"MCN search" nervt. brauche lösung bitte!

#1 hi leute,

seit kurzem habe ich ein problem mit eine spyware. immer wenn ich den internet explorer aufmache, öffnet sich eine pseudo-searchseite.

ferner kann ich einige webseiten garnicht mehr aufrufen.

ich habe mir "ad-aware" und "spybot search&destroy" gesaugt und laufen lassen.

die haben auch ein problem entdeckt und entfernt. wenn ich aber den rechner danach neu starte, ist das problem immernoch da.

ich habe mir auch hijack.this v.198.1 runtergeladen, eine logfile erstellt und über die hijack.this webseite analysiern lassen. danach habe ich die fragwürdigen zeilen (die mit http://195.225.176.14/) fixen und löschen lassen. nach systemneustart ist das problem mit der unerwünschten webseite immernoch da und die logfile ist dieselbe vor dem hijack.this fix.

hier poste ich mal die logfile in der hoffnung, dass jemand für mich eine permanente lösung parat hat und auch eine sichere methode parat hat, wie ich in zukunft solche webseiten blockiern kann.

danke schonmal im vorraus.

hier ist die logfile von hijack.this:

Logfile of HijackThis v1.98.1
Scan saved at 16:47:06, on 06.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\monitor.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinRAR\WinRAR.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\mehrdad\LOKALE~1\Temp\Rar$EX16.125\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.225.176.14/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://195.225.176.14/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://195.225.176.14/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.225.176.14/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.225.176.14/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://195.225.176.14/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://195.225.176.14/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.225.176.14/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://195.225.176.14/ie
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://195.225.176.14/ie
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.225.176.14/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.225.176.14/
F2 - REG:system.ini: Shell=Explorer.exe monitor.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [monitor] monitor.exe
O4 - HKCU\..\RunServicesOnce: [washindex] C:\Programme\Washer\washidx.exe
O13 - DefaultPrefix: http://195.225.176.14/pre.pl?
O13 - WWW Prefix: http://195.225.176.14/pre.pl?
O16 - DPF: {F54C1137-5E34-4B95-95A5-BA56D4D8D743} (Secure Delivery) - http://www.gamespot.com/KDX/kdx.cab

#2 Leiste mal ein wenig vorarbeit. Lies dir das bitte mal durch (1-4)

http://board.protecus.de/t9373.htm

Danach kannst du falls noetig ein neues Log posten.
__________
MfG Ralf
SEO-Spam Hunter

#3 hi,

bis gerade hatte ich das gleiche problem. ich habe die programme durchlaufen lassen und das zeug wurde auch entfernt, nach einem neustart aber war wieder alles gleich.

der übeltäter ist die monitor.exe!

mach es am besten einfach so:

1. mit strg + alt + enf in den task manager gehen und die monitor.exe manuell beenden.

2. anschliesend gehst du in c:\windows und suchst nach der monitor.exe. die kannst du jetzt einfach löschen.

3. danach wieder hijack.this starten und folgende einträge fixen:

Zitat

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.225.176.14/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://195.225.176.14/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://195.225.176.14/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.225.176.14/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.225.176.14/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://195.225.176.14/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://195.225.176.14/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.225.176.14/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://195.225.176.14/ie
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://195.225.176.14/ie
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.225.176.14/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.225.176.14/
F2 - REG:system.ini: Shell=Explorer.exe monitor.exe
O4 - HKCU\..\Run: [monitor] monitor.exe
O13 - DefaultPrefix: http://195.225.176.14/pre.pl?
O13 - WWW Prefix: http://195.225.176.14/pre.pl?

anschliessend neustarten und alles muesste wieder in ordnung sein