|
hilf gegen tr/startpage.qr.dll hallo ich hab mir den genannten trojaner irgendwo eingefangen. wie krieg ich den wieder weg? mein virenprogramm antivir zeigt ihn zwar an, kann ihn aber nicht löschen. ich hab schon hijackthis probiert und automatisch auswerten lassen. kein erfolg. was kann ich machen? hier der bericht: Logfile of HijackThis v1.99.1 Scan saved at 15:29:36, on 05.03.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE C:\PROGRA~1\INSTAN~1\INSTAN~1\IWCTRL.EXE C:\WINDOWS\System32\carpserv.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\rundll32.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\WINDOWS\System32\Ati2evxx.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\wanmpsvc.exe C:\Programme\T-DSL SpeedManager\tsmsvc.exe C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\Temporäres Verzeichnis 8 für hijackthis.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Stefan\LOKALE~1\Temp\se.dll/sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Stefan\LOKALE~1\Temp\se.dll/sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {B83F5B8C-E66B-41A7-B522-D2BF0A55D437} - C:\WINDOWS\System32\mncm.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE O4 - HKLM\..\Run: [IW Controlcenter] C:\PROGRA~1\INSTAN~1\INSTAN~1\IWCTRL.EXE O4 - HKLM\..\Run: [CARPService] carpserv.exe O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O6 "USB001" /M "Stylus C84" O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Alienz\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [Agent] C:\Programme\CyberLink\PowerVCRII\Agent.exe O4 - HKLM\..\Run: [Remote_Agent] C:\Programme\CyberLink\PowerVCRII\RemoteAgent.exe O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe" O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [sp] rundll32 C:\DOKUME~1\Stefan\LOKALE~1\Temp\se.dll,DllInstall O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab O18 - Filter: text/html - {44566D9E-66E7-4338-8E4A-1F21EBC76758} - C:\WINDOWS\System32\mncm.dll O18 - Filter: text/plain - {44566D9E-66E7-4338-8E4A-1F21EBC76758} - C:\WINDOWS\System32\mncm.dll O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe |
Hallo, Das eScan AntiVirus Toolkit Utility (mwav.exe) herunterladen, die Datei in den von dir erstellten Ordner "c:\bases" (wichtig !) entpacken und danach die "kavupd.exe" (Update) ausführen. http://www.mwti.net/antivirus/free_utilities.asp Wechsle in den abgesicherten Modus http://www.bsi.bund.de/av/texte/wiederher_xp.htm und fixe diese Einträge (Haken setzen und auf Fix Checked klicken): Alle R0 und R1 O2 - BHO: (no name) - {B83F5B8C-E66B-41A7-B522-D2BF0A55D437} - C:\WINDOWS\System32\mncm.dll O4 - HKLM\..\Run: [sp] rundll32 C:\DOKUME~1\Stefan\LOKALE~1\Temp\se.dll,DllInstall O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O18 - Filter: text/html - {44566D9E-66E7-4338-8E4A-1F21EBC76758} - C:\WINDOWS\System32\mncm.dll O18 - Filter: text/plain - {44566D9E-66E7-4338-8E4A-1F21EBC76758} - C:\WINDOWS\System32\mncm.dll Lösche diese Dateien: C:\WINDOWS\System32\mncm.dll C:\DOKUME~1\Stefan\LOKALE~1\Temp\se.dll - mit eScan scannen (den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan" klicken.) und die Malware manuell entfernen http://www.trojaner-board.de/42731-escan-anleitung.html - neue Startseite vergeben - Neustart - dein System updaten (SP2 installieren) http://v5.windowsupdate.microsoft.co...r/default.aspx - IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm - Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org - neues Log-File von HiJackThis und die Virus Log Information von eScan posten Sehr nützliche Informationen zu diesen Thema findest du auch hier. |
ich hab mit deiner anleitung leider ein problem. ich hab mir das erste programm runtergeladen und in c:/bases gespeichert. leider find ich die updatefunktion nicht. wenn ich es entpacke, kann ich das verzeichnis nicht ändern. |
Die Anleitung hast du schon gelesen? http://www.trojaner-board.de/42731-escan-anleitung.html Zitat:
|
ich bin jetzt beimupdaten von windows. bis etz hats einiges an zeit gekostet. hoffentlich is der trojaner wirkilich weg |
Ich brauch bitte auch Hilfe heir mein Logfile Logfile of HijackThis v1.99.1 Scan saved at 21:11:48, on 12.03.2005 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\RUNDLL32.EXE H:\PROGRAMME\AVGCTRL.EXE C:\WINDOWS\SYSTEM\SPOOLSRV32.EXE C:\WINDOWS\SYSTEM\SPOOLSRV32.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE D:\PROGRAMME\AVANT BROWSER\AVANT.EXE C:\PROGRAMME\WINRAR\WINRAR.EXE C:\WINDOWS\TEMP\RAR$EX03.605\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {850B7479-8556-4C57-9898-1A7B6E28D70C} - C:\WINDOWS\SYSTEM\NOLA.DLL O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file) O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [AVGCtrl] H:\PROGRAMME\AVGCTRL.EXE /min O4 - HKLM\..\Run: [hbcl] C:\WINDOWS\HBCL.EXE O4 - HKLM\..\Run: [Srv32 spool service] C:\WINDOWS\System\spoolsrv32.exe O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe O4 - HKCU\..\Run: [Srv32 spool service] C:\WINDOWS\System\spoolsrv32.exe O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - D:\PROGRAMME\AVANT BROWSER\AddToADBlackList.htm O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - D:\PROGRAMME\AVANT BROWSER\AddAllToADBlackList.htm O8 - Extra context menu item: Suchen - D:\PROGRAMME\AVANT BROWSER\Search.htm O8 - Extra context menu item: Hervorheben - D:\PROGRAMME\AVANT BROWSER\Highlight.htm O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - D:\PROGRAMME\AVANT BROWSER\OpenAllLinks.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - D:\Programme\IrfanView\Ebay\Ebay.htm O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game16.zylom.lycos.de/activex...amesplayer.cab O18 - Filter: text/html - {63B18390-3C22-48D8-8802-2DC8063D884C} - C:\WINDOWS\SYSTEM\NOLA.DLL O18 - Filter: text/plain - {63B18390-3C22-48D8-8802-2DC8063D884C} - C:\WINDOWS\SYSTEM\NOLA.DLL |
|
mach das nächste mal einen eigenen thread auf fixe mit hijackthis diese einträge: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html R3 - Default URLSearchHook is missing O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file) O4 - HKLM\..\Run: [Srv32 spool service] C:\WINDOWS\System\spoolsrv32.exe O4 - HKCU\..\Run: [Srv32 spool service] C:\WINDOWS\System\spoolsrv32.exe und lösche diese dateien von hand: C:\WINDOWS\TEMP\se.dll C:\WINDOWS\System\spoolsrv32.exe |
@ The Don - D.R. Zu einem hast du verschiedene Einträge/Dateien vergessen und zum anderen gestaltet sich die Bereinigung bei Win 98 und Win ME als äusserst schwierig, wie bereits in anderen Threads nachzulesen ist.;) |
das ist mein neues log file Logfile of HijackThis v1.99.1 Scan saved at 21:46:28, on 12.03.2005 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\RUNDLL32.EXE H:\PROGRAMME\AVGCTRL.EXE C:\WINDOWS\HBCL.EXE C:\WINDOWS\SYSTEM\SPOOLSRV32.EXE C:\WINDOWS\SYSTEM\SPOOLSRV32.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE D:\PROGRAMME\AVANT BROWSER\AVANT.EXE C:\PROGRAMME\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {850B7479-8556-4C57-9898-1A7B6E28D70C} - C:\WINDOWS\SYSTEM\NOLA.DLL (file missing) O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [AVGCtrl] H:\PROGRAMME\AVGCTRL.EXE /min O4 - HKLM\..\Run: [hbcl] C:\WINDOWS\HBCL.EXE O4 - HKLM\..\Run: [Srv32 spool service] C:\WINDOWS\System\spoolsrv32.exe O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe O4 - HKCU\..\Run: [Srv32 spool service] C:\WINDOWS\System\spoolsrv32.exe O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - D:\PROGRAMME\AVANT BROWSER\AddToADBlackList.htm O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - D:\PROGRAMME\AVANT BROWSER\AddAllToADBlackList.htm O8 - Extra context menu item: Suchen - D:\PROGRAMME\AVANT BROWSER\Search.htm O8 - Extra context menu item: Hervorheben - D:\PROGRAMME\AVANT BROWSER\Highlight.htm O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - D:\PROGRAMME\AVANT BROWSER\OpenAllLinks.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - D:\Programme\IrfanView\Ebay\Ebay.htm O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game16.zylom.lycos.de/activex...amesplayer.cab O18 - Filter: text/html - {DED76CC6-50BD-4D11-B9F1-D304539698ED} - C:\WINDOWS\SYSTEM\NOLA.DLL O18 - Filter: text/plain - {DED76CC6-50BD-4D11-B9F1-D304539698ED} - C:\WINDOWS\SYSTEM\NOLA.DLL |
sorry jetzt hab ich das gelöscht und das ist das neuste logfile...okay so? vielen lieben dank für eure hilfe ogfile of HijackThis v1.99.1 Scan saved at 21:51:17, on 12.03.2005 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\RUNDLL32.EXE H:\PROGRAMME\AVGCTRL.EXE C:\WINDOWS\HBCL.EXE C:\WINDOWS\SYSTEM\SPOOLSRV32.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE D:\PROGRAMME\AVANT BROWSER\AVANT.EXE C:\PROGRAMME\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {850B7479-8556-4C57-9898-1A7B6E28D70C} - C:\WINDOWS\SYSTEM\NOLA.DLL (file missing) O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [AVGCtrl] H:\PROGRAMME\AVGCTRL.EXE /min O4 - HKLM\..\Run: [hbcl] C:\WINDOWS\HBCL.EXE O4 - HKLM\..\Run: [Srv32 spool service] C:\WINDOWS\System\spoolsrv32.exe O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe O4 - HKCU\..\Run: [Srv32 spool service] C:\WINDOWS\System\spoolsrv32.exe O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - D:\PROGRAMME\AVANT BROWSER\AddToADBlackList.htm O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - D:\PROGRAMME\AVANT BROWSER\AddAllToADBlackList.htm O8 - Extra context menu item: Suchen - D:\PROGRAMME\AVANT BROWSER\Search.htm O8 - Extra context menu item: Hervorheben - D:\PROGRAMME\AVANT BROWSER\Highlight.htm O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - D:\PROGRAMME\AVANT BROWSER\OpenAllLinks.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - D:\Programme\IrfanView\Ebay\Ebay.htm O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game16.zylom.lycos.de/activex...amesplayer.cab O18 - Filter: text/html - {DED76CC6-50BD-4D11-B9F1-D304539698ED} - C:\WINDOWS\SYSTEM\NOLA.DLL O18 - Filter: text/plain - {DED76CC6-50BD-4D11-B9F1-D304539698ED} - C:\WINDOWS\SYSTEM\NOLA.DLL |
@ ina Hast du die SpSeHjfix_Beta7 ausgeführt? Das eScan AntiVirus Toolkit Utility (mwav.exe) herunterladen, die Datei in den von dir erstellten Ordner "c:\bases" (wichtig !) entpacken und danach die "kavupd.exe" (Update) ausführen. http://www.mwti.net/antivirus/free_utilities.asp Wechsle in den abgesicherten Modus http://www.bsi.bund.de/av/texte/wiederher_me.htm und führe SpSeHjfix_Beta7 aus. Fixe diese Einträge (Haken setzen und auf Fix Checked klicken): R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {850B7479-8556-4C57-9898-1A7B6E28D70C} - C:\WINDOWS\SYSTEM\NOLA.DLL (file missing) O4 - HKLM\..\Run: [hbcl] C:\WINDOWS\HBCL.EXE O4 - HKLM\..\Run: [Srv32 spool service] C:\WINDOWS\System\spoolsrv32.exe O4 - HKCU\..\Run: [Srv32 spool service] C:\WINDOWS\System\spoolsrv32.exe O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game16.zylom.lycos.de/active...gamesplayer.cab O18 - Filter: text/html - {DED76CC6-50BD-4D11-B9F1-D304539698ED} - C:\WINDOWS\SYSTEM\NOLA.DLL O18 - Filter: text/plain - {DED76CC6-50BD-4D11-B9F1-D304539698ED} - C:\WINDOWS\SYSTEM\NOLA.DLL Lösche diese Dateien: C:\WINDOWS\SYSTEM\NOLA.DLL C:\WINDOWS\System\spoolsrv32.exe C:\WINDOWS\HBCL.EXE - mit eScan scannen (den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan" klicken.) und die Malware manuell entfernen http://www.trojaner-board.de/42731-escan-anleitung.html - Neustart - dein System updaten http://v5.windowsupdate.microsoft.co...r/default.aspx - IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm - Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org - neues Log-File von HiJackThis und die Virus Log Information von eScan posten |
wenn ich die escan mit der mwavscan.com starten will macht der was im dos modus..ist das korrekt? |
jetzt gehts...mom |
Das wär mir neu. Wenn du die "kavupd.exe" ausführst, dann wird ein DOS Fenster geöffnet und die neuesten Signaturen (Update) werden geladen. |
der scannt jetzt grad wie wild...mal abwarten |
muss ich denn da jetzt gleich was von hand löschen oder macht scan das automatisch? |
Hallo Ina, wenn Du SpSeHjfix_Beta7 ausgeführt hast, werden 2 (!) Logs erstellt, bitte poste beide einmal. Es gibt evtl. immer noch ein Problem mit dem Cleaner, wenn WindowsME das Betriebssystem ist. Du könntest uns bei einer evtl. Fehleranalyse enorm helfen! ;) |
als ich das dings fix augeführt hab hat er nur gesagt pc desinfiziert...hab keine logs gesehen...wo hol ich die her? |
Dort, wo Du das Tool liegt, sollte es auch die Dateien SPSeHjFix.log und bad_dll.txt geben. Deren Inhalt poste bitte. |
12.03.2005 22:25:08 SPSeHjFix started v1.07 12.03.2005 22:25:08 OS: WinME (4.90.73010104) 12.03.2005 22:25:08 Bad-Dll(IEP): (not found) 12.03.2005 22:25:08 BHO-DLL: (not found) 12.03.2005 22:25:08 UBF: 4 12.03.2005 22:25:08 UBB: 0 12.03.2005 22:25:08 UBR: 12 12.03.2005 22:25:08 Bad IE-pages: deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank 12.03.2005 22:25:08 Stealth-String found: C:\WINDOWS\HLPSTET2.GIF 12.03.2005 22:25:08 File added to delete: c:\windows\hlpstet2.gif 12.03.2005 22:25:08 Reboot 12.03.2005 22:26:03 SPSeHjFix 2nd Step 12.03.2005 22:26:04 RunServicesOnce-Key: (edited) 12.03.2005 22:26:08 Cleaned aber einen baddl.txt hab ich nicht... |
Läuft eScan zur Zeit noch? Das sollte nämlich eigentlich im abgesicherten Modus passieren! Wenn eScan fertig ist, starte den Rechner bitte einmal im DOS-Modus neu. (Ich hoffe jetzt mal, dass es diese Option unter ME gibt. Da ich ME nie hatte, bin ich mir allerdings nicht ganz sicher...) Du solltest dann einen schwarzen Bildschirm sehen und in etwa folgende Zeichen: C:\WINDOS>_ Gib dort bitte folgendes ein: del C:\WINDOWS\HLPSTET2.GIF Bestätige anschließend mit der (Enter]-Taste. Danach boote den Rechner einmal neu im normalen Modus und poste ein dann neu erstelltes Log mit HijackThis. |
das hab ich übersehen mit dem abgesicherten modus...ich denke escan brach noch was bis der fertig ist und dann werde ich das mit dos testen....wie komm ich in den dos modus? |
und muss ich denn nachdem escan fertig ist slbst noch was löschen oder nicht?man ist das alles kompliziert... geh jetzt erst mal in die badewanne..das dauert ja denke ich noch...hoffentlich bis gleich ;-) |
Zitat:
Haste vorher schon mit was anderem gefixt? Und die c:\windows\hlpstet2.gif sollte eigentlich beim Neustart gelöscht worden sein. Gruß |
Wenn Du nicht im abgesicherten Modus bist, kannst Du eScan auch abbrechen... Wenn es den DOS-Modus unter ME gibt, dann mache folgendes: Start -> Beenden -> Im MS-Dos Modus neu starten. Wenn die o.g. Datei nicht (mehr) gefunden wird, beende bitte im Task-Manager den Prozess rundll32 und gehe anschließend wie von Cidre beschrieben vor: Zitat:
|
Oha, ich sehe grade, der Chef-Programmierer ist da. :D Das ist auch gut so - ich komm grad ein bisserl durcheinander... ;) |
bin jetzt völlig durcheinander...soll ich escan jetzt abbrechen?es gibt keinen punkt"im dos modus starten" mist pc... |
Also laut SpseHjfix-Log solltes du mit diesem Hijacker nicht mehr infiziert sein. Such mal nach der Datei wininit.bak und schau ob dort NUL=c:\windows\hlpstet2.gif drinsteht Wenn ja wurde die Datei gelöscht und alles andere schaut gut aus. Haste denn jetzt noch Probleme? Escan kannste ruhig laufen lassen vielleicht wird noch was anderes gefunden Gruß |
bei escan steht bis jetzt 14 viruses found... die winint.bak hab ich unter c windows stehen und da hatte ich die hlpstet2.gif gelöscht... |
was ist mit sytemwiederherstellung?jetzt wieder aktivieren?man ihr seid echt super..wüsste garnicht was ich ohne euch machen sollte ...bin froh dass ich euer board gefunden habe *vielendanksagt* |
Also Escan solltest schon durchlaufen lassen, kann ja noch was anderes auch drauf sein. Die Zeilen im mwav.log(escan) wo infected by dabei steht kannste ja mal hier posten. Wennste Clean bist kannste natürlich die systemwiederherstellung wieder aktivieren Gruß |
File C:\WINDOWS\SYSTEM\cfma.dll infected by "Trojan.Win32.StartPage.qr" Virus. Action Taken: No Action Taken. File C:\WINDOWS\SYSTEM\sys10000.exe infected by "Trojan-Dropper.Win32.Small.tu" Virus. Action Taken: No Action Taken. File C:\WINDOWS\SYSTEM\srpcsrv32.dll infected by "Trojan-Downloader.Win32.Adload.c" Virus. Action Taken: No Action Taken. File C:\WINDOWS\SYSTEM\cfma.dll infected by "Trojan.Win32.StartPage.qr" Virus. Action Taken: No Action Taken. File C:\WINDOWS\SYSTEM\sys10000.exe infected by "Trojan-Dropper.Win32.Small.tu" Virus. Action Taken: No Action Taken. File C:\WINDOWS\SYSTEM\srpcsrv32.dll infected by "Trojan-Downloader.Win32.Adload.c" Virus. Action Taken: No Action Taken. File C:\WINDOWS\Downloaded Program Files\server.exe infected by "Trojan-Downloader.Win32.Agent.dk" Virus. Action Taken: No Action Taken. File C:\WINDOWS\hbfinh.exe infected by "Trojan-Downloader.Win32.Small.amk" Virus. Action Taken: No Action Taken. File C:\WINDOWS\nodes.exe infected by "Trojan-Dropper.Win32.Small.tt" Virus. Action Taken: No Action Taken. File C:\WINDOWS\fdrest.exe infected by "Trojan-Dropper.Win32.Small.oy" Virus. Action Taken: No Action Taken. File C:\WINDOWS\loader32.exe infected by "Trojan-Downloader.Win32.Domcom.c" Virus. Action Taken: No Action Taken. File C:\WINDOWS\winsx.cab infected by "not-a-virus:AdWare.Puper.c" Virus. Action Taken: No Action Taken. File C:\WINDOWS\webdlg32.dll infected by "not-a-virus:AdWare.ToolBar.SBSoft.g" Virus. Action Taken: No Action Taken. File C:\WINDOWS\winsx.dll infected by "not-a-virus:AdWare.Puper.c" Virus. Action Taken: No Action Taken. bitte sehr..ist aber noch immer beschäftigt |
Na kannste ja warten bis er fertig ist und dann alle Dateien löschen am besten im abgesicherten-Modus oder du nutz eScan-Check (<--rechtsklick->Ziel speichern) Runterladen->entpacken->starten->Datei->Escan-Log öffnen->mwav.log auswählen->OK Rechtsklick ins Ergebnis-Fenster->Alle auswählen->Dateien löschen Wenn dnach bei Status irgendwo reboot dransteht den Rechner neustarten Gruß |
downloade dir killbox(signatur) und wechsle in den abgesicherten modus (beim systemstart auf F8) deaktiviere die systemwiederherstellung ( rechtsklick auf arbeitsplatz, eigenschaften- systemwieerherstellung, haken auf deaktivieren-ok) und lösche die infizierten dateien mit killbox |
@ Seeker Dein programmiertes eScanCheckb4 funktioniert nicht, da das Archiv (unerwartetes Archivende) beschädigt ist. Hingegen eScanCheckb3 fumktioniert ausgezeichnet.;) |
also mach ich das mit der killbox wenbn escan mal endlich ready ist oder? |
Zitat:
Wenn ja kommts daher, wenn ichs über Ziel speichern downloade isses korrupt Geht man direkt auf die Seite: http://ownfiles.freeprohost.com/ und klickt einfach drauf zum Downloaden isses OK |
Zitat:
|
Logfile of HijackThis v1.99.1 Scan saved at 10:06:47, on 13.03.2005 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\RUNDLL32.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE D:\PROGRAMME\AVANT BROWSER\AVANT.EXE C:\PROGRAMME\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [AVGCtrl] H:\PROGRAMME\AVGCTRL.EXE /min O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - D:\PROGRAMME\AVANT BROWSER\AddToADBlackList.htm O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - D:\PROGRAMME\AVANT BROWSER\AddAllToADBlackList.htm O8 - Extra context menu item: Suchen - D:\PROGRAMME\AVANT BROWSER\Search.htm O8 - Extra context menu item: Hervorheben - D:\PROGRAMME\AVANT BROWSER\Highlight.htm O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - D:\PROGRAMME\AVANT BROWSER\OpenAllLinks.htm O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - D:\Programme\IrfanView\Ebay\Ebay.htm hab alles gemacht und so siehts jetzt aus...okay? |
@ina Zitat:
|
doch antivir...hm nicht aktiv? |
komisch bevor ich die ganzen schritte augeführt hab wars noch da jetzt ist das programm weg...aber werde ich später neu laden..aber sonst alles in butter oder? |
@ina Zitat:
Bezüglich AVPE: http://www.free-av.de/cgi-bin/ubb/ul...c&f=4&t=006887 Meine Empfehlung: http://free.grisoft.com/freeweb.php/doc/2/ Update-Routine ist wenige umständlich, Update-Größe ist ab 20 bis 200 kB, es gibt auch ein E-Mail-Scanner. Ich benutze Pro-Version von AVG (Infos in meinem Profil unterm Logo "SYS P" |
danke für alles!!!!! |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 16:14 Uhr. |
Copyright ©2000-2025, Trojaner-Board