Hilfe alle DFÜ Verbindungen weg

[Grashopper]

Edit GrayGhost
Hallo liebe Gemeinde. Könnt ihr bitte meinem Bruder helfen? Der sitzt zur Zeit im Urlaub und es hat wohl eine Bombe bei ihm eingeschlagen. Nach einem Neustart waren alle DFÜ Verbindungen UND Desktopverknüpfungen weg. DFÜ und Desktop sind inzwischen wieder hergestellt, aber es ist meiner Meinung nach einiges an Müll vorhanden. Dies ist sein Logfile:

Logfile of HijackThis v1.98.1
Scan saved at 12:09:17, on 07.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\ltmoh\Ltmoh.exe
C:\WINDOWS\System32\hkcmd.exe
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\system32\spider.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\WinZip\winzip32.exe
C:\DOKUME~1\KAICEN~1.000\LOKALE~1\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://msaps.dll/search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://msaps.dll/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://msaps.dll/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://msaps.dll/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://msaps.dll/index.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = res://msaps.dll/index.html
R3 - URLSearchHook: MailTo Class - {FDE3577A-6254-181C-4E11-339E4F746BD3} - C:\WINDOWS\System32\wins32t.dll
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [tapisys] C:\WINDOWS\System32\tss.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\Run: [tapisys] C:\WINDOWS\System32\tss.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6DE29000-1E63-4D19-B711-AC01FD6AFD72}: NameServer = 203.182.33.34
O17 - HKLM\System\CCS\Services\Tcpip\..\{7DC62B79-FF10-416F-BF95-7E885B4CE79D}: NameServer = 203.146.237.237 203.146.237.222

[Computerdirk]

Hallöchen,

zunächst mal die Systemwiederherstellung deaktivieren, dann folgende Einträge du fixen:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://msaps.dll/search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://msaps.dll/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://msaps.dll/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://msaps.dll/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://msaps.dll/index.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = res://msaps.dll/index.html
R3 - URLSearchHook: MailTo Class - {FDE3577A-6254-181C-4E11-339E4F746BD3} - C:\WINDOWS\System32\wins32t.dll

Die Startseite von Google kannst du ja lassen oder anschließend wieder neu einstellen...

Weiterhin fixen:

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6DE29000-1E63-4D19-B711-AC01FD6AFD72}: NameServer = 203.182.33.34
O17 - HKLM\System\CCS\Services\Tcpip\..\{7DC62B79-FF10-416F-BF95-7E885B4CE79D}: NameServer = 203.146.237.237 203.146.237.222

Anschließend den Rechner im abgesicherten Modus starten und die gefixten Dateien löschen ( falls noch welche übrig sind ). Anschließend den Rechner normal starten und die Systemwiederherstellung wieder aktivieren...

[Nikita]

@Grashopper

fixe auch
O4 - HKLM\..\Run: [tapisys] C:\WINDOWS\System32\tss.exe
O4 - HKCU\..\Run: [tapisys] C:\WINDOWS\System32\tss.exe

neustarten

Ueberpruefe mit Kaspersky
http://www.kaspersky.com/remoteviruschk.html
C:\WINDOWS\System32\tss.exe

Lade Antivirus
http://www.free-av.de/
Konfiguriere scanne<alle Dateien<
Heuristic :hoch und mache im abgesicherten Modus einen Komplettscann

normal neustarten

#Lade Cwshredder
http://www.chip.de/downloads/c_downloads_11353799.html

Dieses Tool ist kostenfrei und kann unter http://www.adwareaway.com/ heruntergeladen werden.

1. Downloaden
2. Installieren und Starten
3. Links in der Menüführung in der Rubrik "Specialized Remover" den Eintrag "Hijacker Away" markieren
4. Rechts im Übersichtsfenster "Ssearch.biz"und auch alle anderen ......... #My webSearch.....)markieren
5. Icon mit dem "Besen" unten ganz rechts anklicken
6. Dauert ein paar Sekündchen
7. Rechner neu Booten

loesche unter <Internetoptionen< die TemporaryInternetfiles und stelle eine neue Startseite ein.

Tip
Surfe nur mit Firefox...ist sicherer
http://www.firebird-browser.de/


Dann poste das Log noch mal.(bitte mit dem IE posten, nicht mit dem Firefox)

mfg
Nikita

[Grashopper]

werde das mal in aller ruhe durchspielen.........

[Grashopper]

wie einfach man sich was einfangen kann......und wie kompliziert man es wieder heraus-operieren muss.....