Home » Spyware & Browser Hijacker Support Forum » Startseite ändert sich zu: http://kg.mysearch.myway.com/jsp/GGmain.jsp?P » Themenansicht

Startseite ändert sich zu: http://kg.mysearch.myway.com/jsp/GGmain.jsp?P
#0
16.06.2004, 20:18
Betty
Member

Beiträge: 28
#1 Hallo!
Habe ein Problem un schon mit vielen Virenscannern und anderem versucht meinen PC wieder sauber zu bekommen, aber irgendwie scheint das ziemlich hartnäckiges drauf zu sitzen. :-(
Bin schon ziemlich verzweifelt. Aber jetzt habe ich dieses Forum entdeckt und hoffe hier kann mir jemand helfen.
Habe alles befolgt und jetzt diesen Logfile. Kann mir jemand helfen???
Viele Grüße,
Betty

Logfile of HijackThis v1.97.7
Scan saved at 20:18:31, on 16.06.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\WINDOWS\System32\LXSUPMON.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Winamp\winampa.exe
C:\PROGRA~1\Eggs 01 tons\Idle Deaf.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\kdx\KHost.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Yahoo!\Messenger\ypager.exe
C:\Programme\a2\a2guard.exe
C:\Programme\ceytec software\Reminder 99\remind99.exe
C:\WINDOWS\twain_32\CIS600X\WATCH.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Norton Internet Security\ccPxySvc.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\DOKUME~1\Bettina\LOKALE~1\Temp\Rar$EX01.767\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://omegasearch.com/searchbar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://omegasearch.com/searchbar.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://omegasearch.com/passthrough/index.html?http://about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://omegasearch.com/searchbar.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://omegasearch.com/searchbar.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://omegasearch.com/searchbar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: (no name) - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL (disabled by BHODemon)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [CXMon] "C:\Programme\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [DSLSTATEXE] C:\Program Files\GlobespanVirata\Adsl\dslstat.exe icon
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Peak vga] C:\PROGRA~1\Eggs 01 tons\Idle Deaf.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [kdx] C:\WINDOWS\kdx\KHost.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\Run: [a²] "C:\Programme\a2\a2guard.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Reminder 99.lnk = C:\Programme\ceytec software\Reminder 99\remind99.exe
O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\CIS600X\WATCH.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst0401.cab
O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/suite/autocomplete.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
O16 - DPF: {F54C1137-5E34-4B95-95A5-BA56D4D8D743} (Secure Delivery) - http://www.gamespot.com/KDX22/download/kdx.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B0853DE6-5EC5-4B3A-A4B1-4419FB49DF0B}: NameServer = 145.253.2.11 145.253.2.203
Seitenanfang Seitenende
16.06.2004, 22:46
Matze04
Member

Beiträge: 20
#2 Folgendes fixen:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://omegasearch.com/searchbar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://omegasearch.com/searchbar.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://omegasearch.com/passthrough/index.html?http://about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://omegasearch.com/searchbar.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://omegasearch.com/searchbar.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://omegasearch.com/searchbar.html
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
__________
Automatische HijackThis-Auswertung auf www.hijackthis.de
Seitenanfang Seitenende
17.06.2004, 11:08
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#3 @Betty



lade
AdAware
CWHredder
Sphjfix
http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html

Spyhunter
http://www.spy-bot.net/manual.asp

mwav.exe
http://www.mwti.net/antivirus/free_utilities.asp
.......................................................................................
///fixe mit dem HijackThis, wie schon gepostet

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://omegasearch.com/searchbar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://omegasearch.com/searchbar.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://omegasearch.com/passthrough/index.html?http://about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://omegasearch.com/searchbar.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://omegasearch.com/searchbar.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://omegasearch.com/searchbar.html
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL


und starte den Comp. neu !!!!!!!!!!!
gehe in den abgesicherten Modus...F8 beim Hochfahren druecken

.....................................................................................................
1. suche C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL und loesche

2. scanne mit allen Tools

3. Dann loesche unter InternetOptionen die TemporaryInternetFiles und stelle eine Startseite ein.

normal neustarten

4.Lade den Firefox als Zweit und SurfBrowser...ist hijackerfrei
Stelle eine Startseite ein und surfe nur mit ihm
http://www.firebird-browser.de/


Dann poste das Log noch einmal.
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 17.06.2004 um 11:15 Uhr von Sabina editiert.
Seitenanfang Seitenende
17.06.2004, 22:02
Betty
Member

Themenstarter

Beiträge: 28
#4 Hallo!
Vielen Dank für die Hilfe! :-) Die Startseite war jetzt o.k. Habe aber gleich der firebird-browser runtergeladen un den Internet-Explorer runtergeschmissen. Sicher ist sicher. ;-)
Leider habe ich aber immernoch ein Problem.
Wenn ich Spybot laufen lassen zeigt er mir ein Problem an: DSO Exploit. Ich lösche das dann ganz normal, aber bei dem nächsten Scan ist es immernoch da. Weiß jemand wie ich das auch noch los werde? Über Suchen im Explorer finde ich das Teil leider nicht. :-(
Liebe Grüße,
Betty
Seitenanfang Seitenende
18.06.2004, 09:46
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#5 DSO Exploit ist ein Bug vom Spybot.
Mach dir keine Sorgen.
Poste das Log vom HijackThis noch einmal.
Gruss
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.06.2004, 11:04
Betty
Member

Themenstarter

Beiträge: 28
#6 Vielen Dank, Sabina! Jetzt bin ich erleichtert. :-)
Hier nochmal der Log-file:

Logfile of HijackThis v1.97.7
Scan saved at 11:12:10, on 18.06.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Norton Internet Security\NISUM.EXE
C:\WINDOWS\System32\LXSUPMON.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVSched32.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Yahoo!\Messenger\ypager.exe
C:\Programme\a2\a2guard.exe
C:\Programme\ceytec software\Reminder 99\remind99.exe
C:\WINDOWS\twain_32\CIS600X\WATCH.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Norton Internet Security\ccPxySvc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Bettina\LOKALE~1\Temp\Rar$EX00.637\HijackThis.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL (file missing)
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [CXMon] "C:\Programme\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\Run: [a²] "C:\Programme\a2\a2guard.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Reminder 99.lnk = C:\Programme\ceytec software\Reminder 99\remind99.exe
O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\CIS600X\WATCH.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst0401.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
O16 - DPF: {F54C1137-5E34-4B95-95A5-BA56D4D8D743} (Secure Delivery) - http://www.gamespot.com/KDX22/download/kdx.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B0853DE6-5EC5-4B3A-A4B1-4419FB49DF0B}: NameServer = 145.253.2.11 145.253.2.203

Hoffe das ist alles o.k. so.
LG,
Betty
Seitenanfang Seitenende
18.06.2004, 11:47
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#7 es ist leider noch alles beim alten

Fixe mit dem HijackThis\
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL (filemissing)

#neustarten

#gehe in den abgesicherten Modus...F8 beim Hochfahren druecken

#suche und loesche ...falls du es findest
mybar.dll
mwssrcas.dll

My Way Speed Bar...ueber Add/Remove Programs...falls es dort ist


...................................................................................................
Scanne noch einmal mit
AdAware
CWHredder
Sphjfix
http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html

Spyhunter
http://www.spy-bot.net/manual.asp

# normal neustarten
.......................................................................................................
#Loesche die TemporaryInternetFiles unter InternetOptionen und stelle bitte auch eine Startseite ein !!!!!!!!!!!!!!
#aktualisiere den IE auf IE 6 SP1
http://www.microsoft.com/windows/ie_intl/de/ie6sp1.mspx
#Lade den Firefox als Zweitbrowser...ist hijackerfrei...stelle im Browser eine Startseite deiner Whl ein und surfe nur mit ihm.
http://www.firebird-browser.de/

Dann poste das Log noch einmal.

Gruss
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 18.06.2004 um 11:54 Uhr von Sabina editiert.
Seitenanfang Seitenende
18.06.2004, 14:56
Betty
Member

Themenstarter

Beiträge: 28
#8 Hallo Sabina!
:-(( so was blödes!
Ich habe das im Hijackthis das Teil entfernt. Dann habe ich neu gestartet, im gesicherten Modus. Die Teile mybar.dll und mwssrcas.dll habe ich nicht gefunden.
Dann bin ich auf Systemsteuerung und Software gegangen und habe dort das My Speed bar Teil entdeckt. Leider läßt sich das da aber nicht entfernen. Wenn ich auf entfernen gehe kommt da jedes Mal ein Fenster. Darin steht absolut garnichts. Nur in der Kopfzeile steht folgendes: res://C:\PROGRA~1\MyWay\myBar\1.bin\mybar.dll/101
Keine Ahnung was das soll und wieso ich das nicht entfernen kann. :-((
Die anderen Programme habe ich durchlaufen lassen. Leider geht Sphjfix nicht. Ich kann ankicken, dass es scannt, aber es tut absolut garnichts.
Den Internet Explorer habe ich garnicht mehr. Den habe ich gestern gleich rausgeschmissen, nachdem ich Firefox runtergeladen hatte. Soll ich den neuen IE 6 SP1 jetzt runterladen?
Mann, das ist alles so ätzend! Bin am verzweifeln. Woher bekommt man denn so einen Schrott überhaupt?
Kann sich das Teil beim Brennen mit auf CDs setzen? Ich überlege nämlich, ob ich nicht meine wichtigen Sachen brennen soll und den PC einfach platt mache. Dann ist ja alles weg. Ginge bestimmt schneller als so.
Viele Grüße,
Betty
Seitenanfang Seitenende
18.06.2004, 15:04
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#9 Geh mal in die Registry

Start\Ausfuehren\regedit

#Oben links ist die Suchfunktion der Registry

Gib dort ein \MyWay\
und loesche alles, was gefunden wird.

gehe zu folgendem Schluessel
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar

{0494D0D9-F8E0-41ad-92A3-14154ECE70AC}
loeschen
Internet Explorer Browser Helper Object (BHO)

#Lade BHO und schau, ob der Schluessel dort noch erscheint...loeschen
http://www.definitivesolutions.com/bhodemon.htm
{0494D0D9-F8E0-41ad-92A3-14154ECE70AC}

#suche Mybar.dll und loesche

#Dann lade XP/Clean , version 5.5.und saeubere den Comp.
http://www.xpclean.de/index.htm?http://www.xpclean.de/xpcleangold.htm

#den IE 6 SP1 musst du laden, denn der Firefox braucht den IE, um zu funktionieren.
............................................................................................................................
#Dann versuche noch einmal im abgesicherten Modus ueber die Systemsteuerung und Softwaredas Tool zu loeschen.

Dann poste das Log noch einmal.
MfG
Sabina
http://sarc.com/avcenter/venc/data/pf/adware.mybar.html
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 18.06.2004 um 15:19 Uhr von Sabina editiert.
Seitenanfang Seitenende
18.06.2004, 16:24
Betty
Member

Themenstarter

Beiträge: 28
#10 Hallo!

Habe alles gemacht und gelöscht, sofern es da war. Irgendwo waren einige mybar und so teile drin, die habe ich alle gelöscht.
Den neuen IE habe ich jetzt auch und überall ne Startseite drin. ;-)
Im abgesicherten Modus war dann das my search bar schon nicht mehr bei der Software dabei. :-)

Hoffe, dass jetzt endlich alles o.k. ist. Ach nee, da war noch was. Spyhunter zeigt immernoch was an: Kontiki package, das soll da sein: HKEY_CLASSES_ROOT\Kontaki-package. Das wäre dann ja auch in der Registry, oder? Da habe ich nachgeschaut, es aber nicht gefunden.

Naja, ich poste nochmal den Logfile.

LG, und danke für die Hilfe!!!
Betty

Logfile of HijackThis v1.97.7
Scan saved at 16:23:51, on 18.06.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Norton Internet Security\NISUM.EXE
C:\WINDOWS\System32\LXSUPMON.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVSched32.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Yahoo!\Messenger\ypager.exe
C:\Programme\a2\a2guard.exe
C:\Programme\BHODemon\BHODemon.exe
C:\Programme\ceytec software\Reminder 99\remind99.exe
C:\WINDOWS\twain_32\CIS600X\WATCH.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Norton Internet Security\ccPxySvc.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Bettina\LOKALE~1\Temp\Rar$EX00.793\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.virus-aktuell.de/index.htm
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [CXMon] "C:\Programme\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [SpyHunter] C:\Programme\Enigma Software Group\SpyHunter\SpyHunter.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\Run: [a²] "C:\Programme\a2\a2guard.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: BHODemon.lnk = C:\Programme\BHODemon\BHODemon.exe
O4 - Startup: Reminder 99.lnk = C:\Programme\ceytec software\Reminder 99\remind99.exe
O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\CIS600X\WATCH.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst0401.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38156.2209375
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
O16 - DPF: {F54C1137-5E34-4B95-95A5-BA56D4D8D743} (Secure Delivery) - http://www.gamespot.com/KDX22/download/kdx.cab[/b]
Seitenanfang Seitenende
18.06.2004, 16:47
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#11 nimm mal folgendes aus dem Autostart
Start\Ausfuehren\msconfig.....der letzte Reiter ...Systemstart

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe

du solltest die Autostarteintraege \schlanker\ halten, auch wenn die Tools sich bei Gebrauch wieder im Autostart eintragen.

am Besten mit dem RegCleaner
http://www.comzu-heide.de/Downloadbereich/system-utility/system-utility.htm
dort sind unter \Autostart\ alle 04/Eintraege verzeichnet. So kann man das gut kontrollieren.
Ausserdem kannst du das Tool in Deutsch einstellen und unter \Tools\Registry saeubern\ alles durchfuehren\ den Comp. von Dateileiche befreien.
Du kannst ruhig alles gefundene loeschen, denn es verbleibt eine Sicherung.

Dann solltest du dich auch fuer nur EINEN Virenscanner entscheiden....wie es ausschaut hast du drei....

Alles andere deinstallieren.

Das Log ist sauber...dieses Kontiki ist kein Problem.

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 18.06.2004 um 16:51 Uhr von Sabina editiert.
Seitenanfang Seitenende
18.06.2004, 18:49
Betty
Member

Themenstarter

Beiträge: 28
#12 Hallo!
Nochmal vielen Dank für die Hilfe!
Hm, ich habe 3 Virenscanner? Ich habe Antivir und von Norton das Security Teil, aber ohne Antivirus. Norton Antivirus hat gesponne, also hab ichs runtegeschmissen und durch Antivir ersetzt. Den Rest von Norton wollte ich aber behalten. Dachte das wäre o.k. Habe immer nur gehört, dass die Virenprogramme sich nicht vertragen. Der Rest müßte ja gehen, oder?
Un was für ein drittes Virenprogramm ich haben soll weiß ich nicht. Ist es vielleicht eins von den Programmen, die ich runtergeladen habe um den Hijacker und so loszuwerden? Dachte das wären alles keine Virenprogramme sondern was anderes. Könntest Du mir noch einen Tip geben, was ich da runterschmeißen sollte, damit ich einigermaßen geschützt bin?
Danke,
LG,
Betty
Seitenanfang Seitenende
19.06.2004, 00:59
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#13 @Betty

0. Klar, es sind zwei Virenscanner und nicht drei....manchmal faellt das Zaehlen schwer.....
fuehre aber dennoch den oben geposteten Thread aus.

1.Fixe noch die Reste vom Symantec
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"

2.Lade eine Firewall, falls du noch keine hast
Sygate free.....scrollen
http://www.sygate.de/

3. http://www.daph.com/surfen.htm
Wer verhindern möchte, dass Laufwerke automatisch freigegeben werden, kann dies mit folgenden Registry-Einträgen verhindern (Achtung: nur für erfahrene Benutzer!):
\HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters
AutoShareServer REG_DWORD 0 (für Server)
AutoShareWks REG_DWORD 0 (für Workstation)


4. http://www.chip.de/artikel/c_artikel_10859235.html
Diverse Wurm-Angriffen auf Windows-Systeme plagen Computer-Nutzer. Mit der richtigen Strategie können Sie Ihren Rechner ohne großen Aufwand mit Bordmitteln absichern.

mit einem Firewall kann man den ersten Tip ueberlesen.....


5. fixe , damit es aus dem Autostart kommt bei Nichtbenutzung, aber nicht vergessen...einige Tools schreiben sich bei Gebrauch wieder ein unter 04.

O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe"
-atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: BHODemon.lnk = C:\Programme\BHODemon\BHODemon.exe
O4 - HKLM\..\Run: [SpyHunter] C:\Programme\Enigma Software Group\SpyHunter\SpyHunter.exe

dieses Tool kenne ich nicht.......... Dual Xeon 64-bit SBC with VGA and dual Gigabit LAN
Peak 7220VL2G ?????Weiss also nicht, ob es irgend eine Funktion im Autostart hat.
O4 - HKLM\..\Run: [Peak vga] C:\PROGRA~1\Eggs 01 tons\Idle Deaf.exe


6. Installiere xp/antispy
http://www.xp-antispy.org/index.php?option=com_remository&Itemid=26

Gruss
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 19.06.2004 um 06:29 Uhr von Sabina editiert.
Seitenanfang Seitenende
19.06.2004, 14:52
Betty
Member

Themenstarter

Beiträge: 28
#14 Hallo Sabina!
Danke nochmal!
Ja, habe eine Firewall. Deshalb habe ich den Rest von Norton Internet security ja noch. ;-) Die ist echt gut, hat schon vieles abgeblockt. :-)
Antispy habe ich auch.
Die meisten 04 Einträge hatte ich gestern schon rausgeschmissen, ich glaube durch den RegCleaner oder so. Egal, die waren schon weg und den Rest hab ich jetzt auch noch entfernt. :-)
Mein Pc scheint mir jetzt wieder viel "gesünder" zu sein. :-))
Ich poste aber nochmal den aktuellen Logfile:

Logfile of HijackThis v1.97.7
Scan saved at 14:57:12, on 19.06.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Norton Internet Security\NISUM.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\LXSUPMON.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVSched32.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Yahoo!\Messenger\ypager.exe
C:\Programme\a2\a2guard.exe
C:\Programme\ceytec software\Reminder 99\remind99.exe
C:\WINDOWS\twain_32\CIS600X\WATCH.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Norton Internet Security\ccPxySvc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\BitTorrent\btdownloadgui.exe
C:\PROGRA~1\INCRED~1\bin\IncMail.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Bettina\LOKALE~1\Temp\Rar$EX00.525\HijackThis.exe

Hm, wenn ich das hier poste sehe ich immernoch was von Symantec. Aber im Hijacker scan sehe ich das nicht zum anklicken und löschen. Seltsam.

Viele Grüße,
Betty
Seitenanfang Seitenende
19.06.2004, 15:59
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#15 Poste das komplette Log.
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
  • »
  • »
  • »
  • »
  • »
Seite(n): 12