smartsearch als Startseite und andy1 als Icon

#0
16.06.2004, 21:08
Member

Themenstarter

Beiträge: 16
#16 Hallo sabina,
also die Wiederherstellung war bereits deaktiviert.

Ich habe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
gefixt

Logfile of HijackThis v1.97.7
Scan saved at 21:09:39, on 16.06.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCSETMGR.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\STARTER.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\NIKON\NKVIEW5\NKVMON.EXE
C:\PROGRAMME\FOTOSTATION EASY\FOTOSTATION EASY AUTOLAUNCH.EXE
C:\WINDOWS\TEMP\MWAVSCAN.COM
C:\WINDOWS\TEMP\KAVSS.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\OUTLOOK EXPRESS\MSIMN.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\EIGENE DATEIEN\DOWNLOADS\SPYWARE\HIJACKTHIS.EXE

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe"
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
O4 - Startup: NkvMon.exe.lnk = C:\Programme\Nikon\NkView5\NkvMon.exe
O4 - Startup: FotoStation Easy AutoLaunch.lnk = C:\Programme\FotoStation Easy\FotoStation Easy AutoLaunch.exe
O12 - Plugin for .avi: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .wav: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?38151.4631712963




Tuneup hat wohl nichts gravierendes gefunden.
Ich habe nun escan nochmals durchlaufen lassen.
Es wurden 83 "Sachen" gefunden".
u. a. Trojan.Win32.startpage.au
(ich denke hier liegt der Kern des Übels)
Nach der Aufforderung ein reboot vorzunehmen hat nun auch alles ohne Absturz funktioniert.
Ich habe dann nochmals escan durchlaufen lassen mit dem Ergebnis daß die gleichen Trojaner wieder gefunden werden ,- also nicht gelöscht waren.
Trotz der Deaktivierung der Wiederherstellung.
Vielen Dank für weitere Ratschläge
Gruß
Seitenanfang Seitenende
17.06.2004, 08:57
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#17 Sieh mal bitte, wo der Trojaner\Trojan.Win32.startpage.au \sich versteckt hat, der escann muesste die Datei angeben....loesche dann diesen Trojaner manuell.

scanne bitte auch noch einmal mit
AdAware free
http://www.lavasoft.de/
Spyhunter
http://www.spy-bot.net/manual.asp

Bevor du dann das Log noch einmal postest, loesche bitte unter InternetOptionen die TemporaryInternetFiles und stelle eine Startseite ein.

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 17.06.2004 um 09:00 Uhr von Sabina editiert.
Seitenanfang Seitenende
17.06.2004, 22:11
Member

Themenstarter

Beiträge: 16
#18 Hallo Sabina, das manuelle Löschen geht leider nicht.
Ich werde immer darauf hingewiesen daß die Quelldatei geöffnet ist.
Wie soll ich weiter vorgehen?

Mit Adaware free habe ich nochmals gescannt.
Hier das Log.

Lavasoft Ad-aware Personal Build 6.181
Logfile created on ;)onnerstag, 17. Juni 2004 20:40:50
Created with Ad-aware Personal, free for private use.
Using reference-file :01R318 13.06.2004
______________________________________________________

Ad-aware Settings
=========================
Set : Activate in-depth scan (Recommended)
Set : Safe mode (always request confirmation)
Set : Scan active processes
Set : Scan registry
Set : Deep scan registry


17.06.2004 20:40:50 - Scan started. (Custom mode)


Deep scanning and examining files (C;)
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

TS Cash Object recognized!
Type : File
Data : a0370023.1
Object : C:\_RESTORE\TEMP\
FileSize : 25 KB
Copyright : /

Auch hier wird also in C:\_RESTORE\TEMP\ was gefunden

Hier sind es aber nur 4 Objekte gegenüber derer 83 bei mwav.exe

Auch Adaware kann nicht löschen (Datei wird benutzt) und weist auf einen Löschvorgang beim reboot hin.

spyhunter findet nichts, obwohl C:\_RESTORE\TEMP auch durchsucht wurde.

Viele Grüße
Seitenanfang Seitenende
17.06.2004, 22:58
Member

Beiträge: 1095
#19 @tuemmer
schlat mal deine Systemwiederherstellung ab und starte neu.
Dann ist alles in C:\_RESTORE\TEMP gelöscht
http://www.bsi.bund.de/av/texte/wiederher.htm

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
18.06.2004, 09:44
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#20 Auch Adaware kann nicht löschen (Datei wird benutzt) und weist auf einen Löschvorgang beim reboot hin.........................

Das akzeptiert man, bootet und beim Hochfahren loescht das AdAware dann dire Malware.
Poste mal das Endergebnis vom scann mit mwav.exe.
Gruss
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.06.2004, 10:30
Member

Themenstarter

Beiträge: 16
#21 Hallo Sabina,
es ist mir nun gelungen

in C:\_RESTORE\TEMP alles zu löschen was mwav.exe gefunden hat.

Demnach müsste mein Rechner ja clean (zumindest was das betrifft) sein.

Merkwürdigerweise musste das Häkchen bei der Systemwiederherstellung "deaktivieren" nicht gesetzt sondern weggenommen werden.
Somit war die Wiederherstellung ausser Kraft!?

Nach dem Starten des IE wird zwar immer noch die Seite "Smartsearch" angezeigt der Wählvorgang oder die Suche die vorher durchgeführt wurde ist aber weg.

Auch ist merkwürdig daß die Seite unter Einstellungen nicht angezeigt wird sondern about blank dort steht.

Eine Startseite ist weiterhin eingestellt und beim klicken auf Home wird diese auch angezeigt. Bei dieser handelt es sich um:

http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

Ändert man diese nun wird die neue bis zum nächsten Startvorgang auch beibehalten.

Nach einem Neustart des IE ist jedoch alles beim Alten.
Wieder about blank und als Startseite
http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

Überigens die Temporären Files hatte ich vorher gelöscht.

Was kann ich denn nun machen?

Ich werde nun nochmals mwav.exe und adaware laufen lassen und posten.

Vielen Dank für weitere Hilfe
Seitenanfang Seitenende
18.06.2004, 11:56
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#22 Lade von dieser Site den CWHredder und den Sphjfix und scanne ohne Internetverbindung
http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html

stelle eine Startseite deiner Wahl ein, Yahoo oder anderes, dann poste das HijackThisLog bitte noch einmal.
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 18.06.2004 um 11:58 Uhr von Sabina editiert.
Seitenanfang Seitenende
19.06.2004, 12:18
Member

Themenstarter

Beiträge: 16
#23 Hallo Sabina,

CWshredder und Sphjfix sowie Adaware finden nichts.
mwav.exe findet noch:

C:\windows\system\sysupd.exe tagged as a not virus:Adv Ware TC cash No aktion taken

File C:\Programme\Norton Antivirus\Quarantine\05C065C0 und 05C30FBC
infectedBy "I-worm.NetSky.aa Virus Action taken File deleted

Nun habe ich eine Startseite eingestellt und mit Hijack this gescanned

Logfile of HijackThis v1.97.7
Scan saved at 12:15:01, on 19.06.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCSETMGR.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\STARTER.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\NIKON\NKVIEW5\NKVMON.EXE
C:\PROGRAMME\FOTOSTATION EASY\FOTOSTATION EASY AUTOLAUNCH.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\OUTLOOK EXPRESS\MSIMN.EXE
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\EIGENE DATEIEN\DOWNLOADS\SPYWARE\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe"
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
O4 - Startup: NkvMon.exe.lnk = C:\Programme\Nikon\NkView5\NkvMon.exe
O4 - Startup: FotoStation Easy AutoLaunch.lnk = C:\Programme\FotoStation Easy\FotoStation Easy AutoLaunch.exe
O12 - Plugin for .avi: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .wav: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?38151.4631712963

Vielen Dank für Hilfe
Gruß
Seitenanfang Seitenende
19.06.2004, 14:43
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#24 @Thuemmers67

1. loesche bitte sysupd.exe
2.Sieh an...der I-worm.NetSky.aa Virus wurde geloescht.....
3.Jetzt funktioniert bestimmt wieder alles, wie es soll., wenn die Spyware geloescht ist.
4. Lade noch den Firefox als Zweit/und SurfBrowser...ist hijackerfrei und surfe nur mit ihm.
http://www.firebird-browser.de/


MfG
Sabina
http://www.pestpatrol.com/PestInfo/s/sysupd_exe.asp
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 19.06.2004 um 14:45 Uhr von Sabina editiert.
Seitenanfang Seitenende
19.06.2004, 15:07
Member

Themenstarter

Beiträge: 16
#25 Hallo Sabina,
Nachdem ich nochmals mwav.exe durchlaufen gelassen habe wurde nur noch
sysupd.exe
angezeigt
welche ich manuell gelöscht habe.
Nach einem Neustart erhielt ich nun auch den Hinweis
daß die "Konfigurationsdateien" (wieder) aktualisiert werden
obwohl ich an der Systemwiederherstellung nichts geändert habe und diese trotz dem Entfernen des Häkchens ausgeschaltet war.
Die Startseite ist aber immer noch da.
Trotz dem Löschen der temporären Files und vor allem auch ohne Internetverbindung.
Diese ist offenbar woanders (als in dem temporären Ordner) gespeichert.
Ich lasse nun nochmal mwav.exe laufen und werde posten.
Vielen Dank für weitere Hilfe
Gruß
Seitenanfang Seitenende
19.06.2004, 15:48
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#26 sysupd.exe
suche mal in der Registry nach einem Hinweis auf diese exe
Start\Ausfuehren\regedit


ueberpruefe mal, was mit deinem Symantec los ist

O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe"
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"


#Loesche unter InternetOptionenen die Cookies

#Gehe in der Registry in
Software\Microsoft\Internet Explorer\Main "Start Page"
und stelle eine Startseite dort ein.

#Scanne noch einmal mit AdAware free...vorher updaten !!!!!
http://www.lavasoft.de/


Dann poste das HijackThis MIT der Startseite, die aktuell ist....

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 19.06.2004 um 15:57 Uhr von Sabina editiert.
Seitenanfang Seitenende
19.06.2004, 17:30
Member

Themenstarter

Beiträge: 16
#27 Hallo,
in der Registry wird kein sysupd.exe gefunden

O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe"
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"

soll das gefixt werden?

#Loesche unter InternetOptionenen die Cookies - gemacht

#Gehe in der Registry in
Software\Microsoft\Internet Explorer\Main "Start Page"
und stelle eine Startseite dort ein. - gemacht

Beim ersten Start des IE wird die Startseite auch geladen

Beim 2. ist about blank wieder da mit "smartsearch"

Schau mal was jetzt adaware findet

Started registry scan
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

Registry scan result :
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
New objects : 0
Objects found so far: 0


Started deep registry scan
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Possible browser hijack attempt : Software\Microsoft\Internet Explorer\MainStart Pageabout:blank

Possible Browser Hijack attempt Object recognized!
Type : RegData
Data : "about:blank"
Rootkey : HKEY_CURRENT_USER
Object : Software\Microsoft\Internet Explorer\Main
Value : Start Page
Data : "about:blank"

Possible browser hijack attempt : Software\Microsoft\Internet Explorer\MainStart Pageabout:blank

Possible Browser Hijack attempt Object recognized!
Type : RegData
Data : "about:blank"
Rootkey : HKEY_LOCAL_MACHINE
Object : Software\Microsoft\Internet Explorer\Main
Value : Start Page
Data : "about:blank"

Possible browser hijack attempt : .Default\Software\Microsoft\Internet Explorer\MainStart Pageabout:blank

Possible Browser Hijack attempt Object recognized!
Type : RegData
Data : "about:blank"
Rootkey : HKEY_USERS
Object : .Default\Software\Microsoft\Internet Explorer\Main
Value : Start Page
Data : "about:blank"


Deep registry scan result :
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
New objects : 3
Objects found so far: 3


¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯


Deep scanning and examining files (C;)
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯


Performing conditional scans..
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

Conditional scan result:
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
New objects : 0
Objects found so far: 3


17:19:20 Scan complete

Summary of this scan
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Total scanning time :00:12:26:270
Objects scanned :47969
Objects identified :3
Objects ignored :0
New objects :3

Ich lösche das jetzt und poste wieder

Gruß


Hallo
es kann bisher nicht gelöscht werden,
das Problem ist wohl die Systemwiederherstellung.
Wenn ich die Systemwiederherstellung deaktiviere und mit adaware lösche, aktiviert sich die Systemwiederherstellung selbstständig wieder und nach dem Neustart hat sich nichts geändert.

Wie kann ich das umgehen?

Vielen Dank für Hilfe
Dieser Beitrag wurde am 19.06.2004 um 18:04 Uhr von tuemmers65 editiert.
Seitenanfang Seitenende
20.06.2004, 08:17
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#28 #.O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe"
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
nicht fixen, ist dein Symantec und
ccSetMgr
ccEvtMgr
sind nicht die Gleichen, wie ich faelschlich dachte.

#Versuche noch einmal die mwav.exe zu laden und poste das Endergebnis.
http://www.mwti.net/antivirus/free_utilities.asp

#falls du es nicht schon vorher gemacht hast...
Lade TuneUp 2003...30 Tage frei und optimiere ....das mit der selbststaendigen Wiederherstellung klingt sehr eigenartig.
http://www.tuneup.de/download/tu2003/


#Loesche bitte nicht mit dem AdAware, sondern klicke auf Quarantaene!!!!!!
Dann #Gehe in der Registry in
Software\Microsoft\Internet Explorer\Main "Start Page"
#und stelle eine Startseite dort ein.
#Unter InternetOptionen machst du das Gleiche.

Dann berichte.
Gruss
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 20.06.2004 um 08:21 Uhr von Sabina editiert.
Seitenanfang Seitenende
20.06.2004, 08:26
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#29 zitat aus einem anderen Thread
...........................................................
Zitat:
Die Adresse, die bei jedem Neustart des IE nach dem Entfernen der Files mit Ad-Aware kommt ist folgender:

www(punkt)microsoft.com/isapi/redir.dll?prd=ie&clcid=0x0407&pver=6.0&ar=home

Nachdem der IE diese Startseite öffnet (oder es auch nur versucht), meldet Ad-Aware folgende Infektionen, die zuvor bereits damit entfernt wurden, erneut:

Vendor : Possible Browser Hijack attempt
Category : Data Miner
Object Type : RegData
Location:Software\Microsoft\Internet Explorer\Main "Start Page" ("about:blank")
Comment : Possible browser hijack attempt
Description : Possible attempt to control\redirect the browser. This object referrs to a "blacklisted" site.

Vendor : Tracking Cookie
Categoryata Miner
Object Type:File
Size:327 Bytes
Location:c:\...\cookies\xxx@as1.falkag[2].txt
Comment:

Leider spuckt Ad-Aware die about:blank als "Possible Browser Hijack attempt" aus. Dies ist nur da es mal einen HiJacker gab der dies machte.
Wenn du jetzt die About:Blank mit AdAware entfernst , findet Windows keine Startseite und trägt sozusagen seine ab Werk eingetragenen ein. Das ist die
"http://www.microsoft.com/isapi/redir.dll?prd=ie&clcid=0x0407&pver=6.0&ar=home"
Einfach diesen Possible HiJack attempt ignorieren Possible=möglicherweise

Den "tracking Cookie" fängst du dir durch surfen ein. Das ist leider so und kann nicht vermieden werden es sei den du stellst den Browser auf "No Cookies".
Dann macht das surfen ab keinen Spass mehr.
Diese Cookies sind nicht gefährlich. Sie sammeln nur Infos für den Betreiber der Seite. Data Miner ~ Datensammler

Würde mir keine ersnthaften Sorgen machen
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 20.06.2004 um 08:27 Uhr von Sabina editiert.
Seitenanfang Seitenende
20.06.2004, 12:18
Member

Themenstarter

Beiträge: 16
#30 Hallo Sabina,- folgendes:

-#Versuche noch einmal die mwav.exe zu laden und poste das Endergebnis.

mwav findet jetzt noch:
C:\Norton Antivirus\Quarantine\28CA2COB und 50BE505B und 79DB691D und weißt auf "I-Worm.Netsky.c bzw.aa hin und "file deleted"

-falls du es nicht schon vorher gemacht hast...
Lade TuneUp 2003...30 Tage frei und optimiere ....das mit der selbststaendigen Wiederherstellung klingt sehr eigenartig.

Habe ich gemacht,- es wird nichts gefunden (habe alles mal durchlaufen lassen)
Das mit der Wiederherstellung ist wirklich eigenartig.

Nachdem adaware nachstehendes gelöscht hat

Started deep registry scan
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Possible browser hijack attempt : Software\Microsoft\Internet Explorer\MainStart Pageabout:blank

Possible Browser Hijack attempt Object recognized!
Type : RegData
Data : "about:blank"
Rootkey : HKEY_CURRENT_USER
Object : Software\Microsoft\Internet Explorer\Main
Value : Start Page
Data : "about:blank"

Possible browser hijack attempt : Software\Microsoft\Internet Explorer\MainStart Pageabout:blank

Possible Browser Hijack attempt Object recognized!
Type : RegData
Data : "about:blank"
Rootkey : HKEY_LOCAL_MACHINE
Object : Software\Microsoft\Internet Explorer\Main
Value : Start Page
Data : "about:blank"

Possible browser hijack attempt : .Default\Software\Microsoft\Internet Explorer\MainStart Pageabout:blank

Possible Browser Hijack attempt Object recognized!
Type : RegData
Data : "about:blank"
Rootkey : HKEY_USERS
Object : .Default\Software\Microsoft\Internet Explorer\Main
Value : Start Page
Data : "about:blank"

funktioniert alles richtig.

Als Startseite erscheint msn.
Nach dem Neustart des Rechners ist aber Smartsearch als Startseite wieder da.
Diese Startseite ist irgendwo auf meinem Rechner gespeichert da sie dann wieder nach dem Löschen der Temporären Files und der Cookies auch ohne Netzverbindung wieder da ist.

Das deaktivieren der Wiederherstellung funktioniert nicht,- es stellt sich selbstständig wieder um.


-#Loesche bitte nicht mit dem AdAware, sondern klicke auf Quarantaene!!!!!!
Dann #Gehe in der Registry in
Software\Microsoft\Internet Explorer\Main "Start Page"
#und stelle eine Startseite dort ein.
#Unter InternetOptionen machst du das Gleiche.


Das habe ich gemacht es ändert nichts.

Ich müsste das was Adaware löscht dauerhaft (ohne Wiederherstellung beim Neustart) löschen können dann müsste eigentlich alles weg sein


-Dann #Gehe in der Registry in
Software\Microsoft\Internet Explorer\Main "Start Page"
#und stelle eine Startseite dort ein.


Das beseitigt die Smartsearch Seite für einen Startvorgang des IE. Nach dem 2. Start von IE ist Smartsearch wieder da.

Wie kann ich nach dem Löschvorgang durch Adaware die Systemwiederherstellung wirklich deaktivieren?

Hier nochmal Logfile

Logfile of HijackThis v1.97.7
Scan saved at 12:50:59, on 20.06.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCSETMGR.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\STARTER.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\NIKON\NKVIEW5\NKVMON.EXE
C:\PROGRAMME\FOTOSTATION EASY\FOTOSTATION EASY AUTOLAUNCH.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\EIGENE DATEIEN\DOWNLOADS\SPYWARE\HIJACKTHIS.EXE

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe"
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
O4 - Startup: NkvMon.exe.lnk = C:\Programme\Nikon\NkView5\NkvMon.exe
O4 - Startup: FotoStation Easy AutoLaunch.lnk = C:\Programme\FotoStation Easy\FotoStation Easy AutoLaunch.exe
O12 - Plugin for .avi: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .wav: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?38151.4631712963



Vielen Dank für weitere Hinweise
Gruß
Dieser Beitrag wurde am 20.06.2004 um 12:50 Uhr von tuemmers65 editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: