google toolbar nach hijacker nicht mehr zu sehen?!

#0
17.05.2004, 21:06
...neu hier

Beiträge: 1
#1 hallo zusammen,

dieses forum wurde mir von einem user eines anderen forums empfohlen, dem bei euch schon geholfen wurde.
mein anliegen habe ich schon bei zwei anderen foren gepostet, was aber leider bisher noch nichts gebracht hat.

und ich werde immer frustrierter, da ich die google toolbar unbedingt zu recherche zwecke brauche, ohne ist es sehr umständlich für mich

also hier mein problem in kurzfassung:
seitdem ich einen hijacker (glaube coolwebsearch) hatte, ist die googletoolbar nicht mehr da, obwohl sie installiert ist
außerdem habe ich gestern abend erst bemerkt, das in der browser leiste das acrobat symbol weg ist

den logfile von hijackThis habe ich mit www.trojaner-info.de/anleitungen/hijackthis/htlogtutorial.html abgeglichen, jedoch nichts gefunden

auch der scan mit ad-aware6.0, spybot, cwshredder, bitdefender, mwav (ftp://ftp.microworldsystems.com/download/tools/mwav.exe) brachte nichts, das system scheint inzwischen wieder sauber zu sein !!!!
kann es aber auch sein, dass ich beim scan mit spybot was gelöscht habe, was mir jetzt zum verhängnis geworden ist? wenn ja was und wie bekomme ich es wieder an die richtige stelle???

was kann ich also noch tun ????????
habe ich was übersehen?

google toolbar und arcobat sind immer noch nicht zu sehen obwohl das häckchen in der ansichtsleiste aber drin ist ?!?!?!

da ich normalerweise nur anwender bin, finde ich es total frustrierend, mich bei solchen dingen durchzuwurschteln und dann bin ich ganz stolz wenn ich es schaffe und dann hilft`s doch nicht !!!

für tips wäre ich sehr dankbar, hoffentlich hat jemand eine idee

kinava

achso ich hatte vergessen, auch mehrfache deinstallation und wiederinstallation der google tollbar brachte null punkte ;)

hoffe ich habe das thema richtig gepostet....


hier noch der logfile:
Logfile of HijackThis v1.97.7
Scan saved at 14:48:07, on 04.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
G:\WINDOWS\System32\smss.exe
G:\WINDOWS\system32\winlogon.exe
G:\WINDOWS\system32\services.exe
G:\WINDOWS\system32\lsass.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\system32\spoolsv.exe
G:\WINDOWS\Explorer.EXE
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\System32\MsPMSPSv.exe
G:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
G:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
G:\WINDOWS\System32\hkcmd.exe
G:\Programme\Softwin\BitDefender Free Edition\bdmcon.exe
G:\Programme\Trojancheck 6\tcguard.exe
G:\WINDOWS\System32\ctfmon.exe
G:\programme\activesync\WCESCOMM.EXE
G:\Programme\WebWasher\wwasher.exe
G:\Programme\Internet Explorer\iexplore.exe
G:\Dokumente und Einstellungen\nektarine\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.spiegel.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = 127.0.0.1:8080/proxyconf
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=127.0.0.1:4001;gopher=127.0.0.1:4001;https=127.0.0.1:4001
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - g:\programme\google\googletoolbar1.dll
O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - G:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - G:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - G:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - g:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [IgfxTray] G:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] G:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [BDMCon] G:\Programme\Softwin\BitDefender Free Edition\\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] G:\Programme\Softwin\BitDefender Free Edition\\bdnagent.exe
O4 - HKLM\..\Run: [Trojancheck 6 Guard] G:\Programme\Trojancheck 6\tcguard.exe
O4 - HKCU\..\Run: [CTFMON.EXE] G:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "G:\programme\activesync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [WebWasher] G:\Programme\WebWasher\wwasher.exe
O8 - Extra context menu item: &Google Search - res://G:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://G:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://G:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://G:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://G:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - -Web.Washer-/ie_add
O9 - Extra button: Mobilen Favoriten erstellen (HKLM)
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37892.423599537
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Dieser Beitrag wurde am 17.05.2004 um 21:31 Uhr von kinava editiert.
Seitenanfang Seitenende
18.05.2004, 14:06
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Fixe alles , was mit Adobe und Google-Bar zu tun hat.
Neustarten
Deinstalliere diese zwei Tools
Lade sie neu.

Ueberpruefe die Proxyeinstellung
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = 127.0.0.1:8080/proxyconf
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=127.0.0.1:4001;gopher=127.0.0.1:4001;https=127.0.0.1:4001

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 18.05.2004 um 14:36 Uhr von Sabina editiert.
Seitenanfang Seitenende
17.07.2005, 21:31
Member

Beiträge: 14
#3 Hallo Sabina

könnten Sie mir bitte weiterhelfen, bn echt am Ende mit menem Latein.

Hier im Forum unter :

http://board.protecus.de/t18252.htm

oder aber auch unter

http://www.pcwelt.de/forum/showthread.php?p=839371#post839371

Bin ich mit den belegten Ports auf der richtigen Spur oder sind es Symptome für
einen bestimmte Virus, Spyware ode ähnlich ?
habe kleines Netzwerk mit win98 PC und einem XP - PC.
Mit dem win98-er gehe ich ins NEtz und nur dort die Probleme...

Gruß driver
Seitenanfang Seitenende
21.08.2005, 23:36
...neu hier

Beiträge: 5
#4 Hallo zusammen

Wurde ziemlich aggressiv gehijackt, neben der IE Startseite ist auch mein Desktop Hintergrund ein Commercial und ausserdem hab ich den Bloodhound.W32.EP eingefangen (evtl. über den gleichen Hijacker?) wie werde ich das Zeugs wieder los?

Bereits versucht: Ad-aware, Spybot Search & Destroy, clrav.com und eben HijackThis. Alles mit "bestwebslinks" lässt sich nicht fixen. Wie weiter? Muss sonst noch etwas gefixt werden?

--------------
Logfile of HijackThis v1.98.0
Scan saved at 23:29:36, on 21.08.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\NORTON~1\NORTON~2\GHOSTS~2.EXE
C:\Program Files\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\SymTray.exe
C:\WINNT\system32\shnlog.exe
C:\WINNT\system32\msole32.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
C:\WINNT\system32\intmon.exe
C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
C:\WINNT\system32\wuauclt.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINNT\system32\intell32.exe
C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\3M\PSN2Lite\Psn2Lite.exe
C:\PROGRA~1\3M\PSN2Lite\PSNGive.exe
C:\WINNT\explorer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.bestwebslinks.com/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.bestwebslinks.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.bestwebslinks.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.bestwebslinks.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.tiscalinet.ch:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = www.tiscalinet.ch;tiscalinet.ch;netmail.tiscalinet.ch;<local>
F2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exe
O2 - BHO: HP Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINNT\system32\hp580A.tmp
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [SymTray - Norton SystemWorks] C:\Program Files\Common Files\Symantec Shared\Symtray.exe SetReg
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [RegSvr32] C:\WINNT\system32\msmsgs.exe
O4 - HKLM\..\Run: [intell32.exe] C:\WINNT\system32\intell32.exe
O4 - HKLM\..\Run: [PSGuard] C:\Program Files\PSGuard\PSGuard.exe
O4 - HKLM\..\RunOnce: [SymTray - Norton SystemWorks] C:\Program Files\Common Files\Symantec Shared\Symtrdr.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Post-it® Software Notes Lite.lnk = C:\Program Files\3M\PSN2Lite\Psn2Lite.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{A89359EB-E35E-41E6-8ECA-29F3222C57D4}: NameServer = 212.40.0.10 212.40.5.50
O18 - Protocol: saphtmlp - {D1F8BD1E-7967-11D2-B43A-006094B9EADB} - (no file)
O18 - Protocol: sapr3 - {D1F8BD1E-7967-11D2-B43A-006094B9EADB} - (no file)
--------------

Vielen Dank für Eure Hilfe!

Gruss & have a nice evening
Duncan
Dieser Beitrag wurde am 21.08.2005 um 23:43 Uhr von Duncan editiert.
Seitenanfang Seitenende