@ Stefan123

Dein System ist nicht gepatcht! Woran liegts?
[ ] keinen Bock
[ ] vergessen
[ ] gecracktes XP
[ ] MS könnte mich ja ausspionieren
[ ] Wozu soll das gut sein?!

Das eScan AntiVirus Toolkit Utility (mwav.exe) herunterladen, die Datei in den Ordner "c:\Bases" (wichtig !) entpacken und danach die "kavupd.exe" (Update) ausführen.
http://www.mwti.net/antivirus/free_utilities.asp

Wechsle in den abgesicherten Modus http://www.bsi.bund.de/av/texte/wiederher_xp.htm und fixe diese Einträge (Haken setzen und auf Fix Checked klicken):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Admin\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Admin\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\yqwer.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Admin\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Admin\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Admin\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Admin\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {0032D506-4FE0-DF8E-EB48-201C0AF54F67} - C:\WINDOWS\system32\sdkay32.dll (file missing)
O2 - BHO: (no name) - {0079FF9A-FD61-2E10-F545-1738C991EC0B} - C:\WINDOWS\ntgl.dll (file missing)
O2 - BHO: BHO - {06CAD548-14DD-4fa3-9EA9-05F83C18CBD7} - C:\WINDOWS\System32\mspxs32.dll
O2 - BHO: (no name) - {388ED10E-927A-43DB-E6A9-DA72CE4347B9} - C:\WINDOWS\system32\netsu.dll (file missing)
O2 - BHO: (no name) - {99537A3E-48D6-48F4-9CB4-863194D15C9B} - C:\WINDOWS\System32\dckb.dll
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.tl81.com
O15 - Trusted Zone: *.windupdates.com
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_f...1f59f4600741a6e
O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-intl/de/games4.cab
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\msopt.dll (file missing)
O18 - Filter: text/plain - {5C1549B5-C52C-4C3D-89F0-E306D7D41BAE} - C:\WINDOWS\System32\dckb.dll

Lösche diese Dateien:
C:\WINDOWS\System32\dckb.dll
C:\WINDOWS\System32\mspxs32.dll
C:\WINDOWS\system32\yqwer.dll
C:\DOKUME~1\Admin\LOKALE~1\Temp\sp.html

- mit eScan scannen (den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan" klicken.) und die Malware manuell entfernen http://www.trojaner-board.de/42731-escan-anleitung.html
- Neustart
- dein System updaten http://v5.windowsupdate.microsoft.co...r/default.aspx
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org
- neues Log-File von HiJackThis und die Virus Log Information von eScan posten

Habe mir das -mwav runter geladen; allerdings mit dem Laptop an dem ich gerade Sitze. Bei meinem infizierten PC kann ich weder ins Internet noch einen anderen Explorer starten.

Habe den HjT ebenfalls mit dem Notebook runtergeladen und über USB Stich dann auf meinem Pc ausgeführt.

Ich kann also kein Update ausführen...

Hallo Cidre

habe die angegeben Dateien gefixed und 2 von den 4 angegeben gelöscht. Die anderen zwei habe ich nicht gefunden.

Dann bringt mir der mwav noch zwei Dateien im Tempor../Content IE u.s.w. die ich aber nicht finde. Auch mit dem Suchen nach Dateien kein Ergebnis ????

muß ich noch was erledigen???

P.S. das XP ist eine Kopie :o

Gruß Stefan

Welche Dateien konntest du nicht finden?
Hast du diese Einstellung vorgenommen:
Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"

Verwende den TIF Löscher http://www.helmrohr.de/


Dann installiere alle sicherheitsrelevanten Patches.

Hallo

also bezüglich der Dateien vom meinem PC, die ich nicht löschen kann schicke ich nochmals ein HjT Log und auch das mwav Log. Das ist allerdings ziemlich groß.Oder schreib einfach was Du brauchst.

Bei meinem Pc läuft der Explorer wieder. Danke erst mal dafür :aplaus:

Wie kann ich denn alle relevanten Dateien patchen???

Dann hab ich noch ein anderes Problem...
jetzt sind ein paar seltsame Dinge auf meinem Notebook. Obwohl ich nicht viel rumgesurft habe. Hier sind die selben beiden Dateien im mwav ausgewiesen wie beim PC. Auch hier finde ich im Ordner Content.IE5 nix...

File C:\DOKUME~1\btd\LOKALE~1\TEMPOR~1\Content.IE5\S5IJCHAN\pornemail[1].php infected by "TrojanDropper.VBS.Zerolin" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\btd\LOKALE~1\TEMPOR~1\Content.IE5\S5IJCHAN\pornemail[2].php infected by "TrojanDropper.VBS.Zerolin" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\btd\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S5IJCHAN\pornemail[1].php infected by "TrojanDropper.VBS.Zerolin" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\btd\Lokale Einstellungen\Temporary Internet Files\Content.IE5\S5IJCHAN\pornemail[2].php infected by "TrojanDropper.VBS.Zerolin" Virus. Action Taken: No Action Taken.

So heißen die beiden; am PC sind es aber nur die ersten beiden.

hier noch ein Hjt file vom Notebook.

Logfile of HijackThis v1.98.2
Scan saved at 16:51:05, on 22.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\PROGRA~1\Ashampoo\ASHAMP~1\UnInstaller Suite\UIWatcher.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Hewlett-Packard\hp deskjet 450 printer\ToolBox\mpm.exe
C:\Programme\Ashampoo\Ashampoo UnInstaller Suite Plus\Mail Virus Blocker\Server.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\DOKUME~1\btd\LOKALE~1\Temp\mwavscan.com
C:\DOKUME~1\btd\LOKALE~1\Temp\kavss.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\AVPersonal\GUARDGUI.EXE
C:\Dokumente und Einstellungen\btd\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://yoursearcher.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yoursearcher.com/index.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yoursearcher.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://yoursearcher.com/index.htm
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [CleanTIF] WScript.exe C:\WINDOWS\Cleantif.vbs
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [UIWatcher] C:\PROGRA~1\Ashampoo\ASHAMP~1\UnInstaller Suite\UIWatcher.exe
O4 - Startup: Ashampoo Mail Virus Blocker Server.lnk = C:\Programme\Ashampoo\Ashampoo UnInstaller Suite Plus\Mail Virus Blocker\Server.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: myPrintMileage.lnk = C:\Programme\Hewlett-Packard\hp deskjet 450 printer\ToolBox\mpm.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html

Der Virus, den das Antivir andauernd bringt und nicht löschbar ist:

C:\SYSTEM VOLUME INFORMATION\_RESTORE{70F7FEA5-C8CC-4A91-841D-519D771215A5}\RP45\A0022383.EXE

den finde ich auch nicht.

Hoffentlich strapazier ich euch nicht zusehr.

Danke derweil

Stefan

@ Stefan123,

lade das Clear Prog runter, leere damit die Ordner TEMP, Temporary Internet Files, Cookies und den Verlauf.

1.) --> "Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren" (Cidre)

2.) --> Boote dann in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!" (Cidre) Nach dem löschen in den normalen Modus booten und die Systemwiederherstellung wieder aktivieren.

C:\SYSTEM VOLUME INFORMATION\_RESTORE{70F7FEA5-C8CC-4A91-841D-519D771215A5}\RP45\A0022383.EXE

SD

Hi

habe das Clear Prog geladen und ausgeführt.

Im abgesicherten Modus den mwav laufen lassen. Ergebnis:

File C:\RECYCLER\S-1-5-21-1757981266-1563985344-854245398-1003\Dc512.exe tagged as not-a-virus:PornWare.Dialer.Intexdial. No Action Taken.
File C:\System Volume Information\_restore{70F7FEA5-C8CC-4A91-841D-519D771215A5}\RP42\A0011412.exe tagged as not-a-virus:PornWare.Dialer.Intexdial. No Action Taken.
File C:\System Volume Information\_restore{70F7FEA5-C8CC-4A91-841D-519D771215A5}\RP45\A0022354.exe infected by "Trojan.Win32.StartPage.qp" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{70F7FEA5-C8CC-4A91-841D-519D771215A5}\RP45\A0022355.exe infected by "Trojan.Win32.StartPage.qp" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{70F7FEA5-C8CC-4A91-841D-519D771215A5}\RP45\A0022356.exe infected by "Trojan.Win32.StartPage.qp" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{70F7FEA5-C8CC-4A91-841D-519D771215A5}\RP45\A0022357.exe infected by "Trojan.Win32.StartPage.qp" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{70F7FEA5-C8CC-4A91-841D-519D771215A5}\RP45\A0022358.exe infected by "Trojan.Win32.StartPage.qp" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{70F7FEA5-C8CC-4A91-841D-519D771215A5}\RP45\A0022359.exe infected by "Trojan.Win32.StartPage.qp" Virus. Action Taken: No Action Taken.

Da ist noch mehr aber immer im selben Ordner...

den kann ich nicht öffnen - Zugriff verweigert, obwohl ich als Admin angemeldet bin.????

Gruß

Stefan

Systemwiederherstellung deaktivieren -> Neustart -> Systemwiederherstellung wieder aktivieren

btw:
Leere deinen Papierkorb.

Habe immer noch keinen Zugriff auf diesen Ordner

System Volume Information

Papierkorb geleert.

Gruß

Stefan