:21:36 2005 => File C:\WINDOWS\System32\smbdins.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: File Deleted.
Tue Feb 08 19:21:37 2005 => File C:\WINDOWS\System32\sprestrst.exe infected by "Trojan.Win32.DNSChanger.e" Virus. Action Taken: File Deleted.
Tue Feb 08 19:21:43 2005 => File C:\WINDOWS\System32\tsmsetup.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: File Deleted.
Tue Feb 08 19:21:45 2005 => File C:\WINDOWS\System32\upncont.exe infected by "Trojan.Win32.StartPage.sl" Virus. Action Taken: File Deleted.
Tue Feb 08 19:21:56 2005 => File C:\WINDOWS\System32\wowdbe.exe infected by "Trojan-Dropper.Win32.Small.qt" Virus. Action Taken: File Deleted.
Tue Feb 08 19:23:20 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Tue Feb 08 19:23:49 2005 => Scanning Folder: C:\Programme\eScan\INFECTED\*.*
Tue Feb 08 19:23:49 2005 => Scanning File C:\Programme\eScan\infected.wav [**]
Tue Feb 08 19:25:09 2005 => Scanning Folder: C:\Programme\Softwin\BitDefender Free Edition\Infected\*.*
Tue Feb 08 19:25:35 2005 => File C:\System Volume Information\_restore{C4ECC6E0-10D6-4D48-8DC8-B9D47CEEADC5}\RP0\A0000007.dll infected by "HackTool.Win32.Hidd.c" Virus. Action Taken: File Renamed.
Tue Feb 08 19:25:36 2005 => File C:\System Volume Information\_restore{C4ECC6E0-10D6-4D48-8DC8-B9D47CEEADC5}\RP0\A0001007.dll infected by "HackTool.Win32.Hidd.c" Virus. Action Taken: File Renamed.
Tue Feb 08 19:25:37 2005 => File C:\System Volume Information\_restore{C4ECC6E0-10D6-4D48-8DC8-B9D47CEEADC5}\RP0\A0001019.dll infected by "HackTool.Win32.Hidd.c" Virus. Action Taken: File Renamed.
Tue Feb 08 19:25:37 2005 => File C:\System Volume Information\_restore{C4ECC6E0-10D6-4D48-8DC8-B9D47CEEADC5}\RP0\A0001026.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: File Deleted.
Tue Feb 08 19:25:37 2005 => File C:\System Volume Information\_restore{C4ECC6E0-10D6-4D48-8DC8-B9D47CEEADC5}\RP0\A0001027.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: File Deleted.
Tue Feb 08 19:25:37 2005 => File C:\System Volume Information\_restore{C4ECC6E0-10D6-4D48-8DC8-B9D47CEEADC5}\RP0\A0001034.dll infected by "HackTool.Win32.Hidd.c" Virus. Action Taken: File Renamed.
Tue Feb 08 19:25:37 2005 => File C:\System Volume Information\_restore{C4ECC6E0-10D6-4D48-8DC8-B9D47CEEADC5}\RP0\A0001047.dll infected by "HackTool.Win32.Hidd.c" Virus. Action Taken: File Renamed.
Tue Feb 08 19:25:38 2005 => File C:\System Volume Information\_restore{C4ECC6E0-10D6-4D48-8DC8-B9D47CEEADC5}\RP1\A0001061.dll infected by "HackTool.Win32.Hidd.c" Virus. Action Taken: File Renamed.
Tue Feb 08 19:25:38 2005 => File C:\System Volume Information\_restore{C4ECC6E0-10D6-4D48-8DC8-B9D47CEEADC5}\RP1\A0001062.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: File Deleted.
Tue Feb 08 19:25:38 2005 => File C:\System Volume Information\_restore{C4ECC6E0-10D6-4D48-8DC8-B9D47CEEADC5}\RP1\A0001063.exe infected by "Trojan.Win32.DNSChanger.e" Virus. Action Taken: File Deleted.
Tue Feb 08 19:25:38 2005 => File C:\System Volume Information\_restore{C4ECC6E0-10D6-4D48-8DC8-B9D47CEEADC5}\RP1\A0001064.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: File Deleted.
Tue Feb 08 19:25:38 2005 => File C:\System Volume Information\_restore{C4ECC6E0-10D6-4D48-8DC8-B9D47CEEADC5}\RP1\A0001065.exe infected by "Trojan.Win32.StartPage.sl" Virus. Action Taken: File Deleted.
Tue Feb 08 19:25:38 2005 => File C:\System Volume Information\_restore{C4ECC6E0-10D6-4D48-8DC8-B9D47CEEADC5}\RP1\A0001065.exe infected by "Trojan.Win32.StartPage.sl" Virus. Action Taken: File Deleted.


Und hier die Detail ansicht vom scan.

File C:\WINDOWS\System32\hdxeh.dll infected by "HackTool.Win32.Hidd.c" Virus. Action Taken: File Renamed.

File C:\WINDOWS\System32\KILLAPPS.EXE tagged as not-a-virus:RiskWare.Tool.KillApp.b. No Action Taken.

File C:\WINDOWS\System32\smbdins.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: File Deleted.

File C:\WINDOWS\System32\sprestrst.exe infected by "Trojan.Win32.DNSChanger.e" Virus. Action Taken: File Deleted.

File C:\WINDOWS\System32\tsmsetup.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: File Deleted.

File C:\WINDOWS\System32\upncont.exe infected by "Trojan.Win32.StartPage.sl" Virus. Action Taken: File Deleted.

File C:\WINDOWS\System32\wowdbe.exe infected by "Trojan-Dropper.Win32.Small.qt" Virus. Action Taken: File Deleted.

File C:\System Volume Information\_restore{C4ECC6E0-10D6-4D48-8DC8-B9D47CEEADC5}\RP0\A0000007.dll infected by "HackTool.Win32.Hidd.c" Virus. Action Taken: File Renamed.

File C:\System Volume Information\_restore{C4ECC6E0-10D6-4D48-8DC8-B9D47CEEADC5}\RP0\A0001007.dll infected by "HackTool.Win32.Hidd.c" Virus. Action Taken: File Renamed.

File C:\System Volume Information\_restore{C4ECC6E0-10D6-4D48-8DC8-B9D47CEEADC5}\RP0\A0001019.dll infected by "HackTool.Win32.Hidd.c" Virus. Action Taken: File Renamed.

File C:\System Volume Information\_restore{C4ECC6E0-10D6-4D48-8DC8-B9D47CEEADC5}\RP0\A0001026.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: File Deleted.

File C:\System Volume Information\_restore{C4ECC6E0-10D6-4D48-8DC8-B9D47CEEADC5}\RP0\A0001027.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: File Deleted.

File C:\System Volume Information\_restore{C4ECC6E0-10D6-4D48-8DC8-B9D47CEEADC5}\RP0\A0001034.dll infected by "HackTool.Win32.Hidd.c" Virus. Action Taken: File Renamed.

File C:\System Volume Information\_restore{C4ECC6E0-10D6-4D48-8DC8-B9D47CEEADC5}\RP0\A0001047.dll infected by "HackTool.Win32.Hidd.c" Virus. Action Taken: File Renamed.

File C:\System Volume Information\_restore{C4ECC6E0-10D6-4D48-8DC8-B9D47CEEADC5}\RP1\A0001061.dll infected by "HackTool.Win32.Hidd.c" Virus. Action Taken: File Renamed.

File C:\System Volume Information\_restore{C4ECC6E0-10D6-4D48-8DC8-B9D47CEEADC5}\RP1\A0001062.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: File Deleted.

File C:\System Volume Information\_restore{C4ECC6E0-10D6-4D48-8DC8-B9D47CEEADC5}\RP1\A0001063.exe infected by "Trojan.Win32.DNSChanger.e" Virus. Action Taken: File Deleted.

File C:\System Volume Information\_restore{C4ECC6E0-10D6-4D48-8DC8-B9D47CEEADC5}\RP1\A0001064.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: File Deleted.

File C:\System Volume Information\_restore{C4ECC6E0-10D6-4D48-8DC8-B9D47CEEADC5}\RP1\A0001065.exe infected by "Trojan.Win32.StartPage.sl" Virus. Action Taken: File Deleted.

File C:\System Volume Information\_restore{C4ECC6E0-10D6-4D48-8DC8-B9D47CEEADC5}\RP1\A0001066.exe infected by "Trojan-Dropper.Win32.Small.qt" Virus. Action Taken: File Deleted.

File C:\WINDOWS\system32\KILLAPPS.EXE tagged as not-a-virus:RiskWare.Tool.KillApp.b. No Action Taken.



Danke Grüße Sanji

#358 Hallo@SlowLife

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\sp.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\sp.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {82472EE1-79CD-11D9-9A74-0040A3A72822} - C:\WINDOWS\SYSTEM\CMDG.DLL
O3 - Toolbar: Yahoo! Assistent - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\WINDOWS\DOWNLOADED PROGRAM FILES\YCOMP5_3_18_0.DLL (file missing)
O18 - Filter: text/html - {EFA1BEAD-79B0-11D9-9A74-00400233D36E} - C:\WINDOWS\SYSTEM\CMDG.DLL
O18 - Filter: text/plain - {EFA1BEAD-79B0-11D9-9A74-00400233D36E} - C:\WINDOWS\SYSTEM\CMDG.DLL

PC neustarten


Gehe in die Registry

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\SearchAssistant Uninstall

Hier findet sich ein Eintrag:

UninstallString "regsvr32 /s /u C:\WINDOWS\SYSTEM\.......dll

Den Namen dieser *.dll notieren! (wahrscheinlich: CMDG.DLL )

Da diese Datei aber noch von Windows benutzt wird kann man sie noch nicht löschen und muss daher erst durch die Suchfunktion alle Einträge für diese *.dll in der Registry löschen!
Danach neustarten und diese *.dll Datei und auch die sp.dll Datei von der Festplatte löschen und erneut neustarten, danach ist das Problem behoben.

KillBox
http://www.bleepingcomputer.com/files/killbox.php
<Delete File on Reboot

und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

Kopiere in die Killbox:
C:\WINDOWS\TEMP\sp.dll
C:\WINDOWS\SYSTEM\CMDG.DLL

PC neustarten

#ClaerProg..lade die neuste Version <1.4.1
http://www.clearprog.de/downloads.php
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)

#backdoor.agent.b.removal.tool.(Symantec)
http://securityresponse.symantec.com/avcenter/venc/data/backdoor.agent.b.removal.tool.html

PC neustarten

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

CWShredder 2.12 [2004-12-13]
http://www.majorgeeks.com/download3019.html
1. Click "Check For Update"
(If an update isn't available, skip to step #4.)
2. Click "Click here to Download the upate".
3. When the new version has been downloaded, click "Save".
4. Click "Fix ->"
Log-->"make Report" --> poste mir das Log vom Scann, bitte

#Internet Explorer 6 Service Pack 1
http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=1E1550CB-5E5D-48F5-B02B-20B602228DE6

#RegCleaner
(Tip: Lade RegCleaner, stelle das Tool in Deutsch ein und saeubere ueber <Tools<Registry saeubern<alles durchfuehren < den PC (du kannst alles angezeigte Loeschen, denn es verbleibt eine Sicherung)
http://www.chip.de/downloads/c_downloads_8830516.html

Poste dann das neue Log vom HijackThis, aber bitte, mit dem IE
_____________________________________________________________________
#Alternativbrowser zum IE
Firefox
http://www.mozilla-europe.org/de/
Installation+Konfiguration Firefox
http://www.pcwelt.de/know-how/software/103924/index1.html
__________
MfG Sabina

rund um die PC-Sicherheit

#359 Hallo@Sanji

Loesche:
C:\WINDOWS\System32\KILLAPPS.EXE

Poste bitte das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit

#360 Hallo@Bartz

Deaktivieren Wiederherstellung
«XP
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

1) lade remv3.zip herunter
remv3.zip ( 9.85k ) Number of downloads:......
http://forums.skads.org/index.php?showtopic=80
(dort im 1. Posting von Baskar unter Attached File(s)!).
2) entpacke es im verzeichnis C:\WINDOWS\System32\
(es ist wichtig, dass es in diesem verzeichnis ist!)


Download Registry Search Tool :
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
Doppelklick:regsrch.vbs

kopiere rein:

tœ†5�òEÆR

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)

das machst du auch mit:

{CF8C8E1B-FD57-4E97-B50E-A1A64DC727C0}
{CF021F40-3E14-23A5-CBA2-717765721316}
{9DDDC6B1-3518-47E8-A81B-8050C397EBAC}
{06ABAA2D-34AB-4902-A326-409BD9B9A7A5}
{72D78A82-8953-67B4-4792-9C034B139753}

eScan-Erkennungstool
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp
oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche
kavupd.exe, die klickst du an--> (Update- in DOS) ausführen


#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://clearsurfing.net/srch.php?qq=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\qwsxp.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\qwsxp.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\qwsxp.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\qwsxp.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {9DDDC6B1-3518-47E8-A81B-8050C397EBAC} - C:\WINDOWS\System32\qwsxp.dll
O2 - BHO: Cls - {CF021F40-3E14-23A5-CBA2-717765721316} - C:\WINDOWS\System32\wer1316.dll
O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - C:\WINDOWS\System32\iesp2.dll
O16 - DPF: {6BEA1C48-1850-486C-8F58-C7354BA3165E} (Install Class) - http://updates.lifescapeinc.com/installers/pinstall/pinstall.cab
O16 - DPF: {72D78A82-8953-67B4-4792-9C034B139753} - ms-its:mhtml:file://c:\nosuch.mht!http://www.foxik.com/chm/files.chm::/file.exe
O16 - DPF: {861FDA2A-2B57-4BDA-8B8B-305C9D5D8604} (_Multimedia Player) - http://stream.pussyharem.com/stream/mmp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{11AC9C39-4A24-44B7-A730-9FD05EA76257}: NameServer = 69.50.176.156,195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{9C60B2C8-A322-45E8-AFDB-070CA6CB46A9}: NameServer = 69.50.176.156,195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{D19EFC0A-51D1-4298-B817-AA740040E3B2}: NameServer = 69.50.176.156,195.225.176.31
O17 - HKLM\System\CS1\Services\Tcpip\..\{11AC9C39-4A24-44B7-A730-9FD05EA76257}: NameServer = 69.50.176.156,195.225.176.31
O17 - HKLM\System\CS2\Services\Tcpip\..\{11AC9C39-4A24-44B7-A730-9FD05EA76257}: NameServer = 69.50.176.156,195.225.176.31
O18 - Filter: text/html - {94152994-B9A1-4511-BFAB-DB1B4E4FFC21} - C:\WINDOWS\System32\qwsxp.dll
O18 - Filter: tœ†5�òEÆR - {605621F4-93F2-46AC-BD14-E5F51EA1163E} - C:\WINDOWS\System32\qwsxp.dll
O18 - Filter: tœ†5�òFÆR - {61C86F07-7629-4ED8-985B-2367B7F38584} - C:\WINDOWS\System32\qwsxp.dll
O18 - Filter: tœ†5�ò5EÆR - {B5BAB4C2-243A-4DA7-8031-7BDD02C13AA9} - C:\WINDOWS\System32\qwsxp.dll
O18 - Filter: tœ†5�òhDÆR - {94152994-B9A1-4511-BFAB-DB1B4E4FFC21} - C:\WINDOWS\System32\qwsxp.dll
O18 - Filter: tœ†5�òÄFÆR - {45704941-C16F-47DC-9D66-9664C4ABB9F0} - C:\WINDOWS\System32\qwsxp.dll
O18 - Filter: tœ†5�òìFÆR - {2539793A-D3D7-417F-947F-B242D70D471B} - C:\WINDOWS\System32\qwsxp.dll
O18 - Filter: tœ†5�òÏTÆR - {CF8C8E1B-FD57-4E97-B50E-A1A64DC727C0} - C:\WINDOWS\System32\qwsxp.dll

PC neustarten
3) starte den rechner im abgesicherten modus.
http://www.tu-berlin.de/www/software/virus/savemode.shtml

4) starte die datei rem.bat, scannen lassen.

und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen :
Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory

• Beim Start von e-scan sollten folgende Optionen aktiviert sein:


-->und "Scan " klicken

Gehe wieder in den Normalmodus:

mache bitte folgendes:
nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du infected ein



jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
und ganz unten steht die zusammenfassung, diese auch hier posten
____________________________________________________________________________________________
KillBox
http://www.bleepingcomputer.com/files/killbox.php
<Delete File on Reboot

und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

kopiere rein:
C:\WINDOWS\System32\smbdins.exe
C:\WINDOWS\system32\hdxfs.dll
C:\WINDOWS\system32\iesp1.dll
C:\WINDOWS\Ole32ws.dll
C:\WINDOWS\system32\nbtrstat.exe
C:\WINDOWS\system32\rdspclips.
C:\WINDOWS\system32\sprestrst.exe
C:\WINDOWS\system32\tsmsetup.exe
C:\WINDOWS\system32\upncont.exe
C:\WINDOWS\system32\wowdbe.exe
C:\WINDOWS\System32\run_dos.dll
C:\WINDOWS\System32\qwsxp.dll
C:\WINDOWS\System32\iesp2.dll
C:\WINDOWS\System32\wer1316.dll

+ die infizierten Dateien, die escan angezeigt hat.
Beim letzten startest du den PC neu

PC neustarten

#ClaerProg..lade die neuste Version <1.4.1
http://www.clearprog.de/downloads.php
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)

#AboutBuster
www.malwarebytes.biz/AboutBuster.zip

CWShredder 2.12 [2004-12-13]
http://www.majorgeeks.com/download3019.html
1. Click "Check For Update"
(If an update isn't available, skip to step #4.)
2. Click "Click here to Download the upate".
3. When the new version has been downloaded, click "Save".
4. Click "Fix ->"
Log-->"make Report" --> poste das Log vom Scann

6)Die remv3.bat hat die Datei C:\log.txt angelegt. Den Inhalt hier posten.
7) markiere den inhalt und füge ihn hier ein.

erstelle ein aktuelles HijackThis log und poste es mit der log.txt von rem.
__________
MfG Sabina

rund um die PC-Sicherheit