Seite 1 von 2 12 LetzteLetzte
Ergebnis 1 bis 10 von 20

Thema: Startseiten-Virus lässt sich nicht entfernen

  1. #1
    MarcoB
    Gast

    Startseiten-Virus lässt sich nicht entfernen

    Hallo

    Ich bringe einige böse Einträge nicht weg. Nach jedem Neustart sind sie wieder da.

    Mein Vorgehen:

    1. Systemwiderherstellung ausschalten

    2. im abgesicherten Modus starten

    3. Folgende Einträge fixen

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\papab.dll/sp.html#55135
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\papab.dll/sp.html#55135
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\papab.dll/sp.html#55135
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\papab.dll/sp.html#55135
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\papab.dll/sp.html#55135
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\papab.dll/sp.html#55135
    R3 - Default URLSearchHook is missing
    O4 - HKLM\..\Run: [ipss.exe] C:\WINDOWS\ipss.exe


    Code:
    Logfile of HijackThis v1.99.1
    Scan saved at 15:37:10, on 09.05.2005
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    
    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\sdkkg32.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
    C:\Programme\Sound Devices\USBPre\Services\jjtAutoLaunch.exe
    C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
    C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\TOSHIBA\TME3\Tmesbs32.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\Programme\Analog Devices\SoundMAX\PmProxy.exe
    C:\WINDOWS\System32\00THotkey.exe
    C:\WINDOWS\system32\TPWRTRAY.EXE
    C:\Programme\TOSHIBA\TME3\TMESBS32.EXE
    C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe
    C:\WINDOWS\system32\TFNF5.exe
    C:\Programme\TOSHIBA\Wireless Hotkey\TosHKCW.exe
    C:\Programme\Synaptics\SynTP\SynTPLpr.exe
    C:\Programme\Synaptics\SynTP\SynTPEnh.exe
    C:\Programme\TOSHIBA\TouchED\TouchED.Exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
    C:\WINDOWS\system32\drivers\Digigram\Mixer\DigiWMix.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
    C:\Programme\Messenger\msmsgs.exe
    C:\WINDOWS\ipss.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Dokumente und Einstellungen\***************************\Desktop\hijackthis_199\HijackThis.exe
    
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\papab.dll/sp.html#55135
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\papab.dll/sp.html#55135
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\papab.dll/sp.html#55135
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\papab.dll/sp.html#55135
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\papab.dll/sp.html#55135
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\papab.dll/sp.html#55135
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.toshiba-europe.com/computers/magniasg20_promo/de/index.htm
    R3 - Default URLSearchHook is missing
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
    O2 - BHO: Class - {962342AD-7D9C-4ED9-06F6-290AD24C961B} - C:\WINDOWS\system32\mfceu32.dll
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
    O4 - HKLM\..\Run: [PmProxy] C:\Programme\Analog Devices\SoundMAX\PmProxy.exe
    O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
    O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
    O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE
    O4 - HKLM\..\Run: [TMESBS.EXE] C:\Programme\TOSHIBA\TME3\TMESBS32.EXE /Client
    O4 - HKLM\..\Run: [TFncKy] TFncKy.exe /Type 28
    O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
    O4 - HKLM\..\Run: [TosHKCW.exe] "C:\Programme\TOSHIBA\Wireless Hotkey\TosHKCW.exe"
    O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
    O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [TouchED] C:\Programme\TOSHIBA\TouchED\TouchED.Exe
    O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [DIGIWMIX] C:\WINDOWS\system32\drivers\Digigram\Mixer\DigiWMix.exe /hide
    O4 - HKLM\..\Run: [ipss.exe] C:\WINDOWS\ipss.exe
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
    O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
    O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O15 - Trusted Zone: http://www.***********************.com
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1106347195100
    O23 - Service: Network Security Service (NSS) ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\sdkkg32.exe
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
    O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
    O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
    O23 - Service: jjtAutoLaunch - Sound Devices, LLC - C:\Programme\Sound Devices\USBPre\Services\jjtAutoLaunch.exe
    O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
    O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
    O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
    O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
    O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
    O23 - Service: Tmesbs32 (Tmesbs) - TOSHIBA Corporation - C:\Programme\TOSHIBA\TME3\Tmesbs32.exe

  2. #2
    Supermod a.D. Avatar von Ruby
    Registriert seit
    25.01.2005
    Ort
    The Netherlands
    Beiträge
    20.038

    AW: Startseiten-Virus lässt sich nicht entfernen

    Hallo Marco

    Kannst du alles auf deinem Rechner sehen?

    Im Windows-Explorer: >Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.

    Lade diese Dateien bitte zur Analyse hoch

    C:\WINDOWS\sdkkg32.exe
    C:\WINDOWS\ipss.exe
    C:\WINDOWS\papab.dll
    C:\WINDOWS\system32\mfceu32.dll

    -> Upload malicious software

    Melde dich und lass uns wissen, ob der Upload funktioniert hat.

  3. #3
    Einsteiger
    Registriert seit
    09.05.2005
    Beiträge
    9

    AW: Startseiten-Virus lässt sich nicht entfernen

    Hallo Ruby

    Danke für deine rasche Antwort. Ich habe die vier Dateien hochgeladen und die Ordnereinstellungen angepasst.

    Gruss Marco

  4. #4
    Einsteiger
    Registriert seit
    09.05.2005
    Beiträge
    9

    AW: Startseiten-Virus lässt sich nicht entfernen

    Hallo

    Nach den Mails zu beurteilen, die ich auf meine Uploads erhalten habe, scheint es sich bei allen vier Dateien um Trojaner u.ä. zu handeln.

    Wie wäre jetzt das weitere Vorgehen zu empfehlen? Soll ich die entsprechenden Einträge fixen und die Dateien dann manuell löschen?

    Marco

  5. #5
    Supermod a.D. Avatar von Ruby
    Registriert seit
    25.01.2005
    Ort
    The Netherlands
    Beiträge
    20.038

    AW: Startseiten-Virus lässt sich nicht entfernen

    @ Marco

    bei Windows XP und ME muss die Systemwiederherstellung vor den Arbeiten am System deaktiviert werden.

    Diese Anweisung erst gründlich durchlesen.
    Drucke diese Anweisung entweder aus oder speichere sie als *.txt-file,
    da du u.a. im abgesicherten Modus/VGA Modus arbeiten wirst.


    Folge den Nummern in der Reihenfolge:

    1
    Download und Anwendung:

    1-1
    ein kostenloses Zip-Programm, falls keines vorhanden:
    SIMPLYZIP

    1-2
    about:Buster,
    entpacke C:\aboutbuster
    Starte das Programm:
    1. Klicke auf "Update".
    2. Klicke auf "Check For Update"

    (wenn derzeit keine Updates vorhanden sind, kannst du diesen Punkt überspringen.)
    3. Klicke auf "Download Update", und warte bis der Download installiert ist.

    1-3
    CWShredder 2.14, installieren und updaten

    1-4
    Lade die Killbox runter.
    Installiere das Programm auf deinem Desktop.

    1-5
    CleanUp

    1-6
    cwsserviceremove

    2
    Im Windows-Explorer:
    >Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.

    3
    Boote in den abgesicherten Modus/VGA Modus von Windows und bleibe dort bis du liest, dass du in den normalen Modus booten sollst.

    4
    1. START -> ausführen (schreib) "Services.msc" (ohne Anführungszeichen) -> ok
    Scroll down und finde den Dienst:
    Network Security Service (NSS)

    Wenn du ihn findest, klicke ihn doppelt an. Im nächsten Fenster das sich öffnet, klicke auf den Stop-Button, klicke dann auf Eigenschaften und wähle bei "Startup" disabled (ausgestellt/ausgeschaltet). Klick auf "übernehmen", dann auf ok, schliesse alle Fensterchen. Wenn du diese Dienste nicht findest, überspringe diesen Punkt und mach weiter.

    5
    Boote deinen Rechner neu in den abgesicherten Modus.

    6
    Öffne den Taskmanager und beende folgende Prozesse:

    sdkkg32.exe
    ipss.exe
    sdkkg32.exe

    7
    Schliesse alle Programme einschliesslich Internet Explorer.
    Lass Hijackthis laufen, klick scan und setze ein Häkchen neben jeden dieser Einträge.
    Drücke dann auf den Fix Button:

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\papab.dll/sp.html#55135
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\papab.dll/sp.html#55135
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\papab.dll/sp.html#55135
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\papab.dll/sp.html#55135
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\papab.dll/sp.html#55135
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\papab.dll/sp.html#55135
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = hzzp://www.toshiba-europe.com/computers/magniasg20_promo/de/index.htm
    R3 - Default URLSearchHook is missing
    O2 - BHO: Class - {962342AD-7D9C-4ED9-06F6-290AD24C961B} - C:\WINDOWS\system32\mfceu32.dll
    O4 - HKLM\..\Run: [ipss.exe] C:\WINDOWS\ipss.exe
    O23 - Service: Network Security Service (NSS) ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\sdkkg32.exe

    Beende das Programm HijackThis.

    8
    Lösche folgende Files mit dem Windows Explorer:

    C:\WINDOWS\papab.dll
    C:\WINDOWS\system32\mfceu32.dll
    C:\WINDOWS\ipss.exe
    C:\WINDOWS\sdkkg32.exe

    9
    Schliesse alle Programme einschliesslich Internet Explorer.

    10
    Lass about:Buster laufen
    4. Klicke auf "Start".
    (Warte bis der initiale ADS Scan fertig ist.)
    5. Klicke "Yes", um zu erlauben, dass jede IE-Anwendung beendet wird.
    (Watre bis der about:blank Scan fertig ist.)
    6. Klicke auf "Ok", um den Scan nochmal laufen zu lassen.
    7. Klicke auf "Yes", um zu erlauben, dass jede IE-Anwendung beendet wird.
    8. Klicke auf "Yes", um die zweite Runde zu beginnen.
    9. Klicke auf "Save log" (speichere das Logfile).
    10. Klicke auf "Exit".
    11. Klicke auf "Exit".

    11
    START > ausführen (schreib): cleanmgr -> ok.
    Vergewissere dich, dass die Temporary Files, Temporary Internet Files, und der Papierkorb (Recycle Bin) geleert werden.
    Klicke ok.

    12
    Lass cwsserviceremove laufen
    Erlaube dass es deinen Rechner reinigt: "YES"

    13
    Lass CWShredder laufen
    Klicke auf den fix-Button und lass das Programm dein System scannen und reinigen.

    14
    Boote in den normalen Modus.

    15
    Lade runter und führe diesen (!) Online-Scan mit
    housecall.trendmicro aus.
    Vergewissere dich, dass du "AutoClean" wählst.

    16
    Lass CleanUp laufen

    "option" -> Wähle ‘custom’ -> Setze Häkchen bei:

    * Cookies
    * Prefetch
    * Temp
    * All users.

    Drücke den 'cleanup' Button

    17
    Lass HijackThis laufen
    Speichere das Logfile.

    18
    Vergib eine neue Startseite für den Internet Explorer.
    Konfiguriere den IE sicher. Stelle ihn so ein, wie hier empfohlen: Sicherheitseinstellungen!


    -> Poste das about:Buster Logfile.
    -> Poste das HJT Logfile.


    Quelle

  6. #6
    Einsteiger
    Registriert seit
    09.05.2005
    Beiträge
    9

    AW: Startseiten-Virus lässt sich nicht entfernen

    Hallo Ruby

    Danke für die Hilfe! Es hat soweit alles gaklappt, ausser, dass ich Schritt 15 nicht durchführen konnte, da kein passendes Verzeichnis gefunden wurde (habe nur IE und Firefox installiert und keinen Netscape). Aber die Startseite ist jetzt wieder unter meiner Kontrolle.

    Durch das Prozedere sind allerding Teile meines Virenscanners deaktiviert worden und sie lassen sich auch nicht mehr einschalten (keinerlei Reaktion beim Klicken). Es handelt sich um Norton Anti Virus und die Funktionen "Auto-Protect" und "E-Mail-Prüfung". Ob es hierfür noch eine Lösung gibt?

    Grüsse Marco

    Code:
    Scanned at: 20:41:26   on: 09.05.2005
    
    
    -- Scan 1 ---------------------------
    About:Buster Version 4.0
    Reference List : 26
    
    
    ADS not scanned System(FAT)
    Removed 4 Random Key Entries
    Removed! : C:\WINDOWS\bwxfd.dat
    Attempted Clean Of Temp folder.
    Removed Uninstall Key (HSA)
    Removed Uninstall Key (SE)
    Removed Uninstall Key (SW)
    Pages Reset... Done!
    
    -- Scan 2 ---------------------------
    About:Buster Version 4.0
    Reference List : 26
    
    
    ADS not scanned System(FAT)
    Attempted Clean Of Temp folder.
    Pages Reset... Done!


    Code:
    Logfile of HijackThis v1.99.1
    Scan saved at 20:59:30, on 09.05.2005
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    
    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
    C:\Programme\Sound Devices\USBPre\Services\jjtAutoLaunch.exe
    C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
    C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\TOSHIBA\TME3\Tmesbs32.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\System32\00THotkey.exe
    C:\WINDOWS\system32\TPWRTRAY.EXE
    C:\Programme\TOSHIBA\TME3\TMESBS32.EXE
    C:\WINDOWS\system32\TFNF5.exe
    C:\Programme\Synaptics\SynTP\SynTPLpr.exe
    C:\Programme\TOSHIBA\TouchED\TouchED.Exe
    C:\WINDOWS\system32\drivers\Digigram\Mixer\DigiWMix.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Dokumente und Einstellungen\**********************************\Desktop\hijackthis_199\HijackThis.exe
    
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
    O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
    O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE
    O4 - HKLM\..\Run: [TMESBS.EXE] C:\Programme\TOSHIBA\TME3\TMESBS32.EXE /Client
    O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
    O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
    O4 - HKLM\..\Run: [TouchED] C:\Programme\TOSHIBA\TouchED\TouchED.Exe
    O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [DIGIWMIX] C:\WINDOWS\system32\drivers\Digigram\Mixer\DigiWMix.exe /hide
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
    O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
    O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O15 - Trusted Zone: http://www.****************************.com
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1106347195100
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
    O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
    O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
    O23 - Service: jjtAutoLaunch - Sound Devices, LLC - C:\Programme\Sound Devices\USBPre\Services\jjtAutoLaunch.exe
    O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
    O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
    O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
    O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
    O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
    O23 - Service: Tmesbs32 (Tmesbs) - TOSHIBA Corporation - C:\Programme\TOSHIBA\TME3\Tmesbs32.exe

  7. #7
    Supermod a.D. Avatar von Ruby
    Registriert seit
    25.01.2005
    Ort
    The Netherlands
    Beiträge
    20.038

    AW: Startseiten-Virus lässt sich nicht entfernen

    Hallo Marco

    1
    Schau im C:\Windows\system32 Ordner nach ob die "Shell.dll" vorhanden ist.
    Wenn sie nicht da ist, suche sie im C:\Windows\system32\dllcache Ordner.
    Wenn du die "shell.dll" gefunden hast, klicke sie mit rechts-Klick an.
    Wähle "Kopieren". Öffne den C:\Windows\system32 Ordner,
    klicke mit der rechten Maustaste irgendwo auf einen leeren Fleck.
    Wähle einfügen oder "paste" und füge somit die "shell.dll" in den C:\Windows\system32 Ordner mittels kopieren.

    2
    Schau im C:\Windows\system32 Ordner nach ob die "control.exe" vorhanden ist.
    Wenn die "control.exe" nicht da ist, lade sie dir von hier winfiles runter.

    Lade die fehlenden Dateien/Dlls runter oder teile sie uns mit, damit wir dir sagen können, wo du sie finden kannst.

    3
    Vergib eine neue Startseite für den Internet Explorer.
    Konfiguriere den IE wie hier empfohlen: Sicherheitseinstellungen!
    Schalte ActiveX ab!

    4
    Den Online-Scan mit HouseCall von Trendmicro sollst du mit dem Internet Explorer machen!

    Berichte uns, ob nun alles wieder funktioniert.

  8. #8
    Einsteiger
    Registriert seit
    09.05.2005
    Beiträge
    9

    AW: Startseiten-Virus lässt sich nicht entfernen

    Hallo Ruby

    Beide Dateien sind im system32 Ordner. Ich musste also nichts kopieren. Die Optionen in Norton lassen sich aber dennoch nicht einschalten. Im Options-Manu kann ich zwar die erforderlichen Häckchen setzen, wenn ich den Dialog aber mit OK verlasse werden sie gleich wieder entfernt.

    trendmicro-Scan habe ich jetzt gemacht. Es wurde ein Virus "TROJ DLOADER" in 7 infizierten Dateien im Windows-Ordner und ein "JAVA BYTEVER" gefunden. Ich habe die infizierten Dateien mit Norton gelöscht.


    Zitat Zitat von Ruby
    Hallo Marco
    3
    Vergib eine neue Startseite für den Internet Explorer.
    Konfiguriere den IE wie hier empfohlen: Sicherheitseinstellungen!
    Schalte ActiveX ab!
    OK. Erledigt!

    Marco

  9. #9
    Supermod a.D. Avatar von Ruby
    Registriert seit
    25.01.2005
    Ort
    The Netherlands
    Beiträge
    20.038

    AW: Startseiten-Virus lässt sich nicht entfernen

    Hallo Marco,

    versuche rauszufinden, warum dein Norton nicht mehr funktioniert. Gib die Fehlermeldungen genau an mit den dazugehörigen eventuell fehlenden Dateien.

    Ein neues HJT-Logfile bitte.

  10. #10
    Einsteiger
    Registriert seit
    09.05.2005
    Beiträge
    9

    AW: Startseiten-Virus lässt sich nicht entfernen

    Hallo Ruby

    Es sieht so aus, als sei mein Norton (Internet Security und Anti Virus) vollständig ausgeschaltet.

    In die Optionen des Internet Security komme ich erst gar nicht rein: "Ihre Berechtigungen reichen nicht aus, um diesen Vorgang auszuführen".

    In den Optionen des Anti Virus Teils komme ich zwar rein und kann auch Änderungen vornehmen, diese werden aber zum Teil automatisch zurückgesetzt (ausgeschaltet), wenn ich die Optionen wieder verlasse.

    Das Norton-Symbol ist auch aus der Taskleiste verschwunden.

    Wenn ich den gesamten Datenverkehr blockieren will erscheint die Meldung: "Benutzer mit eingeschränkten Konten können Datenverkehr nicht blockieren oder zulassen" . Ich habe aber Windows-Administratiorrechte, es ist auch überhaupt nur ein Benutzer installiert.

    Dann habe ich noch folgendes festgestellt: Im Windows Sicherheitscenter wird mir angezeigt, dass die Firewall aktiviert ist. Als ich aber die Sicherheitseinstellungen verwalten wollte, war der Status auf "inaktiv" gesetzt. Auch wenn ich ein- und ausschalte, zeigt die Sicherheitscenter-Hauptseite immer einen aktiven Status an.

    Marco
    Code:
    Logfile of HijackThis v1.99.1
    Scan saved at 07:36:11, on 11.05.2005
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    
    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
    C:\Programme\Sound Devices\USBPre\Services\jjtAutoLaunch.exe
    C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
    C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\TOSHIBA\TME3\Tmesbs32.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\System32\00THotkey.exe
    C:\WINDOWS\system32\TPWRTRAY.EXE
    C:\Programme\TOSHIBA\TME3\TMESBS32.EXE
    C:\WINDOWS\system32\TFNF5.exe
    C:\Programme\Synaptics\SynTP\SynTPLpr.exe
    C:\Programme\TOSHIBA\TouchED\TouchED.Exe
    C:\WINDOWS\system32\drivers\Digigram\Mixer\DigiWMix.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Dokumente und Einstellungen\**************************\Desktop\hijackthis_199\HijackThis.exe
    
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 
    
    5.0\Acrobat\ActiveX\AcroIEHelper.ocx
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton 
    
    AntiVirus\NavShExt.dll
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton 
    
    AntiVirus\NavShExt.dll
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
    O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
    O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE
    O4 - HKLM\..\Run: [TMESBS.EXE] C:\Programme\TOSHIBA\TME3\TMESBS32.EXE /Client
    O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
    O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
    O4 - HKLM\..\Run: [TouchED] C:\Programme\TOSHIBA\TouchED\TouchED.Exe
    O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [DIGIWMIX] C:\WINDOWS\system32\drivers\Digigram\Mixer\DigiWMix.exe /hide
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
    O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
    O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - 
    
    C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O15 - Trusted Zone: http://www.*****************.com
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - 
    
    http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1106347195100
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - 
    
    http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec 
    
    Shared\ccEvtMgr.exe
    O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec 
    
    Shared\ccProxy.exe
    O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec 
    
    Shared\ccPwdSvc.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec 
    
    Shared\ccSetMgr.exe
    O23 - Service: jjtAutoLaunch - Sound Devices, LLC - C:\Programme\Sound Devices\USBPre\Services\jjtAutoLaunch.exe
    O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton 
    
    AntiVirus\navapsvc.exe
    O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
    O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec 
    
    Shared\SNDSrvc.exe
    O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog 
    
    Devices\SoundMAX\SMAgent.exe
    O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security 
    
    Center\SymWSC.exe
    O23 - Service: Tmesbs32 (Tmesbs) - TOSHIBA Corporation - C:\Programme\TOSHIBA\TME3\Tmesbs32.exe

Seite 1 von 2 12 LetzteLetzte

Aktive Benutzer

Aktive Benutzer

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)

Ähnliche Themen

  1. w32.jeefo
    Von ubbe3 im Forum Archiv
    Antworten: 45
    Letzter Beitrag: 15.04.2005, 20:36
  2. ich brauche schnell hilfe!!!
    Von aris12 im Forum Archiv
    Antworten: 13
    Letzter Beitrag: 06.04.2005, 18:24
  3. hotoffers? argh!
    Von howcatsjam im Forum Archiv
    Antworten: 10
    Letzter Beitrag: 22.03.2005, 14:49
  4. I would appreciate some help with my HJT Log File
    Von Unregistered im Forum Archiv
    Antworten: 5
    Letzter Beitrag: 04.03.2005, 18:36
  5. trusted IP range
    Von benny im Forum Archiv
    Antworten: 49
    Letzter Beitrag: 05.01.2005, 17:17

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •