Home » Spyware & Browser Hijacker Support Forum » MSIE search pages werden umgeleitet, viele popups » Themenansicht
MSIE search pages werden umgeleitet, viele popups |
||
|---|---|---|
| #0
| ||
|
27.12.2004, 19:34
...neu hier
Beiträge: 1 |
||
 
|
|
|
|
27.12.2004, 22:37
Ehrenmitglied
 Beiträge: 29434 |
#2
Hallo@randyandy
#Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK" ____________________________________________________________________ oeffne das Notepad: kopiere rein:"all files" und benenne: notify.bat (und speichere die notify.bat auf dem Desktop) -->Dann doppelklicken . It will generate a text file named notify.txt (Poste diesen Text) Quote: regedit /e notify.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify" notify.txt ____________________________________________________________________ Gehe in die Registry Start<Ausfuehren<regedit suche und loesche folgende Eintraege, (rechts in der Registry) falls sie existieren: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Guardian "ID" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Guardian "Idex" HKEY_LOCAL_MACHINE\SoftwareMicrosoft\Internet Explorer \ActiveX Compatability--->was findest du da ? HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved "<CLSID value>"-->was steht da ? HKEY_CLASSES_ROOT\clsid\{60e78cac-e9a7-4302-b9ee-8582ede22fbf} HKEY_CLASSES_ROOT\clsid\{676058e4-89bd-11d6-8a8c-0050ba8452c0} HKEY_CLASSES_ROOT\clsid\{730f2451-a3fe-4a72-938c-fc8a74f15978} HKEY_CLASSES_ROOT\clsid\{60e78cac-e9a7-4302-b9ee-8582ede22fbf} HKEY_CLASSES_ROOT\clsid\{676058e4-89bd-11d6-8a8c-0050ba8452c0} HKEY_CLASSES_ROOT\clsid\{730f2451-a3fe-4a72-938c-fc8a74f15978} HKEY_CLASSES_ROOT\clsid\{94742e3f-d9a1-4780-9a87-2ffa43655da2} HKEY_CLASSES_ROOT\bho.clsurlsearch HKEY_CLASSES_ROOT\CLSID\{730F6CDC-2C86-11D2-8773-92E220524153} HKEY_CLASSES_ROOT\interface\{226a045e-fd4e-4632-b51d-a112bd8254e5} HKEY_CLASSES_ROOT\interface\{3683fd85-0501-40dc-9edb-9d9181800d72} HKEY_CLASSES_ROOT\interface\{3c8cde30-d013-4093-b00e-adbc74f33315} HKEY_CLASSES_ROOT\interface\{676058e3-89bd-11d6-8a8c-0050ba8452c0} HKEY_CLASSES_ROOT\interface\{f6fbfe07-ca76-438e-b34e-4f4dc41f0123} HKEY_CLASSES_ROOT\rsp.bizlgk HKEY_CLASSES_ROOT\software\microsoft\windows\currentversion\explorer\browser helper objects\{60e78cac-e9a7-4302-b9ee-8582ede22fbf} HKEY_CLASSES_ROOT\software\microsoft\windows\currentversion\explorer\browser helper objects\{730f2451-a3fe-4a72-938c-fc8a74f15978} HKEY_CLASSES_ROOT\typelib\{676058db-89bd-11d6-8a8c-0050ba8452c0} HKEY_CLASSES_ROOT\typelib\{95b3af07-0e4f-4cdf-acfd-3d4efd9aec0b} HKEY_CLASSES_ROOT\typelib\{974cc25e-d62c-4278-84e6-a806726e37bc} HKEY_CLASSES_ROOT\typelib\{acba087f-1547-41de-8e9e-3f0963ce4bef} HKEY_CURRENT_USER\software\vb and vba program settings\ie rsp HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5EF2AF11-7261-4FA0-812E-2235F9A1E865}\InprocServer32] HKEY_LOCAL_MACHINE\clsid\{60e78cac-e9a7-4302-b9ee-8582ede22fbf} HKEY_LOCAL_MACHINE\clsid\{730f2451-a3fe-4a72-938c-fc8a74f15978} HKEY_LOCAL_MACHINE\software\classes\clsid\{730f2451-a3fe-4a72-938c-fc8a74f15978} HKEY_LOCAL_MACHINE\software\classes\rsp.bizlgk HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{60e78cac-e9a7-4302-b9ee-8582ede22fbf} HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{60e78cac-e9a7-4302-b9ee-8582ede22fbf} HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{730f2451-a3fe-4a72-938c-fc8a74f15978} HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\winstart HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\winstart001.exe HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\winstart002 HKEY_USERS\s-1-5-21-1060284298-1450960922-725345543-1001\software\vb and vba program settings\ie rsp HKEY_USERS\s-1-5-21-1409082233-1390067357-1801674531-500\software\vb and vba program settings\ie rsp HKEY_CURRENT_USER\software\vb and vba program settings\ie rsp HKEY_USERS S-1-5-21-746137067-1708537768-1060284298-1003\software\vb and vba program settings\ie rsp ____________________________________________________________________ Start<Ausfuehren -->schreib rein: cmd kopiere rein: del c:\windows\system32\Guard.tmp klick "enter" del c:\system32\winstart.exe klicke "enter del c:\system32\winstart001.exe klick "enter #eScan-Erkennungstool http://www.rokop-security.de/board/index.php?showtopic=3867 mwav.exe runterladen, die Datei in den Ordner c:\bases (wichtig!) entpacken und danach kavup.exe (Update- in DOS) ausführen Lade: KillBox http://www.bleepingcomputer.com/files/killbox.php http://download.broadbandmedic.com/ gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml Datenträgerbereinigung: und Löschen der Temporary-Dateien <Start<Ausfuehren--> reinschreiben : cleanmgr loesche nur: #Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k. #Click:Temporäre Dateien, o.k oeffne die Killbox geh auf <Delete File on Reboot und klick auf das rote Kreuz, wenn gefragt wird, ob reboot-> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" bei den dll setze auch hier ein Haekchen:<Unregister .dll before deleting.” Variante 1: C:\WINDOWS\system32\uzpszi.dll C:\WINDOWS\system32\qevd.dll C:\WINDOWS\system32\bsaosp.exe c:\windows\system32\aklsp.dll C:\WINDOWS\System32\spOrder.dll c:\windows\system32\Guard.tmp c:\system32\winstart.exe c:\system32\winstart001.exe Variante 2: c:\system\bho001.dll c:\system\install_all.dll c:\system\nlnp29.exe c:\system\rsp.dll c:\system\rsp001.dll c:\system\update_com.dll c:\system\update_removeold.dll c:\system\winstart.exe c:\system\winstart001.exe c:\system32\bho001.dll c:\system32\rsp.dll c:\system32\rsp001.dll c:\system32\vbarry.scr c:\system32\winstart.exe c:\system32\winstart001.exe neustarten und wieder in den abgesicherten Modus gehen suche und loesche: update_hosts.dll <==check in both system, system32 and c:\windows for this file bho.dll <==check in both system, system32 and c:\windows for this file ign fax cover.htm <==check in both system, system32 and c:\windows for this file inctrl.log <==check in both system, system32 and c:\windows for this file install.log <==check in both system, system32 and c:\windows for this file nlnp13.dll <==check in both system, system32 and c:\windows for this file nlnp13.exe <==check in both system, system32 and c:\windows for this file nlnupgradev4_00p1.exe <==check in both system, system32 and c:\windows for this file c:\documents and settings\username\local settings\temp\nlnp41.exe <==check in both system, system32 and c:\windows for this file c:\documents and settings\username\local settings\temporary internet files\content.ie5\khirgp6n\nlnp1w[1].exe c:\documents and settings\username\local settings\temporary internet files\content.ie5\m6772vqj\nlnp1w[1].exe c:\program files\ebatesmoemoneymaker\ <==folder c:\program files\filesubmit\taking a break\nlnp38.exe readme.txt C:\Program Files\VBouncer\BundleOuter.EXE <==folder .................................................................................................. und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen : Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory -->und "Scan " klicken. gehe wieder in den Normalmodus #Hoster-Tool : http://members.aol.com/toadbee/hoster.zip Press 'Restore Original Hosts' and press 'OK' Exit Program. mache bitte folgendes: nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du infected ein  jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw. und ganz unten steht die zusammenfassung, diese auch hier posten  danach loeschst du die infected -Dateien oder manuell oder mit der Killbox im abgesicherten Modus #Ad-aware SE Personal 1.05 Updated-->poste ebenfall das Log vom Scann http://fileforum.betanews.com/detail/965718306/1 und das neue Log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 27.12.2004 um 23:01 Uhr von Sabina editiert.
|
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Seite(n): 1
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
hatte einen üblen Browser Hijacker drauf. Das meißte davon bin ich los geworden, aber ein paar Kleinigkeiten bekomme ich nicht in den Griff.
Zum Beispiel krieg ich mit HijackThis immer folgende Host-Einträge:
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
Egal wie oft ich sie fixe, auch im Abgesicherten Modus, nach dem nächsten Neustart im normalo-Modus sind sie wieder da.
Zudem krieg ich teilweise irgendwelche Popups einfach aus dem nichts.
Ich denke das Problem hängt irgendwie zusammen, aber ich seh im HijackThis Protokoll keine Einträge mehr dir ich noch fixen könnte.
Ich häng das vollständige Protokoll mal unten ran, vielleicht kann mir jemand nen Tipp geben, würd mich freuen.
Logfile of HijackThis v1.99.0
Scan saved at 19:14:39, on 27.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\TOSHIBA\TouchPad\TPTray.exe
C:\WINDOWS\System32\igfxtray.exe
C:\SCANJET\PrecisionScanLT\hppwrsav.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\TOSHIBA\Power Management\CePMTray.exe
C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
C:\MATLAB6p5\webserver\bin\win32\matlabserver.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\x\Eigene Dateien\anti spyware tools\HijackThis.exe
C:\Programme\Messenger\msmsgs.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.informatik.tu-muenchen.de:8080
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll
O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [hppwrsav] C:\SCANJET\PrecisionScanLT\hppwrsav.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [RemoveCpl] RemoveCpl.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CeEPOWER] C:\Programme\TOSHIBA\Power Management\CePMTray.exe
O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: MATLAB Server - Unknown - C:\MATLAB6p5\webserver\bin\win32\matlabserver.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
Gruß