Home » Spyware & Browser Hijacker Support Forum » smartsearch als Startseite und keine Ahnung von "Hijackthis" » Themenansicht
smartsearch als Startseite und keine Ahnung von "Hijackthis" |
||
|---|---|---|
| #0
| ||
|
21.06.2004, 13:10
...neu hier
Beiträge: 4 |
||
 
|
|
|
|
21.06.2004, 13:21
Ehrenmitglied
 Beiträge: 29434 |
#2
http://board.protecus.de/t9391.htm
Lade den HijackThis. scanne, save und kopiere das Log ins Forum MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
21.06.2004, 14:13
...neu hier
Themenstarter Beiträge: 4 |
#3
Hier das gewünschte Log:
Logfile of HijackThis v1.97.7 Scan saved at 14:13:52, on 21.06.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\pctspk.exe G:\ICQ\ICQ-Lite\ICQLite.exe C:\WINDOWS\Mixer.exe C:\Programme\Browser MOUSE\mouse32a.exe G:\Programme\Java\bin\jusched.exe F:\Battlefield Vietnam\AceGain LiveUpdate\LiveUpdate.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\ahead\InCD\InCD.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe G:\Programme\Musicmatch Jukebox\mm_tray.exe G:\Programme\Musicmatch Jukebox\mm_server.exe G:\Programme\CloneCD\CloneCDTray.exe C:\WINDOWS\winh.exe C:\WINDOWS\System32\P2P Networking\P2P Networking.exe C:\Programme\Common files\updmgr\updmgr.exe C:\Program Files\Altnet\Points Manager\Points Manager.exe C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe G:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Gemeinsame Dateien\GMT\GMT.exe G:\Programme\Musicmatch Jukebox\MMDiag.exe F:\Battlefield Vietnam\AceGain LiveUpdate\aceagent.exe C:\PROGRA~2\Altnet\DOWNLO~1\asm.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\System32\svchost.exe C:\Dokumente und Einstellungen\Mischi\Desktop\Diverses\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://69.31.79.180/search.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.31.79.180/search.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.31.79.180/search.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://69.31.79.180/search.php R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://69.31.79.180/search.php R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://69.31.79.180/search.php R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://69.31.79.180/search.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.31.79.180/search.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.31.79.180/search.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://69.31.79.180/search.php R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://69.31.79.180/search.php R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://69.31.79.180/search.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://69.31.79.180/search.php R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://69.31.79.180/search.php R3 - URLSearchHook: PerfectNavBHO Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL O1 - Hosts: 213.159.117.235 auto.search.msn.com O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file) O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL O4 - HKLM\..\Run: [ICQ Lite] G:\ICQ\ICQ-Lite\ICQLite.exe -minimize O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Browser MOUSE\mouse32a.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] G:\Programme\Java\bin\jusched.exe O4 - HKLM\..\Run: [AceGain LiveUpdate] F:\Battlefield Vietnam\AceGain LiveUpdate\LiveUpdate.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Programme\ahead\InCD\InCD.exe O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe O4 - HKLM\..\Run: [MMTray] G:\Programme\Musicmatch Jukebox\mm_tray.exe O4 - HKLM\..\Run: [mm_server] G:\Programme\Musicmatch Jukebox\mm_server.exe O4 - HKLM\..\Run: [CloneCDTray] "G:\Programme\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [winupd] C:\WINDOWS\System32\winupd.exe O4 - HKLM\..\Run: [jopa] C:\WINDOWS\System32\sysstartup.exe O4 - HKLM\..\Run: [Winhost] C:\WINDOWS\winh.exe O4 - HKLM\..\Run: [ekfxle] C:\WINDOWS\System32\jimtgmsb.exe O4 - HKLM\..\Run: [alchem] C:\WINDOWS\alchem.exe O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART O4 - HKLM\..\Run: [updmgr] C:\Programme\Common files\updmgr\updmgr.exe O4 - HKLM\..\Run: [AltnetPointsManager] C:\Program Files\Altnet\Points Manager\Points Manager.exe -s O4 - HKLM\..\Run: [KAZAA] G:\Programme\Kazaa\kazaa.exe /SYSTRAY O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [jopa] C:\WINDOWS\System32\sysstartup.exe O4 - HKCU\..\Run: [uninstal] regsvr32 /u /s image.dll O4 - HKCU\..\Run: [SpybotSD TeaTimer] G:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe O4 - Global Startup: Microsoft Office.lnk = G:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: Download with Go!Zilla - file://G:\PROGRA~2\GO!ZILLA\download-with-gozilla.html O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: ICQ Lite (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O16 - DPF: {10003000-1000-0000-1000-000000000000} - its:mhtml:file://c:\MAIN.MHT!http://213.159.117.237:4000/buka.chm::/x.exe O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!http://69.31.79.180/winsearchie32.chm::/winsearchie32.exe O16 - DPF: {12398DD6-40AA-4C40-A4EC-A42CFC0DE797} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab O16 - DPF: {1671869C-25B3-4C80-9446-8AE6111F8765} (MaxisHotDateTeleX Control) - http://thesims.ea.com/teleport/hotdate/MaxisHotDateTeleX.cab O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) - O16 - DPF: {2DAE59A1-B355-4653-8D33-33A3A8F8C078} (MaxisVacationTeleX Control) - http://thesims.ea.com/teleport/vacation/MaxisVacationTeleX.cab O16 - DPF: {8699D723-6DC6-47D3-B55C-489BA006B917} - http://217.6.60.101/blazer/webinstall.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38117.1866550926 O16 - DPF: {A44B714B-EE0F-453E-9300-A69B321FEF6C} (MaxisSimsFamilyTeleX Control) - http://thesims.ea.com/teleport/families/MaxisSimsFamilyTeleX.cab O16 - DPF: {AD688740-5246-40C3-1111-53959999940D} - http://www.xpehbam.biz/sek.exe O16 - DPF: {AD688740-5246-40C3-AF27-098693046834} - http://www.xpehbam.biz/exploit.exe O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F81-00104B107C96} Ich kann damit leider nichts anfangen! Vielen Dank aber für die angebotene Hilfe. MfG Tek.Ger |
|
|
|
|
|
|
21.06.2004, 14:29
Ehrenmitglied
Beiträge: 29434 |
#4
Eigentlich waere eine Neuinstallation angebracht, aber mit ein wenig Sportsgeist kannst du die Reinigung versuchen.
Deaktiviere die Wiederherstellung http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 scanne mit dem Hijack, hake an, was ich poste und fix R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://69.31.79.180/search.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.31.79.180/search.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.31.79.180/search.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://69.31.79.180/search.php R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://69.31.79.180/search.php R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://69.31.79.180/search.php R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://69.31.79.180/search.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.31.79.180/search.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.31.79.180/search.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://69.31.79.180/search.php R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://69.31.79.180/search.php R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://69.31.79.180/search.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://69.31.79.180/search.php R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://69.31.79.180/search.php R3 - URLSearchHook: PerfectNavBHO Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL O1 - Hosts: 213.159.117.235 auto.search.msn.com O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file) O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL O4 - HKLM\Run: [winupd] C:\WINDOWS\System32\winupd.exe O4 - HKLM\..\Run: [jopa] C:\WINDOWS\System32\sysstartup.exe O4 - HKLM\..\Run: [Winhost] C:\WINDOWS\winh.exe O4 - HKLM\..\Run: [ekfxle] C:\WINDOWS\System32\jimtgmsb.exe O4 - HKLM\..\Run: [alchem] C:\WINDOWS\alchem.exe O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART O4 - HKLM\..\Run: [updmgr] C:\Programme\Common files\updmgr\updmgr.exe O4 - HKCU\..\Run: [jopa] C:\WINDOWS\System32\sysstartup.exe O4 - HKCU\..\Run: [uninstal] regsvr32 /u /s image.dll O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe O16 - DPF: {10003000-1000-0000-1000-000000000000} - its:mhtml:file://c:\MAIN.MHT!http://213.159.117.237:4000/buka.chm::/x.exe O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!http://69.31.79.180/winsearchie32.chm::/winsearchie32.exe O16 - DPF: {12398DD6-40AA-4C40-A4EC-A42CFC0DE797} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab O16 - DPF: {1671869C-25B3-4C80-9446-8AE6111F8765} (MaxisHotDateTeleX Control) - http://thesims.ea.com/teleport/hotdate/MaxisHotDateTeleX.cab- O16 - DPF: {8699D723-6DC6-47D3-B55C-489BA006B917} - http://217.6.60.101/blazer/webinstall.cab O16 - DPF: {AD688740-5246-40C3-1111-53959999940D} - http://www.xpehbam.biz/sek.exe O16 - DPF: {AD688740-5246-40C3-AF27-098693046834} - http://www.xpehbam.biz/exploit.exe neustarten # suche eine C:\WINNT\system32\msxword.dll und, wenn sie da ist loesche sie. #C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL loeschen # C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL #deinstalliere 1. Click Start > Control Panel. 2. In the Control Panel window, double-click Add or Remove Programs. "My Search Bar" or "MyWay SpeedBar." #Lade XP/Clean, Version 5.5 http://www.xpclean.de/index.htm?http://www.xpclean.de/xpcleangold.htm Unter \Host \ loesche alles ausser 127.0.0.1 #Gehe in die Registry Start\Ausfuehren\regedit und loesche auf der rechten Seite HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [winupd] C:\WINDOWS\System32\winupd.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \[jopa] C:\WINDOWS\System32\sysstartup.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [Winhost] C:\WINDOWS\winh.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [ekfxle\jimtgmsb.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Run: [alchem] C:\WINDOWS\alchem.exe HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Run: [updmgr] C:\Programme\Common files\updmgr\updmgr.exe HKCU\\SOFTWARE\Microsoft\Windows\CurrentVersion\Run: [jopa] C:\WINDOWS\System32\sysstartup.exe HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run: [uninstal] regsvr32 /u /s image.dll HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Run \GMT\GMT.exe schliesse die Registry loesche nun C:\WINDOWS\System32\winupd.exe C:\WINDOWS\System32\sysstartup.exe C:\WINDOWS\winh.exe C:\WINDOWS\System32\jimtgmsb.exe C:\WINDOWS\alchem.exe C:\Programme\Common files\updmgr\updmgr.exe C:\WINDOWS\System32\sysstartup.exe regsvr32 /u /s image.dll C:\Programme\Gemeinsame Dateien\GMT\GMT.exe .......................................................................................................... #lade mwav.exe. scanne um die restlichen Viren zu beseitigen http://www.mwti.net/antivirus/free_utilities.asp #Lade AdAware free Search\Destroy CWhredder http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html .................................................................................................. #Lade Antivir. Gehe in den abgesicherten Modus....F8 beim Hochfahren druecken und mache einen Vollscann \alle Dateien scannen\ einstellen http://www.free-av.de/ scanne im abgesicherten Modus mit AdAware, Saerch\Destroy und CWHredder normal neustarten #Loesche unter InternetOptionen die TemporaryInternetFiles, stelle eine neue Startseite ein und poste das Log noch einmal. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 21.06.2004 um 15:10 Uhr von Sabina editiert.
|
|
|
|
|
|
|
21.06.2004, 20:22
...neu hier
Beiträge: 2 |
#5
moins die herren
Ich hab auch das problem mir Smartsearch als startseite und bekomm es nicht weg. Ich weiß zwar das es schon des öfteren fälle gab und sogar auch in dem forum, doch komm ich nicht weiter und langsam kreig ich ne macke.....ich hab den Schredder auch schon des öfteren ausprobiert und der findet auch was, "removed" es, aber wenn ich Explorer wieer öffne is es bei Schredder wieder da. Ich hoffe irgendjemand weiß rat. danke schoma.... P.S. Hatte schon ein paar gelöscht gehabt (bzw sie bei hijackthis angehagt) Hochachtungsvoll verbeugt sich Blood-red Death Logfile of HijackThis v1.97.7 Scan saved at 20:22:54, on 21.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\mnmsrvc.exe C:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe C:\WINDOWS\System32\rundll32.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe C:\Programme\Trend Micro\OfficeScan Client\ofcdog.exe C:\WINDOWS\Explorer.EXE C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe C:\WINDOWS\System32\devldr32.exe C:\Programme\NetPumper\NetPumperIEProxy.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Downloads\anti-virus\HiJack This\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = wmplayer.exe F1 - win.ini: run=C:\WINDOWS\System32\services\wmplayer.exe O1 - Hosts: 213.159.117.235 auto.search.msn.com O3 - Toolbar: AskCosmo! - {38D2A281-0444-433C-9ED6-A2851795F32A} - C:\Programme\Cosmo Popup Blocker\TRReaderBar_.dll O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe" O4 - HKLM\..\Run: [sfpsv] C:\WINDOWS\sfpsv.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\SysUpd.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [Windows SA] C:\Program Files\WindowsSA\omniscient.exe O4 - HKLM\..\Run: [NetPumper] "C:\Programme\NetPumper\NetPumperIEProxy.exe" O4 - HKLM\..\Run: [Cosmo Popup Blocker] C:\Program Files\Cosmo Popup Blocker\CosmoPopupBlocker.exe O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Startup: PowerReg Scheduler V3.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: AskCosmo! (HKLM) O9 - Extra 'Tools' menuitem: AskCosmo! (HKLM) O9 - Extra button: ICQ 4.0 (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O16 - DPF: {00134F72-5284-44F7-95A8-52A619F70751} (ObjWinNTCheck Class) - http://192.168.0.10/officescan/ClientInstall/WinNTChk.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/0833fb5bf2ca08665f22/netzip/RdxIE601_de.cab O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} - http://arcade.icq.com/multiplayer/odyssey_web8.cab O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38021.2194675926 O16 - DPF: {A27AD582-5BE5-4C2D-82F0-48B24FE02040} - http://www.adshooter.com/pop_shooter/install/win2000/SYSsfitb.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} - http://install.serviceurl.de/StarInstall.ocx O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = emmbits.local O17 - HKLM\Software\..\Telephony: DomainName = emmbits.local O17 - HKLM\System\CCS\Services\Tcpip\..\{EF2333E2-32EA-4C66-B995-879E90ADCED9}: NameServer = 192.168.0.10 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = emmbits.local O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = emmbits.local O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F81-00104B107C96} |
|
|
|
|
|
|
22.06.2004, 08:29
Ehrenmitglied
Beiträge: 29434 |
#6
Moin die DAMEN...
Hallo @Blood Deaktiviere die Wiederherstellung...kannst du nach der Reinigung wieder aktivieren http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 ....................................................................................................................................................... Fixe mit dem HijackThis R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = wmplayer.exe F1 - win.ini: run=C:\WINDOWS\System32\services\wmplayer.exe O1 - Hosts: 213.159.117.235 auto.search.msn.com O4 - HKLM\..\Run: [sfpsv] C:\WINDOWS\sfpsv.exe O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\SysUpd.exe O4 - HKLM\..\Run: [Windows SA] C:\Program Files\WindowsSA\omniscient.exe O4 - Startup: PowerReg Scheduler V3.exe O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} - http://install.serviceurl.de/StarInstall.ocx hier bin ich mir nicht sicher, ob du das fixen sollst....sagt dir das was ??? WENN nicht...fixen O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = emmbits.local O17 - HKLM\Software\..\Telephony: DomainName = emmbits.local O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = emmbits.local O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = emmbits.local NEUSTARTEN lade mwav.exe...30 Tage free http://www.mwti.net/antivirus/free_utilities.asp NEUSTARTEN und in den abgesicherten Modus gehen...F8 beim Hochfahren druecken 1.Dort scannst du \alle Dateien\ mit der mwav.exe ................................................................................................................................................ 2. gehe in die Registry Start\Ausfuehren\regedit Hier der Eintrag: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{53B95211-7D77-11D2-9F81-00104B107C96} loesche rechts den Wert, wenn er da ist. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run sfpsv l HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run SysUpd] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run WindowsSA \omniscient.exe # HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main "Wh"="Yes" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\ {FE5A1910-F121-11d2-BE9E-01C04A7936B1} {FE5A1910-F121-11d2-BE9E-01C04A7936B2} {FE5A1910-F121-11d2-BE9E-01C04A7936B3} {FE5A1910-F121-11d2-BE9E-01C04A7936B4} {FE5A1910-F121-11d2-BE9E-01C04A7936B5} schliesse die Registry ............................................................................................................ 3 .#Dann suche eine C:\WINNT\system32\msxword.dll und, wenn sie da ist loesche sie. #C:\WINDOWS\sfpsv.exe loeschen #C:\WINDOWS\sfpsv.exe #C:\Program Files\WindowsSA \omniscient.exe 4.Geh mal zu C:\WINDOWS\SYSTEM32\DRIVERS\ETC\Hosts mit dem Editor oeffen ..notepad Dort sollte nur 127.0.0.1 drinstehen . Alles andere loeschen normal neustarten #Lade AdAware free http://www.lavasoft.de/ #Mache einen Onlinescann http://www.bitdefender.com/scan/license.php #Lade Search\Destroy http://beam.to/spybotsd #Loesche unter InternetOptionen die TemporaryInternetFiles, stelle eine neue Startseite ein und poste das Log noch einmal!!!!!!!!!!! MfG Sabina http://securityresponse.symantec.com/avcenter/venc/data/w32.wallon.a@mm.html __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 22.06.2004 um 09:04 Uhr von Sabina editiert.
|
|
|
|
|
|
|
22.06.2004, 14:37
...neu hier
Beiträge: 2 |
#7
moins die Herren und moins die DAMEN
Wie konnt ich das vergessen *tz* Also erstmal wollt ich dir fett danken das du überhaupt schon geantwortest hast. Ich hab alles so gemacht wie du es gesagt hast: Die Domain EmmBits ist bekannt (firmer von Vaddern und Bruddern)´. Das problem gabs aber bei regedit. Denn dort gabs keine deiner angegebenen Datein....aber ich hab das übersprungen dann und hab erfolgreich " msxword.dll " gelöscht, doch die anderen waren wieder nicht vorhanden. Den Rest hab ich auch gemacht und es war noch ne andere Nummer außer " 127.0.0.1 " vorhanden, die von Smartsearch war, die ich auch gelöscht hab. Die Startseite von Smartsearch ist aber trotz der oben nicht dortgewesenden Datein von Smartsearch befreit und ich hab wieder gmx. Deshalb wollt ich dir nochma ganz dolle Danschö sagen....hoffe bloß das sich das nicht wieder nach dem Neustart ändert. Hochachtungsvoll verbeugt sich Blood-red Death |
|
|
|
|
|
|
22.06.2004, 14:43
Ehrenmitglied
Beiträge: 29434 |
#8
Hallo Blood
Wenn du beruhigter surfen moechtest, lade den Firefox als AlternativBroser http://www.firebird-browser.de/ MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 22.06.2004 um 14:44 Uhr von Sabina editiert.
|
|
|
|
|
|
|
22.06.2004, 18:32
...neu hier
Beiträge: 3 |
#9
hallo!
ich habe ebenfalls dieses "smartsearch-problem"... smartsearch ist somit meine (ungewollte) startseite, wobei "oben" im "feld" nur "about:blank" drin steht. vielleicht kann mir jemand helfen, und dies womöglich einleuchtend erklären, da ich mich schließlich nicht so "gut" bei computern auskenne... ich DANKE im voraus!!! ...und freu mich über jegliche antworten. Logfile of HijackThis v1.97.7 Scan saved at 18:15:27, on 22.06.2004 Platform: Windows 2000 SP2 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\svchost.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE C:\WINNT\system32\regsvc.exe C:\Programme\Norton AntiVirus\SAVScan.exe C:\WINNT\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINNT\loadqm.exe C:\WINNT\System32\internat.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\Simon1\LOKALE~1\Temp\Rar$EX00.085\HijackThis.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe" O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE O4 - HKLM\..\Run: [LoadQM] loadqm.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://fpdownload.macromedia.com/get/shockwave/cabs/director/sw.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28578.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F81-00104B107C96} und vielleicht kann mir anschließend noch jemand erklären wie ich diese ungewollte startpage deaktivieren kann, mit hilfe von hijackthis, sprich was genau zu tun ist. was bzw. ob ich "dateien" aus dem explorer löschen muss oder diese bei "add checked to ignorelist" eingeben muss... oder so... DANKE |
|
|
|
|
|
|
22.06.2004, 21:06
...neu hier
Beiträge: 4 |
#10
Schau bitte nach welche Eintragungen sich als letztes in die IE Favoriten eingeschmuggelt haben. Bei mir war eine Eintraguung und nach dem Löschen dieses ungewollten Favoriten war Ruhe mit Smartsearch!
|
|
|
|
|
|
|
22.06.2004, 21:35
...neu hier
Beiträge: 3 |
#11
ich hab nachgesehen, da hat sich nichts reingeschmuggelt...
stimmt normalerweise findet man dört desöfteren irgendwelchen "crap" DANKE |
|
|
|
|
|
|
23.06.2004, 09:52
Ehrenmitglied
Beiträge: 29434 |
#12
@Salvation
Poste bitte das Log MIT der verstellten Startseite. ..................................................................................... dann kannst du inzwischen scannen mit AdAware free http://www.lavasoft.de/ nutze mal diesen Cleaner: ftp://ftp.kaspersky.com/utils/clrav.com #Loesche unter InternetOptionen die TemporaryInternetFiles #Stelle eine neue Startseite ein #Lade den Firefox als AlternativBrowser....ist hijackerfrei http://www.firebird-browser.de/ MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 23.06.2004 um 09:55 Uhr von Sabina editiert.
|
|
|
|
|
|
|
28.06.2004, 15:40
...neu hier
Themenstarter Beiträge: 4 |
#13
@ Sabina
Hey ich habs endlich geschafft! Sorry, ich hatte bisher keine Zeit! Hier nochmal das Log nach den ganzen Änderungen: Logfile of HijackThis v1.97.7 Scan saved at 15:36:15, on 28.06.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe G:\Programme\AntiVir XP\AVGUARD.EXE G:\Programme\AntiVir XP\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\pctspk.exe C:\WINDOWS\Explorer.EXE G:\ICQ\ICQ-Lite\ICQLite.exe C:\WINDOWS\Mixer.exe C:\Programme\Browser MOUSE\mouse32a.exe G:\Programme\Java\bin\jusched.exe F:\Battlefield Vietnam\AceGain LiveUpdate\LiveUpdate.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\ahead\InCD\InCD.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe G:\Programme\Musicmatch Jukebox\mm_tray.exe G:\Programme\Musicmatch Jukebox\mm_server.exe G:\Programme\CloneCD\CloneCDTray.exe C:\Program Files\Altnet\Points Manager\Points Manager.exe C:\WINDOWS\System32\P2P Networking\P2P Networking.exe F:\Battlefield Vietnam\AceGain LiveUpdate\aceagent.exe G:\Programme\AntiVir XP\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe G:\Programme\Spybot - Search & Destroy\TeaTimer.exe G:\Programme\Musicmatch Jukebox\MMDiag.exe C:\PROGRA~2\Altnet\DOWNLO~1\asm.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\T-DSL SpeedManager\SpeedMgr.exe C:\Dokumente und Einstellungen\Mischi\Desktop\Diverses\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Mischi\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Mischi\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Mischi\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Mischi\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Mischi\LOKALE~1\Temp\sp.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Mischi\LOKALE~1\Temp\sp.html O1 - Hosts: 213.159.117.235 auto.search.msn.com O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ICQ Lite] G:\ICQ\ICQ-Lite\ICQLite.exe -minimize O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Browser MOUSE\mouse32a.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] G:\Programme\Java\bin\jusched.exe O4 - HKLM\..\Run: [AceGain LiveUpdate] F:\Battlefield Vietnam\AceGain LiveUpdate\LiveUpdate.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Programme\ahead\InCD\InCD.exe O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [MMTray] G:\Programme\Musicmatch Jukebox\mm_tray.exe O4 - HKLM\..\Run: [mm_server] G:\Programme\Musicmatch Jukebox\mm_server.exe O4 - HKLM\..\Run: [CloneCDTray] "G:\Programme\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [AltnetPointsManager] C:\Program Files\Altnet\Points Manager\Points Manager.exe -s O4 - HKLM\..\Run: [KAZAA] G:\Programme\Kazaa\kazaa.exe /SYSTRAY O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART O4 - HKLM\..\Run: [AVGCtrl] G:\Programme\AntiVir XP\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [SpybotSD TeaTimer] G:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\RunOnce: [ICQ Lite] G:\ICQ\ICQ-Lite\ICQLite.exe -trayboot O8 - Extra context menu item: Download with Go!Zilla - file://G:\PROGRA~2\GO!ZILLA\download-with-gozilla.html O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: ICQ Lite (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) - O16 - DPF: {2DAE59A1-B355-4653-8D33-33A3A8F8C078} (MaxisVacationTeleX Control) - http://thesims.ea.com/teleport/vacation/MaxisVacationTeleX.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38117.1866550926 O16 - DPF: {A44B714B-EE0F-453E-9300-A69B321FEF6C} (MaxisSimsFamilyTeleX Control) - http://thesims.ea.com/teleport/families/MaxisSimsFamilyTeleX.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F81-00104B107C96} Ich hab alles gemacht was du gesagt hattest! Danke für die Hilfe MfG |
|
|
|
|
|
|
28.06.2004, 16:21
Ehrenmitglied
Beiträge: 29434 |
#14
@Tek.Ger, es sieht schon etwas besser aus, als das letzte Mal.
Fixe bitte R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Mischi\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Mischi\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Mischi\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Mischi\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Mischi\LOKALE~1\Temp\sp.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Mischi\LOKALE~1\Temp\sp.html O1 - Hosts: 213.159.117.235 auto.search.msn.com fixe auch ...ist nicht \bad\, sollte aber nicht im Autostart sein...schreibt sich bei Anwendung wieder ein.. O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Programme\ahead\InCD\InCD.exe O4 - HKLM\..\Run: [ICQ Lite] G:\ICQ\ICQ-Lite\ICQLite.exe -minimize O4 - HKLM\..\Run: [SunJavaUpdateSched] G:\Programme\Java\bin\jusched.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [CloneCDTray] "G:\Programme\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [AltnetPointsManager] C:\Program Files\Altnet\Points Manager\Points Manager.exe -s O4 - HKLM\..\Run: [KAZAA] G:\Programme\Kazaa\kazaa.exe /SYSTRAY O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART neustarten Gehe in den abgesicherten Modus...F8 beim Hochfahren druecken . gehe in die Registry Start\Ausfuehren\regedit HIer der Eintrag: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{53B95211-7D77-11D2-9F81-00104B107C96} loesche rechts den Wert, wenn er da ist. 2 .Dann suche eine C:\WINNT\system32\msxword.dll und, wenn sie da ist loesche sie. 3.Geh mal zu C:\WINDOWS\SYSTEM32\DRIVERS\ETC\Hosts mit dem Editor oeffen ..notepad Dort sollte nur 127.0.0.1 drinstehen . Alles andere loeschen 4. dann loesche unter InternetOptionen die TemporaryInternetFiles und stelle dort auch einen Startseite nach Wunsch ein. neustarten #Lade AdAware free..update und scanne http://www.lavasoft.de/ #Lade Cwshredder http://www.spywareinfo.com/~merijn/downloads.html #du hast irgendeine dll oder einen Trojaner drauf, der die Startseite verstellt. Kann ihn aber nicht sehen... Lade mwav.exe ...escan und scanne \alle Dateien\ http://www.mwti.net/antivirus/free_utilities.asp Vielleicht findet das Tool den Uebeltaeter.. # Doppelklicken Sie in der Systemsteuerung auf Internetoptionen. # Klicken Sie auf die Registerkarte Allgemein, und klicken Sie danach unter Temporäre Internetdateien auf Dateien löschen. # Aktivieren Sie im Dialogfeld Dateien löschen das Kontrollkästchen Alle Offlineinhalte löschen, wenn Sie alle Webseiteninhalte löschen möchten, die Sie offline bereitgestellt haben. Aktualisiere den IE http://www.microsoft.com/windows/ie_intl/de/ie6sp1.mspx Lade Firefox als AlternetivBrowser http://www.firebird-browser.de/ Stelle eine neue Startseite ein und poste das Log noch einmal. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 28.06.2004 um 16:41 Uhr von Sabina editiert.
|
|
|
|
|
|
|
28.06.2004, 16:28
Member
Beiträge: 441 |
#15
@ Tek.Ger
Es ist sinnlos, du hast dir schon wieder einen Browser HiJacker installiert. Zitat R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Mischi\LOKALE~1\Temp\sp.htmlSolange du dein System nicht updatest, diverse Filesharing Tools einsetzt und den Unsicherheitsbrowser IE verwendest, sehe ich bei dir keinen Erfolg zu einen sauberen und sicheren System. Zitat Platform: Windows XP (WinNT 5.01.2600) __________ Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen. Neuaufsetzen des Systems/Absicherung! HJT Anleitung |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Ich habe in anderen foren schon gelesen, dass es dieses Programm "Hijackthis" gibt, ich habe es mir auch kurzerhand runtergeladen, aber ich habe keine Ahnung von diesem Programm!
Ich bedanke mich schon mal im vorraus und hoffe, dass mir jemand helfen kann dieses Problem zu lösen!
MfG Tek.Ger[/b][/u][/i]