Hallo,
habe vor paar tagen einen Virus eingefangen. Mein Bruder erzählte mir das er im Internet war und dann kam da eine Seite auf English mit einer Vieren Meldung, dann hat er das geschlossen und den Rechner Neu gestartet. Ab diesem Zeitpunkt des Resets startet der Rechner zwar noch aber es ist nicht mehr möglich irgend ein Programm zu starten. Die einzige Möglichkeit ein Programm zu starten ist über den Task-Manager. Leider bleibt aber dann der Rechner hängen. Habe auch in Abgesicherten Modus gestartet und wollte es löschen aber da kann ich auch nichts machen der Rechner reagiert nicht. Mein AntiViren Programm meldet

C:\WINDOWS\SYSTEM32\WININET.DLL
Enthält Code des Windows-Virus W32/Nsag.B

Was soll ich machen? Auf den Rechner sind paar wichtige Daten drauf, kann ich nicht die Festplate ausbauen und in meinen Rechner als Slave starten um die Daten zu Kopieren und dan die Festplate Formatiren oder wird mein Rechner auch mit den Virus betroffen.

Ich bedanke mich im Voraus und ich hoffe mir kann jemand helfen.

hey

#Lade dir HijackThis, stelle es in einen seperaten Ordner und starte
das Programm. Die dabei erzeugte Logfile bitte speichern und hier posten.

#Lade dir smitrem.exe ,die Datei auf dem Desktop speichern, doppelklicken auf die Datei und Start klicken.Dann wird ein Ordner SmitRem auf dem Desktop angelegt und die Dateien dahin entpackt.Noch nicht ausführen.

#Lade dir Ewido Security Suite unbeding Update,noch nicht scannen

#lade Adaware, Spybot unbeding Update,noch nicht scannen.

#PC neustarten--> abgesicherter Modus
Öffne jetzt den Ordner smitrem doppelklick auf die Datei Runthis.bat , um das Tool zu starten. Den Anweisungen auf dem Bildschirm folgen.
Wenn das Tool fertig wid, startet automatich DiskCleanup und wird die Festplatte aufräumt

#PC neustarten--> abgesicherter Modus
#Starte Ewido Security Suite mach ein voller Scan (Complete System Scan)

#Danach der PC mit Adaware, Spybot scannen und alle Funde entfernen.

#Inhalt folgende ordner loeschen:
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temp---> Inhalt löschen
C:\Dokumente und Einstellungen\Username\Lokale Einstellungen\Temporary Internet Files---> Inhalt löschen
C:\WINDOWS\temp---> Inhalt löschen

#HijackThis Log und den Report des Ewido Scans,auch das Logfile von smitrem,welches unter C:\smitfiles.txt findet hier posten.

Gruss
Expert

Hallo,
also das wenig, bis nichts mehr auf dem Rechner funktioniert schränkt natürlich die Vorgehensweise sehr ein. Ob ein Überspringen des Virus von der Festplatte auf deinen Rechner wahrscheinlich ist kann ich nicht sagen, theoretisch ist es möglich. Eine weitere Möglichkeit wäre mit einem bootbaren Linuxsystem (Knoppix) auf die Festplatte zuzugreifen, und die Daten zu sichern (wenn ein Brenner und ein CD Laufwerk auf dem betroffenem Rechner sind).
Übrigens könnte es durchaus sein das an dem betroffenen System noch ein anderes Problem vorliegt, denn normalerweise hat Nsag.B nicht solche Auswirkungen.

@Expert
Wie soll er das machen, wenn weder der normlale noch der abgesicherte Modus richtig funktionieren.


Grüße Wildone

Zitat:

Zitat von Wildone

@Expert
Wie soll er das machen, wenn weder der normlale noch der abgesicherte Modus richtig funktionieren.


Grüße Wildone

@Wildone

Danke,hatte übersehen

@twix27

Es muss funktionieren

Folgende versuchen:

PC neustarten, Unter Task-Manager den Befehl msconfig eingeben dann OK,dann Systemwiederherstellung Starten ein bestimmte Zeit vor der Infektion,(Aber muss einbißen geduld haben,der PC bleibt einbißen hängen dann reagiert wieder) wenn die Systemwiedeherstellung fertig ist(PC automatisch gestartet),dann kannst du meine Anleitung folgen,das heißt kannst du jetzt Prgrammen ausführen

Gruss
Expert

Zitat:

Zitat von Wildone

Übrigens könnte es durchaus sein das an dem betroffenen System noch ein anderes Problem vorliegt, denn normalerweise hat Nsag.B nicht solche Auswirkungen.
Grüße Wildone

Doch! Das Problem liegt an Nsag.B (Smitfraud),manschmal wegen diese Infektion kannst du keine Progrmm mehr ausführen (Desktop wird nicht mehr reagieren,egal was du anklickt,was hier hilft nur Systemwiederherstellung)

Gruss
Expert

Hallo,
oh, danke für die Info, konnte das noch nicht feststellen. Liegt das daran das irgendetwas zusätzliches nachgeladen wird, oder warum tritt das Problem nur machmal auf?


Grüße Wildone

Zitat:

Zitat von Wildone

Hallo,
oh, danke für die Info, konnte das noch nicht feststellen. Liegt das daran das irgendetwas zusätzliches nachgeladen wird, oder warum tritt das Problem nur machmal auf?
Grüße Wildone

Weiss du diese Smitfraud Infektion ändert die ganze Desktop (Desktop bildhintergrung usw) auch werden so viele zusätzliche Programme auf dem Desktop intalliert!Das hängt von der Infektion Art!

Gruss
Expert

Hallo,
okay, danke für die Info.


Grüße Wildone

Hallo an @lle,

danke erstmals für die Hilfe. Habe das alles gemacht was auf der liste von @Expert stand, hatte ziemlich lange gedauert und der hat ja auch viel gefunden
hier sind die ganzen sahen sind sehr viele muss deswegen 2mall hochladen hier ist der 1 teil



Logfile of HijackThis v1.99.1
Scan saved at 14:55:12, on 09.11.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Winamp\Winampa.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\HijackThis.exe


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\****\LOKALE~1\Temp\sp.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\****\LOKALE~1\Temp\sp.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {6F5842ED-958B-4517-AE97-B31DFF926CA3} - C:\WINDOWS\System32\ifhkok.dll (file missing)
O2 - BHO: Helper Class - {D80C4E21-C346-4E21-8E64-20746AA20AEB} - C:\Programme\NavExcel Search Toolbar\NavExcelBar.dll
O3 - Toolbar: NavExcel Toolbar - {5AA06644-BC46-4220-A460-47A6EB47C96D} - C:\Programme\NavExcel Search Toolbar\NavExcelBar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\Smc.exe -startgui
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O18 - Filter: text/html - {6A97A589-B117-4B1F-BA1E-067E2A693D29} - C:\WINDOWS\System32\ifhkok.dll
O18 - Filter: text/plain - {6A97A589-B117-4B1F-BA1E-067E2A693D29} - C:\WINDOWS\System32\ifhkok.dll
O23 - Service: InCD Helper (InCDsrv) - AHEAD Software - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\Smc.exe

und hier ist teil 2

---------------------------------------------------------
ewido security suite - Scan Report
---------------------------------------------------------

+ Erstellt am: 17:46:40, 09.11.2005
+ Report-Checksumme: A09EF36D

+ Scanergebnis:

HKLM\SOFTWARE\Classes\CLSID\{5AA06644-BC46-4220-A460-47A6EB47C96D} -> Spyware.NavExcel : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\CLSID\{5AA06644-BC46-4220-A460-47A6EB47C96D}\TypeLib\\ -> Spyware.CoolWebSearch : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\CLSID\{D80C4E21-C346-4E21-8E64-20746AA20AEB} -> Spyware.NavExcel : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\Interface\{014DA6CA-189F-421A-88CD-07CFE51CFF10}\TypeLib\\ -> Spyware.BargainBuddy : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\Interface\{014DA6CC-189F-421A-88CD-07CFE51CFF10}\TypeLib\\ -> Spyware.BargainBuddy : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\Interface\{4D6CED50-D6AE-40DA-B87F-235593FC1F28} -> Spyware.NavExcel : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\Interface\{4D6CED50-D6AE-40DA-B87F-235593FC1F28}\TypeLib\\ -> Spyware.NavExcel : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\Interface\{508EBE65-E39D-4363-8041-E647B4F6F4E1}\TypeLib\\ -> Spyware.NavExcel : Gesäubert mit Backup
HKLM\SOFTWARE\Classes\TypeLib\{209B1CEA-8B2E-4596-9B35-A4A7DB611EB2} -> Spyware.NavExcel : Gesäubert mit Backup
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\\{5AA06644-BC46-4220-A460-47A6EB47C96D} -> Spyware.NavExcel : Gesäubert mit Backup
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D80C4E21-C346-4E21-8E64-20746AA20AEB} -> Spyware.NavExcel : Gesäubert mit Backup
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\NavExcel Search Toolbar -> Spyware.NavExcel : Gesäubert mit Backup
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SearchAssistant Uninstall -> Spyware.CoolWebSearch : Gesäubert mit Backup
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WhenUSaveMsg -> Spyware.SaveNow : Gesäubert mit Backup
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Extensions\CmdMapping\\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Spyware.Alexa : Gesäubert mit Backup
HKU\S-1-5-21-1214440339-329068152-1801674531-1003\Software\Microsoft\Internet Explorer\Extensions\CmdMapping\\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Spyware.Alexa : Gesäubert mit Backup
HKU\S-1-5-21-1214440339-329068152-1801674531-1003\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\\{5AA06644-BC46-4220-A460-47A6EB47C96D} -> Spyware.NavExcel : Gesäubert mit Backup
HKU\S-1-5-21-1214440339-329068152-1801674531-1003\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{0494D0D9-F8E0-41AD-92A3-14154ECE70AC} -> Spyware.MyWay : Gesäubert mit Backup
HKU\S-1-5-21-1214440339-329068152-1801674531-1003\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{5AA06644-BC46-4220-A460-47A6EB47C96D} -> Spyware.NavExcel : Gesäubert mit Backup
HKU\S-1-5-21-1214440339-329068152-1801674531-1003\Software\NavExcel Ltd -> Spyware.NavExcel : Gesäubert mit Backup
HKU\S-1-5-21-1214440339-329068152-1801674531-1003\Software\NavExcel Ltd\NavExcel Search Toolbar -> Spyware.NavExcel : Gesäubert mit Backup
HKU\S-1-5-21-1214440339-329068152-1801674531-1003\Software\NavExcel Ltd\NavExcel Search Toolbar\History -> Spyware.NavExcel : Gesäubert mit Backup
HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Extensions\CmdMapping\\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Spyware.Alexa : Fehler beim Säubern
:mozilla.8:C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\dquri28p.default\cookies.txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup
:mozilla.15:C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\dquri28p.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.16:C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\dquri28p.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.17:C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\dquri28p.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.18:C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\dquri28p.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.19:C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\dquri28p.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.21:C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Mozilla\Firefox\Profiles\dquri28p.default\cookies.txt -> Spyware.Cookie.Hitbox : Gesäubert mit Backup
:mozilla.22:C:\Dokumente und Einstellungen\******\Anwendungsdaten\Mozilla\Firefox\Profiles\dquri28p.default\cookies.txt -> Spyware.Cookie.Hitbox : Gesäubert mit Backup
:mozilla.29:C:\Dokumente und Einstellungen\******\Anwendungsdaten\Mozilla\Firefox\Profiles\dquri28p.default\cookies.txt -> Spyware.Cookie.Esomniture : Gesäubert mit Backup
:mozilla.45:C:\Dokumente und Einstellungen\******\Anwendungsdaten\Mozilla\Firefox\Profiles\dquri28p.default\cookies.txt -> Spyware.Cookie.Esomniture : Gesäubert mit Backup
:mozilla.51:C:\Dokumente und Einstellungen\******\Anwendungsdaten\Mozilla\Firefox\Profiles\dquri28p.default\cookies.txt -> Spyware.Cookie.Addcontrol : Gesäubert mit Backup
:mozilla.55:C:\Dokumente und Einstellungen\******\Anwendungsdaten\Mozilla\Firefox\Profiles\dquri28p.default\cookies.txt -> Spyware.Cookie.Esomniture : Gesäubert mit Backup
:mozilla.58:C:\Dokumente und Einstellungen\******\Anwendungsdaten\Mozilla\Firefox\Profiles\dquri28p.default\cookies.txt -> Spyware.Cookie.Hitbox : Gesäubert mit Backup
:mozilla.61:C:\Dokumente und Einstellungen\******\Anwendungsdaten\Mozilla\Firefox\Profiles\dquri28p.default\cookies.txt -> Spyware.Cookie.Tfag : Gesäubert mit Backup
:mozilla.62:C:\Dokumente und Einstellungen\******\Anwendungsdaten\Mozilla\Firefox\Profiles\dquri28p.default\cookies.txt -> Spyware.Cookie.Sexlist : Gesäubert mit Backup
:mozilla.63:C:\Dokumente und Einstellungen\******\Anwendungsdaten\Mozilla\Firefox\Profiles\dquri28p.default\cookies.txt -> Spyware.Cookie.Sexlist : Gesäubert mit Backup
:mozilla.64:C:\Dokumente und Einstellungen\******\Anwendungsdaten\Mozilla\Firefox\Profiles\dquri28p.default\cookies.txt -> Spyware.Cookie.Sexlist : Gesäubert mit Backup
:mozilla.72:C:\Dokumente und Einstellungen\******\Anwendungsdaten\Mozilla\Firefox\Profiles\dquri28p.default\cookies.txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup
:mozilla.74:C:\Dokumente und Einstellungen\******\Anwendungsdaten\Mozilla\Firefox\Profiles\dquri28p.default\cookies.txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup
:mozilla.76:C:\Dokumente und Einstellungen\******\Anwendungsdaten\Mozilla\Firefox\Profiles\dquri28p.default\cookies.txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup
:mozilla.82:C:\Dokumente und Einstellungen\******\Anwendungsdaten\Mozilla\Firefox\Profiles\dquri28p.default\cookies.txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup
:mozilla.83:C:\Dokumente und Einstellungen\******\Anwendungsdaten\Mozilla\Firefox\Profiles\dquri28p.default\cookies.txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup
:mozilla.84:C:\Dokumente und Einstellungen\*******\Anwendungsdaten\Mozilla\Firefox\Profiles\dquri28p.default\cookies.txt -> Spyware.Cookie.Esomniture : Gesäubert mit Backup
:mozilla.85:C:\Dokumente und Einstellungen\******\Anwendungsdaten\Mozilla\Firefox\Profiles\dquri28p.default\cookies.txt -> Spyware.Cookie.Adserver : Gesäubert mit Backup
:mozilla.86:C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\dquri28p.default\cookies.txt -> Spyware.Cookie.Adserver : Gesäubert mit Backup
:mozilla.87:C:\Dokumente und Einstellungen\*******\Anwendungsdaten\Mozilla\Firefox\Profiles\dquri28p.default\cookies.txt -> Spyware.Cookie.Esomniture : Gesäubert mit Backup
:mozilla.88:C:\Dokumente und Einstellungen\*******\Anwendungsdaten\Mozilla\Firefox\Profiles\dquri28p.default\cookies.txt -> Spyware.Cookie.Mediaplex : Gesäubert mit Backup
:mozilla.89:C:\Dokumente und Einstellungen\******\Anwendungsdaten\Mozilla\Firefox\Profiles\dquri28p.default\cookies.txt -> Spyware.Cookie.Mediaplex : Gesäubert mit Backup
:mozilla.94:C:\Dokumente und Einstellungen\******\Anwendungsdaten\Mozilla\Firefox\Profiles\dquri28p.default\cookies.txt -> Spyware.Cookie.Fastclick : Gesäubert mit Backup
:mozilla.95:C:\Dokumente und Einstellungen\******\Anwendungsdaten\Mozilla\Firefox\Profiles\dquri28p.default\cookies.txt -> Spyware.Cookie.Fastclick : Gesäubert mit Backup
:mozilla.96:C:\Dokumente und Einstellungen\******\Anwendungsdaten\Mozilla\Firefox\Profiles\dquri28p.default\cookies.txt -> Spyware.Cookie.Esomniture : Gesäubert mit Backup
:mozilla.97:C:\Dokumente und Einstellungen\******\Anwendungsdaten\Mozilla\Firefox\Profiles\dquri28p.default\cookies.txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup
:mozilla.99:C:\Dokumente und Einstellungen\*******\Anwendungsdaten\Mozilla\Firefox\Profiles\dquri28p.default\cookies.txt -> Spyware.Cookie.Doubleclick : Gesäubert mit Backup
:mozilla.100:C:\Dokumente und Einstellungen\*******\Anwendungsdaten\Mozilla\Firefox\Profiles\dquri28p.default\cookies.txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup
:mozilla.101:C:\Dokumente und Einstellungen\**\Anwendungsdaten\Mozilla\Firefox\Profiles\dquri28p.default\cookies.txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup
:mozilla.102:C:\Dokumente und Einstellungen\*******Anwendungsdaten\Mozilla\Firefox\Profiles\dquri28p.default\cookies.txt -> Spyware.Cookie.Esomniture : Gesäubert mit Backup
:mozilla.106:C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\dquri28p.default\cookies.txt -> Spyware.Cookie.Spylog : Gesäubert mit Backup
:mozilla.110:C:\Dokumente und Einstellungen\*******\Anwendungsdaten\Mozilla\Firefox\Profiles\dquri28p.default\cookies.txt -> Spyware.Cookie.Atdmt : Gesäubert mit Backup
:mozilla.114:C:\Dokumente und Einstellungen\*******\Anwendungsdaten\Mozilla\Firefox\Profiles\dquri28p.default\cookies.txt -> Spyware.Cookie.Esomniture : Gesäubert mit Backup
:mozilla.118:C:\Dokumente und Einstellungen\********\Anwendungsdaten\Mozilla\Firefox\Profiles\dquri28p.default\cookies.txt -> Spyware.Cookie.Esomniture : Gesäubert mit Backup
:mozilla.121:C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\dquri28p.default\cookies.txt -> Spyware.Cookie.Esomniture : Gesäubert mit Backup
:mozilla.123:C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\dquri28p.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.125:C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\dquri28p.default\cookies.txt -> Spyware.Cookie.Adtech : Gesäubert mit Backup
:mozilla.126:C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\dquri28p.default\cookies.txt -> Spyware.Cookie.Adtech : Gesäubert mit Backup
:mozilla.127:C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\dquri28p.default\cookies.txt -> Spyware.Cookie.Esomniture : Gesäubert mit Backup
:mozilla.128:C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\dquri28p.default\cookies.txt -> Spyware.Cookie.Xhit : Gesäubert mit Backup
:mozilla.129:C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\dquri28p.default\cookies.txt -> Spyware.Cookie.Xhit : Gesäubert mit Backup
:mozilla.131:C:\Dokumente und Einstellungen\****Anwendungsdaten\Mozilla\Firefox\Profiles\dquri28p.default\cookies.txt -> Spyware.Cookie.Esomniture : Gesäubert mit Backup
:mozilla.134:C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\dquri28p.default\cookies.txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup
:mozilla.135:C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Mozilla\Firefox\Profiles\dquri28p.default\cookies.txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup
:mozilla.136:C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\dquri28p.default\cookies.txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup
:mozilla.137:C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\dquri28p.default\cookies.txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup
:mozilla.138:C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\dquri28p.default\cookies.txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup
:mozilla.148:C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\dquri28p.default\cookies.txt -> Spyware.Cookie.Popularix : Gesäubert mit Backup
:mozilla.151:C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\dquri28p.default\cookies.txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup
:mozilla.156:C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\dquri28p.default\cookies.txt -> Spyware.Cookie.Esomniture : Gesäubert mit Backup
:mozilla.157:C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\dquri28p.default\cookies.txt -> Spyware.Cookie.Esomniture : Gesäubert mit Backup
:mozilla.161:C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\dquri28p.default\cookies.txt -> Spyware.Cookie.Esomniture : Gesäubert mit Backup
:mozilla.165:C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\dquri28p.default\cookies.txt -> Spyware.Cookie.Esomniture : Gesäubert mit Backup
:mozilla.166:C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\dquri28p.default\cookies.txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup
:mozilla.168:C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\dquri28p.default\cookies.txt -> Spyware.Cookie.Esomniture : Gesäubert mit Backup
:mozilla.171:C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\dquri28p.default\cookies.txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup
:mozilla.172:C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\dquri28p.default\cookies.txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup
:mozilla.173:C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\dquri28p.default\cookies.txt -> Spyware.Cookie.Esomniture : Gesäubert mit Backup
:mozilla.176:C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\dquri28p.default\cookies.txt -> Spyware.Cookie.Esomniture : Gesäubert mit Backup
:mozilla.178:C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\dquri28p.default\cookies.txt -> Spyware.Cookie.Paycounter : Gesäubert mit Backup
:mozilla.179:C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\dquri28p.default\cookies.txt -> Spyware.Cookie.Googleadservices : Gesäubert mit Backup
:mozilla.183:C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\dquri28p.default\cookies.txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup
:mozilla.187:C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\dquri28p.default\cookies.txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup
:mozilla.189:C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\dquri28p.default\cookies.txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup
:mozilla.190:C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\dquri28p.default\cookies.txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup
:mozilla.191:C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\dquri28p.default\cookies.txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup
:mozilla.212:C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\dquri28p.default\cookies.txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup
:mozilla.217:C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\dquri28p.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.218:C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\dquri28p.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.219:C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\dquri28p.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.220:C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\dquri28p.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
:mozilla.222:C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\dquri28p.default\cookies.txt -> Spyware.Cookie.Esomniture : Gesäubert mit Backup
:mozilla.223:C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\dquri28p.default\cookies.txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup
:mozilla.228:C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\dquri28p.default\cookies.txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup
:mozilla.230:C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\dquri28p.default\cookies.txt -> Spyware.Cookie.Esomniture : Gesäubert mit Backup
:mozilla.231:C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\dquri28p.default\cookies.txt -> Spyware.Cookie.Esomniture : Gesäubert mit Backup
:mozilla.234:C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\dquri28p.default\cookies.txt -> Spyware.Cookie.Esomniture : Gesäubert mit Backup
:mozilla.237:C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\dquri28p.default\cookies.txt -> Spyware.Cookie.Esomniture : Gesäubert mit Backup
:mozilla.239:C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\dquri28p.default\cookies.txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup
C:\Dokumente und Einstellungen\witjan\Cookies\******@as1.falkag[1].txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
C:\Dokumente und Einstellungen\witjan\Cookies\******@bfast[2].txt -> Spyware.Cookie.Bfast : Gesäubert mit Backup
C:\Dokumente und Einstellungen\witjan\Cookies\******@casinotropez[1].txt -> Spyware.Cookie.Casinotropez : Gesäubert mit Backup
C:\Dokumente und Einstellungen\witjan\Cookies\******@doubleclick[1].txt -> Spyware.Cookie.Doubleclick : Gesäubert mit Backup
C:\Dokumente und Einstellungen\witjan\Cookies\******@e-2dj6wfmigmcpkep.stats.esomniture[1].txt -> Spyware.Cookie.Esomniture : Gesäubert mit Backup
C:\Dokumente und Einstellungen\witjan\Cookies\******@ivwbox[1].txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup
C:\Dokumente und Einstellungen\witjan\Cookies\******@ppms.popularix[2].txt -> Spyware.Cookie.Popularix : Gesäubert mit Backup
C:\Dokumente und Einstellungen\witjan\Cookies\******@spylog[2].txt -> Spyware.Cookie.Spylog : Gesäubert mit Backup
C:\Dokumente und Einstellungen\witjan\Cookies\******@tradedoubler[1].txt -> Spyware.Cookie.Tradedoubler : Gesäubert mit Backup
C:\Program Files\180search Assistant\saap.exe -> Spyware.180Solutions : Gesäubert mit Backup
C:\Programme\eZula -> Adware.eZula : Gesäubert mit Backup
C:\WINDOWS\NDNuninstall4_85.exe -> Spyware.NewDotNet : Gesäubert mit Backup
C:\WINDOWS\NDNuninstall6_30.exe -> Spyware.NewDotNet : Gesäubert mit Backup
C:\WINDOWS\NDNuninstall6_38.exe -> Spyware.NewDotNet : Gesäubert mit Backup
C:\WINDOWS\nxstinst.exe -> Spyware.NavExcel : Gesäubert mit Backup
C:\WINDOWS\remover.dll -> Spyware.NavExcel : Gesäubert mit Backup


::Report Ende


und was soll ich jetzt machen

@twix27

C:\smitfiles.txt fehlt noch

Gruss
Expert

sorry hier ist sie


smitRem © log file
version 2.7

by noahdfear


Microsoft Windows XP [Version 5.1.2600]

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key


PSGuard.com key not present!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files


~~~ Program Files ~~~

~~~ Shortcuts ~~~

~~~ Favorites ~~~

Antivirus Test Online.url


~~~ system32 folder ~~~

ld****.tmp
hp***.tmp


~~~ Icons in System32 ~~~

~~~ Windows directory ~~~

~~~ Drive root ~~~

~~~ Miscellaneous Files/folders ~~~

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



Remaining Post-run Files


~~~ Program Files ~~~

~~~ Shortcuts ~~~

~~~ Favorites ~~~

~~~ system32 folder ~~~

~~~ Icons in System32 ~~~

~~~ Windows directory ~~~

~~~ Drive root ~~~

~~~ Miscellaneous Files/folders ~~~

~~~ Wininet.dll ~~~

CLEAN!

Hey

#In der Systemsteuerung/software folgende falls vorhanden deinstallieren:

NewNet,NewNetDot oder so ähnlich
My Search Bar, MyWay, SpeedBar, MyWay, MyBar ,MySearch ,MyWebsearch oder so ähnlich
NavExcel Search Toolbar

Oder So!
#Lade dieses Tool:
LSPfix.exe
Häkchen in "I know what I'm doing" setzt,bringe die newdotnet6_38.dll von der linken auf die rechte Seite und loesche sie.

#Lade dir SpSeHjfix112
SpSeHjfix112
Auf den Desktop entpacken & Doppelklick auf SpSeHjfix112.exe dann der Button Desinfektion starten.
Wenn eine Infektion mit diesem Hijacker festgestellt wird, wird der Rechner automatisch neu gestartet

#PC neustarten--> abgesicherter Modus
Starte das HijackThis "Scan" klicken (Folgende Einträge) Häckchen setzen & Button "Fix checked" klicken, PC neustarten
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\****\LOKALE~1\Temp\sp.dll/sp.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\****\LOKALE~1\Temp\sp.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {6F5842ED-958B-4517-AE97-B31DFF926CA3} - C:\WINDOWS\System32\ifhkok.dll (file missing)
O2 - BHO: Helper Class - {D80C4E21-C346-4E21-8E64-20746AA20AEB} - C:\Programme\NavExcel Search Toolbar\NavExcelBar.dll
O3 - Toolbar: NavExcel Toolbar - {5AA06644-BC46-4220-A460-47A6EB47C96D} - C:\Programme\NavExcel Search Toolbar\NavExcelBar.dll
O18 - Filter: text/html - {6A97A589-B117-4B1F-BA1E-067E2A693D29} - C:\WINDOWS\System32\ifhkok.dll
O18 - Filter: text/plain - {6A97A589-B117-4B1F-BA1E-067E2A693D29} - C:\WINDOWS\System32\ifhkok.dll

#PC neustarten--> abgesicherter Modus
Arbeitsplatz -> rechter Mausklick -->Windows Explorer -> "Extras/Ordneroptionen" ->
"Ansicht" -> Haken entfernen bei "Geschützte Systemdateien
ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen"
aktivieren -> "OK"
Loesche:
C:\WINDOWS\System32\ifhkok.dll
C:\Programme\NavExcel Search Toolbar
C:\DOKUME~1\****\LOKALE~1\Temp---> Inhalt löschen

#Inhalt folgende ordner loeschen:
C:\Dokumente und Einstellungen\<Username>\Lokale Einstellungen\Temp---> Inhalt löschen
C:\Dokumente und Einstellungen\<Username>\Lokale Einstellungen\Temporary Internet Files---> Inhalt löschen
C:\WINDOWS\temp---> Inhalt löschen

#PC neustarten
#Neue HijackThis Log posten

Gruss
Expert

@twix27

#Versuch mal unter Start/Ausführen,ob folgende Befehle funktionieren cmd und regedit?

Gruss
Expert

hi

habe das program LSPfix.exe und finde nicht newdotnet6_38.dll das bei mir zeigt er nur mswsock.dll winrnr.dll und rsvpsp.dll was soll ich jetz machen


mfg twix27