hand-book - Hijacker. wer kenn sich aus??

#1 hab mir wohl nen hijacker gefangen!! meine startseite schaltet sich unregelmässig auf hand book um und setzt in die favoriten listen 2 suchmaschinen ein (eine sucht sex seiten (....)). ich kann unter internetoptionen nichts mehr ändern (blockiert). bin neu im geschäft und meine programme können nicht helfen...
wer hat tipps??

#2 Das ist auch CWS infos dazu hier im Forum( mit der Boardsearch nach cwshredder suchen). Infos auch hier: http://www.merijn.org/cwschronicles.html
__________
MfG Ralf
SEO-Spam Hunter

#3 habe mir gerade hijackthis runter geladen ( in einem anderen forum linkg gefunden) hat ziemlich viel gefunden und zerstört. reicht das auch???

#4 CWshredder ist in diesem Fall die erste Wahl! Wenn du das ausgefuehrt hast, kannst du ja ein Hijackthis log hier posten, um zu sehen, ob alles gereinigt wurde.
__________
MfG Ralf
SEO-Spam Hunter

#5 bin wie gesagt bin ein bisschen neu und versteh nicht ganz was ich bei merijn machen soll...

#6 Lade Dir das Programm cwshredder runter , wie es raman schrieb.
Lass den mehrmals laufen, bis er nichts mehr findet... dann mit hijackThis ein neues Log erstellen und hier posten.

Gruß Philipp
(der diesen Mist gerade los ist)

#7 hab jetzt alles gemacht wie oben beschrieben. hoffe jetzt ist alles gut!! dank euch, denke ist ne gute einrichtung hier. hier das log. wenn einer lust hat kann er noch kurz erklären was man daran sehen kann...

VIELEN DANK

StartupList report, 11.12.2003, 00:14:26
StartupList version: 1.52
Started from : C:\Dokumente und Einstellungen\Ralf Coopmann\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis.zip\HijackThis.EXE
Detected: Windows XP SP1 (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)
* Using default options
==================================================

Running processes:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\RAM Def XT\ramdef.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\WinBar\WinBar.exe
C:\Programme\WebWasher\wwasher.exe
C:\WINDOWS\System32\mshta.exe
C:\WINDOWS\AddClass.exe
C:\Dokumente und Einstellungen\Ralf Coopmann\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis.zip\HijackThis.exe

--------------------------------------------------

Listing of startup folders:

Shell folders Startup:
[C:\Dokumente und Einstellungen\Ralf Coopmann\Startmenü\Programme\Autostart]
WinBar.lnk = C:\Programme\WinBar\WinBar.exe

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

NeroCheck = C:\WINDOWS\system32\NeroCheck.exe
AVGCtrl = C:\Programme\AVPersonal\AVGNT.EXE /min
RAMDef = C:\Programme\RAM Def XT\ramdef.exe -tray
sys =
AVSCHED32 = C:\Programme\AVPersonal\AVSched32.EXE /min
StartupCleaner = C:\Programme\CM Data Software\CM DiskCleaner\StartupCleaner.exe

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

CTFMON.EXE = C:\WINDOWS\System32\ctfmon.exe
YAW starten = "C:\Programme\YAW 3.5\yawguard.exe"
MSMSGS = "C:\Programme\Messenger\msmsgs.exe" /background
Schedule = C:\Programme\CM Data Software\CM DiskCleaner\Schedule.exe

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=*Registry value not found*
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry key not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------


Enumerating Browser Helper Objects:

(no name) - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
(no name) - C:\PROGRA~1\SPYBOT~1\SDHelper.dll - {53707962-6F74-2D53-2644-206D7942484F}

--------------------------------------------------

Enumerating Download Program Files:

[EPSImageControl Class]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\EPScontrol.dll
CODEBASE = http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
CDBurn: C:\WINDOWS\system32\SHELL32.dll
WebCheck: C:\WINDOWS\System32\webcheck.dll
SysTray: C:\WINDOWS\System32\stobject.dll

--------------------------------------------------
End of report, 4.419 bytes
Report generated in 0,060 seconds

Command line options:
/verbose - to add additional info on each section
/complete - to include empty sections and unsuspicious data
/full - to include several rarely-important sections
/force9x - to include Win9x-only startups even if running on WinNT
/forcent - to include WinNT-only startups even if running on Win9x
/forceall - to include all Win9x and WinNT startups, regardless of platform
/history - to list version history only

#8 Das ist die Startupliste, wir braeuchten das Hijackthis.log.Hier kannst du sehen wie das geht: http://www.helpers.de/forum/message.php?forum_id=5&mess_id=200081&act=on
__________
MfG Ralf
SEO-Spam Hunter

#9 hab nur noch das bereinigte ergebnis. kann keinem helfen denke ich. weiss aber jetzt für das nächste mal bescheid...

#10 Also so ganz sauber ist das noch nicht, aber du kannst ja selber folgende Startups in Hijackthis fixen;
C:\WINDOWS\System32\mshta.exe
C:\WINDOWS\AddClass.exe
__________
MfG Ralf
SEO-Spam Hunter

#11 IST DAS JETZT SO IN ORDNUNG ??

Logfile of HijackThis v1.97.7
Scan saved at 14:31:29, on 11.12.2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\RAM Def XT\ramdef.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\WinBar\WinBar.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Ralf Coopmann\Desktop\utilities\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.goggle.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchAssistant = http://www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = http://www.google.de
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [RAMDef] C:\Programme\RAM Def XT\ramdef.exe -tray
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [StartupCleaner] C:\Programme\CM Data Software\CM DiskCleaner\StartupCleaner.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [YAW starten] "C:\Programme\YAW 3.5\yawguard.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Schedule] C:\Programme\CM Data Software\CM DiskCleaner\Schedule.exe
O4 - Startup: WinBar.lnk = C:\Programme\WinBar\WinBar.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{33C1CE15-EA38-4393-85FD-19C133657E55}: NameServer = 145.253.2.139 145.253.2.81
O17 - HKLM\System\CS1\Services\Tcpip\..\{33C1CE15-EA38-4393-85FD-19C133657E55}: NameServer = 145.253.2.139 145.253.2.81

#12 Jepp, das sieht gut aus, obwohl du nicht unbedingt gleich schreien brauchst.
__________
MfG Ralf
SEO-Spam Hunter

#13 danke. lass mich mal überraschen....weiss ja jetzt wo ich hilfe finden kann