Home » Spyware & Browser Hijacker Support Forum » Windupdates bzw. Isearch nicht löschbar => IE springt immer weg » Themenansicht

Windupdates bzw. Isearch nicht löschbar => IE springt immer weg
#0
04.11.2004, 22:29
Shea
...neu hier

Beiträge: 3
#1 Hallo zusammen,

Ich habe die verschiedenen Threads gelesen und daraus einiges ausprobiert, aber bisher hat nichts geholfen.

Mein HiJack-Protokoll dazu ist:

Logfile of HijackThis v1.98.2
Scan saved at 21:54:12, on 04.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Tiny Personal Firewall\persfw.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Twain_32\FlatBed\HotKey.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\totalcmd\TOTALCMD.EXE
C:\WINDOWS\System32\msmsgs.exe
C:\WINDOWS\System32\service.exe
C:\Programme\HiJack\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\FlatBed\HotKey.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - Global Startup: SETI Driver.lnk = C:\Programme\setidriver\SETI Driver.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O16 - DPF: ppctlcab -
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} -
O16 - DPF: {1C78AB3F-A857-482E-80C0-3A1E5238A565} -
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} -

Nach meiner Ansicht sind die Probleme unter O16 alle zu suchen, aber die lassen sich nicht fixen.
Ausprobiert habe ich schon
- Regcleaner von Microsoft => Kein Effekt
- Regcleaner von jv16 => Absturz bei verwaiste Dateien finden
- Regedit pur => Delete wird verweigert (Kann nicht gelöscht werden) Der Inhalt des Schlüssel verschwindet kurz ist aber dann wieder da
- BHODemon => Stürzt sofort beim Start ab
- AdAware => Findet windupdate, ist aber nach Fix sofort wieder da
- Spybot => Findet nichts
- eScan => Findet nichts
- AntiVir => Findet nichts

Vor dem Fixen mit HiJack (dort im Backup gefunden) waren folgende Werte vorhanden

1)

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=4b14ebcfcc86666276ad17e150abdafa3d2cb2aef65f01db555ab59a2e2870b1d106007a2b605c595f1e31f6c6b102223cc1195e638fbdbb52802d:92d63af79d5017ef95cb164cb01a51b9
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\Distribution Units\{15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6}]
"SystemComponent"=dword:00000000
"Installer"="MSICD"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\Distribution Units\{15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6}\Contains]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\Distribution Units\{15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6}\DownloadInformation]
"CODEBASE"="http://public.windupdates.com/get_file.php?bt=ie&p=4b14ebcfcc86666276ad17e150abdafa3d2cb2aef65f01db555ab59a2e2870b1d106007a2b605c595f1e31f6c6b102223cc1195e638fbdbb52802d:92d63af79d5017ef95cb164cb01a51b9"
"INF"="C:\\WINDOWS\\Downloaded Program Files\\ActiveX.inf"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\Distribution Units\{15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6}\InstalledVersion]
@="0,0,0,1"
"LastModified"="Tue, 05 Oct 2004 15:48:29 GMT"

2)

O16 - DPF: {1C78AB3F-A857-482E-80C0-3A1E5238A565} - http://toolbar.isearch.com/general/initial.cab
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\Distribution Units\{1C78AB3F-A857-482E-80C0-3A1E5238A565}]
"SystemComponent"=dword:00000000
"Installer"="MSICD"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\Distribution Units\{1C78AB3F-A857-482E-80C0-3A1E5238A565}\Contains]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\Distribution Units\{1C78AB3F-A857-482E-80C0-3A1E5238A565}\DownloadInformation]
"CODEBASE"="http://toolbar.isearch.com/general/initial.cab"
"INF"="C:\\WINDOWS\\Downloaded Program Files\\initial.inf"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\Distribution Units\{1C78AB3F-A857-482E-80C0-3A1E5238A565}\InstalledVersion]
@="1,0,0,4"
"LastModified"="Tue, 08 Jun 2004 16:09:43 GMT"

3)

O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\Distribution Units\{2FC9A21E-2069-4E47-8235-36318989DB13}]
"SystemComponent"=dword:00000000
"Installer"="MSICD"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\Distribution Units\{2FC9A21E-2069-4E47-8235-36318989DB13}\Contains]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\Distribution Units\{2FC9A21E-2069-4E47-8235-36318989DB13}\DownloadInformation]
"CODEBASE"="http://www.pestscan.com/scanner/axscanner.cab"
"INF"="C:\\WINDOWS\\Downloaded Program Files\\PPSDKActiveXScanner.INF"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\Distribution Units\{2FC9A21E-2069-4E47-8235-36318989DB13}\InstalledVersion]
@="1,5,0,1"

4)

O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\Distribution Units\ppctlcab]
@="ppctlcab"
"SystemComponent"=dword:00000000
"Installer"="MSICD"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\Distribution Units\ppctlcab\Contains]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\Distribution Units\ppctlcab\DownloadInformation]
"CODEBASE"="http://www.pestscan.com/scanner/ppctlcab.cab"
"OSD"="C:\\WINDOWS\\Downloaded Program Files\\OSD406.OSD"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\Distribution Units\ppctlcab\InstalledVersion]
@="5,6,1,1"
"LastModified"="Thu, 18 Mar 2004 05:41:07 GMT"

Ein Export mit Regedit bringt nur noch
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\ppctlcab]
@="ppctlcab"
"SystemComponent"=dword:00000000
"Installer"="MSICD"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\ppctlcab\Contains]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6}]
"SystemComponent"=dword:00000000
"Installer"="MSICD"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6}\Contains]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{1C78AB3F-A857-482E-80C0-3A1E5238A565}]
"SystemComponent"=dword:00000000
"Installer"="MSICD"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{1C78AB3F-A857-482E-80C0-3A1E5238A565}\Contains]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{2FC9A21E-2069-4E47-8235-36318989DB13}]
"SystemComponent"=dword:00000000
"Installer"="MSICD"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{2FC9A21E-2069-4E47-8235-36318989DB13}\Contains]
wobei Contains mit einem [+] versehen ist, aber nicht aufklappt.

Bin ich hier auf der total falschen Suche oder hat jemand eine Idee, wie ich mein System wieder sauber bekomme ?
Für Antworten, Hinweise oder Tipps wäre ich sehr dankbar

Gruß
Shea
Dieser Beitrag wurde am 04.11.2004 um 22:31 Uhr von Shea editiert.
Seitenanfang Seitenende
04.11.2004, 23:50
Shea
...neu hier

Themenstarter

Beiträge: 3
#2 Hi zusammen,

zur meiner eigenen Freude habe ich noch etwas ausprobiert und bin damit endlich durchgekommen.

Nämlich bei einem Start im abgesicherten Zustand und der Ausführung von HiJack gab es einen Eintrag mehr als zuvor und zwar

O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\WINDOWS\System32\msacmx.dll

Was das genau ist, weiß ich nicht, aber nach dem Fixen gings meinem PC besser.
Ich habe auch noch einen Verweis dazu gefunden: http://www.trojaner-board.de/archive/index.php/t-8967.html
Dort steht etwas von "partytime-germany.ice@web.de", so ähnlich war die Sprungseite dann bei mir.

Gleichzeitig ließen sich auch die O16-Einträge fixen im abgesicherten Modus.
Thx für den Tip, wo immer auch das gelesen habe.

Für jeden, der nachgedacht hat, trozdem vielen Dank.

Grüße und Erleichterung
Shea
Dieser Beitrag wurde am 04.11.2004 um 23:52 Uhr von Shea editiert.
Seitenanfang Seitenende
05.11.2004, 12:12
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#3 Hallo@Shea

Das Fixen mit dem HijackThis loescht nichts.

Du musst die C:\WINDOWS\System32\msacmx.dll
loeschen.

HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:
C:\WINDOWS\System32\msacmx.dll
PC neustarten.

#mache eine Datentraegerbereinigung und loesche auch die Downloaded-Files.
Datentraegerbereinigung: und Loeschen der Temporary-Dateien
<Start<Ausfuehren<cleanmgr
Temporary Internet Files, O.K
Temporary Files, O.K
Downloaded-Files

Loesche in der Registry alle Eintrage auf den Hijacker
O16 - DPF: {1C78AB3F-A857-482E-80C0-3A1E5238A565} - http://toolbar.isearch.com/general/initial.cab

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\Distribution Units\{1C78AB3F-A857-482E-80C0-3A1E5238A565}]
"SystemComponent"=dword:00000000
"Installer"="MSICD"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\Distribution Units\{1C78AB3F-A857-482E-80C0-3A1E5238A565}\Contains]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\Distribution Units\{1C78AB3F-A857-482E-80C0-3A1E5238A565}\DownloadInformation]
"CODEBASE"="http://toolbar.isearch.com/general/initial.cab"
"INF"="C:\\WINDOWS\\Downloaded Program Files\\initial.inf"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\Distribution Units\{1C78AB3F-A857-482E-80C0-3A1E5238A565}\InstalledVersion]
@="1,0,0,4"
"LastModified"="Tue, 08 Jun 2004 16:09:43 GMT"

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=4b14ebcfcc86666276ad17e150abdafa3d2cb2aef65f01db555ab59a2e2870b1d106007a2b605c595f1e31f6c6b102223cc1195e638fbdbb52802d:92d63af79d5017ef95cb164cb01a51b9

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\Distribution Units\{15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6}]
"SystemComponent"=dword:00000000
"Installer"="MSICD"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\Distribution Units\{15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6}\Contains]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\Distribution Units\{15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6}\DownloadInformation]
"CODEBASE"="http://public.windupdates.com/get_file.php?bt=ie&p=4b14ebcfcc86666276ad17e150abdafa3d2cb2aef65f01db555ab59a2e2870b1d106007a2b605c595f1e31f6c6b102223cc1195e638fbdbb52802d:92d63af79d5017ef95cb164cb01a51b9"
"INF"="C:\\WINDOWS\\Downloaded Program Files\\ActiveX.inf"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\Distribution Units\{15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6}\InstalledVersion]
@="0,0,0,1"
"LastModified"="Tue, 05 Oct 2004 15:48:29 GMT"

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 05.11.2004 um 12:28 Uhr von Sabina editiert.
Seitenanfang Seitenende
06.11.2004, 14:19
Shea
...neu hier

Themenstarter

Beiträge: 3
#4 Hi Sabina,

vielen Dank für deine Mühe, bei mir hat aber HiJack die Datei msacmx.dll mitgelöscht, vielleicht lag das ja an dem abgesichertem Zustand. Alle O16-Einträge habe ich ebenfalls weggeworfen. Zusätzliche hatte ich ClearCache durchgeführt und somit war ich auch die Temps los.

Aber meinen Dank trotzdem für deien Lösung.

Gruß
Shea
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1