PMS/ToolBar.QuickA

von **ineed help** am 05.03.2005, 02:15

ich hab gestern anti vir drüberlaufen lassen und da wurde dieser trojaner gefunden: PMS/ToolBar.QuickA.
ich habe ihn dann gelöscht, aber seitdem werden bei z.b. bei dokumenten in der leiste wo datei, bearbeiten, anischt usw. steht, diese felder mit weisen hintergrund angezeigt.
wie kann ich es wieder normal machen???

von **Jinxy** am 05.03.2005, 08:41

Hi ineed help,

besorge dir einmal das Tool TuneUp. Du kannst es 30 Tage lang testen:

www.tuneup.de

MfG
Jinxy

von **ineed help** am 05.03.2005, 15:00

habs mir runtergeladen, was nun?

von **Nikita** am 05.03.2005, 19:47

scann aml alles durch mit dem TuneUp, und dann:

HijackThis
http://www.downloads.subratam.org/hijackthis.zip
http://www.spywareinfo.com/~merijn/files/hijackthis.zip
Lade/entpacke HijackThis in einem Ordner -->None of the above,
just start the program --> Save--> Savelog -->es öffnet sich der
Editor -->

Do a system scan and save a logfile --> Save--> Savelog -->es öffnet sich der
Editor -->

nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins
Forum mit rechtem Mausklick "einfügen"

von **ineed help** am 05.03.2005, 20:15

hab mit tuneup gereinigt und dann mit hijackthis scan gemacht:

Logfile of HijackThis v1.99.1
Scan saved at 19:20:23, on 05.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Zone Labs\ZoneAlarm\zapro.exe
C:\mIRC\mirc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\msiexec.exe
C:\Dokumente und Einstellungen\Max\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/service/redir/ie_t-online.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de/service/redir/ie_t-online.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/slv/ycheck/as/*h ... /search?p=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=www-proxy.t-online.de:80;ftp=ftp-proxy.t-online.de:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.t-online.de;localhost;<local>
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Programme\Zone Labs\ZoneAlarm\zapro.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de/service/redir/ie_t-online.htm
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

von **Nikita** am 05.03.2005, 20:37

ueberpruefe folgendes:

C:\Programme\QuickSearch\

gibt es das ?

Start<Ausfuehren<regedit

* HKEY_CURRENT_USER\Software\QuickSearch
* HKEY_LOCAL_MACHINE\Software\QuickSearch
* HKEY_CLASSES_ROOT\CLSID\{3c368c4a-827f-4f25-9c52-371bdf049912}
* HKEY_CLASSES_ROOT\CLSID\{82315a18-6cfb-44a7-bdfd-90e36537c252}
* HKEY_CLASSES_ROOT\QuickSearch.DeskSearchBand
* HKEY_CLASSES_ROOT\QuickSearch.DeskSearchBand.1
* HKEY_CLASSES_ROOT\QuickSearch.SearchBand
* HKEY_CLASSES_ROOT\QuickSearch.SearchBand.1
* HKEY_LOCAL_MACHINE\Software\Classes\TypeLib\{B7620AF8-B460-455a-946F-16F8BF52A9AD}
* HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\{82315A18-6CFB-44a7-BDFD-90E36537C252}
* HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{82315A18-6CFB-44a7-BDFD-90E36537C252}
* HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\QuickSearch Toolbar\QuickSearch Toolbar

schliesse die Registry

Deinstallieren:
"Start -> Einstellungen -> Systemsteuerung -> Software"

--> QuickSearch Toolbar.

von **ineed help** am 05.03.2005, 21:17

unter C:\Programme\ gibt es das nicht und unter software auch nicht,
dass mit dem regedit hab ich nicht verstanden, wenn ich da reingehe steh überall kein wert angegeben.

von **Nikita** am 06.03.2005, 11:14

Start<Ausfuehren< reinschreiben: regedit

es oeffnet sich die Registry

klicke dich durch zu folgenden Schluesseln und berichte, ob sie existieren.

* HKEY_CURRENT_USER\Software\QuickSearch
* HKEY_LOCAL_MACHINE\Software\QuickSearch
* HKEY_CLASSES_ROOT\CLSID\{3c368c4a-827f-4f25-9c52-371bdf049912}
* HKEY_CLASSES_ROOT\CLSID\{82315a18-6cfb-44a7-bdfd-90e36537c252}
* HKEY_CLASSES_ROOT\QuickSearch.DeskSearchBand
* HKEY_CLASSES_ROOT\QuickSearch.DeskSearchBand.1
* HKEY_CLASSES_ROOT\QuickSearch.SearchBand
* HKEY_CLASSES_ROOT\QuickSearch.SearchBand.1
* HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\QuickSearch Toolbar

von **ineed help** am 06.03.2005, 21:52

HKEY_CURRENT_USER\Software\QuickSearch= gibt es nicht

HKEY_LOCAL_MACHINE\Software\QuickSearch= gibt es nicht

HKEY_CLASSES_ROOT\CLSID\{3c368c4a-827f-4f25-9c52-371bdf049912}= gibt es nicht

HKEY_CLASSES_ROOT\CLSID\{82315a18-6cfb-44a7-bdfd-90e36537c252}= gibt es nicht

HKEY_CLASSES_ROOT\QuickSearch.DeskSearchBand= gibt es nicht

HKEY_CLASSES_ROOT\QuickSearch.DeskSearchBand.1= gibt es nicht

HKEY_CLASSES_ROOT\QuickSearch.SearchBand= gibt es nicht

HKEY_CLASSES_ROOT\QuickSearch.SearchBand.1= gibt es nicht

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\QuickSearch Toolbar= gibt es nicht

von **Nikita** am 06.03.2005, 22:03

ineed help

•eScan-Erkennungstool
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp
oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche
kavupd.exe, die klickst du an--> (Update- in DOS) ausführen

-->mwav.exe oeffnen-->alle Haekchen setzen-->scannen-->View Log anklicken--> Bearbeiten anklicken--> "infected" reinschreiben
und nun alles rauskopieren, was angezeigt wird-->

von **ineed help** am 07.03.2005, 22:24

eScan hat nichts gefunden, also wer andere ideen hat bitte posten

PMS/ToolBar.QuickA

PMS/ToolBar.QuickA

Ähnliche Themen

Wer ist online?