smartsearch als startseite

#0
10.06.2004, 12:36
...neu hier

Beiträge: 5
#1 Hi!

Ich habe schon im Forum gesucht und einige Einträge gefunden, aber leider hab ich das Problem immernoch: Beim Starten vom IE öffnet sich die smartsearch-Seite. Cwschredder hab ich auch schon probiert, das hilft auch nicht.

Könnt ihr mit meinen Logfiles was anfangen?

Logfile of HijackThis v1.97.7
Scan saved at 12:37:44, on 10.06.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\mgabg.exe
C:\apache\mysql\bin\mysqld-nt.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
C:\WINDOWS\System32\PDesk\PDesk.exe
C:\Programme\TV Movie\TV Movie Clickfinder\tvtip.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\ICQPlus\vplus.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\ATnotes\ATnotes.exe
C:\apache\mysql\bin\winmysqladmin.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\ICQ\ICQ.exe
C:\Dokumente und Einstellungen\Jens\Lokale Einstellungen\Temporary Internet Files\Content.IE5\2LSWOG5R\HijackThis[1].exe
C:\Programme\Outlook Express\msimn.exe

F2 - REG:system.ini: Shell=Explorer.exe
O1 - Hosts: 213.159.117.235 auto.search.msn.com
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\downloaded program files\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\downloaded program files\googletoolbar1.dll
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\NDetect.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [Memory Check] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINDOWS\System32\PDesk\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [TVTip] C:\Programme\TV Movie\TV Movie Clickfinder\tvtip.EXE /m
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKCU\..\Run: [ICQ Plus] "C:\Programme\ICQPlus\vplus.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ATnotes.exe] C:\Programme\ATnotes\ATnotes.exe
O4 - Startup: WinMySQLadmin.lnk = C:\apache\mysql\bin\winmysqladmin.exe
O8 - Extra context menu item: &Google Search - res://c:\windows\downloaded program files\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\windows\downloaded program files\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\windows\downloaded program files\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://c:\windows\downloaded program files\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Recherchieren (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: SEARCH (HKLM)
O9 - Extra button: ENTERTAINMENT (HKLM)
O9 - Extra button: PILLS (HKLM)
O9 - Extra button: SECURITY (HKLM)
O9 - Extra button: SEARCH (HKLM)
O16 - DPF: {11111111-1111-1111-1111-111111111111} - mhtml:file://C:NXSFT.MHT!http://209.8.161.52:80/iex/ofile.exe?url=http://209.8.161.52:80/dexDE897.exe
O16 - DPF: {11111111-1111-1111-1111-111111111123} - file://c:\Recycled\1.exe
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20021126/qtinstall.info.apple.com/dribnif/de/win/QuickTimeInstaller.exe
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38110.579537037
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/1,5,0,4351/mcfscan.cab
O16 - DPF: {FE5D6722-826F-11D5-A24E-0060B0F1A5AE} (Tukati Launcher) - http://www.tukati.com/software/4/1.7.20.20/tukati.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5485B95C-9201-4C03-82C2-CF53A1703E37}: NameServer = 217.237.150.33 194.25.2.129
O17 - HKLM\System\CS2\Services\Tcpip\..\{5485B95C-9201-4C03-82C2-CF53A1703E37}: NameServer = 217.237.150.33 194.25.2.129
O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F82-00104B107C96}



Vielen Dank schonmal für Eure Mühe!
MfG Jens
Seitenanfang Seitenende
10.06.2004, 12:46
Member

Beiträge: 441
#2 Hallo,
diese Einträge fixen:
F2 - REG:system.ini: Shell=Explorer.exe
O1 - Hosts: 213.159.117.235 auto.search.msn.com
O16 - DPF: {11111111-1111-1111-1111-111111111111} - mhtml:file://C:NXSFT.MHT!http://209.8.161.52:80/iex/ofile.exe?url=http://209.8.161.52:80/dexDE897.exe
O16 - DPF: {11111111-1111-1111-1111-111111111123} - file://c:\Recycled\1.exe
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung
Seitenanfang Seitenende
10.06.2004, 13:38
...neu hier

Themenstarter

Beiträge: 5
#3 Auch das hilft leider nicht, es ist zum verzweifeln....
Seitenanfang Seitenende
10.06.2004, 19:19
Member

Beiträge: 441
#4 Du solltest auf jeden Fall dein System updaten.
Danach erstellst du ein neues Log-File und postest es, ohne jeglichen Einsatz von CWShredder.
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung
Seitenanfang Seitenende
10.06.2004, 20:49
Moderator

Beiträge: 7798
#5 Suche mal in der Registrierung nach

{53B95211-7D77-11D2-9F82-00104B107C96}


wahrscheinlich hier:
HKEY_CLASSES_ROOT\CLSID\{53B95211-7D77-11D2-9F82-00104B107C96}
\InProcServer32
schau mal, welche Datei dort angegeben ist.
Zufaellig C:\WINDOWS\System32\msxslab.dll ?
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
10.06.2004, 21:02
...neu hier

Themenstarter

Beiträge: 5
#6 Hi Raman!

Ja, diese Datei ist da angegeben...
Seitenanfang Seitenende
10.06.2004, 21:30
Moderator

Beiträge: 7798
#7 Also den "o18" Eintrag fixen neu starten und die Datei C:\WINDOWS\System32\msxslab.dll
loeschen.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
10.06.2004, 23:30
...neu hier

Themenstarter

Beiträge: 5
#8 Es klappt!!! Ich fass es nit! Danke! Danke! Danke!
Seitenanfang Seitenende
11.06.2004, 20:07
...neu hier

Beiträge: 1
#9 Moin,

toll das jens1984 geholfen werden konnte.
Leider hab ich kein XP sondern Win 98 SE und meine smartsearch - startseite iss noch da. Komischerweise ist nur die Startseite verstellt (obwhl unter Startseite about:blank steht) kein hijacking beim tippen der url ohne http:// oder ähnliches. zumindest ein Teil der Seite scheint auf meinem Rechner zu liegen, wenn ich nämlich meinen w-lan-usb-adapter rauszieh und den IE starte kommt die Seite auch. Bis auf das Logo, das kommt nur wenn online.(von http://206.161.207.99/slogo.gif) (hab natürlich vorher alle temporären Dateien gelöscht, und hoffe damit den Cache geleert zu haben ??!) also hab ich auf meinem rechner gesucht, aber nirgendwo das gefunden was der IE da als Startseite lädt ? (würde mich über Aufklärung freuen)
Aber schön wär natürlich wenn ich das Ding irgendwie wegbekäme, deswegen hier mal mein Log (Spybot, AdAware, CWshredder laufen zwar, haben aber nix zu meckern):

Logfile of HijackThis v1.97.7
Scan saved at 20:16:34, on 11.06.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MDM.EXE
C:\PROGRAMME\NORTON UTILITIES\NPROTECT.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRA~1\MEDIAS~1\ONSCRE~1\OSD.EXE
C:\PROGRAMME\MEDIASCAPE\AIRBOARD MANAGER\MEDIACTR.EXE
C:\PROGRAMME\MEDIASCAPE\AIRBOARD MANAGER\AIRBOARD.EXE
C:\IMAGEMATE COMPACTFLASH USB\SANDICON.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\BTUSRBDG.EXE
C:\TMP\MT.EXE
C:\PROGRAMME\WLAN UTILITIES\WLAN USB DONGLE\WLANMONITOR.EXE
C:\WINDOWS\SYSTEM\LEXBCES.EXE
C:\PROGRAMME\NORTON UTILITIES\SYSDOC32.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\LEXPPS.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\NOTEPAD.EXE
C:\TMP\HIJACKTHIS.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [OnScreen Display] C:\PROGRA~1\MEDIAS~1\ONSCRE~1\OSD.EXE
O4 - HKLM\..\Run: [KBD MediaCenter] C:\PROGRA~1\MEDIAS~1\AIRBOA~1\MEDIACTR.EXE
O4 - HKLM\..\Run: [Airboard Manager] C:\PROGRA~1\MEDIAS~1\AIRBOA~1\AIRBOARD.EXE
O4 - HKLM\..\Run: [SandIcon] C:\ImageMate CompactFlash USB\SandIcon.Exe
O4 - HKLM\..\Run: [NPROTECT] C:\Programme\Norton Utilities\NPROTECT.EXE
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [BTUSRBDG] BtUsrBdg.exe
O4 - HKLM\..\Run: [LexStart] lexstart.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM\..\RunServices: [NPROTECT] C:\Programme\Norton Utilities\NPROTECT.EXE
O4 - Startup: Configuration & Monitor Utility.lnk = C:\Programme\WLAN Utilities\WLAN USB Dongle\WlanMonitor.exe
O4 - Startup: Norton System Doctor.lnk = C:\Programme\Norton Utilities\SYSDOC32.EXE
O9 - Extra button: RealGuide (HKLM)
O9 - Extra button: Mobilen Favoriten erstellen (HKLM)
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... (HKLM)
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://cs6.chat.sc5.yahoo.com/v43/yacscom.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?37991.5957060185
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = abv
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.1.1

zu den Prozessen:
MT.EXE ist Mein Traffic (Trafficmesser Freeware)
LEXBCES.EXE und LEXPPS.EXE sind vom Lexmarkdrucker
BTUSRBDG.EXE ist der Bluetoothmanager
OSD.EXE ist ein OnScreenDisplay meines Keyboards

warum muss mein rechner eigentlich sein powerprofile zweimal laden ? hm ...


ich hoffe jemand kann mir einen tip geben wie ich die smartsearch seite wieder loswerde.

Danke fürs zuhören. :-)
Seitenanfang Seitenende
11.06.2004, 22:01
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 @Sommer
http://www.mwti.net/antivirus/free_utilities.asp
scanne mal mit der mwav.exe und poste das Endlog.
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 11.06.2004 um 22:02 Uhr von Sabina editiert.
Seitenanfang Seitenende
11.06.2004, 23:25
...neu hier

Beiträge: 2
#11 Hi,
unter
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\main

gibt es zwei Einträge ( die namen wechseln deshalb hier kein Name) deren Werte in Unicode geschrieben sind, die sehen so aus:
res://%43%3a%5c%57%49%4e%44%4f%57%53%5c%53%59%53%54%45%4d%5c%42%50%45%2e%44%4c%4c/%73%70%2e%68%74%6d%6c
die beziehen sich auf das Lokale file lösch die 2. Alle Explorer Fenster schliessen ( IE und WE ) hijackthis drüberlaufen lassen und die "BO zahl" Einträge vertilgen. Reboot und Smartsearch ist vergessen :-)
Seitenanfang Seitenende
13.06.2004, 01:16
...neu hier

Beiträge: 5
#12 Hallo, habe ebenfalls das SmartSearch Problem!

Habe mal dieses HijackThis verwendet, wäre toll wenn mir jemand von euch helfen könnte!


Logfile of HijackThis v1.97.7
Scan saved at 01:15:35, on 13.06.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
D:\icq2000b\ICQ\NDetect.exe
D:\Kazaa\kazaa.exe
C:\WINDOWS\system32\slserv.exe
C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\PROGRA~1\Save\Save.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\ATI Multimedia\RemCtrl\ATIX10.exe
D:\Digitalkamera\NkVwMon.exe
C:\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\wuauclt.exe
D:\Markus\mwav.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\WinAce\WinAce.exe
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Besitzer\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Besitzer\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Besitzer\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Besitzer\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Besitzer\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Besitzer\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.lycos.de/
O1 - Hosts: 213.159.117.235 auto.search.msn.com
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] D:\icq2000b\ICQ\NDetect.exe
O4 - HKLM\..\Run: [KAZAA] D:\Kazaa\kazaa.exe /SYSTRAY
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [WhenUSave] C:\PROGRA~1\Save\Save.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ATI Remote Control] C:\Programme\ATI Multimedia\RemCtrl\ATIX10.exe
O4 - HKCU\..\Run: [ATI Launchpad] "C:\Programme\ATI Multimedia\main\launchpd.exe"
O4 - Startup: Registration-Studio 8 SE.lnk = D:\Pinnacle\Studio 8\Register\RegTool.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NkVwMon.exe.lnk = D:\Digitalkamera\NkVwMon.exe
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: ATI TV (HKLM)
O9 - Extra button: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O16 - DPF: {00000000-663f-49e8-bdf6-f26db51c7dd5} -
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://c:\MAIN.MHT!http://213.159.117.235/buka.chm::/x.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {486E48B5-ABF2-42BB-A327-2679DF3FB822} - http://akamai.downloadv3.com/binaries/IA/ia_XP.cab
O16 - DPF: {6ABC861A-31E7-4D91-B43B-D3C98F22A5C0} (SecureWeb Class) - http://secure.goodthinxx.com/(1giyl54510pctljna2vjtw45)/secureweb/securewebgt.cab
O16 - DPF: {94742E3F-D9A1-4780-9A87-2FFA43655DA2} - http://akamai.downloadv3.com/binaries/DialHTML/EGDHTML_pack_XP.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab
O16 - DPF: {F57D17AE-CE37-4BC8-B232-EA57747BE5E7} - http://66.230.146.53/EPlugin.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B0069276-2121-4CFA-9B49-9C4539708C30}: NameServer = 192.168.0.1
O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F81-00104B107C96}
Seitenanfang Seitenende
13.06.2004, 02:30
Member

Beiträge: 441
#13 Hallo Marki,
melde dich im abgesicherten Modus an, deaktiviere Systemwiederherstellung und fixe dies Einträge:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Besitzer\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Besitzer\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Besitzer\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Besitzer\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Besitzer\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Besitzer\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O1 - Hosts: 213.159.117.235 auto.search.msn.com
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O16 - DPF: {00000000-663f-49e8-bdf6-f26db51c7dd5} -
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://c:\MAIN.MHT!http://213.159.117.235/buka.chm::/x.exe

O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F81-00104B107C96}

Zitat

raman postete
Suche mal in der Registrierung nach
{53B95211-7D77-11D2-9F82-00104B107C96}
wahrscheinlich hier:
HKEY_CLASSES_ROOT\CLSID\{53B95211-7D77-11D2-9F82-00104B107C96}
\InProcServer32
schau mal, welche Datei dort angegeben ist.
Zufaellig C:\WINDOWS\System32\msxslab.dll ?Also den "o18" Eintrag fixen neu starten und die Datei C:\WINDOWS\System32\msxslab.dll
loeschen
O4 - HKLM\..\Run: [WhenUSave] C:\PROGRA~1\Save\Save.exe
Ist dir die Save.exe bekannt, wenn nicht auch fixen

Jetzt unter Start->Einstellungen->Systemsteuerung->Software: New.net deinstallieren.
Wichtig: Lade dir aber sicherheitshalber zuvor LSP-Fix runter, falls du keine Internet Verbindung herstellen kannst, setzt du dieses Tool ein.
Die temporären Internet Files löschen.
Mit mwav.exe deinen System scannen, danach http://v4.windowsupdate.microsoft.com/de/default.asp besuchen und unbedingt dein System updaten.
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung
Seitenanfang Seitenende
13.06.2004, 03:04
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 @Marki
Ich poste noch einmal ein SaeuberungsLog, weil das vorige nicht ganz komplett war.

Deaktiviere die Wiederherstellung
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

scanne mit dem HijackThis, dann hake an, was ich poste und \fix\

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Besitzer\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Besitzer\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Besitzer\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Besitzer\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Besitzer\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Besitzer\LOKALE~1\Temp\sp.html

O1 - Hosts: 213.159.117.235 auto.search.msn.com

O4 - HKLM\..\Run: [Mirabilis ICQ] D:\icq2000b\ICQ\NDetect.exe
O4 - HKLM\..\Run: [KAZAA] D:\Kazaa\kazaa.exe /SYSTRAY
O4 - HKLM\..\Run: [WhenUSave] C:\PROGRA~1\Save\Save.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s

O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O16 - DPF: {00000000-663f-49e8-bdf6-f26db51c7dd5} -
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://c:\MAIN.MHT!http://213.159.117.235/buka.chm::/x.exe

neustarten


2.Mache einen Onlinescann
http://www.pestscan.com/ScanOrTrial.asp

3.Lade AdAware\ free und Spybot und CWHredder
http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html
und scanne ohne Internetverbindung

4.Loesche unter InternetOptionen die TemporaryInternetFiles und stelle einen neue Startseite ein.

5.Aktualisiere den IE auf IE 6 SP 1
http://www.microsoft.com/windows/ie_intl/de/ie6sp1.mspx

6.Lade den Firefox als Zweitbrowser...ist hijackerfrei
http://www.firebird-browser.de/

7.Lade die mwav.exe, scanne und poste das Endlog von diesem scann
http://www.mwti.net/antivirus/free_utilities.asp

MfG
Sabina

http://www.pestpatrol.com/PestInfo/w/whenusave.asp
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 13.06.2004 um 03:17 Uhr von Sabina editiert.
Seitenanfang Seitenende
13.06.2004, 10:53
...neu hier

Themenstarter

Beiträge: 5
#15 Hi!

Wollte mich nochmal zurückmelden, bei mir klappt es nämlich doch nicht so hundertprozentig. Beim starten von IE kommt jetzt zwar nicht mehr die smartsearchseite sondern eine "seite nicht gefunden" seite, was mich ja eigentlich nicht stört, denn so springt wenigstens nicht immer mein antivirenprog an. Aber wenn ich eine URL eingebe die es nicht gibt, springt der IE auf http://aifind.info/ und ich bekomme wieder virenwarnungen. Hat da jemand noch ne Idee?

Vielen Dank schonmal!
Jens

Hier mein logfile:

Logfile of HijackThis v1.97.7
Scan saved at 10:55:02, on 13.06.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\mgabg.exe
C:\apache\mysql\bin\mysqld-nt.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
C:\WINDOWS\System32\PDesk\PDesk.exe
C:\Programme\TV Movie\TV Movie Clickfinder\tvtip.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ICQPlus\vplus.exe
C:\Programme\ATnotes\ATnotes.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\ICQ\ICQ.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\HijackThis.exe

O1 - Hosts: 213.159.117.235 auto.search.msn.com
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\downloaded program files\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\downloaded program files\googletoolbar1.dll
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\NDetect.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [Memory Check] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINDOWS\System32\PDesk\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [TVTip] C:\Programme\TV Movie\TV Movie Clickfinder\tvtip.EXE /m
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [ICQ Plus] "C:\Programme\ICQPlus\vplus.exe"
O4 - HKCU\..\Run: [ATnotes.exe] C:\Programme\ATnotes\ATnotes.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: WinMySQLadmin.lnk = C:\apache\mysql\bin\winmysqladmin.exe
O8 - Extra context menu item: &Google Search - res://c:\windows\downloaded program files\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\windows\downloaded program files\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\windows\downloaded program files\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20021126/qtinstall.info.apple.com/dribnif/de/win/QuickTimeInstaller.exe
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38110.579537037
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/1,5,0,4351/mcfscan.cab
O16 - DPF: {FE5D6722-826F-11D5-A24E-0060B0F1A5AE} (Tukati Launcher) - http://www.tukati.com/software/4/1.7.20.20/tukati.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5485B95C-9201-4C03-82C2-CF53A1703E37}: NameServer = 217.237.150.33 194.25.2.129
O17 - HKLM\System\CS2\Services\Tcpip\..\{5485B95C-9201-4C03-82C2-CF53A1703E37}: NameServer = 217.237.150.33 194.25.2.129
O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F82-00104B107C96}
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: