"Search for..." Startseite kommt immer wieder!

Thema ist geschlossen!
Thema ist geschlossen!
#0
23.02.2005, 10:26
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#376 Hallo@Andy25

Das Log ist sauber ;) Das hast du gut gemacht

#Alternativbrowser zum IE
Firefox

http://www.mozilla-europe.org/de/
Installation+Konfiguration Firefox
http://www.pcwelt.de/know-how/software/103924/index1.html
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
#Ad-aware SE Personal 1.05 Updated
http://fileforum.betanews.com/detail/965718306/1
Laden--> Updaten-->scannen-->PC neustarten

#ClaerProg..lade die neuste Version <1.4.1
http://www.clearprog.de/downloads.php
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)

#RegCleaner
(Tip: Lade RegCleaner, stelle das Tool in Deutsch ein und saeubere ueber <Tools<Registry saeubern<alles durchfuehren < den PC (du kannst alles angezeigte Loeschen, denn es verbleibt eine Sicherung)
http://www.chip.de/downloads/c_downloads_8830516.html
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 23.02.2005 um 10:27 Uhr von Sabina editiert.
Seitenanfang Seitenende
24.02.2005, 07:05
...neu hier

Beiträge: 4
#377 Hallo Sabina,

wollte nochmal meinen ganzen Dank ausdrücken!

DANKE, DANKE, DANKE ;)

Du hast mir echt schnell und sehr deutlich geholfen!
Wenn Du mal in die nähe von Frankfurt/Main kommst geb ich Dir einen Kaffee aus! ;)

Grüße,
Andy[/b]
Dieser Beitrag wurde am 24.02.2005 um 15:39 Uhr von Andy25 editiert.
Seitenanfang Seitenende
04.03.2005, 16:03
...neu hier

Beiträge: 1
#378 Hallo habe auch das Probelem, kann mir bitte auch jemand helfen?;)

mein Log:

Logfile of HijackThis v1.99.1
Scan saved at 16:11:12, on 04.03.2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\EPSON\EBAPI\SAGENT2.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\3DFX INTERACTIVE\3DFX TOOLS\APPS\3DFXMAN.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\FRITZ!DSL\FRITZDSL.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\OPERA\OPERA.EXE
C:\PROGRAMME\WINAMP\WINAMP.EXE
C:\PROGRAMME\MSN MESSENGER\MSNMSGR.EXE
C:\PROGRAMME\ICQ\ICQ.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {8D060B38-CEB1-4080-AF01-297F4F7207ED} - C:\WINDOWS\SYSTEM\LIHI.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [3dfx Tools] rundll32.exe 3dfxCmn.dll,CMNUpdateOnBoot
O4 - HKLM\..\Run: [3dfx Task Manager] "C:\Programme\3dfx Interactive\3dfx Tools\Apps\3dfxMan.exe"
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [SAgent2ExePath] C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKCU\..\RunOnce: [ICQ] C:\PROGRAMME\ICQ\ICQ.EXE -trayboot
O4 - Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\SYSTEM\E_SRCV02.EXE
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE (file missing)
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE (file missing)
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.122.252,192.168.122.253
O18 - Filter: text/html - {A41F72CB-0CCF-453A-926C-4952B941175D} - C:\WINDOWS\SYSTEM\LIHI.DLL
O18 - Filter: text/plain - {A41F72CB-0CCF-453A-926C-4952B941175D} - C:\WINDOWS\SYSTEM\LIHI.DLL


Was muss ich tun?

Vielen Dank im Voraus!
Dieser Beitrag wurde am 04.03.2005 um 16:06 Uhr von Schladdi editiert.
Seitenanfang Seitenende
05.03.2005, 10:15
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#379 Hallo@Schladdi
Hier nun die Lösung (für die meisten Formen der sp.dll):

Start --> Ausfuehren und 'Regedit' eingeben... dann zu:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\SearchAssistant Uninstall

Hier findet sich ein Eintrag:


UninstallString "regsvr32 /s /u C:\WINDOWS\SYSTEM\LIHI.DLL

Den Namen dieser *.dll notieren!

Da diese Datei aber noch von Windows benutzt wird kann man sie noch nicht löschen und muss daher erst durch die Suchfunktion alle Einträge für diese *.dll in der Registry löschen!
Danach neustarten und diese *.dll Datei und auch die sp.dll Datei von der Festplatte löschen und erneut neustarten, danach ist das Problem behoben.
_________________________________________________________________

öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {8D060B38-CEB1-4080-AF01-297F4F7207ED} - C:\WINDOWS\SYSTEM\LIHI.DLL
O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall
O18 - Filter: text/html - {A41F72CB-0CCF-453A-926C-4952B941175D} - C:\WINDOWS\SYSTEM\LIHI.DLL
O18 - Filter: text/plain - {A41F72CB-0CCF-453A-926C-4952B941175D} - C:\WINDOWS\SYSTEM\LIHI.DLL

PC neustarten

•KillBox
http://www.bleepingcomputer.com/files/killbox.php

•Delete File on Reboot <--anhaken

C:\WINDOWS\SYSTEM\LIHI.DLL
C:\WINDOWS\TEMP\se.dll/sp.html
C:\WINDOWS\TEMP\se.dll

und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

PC neustarten

C:\WINDOWS\TEMP\se.dll <---ueberpruefen, ob es geloescht ist !!!!

#ClaerProg..lade die neuste Version <1.4.1
http://www.clearprog.de/downloads.php
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)
- die eingetragenen URLs


#Ad-aware SE Personal 1.05 Updated
http://fileforum.betanews.com/detail/965718306/1
Laden--> Updaten-->scannen-->PC neustarten--> noch mal scannen--> poste das Log vom Scann

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.03.2005, 17:20
...neu hier

Beiträge: 9
#380 Hallo Sabina
und Helfer hier im Forum,

ich hab leider auch die bekannten Probleme mit der Startseite und werde sie einfach nicht los. Noch bevor ich den Tipp zu diesem Forum bekommen habe, habe ich auch schon ad-aware und spybot benutzt (ohne echten Erfolg) und dabei die Meldung bekommen: „Die Datei se.dll ist das Trojanische Pferd TR\StartPage.qr.dll“. Das habe ich dann zwar gelöscht, aber die Probleme sind unverändert. (Unter C:\\WINDOWS\TEMP\se.dll konnte ich keinen entsprechenden Eintrag finden ...).

Könnt Ihr mir bitte helfen? Vielen Dank schon mal im voraus!
Jochen

Hier das logfile vom HijackThis:

Logfile of HijackThis v1.99.1
Scan saved at 09:53:04, on 07.03.05
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v5.00 (5.00.2919.6304)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\ATITASK.EXE
C:\WINDOWS\SYSTEM\ATICWD32.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\NIKON\NKVIEW\EVLSTNR.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\SICHERHEIT\HIJACK THIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.vd-bw.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {B27158D1-A5BF-428D-BB38-9F1042404CFD} - C:\WINDOWS\SYSTEM\NNAK.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SICHER~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [Matrox Control Center] C:\Programme\Matrox MGA PowerDesk\mgactrl.exe
O4 - HKLM\..\Run: [Matrox Color Control] C:\Programme\Matrox MGA PowerDesk\Color\hgcctl95.exe
O4 - HKLM\..\Run: [Matrox Diagnostic] C:\Programme\Matrox MGA PowerDesk\diag\mgadiag.exe -s
O4 - HKLM\..\Run: [Atikey] Atitask.exe
O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [EVENTLISTENER] C:\Programme\Nikon\NkView\EvLstnr.exe
O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe
O4 - HKCU\..\Run: [Matrox QuickDesk] C:\Programme\Matrox MGA PowerDesk\QDesk\mgaqdesk.exe
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .psd: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin2.dll
O12 - Plugin for .wav: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O13 - WWW. Prefix: http://
O14 - IERESET.INF: START_PAGE_URL=http://www.vd-bw.de
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.msn.de
O16 - DPF: Win32 Classes - file://C:\WINDOWS\Java\classes\win32ie4.cab
O18 - Filter: text/html - {6E46EB90-4EAD-4991-825D-788579036786} - C:\WINDOWS\SYSTEM\NNAK.DLL
O18 - Filter: text/plain - {6E46EB90-4EAD-4991-825D-788579036786} - C:\WINDOWS\SYSTEM\NNAK.DLL
Seitenanfang Seitenende
08.03.2005, 00:14
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#381 Hallo@jochen01

gehe in die Registry

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\SearchAssistant Uninstall

Hier findet sich ein Eintrag:

UninstallString "regsvr32 /s /u C:\WINDOWS\SYSTEM\NNAK.DLL

Den Namen dieser *.dll notieren!

Da diese Datei aber noch von Windows benutzt wird kann man sie noch nicht löschen und muss daher erst durch die Suchfunktion alle Einträge für diese *.dll in der Registry löschen!


#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {B27158D1-A5BF-428D-BB38-9F1042404CFD} - C:\WINDOWS\SYSTEM\NNAK.DLL
O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall
O13 - WWW. Prefix: http://
O16 - DPF: Win32 Classes - file://C:\WINDOWS\Java\classes\win32ie4.cab
O18 - Filter: text/html - {6E46EB90-4EAD-4991-825D-788579036786} - C:\WINDOWS\SYSTEM\NNAK.DLL
O18 - Filter: text/plain - {6E46EB90-4EAD-4991-825D-788579036786} - C:\WINDOWS\SYSTEM\NNAK.DLL

PC neustarten


•KillBox
http://www.bleepingcomputer.com/files/killbox.php

•Delete File on Reboot <--anhaken

C:\WINDOWS\SYSTEM\NNAK.DLL
C:\WINDOWS\TEMP\SE.DLL

und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

PC neustarten

#ClaerProg..lade die neuste Version <1.4.1

http://www.clearprog.de/downloads.php
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)
- die eingetragenen URLs


CWShredder 2.12 [2004-12-13]
http://www.majorgeeks.com/download3019.html
* Double-click on CWShredder.exe. (schliesse das Internet)

•eScan-Erkennungstool
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp

-->mwav.exe [oder:MWAVSCAN.COM] oeffnen-->alle Haekchen setzen-->scannen-->View Log anklicken--> Bearbeiten anklicken--> "infected" reinschreiben
und nun alles rauskopieren, was angezeigt wird-->

Lade dir bitte Startdreck:
http://www.niksoft.at/_data/startdreck.zip entpacke es in einen Ordner und starte die startdreck.exe. Gehe auf config druecke "unmark all", hake "Run Keys" an, druecke "ok", druecke Save, speichere Das log und poste den Inhalt bitte hier.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.03.2005, 10:22
...neu hier

Beiträge: 9
#382 Hallo Sabina,

ich hoffe, Du kriegst es oft gesagt (aber man kann es gar nicht oft genug sagen): Du bist wirklich klasse!! Und irre schnell und präzise! Vielen Dank schon mal!!!

Ich hoffe nur, ich bin jetzt sauber ... (das logfile von startdreck ist angehängt).

Herzliche Grüße
Jochen


StartDreck (build 2.1.7 public stable) - 2005-03-08 @ 10:15:37 (GMT +01:00)
Platform: Windows 98 (Win 4.10.1998 )
Internet Explorer: 5.00.2919.6307
Logged in as ST6-1b at SANNE

»Registry
»Run Keys
»Current User
»Run
*Matrox QuickDesk=C:\Programme\Matrox MGA PowerDesk\QDesk\mgaqdesk.exe
»RunOnce
»Default User
»Run
*Matrox QuickDesk=C:\Programme\Matrox MGA PowerDesk\QDesk\mgaqdesk.exe
»RunOnce
»Local Machine
»Run
*Matrox Control Center=C:\Programme\Matrox MGA PowerDesk\mgactrl.exe
*Matrox Color Control=C:\Programme\Matrox MGA PowerDesk\Color\hgcctl95.exe
*Matrox Diagnostic=C:\Programme\Matrox MGA PowerDesk\diag\mgadiag.exe -s
*Atikey=Atitask.exe
*AtiCwd32=Aticwd32.exe
*ScanRegistry=C:\WINDOWS\scanregw.exe /autorun
*TaskMonitor=C:\WINDOWS\taskmon.exe
*LoadPowerProfile=Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
*SystemTray=SysTray.Exe
*EVENTLISTENER=C:\Programme\Nikon\NkView\EvLstnr.exe
»RunOnce
»RunServices
*LoadPowerProfile=Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
*SchedulingAgent=C:\WINDOWS\SYSTEM\mstask.exe
»RunServicesOnce
**cb=rundll32 C:\WINDOWS\WAZD.BMP,DllGetClassObject
»RunOnceEx
»RunServicesOnceEx
»Files
»System/Drivers
»Application specific
Seitenanfang Seitenende
08.03.2005, 10:31
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#383 Hallo@jochen01

ich bin nicht so ueberzeugt davon, dass alles sauber ist...da gibt es was, was ich nicht zuordnen kann.

---------------------------------------------------------------

http://www.silentrunners.org/sr_download.html
gehe auf:
Zitat:
Click here to download a zip file.
hier die Erklaerung:
http://www.silentrunners.org/sr_scriptuse.html

klicke: output file is in text format. --> Doppelklick und es oeffnet sich der Editor-->
und poste alles, was angezeigt wird.
_________________________________________________________________

Poste bitte das neue Log vom HijackTHis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.03.2005, 12:04
...neu hier

Beiträge: 9
#384 oh, oh, das klingt nicht so gut, Sabina ...

Hier sind die logfiles.

Grüße
Jochen

"Silent Runners.vbs", revision 32, http://www.silentrunners.org/
Operating System: Windows 98
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"Matrox QuickDesk" = "C:\Programme\Matrox MGA PowerDesk\QDesk\mgaqdesk.exe" ["Matrox Graphics Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"Matrox Control Center" = "C:\Programme\Matrox MGA PowerDesk\mgactrl.exe" ["Matrox Graphics Inc."]
"Matrox Color Control" = "C:\Programme\Matrox MGA PowerDesk\Color\hgcctl95.exe" ["Sonnetech Ltd."]
"Matrox Diagnostic" = "C:\Programme\Matrox MGA PowerDesk\diag\mgadiag.exe -s" ["Matrox Graphics Inc."]
"Atikey" = "Atitask.exe" ["ATI Technologies, Inc."]
"AtiCwd32" = "Aticwd32.exe" ["ATI Technologies Inc."]
"ScanRegistry" = "C:\WINDOWS\scanregw.exe /autorun" [MS]
"TaskMonitor" = "C:\WINDOWS\taskmon.exe" [MS]
"LoadPowerProfile" = "Rundll32.exe powrprof.dll,LoadCurrentPwrScheme" [MS]
"SystemTray" = "SysTray.Exe" [MS]
"EVENTLISTENER" = "C:\Programme\Nikon\NkView\EvLstnr.exe" ["FotoNation Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\ {++}
"LoadPowerProfile" = "Rundll32.exe powrprof.dll,LoadCurrentPwrScheme" [MS]
"SchedulingAgent" = "C:\WINDOWS\SYSTEM\mstask.exe" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\SICHER~1\SPYBOT~1\SDHELPER.DLL" ["Safer Networking Limited"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{BDA77241-42F6-11d0-85E2-00AA001FE28C}" = "LDVP Shell Extensions"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\GEMEIN~1\SYMANT~1\SSC\VPSHELL2.DLL" ["Symantec Corporation"]
"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Exchange"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Windows Messaging\mlshext.dll" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office\olkfstub.dll" [MS]
"{992CFFA0-F557-101A-88EC-00DD010CCC48}" = "DFÜ-Netzwerk"
-> {CLSID}\InProcServer32\(Default) = "rnaui.dll" [MS]
"{2E9D3540-211C-11d0-A5F2-00A0248C37BE}" = "Nero Shell Extension Property Sheet"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ahead\Nero\neroshx.dll" ["ahead software gmbh im stoeckmaedle 6 76307 karlsbad, germany Fax: ++49-7248-911-888 e-mail: info@ahead.de"]
"{C56C4E21-706D-11D0-AFC5-444553540003}" = "Nikon View"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Nikon\NkView\MLCamView.dll" ["FotoNation Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRAMME\SICHERHEIT\rarext.dll" [null data]


WIN.INI & SYSTEM.INI launch points:
-----------------------------------

SYSTEM.INI
[boot]
"SCRNSAVE.EXE=C:\WINDOWS\SYSTEM\DUNKLE~1.SCR" (Dunkler Bildschirm.scr) [MS]


Startup items in "Startup" & "All Users...Startup" folders:
-----------------------------------------------------------

C:\WINDOWS\Startmenü\Programme\Autostart
"Microsoft-Indexerstellung" -> shortcut to: "C:\Programme\Microsoft Office\Office\FINDFAST.EXE" [MS]
"Office-Start" -> shortcut to: "C:\Programme\Microsoft Office\Office\OSA.EXE -b" [MS]


Enabled Scheduled Tasks:
------------------------

"Programmstart beschleunigen" -> launches: "walign" [MS]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "C:\WINDOWS\SYSTEM\rnr20.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
00000000000#\PackedCatalogItem (contains) DLL [Company Name], (at) # range:
C:\WINDOWS\SYSTEM\mswsosp.dll [MS], 1
C:\WINDOWS\SYSTEM\msafd.dll [MS], 2 - 4
C:\WINDOWS\SYSTEM\rsvpsp.dll [MS], 5 - 6

Internet Explorer Address Prefixes:
-----------------------------------

Prefix for specific service (i.e., "www")

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefixes\
HIJACK WARNING! "ftp." = "ftp://"
HIJACK WARNING! "gopher." = "gopher://"
HIJACK WARNING! "home." = "http://"
HIJACK WARNING! "mosaic." = "http://"



----------
This report excludes default entries except where indicated.
To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
----------


Und hier der hikackThis-Auszug:Logfile of HijackThis v1.99.1
Scan saved at 12:02:45, on 08.03.05
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v5.00 (5.00.2919.6304)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\ATITASK.EXE
C:\WINDOWS\SYSTEM\ATICWD32.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\NIKON\NKVIEW\EVLSTNR.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\WINDOWS\SYSTEM\WBEM\WINMGMT.EXE
C:\WINDOWS\NOTEPAD.EXE
C:\PROGRAMME\SICHERHEIT\HIJACK THIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.vd-bw.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.vd-bw.de
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SICHER~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [Matrox Control Center] C:\Programme\Matrox MGA PowerDesk\mgactrl.exe
O4 - HKLM\..\Run: [Matrox Color Control] C:\Programme\Matrox MGA PowerDesk\Color\hgcctl95.exe
O4 - HKLM\..\Run: [Matrox Diagnostic] C:\Programme\Matrox MGA PowerDesk\diag\mgadiag.exe -s
O4 - HKLM\..\Run: [Atikey] Atitask.exe
O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [EVENTLISTENER] C:\Programme\Nikon\NkView\EvLstnr.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe
O4 - HKCU\..\Run: [Matrox QuickDesk] C:\Programme\Matrox MGA PowerDesk\QDesk\mgaqdesk.exe
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .psd: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin2.dll
O12 - Plugin for .wav: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.vd-bw.de
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.msn.de
Seitenanfang Seitenende
08.03.2005, 12:45
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#385 Hallo@jochen01

Hier das Reg-File, das die Standardwerte unter "DefaultPrefix" und "Prefixes" wieder herstellt.
defaultprefix.reg downloaden.
http://www.wintotal.de/Tipps/Eintrag.php?TID=434

dann scanne bitte noch mal mit:
"Silent Runners.vbs"
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.03.2005, 13:32
...neu hier

Beiträge: 9
#386 Hallo Sabina,

entschuldige bitte, dass es so lange gedauert hat (soll nicht mehr vorkommen ;-)

Ich hänge das logfile gleich unten an. Kannst Du mir verraten, was Dich bisher stutzig macht? Ich habe nämlich grade eine der bekannten alten Warnungen à la "Ihr Computer läuft langsam, er könnte mit spyware verseucht sein" schnell wieder zugemacht. Ist es etwas in der Art? Oder ist das Teil der vielen Programme, die ich bei der Virenbekämpfung runtergeladen habe?

Liebe Grüße
Jochen


"Silent Runners.vbs", revision 32, http://www.silentrunners.org/
Operating System: Windows 98
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"Matrox QuickDesk" = "C:\Programme\Matrox MGA PowerDesk\QDesk\mgaqdesk.exe" ["Matrox Graphics Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"Matrox Control Center" = "C:\Programme\Matrox MGA PowerDesk\mgactrl.exe" ["Matrox Graphics Inc."]
"Matrox Color Control" = "C:\Programme\Matrox MGA PowerDesk\Color\hgcctl95.exe" ["Sonnetech Ltd."]
"Matrox Diagnostic" = "C:\Programme\Matrox MGA PowerDesk\diag\mgadiag.exe -s" ["Matrox Graphics Inc."]
"Atikey" = "Atitask.exe" ["ATI Technologies, Inc."]
"AtiCwd32" = "Aticwd32.exe" ["ATI Technologies Inc."]
"ScanRegistry" = "C:\WINDOWS\scanregw.exe /autorun" [MS]
"TaskMonitor" = "C:\WINDOWS\taskmon.exe" [MS]
"LoadPowerProfile" = "Rundll32.exe powrprof.dll,LoadCurrentPwrScheme" [MS]
"SystemTray" = "SysTray.Exe" [MS]
"EVENTLISTENER" = "C:\Programme\Nikon\NkView\EvLstnr.exe" ["FotoNation Inc."]
"sp" = "rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\ {++}
"LoadPowerProfile" = "Rundll32.exe powrprof.dll,LoadCurrentPwrScheme" [MS]
"SchedulingAgent" = "C:\WINDOWS\SYSTEM\mstask.exe" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\SICHER~1\SPYBOT~1\SDHELPER.DLL" ["Safer Networking Limited"]
{2A4EF305-EA86-49DD-B483-04C376EF87D7}\(Default) = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\SYSTEM\GMAFL.DLL"
[null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{BDA77241-42F6-11d0-85E2-00AA001FE28C}" = "LDVP Shell Extensions"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\GEMEIN~1\SYMANT~1\SSC\VPSHELL2.DLL" ["Symantec Corporation"]
"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Exchange"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Windows Messaging\mlshext.dll" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office\olkfstub.dll" [MS]
"{992CFFA0-F557-101A-88EC-00DD010CCC48}" = "DFÜ-Netzwerk"
-> {CLSID}\InProcServer32\(Default) = "rnaui.dll" [MS]
"{2E9D3540-211C-11d0-A5F2-00A0248C37BE}" = "Nero Shell Extension Property Sheet"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ahead\Nero\neroshx.dll" ["ahead software gmbh im stoeckmaedle 6 76307 karlsbad, germany Fax: ++49-7248-911-888 e-mail: info@ahead.de"]
"{C56C4E21-706D-11D0-AFC5-444553540003}" = "Nikon View"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Nikon\NkView\MLCamView.dll" ["FotoNation Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRAMME\SICHERHEIT\rarext.dll" [null data]

HKLM\Software\Classes\PROTOCOLS\Filter\
INFECTION WARNING! text/html\CLSID = "{27F90661-FEAF-4B30-AA0C-3AFB5641F80F}"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\SYSTEM\GMAFL.DLL" [null data]
INFECTION WARNING! text/plain\CLSID = "{27F90661-FEAF-4B30-AA0C-3AFB5641F80F}"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\SYSTEM\GMAFL.DLL" [null data]



WIN.INI & SYSTEM.INI launch points:
-----------------------------------

SYSTEM.INI
[boot]
"SCRNSAVE.EXE=C:\WINDOWS\SYSTEM\DUNKLE~1.SCR" (Dunkler Bildschirm.scr) [MS]


Startup items in "Startup" & "All Users...Startup" folders:
-----------------------------------------------------------

C:\WINDOWS\Startmenü\Programme\Autostart
"Microsoft-Indexerstellung" -> shortcut to: "C:\Programme\Microsoft Office\Office\FINDFAST.EXE" [MS]
"Office-Start" -> shortcut to: "C:\Programme\Microsoft Office\Office\OSA.EXE -b" [MS]


Enabled Scheduled Tasks:
------------------------

"Programmstart beschleunigen" -> launches: "walign" [MS]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "C:\WINDOWS\SYSTEM\rnr20.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
00000000000#\PackedCatalogItem (contains) DLL [Company Name], (at) # range:
C:\WINDOWS\SYSTEM\mswsosp.dll [MS], 1
C:\WINDOWS\SYSTEM\msafd.dll [MS], 2 - 4
C:\WINDOWS\SYSTEM\rsvpsp.dll [MS], 5 - 6

Internet Explorer Address Prefixes:
-----------------------------------

Prefix for specific service (i.e., "www")

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefixes\
HIJACK WARNING! "ftp." = "ftp://"
HIJACK WARNING! "gopher." = "gopher://"
HIJACK WARNING! "home." = "http://"
HIJACK WARNING! "mosaic." = "http://"


----------
This report excludes default entries except where indicated.
To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
----------
Seitenanfang Seitenende
09.03.2005, 14:14
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#387 Hallo@jochen01

Gehe in die Registry

klicke zu:

HKLM\Software\Classes\PROTOCOLS\Filter\

loesche mit rechtsklick

text/html\CLSID = "{27F90661-FEAF-4B30-AA0C-3AFB5641F80F}"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\SYSTEM\GMAFL.DLL data]
text/plain\CLSID = "{27F90661-FEAF-4B30-AA0C-3AFB5641F80F}"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\SYSTEM\GMAFL.DLL

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\

loesche:

{2A4EF305-EA86-49DD-B483-04C376EF87D7}\(Default) = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\SYSTEM\GMAFL.DLL" [null data]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\


loesche:

"sp" = "rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall"

schliesse die Registry

dann loesche im abgesicherten Modus:
C:\WINDOWS\SYSTEM\GMAFL.DLL
C:\WINDOWS\TEMP\SE.DLL
C:\WINDOWS\WAZD.BMP


SpSeHjfix

Lade vo dieser Seite (bis zur Seite 4 scrollen)
http://www.trojaner-board.de/showthread.php?t=14366&page=3&pp=10

oder von hier: SpSeHjfix_Beta5.zip
http://bilder.informationsarchiv.net/Nikitas_Tools/

entpacke gehe in den abgesicherten Modus und starte:

SpSeHjfix_Beta.exe. Dort hast Du dann nur die beiden Möglichkeiten
*Schließen* oder *Desinfektion starten*

Ausgeführt wird dieses Tool logischerweise mit dem Button *Desinfektion starten*
Wenn eine Infektion festgestellt wird, sollte der Rechner automatisch neu gestartet werden. Also vorher alle anderen Anwednungen schließen.

Wenn keine Infektion festgestellt wird, wirst Du darauf hingewiesen. In beiden Fällen wird im Installationsverzeichnis des Programms eine Log-Datei erstellt.

___________________________________________________________________
Hier das Reg-File, das die Standardwerte unter "DefaultPrefix" und "Prefixes" wieder herstellt.
defaultprefix.reg downloaden.
http://www.wintotal.de/Tipps/Eintrag.php?TID=434

Lade dir bitte Startdreck: http://www.niksoft.at/_data/startdreck.zip entpacke es in einen Ordner und starte die startdreck.exe. Gehe auf config druecke "unmark all", hake "Run Keys" an, druecke "ok", druecke Save, speichere Das log und poste den Inhalt bitte hier.

dann poste das Log vom HijackThis + von Startdreck+"Silent Runners.vbs"

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.03.2005, 15:03
...neu hier

Beiträge: 9
#388 Hi Sabina,

ich kann die Sachen in der registry nicht finden. "HKLM" taucht gar nicht auf, nur "HKEY".

Du hast mich gebeten im abgesicherten Modus zu löschen. How can I do that? (ich bin ein echtes User-Greenhorn, der zum ersten Mal in seinem 10jährigen Computerleben ernsthaftere Probleme hat ...)

Bitte hilf!

Liebe Grüße
Jochen
Seitenanfang Seitenende
09.03.2005, 16:29
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#389 Hallo@jochen01

es gibt ein Entfernungstool:

http://bilder.informationsarchiv.net/Nikitas_Tools/
SpSeHjfix_Beta6.zip
_________________________________________________________

das scheint das Problem zu sein:
**cb=rundll32 C:\WINDOWS\WAZD.BMP,DllGetClassObject

Tippe bei Start/Ausfuehren bitte command ein und druecke Enter

In der Dosbox kopiere bitte das :

rundll32 C:\WINDOWS\WAZD.BMP,DllUnregisterServer

und sag, welche Rueckmeldung kam.

________________________________________________________________

Windows 98, Windows ME--> abgesicherter Modus
Schalten Sie den PC ein, drücken Sie nach max. 2 Sekunden die Taste [Strg] und halten Sie sie gedrückt, bis das Start-Menü erscheint. Weiter...
Hinweis: Sie können durch Drücken der Taste [F5] nach Abschluss der BIOS-Meldungen auch direkt den Abgesicherten Modus starten (ohne Umweg über das Start-Menü).
http://www.tu-berlin.de/www/software/virus/savemode.shtml

loesche:


C:\WINDOWS\SYSTEM\GMAFL.DLL
C:\WINDOWS\TEMP\SE.DLL
C:\WINDOWS\WAZD.BMP

dann poste das neue Log von Startdreck
Lade dir bitte Startdreck: http://www.niksoft.at/_data/startdreck.zip entpacke es in einen Ordner und starte die startdreck.exe. Gehe auf config druecke "unmark all", hake "Run Keys" an, druecke "ok", druecke Save, speichere Das log und poste den Inhalt bitte hier.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.03.2005, 01:26
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#390 Hallo@jochen01

es gibt ein Entfernungstool:

http://bilder.informationsarchiv.net/Nikitas_Tools/
SpSeHjfix_Beta6.zip
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende