Am besten, Du druckst dir das folgende aus!!
Wenn Du Dir noch Links anschauen willst/musst, tu das bitte als erstes!


Beende den Dienst Network Security, wenn nicht schon bereits geschehen und ändere die Startart auf deaktiviert.
Wenn nicht schon geschehen lade Dir eScan herunter (siehe meine Signatur).

Starte dann Deinen Rechner neu im abgesicherten Modus ->
http://www.trojaner-board.de/63335-w...s-starten.html

Lösche folgende Dateien:
C:\WINDOWS\sysqs.exe
C:\WINDOWS\system32\winel32.exe
C:\WINDOWS\jwtkb.dll
C:\WINDOWS\addnj32.dll

Starte HijackThis, markiere folgende Einträge:

</font><blockquote>Zitat:</font><hr />R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\jwtkb.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://jwtkb.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://jwtkb.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\jwtkb.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://jwtkb.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\jwtkb.dll/sp.html#96676
O2 - BHO: (no name) - {079FC989-AC41-02CB-5596-5A02A41BB70E} - C:\WINDOWS\addnj32.dll

O4 - HKLM\..\Run: [winel32.exe] C:\WINDOWS\system32\winel32.exe </font>[/QUOTE]Anschließend klicke auf 'Fix checked'

Lass Escan deinen kompletten Rechner scannen.

Das sollte es gewesen sein. Starte den Rechner wieder im normalen Modus.

Bitte berichte uns anschließend, ob es erfolgreich war und was eScan evtl noch gefunden hat.
Viel Erfolg!

Hi,

Bin neu hier im Forum, hab die Diskussion aufmerksam verfolgt, weil mich betriffst auch, ich bekomm den Mist einfach nicht weg!!!
Tja ich hoffe das hier ne Lösung gefunden wird, wenn das sie jemand zusammen fast so das man sie Schritt für Schritt machen kann!
Also ich hoffe auf ne Lösung weil das nervt echt...!

MfG

Alex

Hallo Lutz

das letzte mal habe ich die .exe Dateien nicht löschen können es kam eine Fehlermeldung, kannst du mir erkäler wie ich diese löschen muss

Danke

Hallo Alex und Willkommen an Board,

mach bitte für Deine Frage einen eigenen Thread auf, sonst kommen wir hier heillos durcheinander. Danke!

</font><blockquote>Zitat:</font><hr />Original erstellt von lubin:
Hallo Lutz

das letzte mal habe ich die .exe Dateien nicht löschen können es kam eine Fehlermeldung, kannst du mir erkäler wie ich diese löschen muss

Danke </font>[/QUOTE]Wenn Du das im abgesicherten Modus machst (s. oben) dann muss sie sich löschen lassen. Zumal dann, wenn du besagten Dienst beendet und deaktiviert hast und dann im abgesicherten Modus startest.

Hallo and Welcome on Board

Bitte aufmerksam lesen

Info

HJT Entfernung

HJT Anleitung

Erste Hilfe bei unbekannten Hijacker

Scan im abgesicherten Modus

Hallo! Ich bin Gabor aus Unganr, und ich habe auch diese problem, mit sp.html, was soll ich machen?

Hallo Gabor und Willkommen an Board,

bitte eröffne für Dein Problem einen eigenen Thread und poste dort ein Log von HijackThis. Danke!

Hallo Lutz! Bitte schreib mir step by step, was soll ich machen, ich bin sehr neu hier. Ich haben den log file mit hijackthis, das ist ok.

Hallo Gabor,

mit der Angabe 'ich habe auch diese problem, mit sp.html' kann ich Dir nicht helfen. Um Dir helfen zu können, muss ich das Log von HijackThis sehen. Bitte poste es. Aber eröffne dafür ein neues Thema -&gt;
Sonst wird das zu unübersichtlich, wenn alle in diesem einem Thema ihre Logs posten.

Ich habe eine neue Thema "about:blank SearchForTheNet" geöffnet, und dort ist mein log file. Dort können wir uns treffen. Danke schön.

http://www.trojaner-board.de/forum/u...c;f=6;t=005614

hab doch die lösung schon gepostet [img]smile.gif[/img]

cYa nitro

Hallo Lutz

hab deine Anweisungen befolgt leider mit wenig erfolg Escan hat ca 20 Dateien gelöscht

3 File

C:\WINDOWS\Code\_1-top-0-0-.exe tagged as nto-a-virus:PornWare.Dialer.ALifeDialer. No Action Taken

alle 3 mit änlichem Inhalte hat er nicht gelöscht

auch die beiden .exe Dateien unter WINDOWS konnte ich nicht löschen, hab diese mal umbenannt, wahrscheinlich haben diese sich dabei bereits neu Installiert

beim Neustart kommt immer eine Meldung

Installation wird vorbereitet

Preparing to install

Pleas wait while Windows configures Microsoft protjekt

hier die neuste Hijack

Logfile of HijackThis v1.97.7
Scan saved at 07:48:08, on 19.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Windows\SRVANY.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Program Files\Compaq\Compaq Management Agents\cpqalert.exe
C:\PROGRA~1\Compaq\COMPAQ~1\CPQWEB~1\WebDmi.exe
C:\WINDOWS\Cpqdiag\Cpqdfwag.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\NMSSvc.exe
C:\OfficeScan NT\ntrtscan.exe
C:\OfficeScan NT\tmlisten.exe
C:\Program Files\Compaq\Compaq Management Agents\Dmi\Win32\bin\Win32sl.exe
C:\OfficeScan NT\ofcdog.exe
C:\PROGRA~1\Compaq\COMPAQ~1\cpqdmi.exe
C:\WINDOWS\MS\SMS\clicomp\apa\Bin\smsapm32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\addrj32.exe
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\WINDOWS\MS\SMS\CORE\BIN\LAUNCH32.EXE
C:\PROGRA~1\Compaq\COMPAQ~1\CHKADMIN.EXE
C:\OfficeScan NT\pccntmon.exe
C:\Program Files\Palm\HOTSYNC.EXE
C:\WINDOWS\system32\ntsd.exe
C:\WINDOWS\MS\SMS\CLICOMP\SWDist32\bin\smsmon32.exe
C:\WINDOWS\System32\ctfmon.exe
\CHSUSRV001\Users$\leuper\My Documents\Daten Erich\Erich\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\xwoqr.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://xwoqr.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://xwoqr.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\xwoqr.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://xwoqr.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\xwoqr.dll/sp.html#96676
O2 - BHO: (no name) - {0E3BEE03-C426-F488-CA26-D938932339AC} - C:\WINDOWS\system32\ntsd.dll
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [SMS Application Launcher] C:\WINDOWS\MS\SMS\CORE\BIN\LAUNCH32.EXE
O4 - HKLM\..\Run: [ChkAdmin] C:\PROGRA~1\Compaq\COMPAQ~1\CHKADMIN.EXE
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\OfficeScan NT\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [ntsd.exe] C:\WINDOWS\system32\ntsd.exe
O4 - HKLM\..\RunOnce: [addrj32.exe] C:\WINDOWS\addrj32.exe
O4 - Startup: HotSync Manager.lnk = C:\Program Files\Palm\HOTSYNC.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O15 - Trusted Zone: cww.delaval.com
O15 - Trusted Zone: http://cww.delaval.com
O15 - Trusted Zone: cww.seso.delaval.com
O15 - Trusted Zone: http://cww.seso.delaval.com
O15 - Trusted Zone: cww.setu.delaval.com
O15 - Trusted Zone: http://cww.setu.delaval.com
O15 - Trusted Zone: setuagrint32.delaval.com
O15 - Trusted Zone: http://setuagrint32.delaval.com
O15 - Trusted Zone: setuagrint51.delaval.com
O15 - Trusted Zone: setuagrint51.setu.delaval.com
O15 - Trusted Zone: setuagrint66.sestu.delaval.com
O15 - Trusted Zone: setuagrint66.setu.delaval.com
O15 - Trusted Zone: cww.delaval.local
O15 - Trusted Zone: intranet.delaval.local
O15 - Trusted Zone: http://*.setuagrint32
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = delaval.local
O17 - HKLM\Software\..\Telephony: DomainName = delaval.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = delaval.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = delaval.local

Komisch, dass das bei Dir nicht klappen will...

Versuchen wir es erneut.

Dies hier
</font><blockquote>Zitat:</font><hr />O4 - HKLM\..\RunOnce: [addrj32.exe] C:\WINDOWS\addrj32.exe</font>[/QUOTE]dürfte wieder der "Network Security Service" sein. Beende und deaktiviere diesen. Wenn der InternetExplorer noch geöffnet ist, leere über Extras -&gt; Internetoptionen -&gt; Allgemein -&gt; Temporäre Internetoptionen -&gt; Dateien löschen -&gt; Alle Offlineinhalte löschen die temporären Dateien.

Boote dann im abgesicherten Modus

Fixe mit HijackThis diese Einträge
</font><blockquote>Zitat:</font><hr />R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\xwoqr.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://xwoqr.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://xwoqr.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\xwoqr.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://xwoqr.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\xwoqr.dll/sp.html#96676
O2 - BHO: (no name) - {0E3BEE03-C426-F488-CA26-D938932339AC} - C:\WINDOWS\system32\ntsd.dll
O4 - HKLM\..\Run: [ntsd.exe] C:\WINDOWS\system32\ntsd.exe
O4 - HKLM\..\RunOnce: [addrj32.exe] C:\WINDOWS\addrj32.exe</font>[/QUOTE]Anschließend müssen die folgenden Dateien gelöscht werden:
</font><blockquote>Zitat:</font><hr /> C:\WINDOWS\xwoqr.dll
C:\WINDOWS\system32\ntsd.dll
C:\WINDOWS\system32\ntsd.exe
C:\WINDOWS\addrj32.exe</font>[/QUOTE]Alternativ zu eScan kannst Du auch mal AntiVir Deinen Rechner scannen. Nach der Installation von AntiVir dieses zuerst aktualisieren.

Wenn das wieder nicht funktioniert, versuche mal die Datei C:\WINDOWS\system32\ntsd.dll mit dem Editor zu öffnen. Wenn das geht, leere den kompletten Inhalt und speichere sie. Danach wählst Du unter den Eigenschaften dieser Datei (Rechtsklick auf die Datei) 'Schreibgeschützt'.
Mache das gleiche nach Möglichkeit auch mit der 2. dll (C:\WINDOWS\xwoqr.dll).

Hallo Lutz

mal besten Dank für deine Hilfe ich glaube es hat jetzt geklappt, die letzten 2 Starts machten keine Probleme mehr ich hoffe es hält

C:\WINDOWS\system32\ntsd.exe habe ich x-mal gelöscht ist immer wieder aufgetaucht zusätzliche habe ich noch andere Dateien gelöscht die mir verdächtig waren

schöne Grüsse Lubin

ich hoffe das Board wird weiter von Leuten mit Können betreut, Danke an alle die mir geholfen haben