Trojaner

hab heut meinen pc neu aufgesetzt und schon wieder irgendwie so ein xxprg raufbekommen! setzt automatisch eine neue startseite (h**p://www.westernconnbaptassoc.net/kgjdslakio/dkgiogda3kgd.html) und macht andauernd irgendwelche werbefenster auf!

hab versucht ihn mit ad aware runterzubekommen - hat aber fehrgelschlagen!
hat jemand einen tip???

mfg
Biandl

erstmal thx @redbull

hab versucht die eine datei von der ich glaube zu deinstallieren - war aber nachm reboot wieder da!
im msconfig hab ich das prg leider nicht gefunden - hättest da vielleicht noch ne tip plz??

mfg
biandl

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.westernconnbaptassoc.net/kgjdslakio/dkgiogda3kgd.html
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [System] C:\Dokumente und Einstellungen\Biandl\Lokale Einstellungen\Anwendungsdaten\System\svchost.exe /run
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra->Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra->Tools' menuitem: Messenger (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\..\{C609142F-44A5-4A7F-9240-E0FC9D01C4D7}: NameServer = 193.81.207.231,193.81.207.232

http://www.wintotal.de/softw/?id=1935

ich hatte das auch mal hab nur den CoolWebShredder
Version: 1.53.2 drüberlaufen lassen restart und weg war das.
weiter kann ich dir leider auch ned helfen :-\

Ändere einfach mal die Start page. in der Registry und jag dan nochmal die 2 Prog aus dem Thread den redbull geschrieben hatte über dein sys.

biandl schrieb:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
http://ww w.westernconnbaptassoc.net/kgjdslakio/dkgiogda3kgd.html

O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe

Zum Vergrößern anklicken....

fixen (Häkchen davorsetzen und Button Fix checked)

Browser nicht öffen und danach HijackThis nochmals ausführen und nachsehen, ob diese Einträge verschwunden sind.

pan_fee

danke für die antworten - dürft ihn jez runterbekommen haben - leider auch so ziemlich alles andere was im autostart war - den nav 2004 zb - kann bei diesem auch einstellen, dass er den autostart macht - wird einfach nicht übernommen...
:-[

Nach pan_fees Hinweis aber nicht. Mit welchem Programm hast du was genau angestellt?

mit dem coolwebshreder + hijack - haben mir den autostart vom msn und vom nav gelöscht - die hab ich neu installiert und bin nun glücklich!

thx a lot
biandl
:-*

biandl schrieb:

O4 - HKLM\..\Run: [System] C:\Dokumente und Einstellungen\Biandl\Lokale Einstellungen\Anwendungsdaten\System\svchost.exe /run

Zum Vergrößern anklicken....

*ups*
Die svchost.exe hat da bestimmt nichts zu suchen. :
auch fixen

pan_fee

die bin ich schon losgeworden - aber was is mit der?:?

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/

Deine Startseite, oder ist sie das nicht?

doch - dachte nur weil da ein main dabeisteht..