Harnäckig - ständig gelb hinterlegte Stichwörter auf meinem Browser

#0
31.05.2004, 16:25
...neu hier

Beiträge: 8
#1 Hallo,
beim Surfen werden bestimmte Wörter, wie z.B. Computer oder Software, gelb hinterlegt und werden, obwohl sie es ursprünglich nicht waren, als Link zu kommerziellen Seiten angezeigt. Ich hatte auch Probleme mit einer unerwünschten Suchstartseite namens yafoo.biz, die ich aber wieder erfolgreich entfernen konnte. Das einzige was geblieben ist sind eben diese gelb hinterlegten Links. Wer kann mir da helfen - wäre sehr dankbar. Mein Scan:

Logfile of HijackThis v1.97.7
Scan saved at 16:26:05, on 31.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Roxio\WinOnCD 6 PE\DirectCD\DirectCD.exe
C:\Dokumente und Einstellungen\All Users\Dokumente\Gemeinsame Software\Scanner\Scan Soft Omni Page\opware32.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Dokumente und Einstellungen\Peter\Eigene Dateien\Eigene Software\Freeware\AntiVir\AVGNT.EXE
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Dokumente und Einstellungen\Peter\Eigene Dateien\Eigene Software\Freeware\AntiVir\AVGUARD.EXE
C:\Dokumente und Einstellungen\Peter\Eigene Dateien\Eigene Software\Freeware\AntiVir\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Peter\Eigene Dateien\Eigene Software\Adware - Spyware\Hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\WinOnCD 6 PE\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [Omnipage] C:\Dokumente und Einstellungen\All Users\Dokumente\Gemeinsame Software\Scanner\Scan Soft Omni Page\opware32.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [AVGCtrl] C:\Dokumente und Einstellungen\Peter\Eigene Dateien\Eigene Software\Freeware\AntiVir\AVGNT.EXE /min
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F841961F-D7DF-4A3F-B23F-5AC5B6606EC1}: NameServer = 217.237.151.97 194.25.2.129



mfg
Pimpf
Seitenanfang Seitenende
31.05.2004, 17:38
Moderator

Beiträge: 7805
#2 Arbeite dich hier mal durch:
http://www.rokop-security.de/main/article.php?sid=703

Wenn es nichts geholfen hat, poste bitte einen Startuplist Report. Dazu Hijackthis starten und hier durchklicken conifg/misc tools/generate startuplist.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
01.06.2004, 14:09
...neu hier

Themenstarter

Beiträge: 8
#3 Hat zwar hingehauen, aber nach einem Neustart war wieder alles "beim alten" - also die Links waren wieder da. Hier meine Startupliste:

StartupList report, 01.06.2004, 14:09:44
StartupList version: 1.52
Started from : C:\Dokumente und Einstellungen\Peter\Eigene Dateien\Eigene Software\Adware - Spyware\Hijack\HijackThis.EXE
Detected: Windows XP SP1 (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)
* Using default options
==================================================

Running processes:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Dokumente und Einstellungen\Peter\Eigene Dateien\Eigene Software\Freeware\AntiVir\AVGUARD.EXE
C:\Dokumente und Einstellungen\Peter\Eigene Dateien\Eigene Software\Freeware\AntiVir\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Roxio\WinOnCD 6 PE\DirectCD\DirectCD.exe
C:\Dokumente und Einstellungen\All Users\Dokumente\Gemeinsame Software\Scanner\Scan Soft Omni Page\opware32.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Dokumente und Einstellungen\Peter\Eigene Dateien\Eigene Software\Freeware\AntiVir\AVGNT.EXE
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Peter\Eigene Dateien\Eigene Software\Adware - Spyware\Hijack\HijackThis.exe

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

SoundMan = SOUNDMAN.EXE
NvCplDaemon = RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
zBrowser Launcher = C:\Programme\Logitech\iTouch\iTouch.exe
Logitech Utility = Logi_MwX.Exe
AdaptecDirectCD = "C:\Programme\Roxio\WinOnCD 6 PE\DirectCD\DirectCD.exe"
Omnipage = C:\Dokumente und Einstellungen\All Users\Dokumente\Gemeinsame Software\Scanner\Scan Soft Omni Page\opware32.exe
NeroCheck = C:\WINDOWS\System32\\NeroCheck.exe
ToADiMon.exe = C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
AVGCtrl = C:\Dokumente und Einstellungen\Peter\Eigene Dateien\Eigene Software\Freeware\AntiVir\AVGNT.EXE /min

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

STYLEXP = C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=*Registry value not found*
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry key not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------


Enumerating Browser Helper Objects:

(no name) - C:\DOKUME~1\Peter\EIGENE~1\EI462B~1\ADWARE~1\Spybot\SPYBOT~1\SDHelper.dll - {53707962-6F74-2D53-2644-206D7942484F}

--------------------------------------------------

Enumerating Download Program Files:

[Symantec AntiVirus scanner]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\avsniff.dll
CODEBASE = http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

[Symantec RuFSI Registry Information Class]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\rufsi.dll
CODEBASE = http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

[Shockwave Flash Object]
InProcServer32 = C:\WINDOWS\System32\macromed\flash\Flash.ocx
CODEBASE = http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
CDBurn: C:\WINDOWS\system32\SHELL32.dll
WebCheck: C:\WINDOWS\System32\webcheck.dll
SysTray: C:\WINDOWS\System32\stobject.dll
System: C:\WINDOWS\system32\system32.dll

--------------------------------------------------
End of report, 5.397 bytes
Report generated in 0,016 seconds

Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only



...sieht für mich alles ganz normal aus, bis auf diese mehreren svchost.exe (?).

mfg

Pimpf
Seitenanfang Seitenende
01.06.2004, 16:10
Moderator

Beiträge: 7805
#4 Hab ihn!;)

C:\WINDOWS\system32\system32.dll ist der uebeltaeter. Scheint eine neue Variante zu sein. Also starte mal im abgesicherten Modus und benenne die Datei um. Starte dann neu und suche in der Registrierung nach system32\system32.dll und loesche den entsprechenden Eintrag.

Es waere nett, wenn du die Datei
C:\WINDOWS\system32\system32.dll an virus@protecus.de schicken koenntest.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
01.06.2004, 20:43
...neu hier

Themenstarter

Beiträge: 8
#5 Hab also im abgesicherten Modus unter der Suchfunktion die Datei umbenannt. Alles was ich unter system32.dll gefunden habe war eine Programmbibliothek mit 0 byte (?). Die habe ich also umbenannt. Soll ich die jetzt ganz normal löschen? Was meinst Du mit: "In der Registrierung löschen"? Tut mir leid - aber ich bin noch nicht so bewandert.

MfG

Pimpf
Seitenanfang Seitenende
01.06.2004, 21:01
Moderator

Beiträge: 7805
#6 Du musst mit dem Explorer im System32 ordner nach der Datei system32.dll suchen und diese entweder loeschen oder umbenennen.

Du kannst auch versuchen diesen Scanner dafuer zu nehmen: http://www.mwti.net/antivirus/free_utilities.asp
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
02.06.2004, 20:53
...neu hier

Themenstarter

Beiträge: 8
#7 Keine Spur mehr von dieser Datei im System32 Ordner. Jedoch hab ich nochmals jedes einzelne Programm, mein System scannen lassen und
Spybot (=> http://beam.to/spybotsd) und AVG
(=> www.grisoft.com/us/us_index.php) haben dann zusammen gleich 3 verschiedene Trojaner gefunden und das Problem behoben. Wie die Dinger heißen, hab ich vergessen zu notieren, waren längere Namen, einer hieß Hilling oder so ähnlich. Meinst Du das es zu Problemen führen kann, wenn ich sowohl AntiVir als auch AVG in Zukunft als Wächter laufen lasse? Bis jetzt haben Sie sich noch nicht in die Haar gekriegt ;)

mfg
Pimpf
...sauber bleiben!
Dieser Beitrag wurde am 03.06.2004 um 07:41 Uhr von Pimpf editiert.
Seitenanfang Seitenende
02.06.2004, 21:13
Moderator

Beiträge: 7805
#8 Ja, zusammen geht nicht, die "beisen" sich. Im Zweifelsfall ist Antivir avg vorzuziehen!
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
09.06.2004, 14:52
Member

Beiträge: 37
#9 Hi, Raman
Habe das gleich Problem mit den markierten Wörtern.
Aber bei mir existiert keine system32.dll
Schau Dir bitte mal mein Log an. Danke
-Muß mich erstmal abmelden- Kann den Log nicht saven - merkwürdig
bis gleich.

So habe Ihn.
Nach Neustart konnte ich den Log wieder saven. Hier ist er

Logfile of HijackThis v1.97.7
Scan saved at 04:06:53, on 09.06.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\McAfee\McAfee VirusScan\Avsynmgr.exe
C:\Programme\McAfee\McAfee VirusScan\VsStat.exe
C:\WINNT\System32\svchost.exe
C:\Programme\McAfee\McAfee VirusScan\Vshwin32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Programme\McAfee\McAfee VirusScan\Avconsol.exe
C:\WINNT\Explorer.EXE
C:\Programme\McAfee\McAfee VirusScan\alogserv.exe
C:\Programme\1&1 Programme\cFos\cFosDNT.exe
F:\Neu-Install-w2000\icq\ICQLite\ICQLite.exe
C:\WINNT\system32\internat.exe
C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe
C:\Programme\Seti\SetiHide.exe
C:\Programme\Seti\seti.exe
C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe
C:\WINNT\system32\wuauclt.exe
E:\Programme\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.klamm.de/?id=127872
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 221.194.25.182:80
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\3.bin\MYBAR.DLL (file missing)
O4 - HKLM\..\Run: [Alogserv] C:\Programme\McAfee\McAfee VirusScan\alogserv.exe
O4 - HKLM\..\Run: [cFosDNT] C:\Programme\1&1 Programme\cFos\cFosDNT.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ICQ Lite] F:\Neu-Install-w2000\icq\ICQLite\ICQLite.exe -minimize
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /startmonitor
O4 - HKCU\..\RunOnce: [ICQ Lite] F:\Neu-Install-w2000\icq\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Verknüpfung mit SetiHide.exe.lnk = C:\Programme\Seti\SetiHide.exe
O4 - Global Startup: Microsoft <span id="OFFICE" class=xxxxkeyword onmouseover="onmo(this);" onmouseout="inMenu=false;hide(this);">Office</span>.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O9 - Extra button: ICQ 4.0 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.rav<span id="ANTIVIRUS" class=xxxxkeyword onmouseover="onmo(this);" onmouseout="inMenu=false;hide(this);">antivirus</span>.com/scan/ravonline.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://<span id="DOWNLOAD" class=xxxxkeyword onmouseover="onmo(this);" onmouseout="inMenu=false;hide(this);">download</span>.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

byby
Dieser Beitrag wurde am 09.06.2004 um 15:01 Uhr von seb-software editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: