smartsearch nervige standardseite |
||
|---|---|---|
| #0
| ||
|
26.01.2004, 23:37
...neu hier
Beiträge: 3 |
||
 
|
|
|
|
27.01.2004, 05:45
Moderator
Beiträge: 7805 |
#17
Dann nimm erst diesen Cleaner und nimm dann cw http://www.safer-networking.org/files/delcwssk.zip
__________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
27.01.2004, 13:44
...neu hier
Beiträge: 3 |
#18
SUPA! vielen dank ist jetzt weg
DANKE. |
|
|
|
|
|
|
18.02.2004, 19:40
...neu hier
Beiträge: 2 |
#19
guten abend, auch ich habe mir diesen smartsearch (vorher magicsearch) eingefangen. sämtliche versuche mit spybot, cdshredder, hijackthis haben nicht gefruchtet deswegen würde ich euch bitten, dass ihr euch mal mein hijackthis-log anschaut, vielen dank
ogfile of HijackThis v1.97.7 Scan saved at 18:12:34, on 18.02.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\sygate\SPF\Smc.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\ATI-CPanel\atiptaxx.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\KEN!\kentbcli.exe C:\Programme\WinFast\WFTVFM\WFWIZ.exe C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0\Monitor.exe C:\Windows\system\internet.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe C:\Programme\Gemeinsame Dateien\eFax\dllcmd32.exe C:\Palm\HOTSYNC.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE c:\jetsuite\jsdaemon.exe C:\Programme\KEN!\KENCLI.EXE C:\WINDOWS\system32\slserv.exe C:\WINDOWS\System32\svchost.exe C:\Dokumente und Einstellungen\Peter\Desktop\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://smartsearch.ws/?q= R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://smartsearch.ws/?q= R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://smartsearch.ws/?q= R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://smartsearch.ws R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://smartsearch.ws R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://smartsearch.ws/?q= R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://smartsearch.ws/?q= R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://smartsearch.ws/?q= R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://smartsearch.ws R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://smartsearch.ws/?q= R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://smartsearch.ws/?q= R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://smartsearch.ws R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://smartsearch.ws/?q= R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://smartsearch.ws/?q= R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://smartsearch.ws/?q= R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://smartsearch.ws/?q= R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://smartsearch.ws/?q= O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg O4 - HKLM\..\Run: [KEN Taskbar Client] "C:\Programme\KEN!\kentbcli.exe" O4 - HKLM\..\Run: [WinFast Schedule] C:\Programme\WinFast\WFTVFM\WFWIZ.exe O4 - HKLM\..\Run: [Ulead Memory Card Detector] C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0\Monitor.exe O4 - HKLM\..\Run: [SystemEmergency] C:\Windows\system\internet.exe O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\sygate\SPF\Smc.exe -startgui O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [SystemEmergency] C:\Windows\system\internet.exe O4 - Startup: HotSync Manager.lnk = C:\Palm\HOTSYNC.EXE O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Live Menu.lnk = C:\Programme\Gemeinsame Dateien\eFax\dllcmd32.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O13 - DefaultPrefix: http://smartsearch.ws/?q= O13 - WWW Prefix: http://smartsearch.ws/?q= O14 - IERESET.INF: START_PAGE_URL=http://192.168.20.1:3128/ken2000.html O17 - HKLM\System\CCS\Services\Tcpip\..\{75B698FC-FD68-4386-9D8B-AE59F673FA26}: NameServer = 192.168.120.252,192.168.120.253 |
|
|
|
|
|
|
18.02.2004, 20:02
Member
Beiträge: 1095 |
#20
Hi ellaluis
der bösewicht ist O4 - HKLM\..\Run: [SystemEmergency] C:\Windows\system\internet.exe O4 - HKCU\..\Run: [SystemEmergency] C:\Windows\system\internet.exe Achtung der steht wirklich zweimal drin Link dazu http://sarc.com/avcenter/venc/data/adware.ting.html Also 1. Prozess C:\Windows\system\internet.exe im taskmanager abbrechen 2. Dann die beiden oben genannten Einträge fixen (HiJackThis)+ alles was bei R1, R0 und O13 steht 3. Alles Temporären Internetfiles löschen (Sytemsteuerung/Internetoptionen/Dateien löschen...+Offline Inhalte) 4. Dann Systemwiederherstellung deaktivieren (http://www.windowspower.de/printout59.html) Dann neustart Systemwiederherstellung wieder aktivieren (wenn gewünscht) 5. Dann nochmal Log posten __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 18.02.2004 um 20:04 Uhr von paff editiert.
|
|
|
|
|
|
|
19.02.2004, 00:21
...neu hier
Beiträge: 2 |
#21
also ich muß mich vielmals bedanken, so wie es aussieht hat der spuk ein ende
(hoff ich) anbei nochmal den gewünschten hijacklog Logfile of HijackThis v1.97.7 Scan saved at 00:18:17, on 19.02.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\sygate\SPF\Smc.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\ATI-CPanel\atiptaxx.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\KEN!\kentbcli.exe C:\Programme\WinFast\WFTVFM\WFWIZ.exe C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0\Monitor.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe C:\Programme\Gemeinsame Dateien\eFax\dllcmd32.exe C:\Palm\HOTSYNC.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE c:\jetsuite\jsdaemon.exe C:\Programme\KEN!\KENCLI.EXE C:\WINDOWS\system32\slserv.exe C:\WINDOWS\System32\svchost.exe C:\Dokumente und Einstellungen\Peter\Desktop\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=192.168.20.1:3128;https=192.168.20.1:3128;ftp=192.168.20.1:3128;socks=192.168.20.1:1080 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg O4 - HKLM\..\Run: [KEN Taskbar Client] "C:\Programme\KEN!\kentbcli.exe" O4 - HKLM\..\Run: [WinFast Schedule] C:\Programme\WinFast\WFTVFM\WFWIZ.exe O4 - HKLM\..\Run: [Ulead Memory Card Detector] C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0\Monitor.exe O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\sygate\SPF\Smc.exe -startgui O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Startup: HotSync Manager.lnk = C:\Palm\HOTSYNC.EXE O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Live Menu.lnk = C:\Programme\Gemeinsame Dateien\eFax\dllcmd32.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O14 - IERESET.INF: START_PAGE_URL=http://192.168.20.1:3128/ken2000.html O17 - HKLM\System\CCS\Services\Tcpip\..\{75B698FC-FD68-4386-9D8B-AE59F673FA26}: NameServer = 192.168.120.252,192.168.120.253 |
|
|
|
|
|
|
19.02.2004, 01:09
Member
Beiträge: 1095 |
#22
@ellaluis
kein Problem  Jederzeit wieder __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
|
|
|
|
06.06.2004, 22:35
euth
zu Gast
|
#23
Logfile of HijackThis v1.97.7
Scan saved at 22:35:29, on 06.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGNT.EXE D:\PestPatrol\PPMemCheck.exe D:\PestPatrol\CookiePatrol.exe D:\PestPatrol\PPControl.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE D:\mIRC\mirc.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\explorer.exe C:\Dokumente und Einstellungen\Martin Klosok\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GRV7YW9D\HijackThis[1].exe O1 - Hosts: 213.159.117.235 auto.search.msn.com O2 - BHO: (no name) - {029BB53A-C312-4b09-9B4F-ED57AF027B28} - C:\WINDOWS\winhlp32.dll O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [Mirabilis ICQ] D:\ICQ\ICQNet.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [PPMemCheck] D:\PestPatrol\PPMemCheck.exe O4 - HKLM\..\Run: [CookiePatrol] D:\PestPatrol\CookiePatrol.exe O4 - HKLM\..\Run: [PestPatrol Control Center] D:\PestPatrol\PPControl.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: ICQ Pro (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O9 - Extra button: Recherche-Assistent (HKLM) O12 - Plugin for .001: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://c:\MAIN.MHT!http://213.159.117.236/buka.chm::/x.exe O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - https://www.gamespyid.com/alaunch.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37977.1398958333 O16 - DPF: {C36661D7-3590-45B1-80B5-520839E94DAD} (MaxisSimCity4PatcherX Control) - http://simcity.ea.com/update/MaxisSimCity4PatcherX.cab O16 - DPF: {CAFEEFAC-0014-0001-0004-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1) - O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F82-00104B107C96} Ich hab echt alles versucht. CWshredder Spybot usw. aber der Schei... kommt immer wieder  dumme StandardseiteDone! Removed from your system: - CWS.Svchost32 - CWS.Jksearch zeigt der Shredder an aber sobald ich IE wieder öffne sind se beide wieder da Dieser Beitrag wurde am 06.06.2004 um 22:48 Uhr von euth editiert.
|
|
|
|
|
|
|
14.06.2004, 21:41
...neu hier
Beiträge: 1 |
#24
Moinsen, bei michens das selbe prob. alles ausprobiert und nix gewirkt...
Logfile of HijackThis v1.97.7 Scan saved at 21:42:49, on 14.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Panda Software\Panda Antivirus Titanium\Pavsrv51.exe C:\Programme\Panda Software\Panda Antivirus Titanium\AVENGINE.EXE C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\WINDOWS\System32\devldr32.exe C:\Programme\Panda Software\Panda Antivirus Titanium\pavProxy.exe C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmjb.exe C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\MMDiag.exe C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_director.exe G:\HijackThis.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Outlook Express\msimn.exe O1 - Hosts: 213.159.117.235 auto.search.msn.com O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE" /s O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Programme\Corel\Corel Graphics 12\Languages\DE\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=062004 Ser*hier nicht!*=dr12cer-7878888-vwk lang=DE O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKCU\..\Run: [Steam] E:\Steam\Steam.exe -silent O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRA~1\FLASHGET\jc_all.htm O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRA~1\FLASHGET\jc_link.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM) O9 - Extra button: ICQ Pro (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O9 - Extra button: Recherchieren (HKLM) O9 - Extra button: AIM (HKLM) O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O9 - Extra button: FlashGet (HKLM) O9 - Extra 'Tools' menuitem: &FlashGet (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM) O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F81-00104B107C96} Thx schonmal im voraus , Trabs |
|
|
|
|
|
|
15.06.2004, 13:33
...neu hier
Beiträge: 3 |
#25
Hallo erst mal an alle,
ich bin der Neue und nin natürlich hier, weil ich auf Eure Hilfe hoffe. Es geht wie bei so vielen hier um SmartSearch als Starseite. Habe bisher folgendes probiert (jeweils mit Update) AntiVir CWShredder Ad-aware 6.0 mwav.exe manuell alle temp, internet temp und cookies gelöscht Startseite über Systemsteuerung neu eingestellt. Hilft alles nicht. Da ich die entsprechenden Log-Files nicht verstehe... nun die bitte um Eure Hilfe. Hier alle infos: Einzige Meldung von mwav.exe (die ganze Log hab ich auch, wenn jemand sie braucht: File C:\WINDOWS\system32\drivers\etc\hosts tagged as not-a-virus:AdvWare.Toolbar.XmlMimeFilter. No Action Taken. ogfile of HijackThis v1.97.7 Scan saved at 13:16:51, on 15.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Mozilla1.6\Mozilla.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Ahead\InCD\InCDsrv.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\WINDOWS\System32\devldr32.exe C:\Dokumente und Einstellungen\Frau\Desktop\HijackThis.exe O1 - Hosts: 213.159.117.235 auto.search.msn.com O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Mozilla1.6\Mozilla.exe" -turbo O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\Office\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren (HKLM) O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://c:\MAIN.MHT!http://213.159.117.235/buka.chm::/x.exe O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38152.5623032407 O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F81-00104B107C96} Danke schon mal!!! Lars "SSDLametta" |
|
|
|
|
|
|
17.06.2004, 13:10
Ehrenmitglied
 Beiträge: 29434 |
#26
@euth
scanne mit dem HijackThis und dann hake an, was ich poste O1 - Hosts: 213.159.117.235 auto.search.msn.com O2 - BHO: (no name) - {029BB53A-C312-4b09-9B4F-ED57AF027B28} - C:\WINDOWS\winhlp32.dll O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://c:\MAIN.MHT!http://213.159.117.236/buka.chm::/x.exe neustarten 1. gehe in die Registry Start\Ausfuehren\regedit HIer der Eintrag: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{53B95211-7D77-11D2-9F81-00104B107C96} loesche rechts den Wert, wenn er da ist. 2 .Dann suche eine C:\WINNT\system32\msxword.dll und, wenn sie da ist loesche sie. 2. Suche C:\WINDOWS\winhlp32.dll und loeschen 3. Lade XP/Clean 5.5. http://www.xpclean.de/index.htm?http://www.xpclean.de/xpcleangold.htm und saeubere die Host/Datei, es sollte nur 127.0.0.1 drinstehen oder Geh mal zu C:\WINDOWS\SYSTEM32\DRIVERS\ETC\Hosts mit dem Editor oeffen ..notepad Dort sollte nur 127.0.0.1 drinstehen . Alles andere loeschen 4. dann loesche unter InternetOptionen die TemporaryInternetFiles und stelle dort auch einen Startseite nach Wunsch ein. 5. Lade AdAware free und scanne http://www.lavasoft.de/ 6. Lade SpyHunter und scanne http://www.spy-bot.net/manual.asp Dann poste das Log noch einmal. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 17.06.2004 um 13:14 Uhr von Sabina editiert.
|
|
|
|
|
|
|
17.06.2004, 13:12
Ehrenmitglied
Beiträge: 29434 |
#27
@Trabs
Fixe O1 - Hosts: 213.159.117.235 auto.search.msn.com neustarten 1. gehe in die Registry Start\Ausfuehren\regedit HIer der Eintrag: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{53B95211-7D77-11D2-9F81-00104B107C96} loesche rechts den Wert, wenn er da ist. 2 .Dann suche eine C:\WINNT\system32\msxword.dll und, wenn sie da ist loesche sie. 3. Lade XP/Clean 5.5. http://www.xpclean.de/index.htm?http://www.xpclean.de/xpcleangold.htm und saeubere die Host/Datei, es sollte nur 127.0.0.1 drinstehen oder Geh mal zu C:\WINDOWS\SYSTEM32\DRIVERS\ETC\Hosts mit dem Editor oeffen ..notepad Dort sollte nur 127.0.0.1 drinstehen . Alles andere loeschen 4. dann loesche unter InternetOptionen die TemporaryInternetFiles und stelle dort auch einen Startseite nach Wunsch ein. 5. Lade AdAware free und scanne http://www.lavasoft.de/ 6. Lade SpyHunter und scanne http://www.spy-bot.net/manual.asp Dann poste das Log noch einmal. Gruss Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 17.06.2004 um 13:13 Uhr von Sabina editiert.
|
|
|
|
|
|
|
17.06.2004, 13:16
Ehrenmitglied
Beiträge: 29434 |
#28
@SSDLamette
Fixe O1 - Hosts: 213.159.117.235 auto.search.msn.com O9 - Extra button: Recherchieren (HKLM) O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://c:\MAIN.MHT!http://213.159.117.235/buka.chm::/x.exe neustarten 1. gehe in die Registry Start\Ausfuehren\regedit HIer der Eintrag: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{53B95211-7D77-11D2-9F81-00104B107C96} loesche rechts den Wert, wenn er da ist. 2 .Dann suche eine C:\WINNT\system32\msxword.dll und, wenn sie da ist loesche sie. 3. Lade XP/Clean 5.5. http://www.xpclean.de/index.htm?http://www.xpclean.de/xpcleangold.htm und saeubere die Host/Datei, es sollte nur 127.0.0.1 drinstehen oder Geh mal zu C:\WINDOWS\SYSTEM32\DRIVERS\ETC\Hosts mit dem Editor oeffen ..notepad Dort sollte nur 127.0.0.1 drinstehen . Alles andere loeschen 4. dann loesche unter InternetOptionen die TemporaryInternetFiles und stelle dort auch einen Startseite nach Wunsch ein. 5. Lade AdAware free und scanne http://www.lavasoft.de/ 6. Lade SpyHunter und scanne http://www.spy-bot.net/manual.asp Dann poste das Log mit einer Startseite im IE noch einmal. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
22.06.2004, 10:26
...neu hier
Beiträge: 4 |
#29
Hallo!
Ich bin auch von diesem Startseitenhack betroffen, ich hab schon jedes Programm versucht (Híjackthis, regcleaner,adaware), aber es hat nix geholfen. Ich schließe mich den anderen an und poste nun mein Lof-File von Hijackthis, vielleicht kann mir einer helfen: Logfile of HijackThis v1.97.7 Scan saved at 10:24:37, on 22.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\ScsiAccess.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\Karl-August\Desktop\anti-IE-hijacking\HijackThis.exe O1 - Hosts: 213.159.117.235 auto.search.msn.com O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: eBay Toolbar - {46AE04C0-BCFA-4728-90E7-00EB4A8B3863} - C:\WINDOWS\Downloaded Program Files\eBayBand.dll O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: eBay Toolbar (HKLM) O9 - Extra 'Tools' menuitem: eBay Toolbar (HKLM) O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll O16 - DPF: {001F2570-5DF5-11D3-B991-00A0C9BB0874} (eBay Helper Object) - http://download.ebay.com/toolbar/de/eBayTBar.cab O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://c:\MAIN.MHT!http://213.159.117.237:4000/buka.chm::/x.exe O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38158.3175462963 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{6EA25001-BCF6-4EFD-82B6-F7D3FCC3BCE2}: NameServer = 192.168.0.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{749793EB-C508-4217-AA6A-7BA32677C9BC}: NameServer = 192.168.0.1 O17 - HKLM\System\CS1\Services\Tcpip\..\{6EA25001-BCF6-4EFD-82B6-F7D3FCC3BCE2}: NameServer = 192.168.0.1 O17 - HKLM\System\CS2\Services\Tcpip\..\{6EA25001-BCF6-4EFD-82B6-F7D3FCC3BCE2}: NameServer = 192.168.0.1 O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F81-00104B107C96} |
|
|
|
|
|
|
22.06.2004, 10:32
Ehrenmitglied
Beiträge: 29434 |
#30
@ncjk
Fixe mit dem HijackThis O1 - Hosts: 213.159.117.235 auto.search.msn.com O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://c:\MAIN.MHT!http://213.159.117.237:4000/buka.chm::/x.exe neustarten gehe in die Registry Start\Ausfuehren\regedit HIer der Eintrag: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{53B95211-7D77-11D2-9F81-00104B107C96} loesche rechts den Wert, wenn er da ist. 2 .Dann suche eine C:\WINNT\system32\msxword.dll und, wenn sie da ist loesche sie. 3. Lade XP/Clean 5.5. http://www.xpclean.de/index.htm?http://www.xpclean.de/xpcleangold.htm und saeubere die Host/Datei, es sollte nur 127.0.0.1 drinstehen oder Geh mal zu C:\WINDOWS\SYSTEM32\DRIVERS\ETC\Hosts mit dem Editor oeffen ..notepad Dort sollte nur 127.0.0.1 drinstehen . Alles andere loeschen #Scanne mit AdAware free http://www.lavasoft.de/ #Seach\Destroy http://beam.to/spybotsd #Scanne mit dem mwav.exe...30 Tage free http://www.mwti.net/antivirus/free_utilities.asp Poste das Endergebnis vom Scann..mawav.exe sowie das Neue Log . MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
schliesst das programm immer, und nun?! kannst dich auch per icq bei mir melden
:340753135
danke für die hilfe