Automatischer Eintrag im Favoriten Ordner

#1 Hallo
habe seit einiger Zeit einige Ordner in meinen Favoriten ( bei allen Benutzerkonten ) die ich nicht selbst hinzugefügt habe und immer wieder zurückkommen.
z.B. -Autos- , -Business-Directory_ , -Entertainment- , -Shopping- usw und alle verlinken auf engl. Seiten ( http://search.scourweb.net/nph-search.cgi?... )
Löschen in allen möglichen Variationen bringt nichts, nach erneuten Internetkontakt sind sie wieder da.
Benutze das Betriebssystem Win XP
Antivir Guard mit aktuellem Update
ZoneAlarm mit aktuellem Update

Wer kann mir bitte helfen, diese Dinger wieder los zu werdenlos. Schaden haben sie, soweit ich feststellen konnte bisher nicht angerichtet, sind aber sehr lästig.
Bitte nicht zu viel Fachchinesisch, da ich kein Computerspezialist bin, aber lernfähig.
Schon mal vielen Dank an die Helfer und viele Grüße von der verschneiten Ostalp
öhler

#2 Hat sich deine Startseite geändert? Wenn ja, ändern!
Wie hast du ZoneAlarm konfiguriert?

Gruß Spike
__________
Wenn wir bedenken, dass wir alle verrückt sind, ist das Leben erklärt.
(Mark Twain)

#3 Hi Spike20,
danke für Deine schnelle Antwort.
Meine Startseite hat sich nicht geändert.
Die ZoneAlarmkofig.:
Firewall
Sicherheit für Internetzone -Hoch
Sicherheit für sichere Zone -Mittel

Prorammeinstellungen -Mittel

Automatische Sperre -Aus

Angezeigte Warnmeldungsereignisse -Ein

Basic MailSafe -Ein
Aktuelle Version 4.5.538.001

Seit der Instalation ( 26.02.04 nach 15 Tagen Test der Pro Version ) wurden 36 Eindringversuche registriert
davon 0 Erster Rang
Firewall hat 2 Angriffsversuche verhindert
37 Programme sind gesichert
0 verdächtige E-Mail-Anhänge in Quarant.

Die Favoritenordner sind wahrscheinlich schon vorher reingekommen.
Habe einige Zeit selbst nicht an PC und im Netz gearbeitet deshalb kann ich es nicht genau sagen.
Hatte Anfang Januar mehrere Warnungen von AntiVir wegen Dialer und Trojaner.

Hoffe Du kannst damit was anfangen.

Gruß Öhler

#4 Das sieht nach CWS aus

Probiere mal das hier aus.
http://board.protecus.de/t9373.htm
besonders den Teil mit "CWShredder"

Dann bist du zumindest sicher, das keine HiJacker oder trojaner mehr in deinem WIndows sind.

Poste dann das HiJackThis Logfile hier.

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#5 Moin.

Mache alles der reihenfolge nach was hier

www.browser-hijacking.de.vu

beschrieben ist.

Gruss BC

#6 Hallo Paff,
habe Deine Tipps befolgt, hier nun das HiJackThis Logfile.
Logfile of HijackThis v1.97.7
Scan saved at 20:16:27, on 05.03.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Visioneer OneTouch\OneTouchMon.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\ScanSoft\PAPERP~1\PPWebCap.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\hijackthis1977\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.scourweb.net/nph-search.cgi?partner=wesb1&look=sbar1_srchbtn
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.scourweb.net/nph-search.cgi?partner=wesrch1&look=stmpl1&kw=
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://office.freenet.de/dienste/emailoffice/index.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.scourweb.net/nph-search.cgi?partner=wesrch1&look=stmpl1&kw=
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.scourweb.net/nph-search.cgi?partner=wesb1&look=sbar1_srchbtn
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.scourweb.net/nph-search.cgi?partner=wesrch1&look=stmpl1&kw=
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.scourweb.net/nph-search.cgi?partner=wesrch1&look=stmpl1&kw=
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.scourweb.net/nph-search.cgi?partner=wesrch1&look=stmpl1&kw=
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.scourweb.net/nph-search.cgi?partner=wesrch1&look=stmpl1&kw=
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [OneTouch Monitor] C:\Programme\Visioneer OneTouch\OneTouchMon.exe
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C64 Series" /O5 "LPT1:" /M "Stylus C64"
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [PPWebCap] C:\PROGRA~1\ScanSoft\PAPERP~1\PPWebCap.exe
O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Bild in &Microsoft PhotoDraw öffnen - res://C:\PROGRA~1\MICROS~4\Office\1031\phdintl.dll/phdContext.htm
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {486E48B5-ABF2-42BB-A327-2679DF3FB822} - http://akamai.downloadv3.com/binaries/IA/ia_XP.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37879.0026736111
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Hoffe Du kannst was mit anfangen.

AdWare und Spyboot haben zwar viele Dateien gefunden und entfernt, aber die Favotitenordner sind immer noch da.

Werde diese Dinger jetzt nochmals löschen, dann Schau mer mal.

Gruß und herzlichen Dank

Öhler

Hallo Paff, hallo Braincaos,

Eure Tipps waren super, haben beide auf den gleichen weg gewiesen, hat super geklappt, auch wenn ich etwas Bauchweh hatte dabei, da die Programme auf englisch sind, und meine Englischkenntnisse etwas spärlich sind.

Nachdem ich die Favoritenordner in allen Benutzerkonnten gelöscht hatte, und den Rechner ganz ausgeschaltet hatte, sind sie nach em wiederhochfahren nicht wiedergekommen.
Super Super Super herzlichen Dank an Euch Beide.
Waren super Tipps.

Viele Grüße
Öhler

#7 Ich hatte mal den Spooner auf meinem Rechner.

Unter http://www.trojanerinfo.de gab's hierzu aber gute Anleitungen (unter anderem auch HiJackThis), wie man diesen loswird.
Letztendlich war diesem Trojaner recht einfach beizukommen, da er nichts tat, um seine Existenz zu verbergen. Er war sogar beim Durchzappen durch die Anwendungen mit ALT+TAB als eigenständige Anwendung zu sehen, seine Dateien lagen offen im Systemordner Windows etc...
Prozess abgeschossen
Dateien und Registryeinträge (nach der Anleitung, gefunden hätt' ich die REG-Keys nie!) gelöscht
SYSTEMWIEDERHERSTELLUNG DEAKTIVIERT (hatte ich erst vergessen und wunderte mich, wieso er schon wieder da ist...)
Runtergefahren
hochgefahren
Systemwiederherstellung reaktiviert

Dumm gelaufen ist leider, dass einem dadurch sämtliche bisherigen Systemwiederherstellungspunkte (zumindest laut Aussage von Windows) verlorengehen. Naja, noch nie benötigt...also ex und hopp