Problem mit Spyware/ hjt

von **hans00** am 22.02.2005, 02:03

Hallo alle miteinander,

habe das Problem, das mein IExplorer( den ich nie wieder benutzen werde) dauernd Popups dieses Sexpokermist aufruft. Und verschiedene ungewollte Favoriten hinzugefügt+Startseite nicht mehr veränderbar ist.
Ich sitze schon geschlagene drei Tage an den Problem meinen Rechner wieder sauber zu bekommen, komme aber leider nicht weiter.
Da die Fragen wahrscheinlich hier schon öfter aufgetaucht sind, habe ich erstmal versucht auf eigene Faust Ordnung zu schaffen. Da mit ad-adware, Spybot S&D die Dateien nach Neustart immer wieder neu auftauchen, habe ich dann mit Escan die Dateien manuell gelöscht. Leider - zu spät erst von erfahren habe- habe ich kein Killbox benutzt.
Wahrscheinlich war das der Fehler ....
Habe folgende 3 Dateien einfach so gelöscht

Code: Alles auswählen: :[00000001] File C:\WINDOWS\System32\connmie.exe infected by not-a-virus:AdWare.FindSpy.a [msvLclnt.dll] [0x00000660] 21/02/2005 14:58:18:595 :[00000001] File C:\WINDOWS\System32\dxconf.exe infected by not-a-virus:AdWare.FindSpy.a [msvLclnt.dll] [0x00000660] 21/02/2005 14:59:54:453 :[00000001] File C:\WINDOWS\System32\truettf.exe infected by not-a-virus:AdWare.Msnagent.a

Wie lösche ich die ganzen restlichen Dateien wie z.B unter c:/recycler....

Code: Alles auswählen: 716 :ModuleName = C:\bases\mwavscan.com [msvLclnt.dll] [0x00000690] 20/02/2005 23:49:57:716 :Registry Key Deleted Properly!!! [msvLclnt.dll] [0x00000690] 20/02/2005 23:50:03:624 :Options Set by External applications mwavscan.com are 9896960 (0x970400): [msvLclnt.dll] [0x00000690] 20/02/2005 23:50:03:624 :Mode :PACKED,ARCHIVED,CA,WARNINGS,MAILPLAIN [msvLclnt.dll] [0x00000690] 20/02/2005 23:50:03:624 :TimeOut : ffffffff [msvLclnt.dll] [0x00000690] 20/02/2005 23:50:03:624 :Priority : NORMAL [msvLclnt.dll] [0x00000690] 20/02/2005 23:50:05:297 :VirusCount = 118955 Latest Date = 2005/02/20 [msvLclnt.dll] [0x00000700] 20/02/2005 23:52:19:770 :[00000001] File C:\WINDOWS\System32\sfcman32.dll infected by Trojan.Win32.StartPage.fw [msvLclnt.dll] [0x00000700] 20/02/2005 23:53:31:233 :[00000001] File C:\WINDOWS\System32\connmie.exe infected by not-a-virus:AdWare.FindSpy.a [msvLclnt.dll] [0x00000700] 20/02/2005 23:53:47:847 :[00000001] File C:\WINDOWS\System32\dxconf.exe infected by not-a-virus:AdWare.FindSpy.a [msvLclnt.dll] [0x00000700] 20/02/2005 23:55:31:856 :[00000001] File C:\WINDOWS\System32\truettf.exe infected by not-a-virus:AdWare.Msnagent.a [msvLclnt.dll] [0x00000700] 20/02/2005 23:58:26:147 :[00000001] File C:\DOKUME~1\Tobse\LOKALE~1\TEMPOR~1\Content.IE5\0Z63JZX7\exploit[1].exe infected by Trojan-Clicker.Win32.Agent.bu [msvLclnt.dll] [0x00000700] 21/02/2005 00:01:29:711 :[00000001] File C:\DOKUME~1\Tobse\LOKALE~1\TEMPOR~1\Content.IE5\743GRYUR\x[1].chm infected by Trojan-Clicker.Win32.Agent.bu [msvLclnt.dll] [0x00000700] 21/02/2005 00:07:38:661 :[00000001] File C:\DOKUME~1\Tobse\LOKALE~1\TEMPOR~1\Content.IE5\GT2JSHA3\index[3].htm infected by Exploit.VBS.Phel.a [msvLclnt.dll] [0x00000700] 21/02/2005 00:08:10:417 :[00000001] File C:\DOKUME~1\Tobse\LOKALE~1\TEMPOR~1\Content.IE5\HF80TNFG\counter[1].htm infected by Exploit.HTML.Mht [msvLclnt.dll] [0x00000700] 21/02/2005 00:09:30:192 :[00000001] File C:\DOKUME~1\Tobse\LOKALE~1\TEMPOR~1\Content.IE5\Q29OI5HH\EXPLOIT[1].CHM infected by Trojan-Downloader.VBS.Psyme.ac [msvLclnt.dll] [0x00000700] 21/02/2005 00:20:54:275 :[00000001] File C:\Dokumente und Einstellungen\Tobse\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0Z63JZX7\exploit[1].exe infected by Trojan-Clicker.Win32.Agent.bu [msvLclnt.dll] [0x00000700] 21/02/2005 00:23:37:440 :[00000001] File C:\Dokumente und Einstellungen\Tobse\Lokale Einstellungen\Temporary Internet Files\Content.IE5\743GRYUR\x[1].chm infected by Trojan-Clicker.Win32.Agent.bu [msvLclnt.dll] [0x00000700] 21/02/2005 00:29:38:109 :[00000001] File C:\Dokumente und Einstellungen\Tobse\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GT2JSHA3\index[3].htm infected by Exploit.VBS.Phel.a [msvLclnt.dll] [0x00000700] 21/02/2005 00:30:10:906 :[00000001] File C:\Dokumente und Einstellungen\Tobse\Lokale Einstellungen\Temporary Internet Files\Content.IE5\HF80TNFG\counter[1].htm infected by Exploit.HTML.Mht [msvLclnt.dll] [0x00000700] 21/02/2005 00:31:56:618 :[00000001] File C:\Dokumente und Einstellungen\Tobse\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Q29OI5HH\EXPLOIT[1].CHM infected by Trojan-Downloader.VBS.Psyme.ac [msvLclnt.dll] [0x00000700] 21/02/2005 01:40:36:953 :[00000001] File C:\RECYCLER\NPROTECT\00003214.exe infected by Trojan-Clicker.Win32.Agent.bu [msvLclnt.dll] [0x00000700] 21/02/2005 01:40:37:393 :[00000001] File C:\RECYCLER\NPROTECT\00003228.exe infected by Trojan-Clicker.Win32.Agent.bu [msvLclnt.dll] [0x00000700] 21/02/2005 01:40:37:664 :[00000001] File C:\RECYCLER\NPROTECT\00003229.exe infected by Trojan.Win32.Dialer.gd [msvLclnt.dll] [0x00000700] 21/02/2005 01:41:22:518 :[00000001] File C:\RECYCLER\NPROTECT\00003670.exe infected by not-a-virus:AdWare.FindSpy.a [msvLclnt.dll] [0x00000700] 21/02/2005 01:41:22:688 :[00000001] File C:\RECYCLER\NPROTECT\00003671.exe infected by not-a-virus:AdWare.Msnagent.a [msvLclnt.dll] [0x00000700] 21/02/2005 01:41:22:818 :[00000001] File C:\RECYCLER\NPROTECT\00003672.exe infected by not-a-virus:AdWare.FindSpy.a [msvLclnt.dll] [0x00000700] 21/02/2005 01:41:22:909 :[00000001] File C:\RECYCLER\NPROTECT\00003673.exe infected by Trojan.Win32.Dialer.gd [msvLclnt.dll] [0x00000700] 21/02/2005 01:41:22:979 :[00000001] File C:\RECYCLER\NPROTECT\00003676.exe infected by Trojan.Win32.Dialer.gd [msvLclnt.dll] [0x00000700] 21/02/2005 01:41:31:100 :[00000001] File C:\RECYCLER\NPROTECT\00003953.exe infected by not-a-virus:AdWare.FindSpy.a [msvLclnt.dll] [0x00000700] 21/02/2005 01:41:31:301 :[00000001] File C:\RECYCLER\NPROTECT\00003954.exe infected by not-a-virus:AdWare.Msnagent.a [msvLclnt.dll] [0x00000700] 21/02/2005 01:41:31:411 :[00000001] File C:\RECYCLER\NPROTECT\00003955.exe infected by not-a-virus:AdWare.FindSpy.a [msvLclnt.dll] [0x00000700] 21/02/2005 01:41:31:711 :[00000001] File C:\RECYCLER\NPROTECT\00003956.exe infected by Trojan.Win32.Dialer.gd [msvLclnt.dll] [0x00000700] 21/02/2005 01:41:31:781 :[00000001] File C:\RECYCLER\NPROTECT\00003959.exe infected by Trojan.Win32.Dialer.gd [msvLclnt.dll] [0x00000700] 21/02/2005 01:42:53:789 :[00000001] File C:\RECYCLER\NPROTECT\00004694.exe infected by not-a-virus:AdWare.FindSpy.a [msvLclnt.dll] [0x00000700] 21/02/2005 01:42:53:939 :[00000001] File C:\RECYCLER\NPROTECT\00004695.exe infected by not-a-virus:AdWare.Msnagent.a [msvLclnt.dll] [0x00000700] 21/02/2005 01:42:54:020 :[00000001] File C:\RECYCLER\NPROTECT\00004696.exe infected by not-a-virus:AdWare.FindSpy.a [msvLclnt.dll] [0x00000700] 21/02/2005 01:42:54:110 :[00000001] File C:\RECYCLER\NPROTECT\00004697.exe infected by Trojan.Win32.Dialer.gd [msvLclnt.dll] [0x00000700] 21/02/2005 01:42:54:170 :[00000001] File C:\RECYCLER\NPROTECT\00004700.exe infected by Trojan.Win32.Dialer.gd [msvLclnt.dll] [0x00000700] 21/02/2005 01:42:59:958 :[00000001] File C:\RECYCLER\NPROTECT\00004827.exe infected by not-a-virus:AdWare.FindSpy.a [msvLclnt.dll] [0x00000700] 21/02/2005 01:43:00:138 :[00000001] File C:\RECYCLER\NPROTECT\00004828.exe infected by not-a-virus:AdWare.Msnagent.a [msvLclnt.dll] [0x00000700] 21/02/2005 01:43:00:239 :[00000001] File C:\RECYCLER\NPROTECT\00004829.exe infected by not-a-virus:AdWare.FindSpy.a [msvLclnt.dll] [0x00000700] 21/02/2005 01:43:00:329 :[00000001] File C:\RECYCLER\NPROTECT\00004830.exe infected by Trojan.Win32.Dialer.gd [msvLclnt.dll] [0x00000700] 21/02/2005 01:43:00:389 :[00000001] File C:\RECYCLER\NPROTECT\00004833.exe infected by Trojan.Win32.Dialer.gd [msvLclnt.dll] [0x00000700] 21/02/2005 01:44:05:242 :[00000001] File C:\RECYCLER\S-1-5-21-1801674531-842925246-839522115-1003\Dc46.dll infected by Trojan.Win32.StartPage.fw [msvLclnt.dll] [0x00000700] 21/02/2005 01:44:05:462 :[00000001] File C:\RECYCLER\S-1-5-21-1801674531-842925246-839522115-1003\Dc48.exe infected by not-a-virus:AdWare.FindSpy.a [msvLclnt.dll] [0x00000700] 21/02/2005 01:44:05:613 :[00000001] File C:\RECYCLER\S-1-5-21-1801674531-842925246-839522115-1003\Dc49.exe infected by not-a-virus:AdWare.Msnagent.a [msvLclnt.dll] [0x00000700] 21/02/2005 01:44:05:913 :[00000001] File C:\RECYCLER\S-1-5-21-1801674531-842925246-839522115-1003\Dc50.exe infected by Trojan-Clicker.Win32.Agent.bu [msvLclnt.dll] [0x00000700] 21/02/2005 01:44:06:274 :[00000001] File C:\RECYCLER\S-1-5-21-1801674531-842925246-839522115-1003\Dc53.chm infected by Trojan-Clicker.Win32.Agent.bu [msvLclnt.dll] [0x00000700] 21/02/2005 01:44:06:364 :[00000001] File C:\RECYCLER\S-1-5-21-1801674531-842925246-839522115-1003\Dc54.htm infected by Exploit.VBS.Phel.a [msvLclnt.dll] [0x00000700] 21/02/2005 01:44:06:754 :[00000001] File C:\RECYCLER\S-1-5-21-1801674531-842925246-839522115-1003\Dc57.htm infected by Exploit.HTML.Mht [msvLclnt.dll] [0x00000700] 21/02/2005 01:44:06:975 :[00000001] File C:\RECYCLER\S-1-5-21-1801674531-842925246-839522115-1003\Dc58.CHM infected by Trojan-Downloader.VBS.Psyme.ac [msvLclnt.dll] [0x00000700] 21/02/2005 01:45:02:655 :[00000001] File C:\System Volume Information\_restore{B3DBCB53-5DD9-4762-AE94-CFAB0E801C74}\RP18\A0002445.exe infected by Backdoor.Win32.Rbot.gen [msvLclnt.dll] [0x00000700] 21/02/2005 01:45:06:230 :[00000001] File C:\System Volume Information\_restore{B3DBCB53-5DD9-4762-AE94-CFAB0E801C74}\RP18\A0002447.exe infected by Backdoor.Win32.Rbot.gen [msvLclnt.dll] [0x00000700] 21/02/2005 01:48:04:366 :[00000001] File C:\System Volume Information\_restore{B3DBCB53-5DD9-4762-AE94-CFAB0E801C74}\RP26\A0005751.exe infected by not-a-virus:AdWare.FindSpy.a [msvLclnt.dll] [0x00000700] 21/02/2005 01:48:04:536 :[00000001] File C:\System Volume Information\_restore{B3DBCB53-5DD9-4762-AE94-CFAB0E801C74}\RP26\A0005752.exe infected by not-a-virus:AdWare.Msnagent.a [msvLclnt.dll] [0x00000700] 21/02/2005 01:48:04:626 :[00000001] File C:\System Volume Information\_restore{B3DBCB53-5DD9-4762-AE94-CFAB0E801C74}\RP26\A0005753.exe infected by not-a-virus:AdWare.FindSpy.a [msvLclnt.dll] [0x00000700] 21/02/2005 01:48:21:360 :[00000001] File C:\System Volume Information\_restore{B3DBCB53-5DD9-4762-AE94-CFAB0E801C74}\RP29\A0005919.exe infected by not-a-virus:AdWare.FindSpy.a [msvLclnt.dll] [0x00000700] 21/02/2005 01:48:21:511 :[00000001] File C:\System Volume Information\_restore{B3DBCB53-5DD9-4762-AE94-CFAB0E801C74}\RP29\A0005920.exe infected by not-a-virus:AdWare.Msnagent.a [msvLclnt.dll] [0x00000700] 21/02/2005 01:48:21:591 :[00000001] File C:\System Volume Information\_restore{B3DBCB53-5DD9-4762-AE94-CFAB0E801C74}\RP29\A0005921.exe infected by not-a-virus:AdWare.FindSpy.a [msvLclnt.dll] [0x00000700] 21/02/2005 01:48:31:475 :[00000001] File C:\System Volume Information\_restore{B3DBCB53-5DD9-4762-AE94-CFAB0E801C74}\RP31\A0005963.exe infected by not-a-virus:AdWare.FindSpy.a [msvLclnt.dll] [0x00000700] 21/02/2005 01:48:31:635 :[00000001] File C:\System Volume Information\_restore{B3DBCB53-5DD9-4762-AE94-CFAB0E801C74}\RP31\A0005964.exe infected by not-a-virus:AdWare.Msnagent.a [msvLclnt.dll] [0x00000700] 21/02/2005 01:48:31:715 :[00000001] File C:\System Volume Information\_restore{B3DBCB53-5DD9-4762-AE94-CFAB0E801C74}\RP31\A0005965.exe infected by not-a-virus:AdWare.FindSpy.a [msvLclnt.dll] [0x00000700] 21/02/2005 01:48:34:349 :[00000001] File C:\System Volume Information\_restore{B3DBCB53-5DD9-4762-AE94-CFAB0E801C74}\RP31\A0006001.exe infected by not-a-virus:AdWare.FindSpy.a [msvLclnt.dll] [0x00000700] 21/02/2005 01:48:34:519 :[00000001] File C:\System Volume Information\_restore{B3DBCB53-5DD9-4762-AE94-CFAB0E801C74}\RP31\A0006002.exe infected by not-a-virus:AdWare.Msnagent.a [msvLclnt.dll] [0x00000700] 21/02/2005 01:48:34:619 :[00000001] File C:\System Volume Information\_restore{B3DBCB53-5DD9-4762-AE94-CFAB0E801C74}\RP31\A0006003.exe infected by not-a-virus:AdWare.FindSpy.a [msvLclnt.dll] [0x00000700] 21/02/2005 02:05:49:307 :[00000001] File C:\WINDOWS\system32\connmie.exe infected by not-a-virus:AdWare.FindSpy.a [msvLclnt.dll] [0x00000700] 21/02/2005 02:12:06:219 :VirusCount = 118955 Latest Date = 2005/02/20 [msvLclnt.dll] [0x00000690] 21/02/2005 02:31:00:981 :VirusCount = 118955 Latest Date = 2005/02/20 [msvLclnt.dll] [0x00000600] 21/02/2005 14:56:08:658 :ModuleName = C:\bases\mwavscan.com [msvLclnt.dll] [0x00000600] 21/02/2005 14:56:08:678 :Registry Key Deleted Properly!!! [msvLclnt.dll] [0x00000600] 21/02/2005 14:56:14:717 :Options Set by External applications mwavscan.com are 9896960 (0x970400): [msvLclnt.dll] [0x00000600] 21/02/2005 14:56:14:717 :Mode :PACKED,ARCHIVED,CA,WARNINGS,MAILPLAIN

Habe jetzt zuletzt versucht mit Hijacker das Problem zu lösen und drei Files schon gelöscht (nämlich die drei o 17 )...Bei den anderen bin ich mir nicht sicher

Code: Alles auswählen: Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\Explorer.EXE C:\Programme\Speed Disk\nopdb.exe C:\Programme\QuickTime\qttask.exe C:\WINDOWS\System32\ctfmon.exe C:\PROGRAM FILES\interMute\SpySubtract\SpySub.exe C:\WINDOWS\System32\wuauclt.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\Mozilla Firefox\firefox.exe C:\temp\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://clearsurfing.net/srch.php?qq=%s R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - C:\WINDOWS\System32\iecustom32.dll O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Norton System Doctor.lnk = C:\Programme\Norton Utilities\SYSDOC32.EXE O4 - Global Startup: SpySubtract.lnk = C:\PROGRAM FILES\interMute\SpySubtract\SpySub.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{20C6D16C-B5F3-406F-9447-E1B7C59B4BFB}: NameServer = 69.50.188.180,195.225.176.31 O17 - HKLM\System\CS1\Services\Tcpip\..\{20C6D16C-B5F3-406F-9447-E1B7C59B4BFB}: NameServer = 69.50.188.180,195.225.176.31 O17 - HKLM\System\CS2\Services\Tcpip\..\{20C6D16C-B5F3-406F-9447-E1B7C59B4BFB}: NameServer = 69.50.188.180,195.225.176.31 O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programme\Norton Utilities\NPROTECT.EXE O23 - Service: Speed Disk service - Symantec Corporation - C:\Programme\Speed Disk\nopdb.exe

Das Problem ist das mein Rechner zu Beginn jedes Neustarts nun ungefähr 10 Minuten lang im Hintergrund rechnet und höllisch langsam ist??

Ich wäre echt dankbar für eure Hilfe

von **Nikita** am 22.02.2005, 12:54

KillBox
http://www.bleepingcomputer.com/files/killbox.php

1) lade remv3.zip
http://forums.skads.org/index.php?showtopic=80
2) entpacke es im verzeichnis C:\WINDOWS\System32\
(es ist wichtig, dass es in diesem verzeichnis ist!)

Deaktivieren Wiederherstellung
«XP
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(aktiviere sie dann wieder)

.Öffne den Editor (Start -> Programme -> Zubehör) und kopiere den Inhalt des folgenden Zitats in das Editorfenster. Speichere die Datei anschließend unter dem Namen DelDomains.inf mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
2. Schließe den InternetExplorer.
3. Klicke die Datei DelDomains.inf mit der rechten Maustaste an und dann auf 'Installieren'.
---------------------------------------------------------------------------------------------------------

[version]
signature="$CHICAGO$"

[DefaultInstall]
DelReg=DelTemps
AddReg=AddTemps

[DelTemps]
HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"
HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"
HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges"
HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges"

; Recreate the keys to avoid a restart

[AddTemps]
HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"
HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"
HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges"
HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges"

__________________________________________________________________

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://clearsurfing.net/srch.php?qq=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank

O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - C:\WINDOWS\System32\iecustom32.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{20C6D16C-B5F3-406F-9447-E1B7C59B4BFB}: NameServer = 69.50.188.180,195.225.176.31
O17 - HKLM\System\CS1\Services\Tcpip\..\{20C6D16C-B5F3-406F-9447-E1B7C59B4BFB}: NameServer = 69.50.188.180,195.225.176.31
O17 - HKLM\System\CS2\Services\Tcpip\..\{20C6D16C-B5F3-406F-9447-E1B7C59B4BFB}: NameServer = 69.50.188.180,195.225.176.31

3) starte den rechner im abgesicherten modus.
http://www.tu-berlin.de/www/software/vi ... mode.shtml

4) starte die datei rem.bat, scannen lassen.

--> loesche:
C:\DOKUME~1\Tobse\LOKALE~1\TEMPOR~1\Content.IE5\0Z63JZX7\exploit[1].exe
C:\DOKUME~1\Tobse\LOKALE~1\TEMPOR~1\Content.IE5\743GRYUR\x[1].chm
C:\DOKUME~1\Tobse\LOKALE~1\TEMPOR~1\Content.IE5\GT2JSHA3\index[3].htm
C:\DOKUME~1\Tobse\LOKALE~1\TEMPOR~1\Content.IE5\HF80TNFG\counter[1].htm
C:\DOKUME~1\Tobse\LOKALE~1\TEMPOR~1\Content.IE5\Q29OI5HH\EXPLOIT[1].CHM

-->loesche alles, was im papierkorb ist

oeffne die Killbox:
<Delete File on Reboot--> anhaken
und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\RECYCLER\NPROTECT\00003214.exe
C:\RECYCLER\NPROTECT\00003228.exe
C:\RECYCLER\NPROTECT\00003229.exe
C:\RECYCLER\NPROTECT\00003670.exe
C:\RECYCLER\NPROTECT\00003671.exe
C:\RECYCLER\NPROTECT\00003672.exe
C:\RECYCLER\NPROTECT\00003673.exe
C:\RECYCLER\NPROTECT\00003676.exe
C:\RECYCLER\NPROTECT\00003953.exe
C:\RECYCLER\NPROTECT\00003954.exe
C:\RECYCLER\NPROTECT\00003955.exe
C:\RECYCLER\NPROTECT\00003956.exe
C:\RECYCLER\NPROTECT\00003959.exe
C:\RECYCLER\NPROTECT\00004694.exe
C:\RECYCLER\NPROTECT\00004695.exe
C:\RECYCLER\NPROTECT\00004696.exe
C:\RECYCLER\NPROTECT\00004697.exe
C:\RECYCLER\NPROTECT\00004700.exe
C:\RECYCLER\NPROTECT\00004827.exe
C:\RECYCLER\NPROTECT\00004828.exe
C:\RECYCLER\NPROTECT\00004829.exe
C:\RECYCLER\NPROTECT\00004830.exe
C:\RECYCLER\NPROTECT\00004833.exe

C:\RECYCLER\S-1-5-21-1801674531-842925246-839522115-1003\Dc46.dll
C:\RECYCLER\S-1-5-21-1801674531-842925246-839522115-1003\Dc48.exe
C:\RECYCLER\S-1-5-21-1801674531-842925246-839522115-1003\Dc49.exe
C:\RECYCLER\S-1-5-21-1801674531-842925246-839522115-1003\Dc50.exe
C:\RECYCLER\S-1-5-21-1801674531-842925246-839522115-1003\Dc53.chm
C:\RECYCLER\S-1-5-21-1801674531-842925246-839522115-1003\Dc54.htm
C:\RECYCLER\S-1-5-21-1801674531-842925246-839522115-1003\Dc57.htm
C:\RECYCLER\S-1-5-21-1801674531-842925246-839522115-1003\Dc58.CHM

C:\WINDOWS\system32\run_dos.dll
C:\WINDOWS\Ole32ws.dll
C:\WINDOWS\system32\connmie.exe
C:\WINDOWS\System32\iecustom32.dll
C:\WINDOWS\System32\sfcman32.dll
C:\WINDOWS\System32\connmie.exe
C:\WINDOWS\System32\dxconf.exe
C:\WINDOWS\System32\truettf.exe

5) starte den rechner anschließend im normalen modus.

#ClaerProg..lade die neuste Version <1.4.1
http://www.clearprog.de/downloads.php
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)

CWShredder 2.12 [2004-12-13]
http://www.majorgeeks.com/download3019.html

#Ad-aware SE Personal 1.05 Updated
http://fileforum.betanews.com/detail/965718306/1

AdAware-VX2 Cleaner
http://www.lavasoftusa.com/software/add ... aner.shtml
# Schließen Sie Ad-Aware (falls es gerade läuft)

# Installieren Sie den VX2 Cleaner
# Starten Sie Ad-Aware
# Wechseln Sie zu Add-Ons
# Klicken Sie auf das VX2 Cleaner Add-on und klicken Sie auf Tool ausführen
# Ist Ihr Computer nicht Infiziert, klicken Sie auf schließen
# Ist Ihr Computer Infiziert, klicken Sie auf System reinigen
# Neustart
# Prüfen Sie Ihren Computer mit Ad-Aware
# Entfernen Sie jegliche gefundenen VX2 Objekte
# Neustart
# Prüfen Sie Ihr System erneut um sicherzustellen, das alle Dateien von Ihrem System entfernt wurden.

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

6) unter C:\ sollte nun eine datei namens log.txt und bad1.txt zu finden sein.
7) markiere den inhalt und füge ihn hier ein.

erstelle ein aktuelles HijackThis log und poste es mit der log.txt von rem.
wurde eine malware entfernt, sollten noch zusätzlich zur log.txt unter C:\ die Dateien bad.reg und bad.zip erstellt worden sein.
Bitte diese Dateien zunächst so belassen, nicht öffnen !

von **hans00** am 22.02.2005, 18:18

Vielen Dank schonmal für die hervoragende Hilfe.
Sieht fast so aus als wenn der IE wieder richtig läuft.

Ich habe aber das Problem, das mein Rechner richtig lange rechnet bis er Windows hochgeladen hat. Das hat vorher nicht so lange gedauert.
Woran liegt das?

Hier nochmal die Hijack this Logfile

Code: Alles auswählen: Logfile of HijackThis v1.99.1 Scan saved at 17:02:20, on 22.02.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\alg.exe C:\Programme\Norton Utilities\NPROTECT.EXE C:\WINDOWS\Explorer.EXE C:\Programme\Speed Disk\nopdb.exe C:\WINDOWS\System32\ctfmon.exe C:\PROGRAM FILES\interMute\SpySubtract\SpySub.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\WINDOWS\System32\wuauclt.exe C:\temp\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Norton System Doctor.lnk = C:\Programme\Norton Utilities\SYSDOC32.EXE O4 - Global Startup: SpySubtract.lnk = C:\PROGRAM FILES\interMute\SpySubtract\SpySub.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programme\Norton Utilities\NPROTECT.EXE O23 - Service: Speed Disk service - Symantec Corporation - C:\Programme\Speed Disk\nopdb.exe

und die rem logfile

Code: Alles auswählen: Files Found................. ---------------------------------------- run_dos.dll connmie.exe dxconf.exe iecustme.exe mxbkup.exe truettf.exe Files Not deleted................. ---------------------------------------- Merging registry entries ----------------------------------------------------------------- The Registry Entries Found... ----------------------------------------------------------------- Other bad files to be Manually deleted.. Please note that this might also list legit Files, be careful while deleting ----------------------------------------------------------------- msi.dll Finished

Die bad1.txt ist leer!

Vielen Dank nochmal

von **Nikita** am 22.02.2005, 18:43

Hallo@hans00

loesche mit der Killbox:

C:\WINDOWS\System32\run_dos.dll
C:\WINDOWS\System32\connmie.exe
C:\WINDOWS\System32\dxconf.exe
C:\WINDOWS\System32\iecustme.exe
C:\WINDOWS\System32\mxbkup.exe
C:\WINDOWS\System32\truettf.exe

neustarten

Start<Ausfuehren<< schreib rein: %temp%
dort findest du ein kb.log (ist von der Killbox) poste bitte den Text.

#TuneUp2004 (30 Tage free)
http://www.tuneup.de/products/tuneup-utilities/
Cleanup repair -->TuneUp Diskcleaner
Cleanup repair -->Registry Cleaner

dann scanne bitte noch mal mit rem3v.bat

von **hans00** am 22.02.2005, 20:04

Hey

Wenn ich mit Killbox versuche die Dateien zu löschen bekomme ich jene Fehlermeldung :

Code: Alles auswählen: Pending File Rename Operations Registry Data has been Removed by External Process !

Die kb.log sieht so aus

Code: Alles auswählen: C:\WINDOWS\System32\sfcman32.dll C:\WINDOWS\System32\sfcman32.dll C:\WINDOWS\System32\connmie.exe C:\WINDOWS\System32\dxconf.exe C:\WINDOWS\System32\truettf.exe C:\DOKUME~1\Tobse\LOKALE~1\TEMPOR~1\Content.IE5\0Z63JZX7\exploit[1].exe C:\DOKUME~1\Tobse\LOKALE~1\TEMPOR~1\Content.IE5\743GRYUR\x[1].chm C:\DOKUME~1\Tobse\LOKALE~1\TEMPOR~1\Content.IE5\GT2JSHA3\index[3].htm C:\RECYCLER\NPROTECT\00003214.exe C:\RECYCLER\S-1-5-21-1801674531-842925246-839522115-1003\Dc46.dll C:\WINDOWS\system32\connmie.exe C:\RECYCLER\NPROTECT\00003214.exe C:\WINDOWS\System32\truettf.exe Delete on Reboot C:\WINDOWS\System32\dxconf.exe Delete on Reboot C:\RECYCLER\NPROTECT\00003214.exe Delete on Reboot C:\RECYCLER\NPROTECT\00003228.exe Delete on Reboot C:\RECYCLER\NPROTECT\00003229.exe Delete on Reboot C:\RECYCLER\NPROTECT\00003670.exe Delete on Reboot C:\RECYCLER\NPROTECT\00003671.exe Delete on Reboot C:\RECYCLER\NPROTECT\00003672.exe Delete on Reboot C:\RECYCLER\NPROTECT\00003673.exe Delete on Reboot C:\RECYCLER\NPROTECT\00003676.exe Delete on Reboot C:\RECYCLER\NPROTECT\00003953.exe Delete on Reboot C:\RECYCLER\NPROTECT\00003954.exe Delete on Reboot C:\RECYCLER\NPROTECT\00003955.exe Delete on Reboot C:\RECYCLER\NPROTECT\00003956.exe Delete on Reboot C:\RECYCLER\NPROTECT\00003959.exe Delete on Reboot C:\RECYCLER\NPROTECT\00004694.exe Delete on Reboot C:\RECYCLER\NPROTECT\00004695.exe Delete on Reboot C:\RECYCLER\NPROTECT\00004696.exe Delete on Reboot C:\RECYCLER\NPROTECT\00004697.exe Delete on Reboot C:\RECYCLER\NPROTECT\00004700.exe Delete on Reboot C:\RECYCLER\NPROTECT\00004827.exe Delete on Reboot C:\RECYCLER\NPROTECT\00004828.exe Delete on Reboot C:\RECYCLER\NPROTECT\00004829.exe Delete on Reboot C:\RECYCLER\NPROTECT\00004830.exe Delete on Reboot C:\RECYCLER\NPROTECT\00004833.exe Delete on Reboot C:\RECYCLER\S-1-5-21-1801674531-842925246-839522115-1003\Dc46.dll Delete on Reboot C:\RECYCLER\S-1-5-21-1801674531-842925246-839522115-1003\Dc48.exe Delete on Reboot C:\RECYCLER\S-1-5-21-1801674531-842925246-839522115-1003\Dc49.exe Delete on Reboot C:\RECYCLER\S-1-5-21-1801674531-842925246-839522115-1003\Dc50.exe Delete on Reboot C:\RECYCLER\S-1-5-21-1801674531-842925246-839522115-1003\Dc53.chm Delete on Reboot C:\RECYCLER\S-1-5-21-1801674531-842925246-839522115-1003\Dc54.htm Delete on Reboot C:\RECYCLER\S-1-5-21-1801674531-842925246-839522115-1003\Dc57.htm Delete on Reboot C:\RECYCLER\S-1-5-21-1801674531-842925246-839522115-1003\Dc58.CHM Delete on Reboot C:\WINDOWS\system32\run_dos.dll Delete on Reboot C:\WINDOWS\Ole32ws.dll Delete on Reboot C:\WINDOWS\system32\connmie.exe Delete on Reboot C:\WINDOWS\System32\iecustom32.dll Delete on Reboot C:\WINDOWS\System32\sfcman32.dll Delete on Reboot C:\WINDOWS\System32\connmie.exe Delete on Reboot C:\WINDOWS\System32\dxconf.exe Delete on Reboot C:\WINDOWS\System32\truettf.exe Delete on Reboot C:\WINDOWS\System32\run_dos.dll C:\WINDOWS\System32\run_dos.dll Delete on Reboot C:\WINDOWS\System32\connmie.exe Delete on Reboot C:\WINDOWS\System32\dxconf.exe Delete on Reboot C:\WINDOWS\System32\iecustme.exe Delete on Reboot C:\WINDOWS\System32\mxbkup.exe Delete on Reboot C:\WINDOWS\System32\truettf.exe Delete on Reboot C:\WINDOWS\System32\connmie.exe This file does not seem to exist

Und die erneute Scan mit rem32.bat ergab

Code: Alles auswählen: Files Found................. ---------------------------------------- Files Not deleted................. ---------------------------------------- Merging registry entries ----------------------------------------------------------------- The Registry Entries Found... ----------------------------------------------------------------- Other bad files to be Manually deleted.. Please note that this might also list legit Files, be careful while deleting ----------------------------------------------------------------- msi.dll Finished

Dennoch scheint der Rechner noch nicht ganz sauber zu sein.
Erstens rechnet er immer noch zielich lange beim Windows hochfahren. Zweitens findet zB. Search&destroy jedesmal wieder diese Files

DSO Exploit
Data source object exploit
HKEY_USERS\S-1-5-18?Software\Microsoft\Windows\CurrentVersion\internet Settings\Zones\0\1004!=w=3 Registrierungsdatenbank-Änderung

Data source object exploit
HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\internet Settings\Zones\0\1004!=w=3 Registrierungsdatenbank-Änderung

Data source object exploit
HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\internet Settings\Zones\0\1004!=w=3 Registrierungsdatenbank-Änderung

Data source object exploit
HKEY_USERS\DEFAULT\Software\Microsoft\Windows\CurrentVersion\internet Settings\Zones\0\1004!=w=3 Registrierungsdatenbank-Änderung[/img]

von **Nikita** am 23.02.2005, 12:18

Hallo@hans00

Die Eintraege vom Spyboot haben nichts zu bedeuten und wenn du in Zukunft mit dem Firefox surfst, kannst du sie ganz vergessen.

Defragmentierungs-Option
arbeitsplatz--> lokaler datenträger--> rechtsklick--> eigenschaften--> extras--> jetzt defragmentieren
(bitte waehrend der Defrag keine anderen Programme oeffnen--> am Besten nachts machen, ohn eInternetverbindung

#TuneUp2004 (30 Tage free)
http://www.tuneup.de/products/tuneup-utilities/
Cleanup repair -->TuneUp Diskcleaner
Cleanup repair -->Registry Cleaner

#Ad-aware SE Personal 1.05 Updated
http://fileforum.betanews.com/detail/965718306/1
Laden--> Updaten-->scannen-->PC neustarten--> noch mal scannen--> poste das Log vom Scann

Dann poste das neue Log vom HijackThis, bitte

von **hans00** am 23.02.2005, 16:54

Hey
irgendwie werde ich dieses Zeug nicht los?!

Der neue Hijack this log zeigt, daß der ganze Kram wieder da ist.
Wie werde ich es los??

Code: Alles auswählen: Logfile of HijackThis v1.99.1 Scan saved at 15:43:55, on 23.02.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\temp\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://clearsurfing.net/srch.php?qq=%s R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: Name - {643F34A1-0200-4748-B113-DEF67CCCAF02} - C:\WINDOWS\System32\mszsg.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - C:\WINDOWS\System32\iecustom32.dll O4 - HKLM\..\Run: [sysobj.exe] sysobj.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Norton System Doctor.lnk = C:\Programme\Norton Utilities\SYSDOC32.EXE O4 - Global Startup: SpySubtract.lnk = C:\PROGRAM FILES\interMute\SpySubtract\SpySub.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O17 - HKLM\System\CCS\Services\Tcpip\..\{20C6D16C-B5F3-406F-9447-E1B7C59B4BFB}: NameServer = 69.50.176.196,195.225.176.37 O17 - HKLM\System\CS1\Services\Tcpip\..\{20C6D16C-B5F3-406F-9447-E1B7C59B4BFB}: NameServer = 69.50.176.196,195.225.176.37 O17 - HKLM\System\CS2\Services\Tcpip\..\{20C6D16C-B5F3-406F-9447-E1B7C59B4BFB}: NameServer = 69.50.176.196,195.225.176.37 O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programme\Norton Utilities\NPROTECT.EXE O23 - Service: Speed Disk service - Symantec Corporation - C:\Programme\Speed Disk\nopdb.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\Anti-Virus\TuneUp Utilities 2004\WinStylerThemeSvc.exe

der Ad aware Scan hat nichts ergeben?
Vielen Dank für deine Mühe!

von **hans00** am 23.02.2005, 19:53

Ich habe jetzt nochmal die ganze Prozedur wiederholt und bleibe immer an einer Stelle stecken.
Nachdem ich im Abgesicherten Maodus mit rem.bat nochmal gescant habe und wieder die exe dateien gefunden habe

Code: Alles auswählen: Files Found................. ---------------------------------------- run_dos.dll connmie.exe dxconf.exe iecustme.exe mxbkup.exe truettf.exe Files Not deleted................. ---------------------------------------- Merging registry entries ----------------------------------------------------------------- The Registry Entries Found... ----------------------------------------------------------------- Other bad files to be Manually deleted.. Please note that this might also list legit Files, be careful while deleting ----------------------------------------------------------------- msi.dll Finished

...ist es unmöglich diese Dateien mit Killbox zu löschen.
Killbox gibt immer diese Fehlermeldung aus

Code: Alles auswählen: Pending File Rename Operations Registry Data has been Removed by External Process !

von **Nikita** am 24.02.2005, 02:39

#deaktiviere die Wiederherstellung

Lade:
Index.dat Suite 2.8.0
http://www.spychecker.com/program/indexdatsuite.html

klicke oben auf das Zeichen von DOS

dann erhaelst du so etwas:

@echo off
echo This file will remove Index.dat files. The Cookies, Temporary Internet Files, History, and Temp folders will be cleared as per user Settings.
echo
echo Please note, use of this file is AT YOUR OWN RISK, Ur I.T. Mate Group will NOT be held liable for any problems caused due to the use of this file or any part of the Index.dat Suite software

del C:\DOKUME~1\ADMINI~1\Cookies\index.dat
del C:\DOKUME~1\ADMINI~1\LOKALE~1\TEMPOR~1\Content.IE5\index.dat
del C:\DOKUME~1\ADMINI~1\LOKALE~1\Verlauf\History.IE5\index.dat
del C:\DOKUME~1\DEFAUL~1\Cookies\index.dat
del C:\DOKUME~1\DEFAUL~1\LOKALE~1\TEMPOR~1\Content.IE5\index.dat
del C:\DOKUME~1\DEFAUL~1\LOKALE~1\Verlauf\History.IE5\index.dat
del C:\DOKUME~1\LOCALS~1\Cookies\index.dat
del C:\DOKUME~1\LOCALS~1\LOKALE~1\TEMPOR~1\Content.IE5\index.dat
del C:\DOKUME~1\LOCALS~1\LOKALE~1\Verlauf\History.IE5\index.dat
del C:\DOKUME~1\NETWOR~1\Cookies\index.dat
del C:\DOKUME~1\NETWOR~1\LOKALE~1\TEMPOR~1\Content.IE5\index.dat
del C:\DOKUME~1\NETWOR~1\LOKALE~1\Verlauf\History.IE5\index.dat
del C:\DOKUME~1\Sabine\ANWEND~1\MICROS~1\Office\ZULETZ~1\index.dat
del C:\DOKUME~1\Sabine\Cookies\index.dat
del C:\DOKUME~1\Sabine\LOKALE~1\TEMPOR~1\Content.IE5\index.dat
del C:\DOKUME~1\Sabine\LOKALE~1\Verlauf\History.IE5\index.dat
del C:\DOKUME~1\Sabine\LOKALE~1\Verlauf\History.IE5\MS0708~1\index.dat
del C:\DOKUME~1\Sabine\LOKALE~1\Verlauf\History.IE5\MSC711~1\index.dat
del C:\DOKUME~1\Sabine\LOKALE~1\Verlauf\History.IE5\MSHIST~1\index.dat
del C:\DOKUME~1\Sabine\LOKALE~1\Verlauf\History.IE5\MSHIST~2\index.dat
del C:\DOKUME~1\Sabine\LOKALE~1\Verlauf\History.IE5\MSHIST~3\index.dat
del C:\DOKUME~1\Sabine\UserData\index.dat
del C:\WINDOWS\system32\config\SYSTEM~1\Cookies\index.dat
del C:\WINDOWS\system32\config\SYSTEM~1\LOKALE~1\TEMPOR~1\Content.IE5\index.dat

#Fixe mit dem HijackThis:

R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://clearsurfing.net/srch.php?qq=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
O2 - BHO: Name - {643F34A1-0200-4748-B113-DEF67CCCAF02} - C:\WINDOWS\System32\mszsg.dll
O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - C:\WINDOWS\System32\iecustom32.dll
O4 - HKLM\..\Run: [sysobj.exe] sysobj.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{20C6D16C-B5F3-406F-9447-E1B7C59B4BFB}: NameServer = 69.50.176.196,195.225.176.37
O17 - HKLM\System\CS1\Services\Tcpip\..\{20C6D16C-B5F3-406F-9447-E1B7C59B4BFB}: NameServer = 69.50.176.196,195.225.176.37
O17 - HKLM\System\CS2\Services\Tcpip\..\{20C6D16C-B5F3-406F-9447-E1B7C59B4BFB}: NameServer = 69.50.176.196,195.225.176.37

Boote in den abgesicherten Modus
Start<Ausfuehren--> cmd

kopiere rein:

del C:\WINDOWS\System32\run_dos.dll

klicke enter

del C:\WINDOWS\System32\sysobj.exe
del C:\WINDOWS\System32\connmie.exe
del C:\WINDOWS\System32\dxconf.exe
del C:\WINDOWS\System32\iecustme.exe
del C:\WINDOWS\System32\mxbkup.exe
del C:\WINDOWS\System32\truettf.exe

danach starte den PC neu

und berichte

Problem mit Spyware/ hjt

Problem mit Spyware/ hjt

Ähnliche Themen

Wer ist online?