Ad-aware findet immer wieder folgendes....

#0
01.07.2004, 12:05
...neu hier

Beiträge: 3
#1 Hi!

Habe schon mehrfach Scan Progis durchlaufen lassen und immer wurde was gefunden.Dann hab ichs auch immer löschen lassen...
Aber immer wieder neu findet Ad-aware dieses:

Möglicher Browser-Hijack Versuch : Software\Microsoft\Internet Explorer\MainStart Pageabout:blank

Possible Browser Hijack attempt Objekt identifiziert!
Typ : Reg.Daten
Daten : "about:blank"
Rootkey : HKEY_CURRENT_USER
Objekt : Software\Microsoft\Internet Explorer\Main
Wert : Start Page
Daten : "about:blank"

Auch nach dem löschen ist das nach ner Zeit wieder da!
Kann mir jemand bei dem Problem helfen???
Danke
Seitenanfang Seitenende
01.07.2004, 12:20
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 http://board.protecus.de/t9391.htm
Lade das HijackThis, scanne, save und kopiere das Log hier ins Forum.
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 01.07.2004 um 12:44 Uhr von Sabina editiert.
Seitenanfang Seitenende
01.07.2004, 12:41
...neu hier

Themenstarter

Beiträge: 3
#3 ok,here it is...

Logfile of HijackThis v1.98.0
Scan saved at 12:43:58, on 01.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\PROGRA~1\NORTON~1\NORTON~4\GHOSTS~2.EXE
C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe
C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
E:\Downloads\hjt.exe

F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - C:\PROGRA~1\NEOTRA~1\NTXtoolbar.htm (HKCU)
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040105/qtinstall.info.apple.com/mickey/de/win/QuickTimeInstaller.exe
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab
O16 - DPF: {BAC01377-73DD-4796-854D-2A8997E3D68A} (Yahoo! Photos Easy Upload Tool Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/ydropper/ydropper1_3us.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4370/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2D34DE48-6E1B-41FC-903E-F8211FF084E4}: NameServer = 217.237.150.225 194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{2D34DE48-6E1B-41FC-903E-F8211FF084E4}: NameServer = 217.237.150.225 194.25.2.129
O17 - HKLM\System\CS2\Services\Tcpip\..\{2D34DE48-6E1B-41FC-903E-F8211FF084E4}: NameServer = 217.237.150.225 194.25.2.129
Seitenanfang Seitenende
01.07.2004, 12:48
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 @starling

Das Log ist sauber

.
lies das mal bitte
http://www.lavasoftsupport.com/index.php?showtopic=27767

Several variants of CoolWebSearch are using about:blank to hijack users' broswers to their sites. Therefore, about:blank is now presented in the results list for review. Its listing is "Possible browser hijack attempt" in reflection that the listing of this item in the results list may be or may not be entries made by a browser hijacker.

Start<Ausfuehren<regedit
Software\Microsoft\Internet Explorer\Main\Start Page ...trage dort die gewuenschte Startseite ein und sieh, ob sich dort vielleicht der Hijacker eingetragen hat....z.B Value : HOMEOldSP

Software\Microsoft\Internet Explorer\MainSearch Pagetemp\sp.html

Ansonsten bleibt nur, mit anderen Tools zu scannen,


Cwhredder
http://www.spywareinfo.com/~merijn/downloads.html


SP
http://www.rokop-security.de/main/article.php?sid=746

Lade Spysweeper
http://www.spysweeper.com/

Lade Spybot
http://www.safer-networking.org/index.php?page=download&lang=de

Loesche mit ClearProg die TemporaryInternetFiles und die Cookies und stelle dann unter InternetOptionen eine Startseite ein.
http://www.clearprog.de/

Surfe nur mit dem Firefox...ist sicherer
http://www.firebird-browser.de/

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 01.07.2004 um 12:59 Uhr von Sabina editiert.
Seitenanfang Seitenende
01.07.2004, 13:45
...neu hier

Themenstarter

Beiträge: 3
#5 Dank dir !! ;)


Gruß Starling
Seitenanfang Seitenende