Guten Morgen,

Zitat:

Zitat von Schrulli

Hallo,

Vorschlag:

[edit]KEIN LSP-FIX[/edit]
Lade Dir look2me Destroyer und führe es aus

Lösche mittels Killbox falls dann noch vorhanden :l80u0id9e80.dll

Fixe mittel HJT (kopiere es aber vorher in einen Ordner z.B. c:\programme\HJT, dann kannst Du die Änderungen wieder Rückgänig machen):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.findthewebsiteyouneed.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing

O4 - HKLM\..\Run: [keyboard] C:\\keyboard3.exe
O4 - HKLM\..\Run: [mousepad] C:\\mousepad3.exe

O16 - DPF: {2EF3FB47-7B1E-4536-BA4D-51427BD45DFA} (PIXACO Drag and Drop upload plugin) - h**p://www.pixaco.de/static/download/pixacodndupload.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1106208076234
O16 - DPF: {727D6ED1-A073-4828-A338-4621098AAD86} - h**ps://www.openbc.com/sync/openBC%20Plug-In.cab
O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} (MediaGatewayX) - h**p://static.zangocash.com/cab/Zango/ie/bridge-c18.cab?83e5fc6d995c376ab70458af1b406574d8c437787d8dd6c88b6c2ac3f84c5c4e1ad957b13b6defd6eebdb1dff93974d7acba375bbc19f23d91e9c49c9ce792b34d1a074f2a:6f7 50d40ae25fea7e1b37b6906113080
O16 - DPF: {D7BF3304-138B-4DD5-86EE-491BB6A2286C} - h**p://www.azebar.com/install/azesearch.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - h**p://as.photoprintit.de/ips-opdata/activex/IPSUploader.cab

Schalte bei Ewido den Hintergrundwächter aus, das bringt schon mal was.

Gruß

Schrulli

[edit]
links entfernt
GUA
[/edit]

Die l80u0id9e80.dll bin ich gerade am Löschen, aber wo finde ich die o.g. Dateien? Und warum/was in Programme sichern?

Liebe Grüße
Diana

P.S. Scan läuft gerade.. dauert aber sehr lange....

PC läuft wieder gut, seitdem nur noch ein AV läuft.

Hallo,

Zitat:

aber wo finde ich die o.g. Dateien?

verstehe die Frage nicht ganz, welche Dateien meinst du?


Grüße Wildone

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.findthewebsiteyouneed.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing

O4 - HKLM\..\Run: [keyboard] C:\\keyboard3.exe
O4 - HKLM\..\Run: [mousepad] C:\\mousepad3.exe

O16 - DPF: {2EF3FB47-7B1E-4536-BA4D-51427BD45DFA} (PIXACO Drag and Drop upload plugin) - h**p://www.pixaco.de/static/download/pixacodndupload.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1106208076234
O16 - DPF: {727D6ED1-A073-4828-A338-4621098AAD86} - h**ps://www.openbc.com/sync/openBC%20Plug-In.cab
O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} (MediaGatewayX) - h**p://static.zangocash.com/cab/Zango/ie/bridge-c18.cab?83e5fc6d995c376ab70458af1b406574d8c437787d 8dd6c88b6c2ac3f84c5c4e1ad957b13b6defd6eebdb1dff939 74d7acba375bbc19f23d91e9c49c9ce792b34d1a074f2a:6f7 50d40ae25fea7e1b37b6906113080
O16 - DPF: {D7BF3304-138B-4DD5-86EE-491BB6A2286C} - h**p://www.azebar.com/install/azesearch.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - h**p://as.photoprintit.de/ips-opdata/activex/IPSUploader.cab

Die hier meine ich. Das was er in seinem Posting geschrieben hat.

Grüße
Di

Hallo,
das sind "nur" Einträge in die Registry, die zugehörigen Dateien hast du schon gelöscht. Jetzt sollst du die Einträge die diese Dateien aufrufen löschen.


Grüße Wildone

Sodala, hier die Log Files.

Ich starte jetzt nochmals neu und mache nochmal nen hijack.

Hallo,
das sieht doch schon mal nach Land aus. Hast du Ewido absichtlich so eingestellt das er ignoriert und nicht beseitigt?
Wenn ja, stelle auf "löschen mit Rückfrage" oder ähnlich. Dann alles bis auf C:\Programme\eScan\scaninst.exe löschen lassen.

Und die Ordner:
C:\PROGRAM FILES\Zango Programs\
C:\Programme\webHancer\
C:\Programme\whInstall\

löschen, wenn es nicht funktioniert wieder mit der Deltree Funktion von killbox.


Grüße Wildone

Nein, hab nur nicht gewußt ob ichs löschen darf.

Ich lass es nochmal durchlaufen.

Hier noch die aktuelle hijack this.

Grüßle
Di

Hallo,
jetzt mache noch einen Haken bei HijackThis vor alle von Schrulli und mir genannten Einträge und klicke auf "fix checked". Dann noch ein neues Logfile.


Grüße Wildone

So, jetzt hab ichs dann auch mal kapiert
(Ist nicht immer leicht mit ner Frau zusammenzuarbeiten, oder?)

Hier das neue Log-File.

Hallo,

Zitat:

(Ist nicht immer leicht mit ner Frau zusammenzuarbeiten, oder?)

Och, das nimmt sich eigentlich nicht viel zu den männlichen usern, ich hatte schon einige die sich bedeutend ungeschickter und dazu noch unfreundlicher angestellt haben.

So das hier noch ebenfalls fixen:
O20 - Winlogon Notify: Run - C:\WINDOWS\system32\l80u0id9e80.dll (file missing)

Außerdem deinstallierst du Escan wieder. Bei Ewido kannst du den Guard abstellen, der wird nach 14 Tagen sowieso automtisch deaktiviert.

Ansonsten sollte es das jetzt soweit gewesen sein, war ja auch schwer genug die Geburt.
Mache aber zur Kontrolle noch einen Onlinescan bei Panda (mit IE, und nimm Panda wenn nötig in die vertrauenswürdigen Seiten auf) und berichte.



Grüße Wildone

Unfreundlicher? das find ich aber hart.....

Sollte man für die tolle Hilfe nicht dankbar sein?!

Und............ ja, ich glaube mein PC war kurz vorm Neuformatieren, oder?


Also:

So das hier noch ebenfalls fixen:
O20 - Winlogon Notify: Run - C:\WINDOWS\system32\l80u0id9e80.dll (file missing)

==> Ist erledigt.

Escan habe ich deinstalliert.

Aber die Seite von Panda hat ein Problem (mein Rechner sagt Syntaxfehler). Ich kann die Überprüfung nicht durchführen.


Grüßle
Diana

Sodala, hier noch der neuste Ewido-Bericht

Hab den Scanner zum Laufen gebracht. (Unter der Ami-Version).
Sieht aber noch nicht gut aus....

Kurzes Zwischenergebnis:

Detected Disinfected
Virus 0 0
Spyware 3 0
Hacking Tools and potentially unwanted tools 3 0

Ist aber noch nicht fertig mit scannen.

Hallo,
poste mal wenn er fertig ist genau was er meint (mit Pfaden), dieses "Hacking Tools and potentially unwanted tools" kann durchaus der look2meremover oder destroyer sein, da schlagen die Avs schonmal gerne drauf an.


Grüße Wildone

Sp, nachdem ich jetzt sämtliche Scanner einmal drübr gelassen habe, ergaben sich folgende Tatsachen.

Aktivscan: (Siehe Anhang)
1-3 Sachen gibt es da noch.
Allerdings habe ich das Gefühl, dass er nach einer gewissen Zeit abbricht.

Spybot:
Hat nochmals 4 Quellen gefunden, aber auch eigenständig reparieren können.

Ich mach jetzt mal einen Neustart und mal sehen, ob dann immernoch alle weg sind.

Grüßle
Diana