Searchweb2 als Startseite entfernen

#0
05.02.2005, 19:48
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#61 @Bastian

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

poste das neue Log vom HijackThis
--
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.02.2005, 20:04
Member

Beiträge: 12
#62 also hab nochmal das clearprog angeworfen und alles löschen gewählt.
dann die tempdateien gelöscht und einstellungen zurückgesetzt
hier das neueste hijackthis log:

Zitat

Logfile of HijackThis v1.99.0
Scan saved at 20:04:19, on 05.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Dokumente und Einstellungen\Bastian_\Eigene Dateien\Downloads\Pr0gz\Antivir\AVGUARD.EXE
C:\Dokumente und Einstellungen\Bastian_\Eigene Dateien\Downloads\Pr0gz\Antivir\AVWUPSRV.EXE
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\ScsiAccess.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\zHotkey.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Dokumente und Einstellungen\Bastian_\Eigene Dateien\Downloads\Pr0gz\PTBSync\PTBSync.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\Dokumente und Einstellungen\Bastian_\Eigene Dateien\Downloads\Pr0gz\Antivir\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\Bastian_\Eigene Dateien\Downloads\Pr0gz\Antischoner\AntiSchoner.exe
C:\DOKUME~1\BASTIAN_\EIGENE~1\DOWNLO~1\Pr0gz\Trillian\trillian.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Bastian_\Eigene Dateien\Downloads\Pr0gz\TVgenial\TVgenial.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Dokumente und Einstellungen\Bastian_\Eigene Dateien\Downloads\Pr0gz\Security\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de8.hpwis.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [CHotkey] zHotkey.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [PTBSync] C:\Dokumente und Einstellungen\Bastian_\Eigene Dateien\Downloads\Pr0gz\PTBSync\PTBSync.exe /Start
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Dokumente und Einstellungen\Bastian_\Eigene Dateien\Downloads\Pr0gz\Antivir\AVGNT.EXE /min
O4 - HKCU\..\Run: [TVgenial] C:\Dokumente und Einstellungen\Bastian_\Eigene Dateien\Downloads\Pr0gz\TVgenial\TVgenial.exe -d
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: AntiSchoner.lnk = C:\Dokumente und Einstellungen\Bastian_\Eigene Dateien\Downloads\Pr0gz\Antischoner\AntiSchoner.exe
O4 - Startup: Trillian.lnk = ?
O4 - Startup: Verknüpfung mit Playlist1.lnk = C:\Dokumente und Einstellungen\Bastian_\Eigene Dateien\Eigene Musik\My Playlists\Playlist1.wpl
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Dokumente und Einstellungen\Bastian_\Eigene Dateien\Downloads\Pr0gz\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Dokumente und Einstellungen\Bastian_\Eigene Dateien\Downloads\Pr0gz\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://de8.hpwis.com
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1098695436718
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Dokumente und Einstellungen\Bastian_\Eigene Dateien\Downloads\Pr0gz\Antivir\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Dokumente und Einstellungen\Bastian_\Eigene Dateien\Downloads\Pr0gz\Antivir\AVWUPSRV.EXE
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Atomuhr Synchronisation - ElmüSoft - C:\Dokumente und Einstellungen\Bastian_\Eigene Dateien\Downloads\Pr0gz\PTBSync\PTBSync.exe
O23 - Service: ScsiAccess - Unknown - C:\WINDOWS\system32\ScsiAccess.EXE

Seitenanfang Seitenende
05.02.2005, 20:07
Member

Beiträge: 15
#63 hi Sabina,
also, hier der stand der dinge bei mir:
ich vermute dass ich beim manuellen löschen aus den Temp-Ordner(n) wohl was falsch gemacht habe, da einige fehlermeldungen darauf hindeuten (siehe screenshot)....
z.B. funktioniert hijackthis nicht mehr und escan ging nicht zu installieren. jedoch funktioniert eScan wenn ich es über den ordner Temp (dokumente und einstellungen.....) aufrufe.
jedenfalls ging auch das hijackthis kurzzeitig wieder und ich habe alle schritte ausgeführt. searchweb2 ist (vorläufig) weg!
hier die "infected" dateien:

C:\DOKUME~1\mo\LOKALE~1\TEMPOR~1\Content.IE5\4DKHW5CB\infected6xz[1].gif

C:\Dokumente und Einstellungen\mo\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4DKHW5CB\infected6xz[1].gif

C:\Dokumente und Einstellungen\mo\Eigene Dateien\Searchweb2 als Startseite entfernen-Dateien\infected6xz.gif

C:\Programme\AVPersonal\INFECTED\*.*

C:\Programme\AVPersonal\INFECTED\SETUP.EXE.VIR

C:\Programme\AVPersonal\INFECTED\WINADALT.EXE.VIR

C:\Programme\AVPersonal\INFECTED\WINADSHIFT[1].DLL.VIR

D:\programme\Antivir\INFECTED\*.*


Sat Feb 05 19:14:53 2005 => ***** Scanning complete. *****

Sat Feb 05 19:14:53 2005 => Total Files Scanned: 177020
Sat Feb 05 19:14:53 2005 => Total Virus(es) Found: 0
Sat Feb 05 19:14:53 2005 => Total Disinfected Files: 0
Sat Feb 05 19:14:53 2005 => Total Files Renamed: 0
Sat Feb 05 19:14:53 2005 => Total Deleted Files: 0
Sat Feb 05 19:14:53 2005 => Total Errors: 4
Sat Feb 05 19:14:53 2005 => Time Elapsed: 02:10:52
Sat Feb 05 19:14:53 2005 => Virus Database Date: 2005/01/28
Sat Feb 05 19:14:53 2005 => Virus Database Count: 100056

Sat Feb 05 19:14:53 2005 => Scan Completed.

Sat Feb 05 19:54:04 2005 => Virus Database Date: 2005/01/28
Sat Feb 05 19:54:04 2005 => Virus Database Count: 100056
Sat Feb 05 19:54:28 2005 => AV Library Unloaded (3)...
Seitenanfang Seitenende
05.02.2005, 20:14
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#64 @Bastian

Nun ist alles sauber ;)

Du hast aber auch ein bisschen Schuld, dass es so lange gedauert hat, denn ich habe dir den 016-Eintrag gleich am Anfang zum Fixen aufgetragen...und du hast es nicht befolgt

damit du hier nicht Dauerkunde wirst:

#Alternativbrowser zum IE
Firefox
http://www.mozilla-europe.org/de/
Installation+Konfiguration Firefox
http://www.pcwelt.de/know-how/software/103924/index1.html
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 05.02.2005 um 20:14 Uhr von Sabina editiert.
Seitenanfang Seitenende
05.02.2005, 20:16
Member

Beiträge: 12
#65

Zitat

Sabina postete
@Bastian

Nun ist alles sauber ;)

Du hast aber auch ein bisschen Schuld, dass es so lange gedauert hat, denn ich habe dir den 016-Eintrag gleich am Anfang zum Fixen aufgetragen...und du hast es nicht befolgt

damit du hier nicht Dauerkunde wirst:

#Alternativbrowser zum IE
Firefox
http://www.mozilla-europe.org/de/
Installation+Konfiguration Firefox
http://www.pcwelt.de/know-how/software/103924/index1.html
hmm ich bin mir 100pro sicher, dass ich den gelöscht hab.

aber danke für deine hilfe ;)
Seitenanfang Seitenende
05.02.2005, 20:17
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#66 @Manifesto

Mir faellt ein Stein vom Herzen ;) Ich habe immerzu daran denken muessen, dass du Probleme hattest.....
Sowas ist natuerlich nie angenehm.
Poste bitte das neue Log vom HijackThis.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.02.2005, 20:42
Member

Beiträge: 15
#67 ich will mich lieber nicht zu früh freuen, beim ersten mal war das searchweb2 ja auch schon weg und ist am nächsten tag wiedergekommen....
aber ich denke (HOFFE) dass es diesmal endgültig ist.
ich würde ja gerne die neue logfile posten, nur leider funktioniert das hijackthis nicht mehr....wie gesagt, es erscheint immer "Invalid picture". heute ging hijackthis plötzlich wieder, allerdings nur einmal und jetzt schon wieder nicht mehr.....
damit komme ich zu einem neuen problem ;) :
ich vermute, dass ich irgendwas falsches gelöscht habe, wahrscheinlich aus einem temporären ordner (ich hoffe mal das ergibt sinn, denn ich kenne mich da nicht aus...).
auf jeden fall habe ich folgende probleme auf meinem computer festgestellt, ich weiß jedoch nicht ob alle durch denselben fehler hervorgerufen werden:
1.
Antivir geht nicht mehr upzudaten. Meldung: "Fehler beim Erzeugen des Ziel-Verzeichnisses"
2.
bei der versuchten neu installation von Antivir erscheint die Meldung: "Konnte den temporären Ordner nicht erstellen, in den die Dateien extrahiert werden sollen"
3.
Beim Öffnen von Hijackthis und "ClearProg" erscheint die Meldung "Invalid Picture"
4.
auch bei der versuchten installation von eScan (mvav) erschien eine fehlermeldung beim extrahieren in den temporären ordner (dazu habe ich ja vorher schonmal ein screenshot gepostet). allerdings ist die exe-datei trotz der fehlermeldung unter "C:\Dokumente und Einstellungen\mo\Lokale Einstellungen\Temp" installiert worden und lässt sich dort auch aufrufen....
5.
der computer stürzt ab, wenn ich eine internet-seite den favoriten hinzufügen will. mit "strg-alt-entf" muss dann der internet explorer geschlossen werden.
6.
auch beim öffnen von "outlook express" erfolgt ein absturz, spätestens dann, wenn man eine (neue oder alte) e-mail anklickt.
mehr fehler sind mir (zumindest bis jetzt) noch nicht aufgefallen

das sind alles probleme, die vorher noch nie aufgetreten sind, deshalb vermute ich dass ich irgendetwas beim manuellen löschen falsch gemacht habe..
das ist wahrscheinlioch nicht dein bereich, aber könntest du mich an jemanden weiterleiten, der mir hier vielleicht helfen könnte?
danke auf jeden fall schonmal für die viele zeit, die du mir geopfert hast, denk bloß nicht zu oft in deiner freizeit an mich ;)
Seitenanfang Seitenende
05.02.2005, 20:46
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#68 Hallo@Manifesto

du hast wahrscheinlich den temporaeren Ordner nicht GELEERT, sondern flugs gleich komplett geloescht.
(denn loeschen kann man ALLE temporaeren Dateien, da wird nichts zerstoert, nur eben nicht den Ordner selbst Achtung! )

Das Beste, du erstellst ein neues Benutzerkonto , berichte dann, ob es dort wieder einen temporaeren Ordner gibt.
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 05.02.2005 um 20:49 Uhr von Sabina editiert.
Seitenanfang Seitenende
05.02.2005, 21:08
Member

Beiträge: 15
#69 Hi Sabina,
du hast recht; ich habe mich jetzt mal unter einem anderen benutzernamen angemeldet und da ging alles tadellos!
kann ich meinen fehler wieder in meinem alten benutzerkonto ausbügeln oder ist das irreperabel???
Seitenanfang Seitenende
05.02.2005, 22:29
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#70 Hallo@Manifesto

So genau weiss ich es nicht, aber ich nehme an, dass man den Ordner nicht zurueckholen kann.
Nun eventuell mit einer Wiederherstellung, aber die ist ja wahrscheinlich deaktiviert, wie ich gepostet hatte, wegen der Malware.

Du kannst aber deine Daten auf das neue Benutzerkonto rueberkopieren ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 05.02.2005 um 22:30 Uhr von Sabina editiert.
Seitenanfang Seitenende
08.02.2005, 01:03
Member

Beiträge: 15
#71 gute nacht @ Sabina
gute anchricht: searchweb2 ist immernoch weg!!!! ;)
schlechte nachricht: hab keine ahnung wie ich daten auf ein neues konto rüberkopieren kann...
habe zwar ein neues konto erstellt, aber unter Systemsteuerung-Benutzerkonto nichts gefunden, das das rüberkopieren der daten ermöglicht....
Seitenanfang Seitenende
08.02.2005, 08:30
Member

Beiträge: 1132
#72 Hallo Manifesto,

um von einem Benutzerkonto Zugriff auf Deine Daten zu haben, musst Du nichts "rüberkopieren"!
Öffne den Windows-Explorer => gehe zu dem/den entsprechenden Odner(n) => Rechtsklick => Eigenschaften => Reiter "Sicherheit" wählen.
Da siehst Du im oberen Fenster die Benutzer und -gruppen. Wähle den Benutzer bzw. die Benutzergruppe aus zu der Dein Benutzerkonto gehört (wahrscheinlich Gruppe "Benutzer"), dann kannst Du im unteren Fenster bei "Vollzugriff" ein Häkchen setzen und damit hast Du vollen Zugriff auf diese(n) Ordner vom Benutzerkonto aus.

Gruß
Heron

edit:
für diese Aktion musst Du natürlich als Admin angemeldet sein.
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Dieser Beitrag wurde am 08.02.2005 um 09:43 Uhr von Heron editiert.
Seitenanfang Seitenende
08.02.2005, 13:02
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#73 Hallo@Heron

Was schreibt man nicht alles, wenn man muede ist ;)
Danke, fuer die Korrektur ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.02.2005, 14:14
Member

Beiträge: 1132
#74 Das ist o.k.
Du arbeitest vielleicht einfach zu viel.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Seitenanfang Seitenende
08.02.2005, 19:32
Member

Beiträge: 15
#75 hi,
danke für die ratschläge, aber ich habe das problem jetzt anders gelöst:
ich bin unter "Systemsteuerung/System" auf "Erweitert" gegangen und habe dort unter "Einstellungen" (bei "Benutzerprofile") das alte profil auf mein neues kopiert und das alte danach gelöscht....
jetzt ist wieder alles in ordnung,
trotzdem nochmals ein großes danke für die geleistete hilfe, ich denke mal dass ich euch in nächster zeit nicht mehr belästigen muss ;)
Seitenanfang Seitenende