Immer wieder öffnet sich die Startseite "SmartSearch"....brauche Hilfe!! |
||
---|---|---|
#0
| ||
14.06.2004, 19:48
...neu hier
Beiträge: 1 |
||
|
||
14.06.2004, 20:18
...neu hier
Beiträge: 3 |
#2
hallo!
ich habe seit zwei tagen das gleiche problem! Konnte nicht erkennen dass ich irgendwie umgeleitet werde aber diese startseite stört doch ziemlich. wenn ich den msn pop-up-blocker ausschalte öffnet sich der internet explorer tausend mal leer (keine seite gefunden oder so) hintereinander. adaware und den shredder habe ich auch schon ausprobiert. norton system works findet auch nichts! vielleicht könnt ihr helfen?! mfG Benedict Logfile of HijackThis v1.97.7 Scan saved at 19:59:35, on 14.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\System32\alg.exe C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartService.exe C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\hawker1\LOKALE~1\Temp\Rar$EX00.146\HijackThis.exe O1 - Hosts: 213.159.117.235 auto.search.msn.com O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar\01.01.1629.0\de\msntb.dll O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe O4 - HKLM\..\Run: [QD FastAndSafe] C:\Programme\Norton SystemWorks\Norton CleanSweep\QDCSFS.exe /startup O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [THGuard] "C:\Programme\TrojanHunter 3.9\THGuard.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Startup: ccApp.lnk = C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/09f33e2fc31a84052220/netzip/RdxIE601_de.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37943.5809837963 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/region/de/techsupp/activedata/ActiveData.cab O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F81-00104B107C96} |
|
|
||
16.06.2004, 02:13
...neu hier
Beiträge: 10 |
#3
hi,
lest mal meinen Thread, hatte gleiches Probl. Gruss micha (meikel-k) http://board.protecus.de/t10578.htm |
|
|
||
16.06.2004, 18:49
Ehrenmitglied
Beiträge: 29434 |
#4
@sanremo
fixe mit dem HijackThis O1 - Hosts: 213.159.117.235 auto.search.msn.com neustarten 1. gehe in die Registry Start\Ausfuehren\regedit HIer der Eintrag: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{53B95211-7D77-11D2-9F81-00104B107C96} loesche rechts den Wert, wenn er da ist. 2 .Dann suche eine C:\WINNT\system32\msxword.dll und, wenn sie da ist loesche sie. 3. Lade XP/Clean 5.5. http://www.xpclean.de/index.htm?http://www.xpclean.de/xpcleangold.htm und saeubere die Host/Datei, es sollte nur 127.0.0.1 drinstehen oder Geh mal zu C:\WINDOWS\SYSTEM32\DRIVERS\ETC\Hosts mit dem Editor oeffen ..notepad Dort sollte nur 127.0.0.1 drinstehen . Alles andere loeschen 4. dann loesche unter InternetOptionen die TemporaryInternetFiles und stelle dort auch einen Startseite nach Wunsch ein. 5. Lade AdAware free und scanne http://www.lavasoft.de/ 6. Lade SpyHunter und scanne http://www.spy-bot.net/manual.asp Dann poste das Log noch einmal. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 16.06.2004 um 19:03 Uhr von Sabina editiert.
|
|
|
||
16.06.2004, 19:10
Ehrenmitglied
Beiträge: 29434 |
#5
@Shumy
Lade das HijackThis, scanne, save und kopiere das Log ins Forum. So wird dir geholfen... http://board.protecus.de/t9391.htm MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
17.06.2004, 00:26
...neu hier
Beiträge: 3 |
#6
Hallo Sabina!
Vielen Dank für Deine Antwort!!! Diese CLSID in der Registry kann ich nicht finden. Muss man die haben? msxword.dll habe ich gelöscht. in ETC\Hosts steht noch localhost hinter den Ziffern. Weg damit? Danach habe ich nicht neu gestartet und Spy-bot hat nix gefunden, ad-aware hat aber folgendes gefunden (jetzt in Quarantäne): Herstellerossible Browser Hijack attempt Kategorieata Miner Objekt Typ:Reg.Daten Grösse:- Ort:Software\Microsoft\Internet Explorer\Main "Start Page" ("about:blank") War geladen:16.06.2004 Gefährdung:Mittel Kommentar:Möglicher Browser-Hijack Versuch Beschreibungossible attempt to control\redirect the browser. This object referrs to a "blacklisted" site. findet er jetzt aber auch nicht mehr. Die Startseite ist jetzt weg. Also Alles gut? Oder gibts noch was zu tun? Vielen Dank Benedict Hier das neue Log: Logfile of HijackThis v1.97.7 Scan saved at 00:18:03, on 17.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\System32\alg.exe C:\PROGRA~1\NORTON~1\NORTON~2\GHOSTS~2.EXE C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\hawker1\LOKALE~1\Temp\Rar$EX00.297\HijackThis.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://127.0.0.1:8080/proxyconf O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar\01.01.1629.0\de\msntb.dll O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe O4 - HKLM\..\Run: [QD FastAndSafe] C:\Programme\Norton SystemWorks\Norton CleanSweep\QDCSFS.exe /startup O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [THGuard] "C:\Programme\TrojanHunter 3.9\THGuard.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Startup: ccApp.lnk = C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://active.macromedia.com/flash2/cabs/swflash.cab O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F81-00104B107C96} |
|
|
||
17.06.2004, 09:57
Ehrenmitglied
Beiträge: 29434 |
#7
Stelle mal bitte eine Startseite unter InternetOptionen ein und poste das Log noch einmal.
Lokalhost 127.0.0.1 ist o.k. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 17.06.2004 um 10:24 Uhr von Sabina editiert.
|
|
|
||
17.06.2004, 19:23
...neu hier
Beiträge: 3 |
#8
Hallo Sabina!
Eingestellt ist jetzt die Standardseite von IE. Grüsse Benedict Logfile of HijackThis v1.97.7 Scan saved at 19:23:47, on 17.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\System32\alg.exe C:\PROGRA~1\NORTON~1\NORTON~2\GHOSTS~2.EXE C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe C:\WINDOWS\System32\svchost.exe C:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXE C:\Programme\Microsoft Office\Office10\WINWORD.EXE C:\Programme\Messenger\msmsgs.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\hawker1\LOKALE~1\Temp\Rar$EX00.980\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://127.0.0.1:8080/proxyconf O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar\01.01.1629.0\de\msntb.dll O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe O4 - HKLM\..\Run: [QD FastAndSafe] C:\Programme\Norton SystemWorks\Norton CleanSweep\QDCSFS.exe /startup O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [THGuard] "C:\Programme\TrojanHunter 3.9\THGuard.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Startup: ccApp.lnk = C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://active.macromedia.com/flash2/cabs/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{47795361-0567-402A-9AF0-191B9A258094}: NameServer = 217.237.151.225 194.25.2.129 O17 - HKLM\System\CS1\Services\Tcpip\..\{47795361-0567-402A-9AF0-191B9A258094}: NameServer = 217.237.151.225 194.25.2.129 O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F81-00104B107C96} |
|
|
||
18.06.2004, 11:40
Ehrenmitglied
Beiträge: 29434 |
#9
@sanremo
Es ist alles in Ordnung, falls es die Startseite ist, die du wuenscht....kannst natuerlich auch eine andere einstellen. Lade nun den Firefox als Zweit/und SurfBrowser...stelle auch eine Startseite ein und surfe nur mit ihm...ist hijackerfrei http://www.firebird-browser.de/ MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
24.06.2004, 16:08
...neu hier
Beiträge: 1 |
#10
Hallo erstmal bin neu und erleide das gleiche Problem, naja bin ein rechter Haudegen und hab das Pferd mal von hinten aufgezäumt.
Hab in nem anderen Tread von der Datei "msxword.dll" gelesen und diese mal gezielt in dem Verzeichnis gesucht Windows/system32 die Datei zu löschen war unter WINDOOF (Windos) nicht möglich, daher hab ich folgendes gemacht !!! IE Beenden Start Ausführen CMD eingeben und Enter Drücken (Eingabeaufforderung) dort ins Verzeichnis C:\Windows\system32 wechseln dann mit del msxword.dll löschen danach hatte ich die Startseite weg allerdings kommt das die Seite nicht angezeigt werden kann (BLANK) aber ich kann meine eigene wieder eingeben und die Speichert er auch wieder Grüße Normi Dieser Beitrag wurde am 24.06.2004 um 20:46 Uhr von NormBot editiert.
|
|
|
||
Hab schon vieles ausprobiert, wie CWShredder usw., hatte aber bißher noch keine Erfolge...
Gibt es hier irgendeinen Menschen, der mir helfen kann? Verzweifle nämlich langsam!
Eine bitte: Wenns geht eine detailierte Lösung schreiben, da meine Kenntnisse in Sachen PC's nich so gut sind...
mfG
ShumY