Home » Spyware & Browser Hijacker Support Forum » "Search for..."als Startseite...Bitte um Hilfe » Themenansicht
"Search for..."als Startseite...Bitte um Hilfe |
||
|---|---|---|
| #0
| ||
|
13.07.2004, 15:49
Member
Beiträge: 12 |
||
 
|
|
|
|
13.07.2004, 15:57
Member
Beiträge: 20 |
#2
Folgendes fixen:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\RETORU~1\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\RETORU~1\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\RETORU~1\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\RETORU~1\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\RETORU~1\LOKALE~1\Temp\sp.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\RETORU~1\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank __________ Automatische HijackThis-Auswertung auf www.hijackthis.de |
|
|
|
|
|
|
13.07.2004, 16:08
Member
Themenstarter Beiträge: 12 |
#3
Hallo Matze04
Besten Dank für Deine Hilfe Ich habe das schon etliche male mit hijackthis gefixt, beim nächsten mal scannen sind sie dann schon wieder da.... Weisst Du was ich tun kann? Besten Dank im voraus Rucki |
|
|
|
|
|
|
13.07.2004, 16:18
Member
Beiträge: 20 |
#4
Lade dir mal das Programm herunter und führe es aus:
http://www.trojaner-info.de/cgi-bin/download.cgi?file=sphjfix __________ Automatische HijackThis-Auswertung auf www.hijackthis.de |
|
|
|
|
|
|
13.07.2004, 16:22
Member
Beiträge: 1095 |
#5
@Rucki
Lad dir mal bitte das runter http://www.zerosrealm.com/downloads/pv.zip Entpacke die Datei in ein Verzeichnis Starte runme.bat Drücke 6 und Return und poste das Ergebnis Das hier hilft in diesem Fall leider nicht. http://www.trojaner-info.de/cgi-bin/download.cgi?file=sphjfix Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 13.07.2004 um 16:23 Uhr von paff editiert.
|
|
|
|
|
|
|
14.07.2004, 08:23
Member
Themenstarter Beiträge: 12 |
#6
Hallo Freunde.
Erst mal danke für Eure Bemühungen. @Matze4 Ich habe dieses Programm auch schon probiert. Das erste mal beim ausführen hat der Computer automatisch neu gestartet, und dabei die zweite Phase korrekt ausgeführt. Es hat jedoch nichts genützt. Wenn ich dieses Programm jetzt wieder ausführe, geschieht nichts nach der ersten Phase. Der Computer fährt nicht runter. Wenn ich das Programm schliesse, und den Computer manuell neu hochfahre, wird die zweite Phase nicht ausgeführt....Hmm...... @Paff Das Programm runme.bat hat nur 1-5 Plus E für Exit zur Auswahl. Wenn ich sämtliche dieser Punkte ausführe, erscheint ein Text-Editor Fenster, das aber immer leer bleibt..... Also wenn Ihr noch weitere Möglichkeiten wisst, wäre ich Euch echt dankbar, wenn ich dieses wirklich mühsame Problem lösen könnte. Auf jeden Fall herzlichen Dank für jede Hilfe Viele Grüsse Rucki |
|
|
|
|
|
|
14.07.2004, 09:16
Member
Beiträge: 1095 |
#7
@Rucki
Mist, der Link ist die alte Version. Das hier ist die richtige http://tools.zerosrealm.com/pv.zip Entpacke die Datei in ein Verzeichnis Starte runme.bat 6 und return ergebnis posten Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 14.07.2004 um 09:16 Uhr von paff editiert.
|
|
|
|
|
|
|
14.07.2004, 11:13
Member
Themenstarter Beiträge: 12 |
#8
Hi Paff
Also wenn einmal etwas schief geht..... Wenn ich diesen Programmpunkt ausführen möchte, kommt die Fehlermeldung "notepad.exe konnte nicht gefunden werden" Weisst du Rat...... Danke schön Rucki |
|
|
|
|
|
|
14.07.2004, 11:28
Member
Beiträge: 1095 |
#9
@rucki
Such mal bitte nach der notepad.exe auf deinem Rechner Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
|
|
|
|
14.07.2004, 12:13
Member
Themenstarter Beiträge: 12 |
#10
Hi
Jetzt kommt folgende meldung: Texturizer could not be found in the following path: "\Texturizer.exe" Please check the Working Directory setting in Texturizer. Was soll das denn nun...... Grüsse Rucki P.S. Ich bin wirklich froh, dass Du so geduldig bist mit mir |
|
|
|
|
|
|
14.07.2004, 12:17
Member
Beiträge: 1095 |
#11
@rucki
Wir machens anders lade Escan http://www.rokop-security.de/board/index.php?showtopic=3867 anleitung ausdrucken Geh in den Abgesicherten Modus von XP IE nicht ÖFFNEN Fixe bitte das in HiJackThis (ankreuzen und FixChecked drücken) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\RETORU~1\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\RETORU~1\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\RETORU~1\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\RETORU~1\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\RETORU~1\LOKALE~1\Temp\sp.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\RETORU~1\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {A092B76D-D817-4388-905F-0B583459BDA8} - C:\WINDOWS\System32\mlfe.dll Starte EScan Starte windows neu Poste nochmal das logfile Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
|
|
|
|
14.07.2004, 14:08
Member
Themenstarter Beiträge: 12 |
#12
Hallo Paff
Hurraaaaahhh!!! Ich glaube jetzt hat es geklappt. Auf jeden Fall konnte ich die Startseite im IE erfolgreich ändern, und im hijackthis erscheinen die gelöchsten Punkte endlich nicht mehr. Hier der Log: Logfile of HijackThis v1.97.7 Scan saved at 14:05:09, on 14.07.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\CTSvcCDA.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Intel\PROSetWired\NCS\PROSet\PRONoMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\QuickTime\qttask.exe C:\PROGRA~1\UBSE-B~1\UBS Shell\UBSShell.exe C:\Programme\Creative\MediaSource\Detector\CTDetect.exe C:\Programme\Creative\Shared Files\Media Sniffer\MtdAcq.EXE C:\Program Files\Webroot\Washer\wwDisp.exe C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe C:\Corel\Graphics8\Programs\MFIndexer.exe C:\Programme\Norton AntiVirus\SAVScan.exe C:\Dokumente und Einstellungen\Reto Ruckstuhl\Lokale Einstellungen\Temp\HijackThis.exe O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\Programme\FlashGet\jccatch.dll O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [PRONoMgrWired] c:\Programme\Intel\PROSetWired\NCS\PROSet\PRONoMgr.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [UBSShell] "C:\PROGRA~1\UBSE-B~1\UBSPay\..\UBS Shell\UBSShell.exe" Hidden O4 - HKCU\..\Run: [Creative Detector] C:\Programme\Creative\MediaSource\Detector\CTDetect.exe /R O4 - HKCU\..\Run: [MtdAcq] C:\Programme\Creative\Shared Files\Media Sniffer\MtdAcq.EXE /s O4 - HKCU\..\Run: [Window Washer] C:\Program Files\Webroot\Washer\wwDisp.exe O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe O4 - Global Startup: VersionBackupRun.lnk = C:\Programme\VersionBackup\VBackRun.exe O8 - Extra context menu item: Download All by FlashGet - C:\Programme\FlashGet\jc_all.htm O8 - Extra context menu item: Download using FlashGet - C:\Programme\FlashGet\jc_link.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren (HKLM) O9 - Extra button: FlashGet (HKLM) Herzlichen Dank für Deine wirklich geduldige, freundliche und sachkundige Hilfe. Ich weiss das insbesonders zu schätzen, da dies nicht selbstverständlich ist in Foren unter unbekannten Menschen. Vielen, vielen Dank...... Beste Grüsse Rucki |
|
|
|
|
|
|
14.07.2004, 14:34
Member
Beiträge: 1095 |
#13
@Rucki
Super das es geklappt hat  Jetzt mußt du mir noch einen kleinen Gefallen tun.  Starte den registry Editor Start/ausführen/regedit geh zum Schlüssel HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows dann den Schlüssel AppInit_dlls suchen Was steht in diesem Schlüssel ? Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 14.07.2004 um 14:35 Uhr von paff editiert.
|
|
|
|
|
|
|
14.07.2004, 14:48
Member
Themenstarter Beiträge: 12 |
#14
Hallo Paff
Wenn ich den Schlüssel im Registrierungs-Editor anklicke, kann ich noch einen Typ (REG_SZ) erkennen. Mit Rechtsklick "Binärdaten ändern" heisst es da dann noch: Name: AppInit_DLLs Wert: 0000 Falls ich Dir mit deisem Schlüssel noch weitere Infos geben kann, sag mir bitte wie, ich bin froh, wenn ich Dir auch einen Gefallen tun kann... Viele Grüsse Rucki |
|
|
|
|
|
|
14.07.2004, 14:54
Member
Beiträge: 1095 |
#15
@Rucki
Nutzt mal den anderen Registry Leser Starte den anderen registry Editor Start/ausführen/REGEDT32 bitte Dann such den Schlüssel appinit_dlls markieren und dann Menu Ansicht / Binäre Daten anzeigen Was steht dort Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 14.07.2004 um 15:25 Uhr von paff editiert.
|
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Ich habe das Problem, dass immer die Startseite "Search for..." kommt, trotz anty Spyware und Virenschutz. Ich habe gesehen, dass anderen mit dem gleichen Problem schon geholfen wurde. Vielleicht kann sich ja auch meiner jemand annehmen....
Ich sende mal das Hijackthis log:
gfile of HijackThis v1.97.7
Scan saved at 15:44:15, on 13.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\CTSvcCDA.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\PROSetWired\NCS\PROSet\PRONoMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\PROGRA~1\UBSE-B~1\UBS Shell\UBSShell.exe
C:\Programme\Creative\MediaSource\Detector\CTDetect.exe
C:\Programme\Creative\Shared Files\Media Sniffer\MtdAcq.EXE
C:\Corel\Graphics8\Programs\MFIndexer.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Reto Ruckstuhl\Lokale Einstellungen\Temp\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\RETORU~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\RETORU~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\RETORU~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\RETORU~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\RETORU~1\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\RETORU~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {A092B76D-D817-4388-905F-0B583459BDA8} - C:\WINDOWS\System32\mlfe.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\Programme\FlashGet\jccatch.dll
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [PRONoMgrWired] c:\Programme\Intel\PROSetWired\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [UBSShell] "C:\PROGRA~1\UBSE-B~1\UBSPay\..\UBS Shell\UBSShell.exe" Hidden
O4 - HKCU\..\Run: [Creative Detector] C:\Programme\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - HKCU\..\Run: [MtdAcq] C:\Programme\Creative\Shared Files\Media Sniffer\MtdAcq.EXE /s
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe
O4 - Global Startup: VersionBackupRun.lnk = C:\Programme\VersionBackup\VBackRun
Ich wäre wirklich sehr dankbar, wenn mir jemand helfen könnte.
Besten Dank im voraus.
viele Grüsse
Rucki