der scannt jetzt grad wie wild...mal abwarten

muss ich denn da jetzt gleich was von hand löschen oder macht scan das automatisch?

Hallo Ina,

wenn Du SpSeHjfix_Beta7 ausgeführt hast, werden 2 (!) Logs erstellt, bitte poste beide einmal.
Es gibt evtl. immer noch ein Problem mit dem Cleaner, wenn WindowsME das Betriebssystem ist. Du könntest uns bei einer evtl. Fehleranalyse enorm helfen!

als ich das dings fix augeführt hab hat er nur gesagt pc desinfiziert...hab keine logs gesehen...wo hol ich die her?

Dort, wo Du das Tool liegt, sollte es auch die Dateien SPSeHjFix.log und bad_dll.txt geben. Deren Inhalt poste bitte.

12.03.2005 22:25:08 SPSeHjFix started v1.07
12.03.2005 22:25:08 OS: WinME (4.90.73010104)
12.03.2005 22:25:08 Bad-Dll(IEP): (not found)
12.03.2005 22:25:08 BHO-DLL: (not found)
12.03.2005 22:25:08 UBF: 4
12.03.2005 22:25:08 UBB: 0
12.03.2005 22:25:08 UBR: 12
12.03.2005 22:25:08 Bad IE-pages:
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank
12.03.2005 22:25:08 Stealth-String found: C:\WINDOWS\HLPSTET2.GIF
12.03.2005 22:25:08 File added to delete: c:\windows\hlpstet2.gif
12.03.2005 22:25:08 Reboot
12.03.2005 22:26:03 SPSeHjFix 2nd Step
12.03.2005 22:26:04 RunServicesOnce-Key: (edited)
12.03.2005 22:26:08 Cleaned




aber einen baddl.txt hab ich nicht...

Läuft eScan zur Zeit noch?
Das sollte nämlich eigentlich im abgesicherten Modus passieren!

Wenn eScan fertig ist, starte den Rechner bitte einmal im DOS-Modus neu.
(Ich hoffe jetzt mal, dass es diese Option unter ME gibt. Da ich ME nie hatte, bin ich mir allerdings nicht ganz sicher...)

Du solltest dann einen schwarzen Bildschirm sehen und in etwa folgende Zeichen: C:\WINDOS>_

Gib dort bitte folgendes ein: del C:\WINDOWS\HLPSTET2.GIF
Bestätige anschließend mit der (Enter]-Taste. Danach boote den Rechner einmal neu im normalen Modus und poste ein dann neu erstelltes Log mit HijackThis.

das hab ich übersehen mit dem abgesicherten modus...ich denke escan brach noch was bis der fertig ist und dann werde ich das mit dos testen....wie komm ich in den dos modus?

und muss ich denn nachdem escan fertig ist slbst noch was löschen oder nicht?man ist das alles kompliziert...

geh jetzt erst mal in die badewanne..das dauert ja denke ich noch...hoffentlich bis gleich ;-)

Zitat:

Zitat von ina

12.03.2005 22:25:08 SPSeHjFix started v1.07
12.03.2005 22:25:08 OS: WinME (4.90.73010104)
12.03.2005 22:25:08 Bad-Dll(IEP): (not found)
12.03.2005 22:25:08 BHO-DLL: (not found)
12.03.2005 22:25:08 UBF: 4
12.03.2005 22:25:08 UBB: 0
12.03.2005 22:25:08 UBR: 12
12.03.2005 22:25:08 Bad IE-pages:
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank
12.03.2005 22:25:08 Stealth-String found: C:\WINDOWS\HLPSTET2.GIF
12.03.2005 22:25:08 File added to delete: c:\windows\hlpstet2.gif
12.03.2005 22:25:08 Reboot
12.03.2005 22:26:03 SPSeHjFix 2nd Step
12.03.2005 22:26:04 RunServicesOnce-Key: (edited)
12.03.2005 22:26:08 Cleaned

aber einen baddl.txt hab ich nicht...

Kannst du auch ned haben sonst würds unter Bad IE-Pages angezeigt werden.
Haste vorher schon mit was anderem gefixt?

Und die c:\windows\hlpstet2.gif sollte eigentlich beim Neustart gelöscht worden sein.

Gruß

Wenn Du nicht im abgesicherten Modus bist, kannst Du eScan auch abbrechen...
Wenn es den DOS-Modus unter ME gibt, dann mache folgendes:
Start -> Beenden -> Im MS-Dos Modus neu starten.

Wenn die o.g. Datei nicht (mehr) gefunden wird, beende bitte im Task-Manager den Prozess rundll32 und gehe anschließend wie von Cidre beschrieben vor:

Zitat:

Fixe diese Einträge (Haken setzen und auf Fix Checked klicken):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {850B7479-8556-4C57-9898-1A7B6E28D70C} - C:\WINDOWS\SYSTEM\NOLA.DLL (file missing)
O4 - HKLM\..\Run: [hbcl] C:\WINDOWS\HBCL.EXE
O4 - HKLM\..\Run: [Srv32 spool service] C:\WINDOWS\System\spoolsrv32.exe
O4 - HKCU\..\Run: [Srv32 spool service] C:\WINDOWS\System\spoolsrv32.exe
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game16.zylom.lycos.de/active...gamesplayer.cab
O18 - Filter: text/html - {DED76CC6-50BD-4D11-B9F1-D304539698ED} - C:\WINDOWS\SYSTEM\NOLA.DLL
O18 - Filter: text/plain - {DED76CC6-50BD-4D11-B9F1-D304539698ED} - C:\WINDOWS\SYSTEM\NOLA.DLL

Lösche diese Dateien:
C:\WINDOWS\SYSTEM\NOLA.DLL
C:\WINDOWS\System\spoolsrv32.exe
C:\WINDOWS\HBCL.EXE
und die Datei C:\WINDOWS\TEMP\se.dll

Oha, ich sehe grade, der Chef-Programmierer ist da.
Das ist auch gut so - ich komm grad ein bisserl durcheinander...

bin jetzt völlig durcheinander...soll ich escan jetzt abbrechen?es gibt keinen punkt"im dos modus starten"

mist pc...

Also laut SpseHjfix-Log solltes du mit diesem Hijacker nicht mehr infiziert sein.

Such mal nach der Datei wininit.bak und schau ob dort
NUL=c:\windows\hlpstet2.gif drinsteht

Wenn ja wurde die Datei gelöscht und alles andere schaut gut aus.

Haste denn jetzt noch Probleme?

Escan kannste ruhig laufen lassen vielleicht wird noch was anderes gefunden

Gruß

bei escan steht bis jetzt 14 viruses found...

die winint.bak hab ich unter c windows stehen und da hatte ich die hlpstet2.gif gelöscht...