| | #3 (permalink) |
| wohnt im Forum Threadersteller Registriert seit: 29.01.2005
Beiträge: 128
Abgegebene Danke: 2
Erhielt 0 Danke für 0 Beiträge
| Hallo Fischdarm, dass ist der log Logfile of HijackThis v1.99.0 Scan saved at 14:22:46, on 30.01.05 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCSETMGR.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE C:\NORTON INTERNET SECURITY\ISSVC.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCPROXY.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCPD-LC\SYMLCSVC.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\SNDSRVC.EXE D:\SICHERUNG\HIJACKTHIS\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [Link nur für registrierte und freigeschaltete Mitglieder sichtbar. ] R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - (no file) O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\SPYBOT~1\SDHELPER.DLL O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Norton Internet Security\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime O4 - HKLM\..\Run: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Symantec Core LC] C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe start O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMON.EXE O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe" O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe" O4 - HKLM\..\RunServices: [ISSVC] "C:\Norton Internet Security\ISSVC.exe" O4 - HKLM\..\RunServices: [ccProxy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg O4 - HKCU\..\Run: [Skype] "D:\SKYPE\PHONE\SKYPE.EXE" /nosplash /minimized O4 - HKCU\..\RunOnce: [ICQ Lite] D:\PROGRAMME\ICQLITE\ICQLITE.EXE -trayboot O4 - Startup: ubisoft register.lnk = C:\Programme\Ubi Soft\Register\schedule.exe O8 - Extra context menu item: &Search - [Link nur für registrierte und freigeschaltete Mitglieder sichtbar. ] O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRAMME\MICROSOFT ACTIVESYNC\INETREPL.DLL O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRAMME\MICROSOFT ACTIVESYNC\INETREPL.DLL O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRAMME\MICROSOFT ACTIVESYNC\INETREPL.DLL O12 - Plugin for .nwc: C:\Programme\NoteWorthy Software\NWC Browser Plugin\npnwcw32.dll O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - [Link nur für registrierte und freigeschaltete Mitglieder sichtbar. ] O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - [Link nur für registrierte und freigeschaltete Mitglieder sichtbar. ] |
| | |
| Sponsored Links |
| |
| | #4 (permalink) |
| Dauerposter Registriert seit: 02.10.2003
Beiträge: 1.882
Abgegebene Danke: 0
Erhielt 10 Danke für 8 Beiträge
| In Hijackthis fixen: R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - (no file) O8 - Extra context menu item: &Search - [Link nur für registrierte und freigeschaltete Mitglieder sichtbar. ] Ist also net viel Mist auf deinem PC Scann nochmal mit Spybot durch http://www.netzwelt.de/news/66350-tu...it-spybot.html Und Danach am besten nochmal nen Onlinescan machen (deinen scanner vorher deaktivieren) [Link nur für registrierte und freigeschaltete Mitglieder sichtbar. ] Danach dürfte alles wieder sauber sein Außerdem solltest du vom IE auf Mozilla, Firefox oder Opera umsteigen. Ist einfach sicherer... Außerdem wird oft gesagt das Norton nicht grade das beste ist. Wenn du bereit bist Geld auszugeben, würde ich auf Kaspersky umsteigen. Als Freeware scanner könntest du AntiVir benutzen.... |
| | |
| | #5 (permalink) |
| einmal ist keinmal Registriert seit: 30.01.2005
Beiträge: 6
Abgegebene Danke: 0
Erhielt 0 Danke für 0 Beiträge
| Hi Edmont, Neben der Profi-Anleitung von Fischdarm kann ich dir folgende Konstellation empfehlen: - AntiVir Personal Edition -> tägliches Update; du musst allerdings bei der Konfiguration noch ein bischen arbeiten - die Standardeinstellungen sind ein bischen lau - Eine Freeware Firewall -> ZoneAlarm, Outpost,...die üblichen Verdächtigen eben (auch ZoneAlarm hat bei mir gut funktioniert) - Ad-Aware - SpyBot Damit fahre ich seit Jahren sicher - inclusive Intrusion-Scans. Viel Erfolg beim Putzen, Xerios |
| | |
| | #7 (permalink) |
| wohnt im Forum Threadersteller Registriert seit: 29.01.2005
Beiträge: 128
Abgegebene Danke: 2
Erhielt 0 Danke für 0 Beiträge
| Hallo, danke für eure Tips und Hilfe. Ich habe mit Spybot gescannt und es wurden keine Spione gefunden. Aber die Prüfung mit dem Online-Scanner konnte ich nicht machen. Das Sicherheitszertifikat wurde nicht gefunden. Dann habe ich mit Norton nochmal gescannt. Er fand folgendes: DC178.EXE (Ezula) DC192.EXE (Ezula) DC248.DLL (Ncase) DC250 (180 Search) DD2.EXE (Gator) DD204.EXE (Ezula) DD206.EXE (Ezula) Del83A2.TMP (180 Search) Del9054.TMP ( 180 Search) newtonet3_88.dll saap.exe (Ncase) saaphook.dll (Ncase) Newdotnet darf ich nicht entfernen. die Datei ist offensichtlich mit den Browsern verknüpft, oder so. Denn als ich das mal ausprobiert hatte und dann ins Internet wollte (Netscape) wurde die Startseite nicht gefunden. Genau so war es bei IE. Erst nachdem ich die Datei wieder installiert hatte funktionierte es wieder. 180Search habe ich aus der Registry über jv16 Power Tools gelöscht und die dazugehörigen Dateien kann ich über "Suchen" finden und dann löschen, oder empfiehlt ihr mir einen anderen Weg? Auch die Dateien zu "saap" und dotar.lgc kann ich auf diese Weise entfernen. Dotar ist im Windows/applog. Dort sind auch noch andere Dateien von Programmen, die ich mal installiert hatte, aber wieder deinstalliert habe. Trotzdem sind dort noch Dateien zu finden. Kann ich die löschen? EScan habe ich auch nochmal benutzt. Hier ist das, was mich dabei am meisten an den gefundenen Dingen beunruhigt: Windows\System\SHAgentNew infected by Adware Sahat.a Windows\Anwendungsdaten\Mozilla\Profiles\default\y 5dw2dek.slt\Mai\pop3.web-4.de/Inbox infected by: Trojan.Win32.Dialer.cu C:\Programme\Netscape\User\...\Mail\Trash infected by: l-Worm.Sircam.c Recycled\DD5\goin.exe infected by: Porn-Dialer.Win32.generic Sicherung\Programme\Netscape\Users\...\Mail\Trash infected by: l-Worm.Sircam.c Sicherung/Windows/System/goinuninstall.exe infected by: Porn-Dialer.Win32.generic eScan fand insgesamt 48 Viren (bei den meisten stand jedoch "not-a-virus" daneben) und 10 Fehler. Was heißt eigentlich Fehler? Ihr schreibt mir, das Norton nicht der beste ist. Welcher ist denn von den im Handel erhältlichen der beste Scanner? Kaspersky wollte ich mir zur Zeit nicht kaufen, da ich gerade erst Norton gekauft habe. Kann denn Kaspersky das gleiche wie Norton Internet Security 2005 oder das Programm, was McAfee für dieses Jahr draußen hat? Gruß Edmont Geändert von Edmont (31.01.2005 um 14:18 Uhr) |
| | |
| | #8 (permalink) |
| Dauerposter Registriert seit: 02.10.2003
Beiträge: 1.882
Abgegebene Danke: 0
Erhielt 10 Danke für 8 Beiträge
| Probier als Onlinescanner noch mal das [Link nur für registrierte und freigeschaltete Mitglieder sichtbar. ] Wenn das auch net geht, ignorier das fehlende Zertifikat... Das ist sicher. Kaspersky ist dem Norton Virenscanner auf jeden Fall überlegen. Als Firewall ersatz könntest du [Link nur für registrierte und freigeschaltete Mitglieder sichtbar. ] nehmen (Für den privaten Einsatz kostenlos). Ist sonst noch was dabei, was du umbedingt brauchst? Zu Newdotnet Über System=>Software deinstallieren. Verschieb die Schädlingsdatein erstmal in ein anderes Verzeichnis (Oder mach ein Archiv draus.) Guck dann ob alles noch ohne Probleme läuft und lösch sie dann. Aufpassen das du alles entfernst, sonst ist es nacher wieder da. Windows\Anwendungsdaten\Mozilla\Profiles\default\y 5dw2dek.slt\Mai\pop3.web-4.de/Inbox infected by: Trojan.Win32.Dialer.cu Scheint irgendeine Email in deinem Posteingan zu sein. Guck mal nach verdächtigen Mails durch C:\Programme\Netscape\User\...\Mail\Trash infected by: l-Worm.Sircam.c Leer mal den Papierkorb in deinem Mailprogramm. Recycled\DD5\goin.exe infected by: Porn-Dialer.Win32.generic Papierkorb leeren, ansonsten manuell nach der Datei suchen und löschen (vorher wieder wie oben verschieben) Sicherung\Programme\Netscape\Users\...\Mail\Trash infected by: l-Worm.Sircam.c s. nr 1 Sicherung/Windows/System/goinuninstall.exe infected by: Porn-Dialer.Win32.generic Manuell löschen (wie vorher beschrieben) Danach nochmal scannen und den Log hier posten. Am besten auch nochmal mit Hijackthis scannen. |
| | |
| | #9 (permalink) |
| wohnt im Forum Threadersteller Registriert seit: 29.01.2005
Beiträge: 128
Abgegebene Danke: 2
Erhielt 0 Danke für 0 Beiträge
| Hallo, Ich habe nun alle Dateien, die man manuell löschen kann auf Diskette verschoben. Bisher läuft anscheinend alles gut. Nur Search-Assistand kann ich nicht kopieren, da der Ordner Dateien enthält, die zu groß sind für die Diskette. Es gibt zwar unter Systemsteuerung, Software einen Punkt "My Search Bar", aber ich bin nichtr sicher, ob das der Search-Assistant ist. Dann bin ich auch nicht sicher, ob nach dem deinstallieren noch alles läuft. Denn bei Newdotnet hatte ich das Programm über Software deinstalliert. Und danach konnte ich eben icht mehr ins Netz. also habe ich NewDotnet wieder installiert. (Das war am Wochenende) Was mache ich denn mit den anderen Dateien. Die können über suchen nicht gefunden werden. Was Panda betrifft: Ich hab es versucht. Über Netscape läuft das nicht und bei IE dauert es offensichtlich sehr lange bis die Komponenten geladen sind. Hier sind nochmal die Dateien, die Norton gefunden hatte: DC178.EXE (Ezula) DC192.EXE (Ezula) DC248.DLL (Ncase) DC250 (180 Search) DD2.EXE (Gator) DD204.EXE (Ezula) DD206.EXE (Ezula) Del83A2.TMP (180 Search) Del9054.TMP ( 180 Search) newtonet3_88.dll saap.exe (Ncase) saaphook.dll (Ncase) + Hallo, hier ist der aktuelle Blog von Hijack: Logfile of HijackThis v1.99.0 Scan saved at 13:17:41, on 01.02.05 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCSETMGR.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE C:\NORTON INTERNET SECURITY\ISSVC.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCPROXY.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCPD-LC\SYMLCSVC.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\SNDSRVC.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE D:\NETSCAPE\NETSCAPE\NETSCP.EXE D:\SICHERUNG\HIJACKTHIS\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page= R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - (no file) O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\SPYBOT~1\SDHELPER.DLL O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Norton Internet Security\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime O4 - HKLM\..\Run: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Symantec Core LC] C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe start O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMON.EXE O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe" O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe" O4 - HKLM\..\RunServices: [ISSVC] "C:\Norton Internet Security\ISSVC.exe" O4 - HKLM\..\RunServices: [ccProxy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg O4 - HKCU\..\Run: [Skype] "D:\SKYPE\PHONE\SKYPE.EXE" /nosplash /minimized O4 - HKCU\..\RunOnce: [ICQ Lite] D:\PROGRAMME\ICQLITE\ICQLITE.EXE -trayboot O4 - Startup: ubisoft register.lnk = C:\Programme\Ubi Soft\Register\schedule.exe O8 - Extra context menu item: &Search - [Link nur für registrierte und freigeschaltete Mitglieder sichtbar. ] O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRAMME\MICROSOFT ACTIVESYNC\INETREPL.DLL O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRAMME\MICROSOFT ACTIVESYNC\INETREPL.DLL O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRAMME\MICROSOFT ACTIVESYNC\INETREPL.DLL O12 - Plugin for .nwc: C:\Programme\NoteWorthy Software\NWC Browser Plugin\npnwcw32.dll O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - [Link nur für registrierte und freigeschaltete Mitglieder sichtbar. ] O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - [Link nur für registrierte und freigeschaltete Mitglieder sichtbar. ] Gruß Edmont Geändert von fischdarm (01.02.2005 um 14:52 Uhr) |
| | |
| | #10 (permalink) | ||
| Dauerposter Registriert seit: 02.10.2003
Beiträge: 1.882
Abgegebene Danke: 0
Erhielt 10 Danke für 8 Beiträge
| Zu Newdotnet Nochmal Deinstallieren und dann das hier ausprobieren [Link nur für registrierte und freigeschaltete Mitglieder sichtbar. ] Verschieb die Sachen die Norton gefunden hat in den Quarantäne Ordner. Und war das ein neuer Scann? Oder einfach nur der alte? Dieses "My Search bar" auch deinstallieren. Nachdem du das deinstalliert hast, nochmal folgende Einträge in hijackthis fixen R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - (no file) O8 - Extra context menu item: &Search - [Link nur für registrierte und freigeschaltete Mitglieder sichtbar. ] Und du musst die Dateien nicht auf Diskette verschieben, Ein anderer Ordner reicht meistens. Und guck mal Systemsteuerung => Software nach den Namen Suchen die Norton dir angezeigt hat und gegebenenfalls deinstallieren. Und guck außerdem nach Namen die dir verdächtig erscheinen. Also von denen du keine Ahnung hast was sie machen. Dann mal den Namen hier posten... Zu deiner PM Zitat:
Zitat:
Sicher sagen kann ich es aber nicht. Schüler => Hab kein Geld für nen Virenscanner | ||
| | |
| | #11 (permalink) |
| wohnt im Forum Threadersteller Registriert seit: 29.01.2005
Beiträge: 128
Abgegebene Danke: 2
Erhielt 0 Danke für 0 Beiträge
| Hallo, ich habe Search-Assistant in den Papierkorb verschoben und gelöscht. Newdotnet habe ich uninstalliert. In dem Ordner von Newdotnet war eine Funktion zum deinstallieren. Ich habe das Programm, wo der link hin führte, auch ausgeführt. Vielleicht hätte ich das gar nicht gebraucht. Denn auch nach der Deinstallierung hat das Netz wieder funktioniert. MySearchbar kann ich leider nicht deinstallieren. Ich erhalte die Nachricht: Fehler beim Laden von C:\Progra~1\MYSEARCHBAR\2.BIN\s4bar.dll Der angegeben Pfad wurde nicht gefunden. Dann habe ich über Regedit in der Registrierung gesucht. Leider findet der dort noch Einträge von: DD2.EXE, saap.exe, New.Net (Inhalt: Standart Wert nicht gesetzt), Search-Assistant (Verzeichnes Doc find Spec MRU), Newdotnet, DD2.EXE (Name "DD2.EXE") und leider auch von Programmen, die ich gelöscht bzw. deinstalliert hatte. Kann ich die da normal löschen? Das hier sind die neuen Namen vom Norton Scan: Del83A2.TMP (180 Search) in C:\Windows\Temp Del9054.TMP ( 180 Search) in C:\Windows\Temp aber ich finde die über die "suchen"-Funktion nicht über "Software". Was meinst du denn mit bei Hijackthis "fixen"? Was habe ich mit dem Programm von dem link eigentlich gemacht? Gruß Edmont |
| | |
| | #12 (permalink) | ||||||
| Dauerposter Registriert seit: 02.10.2003
Beiträge: 1.882
Abgegebene Danke: 0
Erhielt 10 Danke für 8 Beiträge
| Zitat:
Software müsste eigentlich genau den selben uninstaller aufrufen.. Zitat:
such nochmal in registry und Dateisystem nach "MYSEARCHBAR" und alles löschen was du findest (my search bar auch ausprobieren). Zitat:
Zitat:
Zitat:
Zitat:
Und wenn sie sich dann nicht sauber deinstallieren, muss man daswieder fixen Schau noch mal in diesen Pfaden nach (da sind die Programme drinne die automatisch starten) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunOnce HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Runonce Guck nochmal nach Auffälligkeiten durch.. was du net kennst posten. Und wenn du alles gemacht hast, nochmal norton + escanlog posten (Damit dann sicher alles weg ist). | ||||||
| | |
| | #13 (permalink) |
| wohnt im Forum Threadersteller Registriert seit: 29.01.2005
Beiträge: 128
Abgegebene Danke: 2
Erhielt 0 Danke für 0 Beiträge
| Hallo, in der Registry finde ich für MYSEARCHBAR nur einen Ordner, der als Namen eine lange Reihe von Zahlen und Buchstaben hat. Er beinhaltet: Standard "MySearchBarNetscapeShutdownClass" und folgende Unterordner: InprocServer32 Standard "C:\Programme\MYSEARCH\BAR\1.BIN\S4BAR.D.." ThreadingModel "Apartment" ProgID Standard "MySearchToolBar.NetscapeShutdown.1" Programmable Standard Wert nicht gesetzt TypeLib "(014DA6C0-189F-421aa88CD-07CFE51CFF10) VersionIndependentProgID Standard "MySearchToolBar.NetscapeShutdown" Das Sind die Werte, die ich unter den HKeys finde, die du genannt hast: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run New.net Startup "rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.D... saap c:\programme\search-assistant\saap.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunOnce Standard Wert nicht gesetzt HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run Standard Wert nicht gesetzt Skype ""D:\SKYPE\PHONE\SKYPE.EXE" /nosplash /minimiz... HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Runonce Standard Wert nicht gesetzt ICQ Lite "D:\PROGRAMME\ICQLITE.EXE -trayboot" Was die anderen betrifft Ich finde im Ordner HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre nversion\Explorer\Doc Find Spec folgendes Standard wert nicht gesetzt a "" b "DVD" c "DVD+trial" d "Hijack" e "newdotnet" f "saap" g "Search" h "Del9054.TMP" i "Del83A2.TMP" j "cliprex" kMRUList "hiabdjfgce Das scheint eine Liste zu sein von allen Namen, die ich gesucht habe über "suchen". Soll ich die löschen? Folgende Ordner habe ich gelöscht: HKEY_CURRENT_USER\Software\New.net Standard Wert nicht gesetzt Unter HKEY_CLASSES_ROOT\CLSID\(Name wieder zu lang) Odner enthält Standard "URLLink Class" InprocServer32 Standard "C:\Programme\NewDotNet\newdotnet6_38.dll" Threading Model "Apartment" ProgID Standard "Tldctl2.URLLink.1" Programmable Standard Wert nicht gesetzt TypeLib "(DD521A10-1F98-11D-9676-00E018981B9E) VersionIndependentProgID Standart "Tldctl2.URLLink" HKEY_LOCAL_MACHINE\Software\Microsoft\DirectDraw\C ompatibility\DemolitionDerby2 Standard Wert nicht gesetzt Flags 01 00 00 00 ID 44 83 88 32 Name "DD2.EXE" (nur DD2.EXE gelsöcht) HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MenuOrdner\StartMenu\&Programs\ Egmont Standard Wert nicht gesetzt Ordner 08 00 00 00 02 00 00 00 7e 00 00 00 01 00 00 00 02 00 Dann habe ich noch Ordner unter dem selben Verzeichnis gelöscht von den Programmen DVDGenie, Cliprex, WinDVD5, WinDVD6, WinDVD Platin Norton und eScan habe ich noch nicht gemacht. Gruß Edmont + Hallo, wollte nur nochmal ergänzen, dass ich noch nicht die Dinge gefixt habe mit Hijack, die du mir angegeben hast. Den Norton-Scan habe ich auch noch nicht gemacht. Und was eScan betrifft: Meinst du damit die Anzeige des Ergebnisses oder das was er gescannt hat. Die ergebnisanzeige kann ich nicht posten. Da habe ich beim letzten mal alles per Hand abgeschrieben. Gruß Edmont Geändert von fischdarm (02.02.2005 um 15:50 Uhr) |
| | |
| | #14 (permalink) | |||||
| Dauerposter Registriert seit: 02.10.2003
Beiträge: 1.882
Abgegebene Danke: 0
Erhielt 10 Danke für 8 Beiträge
| Kannst du vielleicht den "ändern" Button benutzen, wenn du noch etwas hinzufügen willst? sonst wird das ganze so unübersichtlich. Zitat:
Zitat:
Der rest ist nicht schlimm. Also da lassen Zitat:
e "newdotnet" f "saap" g "Search" h "Del9054.TMP" i "Del83A2.TMP" Auf jeden Fall löschen. Beim Rest weiß ich nicht wirklich was das ist Zitat:
Zitat:
Schreib einfach nur die wichtigen Sachen ab. Ist aber wichtig um zu schauen ob denn jetzt auch alles weg ist. | |||||
| | |
| | #15 (permalink) |
| wohnt im Forum Threadersteller Registriert seit: 29.01.2005
Beiträge: 128
Abgegebene Danke: 2
Erhielt 0 Danke für 0 Beiträge
| Hallo, also Norton hat nichts gefunden. Aber ein Newdotnet-Ordner war noch über suche zu finden. Ich habe bereist uninstall benutzt und den Ordner in den Papierkorb geschoben. Aber ich konnte ihn von dort nicht löschen. Der Zugriff auf newdotnet6_38 wurde verweigert. Das hat sich aber auch erledigt, nachdem ich eine von EScan gefunden Uninstalldatei benuttz habe und neugestartet habe. In der Registry waren aber noch Einträge unter "MYSEARCH" zufinden. Zum Beispiel uach unter Netscape\Automation Shutdown und Netscape\Automation StartUp, MySearchAssistant BHO, MySearchBaruickView. Insgesamt habe ich jetzt 20 Registry-sicherungsdateien. eScan fand folgendes: C:\Windows\Command\EBD\EBD.CAB tagged as not-a-virus: Tool.DOS.Restart No Action Taken C:\Windows\Anwendungsdaten\Mozilla\Profiles\defaul t\y5dw2dek.slt\Mail\pop3.web-4.de\Inbox infected by "Trojan.Win32.Dialer.cu" Action Taken: No Action Taken C:\Recycled\DC27\newdotnet6_38.dll "not-a-virus Adware.NewDotNet" Action Taken: No Action Taken wieso dass denn? Der Papierkorb ist von mir vorher geleert worden. C:\Eigene Dateien\installierung\plugin_nwc2browser175b.exe "not-a-virus: Tool.Win32.Reboot" C:\Norton Internet Security\Norton AntiVirus\Quarantine\291D00EC......nach fund gelöscht D:\Win98\Win98\EBD.CAB Tool.DOS.Restart D:\Win98\Win98\OLS\AOL\AOL40DE.EXE Tool.Win.32.Reboot D:\Programme\Netscape\Users\edmont\Mail\Trash infected by "l-Woem.Sircam.c"Virus D:\Sicherung\Programme\YDKJ\Uninst.exe Tool.Win.32.Reboot D:\Sicherung\Programme\Netscape\Users\edmont\Mail\ Trash "l-woem.Sircam.c" D:\Sicherung\Programme\Bezerk\JackNetshow\Jackunin stall.exe Tool.Win32.Reboot D:\Sicherung\Eigne Dateien\napv2bl.exe Tool.win32.Reboot D:\Sicherung\Eigene Dateien\Bildschirmschoner\wildsw.exe AdWare.SaveNow.k D:\Sicherung\QTWTMP.TMP\JACKinstall.exe Tool.Win32.Reboot (vor dem Q fehlt eine geschl. Linie) D:\Sicherung\QTWTMP.TMP\NetSonic.exe Tool.Win32.Reboot ( " ) D:\Sicherung\Windows\Temporary Internet Files\Content.IE5\2HGVA7UH\comet(1).cab AdWare.Comet.d D:\Sicherung\Windows\Temporary Internet Files\Content.ID5\4HI3GLQJ\freedownload(1).cab Porn-Dialer.Win32.Generic D:\Sicherung\Windows\Command\EBD\EBD.CAB Tool.DOS.Restart D:\Sicherung\Windows\System\WEbOut.exe Tool.Win32.Reboot D:\Sicherung\Windows\System\msjpcsv.exe AdWare.Aureate D:\Sicherung\Windows\System\ipcclient.dll AdWare.Aureate D:\Sicherung\Windows\System\htmdeng.exe AdWare.Aureate D:\Sicherung\Windows\System\Kuss.scr GreetingCard.PySoft D:\Sicherung\winter\uninstal.exe Tool.Win32.Reboot D:\Sicherung\falling_leaves_eu.exe AdWare.SaveNow.q D:\wintersw.exe AdWare.SaveNow.e D:\winter.exe Tool.Win32.Reboot D:\winter\uninstal.exe Tool.win32.Reboot D:\noteworthy\nwpsetup.exe Tool.Win32.Reboot Einige AdWares sind hiervon Bildschirmschonern, die ich mir von Bildschirmschoner.de heruntergeladen habe (Bildschirmschoner\wildsw.exe , winter\uninstal.exe, falling_leaves_eu.exe, wintersw.exe, winter\uninstal.exe). Aber wie in dem Ordner pop3.web-4.de\Inbox ein Virus sein kann verstehe ich nicht. Welche kann denn da gemeint sein? Da ist nur eine mit einer von meinem Vater geschriebener Worddatei drin. Und eine von einer Bekannten, bei der eine Grafik mit dabei ist. Und das mit dem Netscape\Users\edmont\Mail\Trash verstehe ich auch nicht. Der Ordner ist nämlich leer. Den habe vorher geleert. napv2bl.exe ist die Installationsdatei von Napster. Napster habe ich sowieso nicht mehr auf dem PC. Dann kann ich das quasi löschen. Muss ich da in der Registry gucken? Ich habe auch die Dinge, wo du mir sagtest ich solle die über Hijackthis fixen noch nicht gefixt. Gruß Edmont + äh, ich habd a noch 2 fragen. Gerade, als ich eine Seite im Netz geladen hatte kam von norton die übliche Anfrage, ob man den Internetzugriff von ActiveX zulassen soll. aber anstatt auf "zulasssen zu klicken habe ich unten in der Leiste das Fenster geschlossen. Kannst du mir sagen, wie oder wo ich das einstellen kann, dass er diese Seite wieder abfragt? Dann habe ich noch eine Frage. Ich hatte mit letzten den kostenlosen DVD Player von Cliprex runtergeladen. Ich braucht den, für die DVDs von Gamestar. IM Luaf der Korrekturen der unerwümschten Dateien habe ich den vorsichtshalber gelöscht. Ich möchte mir gerne wieder einen solchen kostenlosen Player runterladen, aber ich fürchte, dass ich damit wieder eine dieser unangenehmen Adwares runterlade. Kennst du vielleicht nocvh andere DVD Player? 12:39 Uhr 03.02.05 Ich hab gerade nochmal Search & Destroy scannen lassen,. Das Programm findet: n-Case: Uninstall-Einstellung (Registrierungsdatenbank-Schlüssel, nothing done) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Uninstall\saap --- Spybot - Search && Destroy version: 1.3 --- 2004-11-29 Includes\Cookies.sbi 2005-01-27 Includes\Dialer.sbi 2005-01-27 Includes\Hijackers.sbi 2005-01-11 Includes\Keyloggers.sbi 2005-01-27 Includes\Malware.sbi 2004-11-29 Includes\Revision.sbi 2004-11-29 Includes\Security.sbi 2005-01-27 Includes\Spybots.sbi 2005-01-27 Includes\Trojans.sbi 2004-05-12 Includes\LSP.sbi 2004-11-29 Includes\Tracks.uti 2004-08-11 Includes\plugin-ignore.ini Soll ich das über dasselbe Programmlöschen? Oder empfiehlst du was anderes? Edmont Geändert von Edmont (03.02.2005 um 12:40 Uhr) Grund: 2 Zusatzfragen |
| | |
| | #16 (permalink) | ||||||
| Dauerposter Registriert seit: 02.10.2003
Beiträge: 1.882
Abgegebene Danke: 0
Erhielt 10 Danke für 8 Beiträge
| Zitat:
Das erste Problem ist gelöst Zitat:
Außerdem solltest du die im IE die "temporary internet files" löschen. Wegen den leeren Ordnern. Stell in den Ordneroptionen ein, das versteckte Dateien angezeigt werden sollen und schau nochmal nach... Zitat:
nur die Datei löschen Zitat:
Bin mir aber nicht sicher. Hab den IE nie wirklich benutzt. Würde dir auch raten auf Mozilla/Firefox oder Opera umzusteigen... Ist einach sicherer. Und wenn du das nicht willst, ActivX zumindest zu deaktivieren. Zitat:
Leider ohne Menü etc. [Link nur für registrierte und freigeschaltete Mitglieder sichtbar. ] Der VLC müsste auch DVDs abspielen [Link nur für registrierte und freigeschaltete Mitglieder sichtbar. ] ob Menüs etc unterstützt werden, weiß ich nicht. Zitat:
alles in Spybot löschen Sry das die antwort so lange gebraucht hat. Hatte gestern keine Zeit für nen langen Beitrag | ||||||
| | |