Dieser Hijacker besteht aus mindestens 2 Exe-Dateien und 1 Dll: Beispiel unten...
Entfernung:
1. Taskmanger öffnen (Ctrl+Alt+Del)->Oben auf den Spaltenkopf: name klicken um nach Prozessname zu sortieren.
Durchscrollen und nach den im LOG rot markierten Dateien suchen->rechtsklick auf die Dateien->process beenden und dateien löschen.
Die Dateien hier im Log sind nur Beispiele.
Man kann sie aber daran erkennen das meistens die Beschreibung gleich dem Dateinamen ist und das die Dateien im system32-Ordner liegen
Beispiel:
O4 - HKLM\..\RunOnce: (sysqw.exe) C:\WINDOWS\system32\sysqw.exe
Falls solche Dateien nicht zu finden sind oder es nicht klar ist welche Dateien gemeint sind, vorher ein Log posten und nachfragen, und/oder bei 2. weitermachen...
2. Start->ausführen->Eingabe: Services.msc (+Return/OK)
3. Nach 'Network Security Service' suchen->rechtsklick->beenden
Nochmal rechtsklick darauf->Eigenschaften:
Dort Startart auf disabled stellen und bei Pfad zur Exe schauen, und diese Datei im Windows-explorer suchen und löschen
Sicherstellen das alle Dateien angezeigt werden: Windows-explorer->Extras->Ordneroptionen->Ansicht
- Geschützte systemdateien ausblenden-> Häkchen weg
- Dateinamenerweiterungen bei bekannten Dateitypeb ausblenden -> Häkchen weg
- Versteckten Dateien und Ordner->alle dateien und Ordner auswählen
4. Hijackthis starten und dazugehörige Einträge fixen: Rx, O2 BHO-Dll, O4 Exe-Einträge der beendeten processe
5. In den abgesicherten-Modus booten: Neustart->beim booten F8 drücken->im Bootmenü abges-Modus wählen
6. Hijackthis starten und nach neuen Einträgen suchen und wenn vorhanden fixen + dazugehörige Dateien löschen.
7. Neustarten normal
8. Text-Editor(Notepad/Wordpad etc.) öffnen und folgendes reinkopieren:
REGEDIT4
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY___NS_SERVICE_3]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\__NS_Service_3]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY___NS_SERVICE_3]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\__NS_Service_3]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HSA]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SE]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SW]
Datei->speichern unter...:
Dateityp: von Textdateien(*.txt) auf 'Alle Dateien' ändern
Dateiname: fix.reg
(nicht fix.reg.txt, passiert wenn nicht auf Alle Datein geändert wird!!!)
Datei starten(doppelklick auf fix.reg)->Abfrage ob die Informationen eingetragen werden sollen mit JA/OK beantworten
9. Upgedatete Spywaretools drüberlaufen lassen (Spybot/Adaware/CwsShredder) um Registrierungseinträge zu bereinigen
10. Virenscanner Updaten und im abgesicherten-Modus den Rechner scannen.
11. Windows-Update ausführen und/oder Browser wechseln.
Sollte sich Einstellungen/Systemsteuerung danach nicht mehr öffnen lassen, Control.exe von der CD wiederherstellen oder hier downloaden
Wer Spybot installiert hat sollte dort auch noch Sdhelper.dll downloaden und ins Spybot-Programmverzeichnis kopieren/ersetzen und neu registrieren:
Start->ausführen->Eingabe: regsvr32 "x:\Pfad_zur_Datei\sdhelper.dll"
x:\ = Platzhalter für Installationslaufwerk/Partition der eigenen Win-Installation meistens isses C:\
Beispiel:
regsvr32 "C:\Programme\Spybot - Search & Destroy\sdhelper.dll"
############## Beispiel ################
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\sysqw.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\apiqd32.exe
D:\Download\Virus\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mphtd.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://mphtd.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://mphtd.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mphtd.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://mphtd.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\mphtd.dll/sp.html#96676
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx (disabled by BHODemon)
O2 - BHO: (no name) - {12FA8EE3-A02B-CF1E-DA5F-AEB55869AB79} - C:\WINDOWS\javapc.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [apiqd32.exe] C:\WINDOWS\system32\apiqd32.exe
O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE C:\WINDOWS\System32\sti_ci.dll,WiaCreateWizardMenu
O4 - HKLM\..\RunOnce: [sysqw.exe] C:\WINDOWS\system32\sysqw.exe
O4 - HKLM\..\RunOnce: [ienm32.exe] C:\WINDOWS\ienm32.exe
O4 - HKLM\..\RunOnce: [netdv32.exe] C:\WINDOWS\system32\netdv32.exe
O4 - HKLM\..\RunOnce: [addjx.exe] C:\WINDOWS\system32\addjx.exe
O4 - HKLM\..\RunOnce: [ntrf.exe] C:\WINDOWS\system32\ntrf.exe
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Real.com (HKLM)
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37850.2790162037
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Gruß
Nighty Gast |
