startseite lässt sich nicht ändern

#0
04.02.2006, 11:54
Member

Themenstarter

Beiträge: 32
#91 Hi - ich habe seit über einem Jahr wieder ein Problem dass sich meine Startseite nicht mehr ändern lässt, welche auch unerwünscht ist. Es kommt immer die Startseite http://www.securityenhance.com/ mit dem Hinweis dass mein computer high risk ist.

noch dazu stürzt er wenn ich in ein bestimmtes benutzerkonto gehe, dann stürzt er immer ab und schreibt schwerer systemfehler.

ich habe adaware, spybot and destroy, escan, docotor spyware versucht - klappt aber nicht (vielleicht hab ich es auch falsch verwendet).

Kann mir bitte jemand helfen - wär genial wenns so wäre!!!

lg Lukas
Seitenanfang Seitenende
04.02.2006, 15:18
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#92 luggi

Hijackthis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.02.2006, 17:02
Member

Themenstarter

Beiträge: 32
#93 hi mal danke, das habe ich jetzt alles gemacht, jedoch ist das problem noch nicht ganz entfernt. jetzt bekomme ich als startseite immer aboutblank und kann das auch nicht ändern. weiters kann ich beim hijackthis drei datein nicht löschen:

Logfile of HijackThis v1.99.1
Scan saved at 16:59:11, on 06.02.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\eScan\TRAYSSER.EXE
C:\PROGRA~1\eScan\avpm.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\PROGRA~1\eScan\TRAYICOS.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\nvctrl.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Lukas\Desktop\HijackThis.exe

O2 - BHO: HomepageBHO - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - C:\WINDOWS\System32\hp5BFA.tmp (file missing)
O23 - Service: eScan Server-Updater (eScan-trayicos) - MWTI2 - C:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - C:\PROGRA~1\eScan\avpm.exe

ab und zu bekomme ich auch noch die meldung, dass mein computer mit vier viren inifziert ist, diese meldung erscheint rechts unten immer und verschwindet kurze zeit später wieder. auch die meldung, dass meine internet connection speed sich erheblich gesenkt hat.

gibt es hierfür auch eine lösung?

vielen dank
lg luggi
Seitenanfang Seitenende
06.02.2006, 18:29
Member

Themenstarter

Beiträge: 32
#94 hier noch die datein (statt letzten drei monate - seit oktober 05)

Verzeichnis von C:\WINDOWS\system32

06.02.2006 17:19 5.120 msvol.tlb
06.02.2006 17:19 5.036 ncompat.tlb
04.02.2006 12:32 15.168 nvctrl.exe
04.02.2006 00:30 7.357 eInstall.dat
03.02.2006 23:40 4.286 ot.ico

03.02.2006 18:46 1.744 d3d9caps.dat
02.02.2006 14:35 2.184 wpa.dbl
19.01.2006 16:59 2.180 d3d8caps.dat
04.01.2006 19:46 2.836.320 MRT.exe
22.12.2005 20:23 816.640 smab.dll
17.11.2005 14:58 0 filesms.fms
30.10.2005 14:57 0 runstop.rst

30.10.2005 14:52 311.604 perfh009.dat
30.10.2005 14:52 39.992 perfc009.dat
30.10.2005 14:52 48.156 perfc007.dat
30.10.2005 14:52 316.594 perfh007.dat
30.10.2005 14:52 723.744 PerfStringBackup.INI
10.10.2005 16:46 133.280 FNTCACHE.DAT
09.10.2005 17:05 3.058 qtplugin.log
07.10.2005 19:14 308.224 avisynth.dll
02.10.2005 10:34 0 rubezahl.rub
Seitenanfang Seitenende
07.02.2006, 02:12
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#95 es sind 4 Textdateien...ist genau auf der Seite von datfindbat erklaert...und ich hatte es auch geschrieben

Zitat

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.06.2006, 15:27
Member

Beiträge: 38
#96 Hallo!
Ich habe das gleiche Problem,allerdings hat mir ein freund jetzt firefox installiert,er meinte dieser internetzugang sei sicherer!
aber wenn ich meinen pc starte öffnet sich der ordner system 32 und wenn ich bei internetoptionen die startseite anschaue steht dort about;blank
ich bekomme sie auch nicht gelöscht,hab schon alles versucht und dreh hier schon durch!
AdAware findet zwar immer kritische Objecte,es entfernt sie aber nicht,wisst ihr eine Lösung!
Bitte helft mir sonst muss ich meinen heiß geliebten pc formatieren und das möchte ich nicht!
Ich danke schonmal im Vorraus auf das mir jemand helfen kann!
MfG

Hier dieser Logfile falls nötig:

Logfile of HijackThis v1.99.1
Scan saved at 14:46:16, on 04.06.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\System32\dcomcfg.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Logitech\SetPoint\KEM.exe
C:\Programme\Logitech\SetPoint\KHALMNPR.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
C:\Programme\uTorrent\utorrent.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Wencke Dössereck\Lokale Einstellungen\Temp\HijackThis.exe

F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: Nothing - {6ab7158b-4bff-4160-ad7d-4d622df548cf} - C:\WINDOWS\System32\hp100.tmp
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O10 - Broken Internet access because of LSP provider 'mwnsp.dll' missing
O20 - AppInit_DLLs: C:\WINDOWS\System32\ping.dll
O20 - Winlogon Notify: App Paths - C:\WINDOWS\system32\DNLCPY32.dll (file missing)
O20 - Winlogon Notify: OemStartMenuData - C:\WINDOWS\system32\k044lahq1d4e.dll

O20 - Winlogon Notify: winmyy32 - winmyy32.dll (file missing)
O21 - SSODL: DCOM Server - {2C1CD3D7-86AC-4068-93BC-A02304BB8C34} - (no file)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
Dieser Beitrag wurde am 04.06.2006 um 15:46 Uhr von nelly19 editiert.
Seitenanfang Seitenende
04.06.2006, 16:22
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#97 nelly19

0.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

1.
Look2Me-Destroyer V1.0.5 laut Anleitung anwenden -> (poste den report)
http://virus-protect.org/l2mfix.html

2.
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

3.
Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.06.2006, 00:07
Member

Beiträge: 38
#98 Hier der Report,wofür braucht ihr den?:



Look2Me-Destroyer V1.0.12

Scanning for infected files.....
Scan started at 04.06.2006 23:57:10

Infected! C:\WINDOWS\system32\f82mlif1182.dll
Infected! C:\WINDOWS\system32\akstream.dll
Infected! C:\WINDOWS\system32\f82mlif1182.dll
Infected! C:\WINDOWS\system32\fp2203foe.dll
Infected! C:\WINDOWS\system32\i8jq0i15e8.dll
Infected! C:\WINDOWS\system32\ir0ql5d51.dll
Infected! C:\WINDOWS\system32\itetmib1.dll
Infected! C:\WINDOWS\system32\kt6sl7j71.dll
Infected! C:\WINDOWS\system32\ovtext32.dll
Infected! C:\WINDOWS\system32\q4rqle951h.dll
Infected! C:\WINDOWS\System32\guard.tmp

Attempting to delete infected files...

Attempting to delete: C:\WINDOWS\system32\f82mlif1182.dll
C:\WINDOWS\system32\f82mlif1182.dll Deleted successfully!

Attempting to delete: C:\WINDOWS\system32\akstream.dll
C:\WINDOWS\system32\akstream.dll Deleted successfully!

Attempting to delete: C:\WINDOWS\system32\f82mlif1182.dll
C:\WINDOWS\system32\f82mlif1182.dll Deleted successfully!

Attempting to delete: C:\WINDOWS\system32\fp2203foe.dll
C:\WINDOWS\system32\fp2203foe.dll Deleted successfully!

Attempting to delete: C:\WINDOWS\system32\i8jq0i15e8.dll
C:\WINDOWS\system32\i8jq0i15e8.dll Deleted successfully!

Attempting to delete: C:\WINDOWS\system32\ir0ql5d51.dll
C:\WINDOWS\system32\ir0ql5d51.dll Deleted successfully!

Attempting to delete: C:\WINDOWS\system32\itetmib1.dll
C:\WINDOWS\system32\itetmib1.dll Deleted successfully!

Attempting to delete: C:\WINDOWS\system32\kt6sl7j71.dll
C:\WINDOWS\system32\kt6sl7j71.dll Deleted successfully!

Attempting to delete: C:\WINDOWS\system32\ovtext32.dll
C:\WINDOWS\system32\ovtext32.dll Deleted successfully!

Attempting to delete: C:\WINDOWS\system32\q4rqle951h.dll
C:\WINDOWS\system32\q4rqle951h.dll Deleted successfully!

Attempting to delete: C:\WINDOWS\System32\guard.tmp
C:\WINDOWS\System32\guard.tmp Deleted successfully!

Making registry repairs.

Removing: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Applets

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{D72400CF-DE81-419E-992F-5147A7E6B569}"
HKCR\Clsid\{D72400CF-DE81-419E-992F-5147A7E6B569}

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{D33288E9-1E7C-4CCD-B980-674E68DCB034}"
HKCR\Clsid\{D33288E9-1E7C-4CCD-B980-674E68DCB034}

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{CC64AE3C-E459-43B8-BE7D-DF8657058C41}"
HKCR\Clsid\{CC64AE3C-E459-43B8-BE7D-DF8657058C41}

Removing: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "{37257EF7-365A-41BB-B368-E347C60BF217}"
HKCR\Clsid\{37257EF7-365A-41BB-B368-E347C60BF217}

Restoring Windows certificates.

Replaced hosts file with default windows hosts file


Restoring SeDebugPrivilege for Administratoren - Succeeded

Hier die kopierten textdatein immer von ca. den letzten drei monaten:

Verzeichnis von C:\WINDOWS\system32

05.06.2006 00:23 7.168 simpole.tlb
05.06.2006 00:23 36.864 hp100.tmp
04.06.2006 19:18 452 ikhcore.log
03.06.2006 22:03 52 stdole3.tlb

03.06.2006 21:59 376.016 perfh009.dat
03.06.2006 21:59 51.814 perfc009.dat
03.06.2006 21:59 386.338 perfh007.dat
03.06.2006 21:59 62.578 perfc007.dat
03.06.2006 21:59 884.398 PerfStringBackup.INI
03.06.2006 16:11 41.325 eInstall.dat
03.06.2006 15:37 4.212 zllictbl.dat
03.06.2006 15:26 2.953 CONFIG.NT
03.06.2006 14:39 40.461 ld100.tmp
03.06.2006 11:22 1.158 wpa.dbl
02.06.2006 18:44 11.168 azebar.xml
02.06.2006 14:39 1.094 w012c8da.ini
02.06.2006 10:24 1 kr_done1
02.06.2006 10:24 124.928 dcom_21.dll
02.06.2006 10:23 0 ImaS3r
02.06.2006 09:57 58.880 dcomcfg.exe
02.06.2006 09:57 4.286 ot.ico
02.06.2006 09:56 81.920 ping.dll
02.06.2006 09:56 21.504 4167f19b.exe
02.06.2006 09:55 49.677 regperf.exe

02.06.2006 09:43 705.600 FNTCACHE.DAT
01.06.2006 19:24 93.345 NULL
01.06.2006 13:11 2 stera.job

03.05.2006 21:26 5.818.784 MRT.exe
27.04.2006 10:24 2.945.024 Smab.dll ->>>>>>> ???????????
18.01.2006 14:05 57.344 avsda.dll
13.01.2006 00:23 364.032 CoreAVC.ax


Verzeichnis von C:\DOKUME~1\WENCKE~1\LOKALE~1\Temp

05.06.2006 00:23 16.384 ~DFFECC.tmp
05.06.2006 00:23 512 ~DFE96D.tmp
05.06.2006 00:23 16.384 ~DFE95F.tmp

Verzeichnis von C:\WINDOWS

05.06.2006 00:09 746.165 WindowsUpdate.log
05.06.2006 00:03 0 0.log
05.06.2006 00:03 5.888 ModemLog_Samsung GPRS MODEM.txt
05.06.2006 00:03 3.922 ModemLog_Creatix V.9X DSP Data Fax Modem.txt
05.06.2006 00:03 159 wiadebug.log
05.06.2006 00:03 50 wiaservc.log
05.06.2006 00:03 2.048 bootstat.dat
04.06.2006 19:32 32.618 SchedLgU.Txt
03.06.2006 22:41 41.527 setupapi.log
03.06.2006 21:59 93.458 comsetup.log
03.06.2006 21:59 38.177 iis6.log
03.06.2006 21:59 61.111 ntdtcsetup.log
03.06.2006 21:59 119.280 tsoc.log
03.06.2006 21:59 4.507 imsins.log
03.06.2006 21:59 183.134 ocgen.log
03.06.2006 21:59 11.030 ocmsn.log
03.06.2006 21:59 13.808 msgsocm.log
03.06.2006 21:59 267.312 FaxSetup.log
03.06.2006 21:41 1.002 KB898461Uninst.log
03.06.2006 21:41 1.355 imsins.BAK
03.06.2006 21:31 0 INST_TSP.LCK
03.06.2006 21:24 26 ATICIM.MIF
03.06.2006 20:10 529 IEPatchUninstall.log
03.06.2006 19:32 3.489 win.ini
03.06.2006 18:37 237 system.ini
03.06.2006 18:31 17.647 ESCAN.LOG
03.06.2006 18:31 1.137 frights.log
03.06.2006 17:48 2.266 mozver.dat
03.06.2006 16:25 361 MAILINST.LOG
03.06.2006 16:10 144 INST_TSP.LOG
03.06.2006 16:10 117.844 winsbak2.reg
03.06.2006 16:10 16.786 winsbak.reg

03.06.2006 16:09 200 FLASH.LOG

03.06.2006 13:55 4.767 Active Setup Log.txt
03.06.2006 11:28 10.995 Active Setup Log.BAK
02.06.2006 18:45 2.451.204 setupapi.log.0.old
02.06.2006 18:44 292 form.js
02.06.2006 18:30 276 game.ini
02.06.2006 09:52 0 keyboard1.dat

31.05.2006 14:12 69 NeroDigital.ini
26.05.2006 14:42 55.732 wmsetup.log
25.05.2006 01:34 2.886 COM+.log
26.04.2006 20:21 23.638 super.chm
18.04.2006 15:28 137.456 Windows Update.log

Verzeichnis von C:\

05.06.2006 00:41 0 sys.txt
05.06.2006 00:41 12.765 system.txt
05.06.2006 00:41 433 systemtemp.txt
05.06.2006 00:40 108.485 system32.txt
05.06.2006 00:31 54.562 NSP.log
05.06.2006 00:03 267.964.416 hiberfil.sys
05.06.2006 00:03 402.653.184 pagefile.sys
03.06.2006 18:37 194 boot.ini
03.06.2006 17:22 6 AVPCallback.log
03.06.2006 16:36 0 23990098.$$$
01.06.2006 19:24 470 TO_InstallLog.txt



Und noch eine Frage,muss ich für diese Seite oder dieses Forum irgendetwas bezahlen oder ist das alles kostenlos?Stand irgendwie niergendwo!
Thx
Dieser Beitrag wurde am 05.06.2006 um 11:28 Uhr von nelly19 editiert.
Seitenanfang Seitenende
05.06.2006, 11:42
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#99 nelly19

deine Frage:
die Hilfe hier ist natuerlich kostenlos ;) ..ein Dankeschoen am Ende reicht ....

-------------------------------------------------------------------------
1.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

Files to delete:
C:\WINDOWS\system32\simpole.tlb
C:\WINDOWS\system32\ikhcore.log
C:\WINDOWS\system32\stdole3.tlb
C:\WINDOWS\system32\eInstall.dat
C:\WINDOWS\system32\azebar.xml
C:\WINDOWS\system32\w012c8da.ini
C:\WINDOWS\system32\kr_done1
C:\WINDOWS\system32\dcom_21.dll
C:\WINDOWS\system32\ImaS3r
C:\WINDOWS\system32\dcomcfg.exe
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\ping.dll
C:\WINDOWS\system32\4167f19b.exe
C:\WINDOWS\system32\regperf.exe
C:\WINDOWS\system32\NULL
C:\WINDOWS\system32\stera.job
C:\WINDOWS\winsbak2.reg
C:\WINDOWS\winsbak.reg
C:\WINDOWS\form.js
C:\WINDOWS\game.ini
C:\WINDOWS\keyboard1.dat
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

2.
poste den report vom Avenger

3.
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O2 - BHO: Nothing - {6ab7158b-4bff-4160-ad7d-4d622df548cf} - C:\WINDOWS\System32\hp100.tmp
O20 - AppInit_DLLs: C:\WINDOWS\System32\ping.dll
O20 - Winlogon Notify: App Paths - C:\WINDOWS\system32\DNLCPY32.dll (file missing)
O20 - Winlogon Notify: OemStartMenuData - C:\WINDOWS\system32\k044lahq1d4e.dll
O20 - Winlogon Notify: winmyy32 - winmyy32.dll (file missing)

PC neustarten


4.
spyfalcon.zip -> http://virus-protect.org/zip/spyfalcon.zip -> entpacken auf dem Desktop -> spyfalcon.reg ->doppeltklicken und der Registry mit "ja/yes" beifügen

5.
Lade das:
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
http://virus-protect.org/artikel/tools/smitfrautfix.html

1. doppelklick smitfraudfix.cmd
2. schreibe: 1 (es wird ein Report von den infizierten Dateien erstellt)
3. doppelklick smitfraudfix.cmd
4. schreibe: 2
5. auf die Frage: "Voulez-vous nettoyer le registre ?" antworte mit: o [o/n] , falls festgestellt wird, dass die Datei wininet.dll infiziert ist, antworte auf die Frage: " Corriger le fichier infecté ?" mit o [o/n]

die Taskleiste verschwindet + Bildschirm..alles wird blau werden...warte...
wenn der Scan beeendet ist, kopiere die Logfile ab

6.
poste noch einmal die 4 logs von datfindbat

7.
echo.zip
entpacken--> klicke echo.bat --> der Texteditor wird sich öffnen--> Text abkopieren http://virus-protect.org/bat/echo.zip

8.
Text in den Texteditor kopieren
abspeichern (Gebe bei Dateityp "Alle Dateien" an) als look.bat
und dann diese bat doppeltklicken

Zitat

cd\
cd C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten
dir /x >> C:\look.txt
cd C:\Dokumente und Einstellungen\All Users\Anwendungsdaten
dir /x >> C:\look.txt
dir %Windir%\tasks /a:h >> C:\look.txt
start notepad C:\look.txt

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.06.2006, 12:43
Member

Beiträge: 38
#100 Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\hfmxrbip

*******************

Script file located at: \??\C:\WINDOWS\System32\tvicmclv.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\simpole.tlb deleted successfully.
File C:\WINDOWS\system32\ikhcore.log deleted successfully.
File C:\WINDOWS\system32\stdole3.tlb deleted successfully.
File C:\WINDOWS\system32\eInstall.dat deleted successfully.
File C:\WINDOWS\system32\azebar.xml deleted successfully.
File C:\WINDOWS\system32\w012c8da.ini deleted successfully.
File C:\WINDOWS\system32\kr_done1 deleted successfully.
File C:\WINDOWS\system32\dcom_21.dll deleted successfully.
File C:\WINDOWS\system32\ImaS3r deleted successfully.
File C:\WINDOWS\system32\dcomcfg.exe deleted successfully.
File C:\WINDOWS\system32\ot.ico deleted successfully.
File C:\WINDOWS\system32\ping.dll deleted successfully.
File C:\WINDOWS\system32\4167f19b.exe deleted successfully.
File C:\WINDOWS\system32\regperf.exe deleted successfully.
File C:\WINDOWS\system32\NULL deleted successfully.
File C:\WINDOWS\system32\stera.job deleted successfully.
File C:\WINDOWS\winsbak2.reg deleted successfully.
File C:\WINDOWS\winsbak.reg deleted successfully.
File C:\WINDOWS\form.js deleted successfully.
File C:\WINDOWS\game.ini deleted successfully.
File C:\WINDOWS\keyboard1.dat deleted successfully.

Completed script processing.

*******************

Finished! Terminate.
Seitenanfang Seitenende
05.06.2006, 12:52
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#101 gut !!!!
nun arbeite alles weitere ab und poste die logs, um die ich gebeten hatte.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.06.2006, 13:20
Member

Beiträge: 38
#102 Hier die dinge,um die du gebeten hattest.


SmitFraudFix v2.54

Scan done at 13:07:50,57, 05.06.2006
Run from C:\Dokumente und Einstellungen\Wencke D”ssereck\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{24E27EA9-FCF3-444F-BD80-20543BA5D946}"="Trustworking System Class"

[HKEY_CLASSES_ROOT\CLSID\{24E27EA9-FCF3-444F-BD80-20543BA5D946}\InProcServer32]
@="C:\DOKUME~1\WENCKE~1\LOKALE~1\Temp\wschtm35.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{24E27EA9-FCF3-444F-BD80-20543BA5D946}\InProcServer32]
@="C:\DOKUME~1\WENCKE~1\LOKALE~1\Temp\wschtm35.dll"


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{2C1CD3D7-86AC-4068-93BC-A02304BB8C34}"="DCOM Server"


»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINDOWS\system32\ld????.tmp Deleted
C:\WINDOWS\system32\1024\ Deleted

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

C:\DOKUME~1\WENCKE~1\LOKALE~1\Temp\wschtm35.dll -> Missing File


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End





Verzeichnis von C:\WINDOWS\system32

03.06.2006 21:59 376.016 perfh009.dat
03.06.2006 21:59 51.814 perfc009.dat
03.06.2006 21:59 386.338 perfh007.dat
03.06.2006 21:59 62.578 perfc007.dat
03.06.2006 21:59 884.398 PerfStringBackup.INI
03.06.2006 15:37 4.212 zllictbl.dat
03.06.2006 15:26 2.953 CONFIG.NT
03.06.2006 11:22 1.158 wpa.dbl
02.06.2006 09:43 705.600 FNTCACHE.DAT
03.05.2006 21:26 5.818.784 MRT.exe
27.04.2006 17:49 288.417 SrchSTS.exe
27.04.2006 10:24 2.945.024 Smab.dll


Verzeichnis von C:\DOKUME~1\WENCKE~1\LOKALE~1\Temp

05.06.2006 13:12 16.384 ~DFADE5.tmp
05.06.2006 13:12 512 ~DF9DCB.tmp
05.06.2006 13:12 16.384 ~DF9DBD.tmp


Verzeichnis von C:\WINDOWS

05.06.2006 13:18 798.296 WindowsUpdate.log
05.06.2006 13:12 5.888 ModemLog_Samsung GPRS MODEM.txt
05.06.2006 13:12 0 0.log
05.06.2006 13:12 50 wiaservc.log
05.06.2006 13:12 3.922 ModemLog_Creatix V.9X DSP Data Fax Modem.txt
05.06.2006 13:12 157 wiadebug.log
05.06.2006 13:12 2.048 bootstat.dat
05.06.2006 13:11 285.178 ntbtlog.txt
05.06.2006 13:08 239.383 setupact.log
05.06.2006 13:04 32.618 SchedLgU.Txt
03.06.2006 22:41 41.527 setupapi.log
03.06.2006 21:59 38.177 iis6.log
03.06.2006 21:59 93.458 comsetup.log
03.06.2006 21:59 61.111 ntdtcsetup.log
03.06.2006 21:59 119.280 tsoc.log
03.06.2006 21:59 4.507 imsins.log
03.06.2006 21:59 183.134 ocgen.log
03.06.2006 21:59 11.030 ocmsn.log
03.06.2006 21:59 13.808 msgsocm.log
03.06.2006 21:59 267.312 FaxSetup.log
03.06.2006 21:41 1.002 KB898461Uninst.log
03.06.2006 21:41 1.355 imsins.BAK
03.06.2006 21:31 0 INST_TSP.LCK
03.06.2006 21:24 26 ATICIM.MIF
03.06.2006 20:10 529 IEPatchUninstall.log
03.06.2006 19:32 3.489 win.ini
03.06.2006 18:37 237 system.ini
03.06.2006 18:31 17.647 ESCAN.LOG
03.06.2006 18:31 1.137 frights.log
03.06.2006 17:48 2.266 mozver.dat
03.06.2006 16:25 361 MAILINST.LOG
03.06.2006 16:10 144 INST_TSP.LOG
03.06.2006 16:09 200 FLASH.LOG
03.06.2006 15:46 5.630 KB901190.log
03.06.2006 15:34 6.076 KB899587.log
03.06.2006 15:34 5.977 KB896422.log
03.06.2006 15:34 6.357 KB885835.log
03.06.2006 15:34 5.857 KB885836.log
03.06.2006 15:34 5.676 KB911927.log
03.06.2006 15:34 5.582 KB901017.log
03.06.2006 15:33 5.477 KB899591.log
03.06.2006 15:33 5.398 KB896424.log
03.06.2006 15:33 5.284 KB893756.log
03.06.2006 15:33 5.553 KB911562.log
03.06.2006 15:33 5.160 KB873339.log
03.06.2006 15:32 5.057 KB888113.log
03.06.2006 15:32 4.894 KB896358.log
03.06.2006 15:32 4.887 KB905495.log
03.06.2006 15:32 4.859 KB891781.log
03.06.2006 15:32 4.691 KB890046.log
03.06.2006 15:32 4.591 KB905414.log
03.06.2006 15:32 4.492 KB901214.log
03.06.2006 15:32 4.464 KB888302.log
03.06.2006 15:32 4.317 KB900725.log
03.06.2006 15:31 4.211 KB912919.log
03.06.2006 15:27 9.066 KB908531.log
03.06.2006 15:26 3.897 KB905749.log
03.06.2006 15:26 3.801 KB913580.log
03.06.2006 15:26 3.697 KB896428.log
03.06.2006 15:26 3.595 KB835409.log
03.06.2006 15:26 3.502 KB908519.log
03.06.2006 15:26 3.825 KB890859.log
03.06.2006 15:19 3.597 KB896423.log
03.06.2006 15:18 3.323 KB902400.log
03.06.2006 15:06 6.500 KB842773.log
03.06.2006 15:05 8.906 KB893803v2.log
03.06.2006 15:05 7.245 KB898461.log
03.06.2006 13:55 4.767 Active Setup Log.txt
03.06.2006 11:28 10.995 Active Setup Log.BAK
02.06.2006 18:45 2.451.204 setupapi.log.0.old
31.05.2006 14:12 69 NeroDigital.ini
26.05.2006 14:42 55.732 wmsetup.log
25.05.2006 01:34 2.886 COM+.log
26.04.2006 20:21 23.638 super.chm
18.04.2006 15:28 137.456 Windows Update.log


Verzeichnis von C:\

05.06.2006 13:20 0 sys.txt
05.06.2006 13:19 12.524 system.txt
05.06.2006 13:19 433 systemtemp.txt
05.06.2006 13:18 162.571 NSP.log
05.06.2006 13:15 107.821 system32.txt
05.06.2006 13:12 267.964.416 hiberfil.sys
05.06.2006 13:12 402.653.184 pagefile.sys
05.06.2006 13:09 1.641 rapport.txt
05.06.2006 12:41 3.350 avenger.txt
05.06.2006 12:34 1.278 rclaygjw.txt
05.06.2006 12:30 1.278 uwbrptkk.txt
03.06.2006 18:37 194 boot.ini
03.06.2006 17:22 6 AVPCallback.log
03.06.2006 16:36 0 23990098.$$$
01.06.2006 19:24 470 TO_InstallLog.txt


Jetzt funktioniert alles soweit glaub ich wieder!Beim Pc starten kommt nicht mehr Ordner system 32 und komische internet seiten öffnen sich auch nicht mehr!
Habe noch einmal Adaware durchlaufen lassen,dort wurde noch 1 object gefunden,welches ich dann gelöscht habe,ich hoffe es bleibt so.

Vielen vielen Dank,echt eine super Leistung, die ihr hier bringt ;-)
Dieser Beitrag wurde am 05.06.2006 um 14:39 Uhr von nelly19 editiert.
Seitenanfang Seitenende
05.06.2006, 14:37
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#103 1.
echo.zip
entpacken--> klicke echo.bat --> der Texteditor wird sich öffnen--> Text abkopieren http://virus-protect.org/bat/echo.zip

2.
Text in den Texteditor kopieren
abspeichern (Gebe bei Dateityp "Alle Dateien" an) als look.bat
und dann diese bat doppeltklicken

Zitat

cd\
cd C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten
dir /x >> C:\look.txt
cd C:\Dokumente und Einstellungen\All Users\Anwendungsdaten
dir /x >> C:\look.txt
dir %Windir%\tasks /a:h >> C:\look.txt
start notepad C:\look.txt

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.06.2006, 16:08
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#104 es muesste sich der Texteditor oeffnen, wo du den text abkopieren kannst.........C:\look.txt
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.06.2006, 17:20
Member

Beiträge: 38
#105 Es klappt nichts davon!Es öffnet sich kein fenster C:/look.txt nachdem ich DirDPF.txt in look.bat umgewandelt habe nur so ein komisches window fenster mit system32.und das schließt total schnell mehr kommt nicht.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
  • »
  • »
  • »
  • »
  • »