smartsearch als Startseite und keine Ahnung von "Hijackthis"

#0
21.06.2004, 13:10
...neu hier

Beiträge: 4
#1 Ich habe (wie so viele) ein Problem mit smartsearch! Ich habe es als Startseite und bekomme es einfach nicht weg! Einige Anti-Spyware Softwares haben mir zwar schon diese lästigen Meldungen und immer wieder neu geöffnete Internetexplorerfenster entfernt, aber die Startseite ist nicht weggegangen!
Ich habe in anderen foren schon gelesen, dass es dieses Programm "Hijackthis" gibt, ich habe es mir auch kurzerhand runtergeladen, aber ich habe keine Ahnung von diesem Programm!

Ich bedanke mich schon mal im vorraus und hoffe, dass mir jemand helfen kann dieses Problem zu lösen!

MfG Tek.Ger[/b][/u][/i]
Seitenanfang Seitenende
21.06.2004, 13:21
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 http://board.protecus.de/t9391.htm
Lade den HijackThis. scanne, save und kopiere das Log ins Forum
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
21.06.2004, 14:13
...neu hier

Themenstarter

Beiträge: 4
#3 Hier das gewünschte Log:

Logfile of HijackThis v1.97.7
Scan saved at 14:13:52, on 21.06.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\pctspk.exe
G:\ICQ\ICQ-Lite\ICQLite.exe
C:\WINDOWS\Mixer.exe
C:\Programme\Browser MOUSE\mouse32a.exe
G:\Programme\Java\bin\jusched.exe
F:\Battlefield Vietnam\AceGain LiveUpdate\LiveUpdate.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\ahead\InCD\InCD.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
G:\Programme\Musicmatch Jukebox\mm_tray.exe
G:\Programme\Musicmatch Jukebox\mm_server.exe
G:\Programme\CloneCD\CloneCDTray.exe
C:\WINDOWS\winh.exe
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\Programme\Common files\updmgr\updmgr.exe
C:\Program Files\Altnet\Points Manager\Points Manager.exe
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
G:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
G:\Programme\Musicmatch Jukebox\MMDiag.exe
F:\Battlefield Vietnam\AceGain LiveUpdate\aceagent.exe
C:\PROGRA~2\Altnet\DOWNLO~1\asm.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\Mischi\Desktop\Diverses\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://69.31.79.180/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.31.79.180/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.31.79.180/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://69.31.79.180/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://69.31.79.180/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://69.31.79.180/search.php
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://69.31.79.180/search.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.31.79.180/search.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.31.79.180/search.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://69.31.79.180/search.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://69.31.79.180/search.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://69.31.79.180/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://69.31.79.180/search.php
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://69.31.79.180/search.php
R3 - URLSearchHook: PerfectNavBHO Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
O1 - Hosts: 213.159.117.235 auto.search.msn.com
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file)
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O4 - HKLM\..\Run: [ICQ Lite] G:\ICQ\ICQ-Lite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Browser MOUSE\mouse32a.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] G:\Programme\Java\bin\jusched.exe
O4 - HKLM\..\Run: [AceGain LiveUpdate] F:\Battlefield Vietnam\AceGain LiveUpdate\LiveUpdate.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [MMTray] G:\Programme\Musicmatch Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [mm_server] G:\Programme\Musicmatch Jukebox\mm_server.exe
O4 - HKLM\..\Run: [CloneCDTray] "G:\Programme\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [winupd] C:\WINDOWS\System32\winupd.exe
O4 - HKLM\..\Run: [jopa] C:\WINDOWS\System32\sysstartup.exe
O4 - HKLM\..\Run: [Winhost] C:\WINDOWS\winh.exe
O4 - HKLM\..\Run: [ekfxle] C:\WINDOWS\System32\jimtgmsb.exe
O4 - HKLM\..\Run: [alchem] C:\WINDOWS\alchem.exe
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [updmgr] C:\Programme\Common files\updmgr\updmgr.exe
O4 - HKLM\..\Run: [AltnetPointsManager] C:\Program Files\Altnet\Points Manager\Points Manager.exe -s
O4 - HKLM\..\Run: [KAZAA] G:\Programme\Kazaa\kazaa.exe /SYSTRAY
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [jopa] C:\WINDOWS\System32\sysstartup.exe
O4 - HKCU\..\Run: [uninstal] regsvr32 /u /s image.dll
O4 - HKCU\..\Run: [SpybotSD TeaTimer] G:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: Microsoft Office.lnk = G:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Download with Go!Zilla - file://G:\PROGRA~2\GO!ZILLA\download-with-gozilla.html
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O16 - DPF: {10003000-1000-0000-1000-000000000000} - its:mhtml:file://c:\MAIN.MHT!http://213.159.117.237:4000/buka.chm::/x.exe
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!http://69.31.79.180/winsearchie32.chm::/winsearchie32.exe
O16 - DPF: {12398DD6-40AA-4C40-A4EC-A42CFC0DE797} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab
O16 - DPF: {1671869C-25B3-4C80-9446-8AE6111F8765} (MaxisHotDateTeleX Control) - http://thesims.ea.com/teleport/hotdate/MaxisHotDateTeleX.cab
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {2DAE59A1-B355-4653-8D33-33A3A8F8C078} (MaxisVacationTeleX Control) - http://thesims.ea.com/teleport/vacation/MaxisVacationTeleX.cab
O16 - DPF: {8699D723-6DC6-47D3-B55C-489BA006B917} - http://217.6.60.101/blazer/webinstall.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38117.1866550926
O16 - DPF: {A44B714B-EE0F-453E-9300-A69B321FEF6C} (MaxisSimsFamilyTeleX Control) - http://thesims.ea.com/teleport/families/MaxisSimsFamilyTeleX.cab
O16 - DPF: {AD688740-5246-40C3-1111-53959999940D} - http://www.xpehbam.biz/sek.exe
O16 - DPF: {AD688740-5246-40C3-AF27-098693046834} - http://www.xpehbam.biz/exploit.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F81-00104B107C96}

Ich kann damit leider nichts anfangen!
Vielen Dank aber für die angebotene Hilfe.
MfG Tek.Ger
Seitenanfang Seitenende
21.06.2004, 14:29
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Eigentlich waere eine Neuinstallation angebracht, aber mit ein wenig Sportsgeist kannst du die Reinigung versuchen.

Deaktiviere die Wiederherstellung
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

scanne mit dem Hijack, hake an, was ich poste und fix

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://69.31.79.180/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.31.79.180/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.31.79.180/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://69.31.79.180/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://69.31.79.180/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://69.31.79.180/search.php
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://69.31.79.180/search.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.31.79.180/search.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.31.79.180/search.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://69.31.79.180/search.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://69.31.79.180/search.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://69.31.79.180/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://69.31.79.180/search.php
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://69.31.79.180/search.php
R3 - URLSearchHook: PerfectNavBHO Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
O1 - Hosts: 213.159.117.235 auto.search.msn.com

O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file)
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL

O4 - HKLM\Run: [winupd] C:\WINDOWS\System32\winupd.exe
O4 - HKLM\..\Run: [jopa] C:\WINDOWS\System32\sysstartup.exe
O4 - HKLM\..\Run: [Winhost] C:\WINDOWS\winh.exe
O4 - HKLM\..\Run: [ekfxle] C:\WINDOWS\System32\jimtgmsb.exe
O4 - HKLM\..\Run: [alchem] C:\WINDOWS\alchem.exe
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [updmgr] C:\Programme\Common files\updmgr\updmgr.exe
O4 - HKCU\..\Run: [jopa] C:\WINDOWS\System32\sysstartup.exe
O4 - HKCU\..\Run: [uninstal] regsvr32 /u /s image.dll
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe

O16 - DPF: {10003000-1000-0000-1000-000000000000} - its:mhtml:file://c:\MAIN.MHT!http://213.159.117.237:4000/buka.chm::/x.exe
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!http://69.31.79.180/winsearchie32.chm::/winsearchie32.exe
O16 - DPF: {12398DD6-40AA-4C40-A4EC-A42CFC0DE797} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab
O16 - DPF: {1671869C-25B3-4C80-9446-8AE6111F8765} (MaxisHotDateTeleX Control) - http://thesims.ea.com/teleport/hotdate/MaxisHotDateTeleX.cab-
O16 - DPF: {8699D723-6DC6-47D3-B55C-489BA006B917} - http://217.6.60.101/blazer/webinstall.cab
O16 - DPF: {AD688740-5246-40C3-1111-53959999940D} - http://www.xpehbam.biz/sek.exe
O16 - DPF: {AD688740-5246-40C3-AF27-098693046834} - http://www.xpehbam.biz/exploit.exe

neustarten


# suche eine C:\WINNT\system32\msxword.dll und, wenn sie da ist loesche sie.
#C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL loeschen
# C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
#deinstalliere
1. Click Start > Control Panel.
2. In the Control Panel window, double-click Add or Remove Programs.

"My Search Bar" or "MyWay SpeedBar."


#Lade XP/Clean, Version 5.5
http://www.xpclean.de/index.htm?http://www.xpclean.de/xpcleangold.htm
Unter \Host \ loesche alles ausser 127.0.0.1

#Gehe in die Registry
Start\Ausfuehren\regedit
und loesche auf der rechten Seite

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [winupd] C:\WINDOWS\System32\winupd.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \[jopa] C:\WINDOWS\System32\sysstartup.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [Winhost] C:\WINDOWS\winh.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [ekfxle\jimtgmsb.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Run: [alchem] C:\WINDOWS\alchem.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Run: [updmgr] C:\Programme\Common files\updmgr\updmgr.exe

HKCU\\SOFTWARE\Microsoft\Windows\CurrentVersion\Run: [jopa] C:\WINDOWS\System32\sysstartup.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run: [uninstal] regsvr32 /u /s image.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Run \GMT\GMT.exe


schliesse die Registry


loesche nun
C:\WINDOWS\System32\winupd.exe
C:\WINDOWS\System32\sysstartup.exe
C:\WINDOWS\winh.exe
C:\WINDOWS\System32\jimtgmsb.exe
C:\WINDOWS\alchem.exe
C:\Programme\Common files\updmgr\updmgr.exe
C:\WINDOWS\System32\sysstartup.exe
regsvr32 /u /s image.dll
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe

..........................................................................................................
#lade mwav.exe. scanne um die restlichen Viren zu beseitigen
http://www.mwti.net/antivirus/free_utilities.asp

#Lade AdAware free
Search\Destroy
CWhredder
http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html

..................................................................................................
#Lade Antivir.
Gehe in den abgesicherten Modus....F8 beim Hochfahren druecken und mache einen Vollscann
\alle Dateien scannen\ einstellen
http://www.free-av.de/

scanne im abgesicherten Modus mit AdAware, Saerch\Destroy und CWHredder

normal neustarten

#Loesche unter InternetOptionen die TemporaryInternetFiles, stelle eine neue Startseite ein und poste das Log noch einmal.

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 21.06.2004 um 15:10 Uhr von Sabina editiert.
Seitenanfang Seitenende
21.06.2004, 20:22
...neu hier

Beiträge: 2
#5 moins die herren
Ich hab auch das problem mir Smartsearch als startseite und bekomm es nicht weg. Ich weiß zwar das es schon des öfteren fälle gab und sogar auch in dem forum, doch komm ich nicht weiter und langsam kreig ich ne macke.....ich hab den Schredder auch schon des öfteren ausprobiert und der findet auch was, "removed" es, aber wenn ich Explorer wieer öffne is es bei Schredder wieder da. Ich hoffe irgendjemand weiß rat. danke schoma....

P.S. Hatte schon ein paar gelöscht gehabt (bzw sie bei hijackthis angehagt)

Hochachtungsvoll verbeugt sich Blood-red Death

Logfile of HijackThis v1.97.7
Scan saved at 20:22:54, on 21.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\mnmsrvc.exe
C:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe
C:\Programme\Trend Micro\OfficeScan Client\ofcdog.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programme\NetPumper\NetPumperIEProxy.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Downloads\anti-virus\HiJack This\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = wmplayer.exe
F1 - win.ini: run=C:\WINDOWS\System32\services\wmplayer.exe
O1 - Hosts: 213.159.117.235 auto.search.msn.com
O3 - Toolbar: AskCosmo! - {38D2A281-0444-433C-9ED6-A2851795F32A} - C:\Programme\Cosmo Popup Blocker\TRReaderBar_.dll
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe"
O4 - HKLM\..\Run: [sfpsv] C:\WINDOWS\sfpsv.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\SysUpd.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Windows SA] C:\Program Files\WindowsSA\omniscient.exe
O4 - HKLM\..\Run: [NetPumper] "C:\Programme\NetPumper\NetPumperIEProxy.exe"
O4 - HKLM\..\Run: [Cosmo Popup Blocker] C:\Program Files\Cosmo Popup Blocker\CosmoPopupBlocker.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: PowerReg Scheduler V3.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: AskCosmo! (HKLM)
O9 - Extra 'Tools' menuitem: AskCosmo! (HKLM)
O9 - Extra button: ICQ 4.0 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {00134F72-5284-44F7-95A8-52A619F70751} (ObjWinNTCheck Class) - http://192.168.0.10/officescan/ClientInstall/WinNTChk.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/0833fb5bf2ca08665f22/netzip/RdxIE601_de.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} - http://arcade.icq.com/multiplayer/odyssey_web8.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38021.2194675926
O16 - DPF: {A27AD582-5BE5-4C2D-82F0-48B24FE02040} - http://www.adshooter.com/pop_shooter/install/win2000/SYSsfitb.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} - http://install.serviceurl.de/StarInstall.ocx
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = emmbits.local
O17 - HKLM\Software\..\Telephony: DomainName = emmbits.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{EF2333E2-32EA-4C66-B995-879E90ADCED9}: NameServer = 192.168.0.10
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = emmbits.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = emmbits.local
O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F81-00104B107C96}
Seitenanfang Seitenende
22.06.2004, 08:29
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Moin die DAMEN...

Hallo @Blood


Deaktiviere die Wiederherstellung...kannst du nach der Reinigung wieder aktivieren
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

.......................................................................................................................................................
Fixe mit dem HijackThis

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = wmplayer.exe
F1 - win.ini: run=C:\WINDOWS\System32\services\wmplayer.exe
O1 - Hosts: 213.159.117.235 auto.search.msn.com
O4 - HKLM\..\Run: [sfpsv] C:\WINDOWS\sfpsv.exe
O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\SysUpd.exe
O4 - HKLM\..\Run: [Windows SA] C:\Program Files\WindowsSA\omniscient.exe
O4 - Startup: PowerReg Scheduler V3.exe

O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} - http://install.serviceurl.de/StarInstall.ocx



hier bin ich mir nicht sicher, ob du das fixen sollst....sagt dir das was ???
WENN nicht...fixen
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = emmbits.local
O17 - HKLM\Software\..\Telephony: DomainName = emmbits.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = emmbits.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = emmbits.local

NEUSTARTEN


lade mwav.exe...30 Tage free
http://www.mwti.net/antivirus/free_utilities.asp

NEUSTARTEN und in den abgesicherten Modus gehen...F8 beim Hochfahren druecken


1.Dort scannst du \alle Dateien\ mit der mwav.exe

................................................................................................................................................
2. gehe in die Registry
Start\Ausfuehren\regedit

Hier der Eintrag:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{53B95211-7D77-11D2-9F81-00104B107C96}
loesche rechts den Wert, wenn er da ist.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
sfpsv l
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
SysUpd]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
WindowsSA \omniscient.exe

# HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main
"Wh"="Yes"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\

{FE5A1910-F121-11d2-BE9E-01C04A7936B1}
{FE5A1910-F121-11d2-BE9E-01C04A7936B2}
{FE5A1910-F121-11d2-BE9E-01C04A7936B3}
{FE5A1910-F121-11d2-BE9E-01C04A7936B4}
{FE5A1910-F121-11d2-BE9E-01C04A7936B5}

schliesse die Registry
............................................................................................................
3 .#Dann suche eine C:\WINNT\system32\msxword.dll und, wenn sie da ist loesche sie.
#C:\WINDOWS\sfpsv.exe loeschen
#C:\WINDOWS\sfpsv.exe
#C:\Program Files\WindowsSA \omniscient.exe

4.Geh mal zu C:\WINDOWS\SYSTEM32\DRIVERS\ETC\Hosts
mit dem Editor oeffen ..notepad
Dort sollte nur 127.0.0.1 drinstehen .
Alles andere loeschen

normal neustarten

#Lade AdAware free
http://www.lavasoft.de/

#Mache einen Onlinescann
http://www.bitdefender.com/scan/license.php

#Lade Search\Destroy
http://beam.to/spybotsd
#Loesche unter InternetOptionen die TemporaryInternetFiles, stelle eine neue Startseite ein und poste das Log noch einmal!!!!!!!!!!!

MfG
Sabina

http://securityresponse.symantec.com/avcenter/venc/data/w32.wallon.a@mm.html
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 22.06.2004 um 09:04 Uhr von Sabina editiert.
Seitenanfang Seitenende
22.06.2004, 14:37
...neu hier

Beiträge: 2
#7 moins die Herren und moins die DAMEN
Wie konnt ich das vergessen *tz* Also erstmal wollt ich dir fett danken das du überhaupt schon geantwortest hast. Ich hab alles so gemacht wie du es gesagt hast: Die Domain EmmBits ist bekannt (firmer von Vaddern und Bruddern)´. Das problem gabs aber bei regedit. Denn dort gabs keine deiner angegebenen Datein....aber ich hab das übersprungen dann und hab erfolgreich " msxword.dll " gelöscht, doch die anderen waren wieder nicht vorhanden. Den Rest hab ich auch gemacht und es war noch ne andere Nummer außer " 127.0.0.1 " vorhanden, die von Smartsearch war, die ich auch gelöscht hab. Die Startseite von Smartsearch ist aber trotz der oben nicht dortgewesenden Datein von Smartsearch befreit und ich hab wieder gmx. Deshalb wollt ich dir nochma ganz dolle Danschö sagen....hoffe bloß das sich das nicht wieder nach dem Neustart ändert.

Hochachtungsvoll verbeugt sich Blood-red Death
Seitenanfang Seitenende
22.06.2004, 14:43
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 Hallo Blood

Wenn du beruhigter surfen moechtest, lade den Firefox als AlternativBroser
http://www.firebird-browser.de/
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 22.06.2004 um 14:44 Uhr von Sabina editiert.
Seitenanfang Seitenende
22.06.2004, 18:32
...neu hier

Beiträge: 3
#9 hallo!

ich habe ebenfalls dieses "smartsearch-problem"...
smartsearch ist somit meine (ungewollte) startseite, wobei "oben" im "feld" nur "about:blank" drin steht.

vielleicht kann mir jemand helfen, und dies womöglich einleuchtend erklären, da ich mich schließlich nicht so "gut" bei computern auskenne...

ich DANKE im voraus!!!

...und freu mich über jegliche antworten.


Logfile of HijackThis v1.97.7
Scan saved at 18:15:27, on 22.06.2004
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINNT\system32\regsvc.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINNT\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINNT\loadqm.exe
C:\WINNT\System32\internat.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Simon1\LOKALE~1\Temp\Rar$EX00.085\HijackThis.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://fpdownload.macromedia.com/get/shockwave/cabs/director/sw.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28578.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F81-00104B107C96}




und vielleicht kann mir anschließend noch jemand erklären wie ich diese ungewollte startpage deaktivieren kann, mit hilfe von hijackthis, sprich was genau zu tun ist. was bzw. ob ich "dateien" aus dem explorer löschen muss oder diese bei "add checked to ignorelist" eingeben muss... oder so...

DANKE
Seitenanfang Seitenende
22.06.2004, 21:06
...neu hier

Beiträge: 4
#10 Schau bitte nach welche Eintragungen sich als letztes in die IE Favoriten eingeschmuggelt haben. Bei mir war eine Eintraguung und nach dem Löschen dieses ungewollten Favoriten war Ruhe mit Smartsearch!
Seitenanfang Seitenende
22.06.2004, 21:35
...neu hier

Beiträge: 3
#11 ich hab nachgesehen, da hat sich nichts reingeschmuggelt...
stimmt normalerweise findet man dört desöfteren irgendwelchen "crap"


DANKE
Seitenanfang Seitenende
23.06.2004, 09:52
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 @Salvation

Poste bitte das Log MIT der verstellten Startseite.
.....................................................................................
dann kannst du inzwischen scannen mit
AdAware free
http://www.lavasoft.de/

nutze mal diesen Cleaner:
ftp://ftp.kaspersky.com/utils/clrav.com

#Loesche unter InternetOptionen die TemporaryInternetFiles

#Stelle eine neue Startseite ein

#Lade den Firefox als AlternativBrowser....ist hijackerfrei
http://www.firebird-browser.de/

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 23.06.2004 um 09:55 Uhr von Sabina editiert.
Seitenanfang Seitenende
28.06.2004, 15:40
...neu hier

Themenstarter

Beiträge: 4
#13 @ Sabina

Hey ich habs endlich geschafft!
Sorry, ich hatte bisher keine Zeit!
Hier nochmal das Log nach den ganzen Änderungen:


Logfile of HijackThis v1.97.7
Scan saved at 15:36:15, on 28.06.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
G:\Programme\AntiVir XP\AVGUARD.EXE
G:\Programme\AntiVir XP\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\Explorer.EXE
G:\ICQ\ICQ-Lite\ICQLite.exe
C:\WINDOWS\Mixer.exe
C:\Programme\Browser MOUSE\mouse32a.exe
G:\Programme\Java\bin\jusched.exe
F:\Battlefield Vietnam\AceGain LiveUpdate\LiveUpdate.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\ahead\InCD\InCD.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
G:\Programme\Musicmatch Jukebox\mm_tray.exe
G:\Programme\Musicmatch Jukebox\mm_server.exe
G:\Programme\CloneCD\CloneCDTray.exe
C:\Program Files\Altnet\Points Manager\Points Manager.exe
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
F:\Battlefield Vietnam\AceGain LiveUpdate\aceagent.exe
G:\Programme\AntiVir XP\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
G:\Programme\Spybot - Search & Destroy\TeaTimer.exe
G:\Programme\Musicmatch Jukebox\MMDiag.exe
C:\PROGRA~2\Altnet\DOWNLO~1\asm.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Dokumente und Einstellungen\Mischi\Desktop\Diverses\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Mischi\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Mischi\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Mischi\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Mischi\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Mischi\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Mischi\LOKALE~1\Temp\sp.html
O1 - Hosts: 213.159.117.235 auto.search.msn.com
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ICQ Lite] G:\ICQ\ICQ-Lite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Browser MOUSE\mouse32a.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] G:\Programme\Java\bin\jusched.exe
O4 - HKLM\..\Run: [AceGain LiveUpdate] F:\Battlefield Vietnam\AceGain LiveUpdate\LiveUpdate.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [MMTray] G:\Programme\Musicmatch Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [mm_server] G:\Programme\Musicmatch Jukebox\mm_server.exe
O4 - HKLM\..\Run: [CloneCDTray] "G:\Programme\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [AltnetPointsManager] C:\Program Files\Altnet\Points Manager\Points Manager.exe -s
O4 - HKLM\..\Run: [KAZAA] G:\Programme\Kazaa\kazaa.exe /SYSTRAY
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [AVGCtrl] G:\Programme\AntiVir XP\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] G:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] G:\ICQ\ICQ-Lite\ICQLite.exe -trayboot
O8 - Extra context menu item: Download with Go!Zilla - file://G:\PROGRA~2\GO!ZILLA\download-with-gozilla.html
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {2DAE59A1-B355-4653-8D33-33A3A8F8C078} (MaxisVacationTeleX Control) - http://thesims.ea.com/teleport/vacation/MaxisVacationTeleX.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38117.1866550926
O16 - DPF: {A44B714B-EE0F-453E-9300-A69B321FEF6C} (MaxisSimsFamilyTeleX Control) - http://thesims.ea.com/teleport/families/MaxisSimsFamilyTeleX.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F81-00104B107C96}

Ich hab alles gemacht was du gesagt hattest!

Danke für die Hilfe
MfG
Seitenanfang Seitenende
28.06.2004, 16:21
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 @Tek.Ger, es sieht schon etwas besser aus, als das letzte Mal.

Fixe bitte

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Mischi\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Mischi\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Mischi\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Mischi\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Mischi\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Mischi\LOKALE~1\Temp\sp.html

O1 - Hosts: 213.159.117.235 auto.search.msn.com


fixe auch ...ist nicht \bad\, sollte aber nicht im Autostart sein...schreibt sich bei Anwendung wieder ein..

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [ICQ Lite] G:\ICQ\ICQ-Lite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] G:\Programme\Java\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CloneCDTray] "G:\Programme\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [AltnetPointsManager] C:\Program Files\Altnet\Points Manager\Points Manager.exe -s
O4 - HKLM\..\Run: [KAZAA] G:\Programme\Kazaa\kazaa.exe /SYSTRAY
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART




neustarten

Gehe in den abgesicherten Modus...F8 beim Hochfahren druecken

. gehe in die Registry
Start\Ausfuehren\regedit
HIer der Eintrag:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{53B95211-7D77-11D2-9F81-00104B107C96}

loesche rechts den Wert, wenn er da ist.

2 .Dann suche eine C:\WINNT\system32\msxword.dll und, wenn sie da ist loesche sie.


3.Geh mal zu C:\WINDOWS\SYSTEM32\DRIVERS\ETC\Hosts
mit dem Editor oeffen ..notepad
Dort sollte nur 127.0.0.1 drinstehen .
Alles andere loeschen

4. dann loesche unter InternetOptionen die TemporaryInternetFiles und stelle dort auch einen Startseite nach Wunsch ein.


neustarten

#Lade AdAware free..update und scanne
http://www.lavasoft.de/
#Lade Cwshredder
http://www.spywareinfo.com/~merijn/downloads.html

#du hast irgendeine dll oder einen Trojaner drauf, der die Startseite verstellt.
Kann ihn aber nicht sehen...
Lade mwav.exe ...escan und scanne \alle Dateien\
http://www.mwti.net/antivirus/free_utilities.asp
Vielleicht findet das Tool den Uebeltaeter..

# Doppelklicken Sie in der Systemsteuerung auf Internetoptionen.
# Klicken Sie auf die Registerkarte Allgemein, und klicken Sie danach unter Temporäre Internetdateien auf Dateien löschen.
# Aktivieren Sie im Dialogfeld Dateien löschen das Kontrollkästchen Alle Offlineinhalte löschen, wenn Sie alle Webseiteninhalte löschen möchten, die Sie offline bereitgestellt haben.

Aktualisiere den IE
http://www.microsoft.com/windows/ie_intl/de/ie6sp1.mspx


Lade Firefox als AlternetivBrowser
http://www.firebird-browser.de/

Stelle eine neue Startseite ein und poste das Log noch einmal.

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 28.06.2004 um 16:41 Uhr von Sabina editiert.
Seitenanfang Seitenende
28.06.2004, 16:28
Member

Beiträge: 441
#15 @ Tek.Ger

Es ist sinnlos, du hast dir schon wieder einen Browser HiJacker installiert.

Zitat

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Mischi\LOKALE~1\Temp\sp.html
Solange du dein System nicht updatest, diverse Filesharing Tools einsetzt und den Unsicherheitsbrowser IE verwendest, sehe ich bei dir keinen Erfolg zu einen sauberen und sicheren System.

Zitat

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
G:\Programme\Kazaa\kazaa.exe /SYSTRAY

__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung
Seitenanfang Seitenende