Trojaner Befall

Hallo,
na gut dann wollen wir mal schauen was da noch zu machen ist. Also beende mal folgende Prozesse im Taskmanager:
C:\WINDOWS\System32\shnlog.exe
C:\WINDOWS\System32\intmon.exe
(Kannst auch vorher die Dateien noch prüfen und das Ergebnis ins "Konkurenzforum" posten)
Dann solltest du noch die Systemwiederherstellung deaktivieren, und zwar mit rechtsklick auf Arbeitsplatz, Eigenschaften, Karteikarte Systemwiederherstellung und dort ein Haken bei Systemwiederherstellung deaktivierren.
Dann suchst du folgende Dateien und löschst sie falls vorhanden:
C:\WINDOWS\System32\shnlog.exe
C:\WINDOWS\System32\intmon.exe
C:\PROGRA~1\rpvqwxrv\aEADHshN.exe
C:\WINDOWS\System32\hhk.dll
C:\WINDOWS\System32\hp(beliebige Zeichenfolge).TMP

Dann gehst du in den abgesicherten Modus (F8 beim booten)
und fixt(Haken vor die jeweiligen Einträge) mit Hijackthis folgende Einträge:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.quicknavigate.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.quicknavigate.com/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.quicknavigate.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.quicknavigate.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.quicknavigate.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.quicknavigate.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.quicknavigate.com/
O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF} - C:\WINDOWS\System32\hp4BE7.tmp (Das ist im übrigen die Datei die du oben löschen solltest)
O4 - HKLM\..\Run: [eYVGS5Uw] C:\PROGRA~1\rpvqwxrv\aEADHshN.exe
O8 - Extra context menu item: &MSN Search - res://C:\Programme\MSN Toolbar Suite\TB\02.00.0001.1203\en-us\msntb.dll/search.htm

Danach erstellst du ein weiteres Logfile und schickst wieder den Link von der Auswertung hier her.


Grüße Jasager

 

C:\WINDOWS\System32\shnlog.exe
C:\WINDOWS\System32\intmon.exe

kann ich nicht beenden der öffnet sich wieder automatisch!

mfg

 

Hallo,
was öffnet sich wieder automatisch? Versuche es dann auch mal im abgesicherten Modus.



Grüße Jasager

 

Such mal in der registry nach:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\[FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF]

HKCR\CLSID\VMHomepage\

HKCR\CLSID\[FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF]

HKCR\Interface\[1E1B2878-88FF-11D2-8D96-D7ACAC95951F]

HKCR\TypeLib\[1E1B286C-88FF-11D2-8D96-D7ACAC95951F]

HKLM\Software\Microsoft\Windows\CurrentVersion\policies\explorer\run
paint.exe
shnlog.exe
Und lösche diese Einträge (Achtung vorher eine sicherung der Registry erstellen)

 

Hallo zusamen!
Mal ne Frage Break, hast Du es mal mit dem Spybot versucht?
Wenn nicht ---> http://www.spybot.info/de/index.html
da gratis downloaden. Bei der installation, die Nachfrage ob der Teatimer installiert werden soll, auf jeden Fall ein Häkchen! (insgesamt sind es vier Häkchen) Der Teatimer verhindert das sich diese "Browser-Helper" reinstallieren. Nach der Installation starten updaten und überprüfen!

 

*Gähn*
Ace würde jetzt sagen: ich tippe auf mindestens 40 Popel.

 

ich weiss, is 4 wochen her, aber wer bitte hat seine urlaubsvideos oder andere wichtige dateien auf einer partition mit windows ??

schlimm genug, wenn überhaupt auf ein und derselben platte!