smartsearch nervige standardseite |
||
|---|---|---|
| #0
| ||
|
22.06.2004, 14:01
...neu hier
Beiträge: 4 |
||
 
|
|
|
|
22.06.2004, 14:17
Ehrenmitglied
 Beiträge: 29434 |
#32
@ncjk
Leider war die Freude zu frueh... Lade mwav.exe ....30 Tage free http://www.mwti.net/antivirus/free_utilities.asp Fixe bitte O1 - Hosts: 213.159.117.235 auto.search.msn.com #neustarten und im abgesicherten Modus mit dem Tool scannen. Dann poste das Log noch einmal und poste das Endergebnis vom Scann, damit ich sehe, ob die C:\WINNT\system32\msxword.dll wirklich geloescht ist. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 22.06.2004 um 14:17 Uhr von Sabina editiert.
|
|
|
|
|
|
|
23.06.2004, 12:03
...neu hier
Beiträge: 4 |
||
|
|
|
|
|
23.06.2004, 12:40
Ehrenmitglied
Beiträge: 29434 |
#34
Poste nur die infizierten Sachen und das Endergebnis
Dann poste das Log vom HijackThis noch einmal. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
23.06.2004, 13:33
...neu hier
Beiträge: 4 |
#35
Logfile of HijackThis v1.97.7
Scan saved at 11:24:14, on 23.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\userinit.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\ScsiAccess.EXE C:\WINDOWS\System32\svchost.exe C:\Dokumente und Einstellungen\Karl-August\Desktop\anti-IE-hijacking\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/ O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: eBay Toolbar - {46AE04C0-BCFA-4728-90E7-00EB4A8B3863} - C:\WINDOWS\Downloaded Program Files\eBayBand.dll O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: eBay Toolbar (HKLM) O9 - Extra 'Tools' menuitem: eBay Toolbar (HKLM) O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll O16 - DPF: {001F2570-5DF5-11D3-B991-00A0C9BB0874} (eBay Helper Object) - http://download.ebay.com/toolbar/de/eBayTBar.cab O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38158.3175462963 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{6EA25001-BCF6-4EFD-82B6-F7D3FCC3BCE2}: NameServer = 192.168.0.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{749793EB-C508-4217-AA6A-7BA32677C9BC}: NameServer = 192.168.0.1 O17 - HKLM\System\CS1\Services\Tcpip\..\{6EA25001-BCF6-4EFD-82B6-F7D3FCC3BCE2}: NameServer = 192.168.0.1 O17 - HKLM\System\CS2\Services\Tcpip\..\{6EA25001-BCF6-4EFD-82B6-F7D3FCC3BCE2}: NameServer = 192.168.0.1 O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F81-00104B107C96} |
|
|
|
|
|
|
23.06.2004, 14:42
Ehrenmitglied
Beiträge: 29434 |
#36
@ncjk
Glueckwunsch...das Log ist sauber. http://www.free-av.de/ Lade noch diesen Virenscanner. und surfe nur mit dem Firefox...ist hijackerfrei http://www.firebird-browser.de/ MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 23.06.2004 um 14:43 Uhr von Sabina editiert.
|
|
|
|
|
|
|
23.06.2004, 17:50
...neu hier
Beiträge: 5 |
#37
Hi Leutz!
Bin ebenfalls neu hier und hab wie fast alle vor mir wohl auch die selben Probleme mit Smart Search *argh* Wäre kuhl wenn mir jemand helfen könnte  Logfile of HijackThis v1.97.7 Scan saved at 17:51:27, on 23.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe C:\Programme\HHVcdV5Sys\VC5Play.exe C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\HHVcdV5Sys\VC5SecS.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Norton AntiVirus\OPScan.exe D:\Diverses\hijackthis\HijackThis.exe O1 - Hosts: 213.159.117.235 auto.search.msn.com O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [AutoUpdater] C:\PROGRA~2\AUTOUP~1\AUTOUP~1.EXE O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [VC5Player] C:\Programme\HHVcdV5Sys\VC5Play.exe O4 - HKLM\..\Run: [RUNDLL] rundll32.exe "C:\WINDOWS\System32\bridge.dll",Load O4 - HKLM\..\Run: [svc] rundll32.exe O4 - HKLM\..\Run: [secure] c:\windows\system32\secure\rundll32.exe O4 - HKLM\..\Run: [System Toolkit] C:\WINDOWS\Systools.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [bsozzq] C:\WINDOWS\System32\qicllpk.exe O4 - HKLM\..\Run: [ClrSchLoader] C:\PROGRA~1\Lycos\IEagent\Loader.exe O4 - HKLM\..\Run: [PestPatrol Control Center] D:\Programme\PestPatrol\PPControl.exe O4 - HKLM\..\Run: [PPMemCheck] D:\Programme\PestPatrol\PPMemCheck.exe O4 - HKLM\..\Run: [CookiePatrol] D:\Programme\PestPatrol\CookiePatrol.exe O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM) O9 - Extra button: Recherchieren (HKLM) O9 - Extra button: AIM (HKLM) O9 - Extra button: ICQ 4.0 (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab O16 - DPF: {11111111-1111-1111-1111-111111111732} - file://c:\progra~1\pl.exe O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst0309.cab O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20030625/qtinstall.info.apple.com/abarth/de/win/QuickTimeInstaller.exe O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://arcade.icq.com/multiplayer/odyssey_web8.cab O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{8C800CE7-E1D5-4FEA-8C2E-20A6A6414FAB}: NameServer = 217.237.150.225 194.25.2.129 O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F81-00104B107C96} thx 3x3l$i0r |
|
|
|
|
|
|
23.06.2004, 18:47
Ehrenmitglied
Beiträge: 29434 |
#38
@3x3lSi0r
Deaktiviere die Wiederherstellung..kannst du nach der Reinigung wieder aktivieren http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 Fixe O1 - Hosts: 213.159.117.235 auto.search.msn.com O4 - HKLM\..\Run: [AutoUpdater] C:\PROGRA~2\AUTOUP~1\AUTOUP~1.EXE O4 - HKLM\..\Run: [RUNDLL] rundll32.exe "C:\WINDOWS\System32\bridge.dll",Load O4 - HKLM\..\Run: [svc] rundll32.exe O4 - HKLM\..\Run: [secure] c:\windows\system32\secure\rundll32.exe O4 - HKLM\..\Run: [System Toolkit] C:\WINDOWS\Systools.exe O4 - HKLM\..\Run: [bsozzq] C:\WINDOWS\System32\qicllpk.exe O16 - DPF: {11111111-1111-1111-1111-111111111732} - file://c:\progra~1\pl.exe NEUSTARTEN #bevor ich dich in die Registry schicke., um die ganzen Viren zu loeschen.....scanne erst einmal mit dem mwav.exe...30 Tage free http://www.mwti.net/antivirus/free_utilities.asp #Mache einen Onlinescann http://uk.trendmicro-europe.com/enterprise/products/housecall_launch.php #arbeite das bitte durch http://www.rokop-security.de/main/article.php?sid=703 ........................................................................................................ neustarten und in den abgesicherten Modus gehen....F8 beim Hochfahren druecken #gehe in die Registry Start\Ausfuehren\regedit HIer der Eintrag: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{53B95211-7D77-11D2-9F81-00104B107C96} loesche rechts den Wert, wenn er da ist. 2 .Dann suche eine C:\WINNT\system32\msxword.dll und, wenn sie da ist loesche sie. 3. Geh mal zu C:\WINDOWS\SYSTEM32\DRIVERS\ETC\Hosts mit dem Editor oeffen ..notepad Dort sollte nur 127.0.0.1 drinstehen . Alles andere loeschen #mache hier noch einmal einen Scann mit der mwav.exe .............................................................................................................. normal neustarten #loesche die TemporaryInternetFiles unter InternetOptionen...Browser vorher schliessen und stelle eine Startseite ein Tip1 Dinstalliere den Symantec und dann wieder neu installieren...er ist zerstoert Tip2 Surfe mit dem Firefox..ist hijackerfrei http://www.firebird-browser.de/ Poste das Log noch einmal. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 23.06.2004 um 18:52 Uhr von Sabina editiert.
|
|
|
|
|
|
|
23.06.2004, 22:59
...neu hier
Beiträge: 5 |
#39
kk hab alles gemacht
so schauts nu aus Logfile of HijackThis v1.97.7 Scan saved at 22:58:01, on 23.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\HHVcdV5Sys\VC5SecS.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe C:\Programme\HHVcdV5Sys\VC5Play.exe D:\Diverses\hijackthis\HijackThis.exe R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [VC5Player] C:\Programme\HHVcdV5Sys\VC5Play.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM) O9 - Extra button: Recherchieren (HKLM) O9 - Extra button: AIM (HKLM) O9 - Extra button: ICQ 4.0 (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst0309.cab O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20030625/qtinstall.info.apple.com/abarth/de/win/QuickTimeInstaller.exe O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://arcade.icq.com/multiplayer/odyssey_web8.cab O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{8C800CE7-E1D5-4FEA-8C2E-20A6A6414FAB}: NameServer = 217.237.150.225 194.25.2.129 O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F81-00104B107C96} |
|
|
|
|
|
|
24.06.2004, 00:21
...neu hier
Beiträge: 1 |
#40
Hi bin neu und habe ein problem mit dem smartsearch bekomme ihn nicht weg es gibt ja nochnichtmal eine uninstall.exe also kann mir bitte einer helfen hier ist meine hijackthis.log
Logfile of HijackThis v1.97.7 Scan saved at 00:15:04, on 24.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ie/defaults/su/ymsgr/*http://www.yahoo.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) R3 - URLSearchHook: (no name) - _{00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file) R3 - URLSearchHook: (no name) - _{5D60FF48-95BE-4956-B4C6-6BB168A70310} - (no file) O1 - Hosts: 213.159.117.235 auto.search.msn.com O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe" O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe" O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [updmgr] C:\Programme\Common files\updmgr\updmgr.exe O4 - HKLM\..\Run: [updater] C:\Programme\Common files\updater\wupdater.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: Yahoo! Dictionary - file:///C:\Programme\Yahoo!\Common/ycdict.htm O8 - Extra context menu item: Yahoo! Search - file:///C:\Programme\Yahoo!\Common/ycsrch.htm O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM) O9 - Extra button: ICQ Pro (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://E:\content\include\XPPatchInstaller.CAB O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38089.2709606482 O16 - DPF: {A17E30C4-A9BA-11D4-8673-60DB54C10000} (YahooYMailTo Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/yse/ymmapi_416.dll O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F81-00104B107C96} danke im voraus für die hilfe Dieser Beitrag wurde am 24.06.2004 um 00:22 Uhr von Diablo editiert.
|
|
|
|
|
|
|
24.06.2004, 08:47
Ehrenmitglied
Beiträge: 29434 |
#41
@3x3lSi0r
es ist alles sauber...Glueckwunsch und surfe nur mit dem Firefox...ist hijackerfrei http://www.firebird-browser.de/ MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 24.06.2004 um 08:47 Uhr von Sabina editiert.
|
|
|
|
|
|
|
24.06.2004, 08:53
Ehrenmitglied
Beiträge: 29434 |
#42
@Diablo
Deaktiviere die Wiederherstellung...kannst du nach der Reinigung wieder aktivieren http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 scanne mit dem HijackThis, dann hake an, was ich poste und dann fix R1 - \Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ie/defaults/su/ymsgr/*http://www.yahoo.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) R3 - URLSearchHook: (no name) - _{00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file) R3 - URLSearchHook: (no name) - _{5D60FF48-95BE-4956-B4C6-6BB168A70310} - (no file) O1 - Hosts: 213.159.117.235 auto.search.msn.com O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe" O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [updmgr] C:\Programme\Common files\updmgr\updmgr.exe O4 - HKLM\..\Run: [updater] C:\Programme\Common files\updater\wupdater.exe neustarten #Lade die mwav.exe 30 Tage free ...scanne \alle Dateien\, um die Viren wegzubekommen http://www.mwti.net/antivirus/free_utilities.asp #Mache einen Onlinescann http://uk.trendmicro-europe.com/enterprise/products/housecall_launch.php neustarten und gehe in den abgesicherten Modus...F8 beim Hochfahren druecken #Deinstaliere den Internet Optimizer #gehe in die Registry Start\Ausfuehren\regedit HIer der Eintrag: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{53B95211-7D77-11D2-9F81-00104B107C96} loesche rechts den Wert, wenn er da ist. HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\Temp\sp.html HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\Temp\sp.html HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\Temp\sp.html HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ie/defaults/su/ymsgr/*http://www.yahoo.com HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ Internet Optimizer updmgr [updater] [IST Service] [CMESys] schliesse die Registry #Loesche C:\Program Files\Internet Optimizer\optimize.exe" C:\Programme\ISTsvc\istsvc.exe C:\Programme\Common files\updmgr\updmgr.exe C:\Programme\Common files\updater\wupdater.exe C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe" 2 .Dann suche eine C:\WINDOWS\system32\msxword.dll und, wenn sie da ist loesche sie. 3. Geh mal zu C:\WINDOWS\SYSTEM32\DRIVERS\ETC\Hosts mit dem Editor oeffen ..notepad Dort sollte nur 127.0.0.1 drinstehen . Alles andere loeschen normal neustarten #arbeite das durch http://www.rokop-security.de/main/article.php?sid=703 #erst alle Explorer Fenster schließen und loesche unter InternetOptionen die Temporäre Datein # erst alle Explorer Fenster schließen und anschließend ALLE Temporäre Datein in den Verzeichnisse: - C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp - C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files löschen, der Pfad kann bei einen anderem Username natürlich anders aussehen. #und stelle eine neue Startseite ein. #surfe mit dem Firefox ...ist hijackerfrei http://www.firebird-browser.de/ Dann poste das Log noch einmal. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 24.06.2004 um 13:21 Uhr von Sabina editiert.
|
|
|
|
|
|
|
24.06.2004, 18:11
...neu hier
Beiträge: 5 |
#43
great thx @ Sabina
ein kleines problemchen hab ich aba noch ^^ wenn ich beim IE unter Extras -> Internetoptionen -> als Startseite "leere Seite" festlege und ich danach den IE öffne zeigt er mir an "Die Seite kann nicht angezeigt werden" Weisst du vielleicht woran das liegt ? thx 3x3l$i0r |
|
|
|
|
|
|
25.06.2004, 10:03
Ehrenmitglied
Beiträge: 29434 |
#44
3x3lSi0r
Vielleicht habe ich nicht richtig verstanden...aber wenn du eine leere Seite einstellst...wird sie auch leer sein. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
25.06.2004, 13:50
...neu hier
Beiträge: 5 |
#45
ja sie sollte auch leer sein, aba ich habe auch eine leere seite eingestellt gehabt als ich das "smart search" problem hatte. nun erscheint halt keine smart search seite sondern eben diese fehlermeldung und das obwohl ich leere seite eingestellt hab.
schaut dann so aus ^^  Dieser Beitrag wurde am 25.06.2004 um 14:04 Uhr von 3x3lSi0r editiert.
|
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
ich habe diese schritte ausgeführt:
Fixe mit dem HijackThis
O1 - Hosts: 213.159.117.235 auto.search.msn.com
O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://c:\MAIN.MHT!http://213.159.117.237:4000/buka.chm::/x.exe
neustarten
gehe in die Registry
Start\Ausfuehren\regedit
HIer der Eintrag:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{53B95211-7D77-11D2-9F81-00104B107C96}
loesche rechts den Wert, wenn er da ist.
2 .Dann suche eine C:\WINNT\system32\msxword.dll und, wenn sie da ist loesche sie.
3. Geh mal zu C:\WINDOWS\SYSTEM32\DRIVERS\ETC\Hosts
mit dem Editor oeffen ..notepad
Dort sollte nur 127.0.0.1 drinstehen .
Alles andere loeschen
Jetzt ist diese Startseite endlich weg! Vielen Dank!
Woher weißt du, wie du diesen IE-Hack wegbekommst? Ist das dein Beruf oder nur dein Hobby? Ich würde gerne mehr darüber erfahren wie man so etwas bewerkstelligt.
ich lass mal meine icqnummer da, kannst mich ja anschreiben: 140900829
Anbei noch der Scan vom hijackthis:
Logfile of HijackThis v1.97.7
Scan saved at 14:02:39, on 22.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\ScsiAccess.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\msagent\AgentSvr.exe
C:\Dokumente und Einstellungen\Karl-August\Desktop\anti-IE-hijacking\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
O1 - Hosts: 213.159.117.235 auto.search.msn.com
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: eBay Toolbar - {46AE04C0-BCFA-4728-90E7-00EB4A8B3863} - C:\WINDOWS\Downloaded Program Files\eBayBand.dll
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: eBay Toolbar (HKLM)
O9 - Extra 'Tools' menuitem: eBay Toolbar (HKLM)
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {001F2570-5DF5-11D3-B991-00A0C9BB0874} (eBay Helper Object) - http://download.ebay.com/toolbar/de/eBayTBar.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38158.3175462963
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6EA25001-BCF6-4EFD-82B6-F7D3FCC3BCE2}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{749793EB-C508-4217-AA6A-7BA32677C9BC}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{6EA25001-BCF6-4EFD-82B6-F7D3FCC3BCE2}: NameServer = 192.168.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{6EA25001-BCF6-4EFD-82B6-F7D3FCC3BCE2}: NameServer = 192.168.0.1
O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F81-00104B107C96}