smartsearch nervige standardseite

#0
26.01.2004, 23:37
...neu hier

Beiträge: 3
#16 ne Schei... geht auch nicht!
schliesst das programm immer, und nun?! kannst dich auch per icq bei mir melden

:340753135
danke für die hilfe
Seitenanfang Seitenende
27.01.2004, 05:45
Moderator

Beiträge: 7795
#17 Dann nimm erst diesen Cleaner und nimm dann cw http://www.safer-networking.org/files/delcwssk.zip
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
27.01.2004, 13:44
...neu hier

Beiträge: 3
#18 SUPA! vielen dank ist jetzt weg
DANKE.
Seitenanfang Seitenende
18.02.2004, 19:40
...neu hier

Beiträge: 2
#19 guten abend, auch ich habe mir diesen smartsearch (vorher magicsearch) eingefangen. sämtliche versuche mit spybot, cdshredder, hijackthis haben nicht gefruchtet deswegen würde ich euch bitten, dass ihr euch mal mein hijackthis-log anschaut, vielen dank

ogfile of HijackThis v1.97.7
Scan saved at 18:12:34, on 18.02.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\sygate\SPF\Smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\ATI-CPanel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\KEN!\kentbcli.exe
C:\Programme\WinFast\WFTVFM\WFWIZ.exe
C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0\Monitor.exe
C:\Windows\system\internet.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Gemeinsame Dateien\eFax\dllcmd32.exe
C:\Palm\HOTSYNC.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
c:\jetsuite\jsdaemon.exe
C:\Programme\KEN!\KENCLI.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\Peter\Desktop\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://smartsearch.ws/?q=
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://smartsearch.ws/?q=
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://smartsearch.ws/?q=
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://smartsearch.ws
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://smartsearch.ws
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://smartsearch.ws/?q=
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://smartsearch.ws/?q=
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://smartsearch.ws/?q=
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://smartsearch.ws
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://smartsearch.ws/?q=
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://smartsearch.ws/?q=
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://smartsearch.ws
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://smartsearch.ws/?q=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://smartsearch.ws/?q=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://smartsearch.ws/?q=
R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://smartsearch.ws/?q=
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://smartsearch.ws/?q=
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [KEN Taskbar Client] "C:\Programme\KEN!\kentbcli.exe"
O4 - HKLM\..\Run: [WinFast Schedule] C:\Programme\WinFast\WFTVFM\WFWIZ.exe
O4 - HKLM\..\Run: [Ulead Memory Card Detector] C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0\Monitor.exe
O4 - HKLM\..\Run: [SystemEmergency] C:\Windows\system\internet.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\sygate\SPF\Smc.exe -startgui
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SystemEmergency] C:\Windows\system\internet.exe
O4 - Startup: HotSync Manager.lnk = C:\Palm\HOTSYNC.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Live Menu.lnk = C:\Programme\Gemeinsame Dateien\eFax\dllcmd32.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O13 - DefaultPrefix: http://smartsearch.ws/?q=
O13 - WWW Prefix: http://smartsearch.ws/?q=
O14 - IERESET.INF: START_PAGE_URL=http://192.168.20.1:3128/ken2000.html
O17 - HKLM\System\CCS\Services\Tcpip\..\{75B698FC-FD68-4386-9D8B-AE59F673FA26}: NameServer = 192.168.120.252,192.168.120.253
Seitenanfang Seitenende
18.02.2004, 20:02
Member

Beiträge: 1095
#20 Hi ellaluis

der bösewicht ist
O4 - HKLM\..\Run: [SystemEmergency] C:\Windows\system\internet.exe
O4 - HKCU\..\Run: [SystemEmergency] C:\Windows\system\internet.exe
Achtung der steht wirklich zweimal drin
Link dazu
http://sarc.com/avcenter/venc/data/adware.ting.html


Also 1. Prozess
C:\Windows\system\internet.exe
im taskmanager abbrechen

2.
Dann die beiden oben genannten Einträge fixen (HiJackThis)+
alles was bei R1, R0 und O13 steht

3.
Alles Temporären Internetfiles löschen (Sytemsteuerung/Internetoptionen/Dateien löschen...+Offline Inhalte)

4.
Dann Systemwiederherstellung deaktivieren (http://www.windowspower.de/printout59.html)
Dann neustart
Systemwiederherstellung wieder aktivieren (wenn gewünscht)

5.
Dann nochmal Log posten
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Dieser Beitrag wurde am 18.02.2004 um 20:04 Uhr von paff editiert.
Seitenanfang Seitenende
19.02.2004, 00:21
...neu hier

Beiträge: 2
#21 also ich muß mich vielmals bedanken, so wie es aussieht hat der spuk ein ende
(hoff ich) anbei nochmal den gewünschten hijacklog


Logfile of HijackThis v1.97.7
Scan saved at 00:18:17, on 19.02.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\sygate\SPF\Smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\ATI-CPanel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\KEN!\kentbcli.exe
C:\Programme\WinFast\WFTVFM\WFWIZ.exe
C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0\Monitor.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Gemeinsame Dateien\eFax\dllcmd32.exe
C:\Palm\HOTSYNC.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
c:\jetsuite\jsdaemon.exe
C:\Programme\KEN!\KENCLI.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\Peter\Desktop\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=192.168.20.1:3128;https=192.168.20.1:3128;ftp=192.168.20.1:3128;socks=192.168.20.1:1080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [KEN Taskbar Client] "C:\Programme\KEN!\kentbcli.exe"
O4 - HKLM\..\Run: [WinFast Schedule] C:\Programme\WinFast\WFTVFM\WFWIZ.exe
O4 - HKLM\..\Run: [Ulead Memory Card Detector] C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0\Monitor.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\sygate\SPF\Smc.exe -startgui
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: HotSync Manager.lnk = C:\Palm\HOTSYNC.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Live Menu.lnk = C:\Programme\Gemeinsame Dateien\eFax\dllcmd32.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://192.168.20.1:3128/ken2000.html
O17 - HKLM\System\CCS\Services\Tcpip\..\{75B698FC-FD68-4386-9D8B-AE59F673FA26}: NameServer = 192.168.120.252,192.168.120.253
Seitenanfang Seitenende
19.02.2004, 01:09
Member

Beiträge: 1095
#22 @ellaluis
kein Problem ;)

Jederzeit wieder
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
06.06.2004, 22:35
euth
zu Gast
#23 Logfile of HijackThis v1.97.7
Scan saved at 22:35:29, on 06.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGNT.EXE
D:\PestPatrol\PPMemCheck.exe
D:\PestPatrol\CookiePatrol.exe
D:\PestPatrol\PPControl.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
D:\mIRC\mirc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\Martin Klosok\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GRV7YW9D\HijackThis[1].exe

O1 - Hosts: 213.159.117.235 auto.search.msn.com
O2 - BHO: (no name) - {029BB53A-C312-4b09-9B4F-ED57AF027B28} - C:\WINDOWS\winhlp32.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Mirabilis ICQ] D:\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [PPMemCheck] D:\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] D:\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [PestPatrol Control Center] D:\PestPatrol\PPControl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Recherche-Assistent (HKLM)
O12 - Plugin for .001: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://c:\MAIN.MHT!http://213.159.117.236/buka.chm::/x.exe
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - https://www.gamespyid.com/alaunch.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37977.1398958333
O16 - DPF: {C36661D7-3590-45B1-80B5-520839E94DAD} (MaxisSimCity4PatcherX Control) - http://simcity.ea.com/update/MaxisSimCity4PatcherX.cab
O16 - DPF: {CAFEEFAC-0014-0001-0004-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1) -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F82-00104B107C96}



Ich hab echt alles versucht. CWshredder Spybot usw. aber der Schei... kommt immer wieder ;) dumme Standardseite


Done!
Removed from your system:
- CWS.Svchost32
- CWS.Jksearch

zeigt der Shredder an aber sobald ich IE wieder öffne sind se beide wieder da ;)
Dieser Beitrag wurde am 06.06.2004 um 22:48 Uhr von euth editiert.
Seitenanfang Seitenende
14.06.2004, 21:41
...neu hier

Beiträge: 1
#24 Moinsen, bei michens das selbe prob. alles ausprobiert und nix gewirkt...


Logfile of HijackThis v1.97.7
Scan saved at 21:42:49, on 14.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Panda Software\Panda Antivirus Titanium\Pavsrv51.exe
C:\Programme\Panda Software\Panda Antivirus Titanium\AVENGINE.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programme\Panda Software\Panda Antivirus Titanium\pavProxy.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmjb.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\MMDiag.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_director.exe
G:\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Outlook Express\msimn.exe

O1 - Hosts: 213.159.117.235 auto.search.msn.com
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Programme\Corel\Corel Graphics 12\Languages\DE\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=062004 Ser*hier nicht!*=dr12cer-7878888-vwk lang=DE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKCU\..\Run: [Steam] E:\Steam\Steam.exe -silent
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRA~1\FLASHGET\jc_all.htm
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRA~1\FLASHGET\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Recherchieren (HKLM)
O9 - Extra button: AIM (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F81-00104B107C96}


Thx schonmal im voraus ,
Trabs
Seitenanfang Seitenende
15.06.2004, 13:33
...neu hier

Beiträge: 3
#25 Hallo erst mal an alle,
ich bin der Neue und nin natürlich hier, weil ich auf Eure Hilfe hoffe.

Es geht wie bei so vielen hier um SmartSearch als Starseite.

Habe bisher folgendes probiert (jeweils mit Update)
AntiVir
CWShredder
Ad-aware 6.0
mwav.exe
manuell alle temp, internet temp und cookies gelöscht
Startseite über Systemsteuerung neu eingestellt.

Hilft alles nicht.
Da ich die entsprechenden Log-Files nicht verstehe...
nun die bitte um Eure Hilfe.

Hier alle infos:

Einzige Meldung von mwav.exe (die ganze Log hab ich auch, wenn jemand sie braucht:
File C:\WINDOWS\system32\drivers\etc\hosts tagged as not-a-virus:AdvWare.Toolbar.XmlMimeFilter. No Action Taken.

ogfile of HijackThis v1.97.7
Scan saved at 13:16:51, on 15.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Mozilla1.6\Mozilla.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\devldr32.exe
C:\Dokumente und Einstellungen\Frau\Desktop\HijackThis.exe

O1 - Hosts: 213.159.117.235 auto.search.msn.com
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Mozilla1.6\Mozilla.exe" -turbo
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\Office\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren (HKLM)
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://c:\MAIN.MHT!http://213.159.117.235/buka.chm::/x.exe
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38152.5623032407
O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F81-00104B107C96}

Danke schon mal!!!

Lars "SSDLametta"
Seitenanfang Seitenende
17.06.2004, 13:10
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#26 @euth

scanne mit dem HijackThis und dann hake an, was ich poste

O1 - Hosts: 213.159.117.235 auto.search.msn.com
O2 - BHO: (no name) - {029BB53A-C312-4b09-9B4F-ED57AF027B28} - C:\WINDOWS\winhlp32.dll
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://c:\MAIN.MHT!http://213.159.117.236/buka.chm::/x.exe

neustarten

1. gehe in die Registry
Start\Ausfuehren\regedit
HIer der Eintrag:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{53B95211-7D77-11D2-9F81-00104B107C96}

loesche rechts den Wert, wenn er da ist.

2 .Dann suche eine C:\WINNT\system32\msxword.dll und, wenn sie da ist loesche sie.
2. Suche C:\WINDOWS\winhlp32.dll und loeschen

3. Lade XP/Clean 5.5.
http://www.xpclean.de/index.htm?http://www.xpclean.de/xpcleangold.htm
und saeubere die Host/Datei, es sollte nur 127.0.0.1
drinstehen

oder
Geh mal zu C:\WINDOWS\SYSTEM32\DRIVERS\ETC\Hosts
mit dem Editor oeffen ..notepad
Dort sollte nur 127.0.0.1 drinstehen .
Alles andere loeschen

4. dann loesche unter InternetOptionen die TemporaryInternetFiles und stelle dort auch einen Startseite nach Wunsch ein.

5. Lade AdAware free und scanne
http://www.lavasoft.de/

6. Lade SpyHunter und scanne
http://www.spy-bot.net/manual.asp


Dann poste das Log noch einmal.
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 17.06.2004 um 13:14 Uhr von Sabina editiert.
Seitenanfang Seitenende
17.06.2004, 13:12
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#27 @Trabs

Fixe

O1 - Hosts: 213.159.117.235 auto.search.msn.com

neustarten

1. gehe in die Registry
Start\Ausfuehren\regedit
HIer der Eintrag:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{53B95211-7D77-11D2-9F81-00104B107C96}

loesche rechts den Wert, wenn er da ist.

2 .Dann suche eine C:\WINNT\system32\msxword.dll und, wenn sie da ist loesche sie.

3. Lade XP/Clean 5.5.
http://www.xpclean.de/index.htm?http://www.xpclean.de/xpcleangold.htm
und saeubere die Host/Datei, es sollte nur 127.0.0.1
drinstehen

oder

Geh mal zu C:\WINDOWS\SYSTEM32\DRIVERS\ETC\Hosts
mit dem Editor oeffen ..notepad
Dort sollte nur 127.0.0.1 drinstehen .
Alles andere loeschen

4. dann loesche unter InternetOptionen die TemporaryInternetFiles und stelle dort auch einen Startseite nach Wunsch ein.
5. Lade AdAware free und scanne
http://www.lavasoft.de/
6. Lade SpyHunter und scanne
http://www.spy-bot.net/manual.asp

Dann poste das Log noch einmal.
Gruss
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 17.06.2004 um 13:13 Uhr von Sabina editiert.
Seitenanfang Seitenende
17.06.2004, 13:16
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#28 @SSDLamette

Fixe

O1 - Hosts: 213.159.117.235 auto.search.msn.com
O9 - Extra button: Recherchieren (HKLM)
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://c:\MAIN.MHT!http://213.159.117.235/buka.chm::/x.exe

neustarten

1. gehe in die Registry
Start\Ausfuehren\regedit
HIer der Eintrag:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{53B95211-7D77-11D2-9F81-00104B107C96}

loesche rechts den Wert, wenn er da ist.

2 .Dann suche eine C:\WINNT\system32\msxword.dll und, wenn sie da ist loesche sie.

3. Lade XP/Clean 5.5.
http://www.xpclean.de/index.htm?http://www.xpclean.de/xpcleangold.htm
und saeubere die Host/Datei, es sollte nur 127.0.0.1
drinstehen

oder

Geh mal zu C:\WINDOWS\SYSTEM32\DRIVERS\ETC\Hosts
mit dem Editor oeffen ..notepad
Dort sollte nur 127.0.0.1 drinstehen .
Alles andere loeschen

4. dann loesche unter InternetOptionen die TemporaryInternetFiles und stelle dort auch einen Startseite nach Wunsch ein.
5. Lade AdAware free und scanne
http://www.lavasoft.de/
6. Lade SpyHunter und scanne
http://www.spy-bot.net/manual.asp


Dann poste das Log mit einer Startseite im IE noch einmal.
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
22.06.2004, 10:26
...neu hier

Beiträge: 4
#29 Hallo!
Ich bin auch von diesem Startseitenhack betroffen, ich hab schon jedes Programm versucht (Híjackthis, regcleaner,adaware), aber es hat nix geholfen.

Ich schließe mich den anderen an und poste nun mein Lof-File von Hijackthis, vielleicht kann mir einer helfen:






Logfile of HijackThis v1.97.7
Scan saved at 10:24:37, on 22.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\ScsiAccess.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Karl-August\Desktop\anti-IE-hijacking\HijackThis.exe

O1 - Hosts: 213.159.117.235 auto.search.msn.com
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: eBay Toolbar - {46AE04C0-BCFA-4728-90E7-00EB4A8B3863} - C:\WINDOWS\Downloaded Program Files\eBayBand.dll
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: eBay Toolbar (HKLM)
O9 - Extra 'Tools' menuitem: eBay Toolbar (HKLM)
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {001F2570-5DF5-11D3-B991-00A0C9BB0874} (eBay Helper Object) - http://download.ebay.com/toolbar/de/eBayTBar.cab
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://c:\MAIN.MHT!http://213.159.117.237:4000/buka.chm::/x.exe
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38158.3175462963
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6EA25001-BCF6-4EFD-82B6-F7D3FCC3BCE2}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{749793EB-C508-4217-AA6A-7BA32677C9BC}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{6EA25001-BCF6-4EFD-82B6-F7D3FCC3BCE2}: NameServer = 192.168.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{6EA25001-BCF6-4EFD-82B6-F7D3FCC3BCE2}: NameServer = 192.168.0.1
O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F81-00104B107C96}
Seitenanfang Seitenende
22.06.2004, 10:32
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#30 @ncjk

Fixe mit dem HijackThis

O1 - Hosts: 213.159.117.235 auto.search.msn.com

O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://c:\MAIN.MHT!http://213.159.117.237:4000/buka.chm::/x.exe


neustarten



gehe in die Registry
Start\Ausfuehren\regedit
HIer der Eintrag:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{53B95211-7D77-11D2-9F81-00104B107C96}

loesche rechts den Wert, wenn er da ist.

2 .Dann suche eine C:\WINNT\system32\msxword.dll und, wenn sie da ist loesche sie.

3. Lade XP/Clean 5.5.
http://www.xpclean.de/index.htm?http://www.xpclean.de/xpcleangold.htm
und saeubere die Host/Datei, es sollte nur 127.0.0.1
drinstehen

oder

Geh mal zu C:\WINDOWS\SYSTEM32\DRIVERS\ETC\Hosts
mit dem Editor oeffen ..notepad
Dort sollte nur 127.0.0.1 drinstehen .
Alles andere loeschen


#Scanne mit AdAware free
http://www.lavasoft.de/
#Seach\Destroy
http://beam.to/spybotsd

#Scanne mit dem mwav.exe...30 Tage free
http://www.mwti.net/antivirus/free_utilities.asp

Poste das Endergebnis vom Scann..mawav.exe sowie das Neue Log .

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: