Seltsame Toolbar "SearchToolbar" und eigenartige Startseite "Quick Web Sear"

#0
23.04.2005, 19:17
...neu hier

Beiträge: 2
#1 Hallo,

ich habe mir irgendwie irgendetwas eingefangen.
Ich habe nun oben genannte Eigenschaften im IE
Des weiteren kann ich auch keinerlei änderungen an der Symbolleiste des Ie´s vornehmen und die Startseite erscheint, obwohl unter den Eigenschaften "about blank" eingestellt ist!?

Hier einmal das Log

Logfile of HijackThis v1.99.1
Scan saved at 19:12:38, on 23.04.2005
Platform: Windows 2003 (WinNT 5.02.3790)
MSIE: Internet Explorer v6.00 (6.00.3790.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Securepoint Personal Firewall\driver\spfirewallsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\MSI\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\crypserv.exe
C:\Programme\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
C:\WINDOWS\system32\Dfssvc.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\WINDOWS\System32\ismserv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\PROGRA~1\MICROS~4\MSSQL\binn\sqlservr.exe
C:\Programme\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\system32\ntfrs.exe
c:\apache\APACHE.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\Programme\Gemeinsame Dateien\System\MSSearch\Bin\mssearch.exe
C:\WINDOWS\System32\svchost.exe
c:\apache\APACHE.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\Explorer.EXE
C:\programme\securepoint personal firewall\bin\sppfw.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\Programme\Nokia\Nokia PC Suite 6\Launch Application 2.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\Programme\BTORadio\ps_agent.exe
C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
C:\Programme\Gemeinsame Dateien\Nokia\MPAPI\MPAPI3s.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\totalcmd\TOTALCMD.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Windows Media Player\wmplayer.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\_tc\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/hardAdmin.htm
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: IE SP2 AddOn - {9552FA26-989E-4082-8D30-D91B9E25F53D} - C:\WINDOWS\system32\spczy.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\system32\ie2cltr.dll
O4 - HKLM\..\Run: [Securepoint Personal Firewall] c:\programme\securepoint personal firewall\bin\sppfw.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\Launch Application 2.exe -onlytray
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKCU\..\Run: [PhonostarAgent] C:\Programme\BTORadio\ps_agent.exe
O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Send To &Bluetooth - C:\Programme\MSI\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\MSI\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\MSI\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O15 - Trusted Zone: http://*.63.219.181.7
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v10/ZIntro.cab34246.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game14.zylomgames.com/activex/zylomgamesplayer.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://game13.zylomgames.com/activex/zylomloader.cab
O16 - DPF: {D77EF652-9A6B-40C8-A4B9-1C0697C6CF41} (TikGames Online Control) - http://zone.msn.com/bingame/shpo/default/shapo.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://zone.msn.com/bingame/dim2/default/popcaploader_v6.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = mj
O17 - HKLM\Software\..\Telephony: DomainName = mj
O17 - HKLM\System\CCS\Services\Tcpip\..\{3DB3041B-0229-4AF9-B63C-97D187257D35}: NameServer = 69.50.176.156 195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{B4A4E0FE-CEBB-48A7-B3DD-213438DB04D4}: NameServer = 69.50.176.156,195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{BDDFF625-2B5B-442F-8068-B923ED0BB75B}: NameServer = 69.50.176.156,195.225.176.31
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = mj
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = mj
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\MSI\Bluetooth Software\bin\btwdins.exe
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: DefWatch - Symantec Corporation - C:\Programme\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Programme\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
O23 - Service: PHPGeekUtil - Unknown owner - c:\apache\APACHE.EXE" --ntservice (file missing)
O23 - Service: Securepoint Personal Firewall (spfirewallsvc) - Securepoint Latinoamerica S.A. de C.V. - C:\Programme\Securepoint Personal Firewall\driver\spfirewallsvc.exe

Bitte helft mir :O)

Danke
Seitenanfang Seitenende
24.04.2005, 18:29
...neu hier

Themenstarter

Beiträge: 2
#2 Hallo,

soweit so gut!
Jedoch nach dem Reboot, habe ich diese Startseite wieder!
Und die ToolBar bekomme ich auch noch immer nicht weg!?

Hat den keiner eine Idee?????????
Seitenanfang Seitenende
24.04.2005, 18:41
Member
Avatar Malkesh

Beiträge: 669
#3 http://board.protecus.de/t16317.htm
Durchlesen & abarbeiten

Überprüfe vor allem die fragwürdigen Einträge, welche dir die automatische Auswertung (www.hijackthis.de) anzeigt.
Poste danach bitte ein neues aktuelles HijackThis-Logfile und das Logfile von eScan (wird in der obigen Anleitung beschrieben)
__________
"life's a bitch, turn around and she'll backstab you for a buck."
Seitenanfang Seitenende
24.04.2005, 20:29
Member

Beiträge: 328
#4

Zitat

mnjakob postete

Jedoch nach dem Reboot, habe ich diese Startseite wieder!


systemsteuerung deaktivieren und im abgesicherten modus nochmal scannen und fixen...
Seitenanfang Seitenende
24.04.2005, 20:41
Member
Avatar Malkesh

Beiträge: 669
#5 Meinst du zufällig die "Systemwiederherstellung"? ;)
Denn wie man die Systemsteuerung deaktiviert wäre mir neu, bin aber jederzeit für neues offen *g*
__________
"life's a bitch, turn around and she'll backstab you for a buck."
Seitenanfang Seitenende
25.04.2005, 02:37
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Hallo@mnjakob

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/hardAdmin.htm
O2 - BHO: IE SP2 AddOn - {9552FA26-989E-4082-8D30-D91B9E25F53D} - C:\WINDOWS\system32\spczy.dll
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\system32\ie2cltr.dll
O15 - Trusted Zone: http://*.63.219.181.7
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://game13.zylomgames.com/activex/zylomloader.cab

Wenn die hier angegebene Domäne nicht zum ISP, bzw. des Firmen-Netzwerks ist, sollte dieser Eintrag mit HijackThis gefixt werden.

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = mj
O17 - HKLM\Software\..\Telephony: DomainName = mj

O17 - HKLM\System\CCS\Services\Tcpip\..\{3DB3041B-0229-4AF9-B63C-97D187257D35}: NameServer = 69.50.176.156 195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{B4A4E0FE-CEBB-48A7-B3DD-213438DB04D4}: NameServer = 69.50.176.156,195.225.176.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{BDDFF625-2B5B-442F-8068-B923ED0BB75B}: NameServer = 69.50.176.156,195.225.176.31


Wenn die hier angegebene Domäne nicht zum ISP, bzw. des Firmen-Netzwerks ist, sollte dieser Eintrag mit HijackThis gefixt werden.

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = mj
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = mj

PC neustarten

•KillBox
http://www.bleepingcomputer.com/files/killbox.php

•Delete File on Reboot <--anhaken

und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"
C:\WINDOWS\system32\spczy.dll
C:\WINDOWS\system32\ie2cltr.dll
C:\WINDOWS\system32\shdoclc.dll

PC neustarten

•1) lade remv3.zip
lade rem3v.zip
http://bilder.informationsarchiv.net/Nikitas_Tools/remv3.zip
http://forums.skads.org/index.php?showtopic=80
2) entpacke es im verzeichnis C:\WINDOWS\System32\
(es ist wichtig, dass es in diesem verzeichnis ist!)
3) starte den rechner im abgesicherten modus.
http://www.tu-berlin.de/www/software/virus/savemode.shtml
4) starte die datei rem.bat, scannen lassen.
5) starte den rechner anschließend im normalen modus.
6) unter C:\ sollte nun eine datei namens log.txt und bad1.txt zu finden sein.
7) markiere den inhalt und füge ihn hier ein.
Cool erstelle ein aktuelles HijackThis log und poste es mit der log.txt von rem.
wurde eine malware entfernt, sollten noch zusätzlich zur log.txt unter C:\ die Dateien bad.reg und bad.zip erstellt worden sein.
Bitte diese Dateien zunächst so belassen, nicht öffnen !

# Laden Sie L2mfix von hier :

http://bilder.informationsarchiv.net/Nikitas_Tools/l2mfix.exe
# Speichern Sie die Datei auf Ihren Desktop und doppel-klicken Sie click l2mfix.exe.
# Klicken Sie auf Installieren um die Dateien zu extrahieren und folgen Sie den Anweisungen während der Installation.
# Dann öffnen Sie den auf Ihrem Desktop neuerstellten Ordner l2mfix
# Doppel-klicken Sie die Datei l2mfix.bat und tippen sie eine 1 und drücken Sie [Enter], um Find log laufen zu lassen. Dies wird Ihren Computer scannen. Es kann sein, das es so aussieht als ob nichts passiert, aber nach 1 oder 2 Minuten wird sich Notepad mit einem Log öffnen.
# Kopieren Sie den Inhalt durch Strg+A und fügen Sie den Inhalt in Ihren Thread durch Strg+V...oder einfach mit der Maus abkopieren.

WICHTIG:Nutzen Sie nicht Option 2, oder jegliche andere Dateien aus dem l2mfix Ordner, bis Sie dazu aufgefordert werden!

# Schließen Sie alle offenen Programme , da der nächste Schritt einen Neustart erfordert. Klicken Sie erneut auf l2mfix.bat und tippen Sie 2 ein --> [Enter].
# Drücken Sie eine beliebige Taste um einen Systemneustart einzuleiten.
# Nach dem Neustart, werden Ihre Icons auf dem Desktop kurz erscheinen und kurz verschwinden - dies ist NORMAL.
# L2mfix wird den Systemscan fortsetzen und wenn es fertig ist, wird sich Notepad öffnen und einen Log anzeigen. Kopieren Sie auch diesen hier in den Thread/ins Forum (Strg+C & Strg+V). Posten Sie ausserdem einen aktuellen HijackThis Log.

WICHTIG: Nutzen Sie nicht Option 2, oder jegliche andere Dateien aus dem l2mfix Ordner, bis Sie dazu aufgefordert werden!

# Doppel-klicken Sie erneut auf l2mfix.bat und geben Sie 4 ein. Bestätigen Sie mit [Enter].
# Dies stellt die Winlogon Standardeinstellungen wieder her.
# Posten Sie einen aktuellen HijackThis Log
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: