"Search for..."als Startseite...Bitte um Hilfe

#16 Hmmmm....

Habe alles so gemacht, aber das Fenster bleibt leer, selbst wenn ich die Formate ändere

Grüsse

Rucki

#17 @rucki

HAST du wirklich die


regedt32



gestartet und nicht die regedit

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#18 Ja habe ich...aber der regedt32 öffnet das genau gleiche Fenster wie der regedit....

Ich habe es mehrmals versucht, auch mit klein und Grossschreibeung.

Hast Du noch eine Idee??

Viele Grüsse Rucki

#19 @rucki

Also dein Rechner ist irgendwie komisch
notepad geht nicht
regedt32 geht nicht

Irgendwas ist da "krumm"

Lade mal bitte diesen Scanner
ftp://ftp.kaspersky.com/utils/clrav.zip

und lass ihn Scannen

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#20 Hi Paff

Habe ich gemacht. Der Scanner sagt "nothing to clean".

Ach übrigens, die richtige Adresse lautet:
ftp://ftp.kapersky.com/utils/clrav.com

(Falls das der Scanner ist den Du meinst. Die von Dir angegebene Seite wurde nicht gefunden.)


Viele Grüsse
Rucki

#21 Hilfe, ich bekomm diese Sch*** Startseite auch ned weg

Ich verwende Norton Antivirus und Personal Firewall 2004, Antivir und Adaware. Meine ActiveX Sicherheitseinstellungen sind alle auf Eingabeaufforderung gestellt. Ps: Lade gerade Firefox statt Iexplorer runter mit Hoffnung auf Besserung

Mein Logfile (nochnicht gefixt):

Logfile of HijackThis v1.98.0
Scan saved at 17:25:44, on 13.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\WINDOWS\System32\cisvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\eMule.de\emule.exe
C:\WINDOWS\System32\cidaemon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Markus\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Markus\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Markus\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Markus\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Markus\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Markus\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Markus\LOKALE~1\Temp\sp.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: (no name) - {39336647-3E08-48FA-9C4D-3EB8450D5817} - C:\WINDOWS\System32\hndjboa.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O12 - Plugin for ôå: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} - https://www-secure.symantec.com/techsupp/activedata/SymAData.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} - https://www-secure.symantec.com/techsupp/activedata/ActiveData.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O18 - Filter: text/html - {B787155F-A134-4E76-B31A-2CAC3C105A8D} - C:\WINDOWS\System32\hndjboa.dll
O18 - Filter: text/plain - {B787155F-A134-4E76-B31A-2CAC3C105A8D} - C:\WINDOWS\System32\hndjboa.dll


Danke im Vorraus mfg maruso

#22 @rucki
hast recht, hatte den Scanner nur gestern abend irgendwo gesehen und jetzt schnell mal bei Google die url gesucht.
Und ftp geht hier bei mir nicht richtig so kann ichs nicht abchecken.

OK zum Prob.
Kannst du kurz aufschreiben, mit was du alles schon gescannt hast?
Poste bitte nochmal das HiJackThis logfile aber mit Version
v 1.98.0
Link :
http://www.wintotal.de/yad/softw.php?id=2022


Gruß paff
P.S. Dein Problem ist eigentlich gelöst oder ?
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#23 Hallo Paff

Ja...mein Problem ist gelöst....Dank DIR!!

Hier mein Log:

Logfile of HijackThis v1.98.0
Scan saved at 09:50:17, on 15.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\CTSvcCDA.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Intel\PROSetWired\NCS\PROSet\PRONoMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\PROGRA~1\UBSE-B~1\UBS Shell\UBSShell.exe
C:\Programme\Creative\MediaSource\Detector\CTDetect.exe
C:\Programme\Creative\Shared Files\Media Sniffer\MtdAcq.EXE
C:\Program Files\Webroot\Washer\wwDisp.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Corel\Graphics8\Programs\MFIndexer.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\Programme\Melco Embroidery Systems\Embroidery Network System\ENS.exe
C:\ESWin\BIN\es.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpqthb08.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\FlashGet\flashget.exe
d:\Daten\Diverses\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\Programme\FlashGet\jccatch.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [PRONoMgrWired] c:\Programme\Intel\PROSetWired\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [UBSShell] "C:\PROGRA~1\UBSE-B~1\UBSPay\..\UBS Shell\UBSShell.exe" Hidden
O4 - HKCU\..\Run: [Creative Detector] C:\Programme\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - HKCU\..\Run: [MtdAcq] C:\Programme\Creative\Shared Files\Media Sniffer\MtdAcq.EXE /s
O4 - HKCU\..\Run: [Window Washer] C:\Program Files\Webroot\Washer\wwDisp.exe
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe
O4 - Global Startup: VersionBackupRun.lnk = C:\Programme\VersionBackup\VBackRun.exe
O8 - Extra context menu item: Download All by FlashGet - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\flashget.exe
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/SU/ocx/12119/CTSUEng.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/23b2b94751f7cd2f3306/netzip/RdxIE601_de.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040105/qtinstall.info.apple.com/mickey/de/win/QuickTimeInstaller.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemplates/ActiveSecurity.cab
O16 - DPF: {D10B5C22-DC60-430D-B548-489CB49A2367} (FreeScan Class) - http://alternatedownload.zeroads.com/zerospyware/landingpage/files/zsfreescan.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/SU/ocx/12119/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{51976873-B6E2-4D96-A97D-0E3B5F8DED6D}: NameServer = 217.71.240.138,217.71.250.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{79BD603B-12D8-4A4C-B9C6-C8A31268124E}: NameServer = 193.193.144.12,193.193.158.10
O17 - HKLM\System\CCS\Services\Tcpip\..\{C807E430-B852-4990-8464-7A039C7671C1}: NameServer = 193.193.144.12,193.193.158.10
O17 - HKLM\System\CS1\Services\Tcpip\..\{51976873-B6E2-4D96-A97D-0E3B5F8DED6D}: NameServer = 217.71.240.138,217.71.250.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{51976873-B6E2-4D96-A97D-0E3B5F8DED6D}: NameServer = 217.71.240.138,217.71.250.1
O18 - Filter: text/html - {D11ECBD9-7E85-478C-A5DE-C7A7677A0C7A} - C:\WINDOWS\System32\mlfe.dll
O18 - Filter: text/plain - {D11ECBD9-7E85-478C-A5DE-C7A7677A0C7A} - C:\WINDOWS\System32\mlfe.dll

Ansonsten habe ich noch mit folgenden Programmen gescannt:

Norton Antivirus 2004
XoftSpy
Ad-Aware 6.0
Window-Washer 5
CWSshradder
escan
Spybotsd12
Sphjfix
Spykiller

Ich glaube, das wars...

Viele Grüsse
Rucki

#24 @Rucki

Wegen der regedt32 brauchen wir uns keine Sorgen machen.
Die wurde unter XP mit der regedit zusammengelegt.
Hab ich gerade nochmal nachgelesen
http://www.winnetmag.com/Articles/Index.cfm?ArticleID=20894

Wegen der notepad.exe
Findes du eigentlich eine im windowsverzeichnis?


Zum Logfile
DIese beiden hier sind noch da
O18 - Filter: text/html - {D11ECBD9-7E85-478C-A5DE-C7A7677A0C7A} - C:\WINDOWS\System32\mlfe.dll
O18 - Filter: text/plain - {D11ECBD9-7E85-478C-A5DE-C7A7677A0C7A} - C:\WINDOWS\System32\mlfe.dll

Such mal bitte die Datei, wenn du sie findest bitte an
mike_hangover@gozomail.com
oder mal hier checken
http://www.kaspersky.com/de/remoteviruschk.html

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#25 @Paff

Ich habe notepad in einem falschen Verzeichnis gefungen (???) und wieder unter C:/Windows abgelegt. Inzwischen funtioniert es auch wieder.

Ich habe die zwei files 018 mit hijackthis gefixt. Bis jetzt hat sich noch kein Programm gemeldet, das irgendetwas vermisst....

An dieser Stelle noch einmal herzlichen Dank für Deine geduldige Hilfe.

Alles Gute für Dich und viele Grüsse
Rucki

#26 @maruso

Schau in deinem anderen thread
http://board.protecus.de/t11346.htm

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware