Home » Spyware & Browser Hijacker Support Forum » "search for..." als startseite - wie entfernen? » Themenansicht
"search for..." als startseite - wie entfernen?Thema ist geschlossen! |
||
|---|---|---|
Thema ist geschlossen! |
||
| #0
| ||
|
22.04.2004, 14:49
Moderator
Beiträge: 7805 |
||
 
|
|
|
|
22.04.2004, 15:46
Member
 Beiträge: 1122 |
||
|
|
|
|
|
22.04.2004, 15:49
Moderator
Beiträge: 7805 |
#63
Ein wenig versteckt, aber Norton ist da: C:\Programme\Norton AntiVirus\navapsvc.exe
__________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
22.04.2004, 16:08
Member
Beiträge: 1122 |
#64
Zitat Hallo Raman,Ich seh da nix. MFG DAFRA Dieser Beitrag wurde am 22.04.2004 um 16:19 Uhr von raman editiert.
|
|
|
|
|
|
|
22.04.2004, 16:22
Moderator
Beiträge: 7805 |
#65
Nav ist ueber "Dienste" aktiviert.
--- Process File: navapsvc or navapsvc.exe Process Name: Norton AntiVirus Auto-Protect Service Description: Background application for Norton AntiVirus that provides auto-protection features to the system. It runs on Windows NT/2000/XP. Company: Symantec Corporation --- Process File: ccevtmgr or ccevtmgr.exe Process Name: Symantec Event Manager Service Description: Program associated with Norton AntiVirus 2003/4. The program is responsible for keeping track of all events that occur within the previously-mentioned products and then writing the details of those events to the Activity Log. Company: Symantec Corporation --- __________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
22.04.2004, 16:50
Member
Beiträge: 1122 |
||
|
|
|
|
|
22.04.2004, 16:51
...neu hier
Beiträge: 6 |
#67
Hallo raman,
habe alles rausbekommen, außer: den O6-Eintrag - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel, der kommt immer wieder!!! Kann ich den Eintrag auch manuell in der Reg-Edit löschen und ist der dann auch weg? Muss ich den ganzen Pfad löschen oder nur den Ordner "Control Panel"??? Bin auf eure Hilfe angewiesen!!! Danke, danke Gruß pewi |
|
|
|
|
|
|
22.04.2004, 16:58
Moderator
Beiträge: 7805 |
#68
Hm, starte nochmal neu und poste ein neues log. Aber im grossen und ganzen rate ich dir doch lieber, den Browser zu wechseln. Mit dem IE wirst du immer mit solchen Problemen rechnen muessen.
 __________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
22.04.2004, 17:16
Member
Beiträge: 1095 |
#69
Vom "Hersteller" von HiJAckThis
Zitat *Note: Spybot S&D, Start Page Guard, Settings Sentry, and similar programs may provide options to lock settings against unauthorized changes. If you have these options enabled, HijackThis will detect that as a restrictions hijack. Disable those options before scanning with HijackThis.Ich glaube das immunisieren von Spybot trägt diese "O6".er ein. Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
|
|
|
|
22.04.2004, 17:31
Moderator
Beiträge: 7805 |
#70
Traegt SpyIch weiss zwar, das Spybot das macht, aber das es diesen Eintrag auch immer neu einsetzt, wusste ich nicht.
__________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
23.04.2004, 12:22
...neu hier
Beiträge: 6 |
#71
Hallo Raman,
habe gestern nach deinen Tips alles soweit hinbekommen. Heute nach dem Start war alles noch in Ordnung. Bis jetzt: nun habe ich neues Problem mit einer neuen dll-Datei. Was muss ich löschen? Habe ich gestern etwas vergessen? Bitte helft mir! Gruß pewi Hier mein logfile: Logfile of HijackThis v1.97.7 Scan saved at 12:19:07, on 23.04.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINNT\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINNT\System32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Dokumente und Einstellungen\Administrator.WOHNZIMMER\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\fepelba.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\fepelba.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\fepelba.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\fepelba.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\fepelba.dll/sp.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\fepelba.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {95F5A1BD-622E-45DB-A66A-02DEDF32FBDC} - C:\WINNT\system32\fepelba.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O9 - Extra button: Mobilen Favoriten erstellen (HKLM) O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... (HKLM) O9 - Extra button: Recherchieren (HKLM) O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040105/qtinstall.info.apple.com/mickey/de/win/QuickTimeInstaller.exe O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37919.357337963 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab |
|
|
|
|
|
|
23.04.2004, 12:55
...neu hier
Themenstarter Beiträge: 6 |
#72
hallo!
noch ein kleiner Tip: es gibt ein neues update für cwshredder, welches das Problem behebt. anschließend einfach nochmal mit adaware drüber, dann sollte es eigentlich nicht mehr auftauchen. gruß mortal |
|
|
|
|
|
|
28.04.2004, 00:45
...neu hier
Beiträge: 1 |
#73
Hi,
Auch ich habe diese Startseite search for... und bekomm das Ding nicht weg, habe alle Tipps hier durchgeführt, 1.Mit HijackThis (vers 1.97.7) das File aufgespürt (zb.bgem.dll jedesmal anders) --> File im \system32 Ordner Umbenennen 2. Alle Einträge in der Registry die auf das File hinweisen gelöscht. 3. CWSchredder (vers. 1.57.0) drüberlaufen lassen (dabei IExplorer deaktiviert) --> findet CWS.SearchX und entfernt es. 4. Adaware (neueste Version) drüberlaufen lassen . findet (Auszug aus der log Datei  ----------------------------------------------------------------------- CoolWebSearch Object recognized! Type : RegValue Data : Rootkey : HKEY_CURRENT_USER Object : Software\Microsoft\Internet Explorer\Toolbar\WebBrowser Value : ITBarLayout ---------------------------------------------------------------------- 5. Nach Neustart die Umbenannte Datei im \system32 Ordner gelöscht. 6. Windows (XP) auf neuesten Stand gebracht. 7. Im Internetexplorer unter Optionen die Startseite umgestellt und alle ActiveX Steuerelemente deaktiviert 8. HijackThis und CWSchredder erneut drüberlaufen --> findet nichts Die Seite ist nun auch für einen Tag als Startseite entfernt, erscheint aber regelmässig nach spätestens einem Tag erneut. Nun sind die entfernte Datei und die Einträge in der Registry auch wieder da und werden von HijackThis erkannt, allso wieder alles von vorn. Hab ich also nicht alle Dateien des Hijackers entfernt? Wie kann er sich erneut aktivieren ohne Einträge in der Autorun Gruppe der Registry? Bin echt verzweifelt, und möchte das Ding gern loswerden, weiß hier jemand noch weiter? PS: Hier die Ausgegebenen Registry Einträge von HijackThis nach der Entfernung der "Verdächtigen" Einträge (vielleicht fällt euch ja noch was auf) ----------------------------------------------------------------------------------------------- Logfile of HijackThis v1.97.7 Scan saved at 00:36:55, on 28.04.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Ahead\InCD\InCDsrv.exe C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\CTsvcCDA.EXE C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\ASUS\Probe\AsusProb.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Norton AntiVirus\SAVScan.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Hijack\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\SBAudigy\Program\CTEaxSpl.EXE /run O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE O4 - HKLM\..\Run: [ASUS Probe] C:\Programme\ASUS\Probe\AsusProb.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/SU/ocx/12119/CTSUEng.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38084.0108449074 O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/SU/ocx/12119/CTPID.cab ----------------------------------------------------------------------------------------------- Danke schonmal für jede Hilfe mfg Thorsten |
|
|
|
|
|
|
28.04.2004, 08:33
Member
Beiträge: 1095 |
#74
Hi thorsten588
Probier dies mal Öffne die Registry aber mit regedt32 WICHTIG!!!!!! nicht mit "regedit" Suche bitte nach HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows AppInit_Dlls Dann Wert "AppInit_Dlls" markieren Ist wahrscheinlich leer Dann Menu "Ansicht"/"Binäre Daten anzeigen" Wenn dann sowas Drin steht , haben wirs Zitat: 0000 00 00 3A 00 5C 00 77 00 ..:.\.w. 0008 69 00 6E 00 64 00 6F 00 i.n.d.o. 0010 77 00 73 00 5C 00 73 00 w.s.\.s. 0018 79 00 73 00 74 00 65 00 y.s.t.e. 0020 6D 00 33 00 32 00 5C 00 m.3.2.\. 0028 6D 00 73 00 6B 00 6B 00 m.s.k.k. 0030 67 00 2E 00 64 00 6C 00 g...d.l. 0038 6C 00 00 00 l... Vielleicht auch mal die RegistryEinträge aus diesem Thread checken http://www.rokop-security.de/board/index.php?act=ST&f=4&t=2968&st=0#entry31498 Bzw. Das Original http://computercops.biz/postx29967-0-15.html Hier ist auch die Lösung zum Entfernen des Problems Post von steamwiz Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
|
|
|
|
29.04.2004, 12:11
Ehrenmitglied
 Beiträge: 29434 |
#75
PEWI
Besser , man eroeffnet eine eigenes Problem...sonst wird man "vergessen" Zuerst laedst du folgende Programme. ClearProg http://www.clearprog.de/ Lade den CWShredder (von dieser Site laden ) http://board.protecus.de/t9373.htm Lade Search&Destroy ...updaten. http://www.snapfiles.com/get/spybot.html Lade AdAware....updaten. http://download.com.com/3000-8022-10214379.html?tag=lst-3-8 Lade Antiviren-Tool: http://www.soft411.com/company/MicroWorld-Technologies-Inc/MicroWorld-Anti-Virus-Toolkit.htm Beim letzten Download akzeptiere <save to disc< und suche dann die mwav.exe ...entpacken... ---------------------------------------------------------------------------------------------- Fixe mit dem HijackThis: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\fepelba.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\fepelba.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\fepelba.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\fepelba.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\fepelba.dll/sp.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\fepelba.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank ------------------------------------------------------------------------------ Nach dem Fixen ....booten. Dann mit AdAware(vorher aktualisieren), CWShredder und die anderen Tools den Comp. scannen...wenn die Malware so nicht weggeht im abgesicherten Modus wenn die fepelba.dll so nicht verschwindet, musst du sie manuell auf dem System finden und loeschen. Dann mit dem ClearProg den Browser reinigen und die Startseite unter InternetOptionen neu einstellen. Zusatz: O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\SBAudigy\Program\CTEaxSpl.EXE /run pop-up logo mit sound. kommt bei jedem windows-start und wird bei einer soundblaster audigy soundkarte installiert. nervtötend und nutzlos. du kannst es also abschalten....... klick einfach auf START | AUSFÜHREN, dann MSCONFIG eintippen und auf OK. dann die registerkarte SYSTEMSTART aufrufen und die zeile CTStartUp deaktivieren (da sollte die datei hinter stehen *g*). ------------------------------------------------------------------------------ MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 29.04.2004 um 12:19 Uhr von Sabina editiert.
|
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
__________
MfG Ralf
SEO-Spam Hunter