smartsearch als startseite |
||
|---|---|---|
| #0
| ||
|
10.06.2004, 12:36
...neu hier
Beiträge: 5 |
||
 
|
|
|
|
10.06.2004, 12:46
Member
Beiträge: 441 |
#2
Hallo,
diese Einträge fixen: F2 - REG:system.ini: Shell=Explorer.exe O1 - Hosts: 213.159.117.235 auto.search.msn.com O16 - DPF: {11111111-1111-1111-1111-111111111111} - mhtml:file://C:NXSFT.MHT!http://209.8.161.52:80/iex/ofile.exe?url=http://209.8.161.52:80/dexDE897.exe O16 - DPF: {11111111-1111-1111-1111-111111111123} - file://c:\Recycled\1.exe O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab __________ Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen. Neuaufsetzen des Systems/Absicherung! HJT Anleitung |
|
|
|
|
|
|
10.06.2004, 13:38
...neu hier
Themenstarter Beiträge: 5 |
#3
Auch das hilft leider nicht, es ist zum verzweifeln....
|
|
|
|
|
|
|
10.06.2004, 19:19
Member
Beiträge: 441 |
#4
Du solltest auf jeden Fall dein System updaten.
Danach erstellst du ein neues Log-File und postest es, ohne jeglichen Einsatz von CWShredder. __________ Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen. Neuaufsetzen des Systems/Absicherung! HJT Anleitung |
|
|
|
|
|
|
10.06.2004, 20:49
Moderator
Beiträge: 7805 |
#5
Suche mal in der Registrierung nach
{53B95211-7D77-11D2-9F82-00104B107C96} wahrscheinlich hier: HKEY_CLASSES_ROOT\CLSID\{53B95211-7D77-11D2-9F82-00104B107C96} \InProcServer32 schau mal, welche Datei dort angegeben ist. Zufaellig C:\WINDOWS\System32\msxslab.dll ? __________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
10.06.2004, 21:02
...neu hier
Themenstarter Beiträge: 5 |
||
|
|
|
|
|
10.06.2004, 21:30
Moderator
Beiträge: 7805 |
#7
Also den "o18" Eintrag fixen neu starten und die Datei C:\WINDOWS\System32\msxslab.dll
loeschen. __________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
10.06.2004, 23:30
...neu hier
Themenstarter Beiträge: 5 |
#8
Es klappt!!! Ich fass es nit! Danke! Danke! Danke!
|
|
|
|
|
|
|
11.06.2004, 20:07
...neu hier
Beiträge: 1 |
#9
Moin,
toll das jens1984 geholfen werden konnte. Leider hab ich kein XP sondern Win 98 SE und meine smartsearch - startseite iss noch da. Komischerweise ist nur die Startseite verstellt (obwhl unter Startseite about:blank steht) kein hijacking beim tippen der url ohne http:// oder ähnliches. zumindest ein Teil der Seite scheint auf meinem Rechner zu liegen, wenn ich nämlich meinen w-lan-usb-adapter rauszieh und den IE starte kommt die Seite auch. Bis auf das Logo, das kommt nur wenn online.(von http://206.161.207.99/slogo.gif) (hab natürlich vorher alle temporären Dateien gelöscht, und hoffe damit den Cache geleert zu haben ??!) also hab ich auf meinem rechner gesucht, aber nirgendwo das gefunden was der IE da als Startseite lädt ? (würde mich über Aufklärung freuen) Aber schön wär natürlich wenn ich das Ding irgendwie wegbekäme, deswegen hier mal mein Log (Spybot, AdAware, CWshredder laufen zwar, haben aber nix zu meckern): Logfile of HijackThis v1.97.7 Scan saved at 20:16:34, on 11.06.04 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MDM.EXE C:\PROGRAMME\NORTON UTILITIES\NPROTECT.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRA~1\MEDIAS~1\ONSCRE~1\OSD.EXE C:\PROGRAMME\MEDIASCAPE\AIRBOARD MANAGER\MEDIACTR.EXE C:\PROGRAMME\MEDIASCAPE\AIRBOARD MANAGER\AIRBOARD.EXE C:\IMAGEMATE COMPACTFLASH USB\SANDICON.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\WINDOWS\SYSTEM\BTUSRBDG.EXE C:\TMP\MT.EXE C:\PROGRAMME\WLAN UTILITIES\WLAN USB DONGLE\WLANMONITOR.EXE C:\WINDOWS\SYSTEM\LEXBCES.EXE C:\PROGRAMME\NORTON UTILITIES\SYSDOC32.EXE C:\WINDOWS\SYSTEM\RPCSS.EXE C:\WINDOWS\SYSTEM\LEXPPS.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\WINDOWS\SYSTEM\INTERNAT.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\NOTEPAD.EXE C:\TMP\HIJACKTHIS.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [OnScreen Display] C:\PROGRA~1\MEDIAS~1\ONSCRE~1\OSD.EXE O4 - HKLM\..\Run: [KBD MediaCenter] C:\PROGRA~1\MEDIAS~1\AIRBOA~1\MEDIACTR.EXE O4 - HKLM\..\Run: [Airboard Manager] C:\PROGRA~1\MEDIAS~1\AIRBOA~1\AIRBOARD.EXE O4 - HKLM\..\Run: [SandIcon] C:\ImageMate CompactFlash USB\SandIcon.Exe O4 - HKLM\..\Run: [NPROTECT] C:\Programme\Norton Utilities\NPROTECT.EXE O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - HKLM\..\Run: [BTUSRBDG] BtUsrBdg.exe O4 - HKLM\..\Run: [LexStart] lexstart.exe O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE O4 - HKLM\..\RunServices: [NPROTECT] C:\Programme\Norton Utilities\NPROTECT.EXE O4 - Startup: Configuration & Monitor Utility.lnk = C:\Programme\WLAN Utilities\WLAN USB Dongle\WlanMonitor.exe O4 - Startup: Norton System Doctor.lnk = C:\Programme\Norton Utilities\SYSDOC32.EXE O9 - Extra button: RealGuide (HKLM) O9 - Extra button: Mobilen Favoriten erstellen (HKLM) O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... (HKLM) O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://cs6.chat.sc5.yahoo.com/v43/yacscom.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?37991.5957060185 O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = abv O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.1.1 zu den Prozessen: MT.EXE ist Mein Traffic (Trafficmesser Freeware) LEXBCES.EXE und LEXPPS.EXE sind vom Lexmarkdrucker BTUSRBDG.EXE ist der Bluetoothmanager OSD.EXE ist ein OnScreenDisplay meines Keyboards warum muss mein rechner eigentlich sein powerprofile zweimal laden ? hm ... ich hoffe jemand kann mir einen tip geben wie ich die smartsearch seite wieder loswerde. Danke fürs zuhören. :-) |
|
|
|
|
|
|
11.06.2004, 22:01
Ehrenmitglied
 Beiträge: 29434 |
#10
@Sommer
http://www.mwti.net/antivirus/free_utilities.asp scanne mal mit der mwav.exe und poste das Endlog. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 11.06.2004 um 22:02 Uhr von Sabina editiert.
|
|
|
|
|
|
|
11.06.2004, 23:25
...neu hier
Beiträge: 2 |
#11
Hi,
unter [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\main gibt es zwei Einträge ( die namen wechseln deshalb hier kein Name) deren Werte in Unicode geschrieben sind, die sehen so aus: res://%43%3a%5c%57%49%4e%44%4f%57%53%5c%53%59%53%54%45%4d%5c%42%50%45%2e%44%4c%4c/%73%70%2e%68%74%6d%6c die beziehen sich auf das Lokale file lösch die 2. Alle Explorer Fenster schliessen ( IE und WE ) hijackthis drüberlaufen lassen und die "BO zahl" Einträge vertilgen. Reboot und Smartsearch ist vergessen :-) |
|
|
|
|
|
|
13.06.2004, 01:16
...neu hier
Beiträge: 5 |
#12
Hallo, habe ebenfalls das SmartSearch Problem!
Habe mal dieses HijackThis verwendet, wäre toll wenn mir jemand von euch helfen könnte! Logfile of HijackThis v1.97.7 Scan saved at 01:15:35, on 13.06.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\Ati2evxx.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\Norton Internet Security\Norton AntiVirus\navapsvc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe D:\icq2000b\ICQ\NDetect.exe D:\Kazaa\kazaa.exe C:\WINDOWS\system32\slserv.exe C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe C:\PROGRA~1\Save\Save.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\System32\rundll32.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\ATI Multimedia\RemCtrl\ATIX10.exe D:\Digitalkamera\NkVwMon.exe C:\Norton Internet Security\Norton AntiVirus\SAVScan.exe C:\WINDOWS\System32\rundll32.exe C:\WINDOWS\System32\wuauclt.exe D:\Markus\mwav.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\WinAce\WinAce.exe C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Besitzer\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Besitzer\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Besitzer\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Besitzer\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Besitzer\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Besitzer\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.lycos.de/ O1 - Hosts: 213.159.117.235 auto.search.msn.com O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Mirabilis ICQ] D:\icq2000b\ICQ\NDetect.exe O4 - HKLM\..\Run: [KAZAA] D:\Kazaa\kazaa.exe /SYSTRAY O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe" O4 - HKLM\..\Run: [WhenUSave] C:\PROGRA~1\Save\Save.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Norton Internet Security\UrlLstCk.exe O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [ATI Remote Control] C:\Programme\ATI Multimedia\RemCtrl\ATIX10.exe O4 - HKCU\..\Run: [ATI Launchpad] "C:\Programme\ATI Multimedia\main\launchpd.exe" O4 - Startup: Registration-Studio 8 SE.lnk = D:\Pinnacle\Studio 8\Register\RegTool.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: NkVwMon.exe.lnk = D:\Digitalkamera\NkVwMon.exe O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM) O9 - Extra button: ATI TV (HKLM) O9 - Extra button: ICQ (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM) O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O16 - DPF: {00000000-663f-49e8-bdf6-f26db51c7dd5} - O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://c:\MAIN.MHT!http://213.159.117.235/buka.chm::/x.exe O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {486E48B5-ABF2-42BB-A327-2679DF3FB822} - http://akamai.downloadv3.com/binaries/IA/ia_XP.cab O16 - DPF: {6ABC861A-31E7-4D91-B43B-D3C98F22A5C0} (SecureWeb Class) - http://secure.goodthinxx.com/(1giyl54510pctljna2vjtw45)/secureweb/securewebgt.cab O16 - DPF: {94742E3F-D9A1-4780-9A87-2FFA43655DA2} - http://akamai.downloadv3.com/binaries/DialHTML/EGDHTML_pack_XP.cab O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab O16 - DPF: {F57D17AE-CE37-4BC8-B232-EA57747BE5E7} - http://66.230.146.53/EPlugin.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{B0069276-2121-4CFA-9B49-9C4539708C30}: NameServer = 192.168.0.1 O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F81-00104B107C96} |
|
|
|
|
|
|
13.06.2004, 02:30
Member
Beiträge: 441 |
#13
Hallo Marki,
melde dich im abgesicherten Modus an, deaktiviere Systemwiederherstellung und fixe dies Einträge: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Besitzer\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Besitzer\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Besitzer\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Besitzer\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Besitzer\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Besitzer\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O1 - Hosts: 213.159.117.235 auto.search.msn.com O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O16 - DPF: {00000000-663f-49e8-bdf6-f26db51c7dd5} - O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://c:\MAIN.MHT!http://213.159.117.235/buka.chm::/x.exe O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F81-00104B107C96} Zitat raman posteteO4 - HKLM\..\Run: [WhenUSave] C:\PROGRA~1\Save\Save.exe Ist dir die Save.exe bekannt, wenn nicht auch fixen Jetzt unter Start->Einstellungen->Systemsteuerung->Software: New.net deinstallieren. Wichtig: Lade dir aber sicherheitshalber zuvor LSP-Fix runter, falls du keine Internet Verbindung herstellen kannst, setzt du dieses Tool ein. Die temporären Internet Files löschen. Mit mwav.exe deinen System scannen, danach http://v4.windowsupdate.microsoft.com/de/default.asp besuchen und unbedingt dein System updaten. __________ Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen. Neuaufsetzen des Systems/Absicherung! HJT Anleitung |
|
|
|
|
|
|
13.06.2004, 03:04
Ehrenmitglied
Beiträge: 29434 |
#14
@Marki
Ich poste noch einmal ein SaeuberungsLog, weil das vorige nicht ganz komplett war. Deaktiviere die Wiederherstellung http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 scanne mit dem HijackThis, dann hake an, was ich poste und \fix\ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Besitzer\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Besitzer\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Besitzer\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Besitzer\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Besitzer\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Besitzer\LOKALE~1\Temp\sp.html O1 - Hosts: 213.159.117.235 auto.search.msn.com O4 - HKLM\..\Run: [Mirabilis ICQ] D:\icq2000b\ICQ\NDetect.exe O4 - HKLM\..\Run: [KAZAA] D:\Kazaa\kazaa.exe /SYSTRAY O4 - HKLM\..\Run: [WhenUSave] C:\PROGRA~1\Save\Save.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O16 - DPF: {00000000-663f-49e8-bdf6-f26db51c7dd5} - O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://c:\MAIN.MHT!http://213.159.117.235/buka.chm::/x.exe neustarten 2.Mache einen Onlinescann http://www.pestscan.com/ScanOrTrial.asp 3.Lade AdAware\ free und Spybot und CWHredder http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html und scanne ohne Internetverbindung 4.Loesche unter InternetOptionen die TemporaryInternetFiles und stelle einen neue Startseite ein. 5.Aktualisiere den IE auf IE 6 SP 1 http://www.microsoft.com/windows/ie_intl/de/ie6sp1.mspx 6.Lade den Firefox als Zweitbrowser...ist hijackerfrei http://www.firebird-browser.de/ 7.Lade die mwav.exe, scanne und poste das Endlog von diesem scann http://www.mwti.net/antivirus/free_utilities.asp MfG Sabina http://www.pestpatrol.com/PestInfo/w/whenusave.asp __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 13.06.2004 um 03:17 Uhr von Sabina editiert.
|
|
|
|
|
|
|
13.06.2004, 10:53
...neu hier
Themenstarter Beiträge: 5 |
#15
Hi!
Wollte mich nochmal zurückmelden, bei mir klappt es nämlich doch nicht so hundertprozentig. Beim starten von IE kommt jetzt zwar nicht mehr die smartsearchseite sondern eine "seite nicht gefunden" seite, was mich ja eigentlich nicht stört, denn so springt wenigstens nicht immer mein antivirenprog an. Aber wenn ich eine URL eingebe die es nicht gibt, springt der IE auf http://aifind.info/ und ich bekomme wieder virenwarnungen. Hat da jemand noch ne Idee? Vielen Dank schonmal! Jens Hier mein logfile: Logfile of HijackThis v1.97.7 Scan saved at 10:55:02, on 13.06.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\mgabg.exe C:\apache\mysql\bin\mysqld-nt.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe C:\WINDOWS\System32\PDesk\PDesk.exe C:\Programme\TV Movie\TV Movie Clickfinder\tvtip.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\T-DSL SpeedManager\SpeedMgr.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\ICQPlus\vplus.exe C:\Programme\ATnotes\ATnotes.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\T-DSL SpeedManager\tsmsvc.exe C:\Programme\ICQ\ICQ.exe C:\Programme\Outlook Express\msimn.exe C:\Programme\Internet Explorer\iexplore.exe D:\HijackThis.exe O1 - Hosts: 213.159.117.235 auto.search.msn.com O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\downloaded program files\googletoolbar1.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\downloaded program files\googletoolbar1.dll O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\NDetect.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [Memory Check] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINDOWS\System32\PDesk\PDesk.exe /Autolaunch O4 - HKLM\..\Run: [TVTip] C:\Programme\TV Movie\TV Movie Clickfinder\tvtip.EXE /m O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKCU\..\Run: [ICQ Plus] "C:\Programme\ICQPlus\vplus.exe" O4 - HKCU\..\Run: [ATnotes.exe] C:\Programme\ATnotes\ATnotes.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Startup: WinMySQLadmin.lnk = C:\apache\mysql\bin\winmysqladmin.exe O8 - Extra context menu item: &Google Search - res://c:\windows\downloaded program files\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Backward &Links - res://c:\windows\downloaded program files\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\windows\downloaded program files\GoogleToolbar1.dll/cmcache.html O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20021126/qtinstall.info.apple.com/dribnif/de/win/QuickTimeInstaller.exe O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} - http://www.mt-download.com/MediaTicketsInstaller.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38110.579537037 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/1,5,0,4351/mcfscan.cab O16 - DPF: {FE5D6722-826F-11D5-A24E-0060B0F1A5AE} (Tukati Launcher) - http://www.tukati.com/software/4/1.7.20.20/tukati.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{5485B95C-9201-4C03-82C2-CF53A1703E37}: NameServer = 217.237.150.33 194.25.2.129 O17 - HKLM\System\CS2\Services\Tcpip\..\{5485B95C-9201-4C03-82C2-CF53A1703E37}: NameServer = 217.237.150.33 194.25.2.129 O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F82-00104B107C96} |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Ich habe schon im Forum gesucht und einige Einträge gefunden, aber leider hab ich das Problem immernoch: Beim Starten vom IE öffnet sich die smartsearch-Seite. Cwschredder hab ich auch schon probiert, das hilft auch nicht.
Könnt ihr mit meinen Logfiles was anfangen?
Logfile of HijackThis v1.97.7
Scan saved at 12:37:44, on 10.06.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\mgabg.exe
C:\apache\mysql\bin\mysqld-nt.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
C:\WINDOWS\System32\PDesk\PDesk.exe
C:\Programme\TV Movie\TV Movie Clickfinder\tvtip.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\ICQPlus\vplus.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\ATnotes\ATnotes.exe
C:\apache\mysql\bin\winmysqladmin.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\ICQ\ICQ.exe
C:\Dokumente und Einstellungen\Jens\Lokale Einstellungen\Temporary Internet Files\Content.IE5\2LSWOG5R\HijackThis[1].exe
C:\Programme\Outlook Express\msimn.exe
F2 - REG:system.ini: Shell=Explorer.exe
O1 - Hosts: 213.159.117.235 auto.search.msn.com
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\downloaded program files\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\downloaded program files\googletoolbar1.dll
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\NDetect.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [Memory Check] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINDOWS\System32\PDesk\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [TVTip] C:\Programme\TV Movie\TV Movie Clickfinder\tvtip.EXE /m
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKCU\..\Run: [ICQ Plus] "C:\Programme\ICQPlus\vplus.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ATnotes.exe] C:\Programme\ATnotes\ATnotes.exe
O4 - Startup: WinMySQLadmin.lnk = C:\apache\mysql\bin\winmysqladmin.exe
O8 - Extra context menu item: &Google Search - res://c:\windows\downloaded program files\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\windows\downloaded program files\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\windows\downloaded program files\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://c:\windows\downloaded program files\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Recherchieren (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: SEARCH (HKLM)
O9 - Extra button: ENTERTAINMENT (HKLM)
O9 - Extra button: PILLS (HKLM)
O9 - Extra button: SECURITY (HKLM)
O9 - Extra button: SEARCH (HKLM)
O16 - DPF: {11111111-1111-1111-1111-111111111111} - mhtml:file://C:NXSFT.MHT!http://209.8.161.52:80/iex/ofile.exe?url=http://209.8.161.52:80/dexDE897.exe
O16 - DPF: {11111111-1111-1111-1111-111111111123} - file://c:\Recycled\1.exe
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20021126/qtinstall.info.apple.com/dribnif/de/win/QuickTimeInstaller.exe
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38110.579537037
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/1,5,0,4351/mcfscan.cab
O16 - DPF: {FE5D6722-826F-11D5-A24E-0060B0F1A5AE} (Tukati Launcher) - http://www.tukati.com/software/4/1.7.20.20/tukati.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5485B95C-9201-4C03-82C2-CF53A1703E37}: NameServer = 217.237.150.33 194.25.2.129
O17 - HKLM\System\CS2\Services\Tcpip\..\{5485B95C-9201-4C03-82C2-CF53A1703E37}: NameServer = 217.237.150.33 194.25.2.129
O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F82-00104B107C96}
Vielen Dank schonmal für Eure Mühe!
MfG Jens