Mal wieder Smartsearch

#1 Sorry, das ich wieder ein neuen Thread dafür erstelle, hatte mich jedoch zuerst woanders hinten rangehängt aber keine Antwort bekommen, deshalb noch mal so:

Hallo erst mal an alle,
ich bin der Neue und bin natürlich hier, weil ich auf Eure Hilfe hoffe.

Es geht wie bei so vielen hier um SmartSearch als Starseite.

Habe bisher folgendes probiert (jeweils mit Update)
AntiVir
CWShredder
Ad-aware 6.0
mwav.exe
manuell alle temp, internet temp und cookies gelöscht
Startseite über Systemsteuerung neu eingestellt.

Hilft alles nicht.
Da ich die entsprechenden Log-Files nicht verstehe...
nun die bitte um Eure Hilfe.

Hier alle infos:

Einzige Meldung von mwav.exe (die ganze Log hab ich auch, wenn jemand sie braucht:
File C:\WINDOWS\system32\drivers\etc\hosts tagged as not-a-virus:AdvWare.Toolbar.XmlMimeFilter. No Action Taken.

ogfile of HijackThis v1.97.7
Scan saved at 13:16:51, on 15.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Mozilla1.6\Mozilla.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\devldr32.exe
C:\Dokumente und Einstellungen\Frau\Desktop\HijackThis.exe

O1 - Hosts: 213.159.117.235 auto.search.msn.com
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Mozilla1.6\Mozilla.exe" -turbo
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\Office\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren (HKLM)
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://c:\MAIN.MHT!http://213.159.117.235/buka.chm::/x.exe
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38152.5623032407
O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F81-00104B107C96}

Danke schon mal!!!

Lars "SSDLametta"

#2 Fix:
O1 - Hosts: 213.159.117.235 auto.search.msn.com
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://c:\MAIN.MHT!http://213.159.117.235/buka.chm::/x.exe
O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F81-00104B107C96}

MFG
DAFRA


P.s.
Poste danach mal ein Log im Abgesicherten Modus.

#3 @SSDLametta
Das hier muß auch gefixt werden
O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F81-00104B107C96}

Schau auch aml ob du eine Datei namens msxword.dll im C:\windows\system32
hast. Die kann dann gelöscht werden.

Dann auch wichtig, mal dies machen
http://www.rokop-security.de/main/article.php?sid=703

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#4 Danke@ Dafra und Paff,
nun scheint das Problem behoben zu sein.

Habe 4lle Einträge mit HiJack gefixt, dann msxword.dll im C:\windows\system32 gesucht, gefunden und gelöscht.
Dann Ad-aware, Spybot (unglaublich noch mal 33 Treffer) und CWShredder.
Noch mal alle TempDateien gelöscht. Problem scheint weg.

:-) :-) :-)

#5 @SSDLametta

Mehr Infos zum HiJacker gibts hier
http://www.rokop-security.de/board/index.php?showtopic=3629

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware