Hallo zusammen,

ich habe eine Symbolleiste (Freshbar) in meinem Browser, die sich nicht entfernen lässt. Es öffnen sich Seiten, die ich nicht aufgerufen habe.

Nachfolgend das Logfile, weiß jemand Rat? Danke im Voraus.

Eumel (Hans)

PS: Ich bin kein Computer-Experte....

Logfile of HijackThis v1.99.0
Scan saved at 12:55:42, on 25.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\pctspk.exe
C:\Programme\1&1 Internet\VirtuDrive\VirtuDrv.Exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\progra~1\1&1pro~1\virtus~1\virtusafe.exe
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\LVCOMSX.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\smss.exe
C:\Programme\AT-AR215\AT-AR215 USB ADSL MODEM\dslmon.exe
C:\WINDOWS\system32\smbdins.exe
C:\WINDOWS\system32\tsmsetup.exe
C:\WINDOWS\system32\nbtrstat.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Netzip Classic\Netzip.exe
C:\DOKUME~1\HANSJÖRK\LOKALE~1\TEMP\ZIP10\0\0\HIJACK~1.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://clearsurfing.net/srch.php?qq=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - C:\WINDOWS\system32\iesp1.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [VirtuDrive] C:\Programme\1&1 Internet\VirtuDrive\VirtuDrv.Exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [1&1 VirtuSafe] c:\progra~1\1&1pro~1\virtus~1\virtusafe.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [T-Remover] C:\Dokumente und Einstellungen\Hansjörk\trojanremover.exe +ls
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Service Manager] C:\WINDOWS\smss.exe
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.comtrade.net
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com.../c381/chat.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com...45/yacscom.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-12.cab
O16 - DPF: {B942A249-D1E7-4C11-98AE-FCB76B08747F} (RealArcadeRdxIE Class) - http://games-dl.real.com/gameconsole...rcadeRdxIE.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{260C19BC-0A79-412A-9139-125EC7AE320C}: NameServer = 69.50.188.180,195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{3821CF7C-C41C-4405-8E27-62B59BA9F9A6}: NameServer = 69.50.188.180,195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{59B0A96D-F377-40E5-A0F1-8AB467446926}: NameServer = 69.50.188.180,195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{874ED0FC-AE18-4A9D-AB2C-00707724BDCA}: NameServer = 69.50.188.180,195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{D7E78B37-A5A9-4ABC-A1E8-81991EFF4621}: NameServer = 69.50.188.180 195.225.176.31
O23 - Service: LexBce Server - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Hi,
Wir könnten jetzt anfangen, hier etwas zu bereinigen; da ich aber glaube, daß du mehr drauf hast, führe bitte im abgesicherten Modus bei deaktivierter Systemwiederherstelllng einen escan genau nach Anleitung aus.
Poste dann das Ergebnis (Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.)
cacatoa

Hallo,

ich habe escan im abgesicherten Modus laufen lassen, hier das Ergebnis:

File C:\WINDOWS\system32\msvhn.dll infected by "Trojan-Clicker.Win32.Agent.bu" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\rdspclips.exe infected by "HackTool.Win32.Hidd.e" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\smss.exe infected by "Trojan-Proxy.Win32.Migmaf.h" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\tmp.hta infected by "Trojan-Downloader.VBS.Psyme.at" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\winini32.exe infected by "Trojan-Dropper.Win32.Small.qi" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\winini32.exe infected by "Trojan-Dropper.Win32.Small.qi" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\hdhkq.dll infected by "HackTool.Win32.Hidd.c" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\smbdins.exe infected by "Trojan-Clicker.Win32.Small.dj" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\hduim.dll infected by "HackTool.Win32.Hidd.c" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\tsmsetup.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\upncont.exe infected by "Trojan-Dropper.Win32.Small.qt" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\iesp1.dll infected by "Trojan-Clicker.Win32.Agent.br" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\wowdbe.exe infected by "Trojan-Dropper.Win32.Small.qt" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\nbtrstat.exe infected by "Trojan-Clicker.Win32.Small.dg" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\netupd32.exe infected by "Trojan-Clicker.Win32.Small.dj" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\od.exe infected by "Trojan.Win32.DNSChanger.b" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\hdhro.dll infected by "HackTool.Win32.Hidd.c" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\sprestrst.exe infected by "Trojan.Win32.DNSChanger.b" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\HANSJÖRK\LOKALE~1\Temp\saveinstwm.exe infected by "not-a-virus:AdWare.SaveNow.z" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\HANSJÖRK\LOKALE~1\TEMPOR~1\Content.IE5\KPIROXUB\connect[1].htm infected by "Trojan-Downloader.JS.Small.ac" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\HANSJÖRK\LOKALE~1\TEMPOR~1\Content.IE5\433BYS5H\connect[1].htm infected by "Trojan-Downloader.JS.Small.ac" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\HANSJÖRK\LOKALE~1\TEMPOR~1\Content.IE5\BBDJF5SS\e[1].htm infected by "TrojanDownloader.JS.gen" Virus. Action Taken: No Action Taken.

Danke!!

Hallo, eumel,
die einzige Möglichkeit, Dein System wieder sauber zu bekommen ist Neuaufsetzen des Systems.
du hast dermaßen viele extrem böse Sachen drauf, daß du eine Gefahr für alle anderen im Netz bist.
Trenne den Rechner vom netz, nachdem Du die Tipps im Link gelesen hast und verfahre genau danach.
Bezeichnend ist u.a. daß Du Sachen drauf hst, die z.T erst seit ein paar Tagen, der hier: Trojan-Clicker.Win32.Agent.bu erst seit heute bekannt ist.
du hast, was am schlimmsten ist, den da drauf: Trojan-Proxy.Win32.Migmaf.h, der folgendes macht:
Troj/Migmaf-A kann als reverser Proxy-Webserver auf dem Computer des Opfers fungieren. Dadurch kann ein Remote-Anwender unerwünschte Websites über den Computer des Opfers zur Verfügung stellen, ohne dass sie nachverfolgt und geschlossen werden können.
Quelle Sophos.
Das heißt, Dein Rechner könnte schwersten mißbraucht werden, z.B. zum Versand von Kinderpornographie und vielem anderen mehr.
Tut mir leid, Dir nichts anderes sagen zu können.
Melde Dich, wenn Du wieder "clean" bist.
cacatoa

Hallo.
Ich habe auch den Freshbar-Kram und auch schon einiges mit hijack gefixt, aber die popups etc. öffnen sich immer noch ab und zu und ich fange mir dadurch wieder neue sachen ein. bis eben zumindest, da ich jetzt nur noch mit firefox surfe, allerdings schätze ich einfach, dass der rechner immer noch verseucht ist.

mein aktuelles logfile (siehe unten) habe ich auf www.hijackthis.de checken lassen und finde nichts explizit böses mehr, registry hab ich alles gelöscht, was ich unter dem suchbegriff "freshbar" finden konnte (1 einziger Schlüssel).
was nun? bitte helft mir. Habe übrigens auch keine große Ahnung von Computern.
Danke


Logfile of HijackThis v1.99.0
Scan saved at 13:35:37, on 12.02.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
E:\Logitech\iTouch\iTouch.exe
E:\Programme\ICQLite 4\ICQLite.exe
E:\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
E:\Logitech\MouseWare\system\em_exec.exe
E:\Quicktime\qttask.exe
E:\Antivir Personal 6\AVGNT.EXE
E:\Netscape 7.1\Netscp.exe
E:\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe
E:\TFT Software\MagicTune 2.5\GammaTray.exe
E:\TFT Software\Natural Color\NaturalColorLoad.exe
E:\Antivir Personal 6\AVGUARD.EXE
E:\Antivir Personal 6\AVWUPSRV.EXE
C:\WINDOWS\explorer.exe
E:\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Tobias\Desktop\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
F2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Acrobat Reader\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Name - {B4F343C0-3964-4AA4-86D5-E4C7C6DC6E7D} - C:\WINDOWS\System32\msstl.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [zBrowser Launcher] E:\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ICQ Lite] E:\Programme\ICQLite 4\ICQLite.exe -minimize
O4 - HKLM\..\Run: [RemoteControl] "E:\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "E:\Quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] E:\Antivir Personal 6\AVGNT.EXE /min
O4 - HKCU\..\Run: [Mozilla Quick Launch] "e:\Netscape 7.1\Netscp.exe" -turbo
O4 - HKCU\..\Run: [PowerBar] "E:\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe" /AtBootTime
O4 - HKCU\..\RunOnce: [ICQ Lite] E:\Programme\ICQLite 4\ICQLite.exe -trayboot
O4 - Global Startup: Color Calibration.lnk = ?
O4 - Global Startup: NaturalColorLoad.lnk = ?
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite 4\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite 4\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://c:\nosuch.mht!http://www.serv12.com/4/s1/1/q.chm::/file.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{4E659871-7127-4DF8-93CB-8042CC91C9C8}: NameServer = 69.50.176.156,195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{94D267BF-C6F1-4884-9CCD-1C439D86F2F0}: NameServer = 69.50.176.156,195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{94F409C7-02A3-4119-85B5-A0CBB281A817}: NameServer = 69.50.176.156,195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{9F77129A-5831-41C5-ADDC-60BAD8817F54}: NameServer = 69.50.176.156 195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{B22350C0-3863-48A0-BE77-9CAEDBB76480}: NameServer = 69.50.176.156,195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{D4149C17-4D6D-4E3D-9385-E27D7A1B5110}: NameServer = 69.50.176.156,195.225.176.31
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - E:\Antivir Personal 6\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - E:\Antivir Personal 6\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe

Was hast du genau gelöscht?

Es ist nicht gut das ohne Aneiltung zu machen.

Das hier: F2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exe sieht auch nicht gut aus,ich geh mal davon aus das du den hattest, http://www.sophos.de/virusinfo/analy...2forbotbd.html

und gefixt hast,oder?

es gab einen key, der freshbar hieß den hab ich gelöscht aus der regedit.
ansonsten habe ich die "böse" einträge von hijack gefixt (also diejenigen, die www.hijackthis.de als böse angezeigt hat)

Das hier: F2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exe

-> meinst du, den sollte ich noch fixen? aber ich kann ja nich einfach die system.ini datei löschen?!!?!

wie soll ich denn jetzt weiter vorgehen? werde immer noch von trojanern attackiert...

vorschläge?
danke

nochmal kurz:
die folgenden beiden einträge stören mich noch:

F2 - REG:system.ini: Shell=explorer.exe, msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{9F77129A-5831-41C5-ADDC-60BAD8817F54}: NameServer = 69.50.176.156 195.225.176.31


von den o17ern habe ich schon einige glöscht, da kommen aber dauernd wieder neue einträge mit irgendwelchen ip's. was soll ich dagegen tun?

zum f2: kann ich jetzt einfach im abgesicherten modus die dateien system.ini, explorer.exe und msmsgs.exe löschen?
fixen bringt nichts, nach neustart ist der f2 eintrag wieder da!

bitte um hilfe!!!!

@aich
lade escan
download
anleitung
überprüfe Deinen Rechner zunächst mit dem eScan: lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Das wird von Hand auf Anweisung durch uns gemacht.

Teile uns dann das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)
chaosman

@ chaosman

meiner Meinung nach ist das nicht erforderlich,denn der Forbot http://www.sophos.de/virusinfo/analy...2forbotbd.html

erstellt auch diesen F2 Eintrag,und verändert die .ini daher kann er sofort formatieren,da er den ja wahrscheinlich schon gefixt hat,was ja eh nichts bringt!

@aich

geh so vor: http://trojaner-board.de/showthread.php?t=12154

Gruss

ist es irgendwie möglich die original system.ini zu überschreiben? woher könnte ich die .ini bekommen?

oder gibts da absolut 0 chance und ich muss formatieren?

ich hab antivir durchlaufen lassen, der hat bei dem temporären internetdateien ein infiziertes archiv namens "classload[1].jar" das habe ich gelöscht un nu is die freshbar wech.

hoffentlich war es wirklich so einfach...

mit HijackThis komm ich nich klar, der meint immer mein grafiktreiber wär gefährlich un so, un das tatsächliche problem hatte er garnich gefunden...

nochmal kurz:
die folgenden beiden einträge stören mich noch:

F2 - REG:system.ini: Shell=explorer.exe, msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{9F77129A-5831-41C5-ADDC-60BAD8817F54}: NameServer = 69.50.176.156 195.225.176.31


von den o17ern habe ich schon einige glöscht, da kommen aber dauernd wieder neue einträge mit irgendwelchen ip's. was soll ich dagegen tun?

zum f2: kann ich jetzt einfach im abgesicherten modus die dateien system.ini, explorer.exe und msmsgs.exe löschen?
fixen bringt nichts, nach neustart ist der f2 eintrag wieder da!

bitte um hilfe!!!!

nein ja nicht löschen
das sind wichtige system dateien

Zitat:

Zitat von HerrKautz

@ chaosman

meiner Meinung nach ist das nicht erforderlich,denn der Forbot http://www.sophos.de/virusinfo/analy...2forbotbd.html

erstellt auch diesen F2 Eintrag,und verändert die .ini daher kann er sofort formatieren,da er den ja wahrscheinlich schon gefixt hat,was ja eh nichts bringt!

@aich

geh so vor: http://trojaner-board.de/showthread.php?t=12154

Gruss

Dein Problem wäre schon längst vergessen, wenn Du Dich daran gehalten hättest.

dartus

@The Don,

biste Du Dir da sicher?