NTSearch.com Deinstaller fertig :)

#31 juhu, der trojaner is weg, danke coder! ^-^
ich werd n link zu deiner page auf meine hp machen!

danke nochmals
Merles

#32 Vielen Dank für die positiven Antworten !
War leider im Umzug und danach gabs Probleme mit dem Rücken, daher konnte ich SpoonWeg 2 auch noch nicht uploaden.

Bin seit dieser Woche wieder Fit und hoffe das ich den Rest der Woche noch frei habe, dann dürfte SpoonWeg 2 am Wochenende fertig sein.

Ich werd mal in meinem Mailfach nachsehen ob sich schon jemand die Mühe gemacht hat, mir den ein oder anderen Hijacker zu mailen.

Besonders der neue cws würde ich mir gerne mal ansehen, wenn den einer auf seinem pc hat...bitte mailen oder zumindest wo er sich den eingefangen hat.

DANKE !

gruss Coder

#33 Hallo erstmal!

Ich bin über Google auf euer Forum gestoßen, und muss sagen das ihr hier
ne richtig gute Community habt.

Ich habe leider auch solche einen Trojaner drauf, about:black bzw. Search for.

Ich habe versucht das Spoon Programm zu laden, aber leider ist der Link defekt.
Kann mir jemand einen anderen geben?
Den CW-Shredder habe ich schon ca. 15 mal scannen lassen (mit und ohne
restart)
aber irgendwie findet er den Trojaner nicht!
Ich hoffe mir kann jemand weiterhelfen, da ich selbst überhaupt keine Ahnung
habe .. ich poste hier jetzt mal HijackThis - aber wenn es hier störrt kann
ich es ja wieder rausnehmen.
Ihr seid meine letzte Hoffnung vom dem Format:C

Logfile of HijackThis v1.99.0
Scan saved at 20:18:25, on 18.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Internet Explorer\iexplore.exe
E:\Speicher\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {AB23888A-4C15-4E3E-A43B-080F4688574F} - C:\WINDOWS\system32\agechba.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Microsoft Update] wuamgrd.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [Microsoft Update] wuamgrd.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\OFFICE~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\OFFICE~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093346180531
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web8.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2AB08ABD-356C-4C70-BAB9-CEE91022961C}: NameServer = 217.237.150.141 217.237.150.97
O17 - HKLM\System\CS1\Services\Tcpip\..\{2AB08ABD-356C-4C70-BAB9-CEE91022961C}: NameServer = 217.237.150.141 217.237.150.97
O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Programme\HP\hpcoretech\comp\hpuiprot.dll
O18 - Filter: text/html - {0F7808C5-03F1-422C-B3EE-3BB3F759FACC} - C:\WINDOWS\system32\agechba.dll
O18 - Filter: text/plain - {0F7808C5-03F1-422C-B3EE-3BB3F759FACC} - C:\WINDOWS\system32\agechba.dll
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: hpdj - Unknown - C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\hpdj.exe (file missing)
O23 - Service: RadClock - Unknown - C:\WINDOWS\system32\RadClock.exe
O23 - Service: Sygate Personal Firewall - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe


Vielen Dank im Voraus
Mfg Link

#34 Fix bitte das:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {AB23888A-4C15-4E3E-A43B-080F4688574F} - C:\WINDOWS\system32\agechba.dll
O4 - HKLM\..\Run: [Microsoft Update] wuamgrd.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wuamgrd.exe
O18 - Filter: text/html - {0F7808C5-03F1-422C-B3EE-3BB3F759FACC} - C:\WINDOWS\system32\agechba.dll
O18 - Filter: text/plain - {0F7808C5-03F1-422C-B3EE-3BB3F759FACC} - C:\WINDOWS\system32\agechba.dll

Starte neu, packe alles im Backupordner welcher sich hier befindet: E:\Speicher\ bitte mit Winrar oder Winzip und schicke ihn an virus@rokop-security.de
__________
MfG Ralf
SEO-Spam Hunter

#35 Vielen vielen Dank für die extrem schnelle antwort,
ich habe alles gefixt, was du mit angegeben hast.
Aber entweder habe ich etwas falsch gemacht oder ich bin einfach zu ... dafür.
Nach dem restart war der Hijjackthis.log genau gleich wir vorher!

* Ich habe vor etwa 2 Stunde das neue AntiVir Update geladen,
und seit dem zeigt mit antivir ununterbrochen diesen Trojaner an:
C:\DOKUME~1\ADMINI~1\LOKALE~1\TEMP\SP.DLL

Ist das Trojanische Pferd TR/StartPage.qr.DLL

Ich gehe immer auf: Betroffene Datei löschen, bringt aber nichts.
Kann es daran liegen?

Gruß Link

#36 Ich habs, vielen Dank - hab die e-mail abgeschickt!

Ich bin so dankbar, ich werde das Forum auf jeden Fall weiter empfehlen!

Gruß

Link

#37 Moin!

Ich habe anscheinend das gleiche Problem wie Link_1b. Ich habe jetzt schon DIVERSE Anti-Spyware-Programme und Virenscanner drüberlaufen lassen, aber entweder finden sie gar nichts oder nicht genug, da nach einem Neustart des IE alles wieder da ist (also der automatische Start der NetSearch-Seite).

Da ich bei meiner Suche schon so oft von dem SpoonWeg-Toll gehört habe, der Downloa-Link aber weder von der HP des Programmierers, noch der direkte Link von diesem Forum aus bei mir funktioniert,wäre ich auch total dankbar, wenn mir das Tool jemand schicken könnte.

Vielen lieben Dank im Voraus für jegliche Hilfe!

#38 http://lunatic-skydance.de/mr/mr-index.html
__________
MfG Argus

#39 Danke für den Link, aber wenn ich auf der Seite auf das Diskettensymbolklicke, um das Tool herunterzuladen, kommt in einem kleinen Fenster die Meldung "Objekt nicht gefunden". Auch ein direkter Link zu der Datei funktioniert nicht.
Vielleicht kann mir jemand das Tool (ist ja nur klein) per Email schicken? (Adresse: elessedileventine@hotmail.com)

Vielen Dank

#40 Noch ein Link http://www.mmrealisation.de.vu/
Unten SpoonWeg eingeben und suchen
__________
MfG Argus

#41 Ok, danke Über die Suche habe ich dann auf einer anderen Seite als der Seite des Programmierers das Tool "Spoonweg" gefunden; hier funktionierte der Download für mich.
Das Tool hatte die Version 1.1.0.0 und war leider nicht in der Lage, den Trojaner bei mir zu finden *schnief* Gibt es eine neuere Version des Tools, die mir jemand mailen kann?

[Ich habe keine sp.exe auf meinem Rechner, wohl aber eine sp.dll,die nach dem Löschen aber beim Start des IE wieder auftaucht. Auch findet Adware zahlreiche dazugehörige Registry-Einträge, aber anscheind nicht alle, da (auch ohne Rechner-Neustart) beim Starten des IE die sp.dll wieder da ist und ich wieder diese xxxxxxxte Search-Seite als Start habe, die außerdem die Stabilität des IE sehr nachhaltig beeinflußt ]

#42 Download Hijack This http://www.majorgeeks.com/download3155.html
Anleitung http://board.protecus.de/t9391.htm
Und Poste hier dein logfile http://board.protecus.de/board.php?boardid=7
__________
MfG Argus

#43 Danke für die Hilfe. Nach dem neuen Update für "Ad-Aware SE Personal" war dieses Programm in der Lage, meinen IE in den alten Zustand zurückzuversetzen.
Wer also auch ein solches Problem hat, dem sei dieses kostenloses Tool ans Herz gelegt.
*erleichtert

#44 high all!
hab das selbe prob wie #34.
wollte jetzt highjackthis ausprobieren aber das programm verursacht immer einen fehler und wird geschlossen. an das spoonweg-prog komm ich nicht dran. könnte mir das einer per email schicken und/oder hat noch einer ne idee? vielen dank im vorraus!!!
t.chill@lycos.de

#45 Spoonweg download http://users.snakehouse.be/
__________
MfG Argus