|
Home Search, Only the best belästigt mich :teufel1: Ich hab schon viel darüber im Forum gelesen, kann mir nun jemand helfen meine befallenen Dateien zu löschen? Hier ist mein Logfile of HijackThis v1.98.2 Scan saved at 19:02:02, on 18.10.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\HPConfig.exe C:\Programme\HPQ\Notebook Utilities\HPWirelessMgr.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\Feder.bmp:jgxfd C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\carpserv.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\PROGRA~2\HPQ\ONE-TO~1\OneTouch.EXE C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe C:\WINDOWS\system32\addpg32.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Palm\HOTSYNC.EXE C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\Programme\Mindjet\MindManager 5\sys\PDF\GER\W2K\PDFSaver.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe C:\Programme\Norton AntiVirus\SAVScan.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe C:\WINDOWS\System32\HPZipm12.exe C:\Dokumente und Einstellungen\Sandeh\Eigene Dateien\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\cbmmx.dll/sp.html#29126 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\cbmmx.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\cbmmx.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\cbmmx.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\cbmmx.dll/sp.html#29126 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\cbmmx.dll/sp.html#29126 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\cbmmx.dll/sp.html#29126 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - Tele2Internet R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {A1366D01-84C0-2558-F68D-17874321A0CE} - C:\WINDOWS\system32\netuo32.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [CARPService] carpserv.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Desktop Zoom] C:\Programme\HPQ\Desktop Zoom\hpwinadj.exe -s O4 - HKLM\..\Run: [PreloadApp] c:\hp\drivers\printers\photosmart\hphprld.exe c:\hp\drivers\printers\photosmart\setup.exe -d O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe O4 - HKLM\..\Run: [Display Settings] C:\Programme\HPQ\Notebook Utilities\hptasks.exe /s O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe O4 - HKLM\..\Run: [QT4HPOT] C:\PROGRA~2\HPQ\ONE-TO~1\OneTouch.EXE O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [NAV CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT" O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe" O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [addnx32.exe] C:\WINDOWS\system32\addnx32.exe O4 - HKLM\..\Run: [addpg32.exe] C:\WINDOWS\system32\addpg32.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: HotSync Manager.lnk = C:\Programme\Palm\HOTSYNC.EXE O4 - Global Startup: hp psc 1000 series.lnk = ? O4 - Global Startup: hpoddt01.exe.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: MindManager PDF Writer.lnk = C:\Programme\Mindjet\MindManager 5\sys\PDF\GER\W2K\PDFSaver.exe O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O14 - IERESET.INF: START_PAGE_URL=www.tele2internet.ch O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1096908928238 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/tech...a/SymAData.cab O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/tech...ActiveData.cab Vielen Dank |
@HajaaHajoo wechsle in den abgesichrten modus und fixe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\cbmmx.dll/sp.html#29126 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\cbmmx.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\cbmmx.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\cbmmx.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\cbmmx.dll/sp.html#29126 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\cbmmx.dll/sp.html#29126 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\cbmmx.dll/sp.html#29126 R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {A1366D01-84C0-2558-F68D-17874321A0CE} - C:\WINDOWS\system32\netuo32.dll O4 - HKLM\..\Run: [addnx32.exe] C:\WINDOWS\system32\addnx32.exe O4 - HKLM\..\Run: [addpg32.exe] C:\WINDOWS\system32\addpg32.exe lösche danach manuell C:\WINDOWS\system32\addpg32.exe C:\WINDOWS\system32\netuo32.dll lösche danach deine Tempory Internet Files chaosman |
:) Das scheint zu klappen home search ist nicht mehr aufgetaucht! Vielen Dank für die Hilfe. Hier ist noch mein neues Logfile. Ist dies nun sauber? Die Datei C:\Windows\system32\netuo32.dll konnte ich auf meinem computer nicht finden, ist d.h nicht gelöscht. ;) Logfile of HijackThis v1.98.2 Scan saved at 22:19:52, on 18.10.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\HPConfig.exe C:\Programme\HPQ\Notebook Utilities\HPWirelessMgr.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\Feder.bmp:jgxfd C:\WINDOWS\system32\ieqj32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\carpserv.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\PROGRA~2\HPQ\ONE-TO~1\OneTouch.EXE C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Palm\HOTSYNC.EXE C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\Programme\Mindjet\MindManager 5\sys\PDF\GER\W2K\PDFSaver.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe C:\WINDOWS\System32\HPZipm12.exe C:\Programme\Norton AntiVirus\SAVScan.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe C:\Dokumente und Einstellungen\Sandeh\Eigene Dateien\HijackThis\HijackThis.exe C:\Programme\Internet Explorer\iexplore.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - Tele2Internet R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: (no name) - {B649C227-6B2C-5344-E8BD-AD0707AF831C} - C:\WINDOWS\system32\ieqj32.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [CARPService] carpserv.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Desktop Zoom] C:\Programme\HPQ\Desktop Zoom\hpwinadj.exe -s O4 - HKLM\..\Run: [PreloadApp] c:\hp\drivers\printers\photosmart\hphprld.exe c:\hp\drivers\printers\photosmart\setup.exe -d O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe O4 - HKLM\..\Run: [Display Settings] C:\Programme\HPQ\Notebook Utilities\hptasks.exe /s O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe O4 - HKLM\..\Run: [QT4HPOT] C:\PROGRA~2\HPQ\ONE-TO~1\OneTouch.EXE O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [NAV CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT" O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe" O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [ieqj32.exe] C:\WINDOWS\system32\ieqj32.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: HotSync Manager.lnk = C:\Programme\Palm\HOTSYNC.EXE O4 - Global Startup: hp psc 1000 series.lnk = ? O4 - Global Startup: hpoddt01.exe.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: MindManager PDF Writer.lnk = C:\Programme\Mindjet\MindManager 5\sys\PDF\GER\W2K\PDFSaver.exe O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O14 - IERESET.INF: START_PAGE_URL=www.tele2internet.ch O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1096908928238 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/tech...a/SymAData.cab O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/tech...ActiveData.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{95659727-79E3-4F9F-8475-12754EA1E988}: NameServer = 130.244.127.161 130.244.127.169 |
Führe bitte folgendes durch: Zitat:
|
:sleepy: Hallo so siehts aus die Liste mit den Namen der Viren die eScan gefunden hat. File C:\WINDOWS\system32\ieqj32.exe infected by "TrojanDownloader.Win32.Agent.cd" Virus. Action Taken: File Deleted. File C:\WINDOWS\system32\ieqj32.dll infected by "TrojanDownloader.Win32.Agent.an" Virus. Action Taken: File Deleted. File C:\WINDOWS\uygrq.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: File Deleted. File C:\WINDOWS\System32\cbmmx.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: File Deleted. File C:\Dokumente und Einstellungen\Sandeh\Eigene Dateien\HijackThis\backups\backup-20041018-205914-855.dll infected by "TrojanDownloader.Win32.Agent.an" Virus. Action Taken: File Deleted. File C:\RECYCLER\S-1-5-21-3506287757-2913260075-2982561959-1006\Dc1.exe infected by "TrojanDownloader.Win32.Agent.cd" Virus. Action Taken: File Deleted. File C:\System Volume Information\_restore{3C31EBCC-85EF-4B91-A41F-8677FC36C500}\RP1\A0000271.dll infected by "TrojanDownloader.Win32.Agent.an" Virus. Action Taken: File Deleted. File C:\System Volume Information\_restore{3C31EBCC-85EF-4B91-A41F-8677FC36C500}\RP1\A0000272.exe infected by "TrojanDownloader.Win32.Agent.cd" Virus. Action Taken: File Deleted. File C:\System Volume Information\_restore{3C31EBCC-85EF-4B91-A41F-8677FC36C500}\RP1\A0000387.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: File Deleted. File C:\System Volume Information\_restore{3C31EBCC-85EF-4B91-A41F-8677FC36C500}\RP2\A0000428.exe infected by "TrojanDownloader.Win32.Agent.cd" Virus. Action Taken: File Deleted. File C:\WINDOWS\iedw32.exe infected by "TrojanDownloader.Win32.Agent.cd" Virus. Action Taken: File to be deleted on reboot. File C:\WINDOWS\mfccf.dll infected by "TrojanDownloader.Win32.Agent.an" Virus. Action Taken: File Deleted. |
Oki, dann ran ans Werk, deaktiviere die Systemwiederherstellung und boote im abgesicherten Modus Starte Hijackthis und Fixe (Häkchen setzen und Fix Checked klicken) anschliesend folgende Einträge: R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {B649C227-6B2C-5344-E8BD-AD0707AF831C} - C:\WINDOWS\system32\ieqj32.dll O4 - HKLM\..\Run: [ieqj32.exe] C:\WINDOWS\system32\ieqj32.exe O4 - Global Startup: hp psc 1000 series.lnk = ? O4 - Global Startup: hpoddt01.exe.lnk = ? Reboote anschliesend und poste ein neues Hijackthis Logfile |
Hallo hier ist mein neues Logfile Ich konnte 4 Einträge fixen. O4 - HKLM\..\Run: [ieqj32.exe] C:\WINDOWS\system32\ieqj32.exe war nicht zu sehen. Was ist zu tun ? Logfile of HijackThis v1.98.2 Scan saved at 09:44:00, on 19.10.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\HPConfig.exe C:\Programme\HPQ\Notebook Utilities\HPWirelessMgr.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\Feder.bmp:jgxfd C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\carpserv.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\PROGRA~2\HPQ\ONE-TO~1\OneTouch.EXE C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Palm\HOTSYNC.EXE C:\Programme\Mindjet\MindManager 5\sys\PDF\GER\W2K\PDFSaver.exe C:\Programme\Norton AntiVirus\SAVScan.exe C:\WINDOWS\System32\wuauclt.exe C:\WINDOWS\System32\wuauclt.exe C:\Dokumente und Einstellungen\Sandeh\Eigene Dateien\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\noagf.dll/sp.html#29126 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\noagf.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\noagf.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\noagf.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\noagf.dll/sp.html#29126 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\noagf.dll/sp.html#29126 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\noagf.dll/sp.html#29126 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - Tele2Internet O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O2 - BHO: (no name) - {F97B935C-4820-CB6C-D4EF-A3AF4B649DB3} - C:\WINDOWS\ipml.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [CARPService] carpserv.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Desktop Zoom] C:\Programme\HPQ\Desktop Zoom\hpwinadj.exe -s O4 - HKLM\..\Run: [PreloadApp] c:\hp\drivers\printers\photosmart\hphprld.exe c:\hp\drivers\printers\photosmart\setup.exe -d O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe O4 - HKLM\..\Run: [Display Settings] C:\Programme\HPQ\Notebook Utilities\hptasks.exe /s O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe O4 - HKLM\..\Run: [QT4HPOT] C:\PROGRA~2\HPQ\ONE-TO~1\OneTouch.EXE O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [NAV CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT" O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe" O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [atlqn.exe] C:\WINDOWS\atlqn.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: HotSync Manager.lnk = C:\Programme\Palm\HOTSYNC.EXE O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: MindManager PDF Writer.lnk = C:\Programme\Mindjet\MindManager 5\sys\PDF\GER\W2K\PDFSaver.exe O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O14 - IERESET.INF: START_PAGE_URL=www.tele2internet.ch O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1096908928238 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/tech...a/SymAData.cab O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/tech...ActiveData.cab |
Zitat:
Gruss Michael :headbang: |
@Warhawk Er konnte die den Eintrag bei Hijackthis nicht fixen, gelöscht wurde die datei vorher schon durch escan |
Hallo da bin ich wieder. Hat jemand eine Idee wie ich weiderfahren soll? Im voraus vielen Dank |
Hallo, poste nochmal ein aktuelles Log-File. |
Ich weiss leider nicht, in wie weit Escan mit ADS klar kommt, aber loesche mal diese Datei : C:\WINDOWS\Feder.bmp im abgesicherten Modus und lasse dann gleich nochmal escan pruefen und die Malwaredateien loeschen lassen. |
So sieht mein aktuelles Logfeil aus Logfile of HijackThis v1.98.2 Scan saved at 21:13:14, on 19.10.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\HPConfig.exe C:\Programme\HPQ\Notebook Utilities\HPWirelessMgr.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\Feder.bmp:jgxfd C:\WINDOWS\apiwl32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\carpserv.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\PROGRA~2\HPQ\ONE-TO~1\OneTouch.EXE C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Palm\HOTSYNC.EXE C:\Programme\Mindjet\MindManager 5\sys\PDF\GER\W2K\PDFSaver.exe C:\Programme\Norton AntiVirus\SAVScan.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Sandeh\Eigene Dateien\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\gjift.dll/sp.html#29126 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\gjift.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\gjift.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\gjift.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\gjift.dll/sp.html#29126 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\gjift.dll/sp.html#29126 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\gjift.dll/sp.html#29126 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - Tele2Internet R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {6518F4B3-A15F-E14C-71F3-61A49FC2A684} - C:\WINDOWS\system32\mfcor.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [CARPService] carpserv.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Desktop Zoom] C:\Programme\HPQ\Desktop Zoom\hpwinadj.exe -s O4 - HKLM\..\Run: [PreloadApp] c:\hp\drivers\printers\photosmart\hphprld.exe c:\hp\drivers\printers\photosmart\setup.exe -d O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe O4 - HKLM\..\Run: [Display Settings] C:\Programme\HPQ\Notebook Utilities\hptasks.exe /s O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe O4 - HKLM\..\Run: [QT4HPOT] C:\PROGRA~2\HPQ\ONE-TO~1\OneTouch.EXE O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [NAV CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT" O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe" O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [sdkar.exe] C:\WINDOWS\system32\sdkar.exe O4 - HKLM\..\Run: [apiwl32.exe] C:\WINDOWS\apiwl32.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: HotSync Manager.lnk = C:\Programme\Palm\HOTSYNC.EXE O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: MindManager PDF Writer.lnk = C:\Programme\Mindjet\MindManager 5\sys\PDF\GER\W2K\PDFSaver.exe O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O14 - IERESET.INF: START_PAGE_URL=www.tele2internet.ch O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1096908928238 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/tech...a/SymAData.cab O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/tech...ActiveData.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{95659727-79E3-4F9F-8475-12754EA1E988}: NameServer = 130.244.127.161 130.244.127.169 |
Wechsle in den abgesicherten Modus http://www.bsi.bund.de/av/texte/wiederher_xp.htm und fixe diese Einträge (Haken setzen und auf Fix Checked klicken): R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\gjift.dll/sp.html#29126 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\gjift.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\gjift.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\gjift.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\gjift.dll/sp.html#29126 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\gjift.dll/sp.html#29126 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\gjift.dll/sp.html#29126 R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {6518F4B3-A15F-E14C-71F3-61A49FC2A684} - C:\WINDOWS\system32\mfcor.dll O4 - HKLM\..\Run: [sdkar.exe] C:\WINDOWS\system32\sdkar.exe O4 - HKLM\..\Run: [apiwl32.exe] C:\WINDOWS\apiwl32.exe Lösche diese Dateien: C:\WINDOWS\system32\gjift.dll/sp.html C:\WINDOWS\system32\mfcor.dll C:\WINDOWS\system32\sdkar.exe C:\WINDOWS\apiwl32.exe C:\WINDOWS\Feder.bmp:jgxfd eScan AntiVirus wie beschrieben anwenden Danach - Neustart - dein System updaten http://v5.windowsupdate.microsoft.co...r/default.aspx - IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html - Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org - neues Log-File von HiJackThis und die Virus Log Information von eScan posten |
Vielen Dank dann arbeite ich dies mal ab :) |
Guten Morgen 2 Dateien habe ich gefunden und gelöscht. 2 Dateien habe ich nicht gefunden C:\Windows\system32\gjift.dll/sp.html C:\Windows\system32\sdkar.exe -Mit den Windows Updates hatte ich schwierigkeiten. -Service Pack2 CD ist bestellt, Download wäre 4 Std. -XP-Update Downlods konnte ich downloaden aber nicht installieren? -IE ist sicherer konfiguriert -Ab heute bin ich Firefox Benutzer, Jeaaa! Hier mein neues Logfile und die Log Information von eScan. Bin ich nun sauber? Logfile of HijackThis v1.98.2 Scan saved at 10:38:26, on 20.10.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\HPConfig.exe C:\Programme\HPQ\Notebook Utilities\HPWirelessMgr.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Norton AntiVirus\SAVScan.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\carpserv.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\PROGRA~2\HPQ\ONE-TO~1\OneTouch.EXE C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Palm\HOTSYNC.EXE C:\Programme\Mindjet\MindManager 5\sys\PDF\GER\W2K\PDFSaver.exe C:\Programme\WinZip\WZQKPICK.EXE C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\System32\wuauclt.exe C:\Dokumente und Einstellungen\Sandeh\Eigene Dateien\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - Tele2Internet O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [CARPService] carpserv.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Desktop Zoom] C:\Programme\HPQ\Desktop Zoom\hpwinadj.exe -s O4 - HKLM\..\Run: [PreloadApp] c:\hp\drivers\printers\photosmart\hphprld.exe c:\hp\drivers\printers\photosmart\setup.exe -d O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe O4 - HKLM\..\Run: [Display Settings] C:\Programme\HPQ\Notebook Utilities\hptasks.exe /s O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe O4 - HKLM\..\Run: [QT4HPOT] C:\PROGRA~2\HPQ\ONE-TO~1\OneTouch.EXE O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [NAV CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT" O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe" O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: HotSync Manager.lnk = C:\Programme\Palm\HOTSYNC.EXE O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: MindManager PDF Writer.lnk = C:\Programme\Mindjet\MindManager 5\sys\PDF\GER\W2K\PDFSaver.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O14 - IERESET.INF: START_PAGE_URL=www.tele2internet.ch O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1096908928238 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/tech...a/SymAData.cab O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/tech...ActiveData.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{95659727-79E3-4F9F-8475-12754EA1E988}: NameServer = 130.244.127.161 130.244.127.169 |
Und hier noch aus Platzgründen in einer 2-ten Antwort die Log Information von eScan File C:\WINDOWS\addox32.exe infected by "TrojanDownloader.Win32.Agent.bc" Virus. Action Taken: File Deleted. File C:\WINDOWS\apiwl32.exe infected by "TrojanDownloader.Win32.Agent.bc" Virus. Action Taken: File Deleted. File C:\WINDOWS\apiwo32.exe infected by "TrojanDownloader.Win32.Agent.bc" Virus. Action Taken: File Deleted. File C:\WINDOWS\appmy.exe infected by "TrojanDownloader.Win32.Agent.bc" Virus. Action Taken: File Deleted. File C:\WINDOWS\atlqn.exe infected by "TrojanDownloader.Win32.Agent.bc" Virus. Action Taken: File Deleted. File C:\WINDOWS\chcnm.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: File Deleted. File C:\WINDOWS\d3ly32.exe infected by "TrojanDownloader.Win32.Agent.bc" Virus. Action Taken: File Deleted. File C:\WINDOWS\iedw32.exe infected by "TrojanDownloader.Win32.Agent.bc" Virus. Action Taken: File Deleted. File C:\WINDOWS\ieim32.exe infected by "TrojanDownloader.Win32.Agent.bc" Virus. Action Taken: File Deleted. File C:\WINDOWS\javabw32.exe infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: File Deleted. File C:\WINDOWS\mfcov.exe infected by "TrojanDownloader.Win32.Agent.bc" Virus. Action Taken: File Deleted. File C:\WINDOWS\mfcvi.exe infected by "TrojanDownloader.Win32.Agent.bc" Virus. Action Taken: File Deleted. File C:\WINDOWS\mfcvn.exe infected by "TrojanDownloader.Win32.Agent.bc" Virus. Action Taken: File Deleted. File C:\WINDOWS\mshu32.dll infected by "TrojanDownloader.Win32.Agent.an" Virus. Action Taken: File Deleted. File C:\WINDOWS\msmc32.exe infected by "TrojanDownloader.Win32.Agent.bc" Virus. Action Taken: File Deleted. File C:\WINDOWS\ntbd.exe infected by "TrojanDownloader.Win32.Agent.bc" Virus. Action Taken: File Deleted. File C:\WINDOWS\ntoh.exe infected by "TrojanDownloader.Win32.Agent.bc" Virus. Action Taken: File Deleted. File C:\WINDOWS\winel.exe infected by "TrojanDownloader.Win32.Agent.bc" Virus. Action Taken: File Deleted. File C:\WINDOWS\winlx32.exe infected by "TrojanDownloader.Win32.Agent.bc" Virus. Action Taken: File Deleted. File C:\WINDOWS\System32\addfp32.dll infected by "TrojanDownloader.Win32.Agent.an" Virus. Action Taken: File Deleted. File C:\WINDOWS\System32\addjt.exe infected by "TrojanDownloader.Win32.Agent.bc" Virus. Action Taken: File Deleted. File C:\WINDOWS\System32\atlqu32.exe infected by "TrojanDownloader.Win32.Agent.bc" Virus. Action Taken: File Deleted. File C:\WINDOWS\System32\atlya32.exe infected by "TrojanDownloader.Win32.Agent.bc" Virus. Action Taken: File Deleted. File C:\WINDOWS\System32\crbr32.exe infected by "TrojanDownloader.Win32.Agent.bc" Virus. Action Taken: File Deleted. File C:\WINDOWS\System32\d3dy.exe infected by "TrojanDownloader.Win32.Agent.bc" Virus. Action Taken: File Deleted. File C:\WINDOWS\System32\gjift.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: File Deleted. File C:\WINDOWS\System32\iefy32.exe infected by "TrojanDownloader.Win32.Agent.cd" Virus. Action Taken: File Deleted. File C:\WINDOWS\System32\javalx32.exe infected by "TrojanDownloader.Win32.Agent.bc" Virus. Action Taken: File Deleted. File C:\WINDOWS\System32\javamw32.exe infected by "TrojanDownloader.Win32.Agent.bc" Virus. Action Taken: File Deleted. File C:\WINDOWS\System32\javaya32.exe infected by "TrojanDownloader.Win32.Agent.bc" Virus. Action Taken: File Deleted. File C:\WINDOWS\System32\mfcfs32.exe infected by "TrojanDownloader.Win32.Agent.bc" Virus. Action Taken: File Deleted. File C:\WINDOWS\System32\netec32.exe infected by "TrojanDownloader.Win32.Agent.bc" Virus. Action Taken: File Deleted. File C:\WINDOWS\System32\netxn.exe infected by "TrojanDownloader.Win32.Agent.bc" Virus. Action Taken: File Deleted. File C:\WINDOWS\System32\noagf.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: File Deleted. File C:\WINDOWS\System32\ntwf.exe infected by "TrojanDownloader.Win32.Agent.bc" Virus. Action Taken: File Deleted. File C:\WINDOWS\System32\rqtpv.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: File Deleted. File C:\WINDOWS\System32\sieel.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: File Deleted. File C:\Dokumente und Einstellungen\Sandeh\Eigene Dateien\HijackThis\backups\backup-20041019-093810-646.dll infected by "TrojanDownloader.Win32.Agent.an" Virus. Action Taken: File Deleted. File C:\Dokumente und Einstellungen\Sandeh\Eigene Dateien\HijackThis\backups\backup-20041019-213853-815.dll infected by "TrojanDownloader.Win32.Agent.an" Virus. Action Taken: File Deleted. File C:\Programme\Norton AntiVirus\Quarantine\1F485CEB infected by "TrojanDownloader.Win32.Agent.cd" Virus. Action Taken: File Deleted. File C:\Programme\Norton AntiVirus\Quarantine\24F80A60 infected by "TrojanDownloader.Win32.Agent.cd" Virus. Action Taken: File Deleted. File C:\Programme\Norton AntiVirus\Quarantine\24FB345D infected by "TrojanDownloader.Win32.Agent.cd" Virus. Action Taken: File Deleted. File C:\RECYCLER\S-1-5-21-3506287757-2913260075-2982561959-1006\Dc1.dll infected by "TrojanDownloader.Win32.Agent.an" Virus. Action Taken: File Deleted. File C:\RECYCLER\S-1-5-21-3506287757-2913260075-2982561959-1006\Dc2.bak infected by "TrojanDownloader.Win32.Agent.cd" Virus. Action Taken: File Deleted. ;) |
Erst mal vielen Dank für eure Hilfe speziel möchte ich Cidre Danken. Kannst du dir vielleicht nochmal meine beiden letzten logs Hijackthis und e-Scan anschauen? |
Hallo HajaaHajoo, Dein letztes Logfile ist sauber und die Viren sind durch den eScan gelöscht. Also, alles ok. Die beiden unauffindbaren Dateien, könntest Du vielleicht auf diese Weise finden: "Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> "Alle Dateien und Ordner anzeigen" aktivieren." Viel Erfolg weiterhin, SD |
Falls das nicht geht (ich hatte jetzt mal ein problem mit einer unsichtbaren datei, auch ordneroptionen - alle dateien anzeigen half nix), probiere mal das: Hier gibts Links zu den Online-Virenscans vieler Softwarehersteller - mit dem Onlinescan von Bitdefender hab ich die Datei gefunden. Kannst es ja mal probieren, wenn Bitdefender es nicht finden sollte, probier noch andere Hersteller. |
Hallo, auch habe dieses Problem. Kann sich wohl mal jemand mein Log ansehen? Logfile of HijackThis v1.97.7 Scan saved at 15:47:23, on 21.10.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: E:\WINDOWS1\System32\smss.exe E:\WINDOWS1\system32\winlogon.exe E:\WINDOWS1\system32\services.exe E:\WINDOWS1\system32\lsass.exe E:\WINDOWS1\system32\svchost.exe E:\WINDOWS1\System32\svchost.exe E:\WINDOWS1\Explorer.EXE E:\WINDOWS1\system32\spoolsv.exe E:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe E:\WINDOWS1\system32\appsp.exe E:\Program Files\Win Comm\WinComm.exe E:\Program Files\Win Comm\WinLock.exe E:\WINDOWS1\System32\hmuukm.exe E:\Programme\ISTsvc\istsvc.exe E:\WINDOWS1\System32\ctfmon.exe E:\Programme\Messenger\msmsgs.exe E:\WINDOWS1\System32\RUNDLL32.EXE E:\Dokumente und Einstellungen\Manfred\Anwendungsdaten\soea.exe E:\Programme\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe E:\DATEV\SYSTEM\PSNTSERV.EXE E:\WINDOWS1\System32\nvsvc32.exe E:\WINDOWS1\ntmv32.exe E:\UPS\WorldShip\WorldShip\Wshipservicecom.exe E:\WINDOWS1\System32\wuauclt.exe E:\Dokumente und Einstellungen\Manfred\Lokale Einstellungen\Temp\Temporäres Verzeichnis 7 für hijack.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://E:\WINDOWS1\uohts.dll/sp.html#29126 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://E:\WINDOWS1\uohts.dll/sp.html#29126 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://E:\WINDOWS1\uohts.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://E:\WINDOWS1\uohts.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://E:\WINDOWS1\uohts.dll/sp.html#29126 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://E:\WINDOWS1\uohts.dll/sp.html#29126 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {CDD6CAC2-8F26-FBD5-9435-A933BA75D29E} - E:\WINDOWS1\ienn.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINDOWS1\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS1\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [StatusClient] E:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto O4 - HKLM\..\Run: [TomcatStartup] E:\Programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe O4 - HKLM\..\Run: [appsp.exe] E:\WINDOWS1\system32\appsp.exe O4 - HKLM\..\Run: [Win Comm] E:\Program Files\Win Comm\WinComm.exe O4 - HKLM\..\Run: [rwwagrouf] E:\WINDOWS1\System32\hmuukm.exe O4 - HKLM\..\Run: [IST Service] E:\Programme\ISTsvc\istsvc.exe O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS1\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "E:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINDOWS1\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [Aseb] E:\Dokumente und Einstellungen\Manfred\Anwendungsdaten\soea.exe O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O12 - Plugin for .pdf: E:\Programme\Internet Explorer\PLUGINS\nppdf32.dll O16 - DPF: EuApplet - https://www14.firmenfinanzportal.de/...n/EuApplet.cab O16 - DPF: FFPApplet - https://www14.firmenfinanzportal.de/.../FFPApplet.cab O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.johannrain-softwareentwic...itdefender.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab Hatte schon so einiges gefixt. Kommt aber immer wieder. |
Hi, nachfolgende Dinge unbedingt kontrollien, was du nicht kennst fixen E:\WINDOWS1\system32\appsp.exe E:\Program Files\Win Comm\WinComm.exe E:\Program Files\Win Comm\WinLock.exe running E:\WINDOWS1\System32\hmuukm.exe E:\Dokumente und Einstellungen\Manfred\Anwendungsdaten\soea.exe O2 - BHO: (no name) - {CDD6CAC2-8F26-FBD5-9435-A933BA75D29E} - E:\WINDOWS1\ienn.dll unbedingt fixen: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://E:\WINDOWS1\uohts.dll/sp.html#29126 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://E:\WINDOWS1\uohts.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://E:\WINDOWS1\uohts.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://E:\WINDOWS1\uohts.dll/sp.html#29126 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://E:\WINDOWS1\uohts.dll/sp.html#29126 O4 - HKLM\..\Run: [IST Service] E:\Programme\ISTsvc\istsvc.exe Greetz Blackdog |
Daaaanke. Hat alles super geklappt |
@ somaspa erstelle und poste bitte ein weiteres Hijack This Logfile mit merijn/downloads, Version Logfile of HijackThis v1.98.2. Es sind noch nicht alle Probleme behoben. SD |
Hallo, ja das hab ich heute morgen gemerkt. Die Seite ist wieder da. Hier ist mein log. Auch mit den alten Einträgen wieder. Mist Logfile of HijackThis v1.98.2 Scan saved at 08:25:33, on 22.10.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: E:\WINDOWS1\System32\smss.exe E:\WINDOWS1\system32\winlogon.exe E:\WINDOWS1\system32\services.exe E:\WINDOWS1\system32\lsass.exe E:\WINDOWS1\system32\svchost.exe E:\WINDOWS1\System32\svchost.exe E:\WINDOWS1\system32\spoolsv.exe E:\WINDOWS1\Explorer.EXE E:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe E:\WINDOWS1\system32\appsp.exe E:\Programme\ISTsvc\istsvc.exe E:\WINDOWS1\System32\ctfmon.exe E:\Programme\Messenger\msmsgs.exe E:\WINDOWS1\System32\RUNDLL32.EXE E:\Programme\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe E:\DATEV\SYSTEM\PSNTSERV.EXE E:\WINDOWS1\System32\nvsvc32.exe E:\WINDOWS1\ntmv32.exe E:\UPS\WorldShip\WorldShip\Wshipservicecom.exe E:\WINDOWS1\System32\wuauclt.exe E:\Programme\Internet Explorer\iexplore.exe E:\Dokumente und Einstellungen\Manfred\Lokale Einstellungen\Temp\Temporäres Verzeichnis 11 für hijack.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://E:\WINDOWS1\mlgfn.dll/sp.html#29126 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://E:\WINDOWS1\mlgfn.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://E:\WINDOWS1\mlgfn.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://E:\WINDOWS1\mlgfn.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://E:\WINDOWS1\mlgfn.dll/sp.html#29126 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://E:\WINDOWS1\mlgfn.dll/sp.html#29126 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {FDF9AC3B-8986-AD59-683C-5B23083ADD53} - E:\WINDOWS1\system32\addvk.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINDOWS1\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS1\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [StatusClient] E:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto O4 - HKLM\..\Run: [TomcatStartup] E:\Programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe O4 - HKLM\..\Run: [appsp.exe] E:\WINDOWS1\system32\appsp.exe O4 - HKLM\..\Run: [Win Comm] E:\Program Files\Win Comm\WinComm.exe O4 - HKLM\..\Run: [rwwagrouf] E:\WINDOWS1\System32\hmuukm.exe O4 - HKLM\..\Run: [IST Service] E:\Programme\ISTsvc\istsvc.exe O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS1\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "E:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINDOWS1\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - E:\WINDOWS1\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - E:\WINDOWS1\web\related.htm O12 - Plugin for .pdf: E:\Programme\Internet Explorer\PLUGINS\nppdf32.dll O16 - DPF: EuApplet - https://www14.firmenfinanzportal.de/...n/EuApplet.cab O16 - DPF: FFPApplet - https://www14.firmenfinanzportal.de/.../FFPApplet.cab O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.johannrain-softwareentwic...itdefender.cab O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-intl/de/games4.cab O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - E:\WINDOWS1\msopt.dll Ob mir wohl noch jemand helfen kann? |
Du hast wohl nicht alles von CWS erwischt. Nochmals der HINWEIS: Das CoolWWWSearch besteht normalerweise aus zwei Programmen. Einen Download-Client und einem Systemdienst. In deinem Fall hast Du wohl noch einen alten ICOO Installer erwischt, der beim herrunterladen noch zusätzlich einen aktuellen CWS Download-Client mit herrunterlaedt und dieser infizierte Dich .. Lies Dir bitte mal das kleine Spybot S&D Tutorial durch zum Thema Spybot 1.3 auf 1.3.1TX aktualisieren http://www.trojaner-board.de/showthread.php?t=8673 Wenn Du jetzt die TX version installert hast, lade bitte mal meine Testerkennung ( http://www.safer-networking.org/file...ws15102004.sbi ) herrunter und kopier diese in dein Spybot S&D Verzeichnis in Includes. Überprüf deinen Rechner und erstell dann ein Spybot Report Zusätzlich würde ich mich ueber folgende Datein freuen Am einfachsten Du benutzt den Suspicious File Packer ===[Den nachfolgenden Block einfach ins den SFP kopieren] E:\WINDOWS1\system32\appsp.exe E:\Programme\ISTsvc\istsvc.exe E:\WINDOWS1\System32\ctfmon.exe E:\WINDOWS1\ntmv32.exe E:\WINDOWS1\mlgfn.dll E:\WINDOWS1\system32\addvk.dll E:\WINDOWS1\system32\appsp.exe E:\WINDOWS1\System32\hmuukm.exe E:\Programme\ISTsvc\istsvc.exe E:\WINDOWS1\web\related.htm E:\Programme\Internet Explorer\PLUGINS\nppdf32.dll E:\WINDOWS1\msopt.dll ===================== Bitte wundert Euch nicht, dass ich auch "gute" Programm unter Umständen anfordere, dass liegt unter anderem da dran, dass ich auch nicht alles kenne ,) und andererseits wir auch die Datenbanken von uns mit guten Programm füttern ;) Gruss Michael :headbang: |
Hallo, vielen Dank. Aber langsam ich bin neu. Hab alles soweit gemacht. Report erstellen? Wie geht das? Und Suspicious File Packer ? Wo find ich den. Sorry bin aber lernfähig. Danke Manfred |
Hallo, ist im Moment wieder alles in Ordnung. Habe die Tips abgearbeitet. Will hoffen das es so bleibt. Super und vielen Dank für eure Hilfe. Manfred |
Hallo, ist wohl doch noch nicht ganz weg. Hoffe ich habe alles richtig verstanden. Habe alles hier rein kopiert. --- Search result list --- CoolWWWSearch.HomeSearch: Bibliothek (Datei, nothing done) E:\WINDOWS1\lbxws.dll CoolWWWSearch.Feat2DLL: Browser helper object (Registrierungsdatenbank-Schlüssel, nothing done) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{27D8DE0B-8EDB-6199-A6FB-70958AE8C73A} CoolWWWSearch.Feat2DLL: Class ID (Registrierungsdatenbank-Schlüssel, nothing done) HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{27D8DE0B-8EDB-6199-A6FB-70958AE8C73A} CoolWWWSearch.Feat2DLL: Browser helper object (Registrierungsdatenbank-Schlüssel, nothing done) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FDF9AC3B-8986-AD59-683C-5B23083ADD53} CoolWWWSearch.Feat2DLL: Class ID (Registrierungsdatenbank-Schlüssel, nothing done) HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{FDF9AC3B-8986-AD59-683C-5B23083ADD53} CoolWWWSearch.Feat2Installer: Daten (Datei, nothing done) E:\WINDOWS1\vkiku.dat CoolWWWSearch.Feat2Installer: Autorun-Einstellungen (appef.exe) (Registrierungsdatenbank-Wert, nothing done) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\appef.exe CoolWWWSearch.Feat2Installer: Programmdatei (Datei, nothing done) E:\WINDOWS1\appef.exe CoolWWWSearch.Feat2Installer: Ausführbare Datei (Datei, nothing done) E:\WINDOWS1\d3kz.exe CoolWWWSearch: Verfolgender Cookie (Internet Explorer: Manfred) (Cookie, nothing done) --- Spybot - Search & Destroy version: 1.3 .1TX (build: 20040801) --- 2004-05-12 blindman.exe (1.0.0.0) 2004-08-30 SpybotSD.exe (1.3.0.12) 2004-05-12 TeaTimer.exe (1.3.0.12) 2004-06-15 unins000.exe (51.15.0.0) 2004-05-12 Update.exe (1.3.0.0) 2004-05-12 advcheck.dll (1.0.1.0) 2004-05-12 borlndmm.dll (7.0.4.453) 2004-05-12 delphimm.dll (7.0.4.453) 2004-05-12 Tools.dll (2.0.0.0) 2004-05-12 UnzDll.dll (1.73.1.1) 2004-05-12 ZipDll.dll (1.73.2.0) 2004-05-12 Includes\Cookies.sbi 2004-05-12 Includes\Dialer.sbi 2004-05-12 Includes\Hijackers.sbi 2004-05-12 Includes\Keyloggers.sbi 2004-05-12 Includes\LSP.sbi 2004-05-12 Includes\Malware.sbi 2004-05-12 Includes\Revision.sbi 2004-05-12 Includes\Security.sbi 2004-05-12 Includes\Spybots.sbi 2004-05-12 Includes\Tracks.uti 2004-05-12 Includes\Trojans.sbi 2004-10-22 Includes\v.sbi --- System information --- Windows XP (Build: 2600) Service Pack 1 --- Startup entries list --- Located: HK_LM:Run, appef.exe command: E:\WINDOWS1\appef.exe file: E:\WINDOWS1\appef.exe size: 26624 MD5: dbabfbc267f213749ffc88fe5a84a978 Located: HK_LM:Run, NvCplDaemon command: RUNDLL32.EXE E:\WINDOWS1\System32\NvCpl.dll,NvStartup file: E:\WINDOWS1\system32\RUNDLL32.EXE size: 32256 MD5: 3b97edb791fb209017b8864c8e7087f9 Located: HK_LM:Run, nwiz command: nwiz.exe /install file: E:\WINDOWS1\system32\nwiz.exe size: 753664 MD5: aa022dfa622c90c3060ca794914b11aa Located: HK_LM:Run, StatusClient command: E:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto Located: HK_LM:Run, TomcatStartup command: E:\Programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe file: E:\Programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe size: 155648 MD5: 9d1ded853aaecd2b207577dff3c5780d Located: HK_LM:Run, Win Comm command: E:\Program Files\Win Comm\WinComm.exe Located: HK_CU:Run, CTFMON.EXE command: E:\WINDOWS1\System32\ctfmon.exe file: E:\WINDOWS1\System32\ctfmon.exe size: 13312 MD5: e5ee2f4700b6a85f0d45a18c67da500f Located: HK_CU:Run, MSMSGS command: "E:\Programme\Messenger\msmsgs.exe" /background file: E:\Programme\Messenger\msmsgs.exe size: 1511453 MD5: 1e455b08870d4ac3bb6ab5968603e8af Located: HK_CU:Run, NvMediaCenter command: RUNDLL32.EXE E:\WINDOWS1\System32\NVMCTRAY.DLL,NvTaskbarInit file: E:\WINDOWS1\system32\RUNDLL32.EXE size: 32256 MD5: 3b97edb791fb209017b8864c8e7087f9 Located: Startup (allgemein), Microsoft Office.lnk command: E:\Programme\Microsoft Office\Office10\OSA.EXE file: E:\Programme\Microsoft Office\Office10\OSA.EXE size: 83360 MD5: 5bc65464354a9fd3beaa28e18839734a Located: WinLogon, crypt32chain command: crypt32.dll Located: WinLogon, cryptnet command: cryptnet.dll Located: WinLogon, cscdll command: cscdll.dll Located: WinLogon, ScCertProp command: wlnotify.dll Located: WinLogon, Schedule command: wlnotify.dll Located: WinLogon, sclgntfy command: sclgntfy.dll Located: WinLogon, SensLogn command: WlNotify.dll Located: WinLogon, termsrv command: wlnotify.dll Located: WinLogon, wlballoon command: wlnotify.dll --- Browser helper object list --- {27D8DE0B-8EDB-6199-A6FB-70958AE8C73A} () BHO name: CLSID name: Path: E:\WINDOWS1\system32\ Long name: msft.dll Short name: Date (created): 10.10.2004 10:12:22 Date (last access): 22.10.2004 13:47:12 Date (last write): 10.10.2004 10:12:22 Filesize: 93184 Attributes: archive MD5: D9F3BEFF67BDE82B52FA5FE08DA5229F CRC32: 16BF530F Version: 255.255.255.255 --- ActiveX list --- EuApplet (EuApplet) DPF name: EuApplet CLSID name: FFPApplet (FFPApplet) DPF name: FFPApplet CLSID name: {91433D86-9F27-402C-B5E3-DEBDD122C339} () DPF name: CLSID name: --- Process list --- PID: 0 ( 0) [System] PID: 4 ( 0) System PID: 468 ( 4) \SystemRoot\System32\smss.exe PID: 532 ( 468) csrss.exe PID: 556 ( 468) \??\E:\WINDOWS1\system32\winlogon.exe PID: 600 ( 556) E:\WINDOWS1\system32\services.exe PID: 612 ( 556) E:\WINDOWS1\system32\lsass.exe PID: 696 (1332) E:\Programme\Messenger\msmsgs.exe PID: 728 (1928) E:\Programme\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe PID: 788 ( 600) E:\WINDOWS1\system32\svchost.exe PID: 840 ( 600) E:\WINDOWS1\System32\svchost.exe PID: 976 ( 600) svchost.exe PID: 1076 ( 600) svchost.exe PID: 1312 (1332) E:\WINDOWS1\System32\RUNDLL32.EXE PID: 1320 ( 840) E:\WINDOWS1\System32\wuauclt.exe PID: 1332 (1312) E:\WINDOWS1\Explorer.EXE PID: 1348 ( 600) E:\WINDOWS1\system32\spoolsv.exe PID: 1552 ( 600) E:\DATEV\SYSTEM\PSNTSERV.EXE PID: 1592 ( 600) E:\WINDOWS1\System32\nvsvc32.exe PID: 1608 ( 600) E:\WINDOWS1\ntmv32.exe PID: 1788 (1332) E:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe PID: 1808 ( 600) E:\UPS\WorldShip\WorldShip\Wshipservicecom.exe PID: 1920 (1816) E:\Programme\Spybot - Search & Destroy\SpybotSD.exe PID: 1944 (1332) E:\WINDOWS1\System32\ctfmon.exe PID: 1968 ( 288) E:\WINDOWS1\appef.exe Spybot - Search && Destroy process list report, 22.10.2004 13:50:57 --- Browser start & search pages list --- Spybot - Search && Destroy browser pages report, 22.10.2004 13:50:57 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Local Page about:blank HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Search Page res://E:\WINDOWS1\lbxws.dll/sp.html#29126 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Search Bar res://E:\WINDOWS1\lbxws.dll/sp.html#29126 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page about:blank HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Default_Page_URL about:blank HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Default_Search_URL http://www.google.com/ HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Local Page about:blank HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Search Page res://E:\WINDOWS1\lbxws.dll/sp.html#29126 HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Search Bar res://E:\WINDOWS1\lbxws.dll/sp.html#29126 HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Start Page about:blank HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Default_Page_URL about:blank HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Default_Search_URL res://E:\WINDOWS1\lbxws.dll/sp.html#29126 HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\SearchAssistant res://E:\WINDOWS1\lbxws.dll/sp.html#29126 HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\CustomizeSearch http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm --- Winsock Layered Service Provider list --- Requested file archive from 22.10.2004 13:55:30 Created by Suspicious File Packer 0.1 Copyright © 2004 Safer Networking Limited. All rights reserved. - could not add: E:\WINDOWS1\system32\appsp.exe - could not add: E:\Programme\ISTsvc\istsvc.exe + added: E:\WINDOWS1\System32\ctfmon.exe + added: E:\WINDOWS1\ntmv32.exe - could not add: E:\WINDOWS1\mlgfn.dll - could not add: E:\WINDOWS1\system32\addvk.dll - could not add: E:\WINDOWS1\system32\appsp.exe - could not add: E:\WINDOWS1\System32\hmuukm.exe - could not add: E:\Programme\ISTsvc\istsvc.exe + added: E:\WINDOWS1\web\related.htm + added: E:\Programme\Internet Explorer\PLUGINS\nppdf32.dll + added: E:\WINDOWS1\msopt.dll Vielen Dank für die Mühe. Manfred |
Hallo könnt ihr mir helfen??ich hab voll keinen plan, aber hijackthis hat folgendes gefunden...was darf denn weg?? bitte helft mir... gruß kim nadine Logfile of HijackThis v1.98.2 Scan saved at 15:39:57, on 04.11.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\CTSvcCDA.exe C:\WINNT\System32\svchost.exe C:\Programme\KEN!\KENCLI.EXE C:\WINNT\System32\mgabg.exe C:\WINNT\crlh32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\System32\mspmspsv.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\WINNT\System32\PDesk\PDesk.exe C:\WINNT\system32\Smtray.exe C:\Programme\Creative\Audio2K\PROGRAM\CTMIX32.EXE C:\Programme\QuickTime\qttask.exe C:\Programme\KEN!\kentbcli.exe C:\WINNT\system32\windc.exe C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe C:\Programme\Extensis\Suitcase\Suitcase.exe C:\lotus\organize\easyclip6.exe C:\Programme\Microsoft Office\Office\OUTLOOK.EXE C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\sowayves\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\uuiqx.dll/sp.html#22776 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\uuiqx.dll/sp.html#22776 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\uuiqx.dll/sp.html#22776 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\uuiqx.dll/sp.html#22776 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\uuiqx.dll/sp.html#22776 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\uuiqx.dll/sp.html#22776 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\uuiqx.dll/sp.html#22776 R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {2AC7347B-C8A4-CF45-E2D8-ED6C8C97B42E} - C:\WINNT\system32\ipfq.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINNT\System32\PDesk\PDesk.exe /Autolaunch O4 - HKLM\..\Run: [MGA_CD_Install] F:\mgasetup.exe /No_Welcome /Lang:Deutsch O4 - HKLM\..\Run: [Smapp] Smtray.exe O4 - HKLM\..\Run: [Disc Detector] C:\Programme\Creative\ShareDLL\CtNotify.exe O4 - HKLM\..\Run: [CreativeMixer] C:\Programme\Creative\Audio2K\PROGRAM\CTMIX32.EXE /t O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [KEN Taskbar Client] "C:\Programme\KEN!\kentbcli.exe" O4 - HKLM\..\Run: [PRONoMgrWired] c:\Programme\Intel\PROSetWired\NCS\PROSet\PRONoMgr.exe O4 - HKLM\..\Run: [windc.exe] C:\WINNT\system32\windc.exe O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start O4 - Startup: Lotus Organizer EasyClip.lnk = C:\lotus\organize\easyclip6.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Suitcase Startup.lnk = C:\Programme\Extensis\Suitcase\Suitcase.exe O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll |
Hallo somaspa, Zitat:
Zitat:
Lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte bitte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht löscht. Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre) Erstelle ein neues Hijack This Logfile und poste es. SD |
Hallo Kimi, lade Dir zunächst, bevor Du anfängst zu fixen Spybot-Search & Destroy 1.3 runter, scanne damit Deinen Rechner. Erstelle dann mit diesem Programm einen Spybot-Report, speichere ihn ab und sende ihn, mit dem Betreff "dll/sp.html#22776-TBoard" und Hinweis auf diesen Thread an: detections@spybot.info (Forschungszwecke). Überprüfe mit virusscan.jotti.dhs.org: C:\WINNT\crlh32.exe C:\Programme\Creative\Audio2K\PROGRAM\CTMIX32.EXE C:\WINNT\system32\windc.exe C:\Programme\Extensis\Suitcase\Suitcase.exe C:\lotus\organize\easyclip6.exe C:\WINNT\system32\ipfq.dll --> Ergebnis? Boote in den abgesicherten Modus und fixe dann mit Hijack This (Häk'chen setzen und Fix Checked klicken): R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\uuiqx.dll/sp.html#22776 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\uuiqx.dll/sp.html#22776 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\uuiqx.dll/sp.html#22776 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\uuiqx.dll/sp.html#22776 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\uuiqx.dll/sp.html#22776 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\uuiqx.dll/sp.html#22776 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\uuiqx.dll/sp.html#22776 R3 - Default URLSearchHook is missing boote in den normalen Modus. Lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte bitte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht löscht. Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre) Erstelle ein neues Hijack This Logfile und poste es. SD |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 20:09 Uhr. |
Copyright ©2000-2025, Trojaner-Board