Hallo
Ich habe mir versehentlich einen Dialer eingefangen, und gleichzeitig ist meine Startseite permanent verstellt.
ich hab mal hijack drüberlaufen lassenm hier das Log:
Logfile of HijackThis v1.99.1
Scan saved at 01:01:07, on 25.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\spoolsv.exe
F:\WINDOWS\Explorer.EXE
F:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\System32\rmctrl.exe
F:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
F:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
F:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
F:\WINDOWS\System32\rundll32.exe
F:\Programme\iTunes\iTunesHelper.exe
F:\Programme\QuickTime\qttask.exe
F:\WINDOWS\System32\paytime.exe
F:\WINDOWS\System32\paqinf32.exe
C:\Program Files\AutoUpdate\AutoUpdate.exe
F:\WINDOWS\msmsgr2.exe
F:\WINDOWS\System32\ctfmon.exe
F:\WINDOWS\System32\paytime.exe
F:\WINDOWS\System32\sera.exe
F:\Programme\iPod\bin\iPodService.exe
F:\WINDOWS\System32\oddus.exe
F:\WINDOWS\System32\??rvices.exe
F:\WINDOWS\System32\tibs.exe
F:\WINDOWS\System32\tibs.exe
F:\Dokumente und Einstellungen\Robert\Desktop\HijackThis.exe
c:\124492.exe
c:\124492.exe
F:\WINDOWS\system32\NOTEPAD.EXE
F:\WINDOWS\System32\wuauclt.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
O2 - BHO: (no name) - {016235BE-59D4-4CEB-ADD5-E2378282A1D9} - C:\Programme\CxtPls\cxtpls.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - F:\Programme\NewDotNet\newdotnet6_38.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {815DB639-228D-245A-8F9B-71A2ABD03BB2} - F:\WINDOWS\System32\tplqrodx.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - f:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - f:\programme\google\googletoolbar1.dll
O3 - Toolbar: UCmore XP - The Search Accelerator - {44BE0690-5429-47f0-85BB-3FFD8020233E} - F:\Programme\TheSearchAccelerator\UCMTSAIE.dll
O4 - HKLM\..\Run: [RemoteControl] F:\WINDOWS\System32\rmctrl.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] F:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "F:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [NeroFilterCheck] F:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] F:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "F:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [New.net Startup] rundll32 F:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [iTunesHelper] F:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "F:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PayTime] F:\WINDOWS\System32\paytime.exe
O4 - HKLM\..\Run: [saap] f:\windows\saap.exe
O4 - HKLM\..\Run: [Disk Keeper] F:\DOKUME~1\Robert\LOKALE~1\Temp\keep.exe
O4 - HKLM\..\Run: [Service Host] F:\WINDOWS\System32\Services\{C70ACC8B-F9BD-49A9-8D3B-EC5B5A9C70A0}\SVCHOST.EXE
O4 - HKLM\..\Run: [x33X35U] paqinf32.exe
O4 - HKLM\..\Run: [AutoUpdater] "C:\Program Files\AutoUpdate\AutoUpdate.exe"
O4 - HKLM\..\Run: [dktid] F:\WINDOWS\dktid.exe
O4 - HKLM\..\Run: [_Cat4] F:\WINDOWS\msmsgr2.exe
O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [PayTime] F:\WINDOWS\System32\paytime.exe
O4 - HKCU\..\Run: [Muad] F:\WINDOWS\System32\sera.exe
O4 - HKCU\..\Run: [g0s7RRYsi] oddus.exe
O4 - HKCU\..\Run: [Cixa] F:\WINDOWS\System32\??rvices.exe
O8 - Extra context menu item: &Google Search - res://F:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://F:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Translate into English - res://F:\Programme\Google\googletoolbar.dll/cmtrans.html
O8 - Extra context menu item: Verweisseiten - res://F:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://F:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: Intertops Poker - {5706EACE-252A-4af9-AA8D-1F8813B50469} - F:\Programme\Intertops Poker\IntertopsPoker.exe (file missing)
O9 - Extra 'Tools' menuitem: Intertops Poker - {5706EACE-252A-4af9-AA8D-1F8813B50469} - F:\Programme\Intertops Poker\IntertopsPoker.exe (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - F:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - F:\WINDOWS\web\related.htm
O9 - Extra button: Microsoft AntiSpyware helper - {D4F960D9-9EC1-447D-BFB8-E3AACCFBB018} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {D4F960D9-9EC1-447D-BFB8-E3AACCFBB018} - (no file) (HKCU)
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.iframedollars.biz
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.ysbweb.com
O15 - Trusted Zone: *.blazefind.com (HKLM)
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.flingstone.com (HKLM)
O15 - Trusted Zone: *.iframedollars.biz (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.searchbarcash.com (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.slotch.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted Zone: *.xxxtoolbar.com (HKLM)
O15 - Trusted Zone: *.ysbweb.com (HKLM)
O15 - Trusted IP range: 213.159.117.202
O15 - Trusted IP range: 213.159.117.202 (HKLM)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 3277286988
O16 - DPF: {B942A249-D1E7-4C11-98AE-FCB76B08747F} (RealArcadeRdxIE Class) - http://games-dl.real.com/gameconsole/Bu ... eRdxIE.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} - http://www.download-url.de/install/StarInstall.ocx
O20 - Winlogon Notify: drct16 - F:\WINDOWS\SYSTEM32\drct16.dll
O23 - Service: C-DillaSrv - C-Dilla Ltd - F:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - F:\Programme\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - F:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
Wenn mich nicht alles täuscht müsste tibs.exe der dialer sein.
kann mir jemand beim entfernen helfen?
Warum kostenlos registrieren?
Nur als registriertes Mitglied hast Du vollen Zugriff auf alle Funktionen unserer Website. So kannst Du eigene Fragen stellen und hast die volle Übersicht über neue interessante Themen im Forum.
Jetzt kostenlos registrieren.
Login
Win32.Haxdoor -->Winlogon Notify: drct16
6 Beiträge • Seite 1 von 1
von killer4321 am 25.03.2005, 10:15
lass "spybot seek and destroy" auch drüber laufen und sag mir dann ob sich die startseite noch immer selber verändert
- killer4321
- Beiträge: 8
- Registriert: 24.03.2005, 16:43
von BaierTech am 25.03.2005, 12:03
spybot ist drübergelaufen, keine Veränderung, hat weder die Startseite verändert, noch den dialer, der sich immer wieder installieren will beeinflusst.
- BaierTech
- Beiträge: 47
- Registriert: 13.01.2005, 12:44
- Wohnort: Neumarkt
von Nikita am 25.03.2005, 14:02
Hallo@BaierTech
Deaktivieren Wiederherstellung
«XP
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (dann aktiviere sie wieder)
•Download Registry Search Tool :
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
Doppelklick:regsrch.vbs
reinkopieren:
{C70ACC8B-F9BD-49A9-8D3B-EC5B5A9C70A0}
Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)
Gehe in die REGISTRY (Start--> Ausfuehren--> regedit)
HKLM\SYSTEM\CurrentControlSet\Services\memlow\<--mit rechtsklick loeschen
HKLM\SYSTEM\CurrentControlSet\Services\vdnt32\<--mit rechtsklick loeschen
•LSPfix.exe
http://www.spychecker.com/program/lspfix.html
<"I know what I'm doing" <--anhaken
bringe die newdotnet6_38.dll von der linken auf die rechte Seite und loesche sie
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
O2 - BHO: (no name) - {016235BE-59D4-4CEB-ADD5-E2378282A1D9} - C:\Programme\CxtPls\cxtpls.dll
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - F:\Programme\NewDotNet\newdotnet6_38.dll
O2 - BHO: (no name) - {815DB639-228D-245A-8F9B-71A2ABD03BB2} - F:\WINDOWS\System32\tplqrodx.dll
O3 - Toolbar: UCmore XP - The Search Accelerator - {44BE0690-5429-47f0-85BB-3FFD8020233E} - F:\Programme\TheSearchAccelerator\UCMTSAIE.dll
O4 - HKLM\..\Run: [New.net Startup] rundll32 F:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [PayTime] F:\WINDOWS\System32\paytime.exe
O4 - HKLM\..\Run: [saap] f:\windows\saap.exe
O4 - HKLM\..\Run: [Disk Keeper] F:\DOKUME~1\Robert\LOKALE~1\Temp\keep.exe
O4 - HKLM\..\Run: [Service Host] F:\WINDOWS\System32\Services\{C70ACC8B-F9BD-49A9-8D3B-EC5B5A9C70A0}\SVCHOST.EXE
O4 - HKLM\..\Run: [x33X35U] paqinf32.exe
O4 - HKLM\..\Run: [AutoUpdater] "C:\Program Files\AutoUpdate\AutoUpdate.exe"
O4 - HKLM\..\Run: [dktid] F:\WINDOWS\dktid.exe
O4 - HKLM\..\Run: [_Cat4] F:\WINDOWS\msmsgr2.exe
O4 - HKCU\..\Run: [PayTime] F:\WINDOWS\System32\paytime.exe
O4 - HKCU\..\Run: [Muad] F:\WINDOWS\System32\sera.exe
O4 - HKCU\..\Run: [g0s7RRYsi] oddus.exe
O4 - HKCU\..\Run: [Cixa] F:\WINDOWS\System32\??rvices.exe
O9 - Extra button: Intertops Poker - {5706EACE-252A-4af9-AA8D-1F8813B50469} - F:\Programme\Intertops Poker\IntertopsPoker.exe (file missing)
O9 - Extra 'Tools' menuitem: Intertops Poker - {5706EACE-252A-4af9-AA8D-1F8813B50469} - F:\Programme\Intertops Poker\IntertopsPoker.exe (file missing)
O9 - Extra button: Microsoft AntiSpyware helper - {D4F960D9-9EC1-447D-BFB8-E3AACCFBB018} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {D4F960D9-9EC1-447D-BFB8-E3AACCFBB018} - (no file) (HKCU)
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.iframedollars.biz
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.ysbweb.com
O15 - Trusted Zone: *.blazefind.com (HKLM)
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.flingstone.com (HKLM)
O15 - Trusted Zone: *.iframedollars.biz (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.searchbarcash.com (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.slotch.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted Zone: *.xxxtoolbar.com (HKLM)
O15 - Trusted Zone: *.ysbweb.com (HKLM)
O15 - Trusted IP range: 213.159.117.202
O15 - Trusted IP range: 213.159.117.202 (HKLM)
O16 - DPF: {B942A249-D1E7-4C11-98AE-FCB76B08747F} (RealArcadeRdxIE Class) - http://games-dl.real.com/gameconsole/Bu ... eRdxIE.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} - http://www.download-url.de/install/StarInstall.ocx
O20 - Winlogon Notify: drct16 - F:\WINDOWS\SYSTEM32\drct16.dll
PC neustarten
•KillBox
http://www.bleepingcomputer.com/files/killbox.php
•Delete File on Reboot <--anhaken
und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"
F:\WINDOWS\System32\snim.dll
F:\WINDOWS\System32\winlow.sys
F:\WINDOWS\System32\vdmt16.sys
F:\Windows\Downloaded Program Files\StarInstall.ocx
F:\WINDOWS\System32\hiden.exe
F:\WINDOWS\System32\p2.ini
F:\WINDOWS\System32\mszx.exe
F:\WINDOWS\System32\drct16.dll
F:\WINDOWS\System32\vdnt32.sys
F:\WINDOWS\System32\klogini.dll
F:\WINDOWS\System32\i.a3d
F:\WINDOWS\System32\fltr.a3d
F:\WINDOWS\System32\redir.a3d
F:\WINDOWS\System32\ps.a3d
F:\WINDOWS\System32\w32tm.exe
F:\WINDOWS\System32\cz.dll
F:\WINDOWS\System32\hz.dll
F:\WINDOWS\System32\wz.dll
C:\Programme\CxtPls\cxtpls.dll
F:\Programme\TheSearchAccelerator\UCMTSAIE.dll
F:\WINDOWS\System32\tplqrodx.dll
F:\WINDOWS\System32\paytime.exe
f:\windows\saap.exe
F:\DOKUME~1\Robert\LOKALE~1\Temp\keep.exe
F:\WINDOWS\System32\paqinf32.exe
C:\Program Files\AutoUpdate\AutoUpdate.exe"
F:\WINDOWS\dktid.exe
F:\WINDOWS\System32\oddus.exe
F:\WINDOWS\System32\sera.exe
F:\Programme\Intertops Poker\IntertopsPoker.exe
F:\WINDOWS\System32\??rvices.exe
c:\124492.exe
c:\124492.exe
F:\WINDOWS\System32\tibs.exe
F:\WINDOWS\msmsgr2.exe
PC neustarten
C:\DOCUME~1\\LOCALS~1\Temp\tmpf00.exe <--loeschen (oder auch andere *temp loeschen
•Deinstallieren:
"Start -> Einstellungen -> Systemsteuerung -> Software"
New.net/NEWDOT
•L2mfix
Laden Sie L2mfix von hier herunter:
http://bilder.informationsarchiv.net/Nikitas_Tools/
http://www.atribune.org/downloads/l2mfix.exe
[*]Speichern Sie die Datei auf Ihren Desktop und doppel-klicken Sie click l2mfix.exe.
[*]Klicken Sie auf Installieren um die Dateien zu extrahieren und folgen Sie den Anweisungen während der Installation.
[*]Dann öffnen Sie den auf Ihrem Desktop neuerstellten Ordner l2mfix
[*]Doppel-klicken Sie die Datei l2mfix.bat und tippen sie eine 1[/] und drücken Sie [Enter], um Find log laufen zu lassen. Dies wird Ihren Computer scannen. Es kann sein, das es so aussieht als ob nichts passiert, aber nach 1 oder 2 Minuten wird sich Notepad mit einem Log öffnen.
[*]Kopieren Sie den Inhalt (oder einfach mit der Maus abkopieren)
oder:
durch Strg+A und fügen Sie den Inhalt in Ihren Thread durch Strg+V.
WICHTIG: Nutzen Sie nicht Option 2, oder jegliche andere Dateien aus dem l2mfix Ordner, bis Sie dazu aufgefordert werden![/color]
[*]Schließen Sie alle offenen Programme , da der nächste Schritt einen Neustart erfordert. Klicken Sie erneut auf l2mfix.bat und tippen Sie 2 ein --> Enter[].
[*]Drücken Sie eine beliebige Taste um einen Systemneustart einzuleiten.
[*]Nach dem Neustart, werden Ihre Icons auf dem Desktop kurz erscheinen und kurz verschwinden - dies ist NORMAL.
[*]L2mfix wird den Systemscan fortsetzen und wenn es fertig ist, wird sich Notepad öffnen und einen Log anzeigen. Kopieren Sie auch diesen hier in den Thread rein (Strg+C & Strg+V).
---------------------------------------------------------------------------------------------
1. Öffne den Editor (Start -> Programme -> Zubehör) und kopiere den Inhalt des folgenden Zitats in das Editorfenster. Speichere die Datei anschließend unter dem Namen DelDomains.inf mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
2. Schließe den InternetExplorer.
3. Klicke die Datei DelDomains.inf mit der rechten Maustaste an und dann auf 'Installieren'.
---------------------------------------------------------------------------------------------------------
[version]
signature="$CHICAGO$"
[DefaultInstall]
DelReg=DelTemps
AddReg=AddTemps
[DelTemps]
HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"
HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"
HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges"
HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges"
; Recreate the keys to avoid a restart
[AddTemps]
HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"
HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"
HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges"
HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges"
-----------------------------------------------------------------------------------------
•eScan-Erkennungstool
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp
oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche
kavupd.exe, die klickst du an--> (Update- in DOS) ausführen
gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml
und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen :
Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory
-->und "Scan " klicken.
•Gehe wieder in den Normalmodus:
•mache bitte folgendes:
nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du "infected" ein
•jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
•und ganz unten steht die zusammenfassung, diese auch hier posten
dann alles loeschen
--------------------------------------------------------------------------
Download RootkitRevealer (270 KB)
**
laden:
http://www.sysinternals.com/ntw2k/freew ... veal.shtml
#Download RootkitRevealer (190 KB)
#entpacken
#RootkitRevealer.exe--> klick--> scannen --> poste, wenn etwas gefunden wurde. dann alles loeschen/im abgesicherten Modus
Onlinescanns --> dann alles loeschen/im abgesicherten Modus
http://security.symantec.com/default.asp?
http://housecall.trendmicro.com/
http://www.pandasoftware.com/activescan/
http://www.ravantivirus.com/scan/
http://www3.ca.com/virusinfo/
http://www.bitdefender.com/scan/licence.php
http://www.commandondemand.com/eval/index.cfm
http://www.freedom.net/viruscenter/...viruscheck.html
http://info.ahnlab.com/english/
http://www.pcpitstop.com/pcpitstop/AntiVirusCntr.asp
--
_________________
#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein
Deaktivieren Wiederherstellung
«XP
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (dann aktiviere sie wieder)
•Download Registry Search Tool :
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
Doppelklick:regsrch.vbs
reinkopieren:
{C70ACC8B-F9BD-49A9-8D3B-EC5B5A9C70A0}
Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)
Gehe in die REGISTRY (Start--> Ausfuehren--> regedit)
HKLM\SYSTEM\CurrentControlSet\Services\memlow\<--mit rechtsklick loeschen
HKLM\SYSTEM\CurrentControlSet\Services\vdnt32\<--mit rechtsklick loeschen
•LSPfix.exe
http://www.spychecker.com/program/lspfix.html
<"I know what I'm doing" <--anhaken
bringe die newdotnet6_38.dll von der linken auf die rechte Seite und loesche sie
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
O2 - BHO: (no name) - {016235BE-59D4-4CEB-ADD5-E2378282A1D9} - C:\Programme\CxtPls\cxtpls.dll
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - F:\Programme\NewDotNet\newdotnet6_38.dll
O2 - BHO: (no name) - {815DB639-228D-245A-8F9B-71A2ABD03BB2} - F:\WINDOWS\System32\tplqrodx.dll
O3 - Toolbar: UCmore XP - The Search Accelerator - {44BE0690-5429-47f0-85BB-3FFD8020233E} - F:\Programme\TheSearchAccelerator\UCMTSAIE.dll
O4 - HKLM\..\Run: [New.net Startup] rundll32 F:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [PayTime] F:\WINDOWS\System32\paytime.exe
O4 - HKLM\..\Run: [saap] f:\windows\saap.exe
O4 - HKLM\..\Run: [Disk Keeper] F:\DOKUME~1\Robert\LOKALE~1\Temp\keep.exe
O4 - HKLM\..\Run: [Service Host] F:\WINDOWS\System32\Services\{C70ACC8B-F9BD-49A9-8D3B-EC5B5A9C70A0}\SVCHOST.EXE
O4 - HKLM\..\Run: [x33X35U] paqinf32.exe
O4 - HKLM\..\Run: [AutoUpdater] "C:\Program Files\AutoUpdate\AutoUpdate.exe"
O4 - HKLM\..\Run: [dktid] F:\WINDOWS\dktid.exe
O4 - HKLM\..\Run: [_Cat4] F:\WINDOWS\msmsgr2.exe
O4 - HKCU\..\Run: [PayTime] F:\WINDOWS\System32\paytime.exe
O4 - HKCU\..\Run: [Muad] F:\WINDOWS\System32\sera.exe
O4 - HKCU\..\Run: [g0s7RRYsi] oddus.exe
O4 - HKCU\..\Run: [Cixa] F:\WINDOWS\System32\??rvices.exe
O9 - Extra button: Intertops Poker - {5706EACE-252A-4af9-AA8D-1F8813B50469} - F:\Programme\Intertops Poker\IntertopsPoker.exe (file missing)
O9 - Extra 'Tools' menuitem: Intertops Poker - {5706EACE-252A-4af9-AA8D-1F8813B50469} - F:\Programme\Intertops Poker\IntertopsPoker.exe (file missing)
O9 - Extra button: Microsoft AntiSpyware helper - {D4F960D9-9EC1-447D-BFB8-E3AACCFBB018} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {D4F960D9-9EC1-447D-BFB8-E3AACCFBB018} - (no file) (HKCU)
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.iframedollars.biz
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.ysbweb.com
O15 - Trusted Zone: *.blazefind.com (HKLM)
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.flingstone.com (HKLM)
O15 - Trusted Zone: *.iframedollars.biz (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.searchbarcash.com (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.slotch.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted Zone: *.xxxtoolbar.com (HKLM)
O15 - Trusted Zone: *.ysbweb.com (HKLM)
O15 - Trusted IP range: 213.159.117.202
O15 - Trusted IP range: 213.159.117.202 (HKLM)
O16 - DPF: {B942A249-D1E7-4C11-98AE-FCB76B08747F} (RealArcadeRdxIE Class) - http://games-dl.real.com/gameconsole/Bu ... eRdxIE.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} - http://www.download-url.de/install/StarInstall.ocx
O20 - Winlogon Notify: drct16 - F:\WINDOWS\SYSTEM32\drct16.dll
PC neustarten
•KillBox
http://www.bleepingcomputer.com/files/killbox.php
•Delete File on Reboot <--anhaken
und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"
F:\WINDOWS\System32\snim.dll
F:\WINDOWS\System32\winlow.sys
F:\WINDOWS\System32\vdmt16.sys
F:\Windows\Downloaded Program Files\StarInstall.ocx
F:\WINDOWS\System32\hiden.exe
F:\WINDOWS\System32\p2.ini
F:\WINDOWS\System32\mszx.exe
F:\WINDOWS\System32\drct16.dll
F:\WINDOWS\System32\vdnt32.sys
F:\WINDOWS\System32\klogini.dll
F:\WINDOWS\System32\i.a3d
F:\WINDOWS\System32\fltr.a3d
F:\WINDOWS\System32\redir.a3d
F:\WINDOWS\System32\ps.a3d
F:\WINDOWS\System32\w32tm.exe
F:\WINDOWS\System32\cz.dll
F:\WINDOWS\System32\hz.dll
F:\WINDOWS\System32\wz.dll
C:\Programme\CxtPls\cxtpls.dll
F:\Programme\TheSearchAccelerator\UCMTSAIE.dll
F:\WINDOWS\System32\tplqrodx.dll
F:\WINDOWS\System32\paytime.exe
f:\windows\saap.exe
F:\DOKUME~1\Robert\LOKALE~1\Temp\keep.exe
F:\WINDOWS\System32\paqinf32.exe
C:\Program Files\AutoUpdate\AutoUpdate.exe"
F:\WINDOWS\dktid.exe
F:\WINDOWS\System32\oddus.exe
F:\WINDOWS\System32\sera.exe
F:\Programme\Intertops Poker\IntertopsPoker.exe
F:\WINDOWS\System32\??rvices.exe
c:\124492.exe
c:\124492.exe
F:\WINDOWS\System32\tibs.exe
F:\WINDOWS\msmsgr2.exe
PC neustarten
C:\DOCUME~1\\LOCALS~1\Temp\tmpf00.exe <--loeschen (oder auch andere *temp loeschen
•Deinstallieren:
"Start -> Einstellungen -> Systemsteuerung -> Software"
New.net/NEWDOT
•L2mfix
Laden Sie L2mfix von hier herunter:
http://bilder.informationsarchiv.net/Nikitas_Tools/
http://www.atribune.org/downloads/l2mfix.exe
[*]Speichern Sie die Datei auf Ihren Desktop und doppel-klicken Sie click l2mfix.exe.
[*]Klicken Sie auf Installieren um die Dateien zu extrahieren und folgen Sie den Anweisungen während der Installation.
[*]Dann öffnen Sie den auf Ihrem Desktop neuerstellten Ordner l2mfix
[*]Doppel-klicken Sie die Datei l2mfix.bat und tippen sie eine 1[/] und drücken Sie [Enter], um Find log laufen zu lassen. Dies wird Ihren Computer scannen. Es kann sein, das es so aussieht als ob nichts passiert, aber nach 1 oder 2 Minuten wird sich Notepad mit einem Log öffnen.
[*]Kopieren Sie den Inhalt (oder einfach mit der Maus abkopieren)
oder:
durch Strg+A und fügen Sie den Inhalt in Ihren Thread durch Strg+V.
WICHTIG: Nutzen Sie nicht Option 2, oder jegliche andere Dateien aus dem l2mfix Ordner, bis Sie dazu aufgefordert werden![/color]
[*]Schließen Sie alle offenen Programme , da der nächste Schritt einen Neustart erfordert. Klicken Sie erneut auf l2mfix.bat und tippen Sie 2 ein --> Enter[].
[*]Drücken Sie eine beliebige Taste um einen Systemneustart einzuleiten.
[*]Nach dem Neustart, werden Ihre Icons auf dem Desktop kurz erscheinen und kurz verschwinden - dies ist NORMAL.
[*]L2mfix wird den Systemscan fortsetzen und wenn es fertig ist, wird sich Notepad öffnen und einen Log anzeigen. Kopieren Sie auch diesen hier in den Thread rein (Strg+C & Strg+V).
---------------------------------------------------------------------------------------------
1. Öffne den Editor (Start -> Programme -> Zubehör) und kopiere den Inhalt des folgenden Zitats in das Editorfenster. Speichere die Datei anschließend unter dem Namen DelDomains.inf mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
2. Schließe den InternetExplorer.
3. Klicke die Datei DelDomains.inf mit der rechten Maustaste an und dann auf 'Installieren'.
---------------------------------------------------------------------------------------------------------
[version]
signature="$CHICAGO$"
[DefaultInstall]
DelReg=DelTemps
AddReg=AddTemps
[DelTemps]
HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"
HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"
HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges"
HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges"
; Recreate the keys to avoid a restart
[AddTemps]
HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"
HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"
HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges"
HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges"
-----------------------------------------------------------------------------------------
•eScan-Erkennungstool
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp
oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche
kavupd.exe, die klickst du an--> (Update- in DOS) ausführen
gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml
und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen :
Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory
-->und "Scan " klicken.
•Gehe wieder in den Normalmodus:
•mache bitte folgendes:
nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du "infected" ein
•jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
•und ganz unten steht die zusammenfassung, diese auch hier posten
dann alles loeschen
--------------------------------------------------------------------------
Download RootkitRevealer (270 KB)
**
laden:
http://www.sysinternals.com/ntw2k/freew ... veal.shtml
#Download RootkitRevealer (190 KB)
#entpacken
#RootkitRevealer.exe--> klick--> scannen --> poste, wenn etwas gefunden wurde. dann alles loeschen/im abgesicherten Modus
Onlinescanns --> dann alles loeschen/im abgesicherten Modus
http://security.symantec.com/default.asp?
http://housecall.trendmicro.com/
http://www.pandasoftware.com/activescan/
http://www.ravantivirus.com/scan/
http://www3.ca.com/virusinfo/
http://www.bitdefender.com/scan/licence.php
http://www.commandondemand.com/eval/index.cfm
http://www.freedom.net/viruscenter/...viruscheck.html
http://info.ahnlab.com/english/
http://www.pcpitstop.com/pcpitstop/AntiVirusCntr.asp
--
_________________
#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von BaierTech am 27.03.2005, 10:21
Hallo Nikita
Ich hab mal alles bis zu den Onlinescans gemacht und jede Menge gefunden.
Ich poste das jetzt mal hier.
REGEDIT4
; RegSrch.vbs © Bill James
; Registry search results for string "{C70ACC8B-F9BD-49A9-8D3B-EC5B5A9C70A0}" 27.03.2005 00:01:29
; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Service Host"="F:\\WINDOWS\\System32\\Services\\{C70ACC8B-F9BD-49A9-8D3B-EC5B5A9C70A0}\\SVCHOST.EXE"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Services32]
"_File"="F:\\WINDOWS\\System32\\Services\\{C70ACC8B-F9BD-49A9-8D3B-EC5B5A9C70A0}\\SVCHOST.EXE"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Services32]
"_Folder"="F:\\WINDOWS\\System32\\Services\\{C70ACC8B-F9BD-49A9-8D3B-EC5B5A9C70A0}\\"
1. Durchgang
L2MFIX find log 1.02b
These are the registry keys present
**********************************************************************************
Winlogon/notify:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\
6c,00,00,00
"Logoff"="ChainWlxLogoffEvent"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Logoff"="CryptnetWlxLogoffEvent"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\drct16]
"DllName"=hex(2):64,00,72,00,63,00,74,00,31,00,36,00,2e,00,64,00,6c,00,6c,00,\
00,00
"Startup"="MeMessager"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001
"MaxWait"=dword:00000001
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
"DLLName"="wlnotify.dll"
"Logon"="SCardStartCertProp"
"Logoff"="SCardStopCertProp"
"Lock"="SCardSuspendCertProp"
"Unlock"="SCardResumeCertProp"
"Enabled"=dword:00000001
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"StartShell"="SchedStartShell"
"Logoff"="SchedEventLogOff"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"PostShell"="SensPostShellEvent"
"Disconnect"="SensDisconnectEvent"
"Reconnect"="SensReconnectEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"Logoff"="TSEventLogoff"
"Logon"="TSEventLogon"
"PostShell"="TSEventPostShell"
"Shutdown"="TSEventShutdown"
"StartShell"="TSEventStartShell"
"Startup"="TSEventStartup"
"MaxWait"=dword:00000258
"Reconnect"="TSEventReconnect"
"Disconnect"="TSEventDisconnect"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
"DLLName"="wlnotify.dll"
"Logon"="RegisterTicketExpiredNotificationEvent"
"Logoff"="UnregisterTicketExpiredNotificationEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001
**********************************************************************************
useragent:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
**********************************************************************************
Shell Extension key:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{00022613-0000-0000-C000-000000000046}"="Eigenschaften f
Ich hab mal alles bis zu den Onlinescans gemacht und jede Menge gefunden.
Ich poste das jetzt mal hier.
REGEDIT4
; RegSrch.vbs © Bill James
; Registry search results for string "{C70ACC8B-F9BD-49A9-8D3B-EC5B5A9C70A0}" 27.03.2005 00:01:29
; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Service Host"="F:\\WINDOWS\\System32\\Services\\{C70ACC8B-F9BD-49A9-8D3B-EC5B5A9C70A0}\\SVCHOST.EXE"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Services32]
"_File"="F:\\WINDOWS\\System32\\Services\\{C70ACC8B-F9BD-49A9-8D3B-EC5B5A9C70A0}\\SVCHOST.EXE"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Services32]
"_Folder"="F:\\WINDOWS\\System32\\Services\\{C70ACC8B-F9BD-49A9-8D3B-EC5B5A9C70A0}\\"
1. Durchgang
L2MFIX find log 1.02b
These are the registry keys present
**********************************************************************************
Winlogon/notify:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\
6c,00,00,00
"Logoff"="ChainWlxLogoffEvent"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Logoff"="CryptnetWlxLogoffEvent"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\drct16]
"DllName"=hex(2):64,00,72,00,63,00,74,00,31,00,36,00,2e,00,64,00,6c,00,6c,00,\
00,00
"Startup"="MeMessager"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001
"MaxWait"=dword:00000001
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
"DLLName"="wlnotify.dll"
"Logon"="SCardStartCertProp"
"Logoff"="SCardStopCertProp"
"Lock"="SCardSuspendCertProp"
"Unlock"="SCardResumeCertProp"
"Enabled"=dword:00000001
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"StartShell"="SchedStartShell"
"Logoff"="SchedEventLogOff"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"PostShell"="SensPostShellEvent"
"Disconnect"="SensDisconnectEvent"
"Reconnect"="SensReconnectEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"Logoff"="TSEventLogoff"
"Logon"="TSEventLogon"
"PostShell"="TSEventPostShell"
"Shutdown"="TSEventShutdown"
"StartShell"="TSEventStartShell"
"Startup"="TSEventStartup"
"MaxWait"=dword:00000258
"Reconnect"="TSEventReconnect"
"Disconnect"="TSEventDisconnect"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
"DLLName"="wlnotify.dll"
"Logon"="RegisterTicketExpiredNotificationEvent"
"Logoff"="UnregisterTicketExpiredNotificationEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001
**********************************************************************************
useragent:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
**********************************************************************************
Shell Extension key:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{00022613-0000-0000-C000-000000000046}"="Eigenschaften f
- BaierTech
- Beiträge: 47
- Registriert: 13.01.2005, 12:44
- Wohnort: Neumarkt
von Nikita am 27.03.2005, 13:59
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
Gehe in die Registry
Start<Ausfuehren<regedit
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
mit rechtsklick loeschen:
"Service Host"="F:\\WINDOWS\\System32\\Services\\{C70ACC8B-F9BD-49A9-8D3B-EC5B5A9C70A0}\\SVCHOST.EXE"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
mit rechtsklick loeschen:
Services32]
"_File"="F:\\WINDOWS\\System32\\Services\\{C70ACC8B-F9BD-49A9-8D3B-EC5B5A9C70A0}\\SVCHOST.EXE"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
mit rechtsklick loeschen:
Services32]
"_Folder"="F:\\WINDOWS\\System32\\Services\\{C70ACC8B-F9BD-49A9-8D3B-EC5B5A9C70A0}\\"
•KillBox
http://www.bleepingcomputer.com/files/killbox.php
http://download.broadbandmedic.com/
•Delete File on Reboot <--anhaken
und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
F:\WINDOWS\SYSTEM32\drct16.dll
F:\WINDOWS\SYSTEM32\??rvices.exe
F:\WINDOWS\SYSTEM32\WINLOW.SYS
F:\WINDOWS\System32\exdl.exe
F:\WINDOWS\System32\exdl0.exe
F:\WINDOWS\System32\exdl1.exe
F:\WINDOWS\System32\mac80ex.idf
F:\WINDOWS\System32\mqexdlm.srg
F:\WINDOWS\System32\netut80ex.vxd
F:\WINDOWS\System32\wz.sys
F:\WINDOWS\cxtpls_loader.exe
F:\WINDOWS\hosts
F:\WINDOWS\IEMenuExtension.exe
F:\WINDOWS\ms2.exe
F:\WINDOWS\ms3.exe
F:\WINDOWS\NDNuninstall6_38.exe
F:\WINDOWS\p2p.exe.exe
F:\WINDOWS\tool.exe
F:\WINDOWS\installer[cld-10077,de].exe
F:\WINDOWS\installer[cld-10082,de].exe
F:\WINDOWS\installer[clipartsland,de].exe
F:\WINDOWS\installer[gwd-10778,de].exe
F:\WINDOWS\installer_SIAC.exe
F:\Dokumente und Einstellungen\Andrea\Eigene Dateien\visitenkarten.exe
F:\Dokumente und Einstellungen\Andrea\Lokale Einstellungen\Temporary Internet Files\Content.IE5\81E74XMJ\gifsworld[gwd-10778,de][1].exe
F:\Dokumente und Einstellungen\Andrea\Lokale Einstellungen\Temporary Internet Files\Content.IE5\C5G7SVS3\Clipartland[cld-10082,de][1].exe
F:\Dokumente und Einstellungen\Andrea\Lokale Einstellungen\Temporary Internet Files\Content.IE5\C5G7SVS3\Clipartland[clipartsland,de][1].exe
F:\Dokumente und Einstellungen\Andrea\Lokale Einstellungen\Temporary Internet Files\Content.IE5\HRBZD1SE\prompt[1].php
F:\Dokumente und Einstellungen\Andrea\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S9M7KTUJ\Clipartland[cld-10077,de][1].exe
F:\Dokumente und Einstellungen\Andrea\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S9M7KTUJ\Clipartland[cld-10082,de][1].exe
F:\Dokumente und Einstellungen\Andrea\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YLO32D2X\Clipartland[cld-10082,de][1].exe
F:\Dokumente und Einstellungen\Robert\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\classload.jar-96d30d8-6f6164ac.zip
F:\Dokumente und Einstellungen\Robert\Desktop\backups\backup-20050326-174940-842.dll
F:\Dokumente und Einstellungen\Robert\Desktop\backups\backup-20050327-001235-820.dll
F:\Dokumente und Einstellungen\Robert\Lokale Einstellungen\Temp\01808300\1100.tmp
F:\Dokumente und Einstellungen\Robert\Lokale Einstellungen\Temp\SVCHOST32.DLL
F:\Dokumente und Einstellungen\Robert\Lokale Einstellungen\Temp\zl.exe
F:\Programme\TheSearchAccelerator\IUCmore.dll
F:\WINDOWS\Downloaded Program Files\loader2.ocx
F:\WINDOWS\cxtpls_loader.exe
F:\Dokumente und Einstellungen\Robert\Lokale Einstellungen\Temp\01808300\1100.tmp
F:\Dokumente und Einstellungen\Robert\Lokale Einstellungen\Temp\SVCHOST32.DLL
F:\Dokumente und Einstellungen\Robert\Lokale Einstellungen\Temp\zl.exe
PC neustarten
Die Datei "fixme.reg" auf dem Desktop doppelklicken.
•Aktuelle Version der Shareware von F-PROT (DOS)
Lade von dieser Seite:
http://www.f-prot.com/products/corporate_users/dos/
Entpacke,klicke auf FPROT.EXE -->> wenn sich DOS oeffnet, klicke zweimal <Enter<, bis der Scann beginnt.
#ClaerProg..lade die neuste Version <1.4.1
http://www.clearprog.de/downloads.php
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)
#TuneUp2004 (30 Tage free)
http://www.tuneup.de/products/tuneup-utilities/
Cleanup repair -->TuneUp Diskcleaner
Cleanup repair -->Registry Cleaner
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren
+
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren
Manuell suchen/loeschen:
F:\Dokumente und Einstellungen\Andrea\Lokale Einstellungen\Temporary Internet Files\Content.IE5\81E74XMJ\
F:\Dokumente und Einstellungen\Andrea\Lokale Einstellungen\Temporary Internet Files\Content.IE5\C5G7SVS3\
F:\Dokumente und Einstellungen\Andrea\Lokale Einstellungen\Temporary Internet Files\Content.IE5\C5G7SVS3\
F:\Dokumente und Einstellungen\Andrea\Lokale Einstellungen\Temporary Internet Files\Content.IE5\HRBZD1SE\
F:\Dokumente und Einstellungen\Andrea\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S9M7KTUJ\
F:\Dokumente und Einstellungen\Andrea\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S9M7KTUJ\
F:\Dokumente und Einstellungen\Andrea\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YLO32D2X\
F:\Dokumente und Einstellungen\Robert\Lokale Einstellungen\Temp\01808300\1100.tmp
F:\Dokumente und Einstellungen\Robert\Lokale Einstellungen\Temp\SVCHOST32.DLL
F:\Dokumente und Einstellungen\Robert\Lokale Einstellungen\Temp\zl.exe
•Antivirus (free)--> scanne im abgesicherten Modus
http://www.free-av.de/
Nach dem Installationsscan (in Ruehe abwarten und alles Bestaetigen waehrend der Installation:
Optionen--> Konfiguration-->Heuristik-->win32 Datei-heuristik--> aktivieren--> auf Mittel stellen
[X] Speicher
[X] Bootsektor Suchlaufwerke
[ ] Unbekannte Bootsektoren melden
[X] Alle Dateien
[ ] Programmdateien
scanne noch mal mit dem escan--> loesche manuell alles "infected" und poste das neue Log vom HijackTHis
- Code: Alles auswählen
REGEDIT4
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\drct16]
Gehe in die Registry
Start<Ausfuehren<regedit
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
mit rechtsklick loeschen:
"Service Host"="F:\\WINDOWS\\System32\\Services\\{C70ACC8B-F9BD-49A9-8D3B-EC5B5A9C70A0}\\SVCHOST.EXE"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
mit rechtsklick loeschen:
Services32]
"_File"="F:\\WINDOWS\\System32\\Services\\{C70ACC8B-F9BD-49A9-8D3B-EC5B5A9C70A0}\\SVCHOST.EXE"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
mit rechtsklick loeschen:
Services32]
"_Folder"="F:\\WINDOWS\\System32\\Services\\{C70ACC8B-F9BD-49A9-8D3B-EC5B5A9C70A0}\\"
•KillBox
http://www.bleepingcomputer.com/files/killbox.php
http://download.broadbandmedic.com/
•Delete File on Reboot <--anhaken
und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
F:\WINDOWS\SYSTEM32\drct16.dll
F:\WINDOWS\SYSTEM32\??rvices.exe
F:\WINDOWS\SYSTEM32\WINLOW.SYS
F:\WINDOWS\System32\exdl.exe
F:\WINDOWS\System32\exdl0.exe
F:\WINDOWS\System32\exdl1.exe
F:\WINDOWS\System32\mac80ex.idf
F:\WINDOWS\System32\mqexdlm.srg
F:\WINDOWS\System32\netut80ex.vxd
F:\WINDOWS\System32\wz.sys
F:\WINDOWS\cxtpls_loader.exe
F:\WINDOWS\hosts
F:\WINDOWS\IEMenuExtension.exe
F:\WINDOWS\ms2.exe
F:\WINDOWS\ms3.exe
F:\WINDOWS\NDNuninstall6_38.exe
F:\WINDOWS\p2p.exe.exe
F:\WINDOWS\tool.exe
F:\WINDOWS\installer[cld-10077,de].exe
F:\WINDOWS\installer[cld-10082,de].exe
F:\WINDOWS\installer[clipartsland,de].exe
F:\WINDOWS\installer[gwd-10778,de].exe
F:\WINDOWS\installer_SIAC.exe
F:\Dokumente und Einstellungen\Andrea\Eigene Dateien\visitenkarten.exe
F:\Dokumente und Einstellungen\Andrea\Lokale Einstellungen\Temporary Internet Files\Content.IE5\81E74XMJ\gifsworld[gwd-10778,de][1].exe
F:\Dokumente und Einstellungen\Andrea\Lokale Einstellungen\Temporary Internet Files\Content.IE5\C5G7SVS3\Clipartland[cld-10082,de][1].exe
F:\Dokumente und Einstellungen\Andrea\Lokale Einstellungen\Temporary Internet Files\Content.IE5\C5G7SVS3\Clipartland[clipartsland,de][1].exe
F:\Dokumente und Einstellungen\Andrea\Lokale Einstellungen\Temporary Internet Files\Content.IE5\HRBZD1SE\prompt[1].php
F:\Dokumente und Einstellungen\Andrea\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S9M7KTUJ\Clipartland[cld-10077,de][1].exe
F:\Dokumente und Einstellungen\Andrea\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S9M7KTUJ\Clipartland[cld-10082,de][1].exe
F:\Dokumente und Einstellungen\Andrea\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YLO32D2X\Clipartland[cld-10082,de][1].exe
F:\Dokumente und Einstellungen\Robert\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\classload.jar-96d30d8-6f6164ac.zip
F:\Dokumente und Einstellungen\Robert\Desktop\backups\backup-20050326-174940-842.dll
F:\Dokumente und Einstellungen\Robert\Desktop\backups\backup-20050327-001235-820.dll
F:\Dokumente und Einstellungen\Robert\Lokale Einstellungen\Temp\01808300\1100.tmp
F:\Dokumente und Einstellungen\Robert\Lokale Einstellungen\Temp\SVCHOST32.DLL
F:\Dokumente und Einstellungen\Robert\Lokale Einstellungen\Temp\zl.exe
F:\Programme\TheSearchAccelerator\IUCmore.dll
F:\WINDOWS\Downloaded Program Files\loader2.ocx
F:\WINDOWS\cxtpls_loader.exe
F:\Dokumente und Einstellungen\Robert\Lokale Einstellungen\Temp\01808300\1100.tmp
F:\Dokumente und Einstellungen\Robert\Lokale Einstellungen\Temp\SVCHOST32.DLL
F:\Dokumente und Einstellungen\Robert\Lokale Einstellungen\Temp\zl.exe
PC neustarten
Die Datei "fixme.reg" auf dem Desktop doppelklicken.
•Aktuelle Version der Shareware von F-PROT (DOS)
Lade von dieser Seite:
http://www.f-prot.com/products/corporate_users/dos/
Entpacke,klicke auf FPROT.EXE -->> wenn sich DOS oeffnet, klicke zweimal <Enter<, bis der Scann beginnt.
#ClaerProg..lade die neuste Version <1.4.1
http://www.clearprog.de/downloads.php
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)
#TuneUp2004 (30 Tage free)
http://www.tuneup.de/products/tuneup-utilities/
Cleanup repair -->TuneUp Diskcleaner
Cleanup repair -->Registry Cleaner
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren
+
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren
Manuell suchen/loeschen:
F:\Dokumente und Einstellungen\Andrea\Lokale Einstellungen\Temporary Internet Files\Content.IE5\81E74XMJ\
F:\Dokumente und Einstellungen\Andrea\Lokale Einstellungen\Temporary Internet Files\Content.IE5\C5G7SVS3\
F:\Dokumente und Einstellungen\Andrea\Lokale Einstellungen\Temporary Internet Files\Content.IE5\C5G7SVS3\
F:\Dokumente und Einstellungen\Andrea\Lokale Einstellungen\Temporary Internet Files\Content.IE5\HRBZD1SE\
F:\Dokumente und Einstellungen\Andrea\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S9M7KTUJ\
F:\Dokumente und Einstellungen\Andrea\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S9M7KTUJ\
F:\Dokumente und Einstellungen\Andrea\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YLO32D2X\
F:\Dokumente und Einstellungen\Robert\Lokale Einstellungen\Temp\01808300\1100.tmp
F:\Dokumente und Einstellungen\Robert\Lokale Einstellungen\Temp\SVCHOST32.DLL
F:\Dokumente und Einstellungen\Robert\Lokale Einstellungen\Temp\zl.exe
•Antivirus (free)--> scanne im abgesicherten Modus
http://www.free-av.de/
Nach dem Installationsscan (in Ruehe abwarten und alles Bestaetigen waehrend der Installation:
Optionen--> Konfiguration-->Heuristik-->win32 Datei-heuristik--> aktivieren--> auf Mittel stellen
[X] Speicher
[X] Bootsektor Suchlaufwerke
[ ] Unbekannte Bootsektoren melden
[X] Alle Dateien
[ ] Programmdateien
scanne noch mal mit dem escan--> loesche manuell alles "infected" und poste das neue Log vom HijackTHis
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
6 Beiträge • Seite 1 von 1
Ähnliche Themen
| problem mir wurm worm.win32.welchia.h Forum: Online- und PC-Sicherheit Autor: godeke6 Antworten: |
Win32 Explorer`log von merten99 Forum: Online- und PC-Sicherheit Autor: Nikita Antworten: |
trojan.win32.fatoos.b Forum: Online- und PC-Sicherheit Autor: blubb Antworten: |
sdin.exe/SDIN Adapter"=Backdoor.Win32.Wootbot.gen Forum: Online- und PC-Sicherheit Autor: zipwiz Antworten: |
Neuer Trojaner? "TrojanDropper.Win32.Agent.bd" Forum: Online- und PC-Sicherheit Autor: svister Antworten: |
Zurück zu Online- und PC-Sicherheit
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste