*http:///search.php?pin=8&ww=<search text>*TR/Startpage.IX

#0
16.10.2004, 19:44
...neu hier

Beiträge: 1
#1 hi,

habe mir mal search x eingefangen und probiere seit dem ihn mit dem CWShredder und hijackthis weg zu bekommen. scheitere aber. Habe auch Sp1a geladen.


Hier mein aktuelle Hijackthis log:

Logfile of HijackThis v1.98.0
Scan saved at 19:36:49, on 16.10.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\TSI32\tsircusr.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LMPDPSRV.EXE
C:\WINDOWS\System32\MSMNGR32.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\Explorer.exe
C:\Programme\InterVideo\WinDVR\WINDVR.exe
C:\Programme\InterVideo\WinDVR\WinScheduler.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Yves\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Yves\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Yves\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Yves\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Yves\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Yves\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Yves\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
F2 - REG:system.ini: Shell=Explorer.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\TSI32\tsircusr.exe
O2 - BHO: (no name) - {18B12BF1-0E8B-48E5-94FD-BEBCFDF77E5D} - C:\WINDOWS\System32\lelgpk.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [LMPDPSRV] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LMPDPSRV.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [LogonStudio] "C:\Programme\WinCustomize\LogonStudio\logonstudio.exe" /RANDOM
O4 - HKLM\..\Run: [Roxio Engine] MSMNGR32.EXE
O4 - HKCU\..\RunOnce: [Roxio Engine] MSMNGR32.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O18 - Filter: text/html - {08641A70-8E69-4CC6-B399-466BDD87B2D1} - C:\WINDOWS\System32\lelgpk.dll
O18 - Filter: text/plain - {08641A70-8E69-4CC6-B399-466BDD87B2D1} - C:\WINDOWS\System32\lelgpk.dll
Dieser Beitrag wurde am 29.11.2004 um 11:15 Uhr von Sabina editiert.
Seitenanfang Seitenende
16.10.2004, 21:07
Moderator

Beiträge: 7804
#2 Fixe bitte folgendes(im abgesicherten Modus):


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Yves\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Yves\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Yves\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Yves\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Yves\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Yves\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
F2 - REG:system.ini: Shell=Explorer.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\TSI32\tsircusr.exe
O2 - BHO: (no name) - {18B12BF1-0E8B-48E5-94FD-BEBCFDF77E5D} - C:\WINDOWS\System32\lelgpk.dll
4 - HKLM\..\Run: [Roxio Engine] MSMNGR32.EXE
O4 - HKCU\..\RunOnce: [Roxio Engine] MSMNGR32.EXE
O18 - Filter: text/html - {08641A70-8E69-4CC6-B399-466BDD87B2D1} - C:\WINDOWS\System32\lelgpk.dll
O18 - Filter: text/plain - {08641A70-8E69-4CC6-B399-466BDD87B2D1} - C:\WINDOWS\System32\lelgpk.dll

Starte neu und schicke bitte folgende Dateien an virus@protecus.de :

C:\WINDOWS\System32\lelgpk.dll
C:\WINDOWS\TSI32\tsircusr.exe (bzw alles aus dem Ordner sofern du Laplink nicht nutzen solltest)
C:\WINDOWS\System32\MSMNGR32.EXE

Du solltest dir die Infos aus diesem Thread mal durchlesen und beherzigen:
http://board.protecus.de/t13020.htm
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
29.11.2004, 10:50
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#3 Hallo@ateros

Nach fixen und neustart gehe in die Registry

Start<Ausfuehren<regedit

HKEY_LOCAL_MACHINE\Software\Microsoft\
Internet Explorer\Main
Use Search Asst = "no" --> aendere in "yes" (ohne Anfuehrungsstriche)

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main
Use Search Asst = "no" --> aendere in "yes"

---
<HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>
CurrentVersion>Explorer>Browser Helper Objects>
loesche:
{18B12BF1-0E8B-48E5-94FD-BEBCFDF77E5D}
---
HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/html
loesche:
CLSID = "{08641A70-8E69-4CC6-B399-466BDD87B2D1}

HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/plain
loesche:
CLSID = "{08641A70-8E69-4CC6-B399-466BDD87B2D1}"
---
HKEY_LOCAL_MACHINE>Software>Microsoft>
Internet Explorer>Main
loesche:
HOMEOldSP = "about:blank"

HKEY_CURRENT_USER>Software>Microsoft>
Internet Explorer>Main
loesche:
HOMEOldSP = "about:blank"
---
<HKEY_CLASSES_ROOT>CLSID>
loesche:
{18B12BF1-0E8B-48E5-94FD-BEBCFDF77E5D}
{08641A70-8E69-4CC6-B399-466BDD87B2D1}

schliesse die Registry
__________________________________________________________

#Windows Explorer -> "Extras/Ordneroptionen" ->
"Ansicht" -> Haken entfernen bei "Geschützte Systemdateien
ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen"
aktivieren -> "OK"

Start<Ausfuehren<cmd
(reinkopieren oder einschreiben-->DOS oeffnet sich)
kopiere rein:
attrib -h %systemroot%\system32\lelgpk.dll & ren %systemroot%\System32\lelgpk.dll Badfile.bad
<enter<
<PC neustarten
<die lelgpk.dll im abgesicherten Modus umbenennen in <lelgpk.dl<
und loeschen.

auch loeschen:
<C:\WINDOWS\System32\MSMNGR32.EXE
<SP.HTML

Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

Internetoptionen: stelle eine neue Startseite ein.
----------------------------------------------------------------------

#Internet Explorer 6 Service Pack 1
http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=1E1550CB-5E5D-48F5-B02B-20B602228DE6

#Alternativbrowser zum IE
Firefox
http://www.mozilla-europe.org/de/
Installation+Konfiguration Firefox
http://www.pcwelt.de/know-how/software/103924/index1.html
mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 29.11.2004 um 11:31 Uhr von Sabina editiert.
Seitenanfang Seitenende
29.11.2004, 11:49
Moderator

Beiträge: 7804
#4 Wo hast du den Thread denn ausgegraben. Der hat das Verfallsdatum ja schon fast ueberschritten! ;)
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
29.11.2004, 14:04
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#5 Ja, aber ich hab TR/Startpage IX druebergeschrieben ;)
Vielleicht haben ja noch andere aehnliche Probleme.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: