aifind Startseiten Hijacker mal anders

#1 Bei mir lautet die Startseite "about:blank | Microsoft Search The Web" die den Inhalt von aifind.info hat. Alle versuchen den Hijacker zu beseitigen sind leider fehlgeschlagen. Weder finde ich Datein wie hh.htt oder ähnliches. Auch HijackThis, CW Schredder und Spybot waren nicht erfolgreich. Sehe ich mir die Startup Liste an fällt mir eigentlich auch nichts komisches auf. Aber ich poste die hier mal in der Hoffnung das ein Profi mir irgendwie helfen kann.

Zitat

StartupList report, 29.02.2004, 11:07:00
StartupList version: 1.52
Started from : D:\STARTUPLIST.EXE
Detected: Windows ME (Win9x 4.90.3000)
Detected: Internet Explorer v6.00 (6.00.2600.0000)
* Using default options
==================================================

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\EPSON\EBAPI\SAGENT95.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\EPSON\EBAPI\EBRR.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
D:\0190 WARNER\WARN0190.EXE
D:\VIRUS\AVGCTRL.EXE
D:\SMART ONLINECONTROLLER\SOC.EXE
C:\PROGRAMME\FRITZ!\IWATCH.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\OUTLOOK EXPRESS\MSIMN.EXE
D:\STARTUPLIST.EXE

--------------------------------------------------

Listing of startup folders:

Shell folders Startup:
[C:\WINDOWS\Startmenü\Programme\Autostart]
EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\SYSTEM\E_SRCV02.EXE
ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

ScanRegistry = C:\WINDOWS\scanregw.exe /autorun
TaskMonitor = C:\WINDOWS\taskmon.exe
LoadPowerProfile = Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
Tweak UI = RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
0190 Warner = D:\0190WA~1\WARN0190.EXE
AVGCtrl = D:\VIRUS\AVGCTRL.EXE /min
MSConfigReminder = C:\WINDOWS\SYSTEM\msconfig.exe /reminder

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

SAgent95ExePath = C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent95.exe

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Smart OnlineController = "D:\SMART ONLINECONTROLLER\SOC.EXE" "/minimized"

--------------------------------------------------

C:\WINDOWS\WININIT.BAK listing:
(Created 28/2/2004, 19:14:48)

[Rename]
NUL=c:\windows\cookies\a@adserver.71i[1].txt

--------------------------------------------------

C:\AUTOEXEC.BAT listing:

SET PATH=C:\WINDOWS;C:\WINDOWS\COMMAND;C:\PROGRA~1\SYBASE\SQLANY~1\WIN32
SET PROMPT=$p$g
SET TEMP=C:\WINDOWS\TEMP
SET TMP=C:\WINDOWS\TEMP
SET BLASTER=A220 I5 D1 H5 P330 T6
SET CTSYN=C:\WINDOWS
C:\PROGRA~1\CREATIVE\SBLIVE\DOSDRV\SBEINIT.COM
SET windir=C:\WINDOWS
SET winbootdir=C:\WINDOWS
SET COMSPEC=C:\WINDOWS\COMMAND.COM

--------------------------------------------------


Enumerating Browser Helper Objects:

(no name) - E:\ACROBAT\READER\ACTIVEX\ACROIEHELPER.OCX - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
(no name) - c:\programme\google\googletoolbar2.dll - {AA58ED58-01DD-4d91-8333-CF10577473F7}
(no name) - D:\SPYBOT~1\SDHELPER.DLL - {53707962-6F74-2D53-2644-206D7942484F}

--------------------------------------------------

Enumerating Task Scheduler jobs:

Programmstart beschleunigen.job
PCHealth-Planer für die Zusammenstellung der Daten.job

--------------------------------------------------

Enumerating Download Program Files:

[Shockwave Flash Object]
InProcServer32 = C:\WINDOWS\SYSTEM\MACROMED\FLASH\FLASH.OCX
CODEBASE = download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

[{33564D57-0000-0010-8000-00AA00389B71}]
CODEBASE = download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB

[Shockwave ActiveX Control]
InProcServer32 = C:\WINDOWS\SYSTEM\MACROMED\DIRECTOR\SWDIR.DLL
CODEBASE = download.macromedia.com/pub/shockwave/cabs/director/swdir.cab

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

AUHook: C:\WINDOWS\SYSTEM\AUHOOK.DLL
WebCheck: C:\WINDOWS\SYSTEM\WEBCHECK.DLL

Evtl. kann jemand helfen. Vielen Dank

#2 Benenne diese Datei mal um C:\WINDOWS\SYSTEM\AUHOOK.DLL und siehe nach einem Neustart, ob der CWS dann weg ist.


www.windowsupdate.com ist auch fuer WinME nutzer auch wichti!
__________
MfG Ralf
SEO-Spam Hunter

#3 Ersteinmal danke für den Tipp aber leider hat es nichts gebracht [/img]

#4 Poste mal das Hijackthis log und nicht die Statuplist
__________
MfG Ralf
SEO-Spam Hunter

#5 Nach allen vorhandenen Windos Me Updates die ich finden konnte bleibt jetzt die Startseite so wie ich sie gerne hätte. Das flaue Gefühl bleibt aber da das eigentliche schädliche Programm ja noch vorhanden sein muss. Deshalb poste ich mal trotzdem die Hijackthis Logdatei:

Logfile of HijackThis v1.97.7
Scan saved at 17:38:55, on 29.02.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\EPSON\EBAPI\SAGENT95.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\EPSON\EBAPI\EBRR.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
D:\0190 WARNER\WARN0190.EXE
D:\VIRUS\AVGCTRL.EXE
D:\SMART ONLINECONTROLLER\SOC.EXE
C:\PROGRAMME\FRITZ!\IWATCH.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
D:\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Lycos Europe
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.de
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy20.safersurf.com:8001
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\ACROBAT\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [0190 Warner] D:\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [AVGCtrl] D:\VIRUS\AVGCTRL.EXE /min
O4 - HKLM\..\RunServices: [SAgent95ExePath] C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent95.exe
O4 - HKCU\..\Run: [Smart OnlineController] "D:\SMART ONLINECONTROLLER\SOC.EXE" "/minimized"
O4 - Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\SYSTEM\E_SRCV02.EXE
O4 - Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmsearch.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmsimilar.html
O8 - Extra context menu item: Backward &Links - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmbacklinks.html
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/swdir.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?38046.1769560185
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.120.252,192.168.120.253

#6 Also die C:\WINDOWS\SYSTEM\AUHOOK.DLL ist ein Teil von CWS. Hast du dir die neuste Version von CWshredder(1.51?) genommen? Im Zweifelsfalle auch mal Spybot darauf ansetzen.

Koenntest du die Datei C:\WINDOWS\SYSTEM\AUHOOK.DLL an die Adresse aus meinem Profil, oder an virus@protecus.de schicken?
__________
MfG Ralf
SEO-Spam Hunter

#7 Ja ich schicke dir das an deine Adresse im Profil.
CWS 1.51 ist meine Version. Spybot 1.2.
Kein Programm findet etwas

#8 Da habe ich mich wohl zu frueh gefreut. Die Datei scheint sauber zu sein.

Du kannst es ja mal mit dder Datei MWAV.EXE versuchen. Zu bekommen ist sie hier:
ftp://ftp.microworldsystems.com/download/tools
Sie beinhaltet die KAV Engine mit erweiterten Signaturen. Diese Version repariert oder loescht infizierte Dateien ohne Rueckfrage!
__________
MfG Ralf
SEO-Spam Hunter