Hallo Leute,
wer kann mir denn mit folgendem Problem helfen:
Als Startseite wird immer "http://yoursearcher.com/index.htm" eingestellt. Zusätzlich läuft offensichtlich im Hintergrund ein Programm "win min", das sich beim Runterfahren des pc nicht beenden läßt.
Ist über spy-bot nicht zu beseitigen. Habe mir auch HijackThis v 1.98.2 besorgt, und die Einträge, die irgendwas mit "yoursearcher" zu tun haben, gefixt. Hat aber nichts geholfen. Da setzen halt meine lausigen Kenntnissen aus...
das logfile siehr wie folgt aus:
Logfile of HijackThis v1.98.2
Scan saved at 15:31:34, on 20.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\Programme\sicherheit utilities\AVWUPSRV.EXE
C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb03.exe
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\program files\altnet\points manager\points manager.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\WINDOWS\System32\t?skmgr.exe
C:\Dokumente und Einstellungen\Rü\Anwendungsdaten\tobe.exe
C:\windows\esmaftg.exe
C:\Programme\AOL 9.0\aoltray.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\PROGRA~2\Altnet\DOWNLO~1\asm.exe
C:\Programme\Kazaa Lite\clean.kmd
C:\WINDOWS\System32\svchost.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\AOL 9.0\waol.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\LeechGet 2004\LeechGet.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Dokumente und Einstellungen\Rü\Lokale Einstellungen\Temp\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://yoursearcher.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yoursearcher.com/index.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://yoursearcher.com/index.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://lookfor.cc?pin=29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = http://www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yoursearcher.com/sp.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://yoursearcher.com/index.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.e-finder.cc/search/ (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: DOMPeek Class - {834261E1-DD97-4177-853B-C907E5D5BD6E} - C:\WINDOWS\dpe.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb03.exe
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [AltnetPointsManager] c:\program files\altnet\points manager\points manager.exe -s
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Ifgvqww] C:\WINDOWS\System32\t?skmgr.exe
O4 - HKCU\..\Run: [Emti] C:\Dokumente und Einstellungen\Rü\Anwendungsdaten\tobe.exe
O4 - HKCU\..\Run: [MSMsgSvc] C:\WINDOWS\System\MSMSGSVC.exe
O4 - HKCU\..\Run: [gcvlovj] c:\windows\blknnch.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2004\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2004\\Parser.html
O9 - Extra button: GhostSurf Privacy Center - {578FC4E3-151E-456c-AF8E-B63061EFE228} - C:\Programme\GhostSurf Express\LaunchPCC.exe (file missing)
O9 - Extra 'Tools' menuitem: GhostSurf Privacy Center - {578FC4E3-151E-456c-AF8E-B63061EFE228} - C:\Programme\GhostSurf Express\LaunchPCC.exe (file missing)
O9 - Extra button: (no name) - {578FC4E3-151E-456c-AF8E-B63061EFE228}} - (no file)
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O12 - Plugin for .avi: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.xxxtoolbar.com
O16 - DPF: {00000000-7777-0704-0B53-2C8830E9FAEC} - http://gn.one2bill.de/soft/ieloader.cab
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares ... _adult.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {E2F2B9D0-96B9-4B25-B90C-636ECB207D18} - http://www.whenusearch.com/WUInstSECS.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{33EF0783-9AB2-4278-8CDD-9B1F313EF127}: NameServer = 205.188.146.146
O17 - HKLM\System\CS1\Services\Tcpip\..\{33EF0783-9AB2-4278-8CDD-9B1F313EF127}: NameServer = 205.188.146.146
Also bitte Hilfe!!
P.S. Kann mit jemand bei der Gelegenheit sagen, wofür die einträge e-finder.cc/search gut sein sollen?. Kann man die gleich mit eliminieren?
Warum kostenlos registrieren?
Nur als registriertes Mitglied hast Du vollen Zugriff auf alle Funktionen unserer Website. So kannst Du eigene Fragen stellen und hast die volle Übersicht über neue interessante Themen im Forum.
Jetzt kostenlos registrieren.
Login
verstellte Start Page = *http://yoursearcher.com/index.htm*
9 Beiträge • Seite 1 von 1
von Computerdirk am 20.11.2004, 18:09
Hallöchen,
also erstmal, falls noch nicht geschehen, die Systemwiederherstellung vorrübergehend deaktivieren. Dann folgende Einträge fixen:
Anschließend den Rechner im abgesicherten Modus starten und die gefixten Dateien endgültig löschen...
Nach dem Neustart im normalen Modus dann nochmal scannen.
also erstmal, falls noch nicht geschehen, die Systemwiederherstellung vorrübergehend deaktivieren. Dann folgende Einträge fixen:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://yoursearcher.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yoursearcher.com/index.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://yoursearcher.com/index.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://lookfor.cc?pin=29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = http://www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yoursearcher.com/sp.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://yoursearcher.com/index.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.e-finder.cc/search/ (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: DOMPeek Class - {834261E1-DD97-4177-853B-C907E5D5BD6E} - C:\WINDOWS\dpe.dll (file missing)
O4 - HKCU\..\Run: [Ifgvqww] C:\WINDOWS\System32\t?skmgr.exe
O4 - HKCU\..\Run: [Emti] C:\Dokumente und Einstellungen\Rü\Anwendungsdaten\tobe.exe
O4 - HKCU\..\Run: [MSMsgSvc] C:\WINDOWS\System\MSMSGSVC.exe
O4 - HKCU\..\Run: [gcvlovj] c:\windows\blknnch.exe
O9 - Extra button: GhostSurf Privacy Center - {578FC4E3-151E-456c-AF8E-B63061EFE228} - C:\Programme\GhostSurf Express\LaunchPCC.exe (file missing)
O9 - Extra 'Tools' menuitem: GhostSurf Privacy Center - {578FC4E3-151E-456c-AF8E-B63061EFE228} - C:\Programme\GhostSurf Express\LaunchPCC.exe (file missing)
O9 - Extra button: (no name) - {578FC4E3-151E-456c-AF8E-B63061EFE228}} - (no file)
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.xxxtoolbar.com
O16 - DPF: {00000000-7777-0704-0B53-2C8830E9FAEC} - http://gn.one2bill.de/soft/ieloader.cab
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares ... _adult.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {E2F2B9D0-96B9-4B25-B90C-636ECB207D18} - http://www.whenusearch.com/WUInstSECS.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{33EF0783-9AB2-4278-8CDD-9B1F313EF127}: NameServer = 205.188.146.146
O17 - HKLM\System\CCS\Services\Tcpip\..\{33EF0783-9AB2-4278-8CDD-9B1F313EF127}: NameServer = 205.188.146.146
O17 - HKLM\System\CS1\Services\Tcpip\..\{33EF0783-9AB2-4278-8CDD-9B1F313EF127}: NameServer = 205.188.146.146
Anschließend den Rechner im abgesicherten Modus starten und die gefixten Dateien endgültig löschen...
Nach dem Neustart im normalen Modus dann nochmal scannen.
- Computerdirk
- Administrator
- Beiträge: 7132
- Registriert: 25.05.2003, 21:17
- Wohnort: Goslar
von Nikita am 20.11.2004, 23:12
Hallo@zakk
wenn du gefixt und neugestartet hast,
Deinstallieren:
-->>Systemsteuerung -> Software"
Desktop Toolbar [WhenUSearch].
1.) öffne das HijackThis:
2.) HijackThis starten, den Config Button klicken - MiscTools - "Delete a file on reboot" .
3.) In dem Fenster bei Dateiname einfügen\reinkopieren:
C:\windows\esmaftg.exe
4.) wenn dann die Frage kommt, ob neugestartet werden soll (will be deleted by Windows when the system restarts....Do you want to restart your computer now?" )-->>klicke "No"
5.)und füge das Nächste ein.
<C:\WINDOWS\dpe.dll
<C:\WINDOWS\System32\t?skmgr.exe
<C:\WINDOWS\System\MSMSGSVC.exe
<c:\windows\blknnch.exe
<C:\WINDOWS\System32\ioeloader.dll
Erst beim letzten klickst du "Yes" und startest den PC neu.
Loesche in der Registry
Start<Ausfuehren<regedit:
< HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\
loeschen:
{018B7EC3-EECA-11D3-8E71-0000E82C6C0D}
<HKEY_LOCAL_MACHINE\
loesche:
Software\WhenUSearch
<HKEY_CLASSES_ROOT\
loesche:
WUSE.1
<HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\WhenUSearch
HKEY_CLASSES_ROOT\CLSID\
loesche:
{BA2325ED-F9EB-4830-8FCE-0BC35B16969B}
....................................................................
#suche und loesche:
<C:\Dokumente und Einstellungen\Rü\Anwendungsdaten\tobe.exe
<c:\windows\tinybar.exe
<MediaTicketsInstaller.ocx
<C:\Program Files\whenusearch\search.dll
<C:\Program Files\WhenUSearch\uninst.exe
<C:\Program Files\WhenUSearch\search.exe
<C:\Program Files\WhenUSearch\whse.exe
<C:\Program Files\WhenUSearch\WhenUSearch\content\*.*
#AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
WÄHREND des Scanvorganges müssen ALLE sonstige
Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!
--->ActiveX loeschen:
1. Klicken Sie in der Menüzeile des Internet Explorers auf Extras und Internet-Optionen.
ActiveX-Controls
Schalter Einstellungen
Klicken Sie auf den Button Objekte anzeigen. Eine Liste aller lokalen ActiveX-Controls öffnet sich. Um zu entscheiden, ob es ich um ein vertrauenswürdiges Programm handelt, reicht es in der Regel aus, den Urheber der Komponente ausfindig zu machen.
Wenn "unbekannt dasteht...dann lösche es .
Datentraegerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren<cleanmgr
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k
deinstalliere deinen Virenscanner und lade:
#eScan-Trial
http://www.mwti.net/antivirus/escan/esc ... ivirus.asp (15-Tage- trial-Freeversion)
klicke auf: awn2k3e.exe
Internetexplorer reinigen:
1. Klicken Sie in der Menüzeile des Internet Explorers auf Extras und Internet-Optionen.
2. Auf der Registerkarte Allgemein klicken Sie im Bereich Temporäre Internetdateien auf den Button Cookies löschen.
3.Temporäre Internet-Dateien<Dateien löschen
Extras -> Internetoptionen -> Erweitert -> Sicherheit -> Haken setzen bei Leeren des Ordners Temporary Internet Files beim Schließen des Browsers und Verschlüsselte Seiten nicht auf der Festplatte speichern.
stelle eine neue Startseite ein und poste das Log noch mal.
mfg
Nikita
wenn du gefixt und neugestartet hast,
Deinstallieren:
-->>Systemsteuerung -> Software"
Desktop Toolbar [WhenUSearch].
1.) öffne das HijackThis:
2.) HijackThis starten, den Config Button klicken - MiscTools - "Delete a file on reboot" .
3.) In dem Fenster bei Dateiname einfügen\reinkopieren:
C:\windows\esmaftg.exe
4.) wenn dann die Frage kommt, ob neugestartet werden soll (will be deleted by Windows when the system restarts....Do you want to restart your computer now?" )-->>klicke "No"
5.)und füge das Nächste ein.
<C:\WINDOWS\dpe.dll
<C:\WINDOWS\System32\t?skmgr.exe
<C:\WINDOWS\System\MSMSGSVC.exe
<c:\windows\blknnch.exe
<C:\WINDOWS\System32\ioeloader.dll
Erst beim letzten klickst du "Yes" und startest den PC neu.
Loesche in der Registry
Start<Ausfuehren<regedit:
< HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\
loeschen:
{018B7EC3-EECA-11D3-8E71-0000E82C6C0D}
<HKEY_LOCAL_MACHINE\
loesche:
Software\WhenUSearch
<HKEY_CLASSES_ROOT\
loesche:
WUSE.1
<HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\WhenUSearch
HKEY_CLASSES_ROOT\CLSID\
loesche:
{BA2325ED-F9EB-4830-8FCE-0BC35B16969B}
....................................................................
#suche und loesche:
<C:\Dokumente und Einstellungen\Rü\Anwendungsdaten\tobe.exe
<c:\windows\tinybar.exe
<MediaTicketsInstaller.ocx
<C:\Program Files\whenusearch\search.dll
<C:\Program Files\WhenUSearch\uninst.exe
<C:\Program Files\WhenUSearch\search.exe
<C:\Program Files\WhenUSearch\whse.exe
<C:\Program Files\WhenUSearch\WhenUSearch\content\*.*
#AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
WÄHREND des Scanvorganges müssen ALLE sonstige
Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!
--->ActiveX loeschen:
1. Klicken Sie in der Menüzeile des Internet Explorers auf Extras und Internet-Optionen.
ActiveX-Controls
Schalter Einstellungen
Klicken Sie auf den Button Objekte anzeigen. Eine Liste aller lokalen ActiveX-Controls öffnet sich. Um zu entscheiden, ob es ich um ein vertrauenswürdiges Programm handelt, reicht es in der Regel aus, den Urheber der Komponente ausfindig zu machen.
Wenn "unbekannt dasteht...dann lösche es .
Datentraegerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren<cleanmgr
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k
deinstalliere deinen Virenscanner und lade:
#eScan-Trial
http://www.mwti.net/antivirus/escan/esc ... ivirus.asp (15-Tage- trial-Freeversion)
klicke auf: awn2k3e.exe
Internetexplorer reinigen:
1. Klicken Sie in der Menüzeile des Internet Explorers auf Extras und Internet-Optionen.
2. Auf der Registerkarte Allgemein klicken Sie im Bereich Temporäre Internetdateien auf den Button Cookies löschen.
3.Temporäre Internet-Dateien<Dateien löschen
Extras -> Internetoptionen -> Erweitert -> Sicherheit -> Haken setzen bei Leeren des Ordners Temporary Internet Files beim Schließen des Browsers und Verschlüsselte Seiten nicht auf der Festplatte speichern.
stelle eine neue Startseite ein und poste das Log noch mal.
mfg
Nikita
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von zakk am 21.11.2004, 19:53
Also erstmal Danke für die schnelle Hilfe. Hat allerdings nicht ganz hingehauen.
Klingt vielleicht blöd, aber wie ist das zu verstehen: gefixte Dateien im abgesicherten Modus endgültig löschen?
Abgesichert Modus ist klar, aber wo finde ich denn die gefixten Dateien?
Außerdem habe ich einige von den zu löschenden Dateien nicht gefunden. Keine von dem"WhenUSearch"-Dateien und auch in der registry waren einige von den angegebenen Einträgen nicht vorhanden. Aber daran kanns ja wohl kaum liegen, oder?
Anbei nochmal einaktuelles Logfile:
Logfile of HijackThis v1.98.2
Scan saved at 18:51:27, on 21.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\Programme\sicherheit utilities\AVWUPSRV.EXE
C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb03.exe
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\program files\altnet\points manager\points manager.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\WINDOWS\System32\ctfmon.exe
C:\windows\yemmlrx.exe
C:\Programme\AOL 9.0\aoltray.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\PROGRA~2\Altnet\DOWNLO~1\asm.exe
C:\Programme\AOL 9.0\waol.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Rü\Lokale Einstellungen\Temp\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://yoursearcher.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yoursearcher.com/index.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://yoursearcher.com/index.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yoursearcher.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://yoursearcher.com/index.htm
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb03.exe
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [AltnetPointsManager] c:\program files\altnet\points manager\points manager.exe -s
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [vyjifvk] c:\windows\keycapq.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2004\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2004\\Parser.html
O12 - Plugin for .avi: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{33EF0783-9AB2-4278-8CDD-9B1F313EF127}: NameServer = 205.188.146.146
O17 - HKLM\System\CS1\Services\Tcpip\..\{33EF0783-9AB2-4278-8CDD-9B1F313EF127}: NameServer = 205.188.146.146
Klingt vielleicht blöd, aber wie ist das zu verstehen: gefixte Dateien im abgesicherten Modus endgültig löschen?
Abgesichert Modus ist klar, aber wo finde ich denn die gefixten Dateien?
Außerdem habe ich einige von den zu löschenden Dateien nicht gefunden. Keine von dem"WhenUSearch"-Dateien und auch in der registry waren einige von den angegebenen Einträgen nicht vorhanden. Aber daran kanns ja wohl kaum liegen, oder?
Anbei nochmal einaktuelles Logfile:
Logfile of HijackThis v1.98.2
Scan saved at 18:51:27, on 21.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\Programme\sicherheit utilities\AVWUPSRV.EXE
C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb03.exe
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\program files\altnet\points manager\points manager.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\WINDOWS\System32\ctfmon.exe
C:\windows\yemmlrx.exe
C:\Programme\AOL 9.0\aoltray.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\PROGRA~2\Altnet\DOWNLO~1\asm.exe
C:\Programme\AOL 9.0\waol.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Rü\Lokale Einstellungen\Temp\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://yoursearcher.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yoursearcher.com/index.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://yoursearcher.com/index.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yoursearcher.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://yoursearcher.com/index.htm
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb03.exe
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [AltnetPointsManager] c:\program files\altnet\points manager\points manager.exe -s
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [vyjifvk] c:\windows\keycapq.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2004\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2004\\Parser.html
O12 - Plugin for .avi: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{33EF0783-9AB2-4278-8CDD-9B1F313EF127}: NameServer = 205.188.146.146
O17 - HKLM\System\CS1\Services\Tcpip\..\{33EF0783-9AB2-4278-8CDD-9B1F313EF127}: NameServer = 205.188.146.146
- zakk
- Beiträge: 4
- Registriert: 20.11.2004, 16:11
Start Page = *http://yoursearcher.com/index.htm*
von Nikita am 22.11.2004, 12:18
Hallo@zakk
----------------------------------------------------------------------------------
Deaktivieren Wiederherstellung
«XP
http://service1.symantec.com/SUPPORT/IN ... 7105707924
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://yoursearcher.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yoursearcher.com/index.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://yoursearcher.com/index.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yoursearcher.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://yoursearcher.com/index.htm
O4 - HKCU\..\Run: [vyjifvk] c:\windows\keycapq.exe
neustarten
#1.) öffne das HijackThis:
2.) HijackThis-->Config-->Misc Tools-->Delete a file on reboot
3.) kopiere rein:
C:\windows\yemmlrx.exe
4.) PC neustarten
#1.) öffne das HijackThis:
2.) HijackThis-->Config-->Misc Tools-->Delete a file on reboot
3.) kopiere rein:
c:\windows\keycapq.exe
4.) PC neustarten
#Suche und loesche (falls es existiert.)
"winlgn.exe" "winlogin.exe" "dllhelp.exe" "IEengine.exe" "cvchost.exe
Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k
...........................................................................................................
<Trojan.StartPa.HD überschreibt auch das File:
\\drivers\etc\hosts
mit folgendem Text:
127.0.0.1 localhost
#Hoster-Tool : http://members.aol.com/toadbee/hoster.zip
Press 'Restore Original Hosts' and press 'OK'
Exit Program.
Trojan.StartPa.HD erzeugt folgende URL´s, welche Links zu speziellen Seiten enthalten:
\Free hidden cams world.url
\Free spy cam.url
\Free web cams chats.url
\Get this 4 free.url
#ClaerProg..lade die neuste Version <1.4.0 Final
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies (mit Ausschlußmöglichkeit beim IE)
- Verlauf
- Temporäre Internetfiles (Cache)
- die eingetragenen URLs
- Autovervollständigen-Einträge in Web-Formularen des IE (bisher
nur Win9x/ME)
- Download-Listen des Netscape/Opera
http://www.clearprog.de/downloads.php
<Das eScan AV Toolkit-->>loescht nicht->Erkennungstool (mwav.exe) herunterladen, öffnen, aber nicht scannen
http://www.mwti.net/antivirus/free_utilities.asp
*
danach die "kavupd.exe" (automatisches Update ueber DOS)
ausführen. (oder unter Start<Ausfuehren<%temp% die
"kavupd.exe" suchen) und anklicken.
<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml
und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives
<und "Scan " klicken.
- folgende Hacken gesetzt:
[x] Memory
[x] Registry
[x] Startup Folders
[x] System Folders
[x] Services
[x] Drive
(x) All Local Drives
[x] Folder [C:\WINDOWS]
[x] Include SubDirectory
---------------------------------
<Öffne die mwav.log [oder: -->klick: "view Log" ] -> Bearbeiten -> Suchen ->
Wenn man infizierte Dateien in dem eScan Log finden will, sollte
man nach infected suchen und die Eintraege hier posten,
dann poste das Log noch mal.
mfg
Nikita
----------------------------------------------------------------------------------
Deaktivieren Wiederherstellung
«XP
http://service1.symantec.com/SUPPORT/IN ... 7105707924
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://yoursearcher.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yoursearcher.com/index.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://yoursearcher.com/index.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yoursearcher.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://yoursearcher.com/index.htm
O4 - HKCU\..\Run: [vyjifvk] c:\windows\keycapq.exe
neustarten
#1.) öffne das HijackThis:
2.) HijackThis-->Config-->Misc Tools-->Delete a file on reboot
3.) kopiere rein:
C:\windows\yemmlrx.exe
4.) PC neustarten
#1.) öffne das HijackThis:
2.) HijackThis-->Config-->Misc Tools-->Delete a file on reboot
3.) kopiere rein:
c:\windows\keycapq.exe
4.) PC neustarten
#Suche und loesche (falls es existiert.)
"winlgn.exe" "winlogin.exe" "dllhelp.exe" "IEengine.exe" "cvchost.exe
Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k
...........................................................................................................
<Trojan.StartPa.HD überschreibt auch das File:
\\drivers\etc\hosts
mit folgendem Text:
127.0.0.1 localhost
#Hoster-Tool : http://members.aol.com/toadbee/hoster.zip
Press 'Restore Original Hosts' and press 'OK'
Exit Program.
Trojan.StartPa.HD erzeugt folgende URL´s, welche Links zu speziellen Seiten enthalten:
\Free hidden cams world.url
\Free spy cam.url
\Free web cams chats.url
\Get this 4 free.url
#ClaerProg..lade die neuste Version <1.4.0 Final
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies (mit Ausschlußmöglichkeit beim IE)
- Verlauf
- Temporäre Internetfiles (Cache)
- die eingetragenen URLs
- Autovervollständigen-Einträge in Web-Formularen des IE (bisher
nur Win9x/ME)
- Download-Listen des Netscape/Opera
http://www.clearprog.de/downloads.php
<Das eScan AV Toolkit-->>loescht nicht->Erkennungstool (mwav.exe) herunterladen, öffnen, aber nicht scannen
http://www.mwti.net/antivirus/free_utilities.asp
*
danach die "kavupd.exe" (automatisches Update ueber DOS)
ausführen. (oder unter Start<Ausfuehren<%temp% die
"kavupd.exe" suchen) und anklicken.
<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml
und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives
<und "Scan " klicken.
- folgende Hacken gesetzt:
[x] Memory
[x] Registry
[x] Startup Folders
[x] System Folders
[x] Services
[x] Drive
(x) All Local Drives
[x] Folder [C:\WINDOWS]
[x] Include SubDirectory
---------------------------------
<Öffne die mwav.log [oder: -->klick: "view Log" ] -> Bearbeiten -> Suchen ->
Wenn man infizierte Dateien in dem eScan Log finden will, sollte
man nach infected suchen und die Eintraege hier posten,
dann poste das Log noch mal.
mfg
Nikita
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von zakk am 23.11.2004, 00:07
Hi Nikita,
bin alles durchgegangen bis einschließlich dem eScan AV Toolkit im abgesicherten Modus.
Unglaublich was da alles zum Vorschein kommt...
Also hier mal alle Einträge aus der mwav.log, die "infected" enthalten.
File C:\WINDOWS\dgkxvye.exe infected by "Trojan.Win32.StartPage.qp" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\ewfnqsg.exe infected by "Trojan.Win32.StartPage.qp" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\fgibwfb.exe infected by "Trojan.Win32.StartPage.qp" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\fonobcn.exe infected by "Trojan.Win32.StartPage.qp" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\hthminb.exe infected by "Trojan.Win32.StartPage.qp" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\ilnnnfi.exe infected by "Trojan.Win32.StartPage.qp" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\keycapq.exe infected by "Trojan.Win32.StartPage.qp" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\mehyrdx.exe infected by "Trojan.Win32.StartPage.qp" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\mhoixtp.exe infected by "Trojan.Win32.StartPage.qp" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\ngbrtvb.exe infected by "Trojan.Win32.StartPage.qp" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\oiepeqw.exe infected by "Trojan.Win32.StartPage.qp" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\pwhvxlv.exe infected by "Trojan.Win32.StartPage.qp" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\qjvhwvv.exe infected by "Trojan.Win32.StartPage.qp" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\ugebqyh.exe infected by "Trojan.Win32.StartPage.qp" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\vkluitd.exe infected by "Trojan.Win32.StartPage.qp" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\notepad.com infected by "TrojanDropper.Win32.Small.lx" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\RDIGER~1\LOKALE~1\Temp\backups\backup-20041121-141201-124.dll infected by "TrojanDownloader.Win32.IstBar.gen" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\RDIGER~1\LOKALE~1\Temp\backups\backup-20041121-141201-529.dll tagged as not-a-virus:AdWare.SaveNow.ab. No Action Taken.
File C:\DOKUME~1\RDIGER~1\LOKALE~1\Temp\backups\backup-20041121-141201-870.dll infected by "TrojanDownloader.Win32.Small.se" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Rü\Anwendungsdaten\tobe.exe tagged as not-a-virus:AdWare.PurityScan.w. No Action Taken.
File C:\Dokumente und Einstellungen\Rü\Lokale Einstellungen\Temp\backups\backup-20041121-141201-124.dll infected by "TrojanDownloader.Win32.IstBar.gen" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Rü\Lokale Einstellungen\Temp\backups\backup-20041121-141201-529.dll tagged as not-a-virus:AdWare.SaveNow.ab. No Action Taken.
File C:\Dokumente und Einstellungen\Rü\Lokale Einstellungen\Temp\backups\backup-20041121-141201-870.dll infected by "TrojanDownloader.Win32.Small.se" Virus. Action Taken: No Action Taken.
File C:\Program Files\Altnet\Download Manager\adm25.dll tagged as not-a-virus:AdWare.Altnet.a. No Action Taken.
File C:\Program Files\Altnet\Download Manager\adm4.dll tagged as not-a-virus:AdWare.Altnet.a. No Action Taken.
File C:\Program Files\Altnet\Download Manager\adm4005.exe tagged as not-a-virus:AdWare.Altnet.a. No Action Taken.
File C:\Program Files\Altnet\Download Manager\admprog.dll tagged as not-a-virus:AdWare.Altnet.a. No Action Taken.
File C:\Program Files\Altnet\Points Manager\sysdetect.dll tagged as not-a-virus:AdWare.BrilliantDigital.1007. No Action Taken.
File C:\Programme\AOL 9.0\Jiti\Jiti_mm.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Programme\Gemeinsame Dateien\aolback\comp01.000 tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Programme\sicherheit utilities\INFECTED\ANSTOSS EDITION 03-04 NOCD CRACK (REALLY WORKING!!!) BY STUNNER 04-02-02.EXE.VIR infected by "Backdoor.Assasin.20.c" Virus. Action Taken: No Action Taken.
File C:\Programme\sicherheit utilities\INFECTED\CAEBQJAD.VIR infected by "TrojanDownloader.Win32.Small.fo" Virus. Action Taken: No Action Taken.
File C:\Programme\sicherheit utilities\INFECTED\CAUNM3M1.VIR infected by "TrojanDownloader.Win32.Small.fo" Virus. Action Taken: No Action Taken.
File C:\Programme\sicherheit utilities\INFECTED\CAWT2ZSP.VIR infected by "TrojanDownloader.Win32.Small.fo" Virus. Action Taken: No Action Taken.
File C:\Programme\sicherheit utilities\INFECTED\NDRV.DLL.VIR tagged as not-a-virus:AdWare.PurityScan.x. No Action Taken.
File C:\Programme\sicherheit utilities\INFECTED\NOTEPAD.EXE.001 infected by "Trojan.Win32.Dialer.by" Virus. Action Taken: No Action Taken.
File C:\Programme\sicherheit utilities\INFECTED\NOTEPAD.EXE.VIR infected by "Trojan.Win32.Dialer.by" Virus. Action Taken: No Action Taken.
File C:\Programme\sicherheit utilities\INFECTED\RVUPDMGR.EXE.VIR infected by "TrojanDownloader.Win32.Keenval" Virus. Action Taken: No Action Taken.
File C:\Programme\sicherheit utilities\INFECTED\SEARCHUPGRADER.EXE.VIR infected by "TrojanDownloader.Win32.Keenval.g" Virus. Action Taken: No Action Taken.
File C:\Programme\sicherheit utilities\INFECTED\SETUP.EXE.001 infected by "TrojanDownloader.Win32.Keenval.f" Virus. Action Taken: No Action Taken.
File C:\Programme\sicherheit utilities\INFECTED\SETUP.EXE.003 infected by "TrojanDownloader.Win32.Keenval.f" Virus. Action Taken: No Action Taken.
File C:\Programme\sicherheit utilities\INFECTED\SETUP.EXE.005 infected by "TrojanDownloader.Win32.Keenval.f" Virus. Action Taken: No Action Taken.
File C:\Programme\sicherheit utilities\INFECTED\SIMGR.EXE.VIR infected by "TrojanDownloader.Win32.Keenval" Virus. Action Taken: No Action Taken.
File C:\Programme\sicherheit utilities\INFECTED\UPDMGR.EXE.VIR infected by "TrojanDownloader.Win32.Keenval" Virus. Action Taken: No Action Taken.
File C:\Programme\sicherheit utilities\INFECTED\XDLDR17.EXE.001 infected by "TrojanDownloader.Win32.Small.fo" Virus. Action Taken: No Action Taken.
File C:\Programme\sicherheit utilities\INFECTED\XDLDR17.EXE.002 infected by "TrojanDownloader.Win32.Small.fo" Virus. Action Taken: No Action Taken.
File C:\Programme\sicherheit utilities\INFECTED\XDLDR17.EXE.003 infected by "TrojanDownloader.Win32.Small.fo" Virus. Action Taken: No Action Taken.
File C:\Programme\sicherheit utilities\INFECTED\XDLDR17.EXE.VIR infected by "TrojanDownloader.Win32.Small.fo" Virus. Action Taken: No Action Taken.
File C:\Programme\sicherheit utilities\INFECTED\XDLDR24.EXE.001 infected by "TrojanDownloader.Win32.Small.fo" Virus. Action Taken: No Action Taken.
File C:\Programme\sicherheit utilities\INFECTED\XDLDR24.EXE.002 infected by "TrojanDownloader.Win32.Small.fo" Virus. Action Taken: No Action Taken.
File C:\Programme\sicherheit utilities\INFECTED\XDLDR24.EXE.VIR infected by "TrojanDownloader.Win32.Small.fo" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\dgkxvye.exe infected by "Trojan.Win32.StartPage.qp" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Downloaded Program Files\CONFLICT.1\HDPlugin1019.dll tagged as not-a-virus:AdWare.Gator.1019. No Action Taken.
File C:\WINDOWS\Downloaded Program Files\CONFLICT.2\ISTactivex.dll infected by "Trojan-Downloader.Win32.IstBar.fz" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Downloaded Program Files\HDPlugin1019.dll tagged as not-a-virus:AdWare.Gator.1019. No Action Taken.
File C:\WINDOWS\Downloaded Program Files\ISTactivex.dll infected by "TrojanDownloader.Win32.IstBar.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\ewfnqsg.exe infected by "Trojan.Win32.StartPage.qp" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\fgibwfb.exe infected by "Trojan.Win32.StartPage.qp" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\fonobcn.exe infected by "Trojan.Win32.StartPage.qp" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\hthminb.exe infected by "Trojan.Win32.StartPage.qp" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\ilnnnfi.exe infected by "Trojan.Win32.StartPage.qp" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\keycapq.exe infected by "Trojan.Win32.StartPage.qp" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\mehyrdx.exe infected by "Trojan.Win32.StartPage.qp" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\mhoixtp.exe infected by "Trojan.Win32.StartPage.qp" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\ngbrtvb.exe infected by "Trojan.Win32.StartPage.qp" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\oiepeqw.exe infected by "Trojan.Win32.StartPage.qp" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\pwhvxlv.exe infected by "Trojan.Win32.StartPage.qp" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\qjvhwvv.exe infected by "Trojan.Win32.StartPage.qp" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\notepad.com infected by "TrojanDropper.Win32.Small.lx" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\ugebqyh.exe infected by "Trojan.Win32.StartPage.qp" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\vkluitd.exe infected by "Trojan.Win32.StartPage.qp" Virus. Action Taken: No Action Taken.
Und jetzt? Weg mit dem Mist oder wie gehts weiter?
Schönen Gruß
ZAKK
bin alles durchgegangen bis einschließlich dem eScan AV Toolkit im abgesicherten Modus.
Unglaublich was da alles zum Vorschein kommt...
Also hier mal alle Einträge aus der mwav.log, die "infected" enthalten.
File C:\WINDOWS\dgkxvye.exe infected by "Trojan.Win32.StartPage.qp" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\ewfnqsg.exe infected by "Trojan.Win32.StartPage.qp" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\fgibwfb.exe infected by "Trojan.Win32.StartPage.qp" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\fonobcn.exe infected by "Trojan.Win32.StartPage.qp" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\hthminb.exe infected by "Trojan.Win32.StartPage.qp" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\ilnnnfi.exe infected by "Trojan.Win32.StartPage.qp" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\keycapq.exe infected by "Trojan.Win32.StartPage.qp" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\mehyrdx.exe infected by "Trojan.Win32.StartPage.qp" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\mhoixtp.exe infected by "Trojan.Win32.StartPage.qp" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\ngbrtvb.exe infected by "Trojan.Win32.StartPage.qp" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\oiepeqw.exe infected by "Trojan.Win32.StartPage.qp" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\pwhvxlv.exe infected by "Trojan.Win32.StartPage.qp" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\qjvhwvv.exe infected by "Trojan.Win32.StartPage.qp" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\ugebqyh.exe infected by "Trojan.Win32.StartPage.qp" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\vkluitd.exe infected by "Trojan.Win32.StartPage.qp" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\notepad.com infected by "TrojanDropper.Win32.Small.lx" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\RDIGER~1\LOKALE~1\Temp\backups\backup-20041121-141201-124.dll infected by "TrojanDownloader.Win32.IstBar.gen" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\RDIGER~1\LOKALE~1\Temp\backups\backup-20041121-141201-529.dll tagged as not-a-virus:AdWare.SaveNow.ab. No Action Taken.
File C:\DOKUME~1\RDIGER~1\LOKALE~1\Temp\backups\backup-20041121-141201-870.dll infected by "TrojanDownloader.Win32.Small.se" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Rü\Anwendungsdaten\tobe.exe tagged as not-a-virus:AdWare.PurityScan.w. No Action Taken.
File C:\Dokumente und Einstellungen\Rü\Lokale Einstellungen\Temp\backups\backup-20041121-141201-124.dll infected by "TrojanDownloader.Win32.IstBar.gen" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Rü\Lokale Einstellungen\Temp\backups\backup-20041121-141201-529.dll tagged as not-a-virus:AdWare.SaveNow.ab. No Action Taken.
File C:\Dokumente und Einstellungen\Rü\Lokale Einstellungen\Temp\backups\backup-20041121-141201-870.dll infected by "TrojanDownloader.Win32.Small.se" Virus. Action Taken: No Action Taken.
File C:\Program Files\Altnet\Download Manager\adm25.dll tagged as not-a-virus:AdWare.Altnet.a. No Action Taken.
File C:\Program Files\Altnet\Download Manager\adm4.dll tagged as not-a-virus:AdWare.Altnet.a. No Action Taken.
File C:\Program Files\Altnet\Download Manager\adm4005.exe tagged as not-a-virus:AdWare.Altnet.a. No Action Taken.
File C:\Program Files\Altnet\Download Manager\admprog.dll tagged as not-a-virus:AdWare.Altnet.a. No Action Taken.
File C:\Program Files\Altnet\Points Manager\sysdetect.dll tagged as not-a-virus:AdWare.BrilliantDigital.1007. No Action Taken.
File C:\Programme\AOL 9.0\Jiti\Jiti_mm.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Programme\Gemeinsame Dateien\aolback\comp01.000 tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Programme\sicherheit utilities\INFECTED\ANSTOSS EDITION 03-04 NOCD CRACK (REALLY WORKING!!!) BY STUNNER 04-02-02.EXE.VIR infected by "Backdoor.Assasin.20.c" Virus. Action Taken: No Action Taken.
File C:\Programme\sicherheit utilities\INFECTED\CAEBQJAD.VIR infected by "TrojanDownloader.Win32.Small.fo" Virus. Action Taken: No Action Taken.
File C:\Programme\sicherheit utilities\INFECTED\CAUNM3M1.VIR infected by "TrojanDownloader.Win32.Small.fo" Virus. Action Taken: No Action Taken.
File C:\Programme\sicherheit utilities\INFECTED\CAWT2ZSP.VIR infected by "TrojanDownloader.Win32.Small.fo" Virus. Action Taken: No Action Taken.
File C:\Programme\sicherheit utilities\INFECTED\NDRV.DLL.VIR tagged as not-a-virus:AdWare.PurityScan.x. No Action Taken.
File C:\Programme\sicherheit utilities\INFECTED\NOTEPAD.EXE.001 infected by "Trojan.Win32.Dialer.by" Virus. Action Taken: No Action Taken.
File C:\Programme\sicherheit utilities\INFECTED\NOTEPAD.EXE.VIR infected by "Trojan.Win32.Dialer.by" Virus. Action Taken: No Action Taken.
File C:\Programme\sicherheit utilities\INFECTED\RVUPDMGR.EXE.VIR infected by "TrojanDownloader.Win32.Keenval" Virus. Action Taken: No Action Taken.
File C:\Programme\sicherheit utilities\INFECTED\SEARCHUPGRADER.EXE.VIR infected by "TrojanDownloader.Win32.Keenval.g" Virus. Action Taken: No Action Taken.
File C:\Programme\sicherheit utilities\INFECTED\SETUP.EXE.001 infected by "TrojanDownloader.Win32.Keenval.f" Virus. Action Taken: No Action Taken.
File C:\Programme\sicherheit utilities\INFECTED\SETUP.EXE.003 infected by "TrojanDownloader.Win32.Keenval.f" Virus. Action Taken: No Action Taken.
File C:\Programme\sicherheit utilities\INFECTED\SETUP.EXE.005 infected by "TrojanDownloader.Win32.Keenval.f" Virus. Action Taken: No Action Taken.
File C:\Programme\sicherheit utilities\INFECTED\SIMGR.EXE.VIR infected by "TrojanDownloader.Win32.Keenval" Virus. Action Taken: No Action Taken.
File C:\Programme\sicherheit utilities\INFECTED\UPDMGR.EXE.VIR infected by "TrojanDownloader.Win32.Keenval" Virus. Action Taken: No Action Taken.
File C:\Programme\sicherheit utilities\INFECTED\XDLDR17.EXE.001 infected by "TrojanDownloader.Win32.Small.fo" Virus. Action Taken: No Action Taken.
File C:\Programme\sicherheit utilities\INFECTED\XDLDR17.EXE.002 infected by "TrojanDownloader.Win32.Small.fo" Virus. Action Taken: No Action Taken.
File C:\Programme\sicherheit utilities\INFECTED\XDLDR17.EXE.003 infected by "TrojanDownloader.Win32.Small.fo" Virus. Action Taken: No Action Taken.
File C:\Programme\sicherheit utilities\INFECTED\XDLDR17.EXE.VIR infected by "TrojanDownloader.Win32.Small.fo" Virus. Action Taken: No Action Taken.
File C:\Programme\sicherheit utilities\INFECTED\XDLDR24.EXE.001 infected by "TrojanDownloader.Win32.Small.fo" Virus. Action Taken: No Action Taken.
File C:\Programme\sicherheit utilities\INFECTED\XDLDR24.EXE.002 infected by "TrojanDownloader.Win32.Small.fo" Virus. Action Taken: No Action Taken.
File C:\Programme\sicherheit utilities\INFECTED\XDLDR24.EXE.VIR infected by "TrojanDownloader.Win32.Small.fo" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\dgkxvye.exe infected by "Trojan.Win32.StartPage.qp" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Downloaded Program Files\CONFLICT.1\HDPlugin1019.dll tagged as not-a-virus:AdWare.Gator.1019. No Action Taken.
File C:\WINDOWS\Downloaded Program Files\CONFLICT.2\ISTactivex.dll infected by "Trojan-Downloader.Win32.IstBar.fz" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Downloaded Program Files\HDPlugin1019.dll tagged as not-a-virus:AdWare.Gator.1019. No Action Taken.
File C:\WINDOWS\Downloaded Program Files\ISTactivex.dll infected by "TrojanDownloader.Win32.IstBar.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\ewfnqsg.exe infected by "Trojan.Win32.StartPage.qp" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\fgibwfb.exe infected by "Trojan.Win32.StartPage.qp" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\fonobcn.exe infected by "Trojan.Win32.StartPage.qp" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\hthminb.exe infected by "Trojan.Win32.StartPage.qp" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\ilnnnfi.exe infected by "Trojan.Win32.StartPage.qp" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\keycapq.exe infected by "Trojan.Win32.StartPage.qp" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\mehyrdx.exe infected by "Trojan.Win32.StartPage.qp" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\mhoixtp.exe infected by "Trojan.Win32.StartPage.qp" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\ngbrtvb.exe infected by "Trojan.Win32.StartPage.qp" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\oiepeqw.exe infected by "Trojan.Win32.StartPage.qp" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\pwhvxlv.exe infected by "Trojan.Win32.StartPage.qp" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\qjvhwvv.exe infected by "Trojan.Win32.StartPage.qp" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\notepad.com infected by "TrojanDropper.Win32.Small.lx" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\ugebqyh.exe infected by "Trojan.Win32.StartPage.qp" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\vkluitd.exe infected by "Trojan.Win32.StartPage.qp" Virus. Action Taken: No Action Taken.
Und jetzt? Weg mit dem Mist oder wie gehts weiter?
Schönen Gruß
ZAKK
- zakk
- Beiträge: 4
- Registriert: 20.11.2004, 16:11
von Nikita am 23.11.2004, 01:08
Hallo@zakk
Loesche ALLES (im abgesicherten Modus) , deaktiviere die Wiederherstellung,
Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k
scanne noch mal mit eScan und berichte,
mfg
Nikita
Loesche ALLES (im abgesicherten Modus) , deaktiviere die Wiederherstellung,
Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k
scanne noch mal mit eScan und berichte,
mfg
Nikita
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von zakk am 25.11.2004, 21:23
Hallo Nikita,
habe alle infizierten files gelöscht und nochmal gescannt. Übrig geblieben ist Folgendes:
File C:\WINDOWS\Downloaded Program Files\CONFLICT.1\HDPlugin1019.dll tagged as not-a-virus:AdWare.Gator.1019. No Action Taken.
File C:\WINDOWS\Downloaded Program Files\CONFLICT.2\ISTactivex.dll infected by "Trojan-Downloader.Win32.IstBar.fz" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Downloaded Program Files\HDPlugin1019.dll tagged as not-a-virus:AdWare.Gator.1019. No Action Taken.
File C:\WINDOWS\Downloaded Program Files\ISTactivex.dll infected by "TrojanDownloader.Win32.IstBar.gen" Virus. Action Taken: No Action Taken.
Leider finde ich die Dateien nicht, kann sie also auch nicht löschen.
Was nun?
Gruß
Zakk
habe alle infizierten files gelöscht und nochmal gescannt. Übrig geblieben ist Folgendes:
File C:\WINDOWS\Downloaded Program Files\CONFLICT.1\HDPlugin1019.dll tagged as not-a-virus:AdWare.Gator.1019. No Action Taken.
File C:\WINDOWS\Downloaded Program Files\CONFLICT.2\ISTactivex.dll infected by "Trojan-Downloader.Win32.IstBar.fz" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Downloaded Program Files\HDPlugin1019.dll tagged as not-a-virus:AdWare.Gator.1019. No Action Taken.
File C:\WINDOWS\Downloaded Program Files\ISTactivex.dll infected by "TrojanDownloader.Win32.IstBar.gen" Virus. Action Taken: No Action Taken.
Leider finde ich die Dateien nicht, kann sie also auch nicht löschen.
Was nun?
Gruß
Zakk
- zakk
- Beiträge: 4
- Registriert: 20.11.2004, 16:11
von Nikita am 25.11.2004, 22:38
Hallo@zakk
wenn du gleich am Anfang meinen Anweisungen gefolgt waerst, und den eScan -Trial installiert haettest, dann waere dir viel viel Arbeit erspart beblieben
. ich hatte eigentlich gedacht, dass die Liste (infizierte Datien) noch laenger ist...aber wie es scheint, magst du das muehselige , manuelle Loeschen.
Es kann sein, dass du die Datei vom Gator nicht geloescht bekommst, da sie von irgendeinem Programm, das du verwendest, in Beschlag genommen wird.
-->Löschen/mit der Killbox:
KillBox
http://www.bleepingcomputer.com/files/killbox.php
ODER:
1.) öffne das HijackThis:
2.) HijackThis-->Config-->Misc Tools-->Delete a file on reboot
3.) kopiere rein:
C:\WINDOWS\Downloaded Program Files\ISTactivex.dll
PC neustarten
das versuchst du mit:
C:\WINDOWS\Downloaded Program Files\HDPlugin1019.dll
<C:\WINDOWS\Downloaded Program Files\CONFLICT.1\HDPlugin1019.dll
<C:\WINDOWS\Downloaded Program Files\CONFLICT.2\ISTactivex.dll
oder manuell:
Versteckte Ordner\Dateien anzeigen
#Lade die zip-Datei<xphidden< und oeffne sie,Doppelklick und "yes" zur Registry hinzufuegen, (so werden alle Dateien sichtbar)
http://www.davehigham.zen.co.uk/downloads/xphidden.zip
#Windows Explorer -> "Extras/Ordneroptionen" ->
"Ansicht" -> Haken entfernen bei "Geschützte Systemdateien
ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen"
aktivieren -> "OK"
Suchfunktion von Windows:
1. "Bevorzugte Einstellungen ändern | Datei- und Ordnersuchverhalten
ändern | Erweitert [...] Empfohlen für fortgeschrittene Benutzer"
2. Über "OK" auf "Weitere Optionen" gehen und die folgenden
Optionen
auswählen:
[x] Systemordner durchsuchen
[x] Versteckte Elemente durchsuchen
[x] Unterordner durchsuchen
optimiere \saeubere den PC
#TuneUp2004 (30 Tage free)
http://www.tuneup.de/download/
Dann poste das neue Log vom HijackThis
mfg
Nikita
wenn du gleich am Anfang meinen Anweisungen gefolgt waerst, und den eScan -Trial installiert haettest, dann waere dir viel viel Arbeit erspart beblieben
. ich hatte eigentlich gedacht, dass die Liste (infizierte Datien) noch laenger ist...aber wie es scheint, magst du das muehselige , manuelle Loeschen.
Es kann sein, dass du die Datei vom Gator nicht geloescht bekommst, da sie von irgendeinem Programm, das du verwendest, in Beschlag genommen wird.
-->Löschen/mit der Killbox:
KillBox
http://www.bleepingcomputer.com/files/killbox.php
ODER:
1.) öffne das HijackThis:
2.) HijackThis-->Config-->Misc Tools-->Delete a file on reboot
3.) kopiere rein:
C:\WINDOWS\Downloaded Program Files\ISTactivex.dll
PC neustarten
das versuchst du mit:
C:\WINDOWS\Downloaded Program Files\HDPlugin1019.dll
<C:\WINDOWS\Downloaded Program Files\CONFLICT.1\HDPlugin1019.dll
<C:\WINDOWS\Downloaded Program Files\CONFLICT.2\ISTactivex.dll
oder manuell:
Versteckte Ordner\Dateien anzeigen
#Lade die zip-Datei<xphidden< und oeffne sie,Doppelklick und "yes" zur Registry hinzufuegen, (so werden alle Dateien sichtbar)
http://www.davehigham.zen.co.uk/downloads/xphidden.zip
#Windows Explorer -> "Extras/Ordneroptionen" ->
"Ansicht" -> Haken entfernen bei "Geschützte Systemdateien
ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen"
aktivieren -> "OK"
Suchfunktion von Windows:
1. "Bevorzugte Einstellungen ändern | Datei- und Ordnersuchverhalten
ändern | Erweitert [...] Empfohlen für fortgeschrittene Benutzer"
2. Über "OK" auf "Weitere Optionen" gehen und die folgenden
Optionen
auswählen:
[x] Systemordner durchsuchen
[x] Versteckte Elemente durchsuchen
[x] Unterordner durchsuchen
optimiere \saeubere den PC
#TuneUp2004 (30 Tage free)
http://www.tuneup.de/download/
Dann poste das neue Log vom HijackThis
mfg
Nikita
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
9 Beiträge • Seite 1 von 1
Ähnliche Themen
| Cheats Page... Forum: Software-Hilfe Autor: Spinne20 Antworten: |
html Forum: Feedback Autor: Anonymous Antworten: |
Beim jedem Start kommt eine Meldung : Laufzeitfehler 61. ?? Forum: Software-Hilfe Autor: Care333 Antworten: |
Laptop(Gericom Masterpeace)hängt nach Start von Drive Image Forum: Hardware-Hilfe Autor: moniwuff Antworten: |
Windows XP-Sceen beim Start ausschalten Forum: Software-Hilfe Autor: moniwuff Antworten: |
Zurück zu Online- und PC-Sicherheit
Wer ist online?
Mitglieder in diesem Forum: Google [Bot] und 0 Gäste