easy-search.biz als Startseite |
||
---|---|---|
#0
| ||
16.05.2004, 11:36
Member
Beiträge: 11 |
||
|
||
16.05.2004, 15:24
Ehrenmitglied
Beiträge: 29434 |
#2
Deaktiviere die Wiederherstellung (kannst du nach der Reinigung wieder aktivieren)
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 Fixe mit dem HijackThis: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://easy-search.biz R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://easy-search.biz R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://easy-search.biz O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "D:\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [System Update2] c:\dokume~1\xyphel~1\anwend~1\taskman.exe O4 - HKCU\..\Run: [cvchost] c:\windows\cvchost.exe O4 - HKCU\..\Run: [runwin32] C:\WINDOWS\runwin32.exe O4 - HKCU\..\Run: [wininet32] C:\WINDOWS\wininet32.exe NEUSTARTEN -------------------------------------------------------------------------- Onlinescann http://housecall.trendmicro.com/ Cwshredder (ganz unten) http://www.rokop-security.de/main/article.php?sid=746&mode=thread&order=0 AdAware (free) http://lavasoft.element5.com/german/support/download/ ClearProg saeubere den IE und stelle unter InternetOptionen die Startseite neu ein http://www.clearprog.de/ ----------------------------------------------------------------------- lade die mwav.exe scanne alle Dateien und loesche manuell, , was das Tool noch anzeigt http://www.soft411.com/company/MicroWorld-Technologies-Inc/MicroWorld-Anti-Virus-Toolkit.htm dein PC-cillin scheint nicht so das Wahre zu sein...dein Comp. ist voellig verseucht... Vielleicht denkst du mal ueber einen Wechsel vom AntivirenProgramm nach. dann poste das Log noch mal. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 16.05.2004 um 15:31 Uhr von Sabina editiert.
|
|
|
||
16.05.2004, 15:38
Member
Beiträge: 61 |
#3
Hallo Sabina,
ich habe das gleiche Problem, seit einer Woche etwa, bekomme ich auch nach exacter Entfernung plötzlich wieder diese "SearchX" Seite als Start. Addaware und Co finden auch immer irgend eine DLL (zb. CKG.DLL), die dann entfernt auch wird. Diese DLL trägt jedesmal einen anderen Namen! Ich fixe das dann mit Hijack und dannach ist er weg, vielleicht ein Tag.. manchmal nur Stunden. Alles wie Du es oben beschrieben hast, habe ich gemacht und bin auch mit den XP-Updates auf dem neusten Stand. Vor einigen Monaten, konnte mir Raman bei diesem Problem erfolgreich helfen. Hier mein Scan, nachdem ich alles bereinigt habe.. vielleicht siehst Du ja noch ein Problem.... denn das Problem kommt sicher wieder! Gruß Philipp Logfile of HijackThis v1.97.7 Scan saved at 15:32:21, on 16.05.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\userinit.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\Mixer.exe C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe C:\Programme\Spamihilator\spamihilator.exe C:\Programme\Lexmark X1100 Series\lxbkbmon.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\hijackthis\HijackThis.exe O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe" O4 - HKCU\..\Run: [Spamihilator] C:\Programme\Spamihilator\spamihilator.exe O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Messenger (HKLM) Dieser Beitrag wurde am 16.05.2004 um 15:40 Uhr von PhilippBayer editiert.
|
|
|
||
16.05.2004, 18:10
Member
Beiträge: 1122 |
||
|
||
16.05.2004, 18:23
Ehrenmitglied
Beiträge: 29434 |
#5
Hi Phillip
Stelle mal unter InternetOptionen eine Startseite ein. Und dann poste das Log, damit wie wissen, wer der <Uebeltaeter<ist. Scanne auch mal mit dem neusten HijackThis http://www.rokop-security.de/main/article.php?sid=746&mode=thread&order=0 Und lade den Firefox...da soll es keine Probleme mit Hijackern geben http://www.firebird-browser.de/ mFg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 16.05.2004 um 18:24 Uhr von Sabina editiert.
|
|
|
||
16.05.2004, 21:44
Member
Beiträge: 61 |
#6
Startseite eingestellt und SpHjfix ausgeführt, dann HijackLog erstellt.
Gruß Philipp Logfile of HijackThis v1.97.7 Scan saved at 21:40:16, on 16.05.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Mixer.exe C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe C:\Programme\Enigma Software Group\SpyHunter\MemScanner.exe C:\Programme\Spamihilator\spamihilator.exe C:\Programme\Lexmark X1100 Series\lxbkbmon.exe C:\WINDOWS\System32\msiexec.exe C:\Programme\Internet Explorer\iexplore.exe C:\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe" O4 - HKLM\..\Run: [SpyHunter] C:\Programme\Enigma Software Group\SpyHunter\SpyHunter.exe O4 - HKLM\..\Run: [MemScanner] C:\Programme\Enigma Software Group\SpyHunter\MemScanner.exe O4 - HKCU\..\Run: [Spamihilator] C:\Programme\Spamihilator\spamihilator.exe O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Messenger (HKLM) |
|
|
||
16.05.2004, 23:11
...neu hier
Beiträge: 1 |
#7
Hi alle !
meine Probleme sind die Euren . Der Weg mit Hijacker , Shredder und Spybot ist schon richtig . Spybot funktioniert bei mir nur mit der Version 1.3 vernünftig .Und alles dann im abgesicherten Modus ! Nach Behandlung mit diesen Programmen muss man dann noch händisch seine Einstiegsseite neu eingeben . Achtung : Im Spybot die Änderungen freigeben ,sonst tut sich nichts , nach der Änderung sofort wieder sperren ! In der Registry habe ich dann noch die Dateien unter HKEY USERS\S-1-5-21- ....-1003\Software\Microsoft\Internet Explorer\Main\,HOMEOldSP ,alles mit about:blank , dann die einträge mit searchPage mit den vielen Ziffern und %- Zeichen gelöscht ,dazu noch die Einträge mit start Page ,search Page , search Bar und local Page , dazu noch blank htm . Dann noch mal Spybot und beide Hyjackentferner sowie einmal den regcleaner und dann war das Zeug weg . Klingt kompliziert , ist es aber nicht , funktioniert aber nur im abgesicherten ! Wichtig : Die Startseite vor dem verlassen nochmals kontrollieren ! Vielleicht hilfts euch ???? |
|
|
||
17.05.2004, 02:05
Member
Beiträge: 61 |
#8
Hallo Sabina,
schau mal was SphjFix noch gefunden hat... Danke für die Hilfe... arbeite jetzt mit firefox - hoffe mein System ist jetzt sauber... Gute Nacht! Gruß Philipp 16.05.2004 21:33:35 SPhjFix startedv1.06 16.05.2004 21:33:35 Stealth-String found 16.05.2004 21:33:35 Restart 16.05.2004 21:35:36 2nd Step 16.05.2004 21:35:36 Error while deleting Hijack-DLL 16.05.2004 21:35:36 BHO: {F0E36B11-77A2-4EC4-8743-FD4050DEE6C1} C:\WINDOWS\System32\phli.dll 16.05.2004 21:35:36 BHO-deleted 16.05.2004 21:35:36 BHO-CLSID-Key deleted 16.05.2004 21:35:36 BHO-DLL: C:\WINDOWS\System32\phli.dll (deleted) 16.05.2004 21:35:36 Bad IE-pages found: deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Bar: res://C:\WINDOWS\System32\phli.dll/sp.html deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Page: res://C:\WINDOWS\System32\phli.dll/sp.html deleted: HKCU\Software\Microsoft\Internet Explorer\Search, SearchAssistant: res://C:\WINDOWS\System32\phli.dll/sp.html deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Bar: res://C:\WINDOWS\System32\phli.dll/sp.html deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Page: res://C:\WINDOWS\System32\phli.dll/sp.html deleted: HKLM\Software\Microsoft\Internet Explorer\Search, SearchAssistant: res://C:\WINDOWS\System32\phli.dll/sp.html 16.05.2004 21:35:43 Cleaned Dieser Beitrag wurde am 17.05.2004 um 02:07 Uhr von PhilippBayer editiert.
|
|
|
||
17.05.2004, 10:02
Ehrenmitglied
Beiträge: 29434 |
#9
@PhilippBayer
das war also drauf, aber im ersten Log "unsichtbar" Ich hoffe, dass jetzt alles gut laeuft. Interessant finde ich, dass sich ein< Philipp< eine phli.dll eingefangen hat..... (war nur ein Spass...) Froehliches Surfen wuenscht Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
17.05.2004, 10:25
Ehrenmitglied
Beiträge: 29434 |
#10
@Xyphelmuetz
Lade bitte den SpHjfix,exe und scanne. http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
17.05.2004, 15:57
Member
Themenstarter Beiträge: 11 |
#11
Danke Sabina, scheint wohl behoben zu sein, hier nochmal ein neues log. Wegen Virenscanner, das PC Cillin is ja auch von Trend Micro...
Logfile of HijackThis v1.97.7 Scan saved at 15:57:25, on 17.05.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\sstray.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe D:\PC-cillin\pccguide.exe D:\PC-cillin\PCCClient.exe D:\PC-cillin\Pop3trap.exe D:\A4TECH~1\Ikeymain.exe C:\WINDOWS\System32\svchost.exe D:\PC-cillin\Tmntsrv.exe D:\PC-cillin\WebTrap.EXE D:\PC-cillin\PCCPFW.exe D:\Mozilla Firefox\firefox.exe D:\Winamp\winamp.exe D:\mIRC\mirc.exe D:\ICQLite\ICQLite.exe C:\Programme\Internet Explorer\iexplore.exe D:\HijackThis\HijackThis.exe O1 - Hosts: 213.159.117.235 auto.search.msn.com O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [pccguide.exe] "D:\PC-cillin\pccguide.exe" O4 - HKLM\..\Run: [PCCClient.exe] "D:\PC-cillin\PCCClient.exe" O4 - HKLM\..\Run: [Pop3trap.exe] "D:\PC-cillin\Pop3trap.exe" O4 - HKLM\..\Run: [iKeyWorks] d:\A4TECH~1\\Ikeymain.exe O4 - HKCU\..\RunOnce: [ICQ Lite] D:\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = D:\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: Alles mit FlashGet laden - D:\FlashGet\jc_all.htm O8 - Extra context menu item: Mit FlashGet laden - D:\FlashGet\jc_link.htm O9 - Extra button: ICQ Lite (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O9 - Extra button: FlashGet (HKLM) O9 - Extra 'Tools' menuitem: &FlashGet (HKLM) O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/0361006d72abbbba6301/netzip/RdxIE601_de.cab O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemplates/ActiveSecurity.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://arcade.icq.com/multiplayer/odyssey_web8.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37977.4139583333 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab |
|
|
||
17.05.2004, 16:16
Ehrenmitglied
Beiträge: 29434 |
#12
@Xhyphelmuetz
Fixe bitte: O1 - Hosts: 213.159.117.235 auto.search.msn.com O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/0361006d72abbbba6301/netzip/RdxIE601_de.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37977.4139583333 neustarten dann laedst du ALLE Tools, die auf dieser Site sind und scannst. http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html dann laedst du e-scann (mwav.exe), scannst ---alle Dateien und postest, was dir das Tool als <bad< anzeigt. plus das neue Log http://www.mwti.net/antivirus/free_utilities.asp MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 17.05.2004 um 16:19 Uhr von Sabina editiert.
|
|
|
||
18.05.2004, 12:04
Member
Themenstarter Beiträge: 11 |
#13
man man du machst dir ja echt arbeit mit mir
also diese mwav.exe findet nur zwei errors: Tue May 18 12:02:50 2004 => ERROR!!! Invalid Entry \??\C:\DOKUME~1\XYPHEL~1\LOKALE~1\Temp\cdrmkaun.sys in SYSTEM\CurrentControlSet\Services\cdrmkaun... Tue May 18 12:02:50 2004 => ERROR!!! Invalid Entry system32\drivers\delta.sys in SYSTEM\CurrentControlSet\Services\DELTA... und hier nochma mein Hijackthis log: Logfile of HijackThis v1.97.7 Scan saved at 12:05:46, on 18.05.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\sstray.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe D:\PC-cillin\pccguide.exe D:\PC-cillin\PCCClient.exe D:\PC-cillin\Pop3trap.exe D:\A4TECH~1\Ikeymain.exe C:\WINDOWS\System32\svchost.exe D:\PC-cillin\Tmntsrv.exe D:\PC-cillin\WebTrap.EXE D:\PC-cillin\PCCPFW.exe D:\Mozilla Firefox\firefox.exe D:\Winamp\winamp.exe D:\HijackThis\HijackThis.exe O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [pccguide.exe] "D:\PC-cillin\pccguide.exe" O4 - HKLM\..\Run: [PCCClient.exe] "D:\PC-cillin\PCCClient.exe" O4 - HKLM\..\Run: [Pop3trap.exe] "D:\PC-cillin\Pop3trap.exe" O4 - HKLM\..\Run: [iKeyWorks] d:\A4TECH~1\\Ikeymain.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = D:\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: Alles mit FlashGet laden - D:\FlashGet\jc_all.htm O8 - Extra context menu item: Mit FlashGet laden - D:\FlashGet\jc_link.htm O9 - Extra button: ICQ Lite (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O9 - Extra button: FlashGet (HKLM) O9 - Extra 'Tools' menuitem: &FlashGet (HKLM) O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemplates/ActiveSecurity.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://arcade.icq.com/multiplayer/odyssey_web8.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab |
|
|
||
18.05.2004, 12:28
Ehrenmitglied
Beiträge: 29434 |
#14
Der Stör-Treiber heißt cdrmkaun.sys
http://club.cdfreaks.com/lite/t-93339.html ist kein Virus aber vielleicht interessiert es dich. Hast du keine Startseite unter InternetOptionen eingestellt ??? Nun scheint alles sauber. Aktualisiere immer den AdAware und scanne ab und zu. Am besten, du laedst den Firefox als Zeitbrowser...soll Hijackerfrei sein. http://www.firebird-browser.de/ Tschuess Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 18.05.2004 um 12:29 Uhr von Sabina editiert.
|
|
|
||
18.05.2004, 13:00
Member
Themenstarter Beiträge: 11 |
#15
jo hab mir firefox jetzt runtergeladen und benutz den jetzt immer...und nein hab about:blank als startseite..
VIELEN VIELEN DANK ohne dich hätte ich bestimmt formatiert und windows xp neu installiert... |
|
|
||
Ich hab schon tausend mal den CWShredder, Ad-Aware und Spybot durchlaufen lassen aber immer wieder stellt sich die Startseite auf http://easy-search.biz . Außerdem werden immer wieder 4 Links bei den Favoriten zugefügt.
Hier mein HIjackThis.log:
Logfile of HijackThis v1.97.7
Scan saved at 11:37:33, on 16.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\sstray.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
D:\PC-cillin\pccguide.exe
D:\PC-cillin\PCCClient.exe
D:\PC-cillin\Pop3trap.exe
D:\A4TECH~1\Ikeymain.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\dokume~1\xyphel~1\anwend~1\taskman.exe
C:\windows\cvchost.exe
C:\WINDOWS\runwin32.exe
C:\WINDOWS\wininet32.exe
C:\WINDOWS\System32\svchost.exe
D:\PC-cillin\Tmntsrv.exe
C:\Programme\Silicon Image\SiISATARaid\SATARaid.exe
D:\PC-cillin\PCCPFW.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://easy-search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [pccguide.exe] "D:\PC-cillin\pccguide.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "D:\PC-cillin\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "D:\PC-cillin\Pop3trap.exe"
O4 - HKLM\..\Run: [iKeyWorks] d:\A4TECH~1\\Ikeymain.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [System Update2] c:\dokume~1\xyphel~1\anwend~1\taskman.exe
O4 - HKCU\..\Run: [cvchost] c:\windows\cvchost.exe
O4 - HKCU\..\Run: [runwin32] C:\WINDOWS\runwin32.exe
O4 - HKCU\..\Run: [wininet32] C:\WINDOWS\wininet32.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Alles mit FlashGet laden - D:\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - D:\FlashGet\jc_link.htm
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/0361006d72abbbba6301/netzip/RdxIE601_de.cab
O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemplates/ActiveSecurity.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://arcade.icq.com/multiplayer/odyssey_web8.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37977.4139583333
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab