Harnäckig - ständig gelb hinterlegte Stichwörter auf meinem Browser |
||
---|---|---|
#0
| ||
31.05.2004, 16:25
...neu hier
Beiträge: 8 |
||
|
||
31.05.2004, 17:38
Moderator
Beiträge: 7805 |
#2
Arbeite dich hier mal durch:
http://www.rokop-security.de/main/article.php?sid=703 Wenn es nichts geholfen hat, poste bitte einen Startuplist Report. Dazu Hijackthis starten und hier durchklicken conifg/misc tools/generate startuplist. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
01.06.2004, 14:09
...neu hier
Themenstarter Beiträge: 8 |
#3
Hat zwar hingehauen, aber nach einem Neustart war wieder alles "beim alten" - also die Links waren wieder da. Hier meine Startupliste:
StartupList report, 01.06.2004, 14:09:44 StartupList version: 1.52 Started from : C:\Dokumente und Einstellungen\Peter\Eigene Dateien\Eigene Software\Adware - Spyware\Hijack\HijackThis.EXE Detected: Windows XP SP1 (WinNT 5.01.2600) Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106) * Using default options ================================================== Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\WINDOWS\system32\spoolsv.exe C:\Dokumente und Einstellungen\Peter\Eigene Dateien\Eigene Software\Freeware\AntiVir\AVGUARD.EXE C:\Dokumente und Einstellungen\Peter\Eigene Dateien\Eigene Software\Freeware\AntiVir\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\Roxio\WinOnCD 6 PE\DirectCD\DirectCD.exe C:\Dokumente und Einstellungen\All Users\Dokumente\Gemeinsame Software\Scanner\Scan Soft Omni Page\opware32.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe C:\Dokumente und Einstellungen\Peter\Eigene Dateien\Eigene Software\Freeware\AntiVir\AVGNT.EXE C:\Programme\TGTSoft\StyleXP\StyleXP.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Peter\Eigene Dateien\Eigene Software\Adware - Spyware\Hijack\HijackThis.exe -------------------------------------------------- Checking Windows NT UserInit: [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] UserInit = C:\WINDOWS\system32\userinit.exe, -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\Run SoundMan = SOUNDMAN.EXE NvCplDaemon = RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup zBrowser Launcher = C:\Programme\Logitech\iTouch\iTouch.exe Logitech Utility = Logi_MwX.Exe AdaptecDirectCD = "C:\Programme\Roxio\WinOnCD 6 PE\DirectCD\DirectCD.exe" Omnipage = C:\Dokumente und Einstellungen\All Users\Dokumente\Gemeinsame Software\Scanner\Scan Soft Omni Page\opware32.exe NeroCheck = C:\WINDOWS\System32\\NeroCheck.exe ToADiMon.exe = C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart AVGCtrl = C:\Dokumente und Einstellungen\Peter\Eigene Dateien\Eigene Software\Freeware\AntiVir\AVGNT.EXE /min -------------------------------------------------- Autorun entries from Registry: HKCU\Software\Microsoft\Windows\CurrentVersion\Run STYLEXP = C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide -------------------------------------------------- Shell & screensaver key from C:\WINDOWS\SYSTEM.INI: Shell=*INI section not found* SCRNSAVE.EXE=*INI section not found* drivers=*INI section not found* Shell & screensaver key from Registry: Shell=Explorer.exe SCRNSAVE.EXE=*Registry value not found* drivers=*Registry value not found* Policies Shell key: HKCU\..\Policies: Shell=*Registry key not found* HKLM\..\Policies: Shell=*Registry value not found* -------------------------------------------------- Enumerating Browser Helper Objects: (no name) - C:\DOKUME~1\Peter\EIGENE~1\EI462B~1\ADWARE~1\Spybot\SPYBOT~1\SDHelper.dll - {53707962-6F74-2D53-2644-206D7942484F} -------------------------------------------------- Enumerating Download Program Files: [Symantec AntiVirus scanner] InProcServer32 = C:\WINDOWS\Downloaded Program Files\avsniff.dll CODEBASE = http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab [Symantec RuFSI Registry Information Class] InProcServer32 = C:\WINDOWS\Downloaded Program Files\rufsi.dll CODEBASE = http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab [Shockwave Flash Object] InProcServer32 = C:\WINDOWS\System32\macromed\flash\Flash.ocx CODEBASE = http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab -------------------------------------------------- Enumerating ShellServiceObjectDelayLoad items: PostBootReminder: C:\WINDOWS\system32\SHELL32.dll CDBurn: C:\WINDOWS\system32\SHELL32.dll WebCheck: C:\WINDOWS\System32\webcheck.dll SysTray: C:\WINDOWS\System32\stobject.dll System: C:\WINDOWS\system32\system32.dll -------------------------------------------------- End of report, 5.397 bytes Report generated in 0,016 seconds Command line options: /verbose - to add additional info on each section /complete - to include empty sections and unsuspicious data /full - to include several rarely-important sections /force9x - to include Win9x-only startups even if running on WinNT /forcent - to include WinNT-only startups even if running on Win9x /forceall - to include all Win9x and WinNT startups, regardless of platform /history - to list version history only ...sieht für mich alles ganz normal aus, bis auf diese mehreren svchost.exe (?). mfg Pimpf |
|
|
||
01.06.2004, 16:10
Moderator
Beiträge: 7805 |
#4
Hab ihn!
C:\WINDOWS\system32\system32.dll ist der uebeltaeter. Scheint eine neue Variante zu sein. Also starte mal im abgesicherten Modus und benenne die Datei um. Starte dann neu und suche in der Registrierung nach system32\system32.dll und loesche den entsprechenden Eintrag. Es waere nett, wenn du die Datei C:\WINDOWS\system32\system32.dll an virus@protecus.de schicken koenntest. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
01.06.2004, 20:43
...neu hier
Themenstarter Beiträge: 8 |
#5
Hab also im abgesicherten Modus unter der Suchfunktion die Datei umbenannt. Alles was ich unter system32.dll gefunden habe war eine Programmbibliothek mit 0 byte (?). Die habe ich also umbenannt. Soll ich die jetzt ganz normal löschen? Was meinst Du mit: "In der Registrierung löschen"? Tut mir leid - aber ich bin noch nicht so bewandert.
MfG Pimpf |
|
|
||
01.06.2004, 21:01
Moderator
Beiträge: 7805 |
#6
Du musst mit dem Explorer im System32 ordner nach der Datei system32.dll suchen und diese entweder loeschen oder umbenennen.
Du kannst auch versuchen diesen Scanner dafuer zu nehmen: http://www.mwti.net/antivirus/free_utilities.asp __________ MfG Ralf SEO-Spam Hunter |
|
|
||
02.06.2004, 20:53
...neu hier
Themenstarter Beiträge: 8 |
#7
Keine Spur mehr von dieser Datei im System32 Ordner. Jedoch hab ich nochmals jedes einzelne Programm, mein System scannen lassen und
Spybot (=> http://beam.to/spybotsd) und AVG (=> www.grisoft.com/us/us_index.php) haben dann zusammen gleich 3 verschiedene Trojaner gefunden und das Problem behoben. Wie die Dinger heißen, hab ich vergessen zu notieren, waren längere Namen, einer hieß Hilling oder so ähnlich. Meinst Du das es zu Problemen führen kann, wenn ich sowohl AntiVir als auch AVG in Zukunft als Wächter laufen lasse? Bis jetzt haben Sie sich noch nicht in die Haar gekriegt mfg Pimpf ...sauber bleiben! Dieser Beitrag wurde am 03.06.2004 um 07:41 Uhr von Pimpf editiert.
|
|
|
||
02.06.2004, 21:13
Moderator
Beiträge: 7805 |
#8
Ja, zusammen geht nicht, die "beisen" sich. Im Zweifelsfall ist Antivir avg vorzuziehen!
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
09.06.2004, 14:52
Member
Beiträge: 37 |
#9
Hi, Raman
Habe das gleich Problem mit den markierten Wörtern. Aber bei mir existiert keine system32.dll Schau Dir bitte mal mein Log an. Danke -Muß mich erstmal abmelden- Kann den Log nicht saven - merkwürdig bis gleich. So habe Ihn. Nach Neustart konnte ich den Log wieder saven. Hier ist er Logfile of HijackThis v1.97.7 Scan saved at 04:06:53, on 09.06.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\McAfee\McAfee VirusScan\Avsynmgr.exe C:\Programme\McAfee\McAfee VirusScan\VsStat.exe C:\WINNT\System32\svchost.exe C:\Programme\McAfee\McAfee VirusScan\Vshwin32.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\Programme\McAfee\McAfee VirusScan\Avconsol.exe C:\WINNT\Explorer.EXE C:\Programme\McAfee\McAfee VirusScan\alogserv.exe C:\Programme\1&1 Programme\cFos\cFosDNT.exe F:\Neu-Install-w2000\icq\ICQLite\ICQLite.exe C:\WINNT\system32\internat.exe C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe C:\Programme\Seti\SetiHide.exe C:\Programme\Seti\seti.exe C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe C:\WINNT\system32\wuauclt.exe E:\Programme\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.klamm.de/?id=127872 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 221.194.25.182:80 O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\3.bin\MYBAR.DLL (file missing) O4 - HKLM\..\Run: [Alogserv] C:\Programme\McAfee\McAfee VirusScan\alogserv.exe O4 - HKLM\..\Run: [cFosDNT] C:\Programme\1&1 Programme\cFos\cFosDNT.exe O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [ICQ Lite] F:\Neu-Install-w2000\icq\ICQLite\ICQLite.exe -minimize O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /startmonitor O4 - HKCU\..\RunOnce: [ICQ Lite] F:\Neu-Install-w2000\icq\ICQLite\ICQLite.exe -trayboot O4 - Startup: Verknüpfung mit SetiHide.exe.lnk = C:\Programme\Seti\SetiHide.exe O4 - Global Startup: Microsoft <span id="OFFICE" class=xxxxkeyword onmouseover="onmo(this);" onmouseout="inMenu=false;hide(this);">Office</span>.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm O9 - Extra button: ICQ 4.0 (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O9 - Extra button: FlashGet (HKLM) O9 - Extra 'Tools' menuitem: &FlashGet (HKLM) O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.rav<span id="ANTIVIRUS" class=xxxxkeyword onmouseover="onmo(this);" onmouseout="inMenu=false;hide(this);">antivirus</span>.com/scan/ravonline.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://<span id="DOWNLOAD" class=xxxxkeyword onmouseover="onmo(this);" onmouseout="inMenu=false;hide(this);">download</span>.macromedia.com/pub/shockwave/cabs/flash/swflash.cab byby Dieser Beitrag wurde am 09.06.2004 um 15:01 Uhr von seb-software editiert.
|
|
|
||
beim Surfen werden bestimmte Wörter, wie z.B. Computer oder Software, gelb hinterlegt und werden, obwohl sie es ursprünglich nicht waren, als Link zu kommerziellen Seiten angezeigt. Ich hatte auch Probleme mit einer unerwünschten Suchstartseite namens yafoo.biz, die ich aber wieder erfolgreich entfernen konnte. Das einzige was geblieben ist sind eben diese gelb hinterlegten Links. Wer kann mir da helfen - wäre sehr dankbar. Mein Scan:
Logfile of HijackThis v1.97.7
Scan saved at 16:26:05, on 31.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Roxio\WinOnCD 6 PE\DirectCD\DirectCD.exe
C:\Dokumente und Einstellungen\All Users\Dokumente\Gemeinsame Software\Scanner\Scan Soft Omni Page\opware32.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Dokumente und Einstellungen\Peter\Eigene Dateien\Eigene Software\Freeware\AntiVir\AVGNT.EXE
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Dokumente und Einstellungen\Peter\Eigene Dateien\Eigene Software\Freeware\AntiVir\AVGUARD.EXE
C:\Dokumente und Einstellungen\Peter\Eigene Dateien\Eigene Software\Freeware\AntiVir\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Peter\Eigene Dateien\Eigene Software\Adware - Spyware\Hijack\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\WinOnCD 6 PE\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [Omnipage] C:\Dokumente und Einstellungen\All Users\Dokumente\Gemeinsame Software\Scanner\Scan Soft Omni Page\opware32.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [AVGCtrl] C:\Dokumente und Einstellungen\Peter\Eigene Dateien\Eigene Software\Freeware\AntiVir\AVGNT.EXE /min
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F841961F-D7DF-4A3F-B23F-5AC5B6606EC1}: NameServer = 217.237.151.97 194.25.2.129
mfg
Pimpf