Home » Spyware & Browser Hijacker Support Forum » easy-search.biz als Startseite » Themenansicht

easy-search.biz als Startseite
#0
16.05.2004, 11:36
Xyphelmuetz
Member

Beiträge: 11
#1 Hallo..
Ich hab schon tausend mal den CWShredder, Ad-Aware und Spybot durchlaufen lassen aber immer wieder stellt sich die Startseite auf http://easy-search.biz . Außerdem werden immer wieder 4 Links bei den Favoriten zugefügt.

Hier mein HIjackThis.log:

Logfile of HijackThis v1.97.7
Scan saved at 11:37:33, on 16.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\sstray.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
D:\PC-cillin\pccguide.exe
D:\PC-cillin\PCCClient.exe
D:\PC-cillin\Pop3trap.exe
D:\A4TECH~1\Ikeymain.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\dokume~1\xyphel~1\anwend~1\taskman.exe
C:\windows\cvchost.exe
C:\WINDOWS\runwin32.exe
C:\WINDOWS\wininet32.exe
C:\WINDOWS\System32\svchost.exe
D:\PC-cillin\Tmntsrv.exe
C:\Programme\Silicon Image\SiISATARaid\SATARaid.exe
D:\PC-cillin\PCCPFW.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://easy-search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [pccguide.exe] "D:\PC-cillin\pccguide.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "D:\PC-cillin\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "D:\PC-cillin\Pop3trap.exe"
O4 - HKLM\..\Run: [iKeyWorks] d:\A4TECH~1\\Ikeymain.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [System Update2] c:\dokume~1\xyphel~1\anwend~1\taskman.exe
O4 - HKCU\..\Run: [cvchost] c:\windows\cvchost.exe
O4 - HKCU\..\Run: [runwin32] C:\WINDOWS\runwin32.exe
O4 - HKCU\..\Run: [wininet32] C:\WINDOWS\wininet32.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Alles mit FlashGet laden - D:\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - D:\FlashGet\jc_link.htm
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/0361006d72abbbba6301/netzip/RdxIE601_de.cab
O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemplates/ActiveSecurity.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://arcade.icq.com/multiplayer/odyssey_web8.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37977.4139583333
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Seitenanfang Seitenende
16.05.2004, 15:24
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Deaktiviere die Wiederherstellung (kannst du nach der Reinigung wieder aktivieren)
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

Fixe mit dem HijackThis:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://easy-search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://easy-search.biz

O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [System Update2] c:\dokume~1\xyphel~1\anwend~1\taskman.exe
O4 - HKCU\..\Run: [cvchost] c:\windows\cvchost.exe
O4 - HKCU\..\Run: [runwin32] C:\WINDOWS\runwin32.exe
O4 - HKCU\..\Run: [wininet32] C:\WINDOWS\wininet32.exe


NEUSTARTEN
--------------------------------------------------------------------------

Onlinescann
http://housecall.trendmicro.com/
Cwshredder (ganz unten)
http://www.rokop-security.de/main/article.php?sid=746&mode=thread&order=0
AdAware (free)
http://lavasoft.element5.com/german/support/download/
ClearProg
saeubere den IE und stelle unter InternetOptionen die Startseite neu ein
http://www.clearprog.de/

-----------------------------------------------------------------------

lade die mwav.exe
scanne alle Dateien und loesche manuell, , was das Tool noch anzeigt
http://www.soft411.com/company/MicroWorld-Technologies-Inc/MicroWorld-Anti-Virus-Toolkit.htm


dein PC-cillin scheint nicht so das Wahre zu sein...dein Comp. ist voellig verseucht...
Vielleicht denkst du mal ueber einen Wechsel vom AntivirenProgramm nach.

dann poste das Log noch mal.
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 16.05.2004 um 15:31 Uhr von Sabina editiert.
Seitenanfang Seitenende
16.05.2004, 15:38
PhilippBayer
Member

Beiträge: 61
#3 Hallo Sabina,

ich habe das gleiche Problem, seit einer Woche etwa, bekomme ich auch nach exacter Entfernung plötzlich wieder diese "SearchX" Seite als Start.
Addaware und Co finden auch immer irgend eine DLL (zb. CKG.DLL), die dann entfernt auch wird. Diese DLL trägt jedesmal einen anderen Namen!

Ich fixe das dann mit Hijack und dannach ist er weg, vielleicht ein Tag.. manchmal nur Stunden. Alles wie Du es oben beschrieben hast, habe ich gemacht und bin auch mit den XP-Updates auf dem neusten Stand.
Vor einigen Monaten, konnte mir Raman bei diesem Problem erfolgreich helfen.

Hier mein Scan, nachdem ich alles bereinigt habe.. vielleicht siehst Du ja noch ein Problem.... denn das Problem kommt sicher wieder!

Gruß Philipp

Logfile of HijackThis v1.97.7
Scan saved at 15:32:21, on 16.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\Programme\Spamihilator\spamihilator.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\hijackthis\HijackThis.exe

O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKCU\..\Run: [Spamihilator] C:\Programme\Spamihilator\spamihilator.exe
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
Dieser Beitrag wurde am 16.05.2004 um 15:40 Uhr von PhilippBayer editiert.
Seitenanfang Seitenende
16.05.2004, 18:10
Dafra
Member
Avatar Dafra

Beiträge: 1122
#4 Da ist alles clean.
MFG
DAFRA
Seitenanfang Seitenende
16.05.2004, 18:23
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#5 Hi Phillip

Stelle mal unter InternetOptionen eine Startseite ein.
Und dann poste das Log, damit wie wissen, wer der <Uebeltaeter<ist.

Scanne auch mal mit dem neusten HijackThis
http://www.rokop-security.de/main/article.php?sid=746&mode=thread&order=0
Und lade den Firefox...da soll es keine Probleme mit Hijackern geben
http://www.firebird-browser.de/



mFg
Sabina
;)
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 16.05.2004 um 18:24 Uhr von Sabina editiert.
Seitenanfang Seitenende
16.05.2004, 21:44
PhilippBayer
Member

Beiträge: 61
#6 Startseite eingestellt und SpHjfix ausgeführt, dann HijackLog erstellt.
Gruß Philipp

Logfile of HijackThis v1.97.7
Scan saved at 21:40:16, on 16.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Mixer.exe
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\Programme\Enigma Software Group\SpyHunter\MemScanner.exe
C:\Programme\Spamihilator\spamihilator.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\WINDOWS\System32\msiexec.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [SpyHunter] C:\Programme\Enigma Software Group\SpyHunter\SpyHunter.exe
O4 - HKLM\..\Run: [MemScanner] C:\Programme\Enigma Software Group\SpyHunter\MemScanner.exe
O4 - HKCU\..\Run: [Spamihilator] C:\Programme\Spamihilator\spamihilator.exe
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
Seitenanfang Seitenende
16.05.2004, 23:11
jeremy
...neu hier

Beiträge: 1
#7 Hi alle !
meine Probleme sind die Euren . Der Weg mit Hijacker , Shredder und
Spybot ist schon richtig . Spybot funktioniert bei mir nur mit der Version 1.3
vernünftig .Und alles dann im abgesicherten Modus !
Nach Behandlung mit diesen Programmen muss man dann noch händisch
seine Einstiegsseite neu eingeben . Achtung : Im Spybot die Änderungen
freigeben ,sonst tut sich nichts , nach der Änderung sofort wieder sperren !

In der Registry habe ich dann noch die Dateien unter HKEY USERS\S-1-5-21-
....-1003\Software\Microsoft\Internet Explorer\Main\,HOMEOldSP ,alles mit about:blank , dann die einträge mit searchPage mit den vielen Ziffern und %-
Zeichen gelöscht ,dazu noch die Einträge mit start Page ,search Page , search
Bar und local Page , dazu noch blank htm .

Dann noch mal Spybot und beide Hyjackentferner sowie einmal den
regcleaner und dann war das Zeug weg .
Klingt kompliziert , ist es aber nicht , funktioniert aber nur im abgesicherten !
Wichtig : Die Startseite vor dem verlassen nochmals kontrollieren !

Vielleicht hilfts euch ????
Seitenanfang Seitenende
17.05.2004, 02:05
PhilippBayer
Member

Beiträge: 61
#8 Hallo Sabina,
schau mal was SphjFix noch gefunden hat...
Danke für die Hilfe... arbeite jetzt mit firefox - hoffe mein System ist jetzt sauber... Gute Nacht!

Gruß Philipp

16.05.2004 21:33:35 SPhjFix startedv1.06
16.05.2004 21:33:35 Stealth-String found
16.05.2004 21:33:35 Restart
16.05.2004 21:35:36 2nd Step
16.05.2004 21:35:36 Error while deleting Hijack-DLL
16.05.2004 21:35:36 BHO: {F0E36B11-77A2-4EC4-8743-FD4050DEE6C1} C:\WINDOWS\System32\phli.dll
16.05.2004 21:35:36 BHO-deleted
16.05.2004 21:35:36 BHO-CLSID-Key deleted
16.05.2004 21:35:36 BHO-DLL: C:\WINDOWS\System32\phli.dll (deleted)
16.05.2004 21:35:36 Bad IE-pages found:
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Bar: res://C:\WINDOWS\System32\phli.dll/sp.html
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Page: res://C:\WINDOWS\System32\phli.dll/sp.html
deleted: HKCU\Software\Microsoft\Internet Explorer\Search, SearchAssistant: res://C:\WINDOWS\System32\phli.dll/sp.html
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Bar: res://C:\WINDOWS\System32\phli.dll/sp.html
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Page: res://C:\WINDOWS\System32\phli.dll/sp.html
deleted: HKLM\Software\Microsoft\Internet Explorer\Search, SearchAssistant: res://C:\WINDOWS\System32\phli.dll/sp.html
16.05.2004 21:35:43 Cleaned
Dieser Beitrag wurde am 17.05.2004 um 02:07 Uhr von PhilippBayer editiert.
Seitenanfang Seitenende
17.05.2004, 10:02
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#9 @PhilippBayer
das war also drauf, aber im ersten Log "unsichtbar"
Ich hoffe, dass jetzt alles gut laeuft.
Interessant finde ich, dass sich ein< Philipp< eine phli.dll eingefangen hat.....
(war nur ein Spass...)
Froehliches Surfen
wuenscht
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
17.05.2004, 10:25
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 @Xyphelmuetz

Lade bitte den SpHjfix,exe und scanne.
http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html
Sabina
;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
17.05.2004, 15:57
Xyphelmuetz
Member

Themenstarter

Beiträge: 11
#11 Danke Sabina, scheint wohl behoben zu sein, hier nochmal ein neues log. Wegen Virenscanner, das PC Cillin is ja auch von Trend Micro...

Logfile of HijackThis v1.97.7
Scan saved at 15:57:25, on 17.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\sstray.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
D:\PC-cillin\pccguide.exe
D:\PC-cillin\PCCClient.exe
D:\PC-cillin\Pop3trap.exe
D:\A4TECH~1\Ikeymain.exe
C:\WINDOWS\System32\svchost.exe
D:\PC-cillin\Tmntsrv.exe
D:\PC-cillin\WebTrap.EXE
D:\PC-cillin\PCCPFW.exe
D:\Mozilla Firefox\firefox.exe
D:\Winamp\winamp.exe
D:\mIRC\mirc.exe
D:\ICQLite\ICQLite.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\HijackThis\HijackThis.exe

O1 - Hosts: 213.159.117.235 auto.search.msn.com
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [pccguide.exe] "D:\PC-cillin\pccguide.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "D:\PC-cillin\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "D:\PC-cillin\Pop3trap.exe"
O4 - HKLM\..\Run: [iKeyWorks] d:\A4TECH~1\\Ikeymain.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Alles mit FlashGet laden - D:\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - D:\FlashGet\jc_link.htm
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/0361006d72abbbba6301/netzip/RdxIE601_de.cab
O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemplates/ActiveSecurity.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://arcade.icq.com/multiplayer/odyssey_web8.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37977.4139583333
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Seitenanfang Seitenende
17.05.2004, 16:16
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 @Xhyphelmuetz

Fixe bitte:

O1 - Hosts: 213.159.117.235 auto.search.msn.com

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/0361006d72abbbba6301/netzip/RdxIE601_de.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37977.4139583333

neustarten

dann laedst du ALLE Tools, die auf dieser Site sind und scannst.
http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html

dann laedst du e-scann (mwav.exe), scannst ---alle Dateien und postest, was dir das Tool als <bad< anzeigt.
plus das neue Log

http://www.mwti.net/antivirus/free_utilities.asp

MfG
Sabina
;)
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 17.05.2004 um 16:19 Uhr von Sabina editiert.
Seitenanfang Seitenende
18.05.2004, 12:04
Xyphelmuetz
Member

Themenstarter

Beiträge: 11
#13 man man du machst dir ja echt arbeit mit mir ;)

also diese mwav.exe findet nur zwei errors:

Tue May 18 12:02:50 2004 => ERROR!!! Invalid Entry \??\C:\DOKUME~1\XYPHEL~1\LOKALE~1\Temp\cdrmkaun.sys in SYSTEM\CurrentControlSet\Services\cdrmkaun...
Tue May 18 12:02:50 2004 => ERROR!!! Invalid Entry system32\drivers\delta.sys in SYSTEM\CurrentControlSet\Services\DELTA...

und hier nochma mein Hijackthis log:

Logfile of HijackThis v1.97.7
Scan saved at 12:05:46, on 18.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\sstray.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
D:\PC-cillin\pccguide.exe
D:\PC-cillin\PCCClient.exe
D:\PC-cillin\Pop3trap.exe
D:\A4TECH~1\Ikeymain.exe
C:\WINDOWS\System32\svchost.exe
D:\PC-cillin\Tmntsrv.exe
D:\PC-cillin\WebTrap.EXE
D:\PC-cillin\PCCPFW.exe
D:\Mozilla Firefox\firefox.exe
D:\Winamp\winamp.exe
D:\HijackThis\HijackThis.exe

O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [pccguide.exe] "D:\PC-cillin\pccguide.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "D:\PC-cillin\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "D:\PC-cillin\Pop3trap.exe"
O4 - HKLM\..\Run: [iKeyWorks] d:\A4TECH~1\\Ikeymain.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Alles mit FlashGet laden - D:\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - D:\FlashGet\jc_link.htm
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemplates/ActiveSecurity.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://arcade.icq.com/multiplayer/odyssey_web8.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Seitenanfang Seitenende
18.05.2004, 12:28
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 Der Stör-Treiber heißt cdrmkaun.sys
http://club.cdfreaks.com/lite/t-93339.html

ist kein Virus aber vielleicht interessiert es dich.

Hast du keine Startseite unter InternetOptionen eingestellt ???

Nun scheint alles sauber.
Aktualisiere immer den AdAware und scanne ab und zu.
Am besten, du laedst den Firefox als Zeitbrowser...soll Hijackerfrei sein.
http://www.firebird-browser.de/
Tschuess
;)
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 18.05.2004 um 12:29 Uhr von Sabina editiert.
Seitenanfang Seitenende
18.05.2004, 13:00
Xyphelmuetz
Member

Themenstarter

Beiträge: 11
#15 jo hab mir firefox jetzt runtergeladen und benutz den jetzt immer...und nein hab about:blank als startseite..

VIELEN VIELEN DANK ohne dich hätte ich bestimmt formatiert und windows xp neu installiert...
;)
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 123