hier ist mal das logfile, ich verstehs nicht *g*, vielleicht ja jemand anders
Logfile of HijackThis v1.99.0
Scan saved at 12:56:51, on 25.04.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\LEXBCES.EXE
E:\WINDOWS\system32\LEXPPS.EXE
E:\WINDOWS\system32\spoolsv.exe
E:\Programme\AVPersonal\AVWUPSRV.EXE
E:\Programme\FSI\F-Prot\fpavupdm.exe
E:\WINDOWS\System32\nvsvc32.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\System32\dwwin.exe
E:\WINDOWS\SOUNDMAN.EXE
E:\Programme\Lexmark X6100 Series\lxbfbmgr.exe
E:\Programme\Lexmark X6100 Series\lxbfbmon.exe
E:\Programme\QuickTime\qttask.exe
E:\Programme\ICQLite\ICQLite.exe
E:\Programme\FSI\F-Prot\F-Sched.exe
E:\Programme\FSI\F-Prot\F-StopW.EXE
E:\Manu\Lavasoft\Ad-aware 6\Ad-watch.exe
E:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
E:\Programme\Ahead\InCD\InCD.exe
E:\Programme\Trend Micro\PC-cillin 7.5\Pop3trap.exe
E:\Programme\Trend Micro\PC-cillin 7.5\WebTrapNT.exe
E:\WINDOWS\System32\ctfmon.exe
E:\Programme\Messenger\msmsgs.exe
E:\Programme\Labtec\Wireless Mouse\MulMouse.exe
E:\Programme\DeTeWe\TA 33 USB\Capictrl.exe
E:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe
E:\WINDOWS\System32\dwwin.exe
E:\WINDOWS\System32\dwwin.exe
E:\WINDOWS\System32\dwwin.exe
E:\WINDOWS\System32\taskmgr.exe
e:\windows\system32\dvatmv.exe
E:\Programme\Internet Explorer\IEXPLORE.EXE
E:\WINDOWS\System32\dwwin.exe
E:\WINDOWS\System32\dwwin.exe
E:\WINDOWS\System32\dwwin.exe
E:\WINDOWS\System32\dwwin.exe
E:\WINDOWS\System32\dwwin.exe
E:\Manu\IncrediMail\bin\IncMail.exe
E:\DOKUME~1\SUPERA~1\LOKALE~1\Temp\IncrediMail\HijackThis.exe
E:\WINDOWS\Explorer.exe
E:\WINDOWS\System32\dwwin.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://E:\DOKUME~1\SUPERA~1\LOKALE~1\Temp\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://E:\DOKUME~1\SUPERA~1\LOKALE~1\Temp\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
F2 - REG:system.ini: Shell=Explorer.exe E:\WINDOWS\Nail.exe
O2 - BHO: DownloadRedirect Class - {00000000-6CB0-410C-8C3D-8FA8D2011D0A} - E:\iMesh5\iMeshBHO.dll (file missing)
O2 - BHO: BolgerObj Class - {302A3240-4805-4a34-97D7-1645A0B08410} - E:\WINDOWS\Bolger.dll
O2 - BHO: (no name) - {38C07CF2-43D4-4701-9AEE-7A14B3E964CF} - E:\WINDOWS\System32\gofp.dll (file missing)
O2 - BHO: No description - {88CC91DE-5930-45AD-9E04-6B1233609FEA} - E:\WINDOWS\System32\lfoE949.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Lexmark X6100 Series] "E:\Programme\Lexmark X6100 Series\lxbfbmgr.exe"
O4 - HKLM\..\Run: [NeroCheck] E:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [routcnf] E:\Programme\DeTeWe\TA 33 USB\routcnf.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "E:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [ICQ Lite] E:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [FRISK FP-Scheduler] E:\Programme\FSI\F-Prot\F-Sched.exe
O4 - HKLM\..\Run: [F-StopW] E:\Programme\FSI\F-Prot\F-StopW.EXE
O4 - HKLM\..\Run: [Ad-watch] "E:\Manu\Lavasoft\Ad-aware 6\Ad-watch.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] E:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TkBellExe] "E:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [InCD] E:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Pop3trap.exe] "E:\Programme\Trend Micro\PC-cillin 7.5\Pop3trap.exe"
O4 - HKLM\..\Run: [WebTrapNT.exe] "E:\Programme\Trend Micro\PC-cillin 7.5\WebTrapNT.exe"
O4 - HKLM\..\Run: [romahere] E:\WINDOWS\System32\matrixhere.exe
O4 - HKLM\..\Run: [pnpsvc_lock] E:\WINDOWS\System32\15037496.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 E:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [IST Service] E:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [vlmtsb] e:\windows\system32\dvatmv.exe
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "E:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [romahere] E:\WINDOWS\System32\matrixhere.exe
O4 - HKCU\..\Run: [Yahoo! Pager] E:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\RunOnce: [ICQ Lite] E:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Registration-Studio 8 SE.lnk = E:\Programme\Pinnacle\Studio 8\Register\RegTool.exe
O4 - Global Startup: Labtec Maus Software 2.0.lnk = E:\Programme\Labtec\Wireless Mouse\MulMouse.exe
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: Echtzeitsuche.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: T-COM WLAN Manager T-Sinus 154data.lnk = E:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - E:\Manu\INCRED~1\bin\resources\WebMenuImg.htm
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 3384701969
O20 - AppInit_DLLs: fb9zv6tmlkxgdr.tlb 16l1nbmitjdv2.tlb dm7xw0kjc4taz.tlb
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - E:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - E:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: F-Prot Antivirus Update Monitor - FRISK Software - E:\Programme\FSI\F-Prot\fpavupdm.exe
O23 - Service: LexBce Server - Lexmark International, Inc. - E:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - E:\WINDOWS\System32\nvsvc32.exe
O23 - Service: System Startup Service - Unknown - E:\WINDOWS\svcproc.exe
O23 - Service: Trend NT Realtime Service - Trend Micro Inc. - E:\Programme\Trend Micro\PC-cillin 7.5\Tmntsrv.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - E:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: ZESOFT - Unknown - E:\WINDOWS\zeta.exe (file missing)
wär schön wenn mir jemand helfen könnte, danke
Warum kostenlos registrieren?
Nur als registriertes Mitglied hast Du vollen Zugriff auf alle Funktionen unserer Website. So kannst Du eigene Fragen stellen und hast die volle Übersicht über neue interessante Themen im Forum.
Jetzt kostenlos registrieren.
Login
Ich hab mir was gefangen
6 Beiträge • Seite 1 von 1
von Nikita am 25.04.2005, 22:23
1. Schritt:
Hijacker about:blank - se.dll\sp.html
http://www.trojaner-info.de/anleitungen ... blank.html
Hijacker about:blank - se.dll\sp.html
http://www.trojaner-info.de/anleitungen ... blank.html
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von Nikita am 25.04.2005, 22:34
2. Schritt:
Deaktivieren Wiederherstellung
«XP
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein.
dann den Eintrag Dienste auswählen. Nun werden alle laufenden Dienste angezeigt. Hier den Punkt [color="blue"]"System Startup Service (SvcProc) [/color] " aussuchen. Wenn unter Status "gestartet" steht, mit der rechten Maustaste anklicken und die Option "Eigenschaften" auswählen. Nicht "Den Dienst beenden" auswählen, denn dann wird der
"System Startup Service (SvcProc) " beim nächsten Systemstart erneut ausgeführt.
Als Starttyp "deaktiviert" auswählen und den Dienststatus mit "Beenden" schliessen. Jetzt noch "Übernehmen" anklicken. Der " " läuft nicht mehr im Hintergrund und wird auch nicht mehr bei einem Neustart ausgeführt.
Start<Ausfuehren < cmd
kopiere rein:
sc stop ZESOFT
--->enter
und warte ein bisschen,
dann kopiere rein:
sc delete ZESOFT
-->enter
Start<Ausfuehren<regedit
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows NT>CurrentVersion>Winlogon
Shell = "explorer.exe loeschen--> [color="red"]C:\WINDOWS\Nail.exe [/color]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SVCPROC]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SvcProc]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SVCPROC]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SvcProc]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVCPROC]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SvcProc]
Sollte man Probleme haben, die Einträge zu löschen,
Klicke auf Bearbeiten-->Berechtigung und klicke dann auf Vollzugriff -->[Übernehmen] und auf [OK]. Erneuter [Rechtsklick] auf den Schlüssel und versuche diesen zu löschen.
tippe unter Start/Ausfuehren folgendes ein--> oder reinkopieren:
E:\WINDOWS\Nail.exe /FullRemove
dann druecke "enter"
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://E:\DOKUME~1\SUPERA~1\LOKALE~1\Temp\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://E:\DOKUME~1\SUPERA~1\LOKALE~1\Temp\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
F2 - REG:system.ini: Shell=Explorer.exe E:\WINDOWS\Nail.exe
O2 - BHO: DownloadRedirect Class - {00000000-6CB0-410C-8C3D-8FA8D2011D0A} - E:\iMesh5\iMeshBHO.dll (file missing)
O2 - BHO: BolgerObj Class - {302A3240-4805-4a34-97D7-1645A0B08410} - E:\WINDOWS\Bolger.dll
O2 - BHO: (no name) - {38C07CF2-43D4-4701-9AEE-7A14B3E964CF} - E:\WINDOWS\System32\gofp.dll (file missing)
O2 - BHO: No description - {88CC91DE-5930-45AD-9E04-6B1233609FEA} - E:\WINDOWS\System32\lfoE949.dll
O4 - HKLM\..\Run: [romahere] E:\WINDOWS\System32\matrixhere.exe
O4 - HKLM\..\Run: [pnpsvc_lock] E:\WINDOWS\System32\15037496.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 E:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [IST Service] E:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [vlmtsb] e:\windows\system32\dvatmv.exe
O4 - HKCU\..\Run: [romahere] E:\WINDOWS\System32\matrixhere.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - E:\Manu\INCRED~1\bin\resources\WebMenuImg.htm
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O20 - AppInit_DLLs: fb9zv6tmlkxgdr.tlb 16l1nbmitjdv2.tlb dm7xw0kjc4taz.tlb
O23 - Service: System Startup Service - Unknown - E:\WINDOWS\svcproc.exe
O23 - Service: ZESOFT - Unknown - E:\WINDOWS\zeta.exe (file missing)
PC neustarten
•KillBox
http://www.bleepingcomputer.com/files/killbox.php
•Delete File on Reboot <--anhaken
und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"
E:\WINDOWS\system32\exdl1.exe
E:\WINDOWS\system32\kalvcar32.exe
E:\WINDOWS\system32\khooker.exe
E:\WINDOWS\system32\trkgif.exe
E:\WINDOWS\system32\bargains.exe
E:\WINDOWS\system32\cashback.exe
E:\WINDOWS\system32\pconugl.exe
E:\WINDOWS\svcproc.exe
e:\windows\system32\lqacglz.exe
E:\WINDOWS\Nail.exe
E:\WINDOWS\system32\dload.exe
E:\WINDOWS\system32\prvdi.exe
E:\WINDOWS\system32\prvdi1.exe
E:\WINDOWS\Bolger.dll
E:\WINDOWS\zeta.exe
E:\WINDOWS\System32\matrixhere.exe
E:\Programme\ISTsvc\istsvc.exe
E:\WINDOWS\System32\15037496.exe
E:\iMesh5\iMeshBHO.dll
E:\WINDOWS\System32\gofp.dll
E:\WINDOWS\System32\lfoE949.dll
e:\windows\system32\dvatmv.exe
E:\WINDOWS\System32\16l1nbmitjdv2.tlb
E:\WINDOWS\System32\dwwin.exe
PC neustarten
Deinstallieren:
"Start -> Einstellungen -> Systemsteuerung -> Software"
deinstalliere: NEWDOT
Loesche:
C:\WINDOWS\prefetch\NAIL.EXE
CCleaner--> loesche alle *temp-Datein
http://www.ccleaner.com/ccdownload.asp
C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temp\prvdi.exe<--loeschen
C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temp\prvdi1.exe<--loeschen
C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temp\<--alles loeschen, was du findest
C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temporary Internet Files\Content.IE5\<--alles loeschen, was du findest (lasse nur die index.dat)
avast_4_home
http://www.avast.com/eng/avast_4_home.html
installieren--> dann wird ein Boots-Scann angeboten-->akzeptieren und danach
das Log vom Scann suchen und posten
aswclnr.log
DATA/report/aswboot.txt
Deaktivieren Wiederherstellung
«XP
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein.
dann den Eintrag Dienste auswählen. Nun werden alle laufenden Dienste angezeigt. Hier den Punkt [color="blue"]"System Startup Service (SvcProc) [/color] " aussuchen. Wenn unter Status "gestartet" steht, mit der rechten Maustaste anklicken und die Option "Eigenschaften" auswählen. Nicht "Den Dienst beenden" auswählen, denn dann wird der
"System Startup Service (SvcProc) " beim nächsten Systemstart erneut ausgeführt.
Als Starttyp "deaktiviert" auswählen und den Dienststatus mit "Beenden" schliessen. Jetzt noch "Übernehmen" anklicken. Der " " läuft nicht mehr im Hintergrund und wird auch nicht mehr bei einem Neustart ausgeführt.
Start<Ausfuehren < cmd
kopiere rein:
sc stop ZESOFT
--->enter
und warte ein bisschen,
dann kopiere rein:
sc delete ZESOFT
-->enter
Start<Ausfuehren<regedit
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows NT>CurrentVersion>Winlogon
Shell = "explorer.exe loeschen--> [color="red"]C:\WINDOWS\Nail.exe [/color]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SVCPROC]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SvcProc]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SVCPROC]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SvcProc]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVCPROC]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SvcProc]
Sollte man Probleme haben, die Einträge zu löschen,
Klicke auf Bearbeiten-->Berechtigung und klicke dann auf Vollzugriff -->[Übernehmen] und auf [OK]. Erneuter [Rechtsklick] auf den Schlüssel und versuche diesen zu löschen.
tippe unter Start/Ausfuehren folgendes ein--> oder reinkopieren:
E:\WINDOWS\Nail.exe /FullRemove
dann druecke "enter"
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://E:\DOKUME~1\SUPERA~1\LOKALE~1\Temp\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://E:\DOKUME~1\SUPERA~1\LOKALE~1\Temp\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
F2 - REG:system.ini: Shell=Explorer.exe E:\WINDOWS\Nail.exe
O2 - BHO: DownloadRedirect Class - {00000000-6CB0-410C-8C3D-8FA8D2011D0A} - E:\iMesh5\iMeshBHO.dll (file missing)
O2 - BHO: BolgerObj Class - {302A3240-4805-4a34-97D7-1645A0B08410} - E:\WINDOWS\Bolger.dll
O2 - BHO: (no name) - {38C07CF2-43D4-4701-9AEE-7A14B3E964CF} - E:\WINDOWS\System32\gofp.dll (file missing)
O2 - BHO: No description - {88CC91DE-5930-45AD-9E04-6B1233609FEA} - E:\WINDOWS\System32\lfoE949.dll
O4 - HKLM\..\Run: [romahere] E:\WINDOWS\System32\matrixhere.exe
O4 - HKLM\..\Run: [pnpsvc_lock] E:\WINDOWS\System32\15037496.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 E:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [IST Service] E:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [vlmtsb] e:\windows\system32\dvatmv.exe
O4 - HKCU\..\Run: [romahere] E:\WINDOWS\System32\matrixhere.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - E:\Manu\INCRED~1\bin\resources\WebMenuImg.htm
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O20 - AppInit_DLLs: fb9zv6tmlkxgdr.tlb 16l1nbmitjdv2.tlb dm7xw0kjc4taz.tlb
O23 - Service: System Startup Service - Unknown - E:\WINDOWS\svcproc.exe
O23 - Service: ZESOFT - Unknown - E:\WINDOWS\zeta.exe (file missing)
PC neustarten
•KillBox
http://www.bleepingcomputer.com/files/killbox.php
•Delete File on Reboot <--anhaken
und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"
E:\WINDOWS\system32\exdl1.exe
E:\WINDOWS\system32\kalvcar32.exe
E:\WINDOWS\system32\khooker.exe
E:\WINDOWS\system32\trkgif.exe
E:\WINDOWS\system32\bargains.exe
E:\WINDOWS\system32\cashback.exe
E:\WINDOWS\system32\pconugl.exe
E:\WINDOWS\svcproc.exe
e:\windows\system32\lqacglz.exe
E:\WINDOWS\Nail.exe
E:\WINDOWS\system32\dload.exe
E:\WINDOWS\system32\prvdi.exe
E:\WINDOWS\system32\prvdi1.exe
E:\WINDOWS\Bolger.dll
E:\WINDOWS\zeta.exe
E:\WINDOWS\System32\matrixhere.exe
E:\Programme\ISTsvc\istsvc.exe
E:\WINDOWS\System32\15037496.exe
E:\iMesh5\iMeshBHO.dll
E:\WINDOWS\System32\gofp.dll
E:\WINDOWS\System32\lfoE949.dll
e:\windows\system32\dvatmv.exe
E:\WINDOWS\System32\16l1nbmitjdv2.tlb
E:\WINDOWS\System32\dwwin.exe
PC neustarten
Deinstallieren:
"Start -> Einstellungen -> Systemsteuerung -> Software"
deinstalliere: NEWDOT
Loesche:
C:\WINDOWS\prefetch\NAIL.EXE
CCleaner--> loesche alle *temp-Datein
http://www.ccleaner.com/ccdownload.asp
C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temp\prvdi.exe<--loeschen
C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temp\prvdi1.exe<--loeschen
C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temp\<--alles loeschen, was du findest
C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temporary Internet Files\Content.IE5\<--alles loeschen, was du findest (lasse nur die index.dat)
avast_4_home
http://www.avast.com/eng/avast_4_home.html
installieren--> dann wird ein Boots-Scann angeboten-->akzeptieren und danach
das Log vom Scann suchen und posten
aswclnr.log
DATA/report/aswboot.txt
Zuletzt geändert von Nikita am 25.04.2005, 22:45, insgesamt 6-mal geändert.
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von Nikita am 25.04.2005, 22:35
3, Schritt:
•AdAware-VX2
#Ad-aware SE Personal 1.05 Updated
http://fileforum.betanews.com/detail/965718306/1
AdAware-VX2 Cleaner
# Schließen Sie Ad-Aware (falls es gerade läuft)
# Laden Sie den VX2 Cleaner hier runter
http://www.lavasoftusa.com/software/add ... aner.shtml
# Installieren Sie den VX2 Cleaner
# Starten Sie Ad-Aware
# Wechseln Sie zu Add-Ons
# Klicken Sie auf das VX2 Cleaner Add-on und klicken Sie auf Tool ausführen
# Ist Ihr Computer nicht Infiziert, klicken Sie auf schließen
# Ist Ihr Computer Infiziert, klicken Sie auf System reinigen
# Neustart
# Prüfen Sie Ihren Computer mit Ad-Aware
# Entfernen Sie jegliche gefundenen VX2 Objekte
# Laden Sie L2mfix von hier :
#
http://bilder.informationsarchiv.net/Ni ... l2mfix.exe
# Speichern Sie die Datei auf Ihren Desktop und doppel-klicken Sie click l2mfix.exe.
# Klicken Sie auf Installieren um die Dateien zu extrahieren und folgen Sie den Anweisungen während der Installation.
# Dann öffnen Sie den auf Ihrem Desktop neuerstellten Ordner l2mfix
# Doppel-klicken Sie die Datei l2mfix.bat und tippen sie eine 1 und drücken Sie [Enter], um Find log laufen zu lassen. Dies wird Ihren Computer scannen. Es kann sein, das es so aussieht als ob nichts passiert, aber nach 1 oder 2 Minuten wird sich Notepad mit einem Log öffnen.
# Kopieren Sie den Inhalt durch Strg+A und fügen Sie den Inhalt in Ihren Thread durch Strg+V...oder einfach mit der Maus abkopieren.
WICHTIG:Nutzen Sie nicht Option 2, oder jegliche andere Dateien aus dem l2mfix Ordner, bis Sie dazu aufgefordert werden!
# Schließen Sie alle offenen Programme , da der nächste Schritt einen Neustart erfordert. Klicken Sie erneut auf l2mfix.bat und tippen Sie 2 ein --> [Enter].
# Drücken Sie eine beliebige Taste um einen Systemneustart einzuleiten.
# Nach dem Neustart, werden Ihre Icons auf dem Desktop kurz erscheinen und kurz verschwinden - dies ist NORMAL.
# L2mfix wird den Systemscan fortsetzen und wenn es fertig ist, wird sich Notepad öffnen und einen Log anzeigen. Kopieren Sie auch diesen hier in den Thread/ins Forum (Strg+C & Strg+V). Posten Sie ausserdem einen aktuellen HijackThis Log.
WICHTIG: Nutzen Sie nicht Option 2, oder jegliche andere Dateien aus dem l2mfix Ordner, bis Sie dazu aufgefordert werden!
# Doppel-klicken Sie erneut auf l2mfix.bat und geben Sie 4 ein. Bestätigen Sie mit [Enter].
# Dies stellt die Winlogon Standardeinstellungen wieder her.
# Posten Sie einen aktuellen HijackThis Log
# Neustart
# Prüfen Sie Ihr System erneut um sicherzustellen, das alle Dateien von Ihrem System entfernt wurden.
•AdAware-VX2
#Ad-aware SE Personal 1.05 Updated
http://fileforum.betanews.com/detail/965718306/1
AdAware-VX2 Cleaner
# Schließen Sie Ad-Aware (falls es gerade läuft)
# Laden Sie den VX2 Cleaner hier runter
http://www.lavasoftusa.com/software/add ... aner.shtml
# Installieren Sie den VX2 Cleaner
# Starten Sie Ad-Aware
# Wechseln Sie zu Add-Ons
# Klicken Sie auf das VX2 Cleaner Add-on und klicken Sie auf Tool ausführen
# Ist Ihr Computer nicht Infiziert, klicken Sie auf schließen
# Ist Ihr Computer Infiziert, klicken Sie auf System reinigen
# Neustart
# Prüfen Sie Ihren Computer mit Ad-Aware
# Entfernen Sie jegliche gefundenen VX2 Objekte
# Laden Sie L2mfix von hier :
#
http://bilder.informationsarchiv.net/Ni ... l2mfix.exe
# Speichern Sie die Datei auf Ihren Desktop und doppel-klicken Sie click l2mfix.exe.
# Klicken Sie auf Installieren um die Dateien zu extrahieren und folgen Sie den Anweisungen während der Installation.
# Dann öffnen Sie den auf Ihrem Desktop neuerstellten Ordner l2mfix
# Doppel-klicken Sie die Datei l2mfix.bat und tippen sie eine 1 und drücken Sie [Enter], um Find log laufen zu lassen. Dies wird Ihren Computer scannen. Es kann sein, das es so aussieht als ob nichts passiert, aber nach 1 oder 2 Minuten wird sich Notepad mit einem Log öffnen.
# Kopieren Sie den Inhalt durch Strg+A und fügen Sie den Inhalt in Ihren Thread durch Strg+V...oder einfach mit der Maus abkopieren.
WICHTIG:Nutzen Sie nicht Option 2, oder jegliche andere Dateien aus dem l2mfix Ordner, bis Sie dazu aufgefordert werden!
# Schließen Sie alle offenen Programme , da der nächste Schritt einen Neustart erfordert. Klicken Sie erneut auf l2mfix.bat und tippen Sie 2 ein --> [Enter].
# Drücken Sie eine beliebige Taste um einen Systemneustart einzuleiten.
# Nach dem Neustart, werden Ihre Icons auf dem Desktop kurz erscheinen und kurz verschwinden - dies ist NORMAL.
# L2mfix wird den Systemscan fortsetzen und wenn es fertig ist, wird sich Notepad öffnen und einen Log anzeigen. Kopieren Sie auch diesen hier in den Thread/ins Forum (Strg+C & Strg+V). Posten Sie ausserdem einen aktuellen HijackThis Log.
WICHTIG: Nutzen Sie nicht Option 2, oder jegliche andere Dateien aus dem l2mfix Ordner, bis Sie dazu aufgefordert werden!
# Doppel-klicken Sie erneut auf l2mfix.bat und geben Sie 4 ein. Bestätigen Sie mit [Enter].
# Dies stellt die Winlogon Standardeinstellungen wieder her.
# Posten Sie einen aktuellen HijackThis Log
# Neustart
# Prüfen Sie Ihr System erneut um sicherzustellen, das alle Dateien von Ihrem System entfernt wurden.
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von Swift am 08.08.2006, 17:16
ich habe auch die dwin datei in meinem task manager stehen aber keine nail exe. zudem kommt immer wenn ich eine explorer seite öffne ein fenster in dem steht das ein fehler festgestellt wurde und der explorer beendet werden muss. ich kann dieses fehler fenster dann nach unten ziehen und normal surfen, aber irgendwie macht es mir doch sorgen! weiß wer rat?
- Swift
- Beiträge: 1
- Registriert: 08.08.2006, 17:12
von Nikita am 08.08.2006, 23:46
Swift
Hijackthis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
Hijackthis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
6 Beiträge • Seite 1 von 1
Ähnliche Themen
| Ich habe mir einen Trojaner gefangen Forum: Online- und PC-Sicherheit Autor: J.S. Antworten: |
Hilfe Habe mir was gefangen! Forum: Online- und PC-Sicherheit Autor: tobibaaken Antworten: |
Hab mir etwas gefangen, roter hintergrund Forum: Online- und PC-Sicherheit Autor: huettenboss Antworten: |
Zurück zu Online- und PC-Sicherheit
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste