|
Problem: Remove Toolbar in der Taskleiste hallo zusammen, ich würde mich sehr freuen wenn mir jemand helfen könnte. habe seit kurzem in meiner taskleiste eine zusätzliche leiste in der links "remove toolbar" und rechts mehrere links stehen. leider sind bisher alle versuche gescheitert die leiste zu entfernen. hier das log file. Logfile of HijackThis v1.97.7 Scan saved at 18:54:28, on 31.05.2006 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\drivers\KodakCCS.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\ScsiAccess.EXE C:\WINDOWS\system32\ZONELABS\vsmon.exe C:\WINDOWS\System32\igfxtray.exe C:\WINDOWS\System32\hkcmd.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\AGRSMMSG.exe C:\Programme\Apoint2K\Apoint.exe C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe C:\Programme\Kodak\KODAK Software Updater\7288971\Program\backWeb-7288971.exe C:\Programme\Apoint2K\Apntex.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Coolspot\Personal ID\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://bookmarks.bluewin.ch/d/searchpane.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bluewin.ch/index_d.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bluewin.ch/index_d.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://bookmarks.bluewin.ch/d/searchpane.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://bookmarks.bluewin.ch/d/searchpane.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.bluewin.ch/index_d.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://bookmarks.bluewin.ch/d/searchpane.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://bookmarks.bluewin.ch/d/searchpane.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Bluewin - Internet Explorer R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/slv/ycheck/as/*http://search.yahoo.com/search?p=%s R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://web.de/ R3 - URLSearchHook: _URLHandler - {7FF23285-DBBC-49B6-818C-34AC459D5BB3} - C:\WINDOWS\system32\pidd.dll O1 - Hosts: localhost 127.0.0.1 O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\System32\ksgad.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\System32\ksgad.dll O4 - HKLM\..\Run: [LaunchApp] Alaunch O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe O4 - HKLM\..\Run: [6A63041F] C:\WINDOWS\System32\niwhd.exe O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe O4 - HKLM\..\RunServices: [7EC6CBC2] C:\WINDOWS\System32\niwhd.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe O4 - HKCU\..\Run: [UnSpyPC] "C:\Programme\UnSpyPC\UnSpyPC.exe" O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe O4 - Global Startup: KODAK Software Updater.lnk = C:\Programme\Kodak\KODAK Software Updater\7288971\Program\backWeb-7288971.exe O9 - Extra button: Bluewin Assistant (HKLM) O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{17140E48-D3AF-4A96-A5B0-45BE049D7019}: NameServer = 85.255.113.139,85.255.112.186 O17 - HKLM\System\CCS\Services\Tcpip\..\{9ACB7F9C-D846-47D4-A482-6D85A6B34E78}: NameServer = 85.255.113.139 85.255.112.186 O17 - HKLM\System\CCS\Services\Tcpip\..\{A631149C-F5C3-4ACD-A23C-C0BA4866AF50}: NameServer = 85.255.113.139,85.255.112.186 O17 - HKLM\System\CCS\Services\Tcpip\..\{CB1A9055-F4AE-486A-B6F6-FB3D5058D6E1}: NameServer = 85.255.113.139,85.255.112.186 O17 - HKLM\System\CS1\Services\Tcpip\..\{17140E48-D3AF-4A96-A5B0-45BE049D7019}: NameServer = 85.255.113.139,85.255.112.186 besten dank freddob |
Hallo, Du hast sehr viele Infektionen, auch diesen Backdoor. Daher der Rat Dein System Neuaufzusetzen, eine Anleitung dazu findest Du in meiner Signatur verlinkt. Was Backdoors können liest Du hier. Gruß Schrulli |
hallo, vielen dank für die hilfe, habe mittlerweile das system neu installiert. hier das neue log, wäre super wenn mir nochmals kurz jemand rückmeldung geben könnte ob das jetzt ok ist. Logfile of HijackThis v1.99.1 Scan saved at 01:37:59, on 11.06.2006 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\igfxtray.exe C:\WINDOWS\System32\hkcmd.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\AGRSMMSG.exe C:\Programme\Apoint2K\Apoint.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Apoint2K\Apntex.exe C:\PROGRA~1\MOZILL~1\firefox.exe C:\Dokumente und Einstellungen\Boomer\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://global.acer.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [LaunchApp] Alaunch O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O9 - Extra button: Bluewin Assistant - {0EBC783B-F8FE-4dc5-B5F0-7C80AB218AE2} - C:\Programme\Bluewin\Assistant\bwa.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O17 - HKLM\System\CCS\Services\Tcpip\..\{B49C0CBD-6685-4AB1-A650-593EC8121BCA}: NameServer = 195.186.4.109 195.186.1.109 O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe Dankeschön.. |
Hallo, das System sollte vor dem ersten Internet Kontakt gepatcht werden. Bei Dir fehtl Service Pack 2 und wahrscheinlich alles dannach. Scanne die Datei C:\WINDOWS\System32\hwclock.exe online bei virustotal.com und poste das Ergebnis hier. Gruß Schrulli |
hab ich gemacht, allerdings war die datei unter windows/prefetch, hier das ergebnis AntiVir 6.35.0.10 06.10.2006 no virus found Authentium 4.93.8 06.09.2006 no virus found Avast 4.7.844.0 06.09.2006 no virus found AVG 386 06.09.2006 no virus found BitDefender 7.2 06.11.2006 no virus found CAT-QuickHeal 8.00 06.10.2006 no virus found ClamAV devel-20060426 06.09.2006 no virus found DrWeb 4.33 06.10.2006 no virus found eTrust-InoculateIT 23.72.33 06.10.2006 no virus found eTrust-Vet 12.6.2250 06.09.2006 no virus found Ewido 3.5 06.10.2006 no virus found Fortinet 2.77.0.0 06.11.2006 no virus found F-Prot 3.16f 06.09.2006 no virus found Ikarus 0.2.65.0 06.09.2006 no virus found Kaspersky 4.0.2.24 06.11.2006 no virus found McAfee 4781 06.09.2006 no virus found Microsoft 1.1441 06.10.2006 no virus found NOD32v2 1.1591 06.10.2006 no virus found Norman 5.90.21 06.09.2006 no virus found Panda 9.0.0.4 06.10.2006 no virus found Sophos 4.06.0 06.10.2006 no virus found Symantec 8.0 06.11.2006 no virus found TheHacker 5.9.8.157 06.10.2006 no virus found UNA 1.83 06.09.2006 no virus found VBA32 3.11.0 06.09.2006 no virus found File size: 6774 bytes MD5: 6f39a5dfb6221f846db4a0c40355e379 SHA1: 870b562193a636d69e03cfcc3a5eefaf4dda5db7 |
Hallo, ich meinte nicht die Prefetch Datei, die andere wird auch da sein. In meiner Signatur ist eine Aneitung zum sichbarmachen von Dateien verlinkt. Findest Du die Datei jetzt? Wenn nicht, einfach den Pfad bei virustotal reinkopieren und auf sendn klicken, geht wenn Du auff die Datei zugreifen kannst. Info zu HwClock, ich wollte nur eine Bestätigung, denka aber das das nicht auffinden es nur umso mehr bestätigt. Gruß Schrulli |
hier ds neue ergebnis AntiVir 6.35.0.10 06.10.2006 BDS/Small.EO Authentium 4.93.8 06.09.2006 W32/Backdoor.BAE Avast 4.7.844.0 06.09.2006 Win32:Trojano-1124 AVG 386 06.09.2006 BackDoor.Small.27.AQ BitDefender 7.2 06.11.2006 Backdoor.Small.EO CAT-QuickHeal 8.00 06.10.2006 Backdoor.Small.eo ClamAV devel-20060426 06.09.2006 Trojan.SdBot-724 DrWeb 4.33 06.10.2006 BackDoor.IRC.Hwclock eTrust-InoculateIT 23.72.33 06.10.2006 Win32/Hwbot.6694!Trojan eTrust-Vet 12.6.2250 06.09.2006 Win32/Cuebot.E Ewido 3.5 06.10.2006 Backdoor.Small.eo Fortinet 2.77.0.0 06.11.2006 W32/RPC.WALLZ!worm F-Prot 3.16f 06.09.2006 security risk named W32/Backdoor.BAE Ikarus 0.2.65.0 06.09.2006 IM-Worm.Win32.Opanki.O Kaspersky 4.0.2.24 06.11.2006 Backdoor.Win32.Small.eo McAfee 4781 06.09.2006 W32/Sdbot.worm.gen Microsoft 1.1441 06.10.2006 Backdoor:Win32/Small.BX NOD32v2 1.1591 06.10.2006 Win32/Small.EO Norman 5.90.21 06.09.2006 W32/Smalldrp.FDM Panda 9.0.0.4 06.10.2006 Bck/Small.HI Sophos 4.06.0 06.10.2006 W32/Hwbot-A Symantec 8.0 06.11.2006 Backdoor.Trojan TheHacker 5.9.8.157 06.10.2006 Backdoor/Small.eo UNA 1.83 06.09.2006 Backdoor.Restrict VBA32 3.11.0 06.09.2006 Backdoor.Win32.Small.eo File size: 6694 bytes MD5: 7dc73bfa4d78284155dd5101991eeb34 SHA1: 420b40ce2e07dd94990a8968ff49e07144b41135 |
Hallo, wie ich vermutet habe ist es der Backdoor. Also das System grad noch mal aufsetzten, dann alles Updates einspielen bevor Du den Rechner das erste mal ans Internet läßt. Steht auch alles in der Anleitung zum Neuaufsetzen, die ich in meiner Signatur verlinkt habe. Gruß Schrulli |
ok, dann versuch ich nochmal mein glück... |
Hallo, :daumenhoc wird schon. Gruß Schrulli |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 20:42 Uhr. |
Copyright ©2000-2025, Trojaner-Board