"Search for..." Startseite kommt immer wieder!Thema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
10.04.2005, 16:01
Ehrenmitglied
Beiträge: 29434 |
||
|
||
10.04.2005, 20:55
...neu hier
Beiträge: 4 |
#407
@Sabina
Thx ... hier ist was in der logfile steht ... Logfile of HijackThis v1.99.1 Scan saved at 20:52:15, on 10.04.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\ATKKBService.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Trend Micro\Internet Security\Tmntsrv.exe C:\Programme\Trend Micro\Internet Security\tmproxy.exe C:\WINDOWS\Explorer.EXE C:\Programme\Trend Micro\Internet Security\PccPfw.exe C:\WINDOWS\ATK0100\Hcontrol.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\ASUS\ASUS Live Update\ALU.exe C:\Programme\ASUS\Power4 Gear\BatteryLife.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Trend Micro\Internet Security\pccguide.exe C:\Programme\Trend Micro\Internet Security\PCClient.exe C:\Programme\Trend Micro\Internet Security\TMOAgent.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\ASUSTek\ASUSDVD\PDVDServ.exe C:\Programme\Winamp\Winampa.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Asus\Asus ChkMail\ChkMail.exe C:\Programme\Wireless LAN Utility\SiWake.exe C:\WINDOWS\ATK0100\ATKOSD.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Miranda_IM + Plugins\miranda_nightly\miranda32.exe C:\Programme\FlashGet\flashget.exe C:\Dokumente und Einstellungen\Rakzero\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.giga.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com.tw R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\ATK0100\Hcontrol.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [ASUS Live Update] C:\Programme\ASUS\ASUS Live Update\ALU.exe O4 - HKLM\..\Run: [Power_Gear] C:\Programme\ASUS\Power4 Gear\BatteryLife.exe 1 O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [pccguide.exe] "C:\Programme\Trend Micro\Internet Security\pccguide.exe" O4 - HKLM\..\Run: [PCClient.exe] "C:\Programme\Trend Micro\Internet Security\PCClient.exe" O4 - HKLM\..\Run: [TM Outbreak Agent] "C:\Programme\Trend Micro\Internet Security\TMOAgent.exe" /run O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [RemoteControl] C:\Programme\ASUSTek\ASUSDVD\PDVDServ.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: ASUS ChkMail.lnk = C:\Programme\Asus\Asus ChkMail\ChkMail.exe O4 - Global Startup: Hotkey.lnk = C:\Programme\Asus\ASUS Hotkey\Hotkey.exe O4 - Global Startup: SiWake.lnk = C:\Programme\Wireless LAN Utility\SiWake.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com.tw O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q330995.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe O23 - Service: Trend Micro Personal Firewall (PccPfw) - Trend Micro Incorporated. - C:\Programme\Trend Micro\Internet Security\PccPfw.exe O23 - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Incorporated. - C:\Programme\Trend Micro\Internet Security\Tmntsrv.exe O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Incorporated. - C:\Programme\Trend Micro\Internet Security\tmproxy.exe |
|
|
||
10.04.2005, 22:00
Ehrenmitglied
Beiträge: 29434 |
#408
Hallo@Wonderdave
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q330995.exe PC neustarten •KillBox http://www.bleepingcomputer.com/files/killbox.php •Delete File on Reboot <--anhaken reinkopieren: C:\Recycled\Q330995.exe und klick auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "yes PC neustarten CCleaner--> loesche aller *temp-Datein http://www.ccleaner.com/ccdownload.asp gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken •eScan-Erkennungstool eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich: http://www.mwti.net/antivirus/free_utilities.asp oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche kavupd.exe, die klickst du an--> (Update- in DOS) ausführen -->mwav.exe oeffnen-->alle Haekchen setzen-->scannen-->View Log anklicken--> Bearbeiten anklicken--> "infected" reinschreiben und nun alles rauskopieren, was angezeigt wird--> __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
11.04.2005, 16:38
...neu hier
Beiträge: 4 |
#409
Danke, werds heut abend ausprobieren !
|
|
|
||
12.04.2005, 12:10
Ehrenmitglied
Beiträge: 29434 |
#410
von:Wonderdave
hi Sabina ... kann jetzt keinen post mehr machen weil der vorherige auch von mir war ... ich bin deiner anleitung genau gefolgt ... C:\WINDOWS\System32\cafm.dll C:\DOKUME~1\Rakzero\LOKALE~1\Temp\se.dll HKLM\Software\myway C:\PROGRA~1\myway HKLM\Software\gator.com AltnetBDE Spyware/Adware (altnet signing module.exe/adm.exe)! puuuuuhhhfffff, verdammt viel spy und adware. :/ __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
12.04.2005, 12:14
Ehrenmitglied
Beiträge: 29434 |
#411
Hallo@Wonderdave
Hijacker about:blank - se.dll\sp.html http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html scanne mit diesem Tool und poste mir das Log vom Scann ---------------------------------------------------------------------- C:\Programme\MyWay\myBar\<--loeschen C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\temp.frC6A0\mysearch.cab C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL C:\Programme\MyWay\myBar\1.bin\MY2NS.EXE C:\Programme\MyWay\myBar\1.bin\NPMYWAY.DLL ----------------------------------------------------------------- ADW_GATOR.A 1. Start-->Ausfuehren--> regedit 2. In the left panel, double-click the following: HKEY_LOCAL_ROOT>CLSID> 3. Still in the left panel, locate and delete the following: {21FFB6C0-0DA1-11D5-A9D5-00500413153C} 4. In the left panel, double-click the following: HKEY_LOCAL_MACHINE>Software>Gator.com 5. Still in the left panel, locate and delete the following: * GatorG * GInternet * Trickler 6. In the left panel, double-click the following: HKEY_LOCAL_MACHINE>Software>Classes>CLSID 7. Still in the left panel, locate and delete the following: {21FFB6C0-0DA1-11D5-A9D5-00500413153C} HKEY_CLASSES_ROOT\CLSID\ {21FFB6C0-0DA1-11D5-A9D5-00500413153C} HKEY_LOCAL_MACHINE\Software\Classes\CLSID\ {21FFB6C0-0DA1-11D5-A9D5-00500413153C} HKEY_LOCAL_MACHINE\Software\Gator.com\ Gator HKEY_LOCAL_MACHINE\Software\Gator.com\ GInternet HKEY_LOCAL_MACHINE\Software\Gator.com\ Trickler HKEY_CLASSES_ROOT\CLSID\{21FFB6C0-0DA1-11D5-A9D5-00500413153C} HKEY_CLASSES_ROOT\dauuobla HKEY_LOCAL_MACHINE\SOFTWARE\cflpqo HKEY_LOCAL_MACHINE\SOFTWARE\Gator.com HKEY_LOCAL_MACHINE\SOFTWARE\Gator.com\AppInfo HKEY_LOCAL_MACHINE\SOFTWARE\Gator.com\AppInfo\CME HKEY_LOCAL_MACHINE\SOFTWARE\Gator.com\AppInfo\Gator HKEY_LOCAL_MACHINE\SOFTWARE\Gator.com\AppInfo\GMT HKEY_LOCAL_MACHINE\SOFTWARE\Gator.com\CMEII HKEY_LOCAL_MACHINE\SOFTWARE\Gator.com\CMEII\GSNInstalled HKEY_LOCAL_MACHINE\SOFTWARE\Gator.com\Gator HKEY_LOCAL_MACHINE\SOFTWARE\Gator.com\Gator\dyn HKEY_LOCAL_MACHINE\SOFTWARE\Gator.com\Gator\dyn\AppSetup HKEY_LOCAL_MACHINE\SOFTWARE\Gator.com\Gator\dyn\AutoUpdate HKEY_LOCAL_MACHINE\SOFTWARE\Gator.com\Gator\dyn\BannerManager 8. schliesse die Registry •KillBox http://www.bleepingcomputer.com/files/killbox.php •Delete File on Reboot <--anhaken und klick auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL C:\Programme\MyWay\myBar\1.bin\MY2NS.EXE C:\Programme\MyWay\myBar\1.bin\NPMYWAY.DLL C:\Programme\Gemeinsame Dateien\CMEII\CMEIIAPI.dll C:\Programme\Gemeinsame Dateien\CMEII\GAppMgr.dll C:\Programme\Gemeinsame Dateien\CMEII\GController.dll C:\Programme\Gemeinsame Dateien\CMEII\GDwldEng.dll C:\Programme\Gemeinsame Dateien\CMEII\GIocl.dll C:\Programme\Gemeinsame Dateien\CMEII\GIoclClient.dll C:\Programme\Gemeinsame Dateien\CMEII\GMTProxy.dll C:\Programme\Gemeinsame Dateien\CMEII\GObjs.dll C:\Programme\Gemeinsame Dateien\CMEII\GStore.dll C:\Programme\Gemeinsame Dateien\CMEII\GStoreServer.dll C:\Programme\Gemeinsame Dateien\CMEII\Gtools.dll C:\Programme\Gemeinsame Dateien\GMT\gtrawbm.fil C:\Programme\Gemeinsame Dateien\GMT\EGGCEngine.dll C:\Programme\Gemeinsame Dateien\GMT\egIEEngine.dll C:\Programme\Gemeinsame Dateien\GMT\EGIEProcess.dll C:\Programme\Gemeinsame Dateien\GMT\EGNSEngine.dll C:\Programme\Gemeinsame Dateien\GMT\GatorRes.dll C:\Programme\Gemeinsame Dateien\GMT\GatorStubSetup.exe C:\Programme\Gemeinsame Dateien\GMT\GUninstaller.exe C:\Programme\Gemeinsame Dateien\GMT\GMT.exe PC neustarten suche/loesche: gator.exe guninstaller.exe fsg_4104.exe gatorstubsetup.exe •Trend-Micro (Online) http://de.trendmicro-europe.com/consumer/products/housecall_launch.php http://de.trendmicro-europe.com/enterprise/products/housecall_pre.php CCleaner--> loesche alle *temp-Dateien http://www.ccleaner.com/ccdownload.asp #Ad-aware SE Personal 1.05 Updated http://fileforum.betanews.com/detail/965718306/1 Laden--> Updaten-->scannen-->PC neustarten--> noch mal scannen--> poste das Log vom Scann •Search&Destroy http://www.safer-networking.org/de/download/index.html bitte scan-Log abkopieren und posten + das neue Log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
14.04.2005, 20:24
...neu hier
Beiträge: 1 |
#412
Hi,
habe auch diese nervige "search for.." Seite als Startseite. Mein "Anitvir" erkennt sie zwar als HNKI.DLL (Tojanisches Pferd), man kann die datei auch löschen aber beim nächsten öffnen des internet explorers ist die "search for" seite wieder da und "Antivir" findet die datei auch wieder. super nervig. Bitte helft mir, das letzte mal musste ich komplett neu formatieren weil ich so verzweifelt war. hier mein logfile: Logfile of HijackThis v1.99.1 Scan saved at 20:22:14, on 14.04.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Winamp\Winampa.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\PestPatrol\PPControl.exe C:\Programme\PestPatrol\PPMemCheck.exe C:\Programme\PestPatrol\CookiePatrol.exe C:\WINDOWS\SYSTEM32\GEARSEC.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\explorer.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\DOKUME~1\LASCHI\LOKALE~1\TEMP\_VWUPSRV.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\WinRAR\WinRAR.exe C:\download\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Laschi\LOKALE~1\Temp\se.dll/spage.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Laschi\LOKALE~1\Temp\se.dll/spage.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {0D0272BA-4E5C-44A4-9D09-29F7511E06C5} - C:\WINDOWS\System32\hnki.dll (file missing) O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programme\PestPatrol\PPControl.exe O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O8 - Extra context menu item: Translate into English - res://c:\programme\google\GoogleToolbar2.dll/cmtrans.html O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://dl.ad-ware.cc/qtpCflhJk-uCYvJZkVfv.chm::/on-line.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1102992167628 O18 - Filter: text/html - {DB54336C-DDE8-42B5-AF1F-529A9C4441C4} - C:\WINDOWS\System32\hnki.dll O18 - Filter: text/plain - {DB54336C-DDE8-42B5-AF1F-529A9C4441C4} - C:\WINDOWS\System32\hnki.dll O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\WINDOWS\System32\NMSSvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe |
|
|
||
15.04.2005, 00:42
Ehrenmitglied
Beiträge: 29434 |
#413
Hallo@laschi
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://dl.ad-ware.cc/qtpCflhJk-uCYvJZkVfv.chm::/on-line.exe neustarten Hijacker about:blank - se.dll\sp.html http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html scanne mit diesem Tool und poste mir das Log vom Scann •eScan-Erkennungstool eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich: http://www.mwti.net/antivirus/free_utilities.asp oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche kavupd.exe, die klickst du an--> (Update- in DOS) ausführen -->mwav.exe oeffnen-->alle Haekchen setzen-->scannen-->View Log anklicken--> Bearbeiten anklicken--> "infected" reinschreiben und nun alles rauskopieren, was angezeigt wird--> + das neue Log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
05.05.2005, 03:30
...neu hier
Beiträge: 10 |
#414
Hallo Sabina!
Hab mir auch diese nervige "Search for..." Seite eingefangen! Vielleicht kannst du mir helfen - würde mich sehr freuen :-) Zitat Logfile of HijackThis v1.99.1Hab schon einige Male gefixt, jedoch ändert sich nix bei Hijackthis... Vielen Dank für Deine Antwort! |
|
|
||
05.05.2005, 11:04
Ehrenmitglied
Beiträge: 29434 |
#415
Hallo@kneidi
WIN32.MUDROP.N TROJAN! Start-->Ausfuehren-->regedit HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\bootcom<--diesen Eintrag mit rechtsklick loeschen #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = myproxy.netpark.at:8080 O2 - BHO: (no name) - {0E234239-88FF-11D2-8446-D7234234421F} - C:\WINDOWS\System32\msasmsn7.dll O4 - HKLM\..\Run: [SndPnpMix] C:\WINDOWS\System32\wauctlxp4.exe O9 - Extra button: Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Programme\VisualRoute\vrie.dll (file missing) O9 - Extra 'Tools' menuitem: VisualRoute Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - C:\Programme\VisualRoute\vrie.dll (file missing) O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O9 - Extra button: (no name) - {E23DEDBC-B8FE-47BE-9881-0692758326B2} - (no file) (HKCU) PC neustarten •KillBox http://www.bleepingcomputer.com/files/killbox.php •Delete File on Reboot <--anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\WINDOWS\System32\msasmsn7.dll C:\WINDOWS\System32\msxxabt3.dll c:\windows\System32\drivers\bootcom.sys C:\WINDOWS\System32\msamsn6.dll C:\WINDOWS\System32\wauctlxp4.exe PC neustarten c:\windows\System32\drivers\bootcom.sys<--ueberpruefen, ob das geleoscht ist. Lade: rkfiles.zip -->entpacken-->Gehe in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt)-->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich das DOS-Fenster schliesst--->poste C:\log.txt http://bilder.informationsarchiv.net/Nikitas_Tools/rkfiles.zip + das neue Log vom HijackTHis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
05.05.2005, 13:12
...neu hier
Beiträge: 10 |
#416
Hallo Sabina!
Ich kann HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\bootcom nicht löschen! Erst fragt er mich Möchten Sie diesen Schlüssel und dessen Unterschlüssel wirklich löschen? und wenn ich dann auf "Ja" geklickt habe, zeigt er an: BOOTCOM kann nicht gelöscht werden: Fehler beim Löschen des Schlüssels. Kann man da irgendwas machen? Hast du ne Lösung? Danke kneidi! |
|
|
||
05.05.2005, 14:30
Ehrenmitglied
Beiträge: 29434 |
#417
Sollte man Probleme haben, die Einträge zu löschen,
Klicke auf Bearbeiten-->Berechtigung und klicke dann auf Vollzugriff -->[Übernehmen] und auf [OK]. Erneuter [Rechtsklick] auf den Schlüssel und versuche diesen zu löschen. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
05.05.2005, 15:32
...neu hier
Beiträge: 10 |
#418
Hallo Sabina, ich hab`s genauso gemacht, wie du hier geschrieben hast. Als das nicht funktionierte, hab ich den PC neu gestartet, bin in den Abgesicherten Modus gegangen und hab mich dann als Administator (hab das Passwort herausgefunden) eingeloggt.
Der Ordner lässt sich auch nach mehrmaligen Versuchen nicht löschen! Der muss so fest in Windows verankert sein, dass es mir fast unmöglich scheint. Muss er vielleicht garnicht entfernt werden? Bitte schreib mir zurück... Vielen Dank! Vielleicht gibt`s ja noch ne Software, wo man einen Registry-Pfad reinschreiben kann und der löscht das alles mit einem Neustart. Oder vielleicht ein Eingabebefehl? mfg kneidi |
|
|
||
05.05.2005, 15:34
Ehrenmitglied
Beiträge: 29434 |
#419
Hallo@kneidi
als Administrator, mit Vollzugriffsrechten muesstest du das eigentlich loeschen koennen. Falls nicht, lass es erst einmal und arbeite alles andere ab. (immer berichten, bitte ), denn der Hijacker ist neu und ich hab noch keine Erfahrungen __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
05.05.2005, 15:46
...neu hier
Beiträge: 10 |
#420
kann man evt mit
Start > Ausführen > msconfig einen Diagnosesystemstart machen? Glaubst du dass das was bringt? mfg und DANKE :-) |
|
|
||
Poste bitte das log vom HijackThis
HijackThis
http://www.downloads.subratam.org/hijackthis.zip
http://www.spywareinfo.com/~merijn/files/hijackthis.zip
Lade/entpacke HijackThis in einem Ordner
-->None of the above,
just start the program --> Save--> Savelog -->es öffnet sich der
Editor -->
oder:
Do a system scan and save a logfile --> Save--> Savelog -->es öffnet sich der
Editor -->
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins
Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina
rund um die PC-Sicherheit