"search for..." als startseite - wie entfernen?

Thema ist geschlossen!
Thema ist geschlossen!
07.05.2004, 08:47
...neu hier

Beiträge: 1
#106 Hallo Leute,

Ich habe hier leider ein hartnäckiges Problem. Habe auch alle 3 Programme nacheinander ausgeführt (Nicht im abgesicherten Modus). Habe alles gefixt, es erscheint aber trotzdem eine Suchseite beim starten des IE. Hier mal das Log :

Logfile of HijackThis v1.97.7
Scan saved at 08:27:13, on 07.05.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Norman\Nvc\BIN\Zanda.exe
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\Programme\SalesLogix\SLXOleDBProvider.exe
C:\HPCOMPAN\hpjbtrck.exe
C:\Programme\SalesLogix\SlxDBServer.exe
C:\WINDOWS\Explorer.EXE
C:\NORMAN\Nvc\BIN\NJEEVES.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp4.exe
C:\NORMAN\Nvc\BIN\ZLH.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
R:\prog\ze\ze.exe
C:\NORMAN\Nvc\BIN\NYMSE.EXE
C:\NORMAN\Nvc\BIN\cclaw.exe
R:\ktelnet\dat.60\kstart32.exe
R:\CTIOLEdition\ctiol20000\ctiol.exe
C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
C:\Sage\KHK\OL\310\Shared\OLStart.exe
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE10\MSACCESS.EXE
C:\Programme\Gemeinsame Dateien\Sage KHK Shared\KHKSManC.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Dokumente und Einstellungen\Eigene Dateien\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\abdldaa.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\abdldaa.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\abdldaa.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\abdldaa.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\abdldaa.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\abdldaa.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.1.51:8080
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5DAFD089-24B1-4c5e-BD42-8CA72550717B} - C:\Programme\SurfAssistant.com\saiemod.dll (file missing)
O2 - BHO: (no name) - {A74FFF6A-02FC-4FD4-9608-B83FF90F3341} - C:\WINDOWS\System32\jlpi.dll (file missing)
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\downloaded program files\googletoolbar2.dll
O2 - BHO: (no name) - {E9A47249-63DC-4F61-863B-090C020531E1} - C:\WINDOWS\System32\cajnmda.dll (file missing)
O2 - BHO: (no name) - {F111055B-C357-4AE0-9B83-70F4910B9FD9} - C:\WINDOWS\System32\abdldaa.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\downloaded program files\googletoolbar2.dll
O4 - HKLM\..\Run: [FinePrint Dispatcher v4] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp4.exe
O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Startup: CTIOL.lnk = CTIOLEdition\CTIOLStarter.exe
O4 - Startup: Verknüpfung mit ze.exe.lnk = prog\ze\ze.exe
O4 - Global Startup: klickTel - Schnellstarter - 32-Bit.lnk = ktelnet\kstart32.exe
O8 - Extra context menu item: &Google Search - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Über CTI OFFICE LINE EDITION &wählen - file://C:\Dokumente und Einstellungen\cszokolai\Anwendungsdaten\ctiol\ctiolWebDial.html
O9 - Extra button: Mobilen Favoriten erstellen (HKLM)
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MTSInstallers/MetaStream3.cab?url=http://www.viewpoint.com/cgi-bin/vet_install_popup.pl?1&04.00.04.03&http://193.175.6.203/pva/ui/pva/application/bpModules/interior_3D.jsp?RT=1063167550468
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://cashsearch.biz/legal/x.chm::/load.exe
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {1786454A-B4A0-11D2-97C7-000000000000} (Microsoft Outlook 2000 Permissions Control) - http://activex.microsoft.com/activex/controls/office/olTFACL.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20030523/qtinstall.info.apple.com/drakken/de/win/QuickTimeInstaller.exe
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20030625/qtinstall.info.apple.com/abarth/de/win/QuickTimeInstaller.exe
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/big/1.1.62-big/GoogleNav.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37798.8854166667
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Dieser Beitrag wurde am 07.05.2004 um 09:06 Uhr von Polarbaer editiert.
Seitenanfang Seitenende
07.05.2004, 11:15
Member

Beiträge: 1095
#107 Hi Polarbaer und willkommen an Bord ;)

Führe mal dies aus
http://www.trojaner-info.de/anleitungen/hijackthis/yellow_page.html
Wenn du bei Schritt 4 nichts findest, wars das nicht ;)

Dann probier das hier aus
http://www.trojaner-board.de/forum/ultimatebb.cgi?ubb=get_topic;f=6;t=005301;p=
Post von Lutz(DerBilk)Am 05. Mai 2004 09:11

Wenn das auch nicht hilft
Such mal hier, was deinem Problem am nächsten kommt
http://www.spywareinfo.com/~merijn/cwschronicles.html


Poste danach auf jedenfall nochmakl dein HiJackThis Lofile
Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Dieser Beitrag wurde am 07.05.2004 um 11:27 Uhr von paff editiert.
Seitenanfang Seitenende
07.05.2004, 15:31
...neu hier

Beiträge: 3
#108 Ich reihe mich ungerne in die Liste derer ein, die das "Search for.." - Problem haben....aber mir bleibt wohl nichts anderes übrig ;)
Ich habe folgendes Problem:
Als Startseite im IE wird wie bei den anderen die about:blank - Seite angezeit; ändern kann man das nur kurzeitig! (Search for...) Über CWS-shredder läßt sich kurzzeitig der SearchX entfernen, taucht dann aber wieder auf. Mit Spyboot konnte ich kleinere Datein ausmergeln, brachte aber auch nicht wirklich den Erfolg. Auch mit Hijackthis konnte ich nur kurzzeitig die Regs löschen, tauchen dann aber wieder auf. Zu guter letzt brachte auch ClearProg nicht wirklich was.... bin am verzweifeln ;)
Zumindest habe ich heruasgefunden, daß meine Datei mrhop.dll mit Trojan.Win32.StartPage.gv (über http://virusscan.jotti.dhs.org/) infiziert ist! Nur kann ich mrhop.dll nicht löschen.... Was kann ich tun??? (Wofür ist diese mrhop.dll eigentlich wichtig? Über google habe ich nix darüber gefunden!)

helft mir bitte :_(

ein verzweifelter brodyy
Seitenanfang Seitenende
07.05.2004, 15:57
Member

Beiträge: 1095
#109 Die mrhop.dll ist vollkommen unnötig. Sie ist der HiJacker.

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
07.05.2004, 16:03
...neu hier

Beiträge: 3
#110 Das ist schon mal beruhigend ;) Nur wie kann ich diese Datei löschen? Beim Löschversuch erscheint die Fehlermeldung, daß sie verwendet wird.....


Gruß

Brodyy
Seitenanfang Seitenende
07.05.2004, 16:32
Member

Beiträge: 1095
#111 Schau mal 3 Posts nachoben

so um 11:15

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
07.05.2004, 17:04
...neu hier

Beiträge: 3
#112 Ich hab es geschafft! Wieso, weshalb, warum....weiß ich nicht wirklich....hauptsache dieser blöde Trojaner ist weg! Euer Form ist klasse....vor allem, weil man sieht, daß man nicht alleine mit einem Problem dasteht....weil viele andere das gleiche Problem haben .... thnx ;)
Seitenanfang Seitenende
07.05.2004, 17:54
Member

Beiträge: 1095
#113 Hi Brodyy

mach mal einen Neustart und poste das HiJAckThis Logfile.
Dann sieht man ob er wirklich weg ist

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
07.05.2004, 19:10
Member

Beiträge: 17
#114 Moin,

Wollte keinen neuen Thread aufmachen:

Ich hab grade mit Adaware mein Sys gescannt und der erkennt meine Startpage (leere Seite) als "Possible Browser Hijack attempt". Ist doch ein witz, oder...

Ad-aware 6 Scanning Result, 07.05.2004 19:12:28
------------------------------------------------
Vendor Type Category Comment Object
Possible Browser Hijack attempt RegData Data Miner Possible browser hijack attempt HKEY_CURRENT_USER:Software\Microsoft\Internet Explorer\Main"Start Page" ("about:blank")
Seitenanfang Seitenende
07.05.2004, 19:50
Member

Beiträge: 1095
#115 Hi DSX

Leider gab es einen HiJAcker der genau das in die Registry schreibt.
Ich glaube da haben die Jungs von ADAware erst geschossen und dann gedacht.
Kannst ja trotzdem mal das HiJAckThis Logfile posten. Vielelicht ist dcoh was im Busch

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
07.05.2004, 21:59
Member

Beiträge: 17
#116 Hi paff

Jo Danke dir für das Angebot ;)

Ich hoffe nicht, dass da was im Busch ist. Ich kann zwar nix auffälliges in meiner Log finden, aber ich bin da auch nicht der Experte für...

Hier meine (Hoffentlich cleane) Log...

Logfile of HijackThis v1.97.7
Scan saved at 21:56:57, on 07.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
F:\Logitech\MouseWare\system\em_exec.exe
F:\NetMeter\NetMeter.exe
F:\Kerio\Personal Firewall 4\kpf4ss.exe
F:\Kerio\Personal Firewall 4\kpf4gui.exe
F:\Kerio\Personal Firewall 4\kpf4gui.exe
F:\Trillian\trillian.exe
C:\WINDOWS\System32\svchost.exe
F:\Proxomitron4.51-S-1.66\Proxomitron.exe
F:\opera75BETA\opera.exe
D:\@Freewareunsort\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:4001
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\Spybot - Search & Destroy\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [KAVPersonal50] f:\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [F:\NetMeter\NetMeter.exe] F:\NetMeter\NetMeter.exe
O8 - Extra context menu item: Download All with BitBeamer - res://F:\BitBeamer\ieplugin.dll/getlinks
O8 - Extra context menu item: Download with BitBeamer - res://F:\BitBeamer\ieplugin.dll/download
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\MICROS~1\Office10\EXCEL.EXE/3000
O15 - Trusted Zone: *.graffiti.net
O15 - Trusted Zone: http://*.graffiti.net
O15 - Trusted Zone: http://security.symantec.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{12C0B8EA-9224-4BF2-8FDC-BD83B47E185E}: NameServer = 192.168.123.254
O17 - HKLM\System\CS1\Services\Tcpip\..\{12C0B8EA-9224-4BF2-8FDC-BD83B47E185E}: NameServer = 192.168.123.254
O17 - HKLM\System\CS2\Services\Tcpip\..\{12C0B8EA-9224-4BF2-8FDC-BD83B47E185E}: NameServer = 192.168.123.254






~~~~~

Danke nochmal ;)

Gruss
DSX
Seitenanfang Seitenende
08.05.2004, 02:14
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#117 -Deinstalliere den Bitbeamer

AdAware updated today (including version).
A BHO component of Bitbeamer, a commercial downloading program which has abilities to look for better downloading places and can be integrated into IE seems to be identified falsely as the BullaBHO.
The web page of Bitbeamer: http://www.bitbeamer.com/en/information.html
AdAware's log:
===== start ========
BullaBHO Object recognized!
Type : RegKey
Data :
Category : Data Miner
Comment : ({3BAAD568-FE53-4B50-A12E-646061517FB6})
Rootkey : HKEY_CLASSES_ROOT
Object : Ieplugin.BitBeamerCtrl
----------------------------------------------------------------------

Fixe mit dem HijackThis.


O8 - Extra context menu item: Download All with BitBeamer - res://F:\BitBeamer\ieplugin.dll/getlinks
O8 - Extra context menu item: Download with BitBeamer - res://F:\BitBeamer\ieplugin.dll/download
O15 - Trusted Zone: *.graffiti.net
O15 - Trusted Zone: http://*.graffiti.net


neustarten

lade den CWShredder und scanne (fixe)
CWShredder direct download: http://209.133.47.200/~merijn/files/CWShredder.exe
http://www.spywareinfo.com/~merijn/downloads.html

Saeubere den Browser mit ClearProg und WebWasher
http://www.clearprog.de/
http://www.zdnet.de/downloads/programs/a/f/de000PAF_is-wc.html

Lade, aktualisiere AdAware (freeversion)
http://www.lavasoft.de/

Lade als Zweitbrowser den Firefox...ist viel sicherer als der IE beim Surfen
http://firebird.stw.uni-duisburg.de/windows.php

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 08.05.2004 um 02:21 Uhr von Sabina editiert.
Seitenanfang Seitenende
08.05.2004, 07:55
Member

Beiträge: 17
#118 Moin Sabina,

BitBeamer hat SpyWare mit drinne? Hätte ich das blos gewusst ;)

Die TrustedZone ist schon richtig. Ich hab nen Account bei graffiti.net, und da werden JavaScript etc. gebraucht, damit die Seite richtig funktioniert. Und JavaScript ist bei mir nur in der Trusted Zone Aktiviert ;)


CWShredder => Alle "not infected"
AdAware => Ist immer aktuell ;)
Zweitbrowser => Opera

Danke dir nochmal ;)

Gruss
DSX
Seitenanfang Seitenende
08.05.2004, 23:04
...neu hier

Beiträge: 9
#119 Hallo ihr da draußen, die das selbe Problem haben was ich auch hatte,

folgende Tabelle zeigt alle Prozesse an die im normal Fall nach dem hochfahren des PC's im Hintergrund laufen sollten:

Image Name PID Services
==========================================================
System Process 0 N/A
System 8 N/A
Smss.exe 132 N/A
Csrss.exe 160 N/A
Winlogon.exe 180 N/A
Services.exe 208 AppMgmt,Browser,Dhcp,Dmserver,Dnscache,
Eventlog,LanmanServer,LanmanWorkstation,
LmHosts,Messenger,PlugPlay,ProtectedStorage,
Seclogon,TrkWks,W32Time,Wmi
Lsass.exe 220 Netlogon,PolicyAgent,SamSs
Svchost.exe 404 RpcSs
Spoolsv.exe 452 Spooler
Cisvc.exe 544 Cisvc
Svchost.exe 556 EventSystem,Netman,NtmsSvc,RasMan,
SENS,TapiSrv
Regsvc.exe 580 RemoteRegistry
Mstask.exe 596 Schedule
Snmp.exe 660 SNMP
Winmgmt.exe 728 WinMgmt
Explorer.exe 812 N/A

Das die svchost.exe mehrmals läuft ist nichts ungewöhnliches.
Ein gutes Tool bei dem man sehen kann was grad im Hintergrund abläuft und welche Dateien voneinander abhängen ist der Prozeßexplorer von Sysinternals. Geniales Tool. Mit dem PE-Explorer kann man soger einen Blick ins innere mancher DLL's oder EXE Dateien werfen. Desweiteren sollte man darauf achten wenn die sogenannte "rundll32.exe" aufgerufen wird. Manche Programme rufen eine "rundlI32.exe" auf. Der Unterschied fällt auf den ersten Blick gar nicht auf. Der Unterschied ist das "große "I".

Sollte sich eine "winmgmt.exe" auf eurem System befinden, kann es sich um den Keylogger "serv-U" handeln, Passwortschnüffler.
Ich hatte das Problem mit der search for... Seite auch. Bin es Gott sei Dank losgeworden. Dank diesem Forum... Der Hijacker hat sich gut versteckt und war schwer zu finden...
Dieser Beitrag wurde am 08.05.2004 um 23:09 Uhr von jupp mcclane editiert.
Seitenanfang Seitenende
09.05.2004, 18:48
...neu hier

Beiträge: 1
#120 hallo liebes forum,

ich hab seit gestern auch dieses search for problem bin fast am verzweifeln wäre um hilfe sehr dankbar...

ich hab folgende sachen schon gemacht

- adaware
- spybot
- und norton anti virus

duchlaufen lassen, spybot hat nix gefunden adaware schon hab diese dateien auch erfolgreich gelöscht beim ersten start vom ie scheint das problem auch behoben zu sein aber beim 2. start ist die search for schei.e wieder da ;(

ich bin leider nicht so pc fit deshalb bitte um einfache erklärung was ich machen muss oder ob es nicht schon ein removal tool von einem virenscanner hersteller gibt!

hier noch der hijack log

Logfile of HijackThis v1.97.7
Scan saved at 18:44:48, on 09.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\gearsec.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\Mixer.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\Programme\mIRC\mirc.exe
C:\Dokumente und Einstellungen\Mucki\Desktop\identd2.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Norton AntiVirus\OPScan.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Mucki\LOKALE~1\Temp\Rar$EX00.437\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Adobe Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [C-Media Speaker Configuration] G:\Sound\C-Media\CMI8738\Setup.exe /SPEAKER
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [Microsoft Update] wumgrd.exe
O4 - HKLM\..\Run: [AdobeVersionCue] C:\Programme\Adobe\Adobe Version Cue\ControlPanel\VersionCueTray.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wumgrd.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Adobe Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{640A1AD5-26BC-49D6-8723-50D8DD502F61}: NameServer = 217.237.151.97 194.25.2.129
O17 - HKLM\System\CCS\Services\Tcpip\..\{D8C56648-6A7A-4153-9E49-4ADBF2016C16}: NameServer = 192.168.0.1,192.168.0.2
O17 - HKLM\System\CS1\Services\Tcpip\..\{640A1AD5-26BC-49D6-8723-50D8DD502F61}: NameServer = 217.237.151.97 194.25.2.129

vielen dank

gruß

muckerl
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: