Virus problem

[Fastrider]

TMK wie soll ich es löschen wenn ich es nicht sehe

[TMK]

Diesen Eintrag in der Registry mein ich, nicht die Datei selbst! --> "C:\Program Files\webHancer\Programs\whSurvey.exe"

[Fastrider]

UNd wie soll ich das in der registry löschen?

[TMK]

Geht das mit "HijackThis" nicht?

[tyco]

UNd wie soll ich das in der registry löschen?

Eigentlich müsste es längst weg sein, wenn Du alle Einträge in HijackThis wie gepostet gelöscht hast.

Lass doch nochmal HijackThis scannen und poste den neuen Logfile.

[Fastrider]

Diese XXX Seite ist noch immer in der Registry.

Logfile of HijackThis v1.98.2
Scan saved at 15:50:47, on 27.09.2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Messenger\msmsgs.exe
C:\PROGRA~1\POP-UP~1\PSFree.exe
C:\Programme\Bluetooth Software\BTTray.exe
C:\Programme\Bluetooth Software\BTStackServer.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Sygate\SPF\Smc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
E:\Schutz\HijackThis19802.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.ruserv.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.ruserv.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://yahoo.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.ruserv.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.ruserv.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tetki.ru/index5.shtml
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Cls - {CF021F40-3E14-23A5-CBA2-717177657972} - C:\WINDOWS\System32\qwe7972.dll
O3 - Toolbar: (no name) - {00000000-0008-5041-4354-0020e48020af} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\Smc.exe -startgui
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [webHancer Survey Companion] "C:\Program Files\webHancer\Programs\whSurvey.exe"
O4 - HKLM\..\RunServices: [Microsoft Update] msconfg.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\POP-UP~1\PSFree.exe"
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O10 - Broken Internet access because of LSP provider 'c:\windows\system32\wshbth.dll' missing
O13 - WWW Prefix: http://sexyque.com/cgi-bin/r.cgi?
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BD23F2AF-DA6F-4088-B819-476A9AABE880}: NameServer = 217.237.150.97 217.237.149.161

[skyline]

Bei Hijack This gibt es doch eine Option fixen oder so
wo die Einträge gelöscht werden können
der von mir gennate Eintrag steht unt
04 (die Autostarteinträge ) weiteres unter:
http://www.trojaner-info.de/anleitungen/hijackthis/htlogtutorial.html

die einträge:
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [New.net Startup] rundll3
und der
013
sehen auch verdächtig aus. (gibt sicher noch mehr)

hast du schon Stinger drüber laufen lassen.

dann bleibt noch die Möglichkeit zu formatieren und das System neu aufsetzen.
mit den aktuellen Patches usw. 

[gandal]

Den Dumprep würde ich nicht fixen.

Denn kann man ändern über den Arbeitsplatz -> Eigenschaften -> Reiter "Erweitert" -> Button Einstellungen im Bereich "Starten und Wiederherstellen"
Bei "Debuginformationen speichern"  kein oder none eingeben.
Kann den Wert nicht anschauen, weil ich nicht als Administartor angemeldet bin

[Fastrider]

Ich hab grad bemerkt, dass die seite nicht mehr kommt. WAr**heinlich kamm es daher, dass ich nach jedem neustart diese page mit hijackthis gefixt habe. Die seite kommt nicht mehr auch nicht im hijackthis.
Und ja ich hab stinger drauflaufen gelassen, hat aber nix gefunden.
Danke an alle

[TMK]

Scheint ja schon einiges in der Logfile aufgelistet zu sein, was nicht unbedingt reingehört bzw. gelöscht werden sollte. Also falls Du dir nicht sicher bist, dass auch wirklich alles weg ist, poste die aktuelle "HijackThis"-Logfile lieber nochmals.

Gruß
TMK

[Fastrider]

Das Problem ist doch nicht behoben worden. Egal dann muss ich halt formatieren. hier nochmal die logfile.
Logfile of HijackThis v1.98.2
Scan saved at 17:04:15, on 30.09.2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Messenger\msmsgs.exe
C:\PROGRA~1\POP-UP~1\PSFree.exe
C:\Programme\Bluetooth Software\BTTray.exe
C:\Programme\Bluetooth Software\BTStackServer.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Sygate\SPF\Smc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Internet Explorer\iexplore.exe
E:\Schutz\HijackThis19802.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.ruserv.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.ruserv.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tetki.ru/index5.shtml
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.ruserv.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.ruserv.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tetki.ru/index5.shtml
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Cls - {CF021F40-3E14-23A5-CBA2-717177657972} - C:\WINDOWS\System32\qwe7972.dll
O3 - Toolbar: (no name) - {00000000-0008-5041-4354-0020e48020af} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\Smc.exe -startgui
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\RunServices: [Microsoft Update] msconfg.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\POP-UP~1\PSFree.exe"
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O10 - Broken Internet access because of LSP provider 'c:\windows\system32\wshbth.dll' missing
O13 - WWW Prefix: http://turboinet.com/r.cgi?
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab
O16 - DPF: {72D78A82-8953-67B4-4792-9C034B139753} - ms-its:mhtml:file://c:\nosuch.mht!http://www.foxik.com/chm/files.chm::/file.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{BD23F2AF-DA6F-4088-B819-476A9AABE880}: NameServer = 217.237.150.97 217.237.149.161

[tyco]

Bei Dir tummelt sich ja auch noch einiges, was unbedingt gefixt werden muss:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
http://search.ruserv.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
http://search.ruserv.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
http://www.tetki.ru/index5.shtml

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar =
http://search.ruserv.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
http://search.ruserv.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
http://www.tetki.ru/index5.shtml

O2 - BHO: Cls - {CF021F40-3E14-23A5-CBA2-717177657972} -
C:\WINDOWS\System32\qwe7972.dll

O4 - HKLM\..\RunServices: [Microsoft Update] msconfg.exe

O13 - WWW Prefix: http://turboinet.com/r.cgi?

O16 - DPF: {72D78A82-8953-67B4-4792-9C034B139753} -
ms-its:mhtml:file://c:\nosuch.mht!http://www.foxik.com/chm/files.chm::/file
.exe

Ausserdem solltest Du Deinen Internet Explorer updaten. Die Version ist veraltet!

[Fastrider]

Ich hab jetzt diese ganzen Sachen gefixt und den Internet explorer geuodatet. Mal gucken ob diese Seite noch erscheint. Ich sags euch noch bescheid.

[Fastrider]

Ich hab das system formatiert, aber nicht wegen dem problem. Das Problem war auch nicht nochmal wiedergekommen.

[Calvinorica]

mein computer schemist mich raus nach  zwei minuten und baelt sich wieder ein was kann ich machen

[Schwermetaller]

Könntest du das Problem etwas präzisieren? Infos zu Betriebssystem, Anti-Viren Software, Firewall, verwendete Internet-Verbindung (Modem, ISDN, DSL; Anbieter) etc. wären nicht schlecht. 

[gandal]

Schätze mal, daß Du einen Dialer drauf hast. Gab da glaube ich doch irgend eine Regelung, daß die Verbindung nach 2 Minuten wieder getrennt werden muß, kann ich aber nicht 100%ig sagen.
Spybot oder AdAware wären die Programme, mit denen Du das prüfen kannst. Und dann fehlt ein Programm zum Schutz vor Dialern. 0190-Warner, ... Der beste Weg ist aber, die Nummern direkt beim Telefonanbieter sperren zu lassen.
Eventuell siehst Du es aber auch schon in den Eigenschaften Deiner DFÜ-Verbinung an der Nummer.
Wenn das Teil auf Deiner Telefonrechnung auftaucht, mußt Du recherchieren, in wie weit Du bezahlen mußt.
Meist hat man gute Chancen, nicht zu zahlen. Der Rest der Telefonrechnung ist aber trotzdem sofort fällig. Unter www.Reg-tp.de (http://www.Reg-tp.de) findest Du weitere Informationen.
Den Inhalt Deiner Festplatte solltest Du dann aber zum Beweis sichern.
Wenn der Dialer nicht bei Reg-tp registriert ist, einfach nicht bezahlen und die Sache ist erledigt.

Das war jetzt einfach mal geraten, weil in Deiner Frage ja zu viele Info's fehlen.

Es gibt auch Dialer, die sich zur Umgehung von Schutzprogrammen oder Sperren über Nummern wie 0192, 0193, 0137, 01805, Auslands- oder Satellitennummern einwählen.