# IE Startseite



## Anonymous (28 Mai 2004)

Auch ich habe das Problem. Die Seite heisst "great......biz"

Die Tipps auf Dialerschutz habe ich schon probiert, selbst die Registry, erfolglos.
ICh wollte dann IE deinstallieren, doch unter den Systemeinstellungen bei Software find ich nix!? Geht das garnicht?

Und mein AntiVir lässt sich auch nicht mehr starten, wobei ich nicht weiß, ob das damit in Zusammenhang steht. Ich habe SpyBot und adaware die neusten Versionen runtergeladen und laufen lassen.
Bei Spybot kommt immer wieder :

DSO Exploit 

Bin ein echter Rookie in dieser Hinsicht. Sorry.

 Zwei Fragen noch zur Registry: 
-mir ist aufgefallen, dass bei "Standard" überall nix drinsteht :""
Ist das normal?
-unter dem Pfad "Arbeitsplat\HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" bzw. "..Internet Settings\P3P\History"
sind alle nur erdenklichen Internetseiten gespeichert. Kann ich diese gefahrlos löschen?? Vielleicht hilft das??


_URL editiert , siehe NUB tf/mod_


----------



## Counselor (28 Mai 2004)

MamboNumber5 schrieb:
			
		

> ICh wollte dann IE deinstallieren, doch unter den Systemeinstellungen bei Software find ich nix!?


Der IE6 kann nicht deinstalliert werden. Es geht allenfalls ein Rollback auf die Vorgängerversion, wenn das System ursprünglich mit der Vorgängerversion aufgesetzt wurde. Allerdings sollte im Softwareapplet eine Reparaturmöglichkeit vorhanden sein.


> -mir ist aufgefallen, dass bei "Standard" überall nix drinsteht :""
> Ist das normal?


Meistens ja.


> HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"


Dort gehört nur

```
(Standard)    REG_SZ
```
 rein.


> .Internet Settings\P3P\History"


Dieser Schlüssel wird zum Betrieb des IE6 nicht gebraucht und kann gelöscht werden. Falls du diesen Schlüssel meinst 
	
	



```
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\History
```
 dann lass ihn stehen. Es sind deine Cookie-Einstellungen.


----------



## Anonymous (28 Mai 2004)

*erste Hinweise..*

Danke schonmal für die Tipps!
Nur für meine Startseite bin ich jetzt immernoch nicht schlauer...

Ich habe mal nach einem Reparaturprogramm geschaut, aber da is leider keines.
Aber es gibt die Systemwiederherstellung!!
Ist das ein Mittel um den Mist loszuwerden?
Das ist doch im Prinzip wie eine Fotographie des PC zu einem bestimmten Zeitpunkt- wenn da Dialer (der jetzt weg ist) und Hijacker noch nicht drauf waren, müsste das doch gehen?! Aber alles andere was ich in der Zeit gespeichert hab ist dann halt auch weg, richtig?


----------



## Counselor (28 Mai 2004)

*Re: erste Hinweise..*



			
				MamboNumber5 schrieb:
			
		

> Danke schonmal für die Tipps!
> Nur für meine Startseite bin ich jetzt immernoch nicht schlauer...


Start -> Ausführen -> GPEDIT.MSC eingeben und OK drücken
Im Gruppenrichtlinientool:
In der linken Ansicht - Richtlinien für lokaler Computer -> Benutzerkonfiguration -> Windows-Einstellungen -> Internet Explorer Wartung -> URLs wählen
In der rechten Ansicht auf 'Wichtige URLs' doppelklicken -> URL für die Startseite anhaken und den gewünschten URL eingeben. Alles mit OK bestätigen.


> Ich habe mal nach einem Reparaturprogramm geschaut, aber da is leider keines.


Zu C:\Programme\Internet Explorer browsen und dort die 'IE6SETUP.EXE' ausführen.


> Aber es gibt die Systemwiederherstellung!! Ist das ein Mittel um den Mist loszuwerden? Das ist doch im Prinzip wie eine Fotographie des PC zu einem bestimmten Zeitpunkt- wenn da Dialer (der jetzt weg ist) und Hijacker noch nicht drauf waren, müsste das doch gehen?! Aber alles andere was ich in der Zeit gespeichert hab ist dann halt auch weg, richtig?


Lade die aktuellen Patterns von deinem Virenscanner von der Homepage des Herstellers herunter, boote im abgesicherten Modus und lass einen 'Full Scan' deines Virenscanners laufen. Vor einer Systemwiederherstellung solltest du halt wichtige Dokumente sichern (zB auf CD oder USB Stick).


----------



## virenscanner (28 Mai 2004)

Ausserdem wäre es eventuell hilfreich, wenn Du mal ein HiJackThis-LOG posten würdest.


----------



## Anonymous (29 Mai 2004)

*HiJackThis-Log*

Logfile of HijackThis v1.97.7
Scan saved at 12:31:11, on 29.05.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:\WINDOWS.000\SYSTEM\KERNEL32.DLL
C:\WINDOWS.000\SYSTEM\MSGSRV32.EXE
C:\WINDOWS.000\SYSTEM\mmtask.tsk
C:\WINDOWS.000\SYSTEM\MPREXE.EXE
C:\WINDOWS.000\SYSTEM\MSTASK.EXE
C:\WINDOWS.000\EXPLORER.EXE
C:\WINDOWS.000\TASKMON.EXE
C:\WINDOWS.000\SYSTEM\SYSTRAY.EXE
D:\EIGENE DATEIEN\DOWNLOADS\PRIVAT\AVGCTRL.EXE
D:\EIGENE DATEIEN\DOWNLOADS\PRIVAT\AVSCHED32.EXE
C:\WINDOWS.000\SYSTEM\BRMFRSMG.EXE
C:\WINDOWS.000\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\WINZIP\WZQKPICK.EXE
C:\WINDOWS.000\SYSTEM\RESTORE\STMGR.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE
C:\PROGRAMME\SCANSOFT\PAPERPORT\CONFIG\EREG\REMIND32.EXE
C:\PROGRAMME\SCANSOFT\PAPERPORT\POPUP\SMARTUI.EXE
C:\WINDOWS.000\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\SCANSOFT\PAPERPORT\PPLINKS.EXE
C:\WINDOWS.000\SYSTEM\WBEM\WINMGMT.EXE
C:\PROGRAMME\GMX PROGRAMME\GMX INTERNET MANAGER\GMX_INTERNET_MANAGER.EXE
C:\WINDOWS.000\SYSTEM\RNAAPP.EXE
C:\WINDOWS.000\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\WINDOWS.000\DESKTOP\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://great....biz/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://great....biz/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://great....biz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://great....biz/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.t-online.de/software/ie50/setpxy.pac
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.btx.dtag.de:80;ftp=ftp-proxy.btx.dtag.de:80
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://great....biz/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://great....biz/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\PROGRAMME\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS.000\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS.000\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS.000\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS.000\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [zzzCamInSuiteIII] E:\SETUP.EXE 24***
O4 - HKLM\..\Run: [xBrotherMeCom] C:\BRME\BrMeCom.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\BRMFLPRO\SetDefPrt.exe
O4 - HKLM\..\Run: [AVGCtrl] D:\EIGENE DATEIEN\DOWNLOADS\PRIVAT\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [AVSCHED32] D:\EIGENE DATEIEN\DOWNLOADS\PRIVAT\AVSCHED32.EXE /min
O4 - HKLM\..\Run: [Corel Graphics Suite 1117] C:\PROGRAMME\COREL\COREL GRAPHICS 11\REGISTER\REGISTRATION.EXE /title="Corel Graphics Suite 11" /date=053004 serial=DR11CEG-0378157-KAL
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS.000\System\Restore\StateMgr.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O4 - Startup: Erinnerungen für Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
O4 - Startup: reminder-ScanSoft Produkt Registrierung.lnk = C:\Programme\ScanSoft\PaperPort\Config\Ereg\REMIND32.EXE
O4 - Startup: Brother SmartUI PopUp.lnk = C:\Programme\ScanSoft\PaperPort\PopUp\SmartUI.exe
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: MSN Messenger Service (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?38116.1816898148
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://C:\MAIN.MHT!http://petite-virgins.biz/dl/adv74/x.chm::/load.exe


Also hier mal die HiJack This Daten.

Ich habe versucht GPEDIT.MSC auszuführen, aber er findet die Datei nicht.
Die anderen zwei Tipps mit IE6 Setup und Virenscan probier ich jetzt mal..

Danke!

*[Virenscanner: einige URLs "unkenntlich" gemacht]*


----------



## Counselor (29 Mai 2004)

*Re: HiJackThis-Log*



			
				MamboNumber5 schrieb:
			
		

> Logfile of HijackThis v1.97.7
> Scan saved at 12:31:11, on 29.05.2004
> Platform: Windows ME (Win9x 4.90.3000)
> MSIE: Internet Explorer v5.50 (5.50.4134.0100)


Bei Windows ME gibt es natürlich keine Gruppenrichtlinien und beim IE5.5 auch keine ie6setup.exe. Ich bin eigentlich davon ausgegangen, dass du Windows XP hast. Den IE solltest du schleunigst auf Version 6 updaten:
http://www.microsoft.com/downloads/...FamilyID=1e1550cb-5e5d-48f5-b02b-20b602228de6
Danach unbedingt prüfen, ob es sicherheitsrelevante Updates für dein System gibt:
http://v4.windowsupdate.microsoft.com/de/default.asp


----------



## virenscanner (29 Mai 2004)

Diese fixen:


> R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://great....biz/
> R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://great....biz/
> R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://great....biz/
> R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://great....biz/
> ...




Was ist das denn?


> O4 - HKLM\..\Run: [zzzCamInSuiteIII] E:\SETUP.EXE 24***


----------



## Anonymous (29 Mai 2004)

*peinlich...*

..sorry, ich dachte immer ich hätte IE6. Bin halt ein waschechter Rookie...
javascript:emoticon('0')

Ich habe jetzt im abgesicherten Modus mit AntiVir gescannt.
Dabei kam folgende Meldung:

C:\_RESTORE\ARCHIVE
  FS108.CAB
  ArchiveType: CAB (Microsoft)
    --> A0008156.CPY
        [FUND!] Ist das Trojanische Pferd TR/Dldr.Lamdez.01
    --> A0008162.CPY
        [FUND!] Ist das Trojanische Pferd TR/Dldr.Harnig.F.2
    --> A0008176.CPY
        [FUND!] Ist das Trojanische Pferd TR/SPY.Banker.AG.2
  FS118.CAB
  ArchiveType: CAB (Microsoft)
    --> A0008367.CPY
        [FUND!] Ist das Trojanische Pferd TR/Small.Dld.FO
    --> A0008391.CPY
        [FUND!] Enthält Signatur eines kostenverursachenden Einwahlprogrammes DIAL/400474 (Dialer)


Zudem hieß es, dass diese nicht gelöscht werden können.
Wie krieg ich die manuell weg? Den ganzen Ordner (z.B. FS118.CAB)
löschen? solange es nicht schadet?!


----------



## Anonymous (29 Mai 2004)

*@virenscanner*

"Das" sollte mein Bildbearbeitungsprogramm sein, das bei der Digi dabei war.
Nix besonderes.

Fixen heisst löschen? javascript:emoticon(':roll:')
javascript:emoticon(':roll:')


----------



## virenscanner (29 Mai 2004)

Fixen heisst: Mit HiJackThis scannen, die angegebenen Funde markieren und dann unten "Fix checked" anwählen.


----------



## Anonymous (29 Mai 2004)

*Fixen*

Hab es gecheckt, gemacht,
aber es kommt immer wieder, zumindest die ersten sechs mit der tollen website!


----------



## virenscanner (29 Mai 2004)

Hattest Du dieses "Fixen" im abgesicherten Modus durchgeführt?


----------



## MamboNumber5 (29 Mai 2004)

*neues Log*

Hier nochmal ein neues Log:

Logfile of HijackThis v1.97.7
Scan saved at 15:33:44, on 29.05.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS.000\SYSTEM\KERNEL32.DLL
C:\WINDOWS.000\SYSTEM\MSGSRV32.EXE
C:\WINDOWS.000\SYSTEM\SPOOL32.EXE
C:\WINDOWS.000\SYSTEM\MPREXE.EXE
C:\WINDOWS.000\EXPLORER.EXE
C:\WINDOWS.000\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS.000\SYSTEM\DDHELP.EXE
C:\WINDOWS.000\DESKTOP\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://.....biz/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://.....biz/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://.....biz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://.....biz/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.t-online.de/software/ie50/setpxy.pac
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.btx.dtag.de:80;ftp=ftp-proxy.btx.dtag.de:80
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://.....biz/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://......biz/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\PROGRAMME\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS.000\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS.000\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS.000\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS.000\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [zzzCamInSuiteIII] E:\SETUP.EXE 24***
O4 - HKLM\..\Run: [xBrotherMeCom] C:\BRME\BrMeCom.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\BRMFLPRO\SetDefPrt.exe
O4 - HKLM\..\Run: [AVGCtrl] D:\EIGENE DATEIEN\DOWNLOADS\PRIVAT\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [AVSCHED32] D:\EIGENE DATEIEN\DOWNLOADS\PRIVAT\AVSCHED32.EXE /min
O4 - HKLM\..\Run: [Corel Graphics Suite 1117] C:\PROGRAMME\COREL\COREL GRAPHICS 11\REGISTER\REGISTRATION.EXE /title="Corel Graphics Suite 11" /date=053004 serial=DR11CEG-0378157-KAL
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS.000\System\Restore\StateMgr.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O4 - Startup: Erinnerungen für Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
O4 - Startup: reminder-ScanSoft Produkt Registrierung.lnk = C:\Programme\ScanSoft\PaperPort\Config\Ereg\REMIND32.EXE
O4 - Startup: Brother SmartUI PopUp.lnk = C:\Programme\ScanSoft\PaperPort\PopUp\SmartUI.exe
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: MSN Messenger Service (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?38116.1816898148


----------



## virenscanner (29 Mai 2004)

Versuche mal folgendes:
Abgesicherter Modus: Mit HTJ scannen und fixen, booten
Wieder abgesicherten Modus wählen, erneut mit HTJ scannen. 
Sind die search.... - Einträge dann auch wieder da?


----------



## Anonymous (29 Mai 2004)

Entschuldigung, wenn ich mich hier einklinke. Gibt es bei Windows ME eine Wiederherstellungsfunktion - deaktiviere die mal.

Denke mal über einen Browser-Wechsel nach!


----------



## Counselor (29 Mai 2004)

*Re: peinlich...*



			
				MamboNumber5 schrieb:
			
		

> Zudem hieß es, dass diese nicht gelöscht werden können.Wie krieg ich die manuell weg? Den ganzen Ordner (z.B. FS118.CAB)
> löschen? solange es nicht schadet?!


Schalte die Systemwiederherstellung ab und starte den Rechner neu. Das sollte die infizierten Dateien löschen. Wenn du die Dateien dort läßt, dann macht das zwar im Moment nichts; beim nächsten Restore spielst du die Trojaner aber wieder auf dein System zurück.


----------



## MamboNumber5 (29 Mai 2004)

*Fixen im abgesicherten Modus...*

...wenn ich dann wieder boote, und in den abgesicherten Modus gehe, nochmal scanne, erscheinen die Seiten nicht mehr im Protokoll. Sobald ich dann aber wieder im normalen Modus bin, sind sie wieder da


----------



## Anonymous (29 Mai 2004)

Systemwiederherstellung deaktiviert?


----------



## MamboNumber5 (29 Mai 2004)

*Systemwiederherstellung deaktiviert*

Jetzt ja!

Jetzt versuch ich das ganze nochmal mit hoch- runter und hin und herfahren  Vielleicht ists dann weg!

Darf ich dann die systemwiederherst. garnicht mehr aktivieren???
Oder muss ich da was bestimmtes vorher löschen??


----------



## Counselor (29 Mai 2004)

*Re: Systemwiederherstellung deaktiviert*



			
				MamboNumber5 schrieb:
			
		

> Darf ich dann die systemwiederherst. garnicht mehr aktivieren???Oder muss ich da was bestimmtes vorher löschen??


Hinterher kannst du sie wieder aktivieren ohne was zu löschen.


----------



## MamboNumber5 (29 Mai 2004)

*es hilft alles nix*

die ..search.. ist enorm hartnäckig. Die Syst.wh. ist daktiviert, ich hab es nochmal mit HiJack im abgesicherten Modus probiert, aber wie schon geschrieben- im normalmodus ist alles wieder beim alten.

Ich sehe als letztes Mittel die Systemwiederherstellung von vor einer Woche. Mist.
Das kostet langsam Nerven...


----------



## Counselor (29 Mai 2004)

*Re: es hilft alles nix*



			
				MamboNumber5 schrieb:
			
		

> Ich sehe als letztes Mittel die Systemwiederherstellung von vor einer Woche.


Wenn das geht, dann hattest du die Systemwiederherstellung nicht abgeschalten. Außerdem spielst du dir dann die Trojaner aufs System zurück.


----------



## MamboNumber5 (29 Mai 2004)

Es ist deaktiviert, zumindest wenn die Anleitung von"Hilfe und Support" richtig ist!
Ich muss es dazu erst wieder aktivieren.
Ich kann doch ein Datum wählen, das vor der Infizierung liegt!??
Vor einer Woche war alles noch bestens.
Oder hab ich da das System der Syst. wiederherst. falsch verstanden?


----------



## Anonymous (29 Mai 2004)

MamboNumber5 schrieb:
			
		

> Oder hab ich da das System der Syst. wiederherst. falsch verstanden?



Ich habe keine Ahnung von dieser komischen Systemwiederherstellung.

Vielleicht hilft Dir dieser Link weiter:

http://www.bsi.bund.de/av/texte/wiederher_me.htm


----------



## Counselor (29 Mai 2004)

MamboNumber5 schrieb:
			
		

> Oder hab ich da das System der Syst. wiederherst. falsch verstanden?


Durch das Deaktivieren der Systemwiederherstellung und einen nachfolgenden Reboot werden die Wiederherstellungpunkte gelöscht:
http://support.microsoft.com/default.aspx?scid=kb;EN-US;Q263455


----------



## Anonymous (4 Juni 2004)

*greatsearch*

Hallo,

entschuldigt, dass ich mich hier einklinke!
Leider habe ich mir dern gleichen Mist eingefangen. Ich habe auch schon alles probiert.  Bei mir kommt folgendes Problem hinzu. Im Taskmanager laufen sofort nach dem starten ca. 30 Prozesse gleichzeitig. Die machen den Rechner extrem langsam. 

Ich habe auch schon im abgesicherten Modus Spybot drüberlaufen lassen.
Zumindest konnte ich die Computerauslastung von 100 % auf durchschnittlich 20 % drücken.

In der Registry läß sich überhaupt nichts verändern.

Ich bin schon kurz davor den Rechner komplett platt zu machen.
Ich sehe keine andere Möglichkeit mehr.

Was kann noch getan werden?

Ich habe auf www.dialerschutz.de gelesen, dass man im DosModus änderungen vornehmen kann. Ist das vielleicht eine Möglichkeit?
Ich kenne mich leider zu wenig aus. Mir geht es da, wie MamboNumber5!

Hilfe!


----------



## virenscanner (4 Juni 2004)

Hallo "olaf",

bitte mache mal einen Scan Deines Systems mit HiJackThis und poste dann Dein Logfile als * Attachment.*


----------



## Counselor (4 Juni 2004)

*Re: greatsearch*



			
				olaf schrieb:
			
		

> Zumindest konnte ich die Computerauslastung von 100 % auf durchschnittlich 20 % drücken. In der Registry läß sich überhaupt nichts verändern.


Welche Prozesse verursachen denn die Prozessorlast? Erhältst du eine Fehlermeldung, wenn du in der Registry was veränderst? Welche Fehlermeldung?


----------



## Anonymous (13 Juni 2004)

*greatsearch*

Es ist so, daß keine Anwendung aktiv ist, jedoch diese 30 Prozesse laufen und der Computer zu 100 % ausgelastet ist. 
Mittlerweile läuft Spybot nicht mehr 100 %-ig.
Ich habe auch mit Hijack gescannt, auch im abgesichert Modus, aber es tritt keinerlei Änderung ein. 
Ich bin nun soweit, daß ich das Laufwerk neu bespielen muß.
Bei Spybot kommt bei mir als Fehler auch immer dieses DSO...
Der Wiederherstellungsmodus war ebenfalls deaktiviert.


----------



## Anonymous (24 Juni 2004)

Ich bin das Teil nun endlich los geworden. Geholfen hat mir dabei folgende Software: SP.html-Hijack Fixer zum löschen der Spyware. Dann natürlich der Hijackthis um erst einmal zu sehen, wo das System denn überhaupt betroffen ist. und zu guter letzt der CWShredder 1.58.0 der, ganz wichtig einmal vor dem Hijack Fixer und einmal danach laufen muss. um alle Reste der Spyware zu entfernen. 

Wer jetzt noch immer Angst vor dem entgültigen Neustart hat, kann natürlich auch Ad-Aware und Spybot 1.3 in seine Systemreinigung mit einbeziehen und nebenbei ist es sicher nicht das schlechteste mal mit dem Reg-Cleaner 4.3 die Registry putzen. 

RegCleaner ist auch sehr gut dazu geeignet das System zu überwachen. Denn das Teil zeigt jede Software an, die auf dem Rechner installiert ist. Wird auf dem Rechner, also im Hintergrund, etwas neu installiert, ohne daß ich es weiss, zeigt der Reg-Cleaner diese Software mit dem Hinweis "neu" an. Mit einem Klick kann ich feststellen, worum es sich dabei handelt und nicht erwünschte Software sofort wieder entfernen. 

PS: Immer darauf achten das alle Tools durch update auf dem neuesten Stand sind.


----------

