Advt. -Troj.-2 Desktop SBs + Startseite unveränderbar, umgeleitet...

#0
19.01.2004, 16:29
...neu hier

Beiträge: 10
#1 Ja, hy,

ich war so auf einigen Spielewebsites und plötzlich hatte ich so eine *.biz website in der Startsite. Das habe ich mit Hijackthis und Neuinstallationen eleminiert und bestimmt über 40 Werbewebsites, die da in HT standen, aber die man sonst irgendwie nicht gesehen hat, vernichtet. Die beiden Symbole erscheinen auch nicht mehr.

+++edit - ich nehms zurück - eben hat sich die Startseite wieder auf: http://webforhumans.com/ umgeleitet. - jetzt weiß ich echt nicht mehr - was ich da noch machen soll ... Und die 2 Symbole sind auch wieda da ...+++

Nach den Neuinstallationen startet der IE 6.0 SP1 + Update wieder mit google.de.

Allerdings steht doch immer wieder "Google.de als Startseite festlegen".

Wenn ich in extras, Internet Options gehe, kann ich unter "Startseite" keine Angaben mehr machen ... Die Funktions gibts nicht mehr. (Das heißt = die Felder sind noch da - man kann blos nicht mehr rauf klicken)

Mich störts aber, wenn das in google immer steht. Außerdem ist das mit google ja dann überhaupt nicht mehr veränderbar.Ich wäre dankbar, für Hilfe, wie ich das wieder verändern kann - dass ich wieda die Option habe.

+++edit2 mich stört allgemein dieser Advertesing Trojaner oder was auch immer das ist ...+++

Freundliche Grüße

DJN
Dieser Beitrag wurde am 19.01.2004 um 16:51 Uhr von DJN editiert.
Seitenanfang Seitenende
19.01.2004, 16:56
Moderator

Beiträge: 7805
#2 Poste bitte ein Hijackthis log: www.hjt.klaffke.de
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
19.01.2004, 17:03
...neu hier

Themenstarter

Beiträge: 10
#3 Das ist jetzt wieda mit den R0 - R1 Sachen, die schon ein paar Mal gelöscht habe ...

Logfile of HijackThis v1.97.7
Scan saved at 17:04:18, on 19.01.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\Smc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\0190 Warner\w0svc.exe
C:\WINDOWS\System32\alg.exe
D:\PROG2\IKARUS\GUARDNT\GUARDNT.EXE
D:\Prog2\symantec\anti virus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\HP\KBD\KBD.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\0190 Warner\Warn0190.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realevent.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Jacobi\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://about-blank.biz/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.2020search.com/search/9884/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://about-blank.biz/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://about-blank.biz/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://about-blank.biz/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.2020search.com/search/9884/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = http://about-blank.biz/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://about-blank.biz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.2020search.com/search/9884/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://about-blank.biz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://about-blank.biz/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.2020search.com/search/9884/search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://about-blank.biz/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://about-blank.biz/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://about-blank.biz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://about-blank.biz/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Popup Manager - {08E74C67-99A6-45C7-94DA-A397A8FD8082} - C:\Programme\Popup Manager\PopupMgr_1.0.1.5.dll
O2 - BHO: Microsoft Excel - {17DA0C9E-4A27-4ac5-BB75-5D24B8CDB972} - C:\DOKUME~1\MyName\ANWEND~1\MICROS~2\Office\Excel10.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Advanced Tools Check] D:\Prog2\symantec\ANTIVI~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [Guard NT] D:\PROG2\IKARUS\GUARDNT\GuardNT.exe /STARTDLG /CPYTOKEN
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: Tägliche Losungen.LNK = ?
O4 - Global Startup: DSLMON.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: Recherche-Assistent (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37967.4101273148
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0C4F1F17-5E70-4165-A1F0-2B995CA1230E}: NameServer = 217.5.100.1 194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{0C4F1F17-5E70-4165-A1F0-2B995CA1230E}: NameServer = 217.5.100.1 194.25.2.129

ok, das ist das Log hier ...
Seitenanfang Seitenende
19.01.2004, 17:37
Member

Beiträge: 1095
#4 Also alle Einträge mit "2020search" würde ich von "HijackThis" fixen lassen
Link dazu
http://www.pestpatrol.com/pestinfo%5Cother%5C2020search.asp

Die Einträge für "about-blank.biz" ebenso fixen lassen
Suche bei Google ergibt Link zu OnlineCasino
Also raus damit

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
Kannst du wahrscheinlich auch löschen. Überprüfe das bitte noch mit der Suchfunktion in diesem Forum
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Dieser Beitrag wurde am 19.01.2004 um 17:38 Uhr von paff editiert.
Seitenanfang Seitenende
19.01.2004, 17:47
...neu hier

Themenstarter

Beiträge: 10
#5 joa - und wenn ich das mache - selbst wenn ichs aus der regedit entferne - sind diese nach ein paar min wieder drin geschrieben ...

DJN
Seitenanfang Seitenende
19.01.2004, 17:52
Moderator

Beiträge: 7805
#6 Dein Problem heisst coolwebsearch: http://www.merijn.org/cwschronicles.html :

O2 - BHO: Microsoft Excel - {17DA0C9E-4A27-4ac5-BB75-5D24B8CDB972} - C:\DOKUME~1\MyName\ANWEND~1\MICROS~2\Office\Excel10.dll
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
19.01.2004, 17:55
Member

Beiträge: 1095
#7 @ DJN
Spybotsd(security.kolla.de) und Adaware(www.lavasoft.de) herunterladen, installieren, updaten, ausfuehren, reinigen lassen, neu starten und ein neues log posten

@raman
hab den Satz von dir geklaut.
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
19.01.2004, 18:11
...neu hier

Themenstarter

Beiträge: 10
#8 ha, das Adaware habe ich schon gehabt ... trotzdem danke, für deine Hilfe ...

@raman, Hallejulia. Amen. - es hat geklappt, danke ...

mein Pc ist jetzt websearch frei und ich kann die Startseite auch wieder ändern, wenn ich will ... danke ... ;)

DJN
Dieser Beitrag wurde am 19.01.2004 um 18:11 Uhr von DJN editiert.
Seitenanfang Seitenende
19.01.2004, 18:16
Moderator

Beiträge: 7805
#9 Denke daran, dein Windows upzudaten(www.windowsupdate.com) denn sonst kommt CWS wieder!
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
19.01.2004, 20:55
Member

Beiträge: 1095
#10 @raman

Ad-Aware sollte den CWS doch eigentlich beseitigen oder?
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
19.01.2004, 21:57
Moderator

Beiträge: 7805
#11 CWshredder ist auf jedenfall schneller als Adaware bei neueren Varianten und auch bei aelteren Varianten ist es genauer.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
30.01.2004, 18:27
...neu hier

Beiträge: 4
#12 Moin, ;)
Oben genannten Programme bringen KEINE dauerhafte Lösung. Leider.
Da hier seit paar Tagen Ruhe ist, habt ihr wohl die Lösung gefunden.
Ich leider nicht, außer Java zu deinstallieren. Ich benötige aber Java, für diverse Geschichten. Installiere ich dieses nach paar Tagen wieder, kommt alles wieder.
Was zum Teufel ist das für ein Mist. Kann da jemand inzwischen klar und deutlich sagen, was genau man wo und wie löschen, instalieren, deinstalieren oder sonstwas tun muß? :megaconfused:
Für jegliche Hilfe, auch aus anderen Quellen wäre ich sehr dankbar. Im Netz findet man (ich jedenfalls nicht) leider keine Lösung.

Häng ma auch ne Logfile von dieser Woche ran, habs gesäbert und Java deinstalliert. Dann gings, aber wie gesagt, mit Java....................

Logfile of HijackThis v1.97.7
Scan saved at 21:06:37, on 28.01.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Volumenzaehler\BoVolume.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\OUTPOS~1.0\outpost.exe
C:\WINDOWS\system32\usrbridg.exe
C:\Programme\WinAce\WinAce.exe
C:\Programme\Gemeinsame Dateien\Agnitum Shared\Aupdate\aupdrun.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\~AceTemp\hijackthis\HijackThis.exe
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = 192.168.2.1
O1 - Hosts: 69.56.223.196 t.rack.cc
O1 - Hosts: 69.56.223.196 www.alfa-search.com
O1 - Hosts: 69.56.223.196 webcoolsearch.com
O1 - Hosts: 69.56.223.196 in.webcounter.cc
O1 - Hosts: 69.56.223.196 i-lookup.com
O1 - Hosts: 69.56.223.196 www.hand-book.com
O1 - Hosts: 69.56.223.196 www.maxxxhosters.com
O1 - Hosts: 69.56.223.196 allneedsearch.com
O1 - Hosts: 69.56.223.196 nativehardcore.com
O1 - Hosts: 69.56.223.196 teen-biz.com
O1 - Hosts: 69.56.223.196 tits.hardcore4ever.net
O1 - Hosts: 69.56.223.196 best.royalsearch.net
O1 - Hosts: 69.56.223.196 default-homepage-network.com
O1 - Hosts: 69.56.223.196 xwebsearch.biz
O1 - Hosts: 69.56.223.196 www.rightfinder.net
O1 - Hosts: 69.56.223.196 www.search-1.net
O1 - Hosts: 69.56.223.196 www.searchv.com
O1 - Hosts: 69.56.223.196 www.websearch.com
O1 - Hosts: 69.56.223.196 mysearchnow.com
O1 - Hosts: 69.56.223.196 www.therealsearch.com
O1 - Hosts: 69.56.223.196 www.find-itnow.com
O1 - Hosts: 69.56.223.196 find.microgirls.com
O1 - Hosts: 69.56.223.196 super-spider.com
O1 - Hosts: 69.56.223.196 www.searching-the-net.com
O1 - Hosts: 69.56.223.196 www.firstbookmark.com
O1 - Hosts: 69.56.223.196 just.find-itnow.com
O1 - Hosts: 69.56.223.196 www.find-itnow.com
O1 - Hosts: 69.56.223.196 qwertysearch123.biz
O1 - Hosts: 69.56.223.196 www.search-space.com
O1 - Hosts: 69.56.223.196 www.windowws.cc
O1 - Hosts: 69.56.223.196 aifind.info
O1 - Hosts: 69.56.223.196 www.find4u.net
O1 - Hosts: 69.56.223.196 find4u.net
O1 - Hosts: 69.56.223.196 www.lookfor.cc
O1 - Hosts: 69.56.223.196 www.008i.com
O1 - Hosts: 69.56.223.196 www.viewpornkey.com
O1 - Hosts: 69.56.223.196 www.hugesearch.net
O1 - Hosts: 69.56.223.196 www.F***.com
O1 - Hosts: 69.56.223.196 www.seznam.cz
O1 - Hosts: 69.56.223.196 aifind.cc
O1 - Hosts: 69.56.223.196 www.onet.pl
O1 - Hosts: 69.56.223.196 teenhqpics.com
O1 - Hosts: 69.56.223.196 www.ttjj.com
O1 - Hosts: 69.56.223.196 www.search-dot.com
O1 - Hosts: 69.56.223.196 www.search-and-go.com
O1 - Hosts: 69.56.223.196 www.slotch.com
O1 - Hosts: 69.56.223.196 www.2fastsearch.net
O1 - Hosts: 69.56.223.196 awebfind.biz
O1 - Hosts: 69.56.223.196 www.power-search.info
O1 - Hosts: 69.56.223.196 www.naver.com
O1 - Hosts: 69.56.223.196 www.daum.net
O1 - Hosts: 69.56.223.196 www.ohcorea.com
O1 - Hosts: 69.56.223.196 www.hao123.com
O1 - Hosts: 69.56.223.196 58q.com
O1 - Hosts: 69.56.223.196 www.hotwebsearch.com
O1 - Hosts: 69.56.223.196 www.startium.com
O1 - Hosts: 69.56.223.196 www.gajai.com
O1 - Hosts: 69.56.223.196 www.wazzupnet.com
O1 - Hosts: 69.56.223.196 freshvideogals.com
O1 - Hosts: 69.56.223.196 www.xgmm.com
O1 - Hosts: 69.56.223.196 searchmyrequest.com
O1 - Hosts: 69.56.223.196 yourbookmarks.ws
O1 - Hosts: 69.56.223.196 wmmse.com
O1 - Hosts: 69.56.223.196 link.startmake.com
O1 - Hosts: 69.56.223.196 www.boredlife.com
O1 - Hosts: 69.56.223.196 approvedlinks.com
O1 - Hosts: 69.56.223.196 www.nkvd.us
O1 - Hosts: 69.56.223.196 www.8095.com
O1 - Hosts: 69.56.223.196 www.dreamwiz.com
O1 - Hosts: 69.56.223.196 ie-search.com
O1 - Hosts: 69.56.223.196 auto.ie.searchforge.com
O1 - Hosts: 69.56.223.196 search.psn.cn
O1 - Hosts: 69.56.223.196 www.couldnotfind.com
O1 - Hosts: 69.56.223.196 www.iquicksearch.com
O1 - Hosts: 69.56.223.196 1-se.com
O1 - Hosts: 69.56.223.196 www.spidersearch.com
O1 - Hosts: 69.56.223.196 search.ieplugin.com
O1 - Hosts: 69.56.223.196 itseasy.us
O1 - Hosts: 69.56.223.196 searchbar.findthewebsiteyouneed.com
O1 - Hosts: 69.56.223.196 www.searchxl.com
O1 - Hosts: 69.56.223.196 www.hotsearchbox.com
O1 - Hosts: 69.56.223.196 www.searchforge.com
O1 - Hosts: 69.56.223.196 www.omega-search.com
O1 - Hosts: 69.56.223.196 searchcentrix.com
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\OUTPOS~1.0\outpost.exe /waitservice
O4 - HKLM\..\Run: [TouchED] C:\Programme\TOSHIBA\TouchED\TouchED.Exe
O15 - Trusted Zone: *.offshoreclicks.com
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Seitenanfang Seitenende
30.01.2004, 19:38
Moderator

Beiträge: 7805
#13 Normalerweise ist CWshredder in der age Collwebsearch Hijacker zu entfernen. Das Problem ist, damit sie nicht wiederkommen muss man eine aktuellere Version von MS Java installieren, oder das "orginal" von Sun installieren.

Was aus deinem Log zu sehen ist, ist wenig!;) Du musst dort noch alle Sachen "fix"en, die mit O1 und O15 anfangen. Danach neu starten und dir eine aktuelle Version von CWShredder holen( 1.47.2?). Wenn das alles erledigt ist, poste bitte ein neues Log.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
30.01.2004, 20:40
...neu hier

Beiträge: 4
#14 Hi raman, ;)

ich hab hijackthis 1.97.7 und CWShredder 1.47.2 neuste AdAware und neuste Java von der Sun HP geladen. Auch alle Bill updates sind drauf. Nützt nix. Oder ich mach was falsch.

Las uns das bitte zu Ende bringen. Nicht unbedingt heute, aber die Tage. Das is die einzige Seite, auf der man wenigstens ein wenig erfährt. Riesen Lob mal auch an dich. ;)

Logfile of HijackThis v1.97.7
Scan saved at 21:01:52, on 30.01.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Volumenzaehler\BoVolume.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\mozilla.org\Mozilla\Mozilla.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\OUTPOS~1.0\outpost.exe
C:\WINDOWS\system32\usrbridg.exe
C:\Programme\Java\j2re1.4.2_03\bin\java.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O1 - Hosts: 69.56.223.196 t.rack.cc
O1 - Hosts: 69.56.223.196 www.alfa-search.com
O1 - Hosts: 69.56.223.196 webcoolsearch.com
O1 - Hosts: 69.56.223.196 in.webcounter.cc
O1 - Hosts: 69.56.223.196 i-lookup.com
O1 - Hosts: 69.56.223.196 www.hand-book.com
O1 - Hosts: 69.56.223.196 www.maxxxhosters.com
O1 - Hosts: 69.56.223.196 allneedsearch.com
O1 - Hosts: 69.56.223.196 nativehardcore.com
O1 - Hosts: 69.56.223.196 teen-biz.com
O1 - Hosts: 69.56.223.196 tits.hardcore4ever.net
O1 - Hosts: 69.56.223.196 best.royalsearch.net
O1 - Hosts: 69.56.223.196 default-homepage-network.com
O1 - Hosts: 69.56.223.196 xwebsearch.biz
O1 - Hosts: 69.56.223.196 www.rightfinder.net
O1 - Hosts: 69.56.223.196 www.search-1.net
O1 - Hosts: 69.56.223.196 www.searchv.com
O1 - Hosts: 69.56.223.196 www.websearch.com
O1 - Hosts: 69.56.223.196 mysearchnow.com
O1 - Hosts: 69.56.223.196 www.therealsearch.com
O1 - Hosts: 69.56.223.196 www.find-itnow.com
O1 - Hosts: 69.56.223.196 find.microgirls.com
O1 - Hosts: 69.56.223.196 super-spider.com
O1 - Hosts: 69.56.223.196 www.searching-the-net.com
O1 - Hosts: 69.56.223.196 www.firstbookmark.com
O1 - Hosts: 69.56.223.196 just.find-itnow.com
O1 - Hosts: 69.56.223.196 www.find-itnow.com
O1 - Hosts: 69.56.223.196 qwertysearch123.biz
O1 - Hosts: 69.56.223.196 www.search-space.com
O1 - Hosts: 69.56.223.196 www.windowws.cc
O1 - Hosts: 69.56.223.196 aifind.info
O1 - Hosts: 69.56.223.196 www.find4u.net
O1 - Hosts: 69.56.223.196 find4u.net
O1 - Hosts: 69.56.223.196 www.lookfor.cc
O1 - Hosts: 69.56.223.196 www.008i.com
O1 - Hosts: 69.56.223.196 www.viewpornkey.com
O1 - Hosts: 69.56.223.196 www.hugesearch.net
O1 - Hosts: 69.56.223.196 www.novafuck.com
O1 - Hosts: 69.56.223.196 www.seznam.cz
O1 - Hosts: 69.56.223.196 aifind.cc
O1 - Hosts: 69.56.223.196 www.onet.pl
O1 - Hosts: 69.56.223.196 teenhqpics.com
O1 - Hosts: 69.56.223.196 www.ttjj.com
O1 - Hosts: 69.56.223.196 www.search-dot.com
O1 - Hosts: 69.56.223.196 www.search-and-go.com
O1 - Hosts: 69.56.223.196 www.slotch.com
O1 - Hosts: 69.56.223.196 www.2fastsearch.net
O1 - Hosts: 69.56.223.196 awebfind.biz
O1 - Hosts: 69.56.223.196 www.power-search.info
O1 - Hosts: 69.56.223.196 www.naver.com
O1 - Hosts: 69.56.223.196 www.daum.net
O1 - Hosts: 69.56.223.196 www.ohcorea.com
O1 - Hosts: 69.56.223.196 www.hao123.com
O1 - Hosts: 69.56.223.196 58q.com
O1 - Hosts: 69.56.223.196 www.hotwebsearch.com
O1 - Hosts: 69.56.223.196 www.startium.com
O1 - Hosts: 69.56.223.196 www.gajai.com
O1 - Hosts: 69.56.223.196 www.wazzupnet.com
O1 - Hosts: 69.56.223.196 freshvideogals.com
O1 - Hosts: 69.56.223.196 www.xgmm.com
O1 - Hosts: 69.56.223.196 searchmyrequest.com
O1 - Hosts: 69.56.223.196 yourbookmarks.ws
O1 - Hosts: 69.56.223.196 wmmse.com
O1 - Hosts: 69.56.223.196 link.startmake.com
O1 - Hosts: 69.56.223.196 www.boredlife.com
O1 - Hosts: 69.56.223.196 approvedlinks.com
O1 - Hosts: 69.56.223.196 www.nkvd.us
O1 - Hosts: 69.56.223.196 www.8095.com
O1 - Hosts: 69.56.223.196 www.dreamwiz.com
O1 - Hosts: 69.56.223.196 ie-search.com
O1 - Hosts: 69.56.223.196 auto.ie.searchforge.com
O1 - Hosts: 69.56.223.196 search.psn.cn
O1 - Hosts: 69.56.223.196 www.couldnotfind.com
O1 - Hosts: 69.56.223.196 www.iquicksearch.com
O1 - Hosts: 69.56.223.196 1-se.com
O1 - Hosts: 69.56.223.196 www.spidersearch.com
O1 - Hosts: 69.56.223.196 search.ieplugin.com
O1 - Hosts: 69.56.223.196 itseasy.us
O1 - Hosts: 69.56.223.196 searchbar.findthewebsiteyouneed.com
O1 - Hosts: 69.56.223.196 www.searchxl.com
O1 - Hosts: 69.56.223.196 www.hotsearchbox.com
O1 - Hosts: 69.56.223.196 www.searchforge.com
O1 - Hosts: 69.56.223.196 www.omega-search.com
O1 - Hosts: 69.56.223.196 searchcentrix.com
O4 - HKLM\..\Run: [VolumeCounter] "C:\Programme\Volumenzaehler\BoVolume.exe"
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\OUTPOS~1.0\outpost.exe /waitservice
O4 - HKLM\..\Run: [TouchED] C:\Programme\TOSHIBA\TouchED\TouchED.Exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O15 - Trusted Zone: *.offshoreclicks.com
O16 - DPF: {3FE0A418-A61F-401B-8C4F-DEAA62C7CEEC} (Chartist25 Control) - http://www.technical-investor.de/wpa/tsb/2.6.1.5/components/tsbt-2-6-1-5.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{65B850B4-4B79-460F-8B2E-69814AF1C894}: NameServer = 217.5.115.77 194.25.2.129


Kleines Anhängsel von sun an dieser Stelle:
8. SOFTWARE AUS ANDEREN QUELLEN ALS SUN. Sie stimmen zu, dass die Software auf Grund Ihrer Verwendung der optionalen Features der Software und/oder durch Anfor-dern von Diensten, für die die optionalen Features der Software verwendet werden müssen, die Software u.U. automatisch Software-Anwendungen aus anderen Quellen als Sun („Soft-ware anderer") herunterladen, installieren und ausführen wird. Sun macht keinerlei Zusi-cherungen darüber, dass zu Lizenzgebern der Software anderer irgendwelche Beziehungen bestehen. SOWEIT NICHT RECHTLICH UNZULÄSSIG, SCHLIESSEN SUN ODER DEREN LIZENZGEBER, UNABHÄNGIG VON DER URSACHE UND DER HAFTUNGSTHEORIE, JEGLICHE HAFTUNG FÜR EINKOMMENS-, GEWINN- ODER DATENVERLUSTE ODER FÜR SONDER-, INDIREKTE, FOLGE- ODER NEBENSCHÄDEN UND STRAFSCHADENSERSATZANSPRÜCHE, DIE SICH AUS DER VERWENDUNG ODER IM ZUSAMMENHANG MIT DER VERWENDUNG ODER DEM UNVERMÖGEN DER VERWENDUNG DER SOFTWARE ERGEBEN, VÖLLIG AUS, SELBST WENN SUN VON EINER MÖGLICHKEIT DIESER SCHÄDEN UNTERRICHTET WURDE. In einigen Staaten ist der Ausschluss von Neben- oder Folge-schäden nicht gestattet. Aus diesem Grund treffen einige der oben dargelegten Bestimmun-gen und Bedingungen auf Sie u.U. nicht zu.


Ich häng ma noch die Log von AdAware und AntiVir ran. Es ist zum Mäuse melken. ;)


Lavasoft Ad-aware Personal Build 6.181
Logdatei erzeugt am :Samstag, 31. Januar 2004 22:37:48
Created with Ad-aware Personal, free for private use.
Benutze Referenzdatei :01R252 27.01.2004
______________________________________________________

Reffile status:
=========================
Referenzdatei geladen:
Reference Number : 01R252 27.01.2004
Internal build : 179
File location : C:\Programme\Lavasoft\Ad-aware 6\reflist.ref
Total size : 809568 Bytes
Signature data size : 794164 Bytes
Reference data size : 15340 Bytes
Signatures total : 18065
Target categories : 10
Target families : 415

Memory + processor status:
==========================
Number of processors : 1
Processor architecture : Intel Pentium IV
Memory available:41 %
Total physical memory:261488 kb
Available physical memory:104928 kb
Total page file size:1026800 kb
Available on page file:860808 kb
Total virtual memory:2097024 kb
Available virtual memory:2054596 kb
OS:

31.01.2004 22:37:48 - Scan started. (Custom mode)
....
Starte Prüfung der Registrierung
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

2020Search Objekt identifiziert!
Typ : Reg.Schlüssel
Daten :
Kategorie : Data Miner
Kommentar :
Rootkey : HKEY_CLASSES_ROOT
Objekt : searchword.excelexport.1


2020Search Objekt identifiziert!
Typ : Reg.Schlüssel
Daten :
Kategorie : Data Miner
Kommentar :
Rootkey : HKEY_CLASSES_ROOT
Objekt : searchword.excelexport


2020Search Objekt identifiziert!
Typ : Reg.Schlüssel
Daten :
Kategorie : Data Miner
Kommentar :
Rootkey : HKEY_CLASSES_ROOT
Objekt : CLSID\{17da0c9e-4a27-4ac5-bb75-5d24b8cdb972}


2020Search Objekt identifiziert!
Typ : Reg.Schlüssel
Daten :
Kategorie : Data Miner
Kommentar :
Rootkey : HKEY_CLASSES_ROOT
Objekt : TYPELIB\{fb19bc08-e664-462c-909b-3e9c3f4ff90e}


2020Search Objekt identifiziert!
Typ : Reg.Schlüssel
Daten :
Kategorie : Data Miner
Kommentar :
Rootkey : HKEY_LOCAL_MACHINE
Objekt : SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{17DA0C9E-4A27-4ac5-BB75-5D24B8CDB972}


Ergebnis der Registrierungsprüfung:
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Neue Objekte: 5
Objekte insgesamt bis jetzt identifiziert 5

Scanning Hosts file(C:\WINDOWS\System32\drivers\etc\hosts)
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

Hosts file scan result:
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
1 entries scanned.
Neue Objekte:0
Objekte insgesamt bis jetzt identifiziert 5

Performing conditional scans..
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

2020Search Objekt identifiziert!
Typ : Reg.Schlüssel
Daten :
Kategorie : Data Miner
Kommentar :
Rootkey : HKEY_CLASSES_ROOT
Objekt : Interface\{212552CF-D5B0-49F0-961D-95CA146CDE03}

Conditional scan result:
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Neue Objekte: 1
Objekte insgesamt bis jetzt identifiziert 6

Ertellungsdatum der Reportdatei: 31.01.2004 22:14

AntiVir®/XP (2000 + NT) Personal Edition v6.22.09.09 vom 28.11.2003
VDF-Datei v6.23.0.39 (0) vom 22.01.2004

Plattform: Windows NT Workstation
Windows-Version: 5.1 Build 2600 (Service Pack 1)

Start des Suchlaufs: 31.01.2004 22:14

Speichertest OK
Master-Bootsektor von Festplatte HD0 OK
Bootsektor von Laufwerk C: OK
Bootsektor von Laufwerk D: OK


C:\
pagefile.sys
Zugriff verweigert! Fehler beim Öffnen der Datei.
Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Nokia\9210\BACKUP\E93B0C57\System\Programs
JavaRun.exe
WARNUNG! Ungültige Startadresse!
C:\Programme\WinRAR
rarnew.dat
ArchiveType: RAR
HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)

C:\System Volume Information\_restore{0744408A-5E09-4845-BCD9-EDEB54B2FEAA}\RP79
A0017776.exe
Ist das Trojanische Pferd [b]Tr/Spooner.3


WURDE GELÖSCHT! ;) ;) Ma sehn, obs das war.
Dieser Beitrag wurde am 31.01.2004 um 23:33 Uhr von 0815 editiert.
Seitenanfang Seitenende
13.02.2004, 15:16
...neu hier

Beiträge: 1
#15 Hi @ all!

Wir haben kein Office drauf. Darum ist uns eine excel-Datei auf unserem Rechner aufgefallen! Im Ordner C:\Windows\Anwendungsdaten\Microsoft\Office\ gab es eine Datei mit dem Namen: excel10.dll

Diese Datei haben wir erst umbenannt und später gelöscht! Seit dem funzt die von uns eingestellte Startseite wieder. ;)

Viele Grüße
Sumpflord

PS: Mir ist noch eingefallen, daß man die Einträge in der registry die mit "biz" gekennzeichnet sind löschen sollte. Sonst könnte es sein, daß er sich irgendwie wieder reinschreibt.
Dieser Beitrag wurde am 13.02.2004 um 16:47 Uhr von sumpflord editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: