Viren und Spione,Bitte helfen!

  • #21
Also - wenn ich das wär: ich würde nicht meine zeit verschwenden und mir graue Haare wachsen lassen - ich würde wichtige Daten sichern - zB auf CD/DVD und dann schnellstmöglich auf einem anderen PC mir eine XP-CD mit integriertem SP2 basteln und neu installieren.........
Vor Wiedereinspielen der gesicherten Dateien - diese nochmal gründlich mit ordentlichem Scanner auf Viren und Co prüfen!
 
  • #22
du mußt natürlich die dateien auch vom system löschen, der hjt fict die einträge nur in der registry. die winnet.dll steht mit sicherheit noch zusätzlich im ordner %SYSTEMROOT%\system32\dllcache drin, da mußt du sie zusätzlich löschen, bei about:blank mußt du die entsprechende about:blank.htm(l) datei finden und die auch löschen. cwshredder bereinigt auch nur einträge in der registry, sollte aber langen. für den dso-exploit von spybot gibts inzwischen ein update (version 1.3.1 TX), mit der version verschwindet der dso exploit für immer. und bei der vorzugsseite schau mal im ie, ob da eine vertrauenswürdige zone hinzugefügt wurde, die diesen eintrag enthällt. die dann natürlich entfernen. diese sachen sollten immer im abgesicherten modus als administrator gemacht werden. dann kannst du noch die wiederherstellungsfunktion mal abschalten. dadurch werden eventuelle bösewichte die sich in den wiederherstellungsdateien befinden auch endgültig gelöscht. nach dem neustart die wiederherstellung aktivieren ...

greetz

hugo
 
  • #23
Hast Du mal versucht die winnet.dll zu entfernen wie es im Link von Pestpatrol steht?

Start - Ausführen - Eingabe von Regsvr32 /u winnet.dll Bestätigen mit Enter.

Rechner neu starten

Löschen der folgenden Schlüssel in der Registry
Code: 
HKEY_CLASSES_ROOT\clsid\{85cbfde0-b26b-4ee5-bd3c-4de111de763e}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{85cbfde0-b26b-4ee5-bd3c-4de111de763e}

Löschen der Datei im Verzeichnis
Code: 
%systemroot%\system32\winnet.dll

Ausserdem mal ernsthaft über einen Browserwechsel nachdenken
 
  • #24
Logfile of HijackThis v1.98.2
Scan saved at 11:05:57, on 29.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
J:\AppzXP\mcafee\Avsynmgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SCARDS32.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\Fast.exe
C:\WINDOWS\System32\wuauclt.exe
J:\AppzXP\mcafee\VsStat.exe
C:\WINDOWS\System32\bgswitch.exe
C:\WINDOWS\System32\taskswitch.exe
C:\WINDOWS\System32\fast.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
C:\WINDOWS\System32\hphmon04.exe
J:\AppzXP\HP Photo and Imaging 1.0\HP Share-to-Web\hpgs2wnd.exe
J:\AppzXP\ProgrammeBrowserMouse1.1\MOUSE32A.EXE
J:\AppzXP\Programme\MultiMediaKeyboard1.1\KbdAp32A.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe
J:\AppzXP\SpySub.exe
J:\AppzXP\Programme\fritz\FriFax32.exe
J:\AppzXP\HP Photo and Imaging 1.0\HP Share-to-Web\hpgs2wnf.exe
J:\AppzXP\mcafee\Avconsol.exe
C:\WINDOWS\System32\wuauclt.exe
I:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/freenet/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - J:\AppzXP\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - J:\AppzXP\mcafee\VSCShellExtension.dll
O4 - HKLM\..\Run: [BackgroundSwitcher] C:\WINDOWS\System32\bgswitch.exe
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe
O4 - HKLM\..\Run: [FastUser] C:\WINDOWS\System32\fast.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [HPHmon04] C:\WINDOWS\System32\hphmon04.exe
O4 - HKLM\..\Run: [HPHUPD04] C:\Programme\HP Photosmart 11\hphinstall\UniPatch\hphupd04.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] J:\AppzXP\HP Photo and Imaging 1.0\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LWBMOUSE] J:\AppzXP\ProgrammeBrowserMouse1.1\MOUSE32A.EXE
O4 - HKLM\..\Run: [LWBKEYBOARD] J:\AppzXP\Programme\MultiMediaKeyboard1.1\KbdAp32A.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] C:\Programme\Messenger\msmsgs.exe /background
O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe /STARTMONITOR
O4 - Startup: FRITZ!fax.lnk = J:\AppzXP\Programme\fritz\FriFax32.exe
O4 - Global Startup: Microsoft Office.lnk = J:\AppzXP\Programme\Office\Office10\OSA.EXE
O4 - Global Startup: SpySubtract.lnk = J:\AppzXP\SpySub.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://J:\AppzXP\PROGRA~1\Office\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O15 - Trusted Zone: http://*.63.219.181.7
O17 - HKLM\System\CCS\Services\Tcpip\..\{021200C2-5C1A-40E2-A438-FEEB50F5925F}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{021200C2-5C1A-40E2-A438-FEEB50F5925F}: NameServer = 192.168.120.252,192.168.120.253

Hier mein neuestes HJT LogFile.

An hp:

Habe winnet.dll in Windows/system32 gelöscht.
Was ist %SYSTEMROOT?

Spybot 1.3.1 TX scheint nicht mehr verfügbar zu sein.

Im IE kann ich nichts auffälliges finden wegen der
Trusted Zone,wie gesagt,sie steht in den vertrauenswürdigen Sites und geht dort nicht raus.Im abgesicherten Modus taucht diese beim HJT
allerdings nicht auf.Ist das normal?

about:blank.html habe ich gefunden und gelöscht.
Momentan funktioniert`s auch wieder,was aber noch
nichts heißen soll.

Jetzt bleibt die Frage,wer ist für das selbständige
Öffnen der DFÜ-Verbindung nach jedem Neustart
verantwortlich?

An blabla:

Wie oben gelesen,scheint winnet.dll entfernt zu sein.

Die Schlüssel sind in der Registry nicht zu finden.
 
  • #25
Was ist %SYSTEMROOT?
Zum Vergrößern anklicken....

Das ist die Variable für das oberste Systemverzeichnis, in deinem Falle c:\Windows.

Ansonsten sieht dein Logfile m.E. sauber aus.
 
Thema:

Viren und Spione,Bitte helfen!

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums

Themen
113.838
Beiträge
707.961
Mitglieder
51.491
Neuestes Mitglied
haraldmuc
Oben