"Search for..." Startseite kommt immer wieder!Thema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
06.02.2005, 21:45
Ehrenmitglied
Beiträge: 29434 |
||
|
||
06.02.2005, 22:20
...neu hier
Beiträge: 10 |
#347
okay...
hier sind die drei logs... Warning! This utility will find legitimate files in addition to malware. Do not remove anything unless you are sure you know what you're doing. ------- System Files in System32 Directory ------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 64FB-BE8A Verzeichnis von C:\WINDOWS\System32 06.02.2005 19:21 <DIR> dllcache 24.01.2005 20:58 10.824 netxo32.exe 23.01.2005 13:01 3.567 ynpmv.log 14.01.2005 03:01 29.256 sdkhi.exe 20.01.2004 01:39 56 44B35D1BEA.sys 06.03.2003 11:18 <DIR> Microsoft 4 Datei(en) 43.703 Bytes 2 Verzeichnis(se), 1.059.131.392 Bytes frei ------- Hidden Files in System32 Directory ------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 64FB-BE8A Verzeichnis von C:\WINDOWS\System32 06.02.2005 19:21 <DIR> dllcache 24.01.2005 20:58 10.824 netxo32.exe 23.01.2005 13:01 3.567 ynpmv.log 14.01.2005 03:01 29.256 sdkhi.exe 20.01.2004 01:39 56 44B35D1BEA.sys 06.03.2003 11:09 488 WindowsLogon.manifest 06.03.2003 11:09 488 logonui.exe.manifest 06.03.2003 11:09 749 cdplayer.exe.manifest 06.03.2003 11:09 749 sapi.cpl.manifest 06.03.2003 11:09 749 wuaucpl.cpl.manifest 06.03.2003 11:09 749 nwc.cpl.manifest 06.03.2003 11:09 749 ncpa.cpl.manifest 11 Datei(en) 48.424 Bytes 1 Verzeichnis(se), 1.059.131.392 Bytes frei ---------- Files Named "Guard" ------------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 64FB-BE8A Verzeichnis von C:\WINDOWS\System32 --------- Temp Files in System32 Directory -------- Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 64FB-BE8A Verzeichnis von C:\WINDOWS\System32 ---------------- User Agent ------------ REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform] "SV1"="" ------------ Keys Under Notify ------------ REGEDIT4 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain] "Asynchronous"=dword:00000000 "Impersonate"=dword:00000000 "DllName"=hex(2):63,72,79,70,74,33,32,2e,64,6c,6c,00 "Logoff"="ChainWlxLogoffEvent" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet] "Asynchronous"=dword:00000000 "Impersonate"=dword:00000000 "DllName"=hex(2):63,72,79,70,74,6e,65,74,2e,64,6c,6c,00 "Logoff"="CryptnetWlxLogoffEvent" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll] "DLLName"="cscdll.dll" "Logon"="WinlogonLogonEvent" "Logoff"="WinlogonLogoffEvent" "ScreenSaver"="WinlogonScreenSaverEvent" "Startup"="WinlogonStartupEvent" "Shutdown"="WinlogonShutdownEvent" "StartShell"="WinlogonStartShellEvent" "Impersonate"=dword:00000000 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp] "DLLName"="wlnotify.dll" "Logon"="SCardStartCertProp" "Logoff"="SCardStopCertProp" "Lock"="SCardSuspendCertProp" "Unlock"="SCardResumeCertProp" "Enabled"=dword:00000001 "Impersonate"=dword:00000001 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule] "Asynchronous"=dword:00000000 "DllName"=hex(2):77,6c,6e,6f,74,69,66,79,2e,64,6c,6c,00 "Impersonate"=dword:00000000 "StartShell"="SchedStartShell" "Logoff"="SchedEventLogOff" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy] "Logoff"="WLEventLogoff" "Impersonate"=dword:00000000 "Asynchronous"=dword:00000001 "DllName"=hex(2):73,63,6c,67,6e,74,66,79,2e,64,6c,6c,00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn] "DLLName"="WlNotify.dll" "Lock"="SensLockEvent" "Logon"="SensLogonEvent" "Logoff"="SensLogoffEvent" "Safe"=dword:00000001 "MaxWait"=dword:00000258 "StartScreenSaver"="SensStartScreenSaverEvent" "StopScreenSaver"="SensStopScreenSaverEvent" "Startup"="SensStartupEvent" "Shutdown"="SensShutdownEvent" "StartShell"="SensStartShellEvent" "PostShell"="SensPostShellEvent" "Disconnect"="SensDisconnectEvent" "Reconnect"="SensReconnectEvent" "Unlock"="SensUnlockEvent" "Impersonate"=dword:00000001 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv] "Asynchronous"=dword:00000000 "DllName"=hex(2):77,6c,6e,6f,74,69,66,79,2e,64,6c,6c,00 "Impersonate"=dword:00000000 "Logoff"="TSEventLogoff" "Logon"="TSEventLogon" "PostShell"="TSEventPostShell" "Shutdown"="TSEventShutdown" "StartShell"="TSEventStartShell" "Startup"="TSEventStartup" "MaxWait"=dword:00000258 "Reconnect"="TSEventReconnect" "Disconnect"="TSEventDisconnect" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon] "DLLName"="wlnotify.dll" "Logon"="RegisterTicketExpiredNotificationEvent" "Logoff"="UnregisterTicketExpiredNotificationEvent" "Impersonate"=dword:00000001 "Asynchronous"=dword:00000001 ---------------- Xfind Results ----------------- -------------- Locate.com Results --------------- C:\WINDOWS\SYSTEM32\ netxo32.exe Mon 24 Jan 2005 20:58:58 A.SH. 10.824 10,57 K sdkhi.exe Fri 14 Jan 2005 3:01:42 A.SH. 29.256 28,57 K ynpmv.log Sun 23 Jan 2005 13:01:48 A.SH. 3.567 3,48 K 3 items found: 3 files, 0 directories. Total of file sizes: 43.647 bytes 42,62 K * DLLCompare Log version(1.0.0.127) Files Found that Windows does not See or cannot Access *Not everything listed here means you are infected! ________________________________________________ O^E says: "There were no files found " ________________________________________________ 1.300 items found: 1.300 files, 0 directories. Total of file sizes: 268.865.269 bytes 256,41 M Administrator Account = Wahr --------------------End log--------------------- Logfile of HijackThis v1.99.0 Scan saved at 22:16:17, on 06.02.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe F:\Utils3\SygatePersonalFirewall\smc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\Ati2evxx.exe F:\Utils3\Antivir\AVWUPSRV.EXE C:\WINDOWS\System32\svchost.exe C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE F:\Utils3\NOKIA6~1\NOKIAP~1\TRAYAP~1.EXE C:\WINDOWS\system32\ctfmon.exe F:\Utils3\SwitchXP\SpeedswitchXP.exe C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe F:\hijackthis\HijackThis.exe R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.de R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.google.de O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE O4 - HKLM\..\Run: [PCSuiteTrayApplication] F:\Utils3\NOKIA6~1\NOKIAP~1\TRAYAP~1.EXE O4 - HKLM\..\Run: [SmcService] F:\Utils3\SYGATE~1\smc.exe -startgui O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpeedswitchXP] F:\Utils3\SwitchXP\SpeedswitchXP.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - F:\Utils3\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - F:\Utils3\ICQ\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O12 - Plugin for .3gp: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll O12 - Plugin for .m4a: C:\Programme\Internet Explorer\PLUGINS\npqtplugin5.dll O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - F:\Utils3\Antivir\AVGUARD.EXE O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - F:\Utils3\Antivir\AVWUPSRV.EXE O23 - Service: Sygate Personal Firewall Pro - Sygate Technologies, Inc. - F:\Utils3\SygatePersonalFirewall\smc.exe O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - F:\Utils3\tuneup2005\WinStylerThemeSvc.exe danke für die Mühe.... ich hoffe wirklich das in diesen logs kein mist mehr drin ist...... *zitter* |
|
|
||
06.02.2005, 22:46
...neu hier
Beiträge: 6 |
#348
@ Sabina
Nach eScan Anti Virus komme ich nicht weiter. Wo finde ich die mwav.txt Datei die ich mit dem Editor öffnen soll? |
|
|
||
06.02.2005, 23:26
Ehrenmitglied
Beiträge: 29434 |
#349
Hallo@UhhhYeah
loesche mit der killbox: C:\WINDOWS\System32\ynpmv.log C:\WINDOWS\System32\netxo32.exe C:\WINDOWS\System32\sdkhi.exe dann durfte alles sauber sein __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 06.02.2005 um 23:28 Uhr von Sabina editiert.
|
|
|
||
06.02.2005, 23:31
Ehrenmitglied
Beiträge: 29434 |
#350
Nightfever
Start<Ausfuehren--> %temp% --> findest du sie dort ? oder such mit der Suchfunktion von Windows __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
07.02.2005, 09:14
...neu hier
Beiträge: 6 |
#351
@ Sabina
Ich kann nur eine mwav.ini und eine mwav.log finden. Habe eScan schon ein zweites mal drüberlaufen lassen da ich annehme das eScan die mwav.txt Datei erstellt? |
|
|
||
07.02.2005, 11:11
Ehrenmitglied
Beiträge: 29434 |
#352
Nightfever
klicke einfach auf Log , neben dem Scan-Button und poste, was du dort findest. da wird der komplette Scan aufgefuehrt...ich such dann raus, was wir loeschen werden __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 07.02.2005 um 11:12 Uhr von Sabina editiert.
|
|
|
||
07.02.2005, 15:42
...neu hier
Beiträge: 6 |
#353
@ Sabina
Ich habe den Log posten wollen doch da der Text anscheinend zu lang ist wird er nicht übertragen. Deshalb habe ich nur C: posten wollen doch das hat mit der Übertragung auch nicht geklappt. :-(( Ich muß heute Abend für eine Woche ins Krankenhaus. Hoffe danach Deine Hilfe nochmals in Anspruch nehmen zu können. Erstmal vielen Dank für Deine Bemühungen !!!!!!!!!!! MfG Nightfever |
|
|
||
07.02.2005, 16:04
Ehrenmitglied
Beiträge: 29434 |
#354
Nightfever
alles Gute fuer dich und in einer Woche postest du wieder in den gleichen Thread , da werde ich benachrichtigt. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
07.02.2005, 19:52
...neu hier
Beiträge: 10 |
#355
hey Sabina, hab die Dateien gelöscht und mich vorhin getraut den Internet Explorer zu öffnen und siehe da ..... ES IST WEG !!!! ........ ich hoffe es kommt nie wieder, weil es war der größte Mist den es im Internet gibt..... wer programmiert so ein Unsinn der sich bis in die letzte Registry Zeile versteckt und überhaupt das Ding kriegt man fast nicht los..... Ohne Deine Hilfe hätt ich´s nie geschafft (außer mit format c: und Windows neu drauf ) es ist unglaublich wie stark du mir helfen konntest..... ich frag mich wie ich mich bei Dir revanchieren könnte?? , ich stehe in Deiner Schuld...
Das Erste was ich jetzt mache ich lad mir den Mozilla Firefox runter damit son Shit nicht mehr passieren kann..... ich bin echt sauhappy, daß alles gerettet werden konnte...... Sehr großes Danke an Dir Sabina und an die Leute die das Forum betreuen...... Dieser Beitrag wurde am 07.02.2005 um 19:53 Uhr von UhhhYeah editiert.
|
|
|
||
08.02.2005, 19:47
...neu hier
Beiträge: 4 |
#356
Betreff : "Search for" - Startseite im I.E.
Bonsoir tout le monde ! :-) Guten Abend ! Ich habe mit großem Interesse eure vielen Beiträge über diese lästigen Spyware im Browser durchgelesen. Ich glaube, ich habe in Frankreich (ich bin franzose) noch nie so tolle Foren wie hier gesehen. Einfach klasse. Zu meinem Problem : Auch nach der Benutzung von diversen Tools (spybotsd13.exe, aawsepersonal.exe, SpHjfix.exe, BeClean.exe, avgw.exe) habe ich immer noch das gleiche Problem mit dieser "Search for"-StartSeite. (der CWShredder.exe funktioniert bei mir leider nicht, weil die OLEACC.DLL fehlt... ??? Keine Ahnung warum er das meldet) Wenn mir jemanden helfen könnte, oder eine Idee hätte, wie ich weiterkomme, wäre ich ihm/ihr sehr verbunden. Danke vielmals im Vorraus ! Hier meine HiJack-LogFile : Logfile of HijackThis v1.98.2 Scan saved at 19:34:14, on 08.02.05 Platform: Windows 98 Gold (Win9x 4.10.1998) MSIE: Internet Explorer v5.50 SP1 (5.50.4522.1800) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\PROGRAMME\SYGATE\SPF\SMC.EXE C:\WINDOWS\EXPLORER.EXE C:\OPLIMIT\OCRAWARE.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\SYSTEM\PDESK.EXE C:\WINDOWS\STARTER.EXE C:\T-ONLINE\BSW4\ISDN SPEEDMANAGER\TOMCAT.EXE C:\WINDOWS\LOADQM.EXE C:\OPLIMIT\OCRAWR32.EXE C:\PROGRAMME\GRISOFT\AVG FREE\AVGCC.EXE C:\PROGRAMME\GRISOFT\AVG FREE\AVGEMC.EXE C:\WINDOWS\SYSTEM\WBEM\CIMOM.EXE C:\PROGRAMME\GRISOFT\AVG FREE\AVGAMSVR.EXE C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE C:\PROGRAMME\HP OFFICEJET SERIE 500\BIN\HPOSTART.EXE C:\PROGRAMME\EUMEX 504PC USB\CAPICTRL.EXE C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\FINDFAST.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\PROGRAMME\HP OFFICEJET SERIE 500\BIN\HPOJVDIX.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\WINDOWS\SYSTEM\HPOMLCH.EXE C:\WINDOWS\SYSTEM\PSTORES.EXE C:\EIGENE DATEIEN\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\sp.dll/sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\sp.dll/sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank F1 - win.ini: load=C:\OPLIMIT\ocraware.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL O2 - BHO: (no name) - {82472EE1-79CD-11D9-9A74-0040A3A72822} - C:\WINDOWS\SYSTEM\CMDG.DLL O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O3 - Toolbar: Yahoo! Assistent - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\WINDOWS\DOWNLOADED PROGRAM FILES\YCOMP5_3_18_0.DLL (file missing) O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.ExE O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [Matrox PowerDesk] C:\WINDOWS\SYSTEM\PDesk.exe /Autolaunch O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe O4 - HKLM\..\Run: [ISDN SpeedManager] "C:\T-ONLINE\BSW4\ISDN SPEEDMANAGER\TOMCAT.EXE" O4 - HKLM\..\Run: [LoadQM] loadqm.exe O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\SYGATE\SPF\SMC.EXE -startgui O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGCC.EXE /STARTUP O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGEMC.EXE O4 - HKLM\..\Run: [AVG7_AMSVR] C:\PROGRA~1\GRISOFT\AVGFRE~1\AVGAMSVR.EXE O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SmcService] C:\PROGRAMME\SYGATE\SPF\SMC.EXE O4 - Startup: Démarrage d'Office.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE O4 - Startup: HP OfficeJet Serie 500 - Start.lnk = C:\Programme\HP OfficeJet Serie 500\bin\HPOstart.exe O4 - Startup: CAPI Control.lnk = C:\Programme\Eumex 504PC USB\Capictrl.exe O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (Yahoo! Assistent) - http://us.dl1.yimg.com/download.companion.yahoo.com/dl/toolbar/yiebio5_3_18_0.cab O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v45/yacscom.cab O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab O16 - DPF: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} (Microsoft VM) - http://www.flyordie.com/pub/dl/msjavx86.exe O16 - DPF: {9C020689-FA7D-4D8D-BE7E-DC263791CB29} (EGEGAUTH Class) - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1033_EN.cab O18 - Filter: text/html - {EFA1BEAD-79B0-11D9-9A74-00400233D36E} - C:\WINDOWS\SYSTEM\CMDG.DLL O18 - Filter: text/plain - {EFA1BEAD-79B0-11D9-9A74-00400233D36E} - C:\WINDOWS\SYSTEM\CMDG.DLL |
|
|
||
08.02.2005, 20:35
...neu hier
Beiträge: 10 |
#357
Hi Sabina,
Hat zwar gedauert aber hier sind die Daten. Mal die infected Liste: Sun Feb 06 20:27:46 2005 => File C:\WINDOWS\System32\hdmhq.dll infected by "HackTool.Win32.Hidd.c" Virus. Action Taken: No Action Taken. Sun Feb 06 20:28:52 2005 => File C:\WINDOWS\System32\smbdins.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: No Action Taken. Sun Feb 06 20:28:54 2005 => File C:\WINDOWS\System32\sprestrst.exe infected by "Trojan.Win32.DNSChanger.e" Virus. Action Taken: No Action Taken. Sun Feb 06 20:29:00 2005 => File C:\WINDOWS\System32\tsmsetup.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: No Action Taken. Sun Feb 06 20:29:02 2005 => File C:\WINDOWS\System32\upncont.exe infected by "Trojan.Win32.StartPage.sl" Virus. Action Taken: No Action Taken. Sun Feb 06 20:29:15 2005 => File C:\WINDOWS\System32\wowdbe.exe infected by "Trojan-Dropper.Win32.Small.qt" Virus. Action Taken: No Action Taken. Sun Feb 06 20:31:35 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.* Sun Feb 06 20:33:43 2005 => Scanning Folder: C:\Programme\Softwin\BitDefender Free Edition\Infected\*.* Sun Feb 06 20:47:41 2005 => File C:\WINDOWS\system32\hdmhq.dll infected by "HackTool.Win32.Hidd.c" Virus. Action Taken: No Action Taken. Sun Feb 06 20:49:14 2005 => File C:\WINDOWS\system32\smbdins.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: No Action Taken. Sun Feb 06 20:49:15 2005 => File C:\WINDOWS\system32\sprestrst.exe infected by "Trojan.Win32.DNSChanger.e" Virus. Action Taken: No Action Taken. Sun Feb 06 20:49:22 2005 => File C:\WINDOWS\system32\tsmsetup.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: No Action Taken. Sun Feb 06 20:49:24 2005 => File C:\WINDOWS\system32\upncont.exe infected by "Trojan.Win32.StartPage.sl" Virus. Action Taken: No Action Taken. Sun Feb 06 20:49:49 2005 => File C:\WINDOWS\system32\wowdbe.exe infected by "Trojan-Dropper.Win32.Small.qt" Virus. Action Taken: No Action Taken. Sun Feb 06 21:05:40 2005 => Total Disinfected Files: 0 Tue Feb 08 19:20:34 2005 => File C:\WINDOWS\System32\hdxeh.dll infected by "HackTool.Win32.Hidd.c" Virus. Action Taken: File Renamed. Tue Feb 08 19:21:36 2005 => File C:\WINDOWS\System32\smbdins.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: File Deleted. Tue Feb 08 19:21:37 2005 => File C:\WINDOWS\System32\sprestrst.exe infected by "Trojan.Win32.DNSChanger.e" Virus. Action Taken: File Deleted. Tue Feb 08 19:21:43 2005 => File C:\WINDOWS\System32\tsmsetup.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: File Deleted. Tue Feb 08 19:21:45 2005 => File C:\WINDOWS\System32\upncont.exe infected by "Trojan.Win32.StartPage.sl" Virus. Action Taken: File Deleted. Tue Feb 08 19:21:56 2005 => File C:\WINDOWS\System32\wowdbe.exe infected by "Trojan-Dropper.Win32.Small.qt" Virus. Action Taken: File Deleted. Tue Feb 08 19:23:20 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.* Tue Feb 08 19:23:49 2005 => Scanning Folder: C:\Programme\eScan\INFECTED\*.* Tue Feb 08 19:23:49 2005 => Scanning File C:\Programme\eScan\infected.wav [**] Tue Feb 08 19:25:09 2005 => Scanning Folder: C:\Programme\Softwin\BitDefender Free Edition\Infected\*.* Tue Feb 08 19:25:35 2005 => File C:\System Volume Information\_restore{C4ECC6E0-10D6-4D48-8DC8-B9D47CEEADC5}\RP0\A0000007.dll infected by "HackTool.Win32.Hidd.c" Virus. Action Taken: File Renamed. Tue Feb 08 19:25:36 2005 => File C:\System Volume Information\_restore{C4ECC6E0-10D6-4D48-8DC8-B9D47CEEADC5}\RP0\A0001007.dll infected by "HackTool.Win32.Hidd.c" Virus. Action Taken: File Renamed. Tue Feb 08 19:25:37 2005 => File C:\System Volume Information\_restore{C4ECC6E0-10D6-4D48-8DC8-B9D47CEEADC5}\RP0\A0001019.dll infected by "HackTool.Win32.Hidd.c" Virus. Action Taken: File Renamed. Tue Feb 08 19:25:37 2005 => File C:\System Volume Information\_restore{C4ECC6E0-10D6-4D48-8DC8-B9D47CEEADC5}\RP0\A0001026.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: File Deleted. Tue Feb 08 19:25:37 2005 => File C:\System Volume Information\_restore{C4ECC6E0-10D6-4D48-8DC8-B9D47CEEADC5}\RP0\A0001027.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: File Deleted. Tue Feb 08 19:25:37 2005 => File C:\System Volume Information\_restore{C4ECC6E0-10D6-4D48-8DC8-B9D47CEEADC5}\RP0\A0001034.dll infected by "HackTool.Win32.Hidd.c" Virus. Action Taken: File Renamed. Tue Feb 08 19:25:37 2005 => File C:\System Volume Information\_restore{C4ECC6E0-10D6-4D48-8DC8-B9D47CEEADC5}\RP0\A0001047.dll infected by "HackTool.Win32.Hidd.c" Virus. Action Taken: File Renamed. Tue Feb 08 19:25:38 2005 => File C:\System Volume Information\_restore{C4ECC6E0-10D6-4D48-8DC8-B9D47CEEADC5}\RP1\A0001061.dll infected by "HackTool.Win32.Hidd.c" Virus. Action Taken: File Renamed. Tue Feb 08 19:25:38 2005 => File C:\System Volume Information\_restore{C4ECC6E0-10D6-4D48-8DC8-B9D47CEEADC5}\RP1\A0001062.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: File Deleted. Tue Feb 08 19:25:38 2005 => File C:\System Volume Information\_restore{C4ECC6E0-10D6-4D48-8DC8-B9D47CEEADC5}\RP1\A0001063.exe infected by "Trojan.Win32.DNSChanger.e" Virus. Action Taken: File Deleted. Tue Feb 08 19:25:38 2005 => File C:\System Volume Information\_restore{C4ECC6E0-10D6-4D48-8DC8-B9D47CEEADC5}\RP1\A0001064.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: File Deleted. Tue Feb 08 19:25:38 2005 => File C:\System Volume Information\_restore{C4ECC6E0-10D6-4D48-8DC8-B9D47CEEADC5}\RP1\A0001065.exe infected by "Trojan.Win32.StartPage.sl" Virus. Action Taken: File Deleted. Tue Feb 08 19:25:38 2005 => File C:\System Volume Information\_restore{C4ECC6E0-10D6-4D48-8DC8-B9D47CEEADC5}\RP1\A0001065.exe infected by "Trojan.Win32.StartPage.sl" Virus. Action Taken: File Deleted. Und hier die Detail ansicht vom scan. File C:\WINDOWS\System32\hdxeh.dll infected by "HackTool.Win32.Hidd.c" Virus. Action Taken: File Renamed. File C:\WINDOWS\System32\KILLAPPS.EXE tagged as not-a-virus:RiskWare.Tool.KillApp.b. No Action Taken. File C:\WINDOWS\System32\smbdins.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: File Deleted. File C:\WINDOWS\System32\sprestrst.exe infected by "Trojan.Win32.DNSChanger.e" Virus. Action Taken: File Deleted. File C:\WINDOWS\System32\tsmsetup.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: File Deleted. File C:\WINDOWS\System32\upncont.exe infected by "Trojan.Win32.StartPage.sl" Virus. Action Taken: File Deleted. File C:\WINDOWS\System32\wowdbe.exe infected by "Trojan-Dropper.Win32.Small.qt" Virus. Action Taken: File Deleted. File C:\System Volume Information\_restore{C4ECC6E0-10D6-4D48-8DC8-B9D47CEEADC5}\RP0\A0000007.dll infected by "HackTool.Win32.Hidd.c" Virus. Action Taken: File Renamed. File C:\System Volume Information\_restore{C4ECC6E0-10D6-4D48-8DC8-B9D47CEEADC5}\RP0\A0001007.dll infected by "HackTool.Win32.Hidd.c" Virus. Action Taken: File Renamed. File C:\System Volume Information\_restore{C4ECC6E0-10D6-4D48-8DC8-B9D47CEEADC5}\RP0\A0001019.dll infected by "HackTool.Win32.Hidd.c" Virus. Action Taken: File Renamed. File C:\System Volume Information\_restore{C4ECC6E0-10D6-4D48-8DC8-B9D47CEEADC5}\RP0\A0001026.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: File Deleted. File C:\System Volume Information\_restore{C4ECC6E0-10D6-4D48-8DC8-B9D47CEEADC5}\RP0\A0001027.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: File Deleted. File C:\System Volume Information\_restore{C4ECC6E0-10D6-4D48-8DC8-B9D47CEEADC5}\RP0\A0001034.dll infected by "HackTool.Win32.Hidd.c" Virus. Action Taken: File Renamed. File C:\System Volume Information\_restore{C4ECC6E0-10D6-4D48-8DC8-B9D47CEEADC5}\RP0\A0001047.dll infected by "HackTool.Win32.Hidd.c" Virus. Action Taken: File Renamed. File C:\System Volume Information\_restore{C4ECC6E0-10D6-4D48-8DC8-B9D47CEEADC5}\RP1\A0001061.dll infected by "HackTool.Win32.Hidd.c" Virus. Action Taken: File Renamed. File C:\System Volume Information\_restore{C4ECC6E0-10D6-4D48-8DC8-B9D47CEEADC5}\RP1\A0001062.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: File Deleted. File C:\System Volume Information\_restore{C4ECC6E0-10D6-4D48-8DC8-B9D47CEEADC5}\RP1\A0001063.exe infected by "Trojan.Win32.DNSChanger.e" Virus. Action Taken: File Deleted. File C:\System Volume Information\_restore{C4ECC6E0-10D6-4D48-8DC8-B9D47CEEADC5}\RP1\A0001064.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: File Deleted. File C:\System Volume Information\_restore{C4ECC6E0-10D6-4D48-8DC8-B9D47CEEADC5}\RP1\A0001065.exe infected by "Trojan.Win32.StartPage.sl" Virus. Action Taken: File Deleted. File C:\System Volume Information\_restore{C4ECC6E0-10D6-4D48-8DC8-B9D47CEEADC5}\RP1\A0001066.exe infected by "Trojan-Dropper.Win32.Small.qt" Virus. Action Taken: File Deleted. File C:\WINDOWS\system32\KILLAPPS.EXE tagged as not-a-virus:RiskWare.Tool.KillApp.b. No Action Taken. Danke Grüße Sanji |
|
|
||
08.02.2005, 23:20
Ehrenmitglied
Beiträge: 29434 |
#358
Hallo@SlowLife
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\sp.dll/sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\sp.dll/sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {82472EE1-79CD-11D9-9A74-0040A3A72822} - C:\WINDOWS\SYSTEM\CMDG.DLL O3 - Toolbar: Yahoo! Assistent - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\WINDOWS\DOWNLOADED PROGRAM FILES\YCOMP5_3_18_0.DLL (file missing) O18 - Filter: text/html - {EFA1BEAD-79B0-11D9-9A74-00400233D36E} - C:\WINDOWS\SYSTEM\CMDG.DLL O18 - Filter: text/plain - {EFA1BEAD-79B0-11D9-9A74-00400233D36E} - C:\WINDOWS\SYSTEM\CMDG.DLL PC neustarten Gehe in die Registry HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\SearchAssistant Uninstall Hier findet sich ein Eintrag: UninstallString "regsvr32 /s /u C:\WINDOWS\SYSTEM\.......dll Den Namen dieser *.dll notieren! (wahrscheinlich: CMDG.DLL ) Da diese Datei aber noch von Windows benutzt wird kann man sie noch nicht löschen und muss daher erst durch die Suchfunktion alle Einträge für diese *.dll in der Registry löschen! Danach neustarten und diese *.dll Datei und auch die sp.dll Datei von der Festplatte löschen und erneut neustarten, danach ist das Problem behoben. KillBox http://www.bleepingcomputer.com/files/killbox.php <Delete File on Reboot und klick auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" Kopiere in die Killbox: C:\WINDOWS\TEMP\sp.dll C:\WINDOWS\SYSTEM\CMDG.DLL PC neustarten #ClaerProg..lade die neuste Version <1.4.1 http://www.clearprog.de/downloads.php <und saeubere den Browser. Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera: - Cookies - Verlauf - Temporäre Internetfiles (Cache) #backdoor.agent.b.removal.tool.(Symantec) http://securityresponse.symantec.com/avcenter/venc/data/backdoor.agent.b.removal.tool.html PC neustarten #neue Startseite gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein CWShredder 2.12 [2004-12-13] http://www.majorgeeks.com/download3019.html 1. Click "Check For Update" (If an update isn't available, skip to step #4.) 2. Click "Click here to Download the upate". 3. When the new version has been downloaded, click "Save". 4. Click "Fix ->" Log-->"make Report" --> poste mir das Log vom Scann, bitte #Internet Explorer 6 Service Pack 1 http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=1E1550CB-5E5D-48F5-B02B-20B602228DE6 #RegCleaner (Tip: Lade RegCleaner, stelle das Tool in Deutsch ein und saeubere ueber <Tools<Registry saeubern<alles durchfuehren < den PC (du kannst alles angezeigte Loeschen, denn es verbleibt eine Sicherung) http://www.chip.de/downloads/c_downloads_8830516.html Poste dann das neue Log vom HijackThis, aber bitte, mit dem IE _____________________________________________________________________ #Alternativbrowser zum IE Firefox http://www.mozilla-europe.org/de/ Installation+Konfiguration Firefox http://www.pcwelt.de/know-how/software/103924/index1.html __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 09.02.2005 um 00:01 Uhr von Sabina editiert.
|
|
|
||
08.02.2005, 23:25
Ehrenmitglied
Beiträge: 29434 |
#359
Hallo@Sanji
Loesche: C:\WINDOWS\System32\KILLAPPS.EXE Poste bitte das neue Log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 09.02.2005 um 00:02 Uhr von Sabina editiert.
|
|
|
||
08.02.2005, 23:37
Ehrenmitglied
Beiträge: 29434 |
#360
Hallo@Bartz
Deaktivieren Wiederherstellung «XP Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. 1) lade remv3.zip herunter remv3.zip ( 9.85k ) Number of downloads:...... http://forums.skads.org/index.php?showtopic=80 (dort im 1. Posting von Baskar unter Attached File(s)!). 2) entpacke es im verzeichnis C:\WINDOWS\System32\ (es ist wichtig, dass es in diesem verzeichnis ist!) Download Registry Search Tool : http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip Doppelklick:regsrch.vbs kopiere rein: tœ†5òEÆR Press 'OK' warten, bis die Suche beendet ist. (Ergebnis bitte posten) das machst du auch mit: {CF8C8E1B-FD57-4E97-B50E-A1A64DC727C0} {CF021F40-3E14-23A5-CBA2-717765721316} {9DDDC6B1-3518-47E8-A81B-8050C397EBAC} {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} {72D78A82-8953-67B4-4792-9C034B139753} eScan-Erkennungstool eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich: http://www.mwti.net/antivirus/free_utilities.asp oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche kavupd.exe, die klickst du an--> (Update- in DOS) ausführen #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://clearsurfing.net/srch.php?qq=%s R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\qwsxp.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\qwsxp.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\qwsxp.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\qwsxp.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {9DDDC6B1-3518-47E8-A81B-8050C397EBAC} - C:\WINDOWS\System32\qwsxp.dll O2 - BHO: Cls - {CF021F40-3E14-23A5-CBA2-717765721316} - C:\WINDOWS\System32\wer1316.dll O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - C:\WINDOWS\System32\iesp2.dll O16 - DPF: {6BEA1C48-1850-486C-8F58-C7354BA3165E} (Install Class) - http://updates.lifescapeinc.com/installers/pinstall/pinstall.cab O16 - DPF: {72D78A82-8953-67B4-4792-9C034B139753} - ms-its:mhtml:file://c:\nosuch.mht!http://www.foxik.com/chm/files.chm::/file.exe O16 - DPF: {861FDA2A-2B57-4BDA-8B8B-305C9D5D8604} (_Multimedia Player) - http://stream.pussyharem.com/stream/mmp.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{11AC9C39-4A24-44B7-A730-9FD05EA76257}: NameServer = 69.50.176.156,195.225.176.31 O17 - HKLM\System\CCS\Services\Tcpip\..\{9C60B2C8-A322-45E8-AFDB-070CA6CB46A9}: NameServer = 69.50.176.156,195.225.176.31 O17 - HKLM\System\CCS\Services\Tcpip\..\{D19EFC0A-51D1-4298-B817-AA740040E3B2}: NameServer = 69.50.176.156,195.225.176.31 O17 - HKLM\System\CS1\Services\Tcpip\..\{11AC9C39-4A24-44B7-A730-9FD05EA76257}: NameServer = 69.50.176.156,195.225.176.31 O17 - HKLM\System\CS2\Services\Tcpip\..\{11AC9C39-4A24-44B7-A730-9FD05EA76257}: NameServer = 69.50.176.156,195.225.176.31 O18 - Filter: text/html - {94152994-B9A1-4511-BFAB-DB1B4E4FFC21} - C:\WINDOWS\System32\qwsxp.dll O18 - Filter: tœ†5òEÆR - {605621F4-93F2-46AC-BD14-E5F51EA1163E} - C:\WINDOWS\System32\qwsxp.dll O18 - Filter: tœ†5òFÆR - {61C86F07-7629-4ED8-985B-2367B7F38584} - C:\WINDOWS\System32\qwsxp.dll O18 - Filter: tœ†5ò5EÆR - {B5BAB4C2-243A-4DA7-8031-7BDD02C13AA9} - C:\WINDOWS\System32\qwsxp.dll O18 - Filter: tœ†5òhDÆR - {94152994-B9A1-4511-BFAB-DB1B4E4FFC21} - C:\WINDOWS\System32\qwsxp.dll O18 - Filter: tœ†5òÄFÆR - {45704941-C16F-47DC-9D66-9664C4ABB9F0} - C:\WINDOWS\System32\qwsxp.dll O18 - Filter: tœ†5òìFÆR - {2539793A-D3D7-417F-947F-B242D70D471B} - C:\WINDOWS\System32\qwsxp.dll O18 - Filter: tœ†5òÏTÆR - {CF8C8E1B-FD57-4E97-B50E-A1A64DC727C0} - C:\WINDOWS\System32\qwsxp.dll PC neustarten 3) starte den rechner im abgesicherten modus. http://www.tu-berlin.de/www/software/virus/savemode.shtml 4) starte die datei rem.bat, scannen lassen. und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen : Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory • Beim Start von e-scan sollten folgende Optionen aktiviert sein: -->und "Scan " klicken Gehe wieder in den Normalmodus: mache bitte folgendes: nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du infected ein jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw. und ganz unten steht die zusammenfassung, diese auch hier posten ____________________________________________________________________________________________ KillBox http://www.bleepingcomputer.com/files/killbox.php <Delete File on Reboot und klick auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" kopiere rein: C:\WINDOWS\System32\smbdins.exe C:\WINDOWS\system32\hdxfs.dll C:\WINDOWS\system32\iesp1.dll C:\WINDOWS\Ole32ws.dll C:\WINDOWS\system32\nbtrstat.exe C:\WINDOWS\system32\rdspclips. C:\WINDOWS\system32\sprestrst.exe C:\WINDOWS\system32\tsmsetup.exe C:\WINDOWS\system32\upncont.exe C:\WINDOWS\system32\wowdbe.exe C:\WINDOWS\System32\run_dos.dll C:\WINDOWS\System32\qwsxp.dll C:\WINDOWS\System32\iesp2.dll C:\WINDOWS\System32\wer1316.dll + die infizierten Dateien, die escan angezeigt hat. Beim letzten startest du den PC neu PC neustarten #ClaerProg..lade die neuste Version <1.4.1 http://www.clearprog.de/downloads.php <und saeubere den Browser. Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera: - Cookies - Verlauf - Temporäre Internetfiles (Cache) #AboutBuster www.malwarebytes.biz/AboutBuster.zip CWShredder 2.12 [2004-12-13] http://www.majorgeeks.com/download3019.html 1. Click "Check For Update" (If an update isn't available, skip to step #4.) 2. Click "Click here to Download the upate". 3. When the new version has been downloaded, click "Save". 4. Click "Fix ->" Log-->"make Report" --> poste das Log vom Scann 6)Die remv3.bat hat die Datei C:\log.txt angelegt. Den Inhalt hier posten. 7) markiere den inhalt und füge ihn hier ein. erstelle ein aktuelles HijackThis log und poste es mit der log.txt von rem. __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 09.02.2005 um 00:03 Uhr von Sabina editiert.
|
|
|
||
ja, es ist alles sauber.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
[Start Page] about:blank --> trage die korrekte Startseite in der Registry ein
--> zum Beispiel: http://de.yahoo.com/
PC neustarten
Lade: FindIt.zip--> noch einmal posten, bitte
http://bilder.informationsarchiv.net/Nikitas_Tools/
Lade, entpacke und klicke auf: "find.bat" [ignoriere : File not found messages]
<DOS oeffnet sich -->warte den Scan ab --> es oeffnet sich der Texteditor --> und poste den Text von output.txt.
Please download DllCompare from here
http://www.atribune.org/downloads/DllCompare.exe
<klick: Locate.com button.
wenn der Scan beendet ist
<klick:Compare button
<klick: und erstelle das Log--->bitte posten
+ poste das Log vom HijackThis --> mit dem IE posten
___________________________________________________________
#Alternativbrowser zum IE
Firefox
http://www.mozilla-europe.org/de/
Installation+Konfiguration Firefox
http://www.pcwelt.de/know-how/software/103924/index1.html
__________
MfG Sabina
rund um die PC-Sicherheit