Home » Spyware & Browser Hijacker Support Forum » yoursearcher.com als Startseite entfernen? » Themenansicht
yoursearcher.com als Startseite entfernen? |
||
|---|---|---|
| #0
| ||
|
30.09.2004, 13:30
...neu hier
Beiträge: 2 |
||
 
|
|
|
|
30.09.2004, 18:43
Moderator
Beiträge: 7805 |
#2
Arbeite bitte mal die Punkte 1-4 aus diesem Thread ab und poste ein neues Log.
http://board.protecus.de/t9373.htm Du solltest auch dein Windows/IE via www.windowsupdate.com aktualisieren. __________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
01.10.2004, 15:53
...neu hier
Themenstarter Beiträge: 2 |
#3
Hi Raman,
vielen Dank, habe alles so gemacht, wie Du geschrieben hast. Der Rechner sieht sauber aus (war vielleicht noch nie so sauber als jetzt :o)), die Startseite und Favoriten sind OK. Das IE habe ich nicht aktualisiert, würde ab jetzt eher Mozilla Firefox benutzen (ist das in Ordnung?). Vielen Dank nochmals. Huck Hier ist mein neues Log: Logfile of HijackThis v1.97.7 Scan saved at 15:49:23, on 01.10.04 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v5.00 (5.00.2614.3500) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\MS\SMS\CORE\BIN\CLISVC95.EXE C:\PROGRAMME\NORTON ANTIVIRUS\RTVSCN95.EXE C:\PROGRAMME\NORTON ANTIVIRUS\DEFWATCH.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\MS\SMS\CLICOMP\APA\BIN\SMSAPM32.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\WINDOWS\MS\SMS\CLICOMP\REMCTRL\WUSER32.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAMME\NORTON ANTIVIRUS\VPTRAY.EXE C:\WINDOWS\LOADQM.EXE C:\WINDOWS\MS\SMS\CLICOMP\SWDIST32\BIN\SMSMON32.EXE C:\EIGENE DATEIEN\HIJACKTHIS\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://mypoiskovik.com/sp.htm R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://yoursearcher.com/sp.htm R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yoursearcher.com/index.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.uni-leipzig.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yoursearcher.com/sp.htm R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://yoursearcher.com/index.htm R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 139.18.233.236:8080 O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [SMS Win9x Message Agent] C:\WINDOWS\MS\SMS\core\bin\SMSMsg.exe O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\NORTON~1\vptray.exe O4 - HKLM\..\Run: [LoadQM] loadqm.exe O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe O4 - HKLM\..\RunServices: [SMS Client Service] C:\WINDOWS\MS\SMS\core\bin\clisvc95.exe O4 - HKLM\..\RunServices: [rtvscn95] C:\PROGRA~1\NORTON~1\rtvscn95.exe O4 - HKLM\..\RunServices: [defwatch] C:\PROGRA~1\NORTON~1\defwatch.exe O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O12 - Plugin for .asp: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 139.18.233.240,139.18.233.250 |
|
|
|
|
|
|
01.10.2004, 16:18
Moderator
Beiträge: 7805 |
#4
FIx nochmal diese Kleinigkeiten:
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://mypoiskovik.com/sp.htm R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://yoursearcher.com/sp.htm R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yoursearcher.com/index.htm R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yoursearcher.com/sp.htm R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://yoursearcher.com/index.htm O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= Du wirst nicht daran vorbei kommen, dein System auf dem neusten Stand zu halten. Das gilt besonders fuer den IE, da er soweit in Windows integriert ist, das er auch das "normale" Windowsnutzen beeinflusst. __________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
11.10.2004, 10:13
...neu hier
Beiträge: 2 |
#5
hallo,
ich hab leider genau das selbe problem. adaware, cwschredder, norton antivirus und spybot hab ich laufen lassen.. im abgesicherten modus alle einträge mit http://your-searcher.cm/sp.htm gelöscht - nachm reboot war aber wieder alles da. hoffe doch sehr mir kann hier jemand helfen. Logfile of HijackThis v1.98.2 Scan saved at 10:08:49, on 11.10.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\System32\winsysi.exe C:\Programme\Lexmark 3100 Series\lxbrbmgr.exe C:\Programme\Common files\SearchUpgrader\SearchUpgrader.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\windows\dllhlp.exe C:\Programme\Lexmark 3100 Series\lxbrbmon.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton AntiVirus\SAVScan.exe C:\dlltmp.exe C:\Dokumente und Einstellungen\Germs2\Desktop\hijackthis_198\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://your-searcher.cm/sp.htm R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://your-searcher.cm/index.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://your-searcher.cm/index.htm R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://your-searcher.cm/sp.htm R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://your-searcher.cm/index.htm O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll (file missing) O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE O4 - HKLM\..\Run: [WindowsRegKeys update] winsysi.exe O4 - HKLM\..\Run: [Windows Compliant] hflehz.exe O4 - HKLM\..\Run: [Lexmark 3100 Series] "C:\Programme\Lexmark 3100 Series\lxbrbmgr.exe" O4 - HKLM\..\Run: [LXBRKsk] C:\PROGRA~1\LEXMAR~1\LXBRKsk.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SearchUpgrader] C:\Programme\Common files\SearchUpgrader\SearchUpgrader.exe O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe O4 - HKLM\..\RunServices: [WindowsRegKeys update] winsysi.exe O4 - HKLM\..\RunServices: [Windows Compliant] hflehz.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [WindowsRegKeys update] winsysi.exe O4 - HKCU\..\Run: [Windows Compliant] hflehz.exe O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKCU\..\Run: [dllhelp] c:\windows\dllhlp.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1095099848291 das hab ich noch bei sophos.de gefunden: Troj/StartPa-HE ist ein Trojaner für die Windows-Plattform. Wenn er ausgeführt wird, erstellt der Trojaner Dateien namens "FREE HIDDEN CAMS WORLD.url", "FREE SPY CAM.url", "FREE WEB CAMS CHATS.url" und "GET THIS 4 FREE.url" im Favoriten-Ordner. Der Trojaner überschreibt daraufhin die Hosts-Datei in C:/windows/system32/drivers/etc/, so dass sie nur noch aus "127.0.0.1 localhost" besteht. Troj/StartPa-HE erstellt die folgenden Registrierungseinträge: HKCU\Software\Microsoft\Internet Explorer\ Main\Search Bar = "http://dorkodrom.com/sp.htm" SearchUrl\@ = "http://dorkodrom.com/index.htm" Main\Search Page = "http://dorkodrom.com/index.htm" Main\Start Page = "http://dorkodrom.com/index.htm" SearchUrl\provider = "gogl" HKLM\SOFTWARE\Microsoft\Internet Explorer\Search\ SearchAssistant = "http://dorkodrom.com/sp.htm" Troj/StartPa-HE bleibt dann im Speicher resident, wobei er alle aktiven Prozesse überprüft und sie mit einer Liste Viren vergleicht. Wenn der Trojaner eine Übereinstimmung findet, beendet er den Prozess und löscht das Programm vom Computer. Dieser Beitrag wurde am 11.10.2004 um 10:19 Uhr von chills editiert.
|
|
|
|
|
|
|
11.10.2004, 11:04
Moderator
Beiträge: 7805 |
#6
Du kannst Escan deinen Rechner pruefen lassen und dich dann wundern, was Norton/Sophos so alles nicht gefunden haben!
Anleitung siehe hier: http://www.rokop-security.de/board/index.php?showtopic=3867 http://www.trojaner-info.de/hijacker/escan.shtml Ueberlege dir, dein System neu aufzusetzen und auf jedenfall Passwoerter zu aendern. Das Update auf SP2 ist Pflicht! __________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
11.10.2004, 20:11
...neu hier
Beiträge: 2 |
||
|
|
|
|
|
11.10.2004, 21:56
Moderator
Beiträge: 7805 |
#8
Trail gibt es auch direkt bei MWti, nur ist das mit 21 MB nicht unbedingt was fuer ISDN/Modem Nutzer!
 by the way: Die guenstigste Variante von Escan kostet "nur" 25 Euro pro Jahr. fast ein Schnaepchen!  __________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Seite(n): 1
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
meine Startseite ist hijacked von yoursearcher.com. Zusätzlich kommen "free spy cam", "free hidden cams world", "free cams chats", "get this 4 free" zu meinen Favoriten.
Hier ist mein Log:
Logfile of HijackThis v1.97.7
Scan saved at 13:42:43, on 30.09.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.00 (5.00.2614.3500)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\MS\SMS\CORE\BIN\CLISVC95.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\RTVSCN95.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\DEFWATCH.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\MS\SMS\CLICOMP\APA\BIN\SMSAPM32.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\VPTRAY.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\MS\SMS\CLICOMP\SWDIST32\BIN\SMSMON32.EXE
C:\WINDOWS\MS\SMS\CLICOMP\REMCTRL\WUSER32.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\WINWORD.EXE
C:\EIGENE DATEIEN\HIJACKTHIS.EXE
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://mypoiskovik.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://yoursearcher.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yoursearcher.com/index.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://yoursearcher.com/index.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yoursearcher.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://yoursearcher.com/index.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 139.18.233.236:8080
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: WinShow module - {6CC1C918-AE8B-4373-A5B4-28BA1851E39A} - C:\WINDOWS\WINSHOW.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [SMS Win9x Message Agent] C:\WINDOWS\MS\SMS\core\bin\SMSMsg.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\NORTON~1\vptray.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe
O4 - HKLM\..\RunServices: [SMS Client Service] C:\WINDOWS\MS\SMS\core\bin\clisvc95.exe
O4 - HKLM\..\RunServices: [rtvscn95] C:\PROGRA~1\NORTON~1\rtvscn95.exe
O4 - HKLM\..\RunServices: [defwatch] C:\PROGRA~1\NORTON~1\defwatch.exe
O4 - HKCU\..\Run: [cvchost] c:\windows\svchost.exe
O4 - HKCU\..\Run: [dllhelp] c:\windows
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O12 - Plugin for .asp: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 139.18.233.240,139.18.233.250
Vielen Dank
Huck