grüß euch,
ich hab seit heute mittag das toolbar von baidu (chinesische suchmaschine) im explorer und kann diesen nicht entfernen. es besteht kein verzeichnis unter c:\programme und über extras-addons verwalten im IE ging ebenfalls nichts. hier ein screenshot von der toolbar:
Files.to - Free Uploads

hier mein log:
Logfile of HijackThis v1.99.1
[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-aktive-links-und-persoenliche-informationen-hjt-log-files.html#post171958

danke
GUA
[/edit]


die 3 dateien die ich oben makiert habe, kehren immer und immer wieder auf, sobald ich den explorer öffne oder windows neustarte. laut hijack-logauswertung sind diese dateien gefährlich und als kommentar steht auch irgendwie was mit china-toolbar.
diese baidu-toolbar wird unter den addons als "fcb" aufgelistet und so heißt sie auch im hijacklog.
wär super wenn mir da jemand helfen könnte, ich schaffs einfach nicht.

gruß regentonne

was ich gerade die ganze zeit beobachte sind folgende dateien unter windows\system32 die sich immer wieder von selbst neu erstellen, sobald der i-explorer geöffnet wird oder neu hochgefahren wird.

- vsconfig.xml (laut meiner google ergebnisse, hängt diese mit zone-lab zusammen)
- 4695ntos.dll
- 4696cfsb.dll
- toolset.ini
- kwbuf.ini.dl
- history.txt (<--- stört mich extrem, keylogger? darin sind nur kommas zu sehen, wenn ich die textdatei öffne)

Hallo.

Ich kann dir nur raten dein System schnellstmöglich vom Netz zu trennen und eine Neuinstallation in Angriff zu nehmen!

Es sind/waren sowohl Backdoor-Trojaner, und wie du auch schon festgestellt hast, ein Keylogger aktiv gewesen:

Zitat:

O2 - BHO: (no name) - {5f205b10-18af-4696-8b0d-4e03f37a8dbf} - C:\WINDOWS\system32\4696cfsb.dll
O2 - BHO: fcb - {DFCB34B6-902D-426E-AE2B-1B294AE19F4F} - C:\WINDOWS\system32\4695ntos.dll
O3 - Toolbar: fcb - {DFCB34B6-902D-426E-AE2B-1B294AE19F4F} - C:\WINDOWS\system32\4695ntos.dll
O8 - Extra context menu item: &Search - http://ku.bar.need2find.com/KU/menusearch.html?p=KU
O20 - Winlogon Notify: cryptimg - C:\WINDOWS\SYSTEM32\cryptig.dll
O23 - Service: Client IP-IPX - Unknown owner - C:\WINDOWS\system32\svchosts.exe" -e te-110-12-0000327 (file missing)

W32/Forbot-FD Variante

Zitat:

Zitat von Schaden

* Ermöglicht Dritten den Zugriff auf den Computer
* Fälscht die E-Mail-Adresse des Senders
* Verwendet seine eigene E-Mail-Engine
* Reduziert die Systemsicherheit
* Installiert sich in der Registrierung

Um das System wieder vertrauenswürdig zu bekommen, geht kein Weg an einer Neuinstallation vorbei.
Beachte: Danach solltest du alle Passwörter ändern.

Gruß
Sunny

omg... du bist dir da sicher? naja eigentlich ne blöde frage, aber ich find die Neuinstallation nicht so spaßig. aber was muss das muss... komisch dass man über diese baidu-toolbar so wenig ergoogeln kann und ansnonsten liest man nur zusammenschlüsse zwischen ms und baidu. ist alles ziemlich komisch, zumal die baidu-merkmale auf meinem pc nicht zutreffen sondern immer diese toolbar "fcb", die immer auf baidu weiterleitet mit all den komischen dateien die ich da entdeckt hab und sich nicht löschen lassen. ich hab nicht soviel erfahrung mit der registry, hab aber trotzdem über regedit versucht, die von hijack angezeigten pfade zu löschen. kam aber nur so ne meldung dass es nicht komplett gelöscht werden konnte... .
naja was muss das muss....

edit/ achja viele dank für deine hilfe!!

Hallo,
die Toolbar ist auch nicht das eigentliche Problem.Das ist sozusagen ein "Abfallprodukt"

Um eine Toolbar oder ein BHO zu löschen,braucht es keine Eingriffe in die Registry...

Dein Problem steckt sehr viel tiefer...

Zitat:

O20 - Winlogon Notify: cryptimg - C:\WINDOWS\SYSTEM32\cryptig.dll
O23 - Service: Client IP-IPX - Unknown owner - C:\WINDOWS\system32\svchosts.exe" -e te-110-12-0000327 (file missing)

....und hier helfen nun keine Registryeingriffe mehr......
Neuaufsetzen ohne Wenn und Aber !!
Irrlicht

okay alles klar, danke.