Probleme mit aifind.info

#1 Hallo zusammen!
Ich hab von all dem hier leider gar keine Ahnung und hab jetzt das Problem, dass sich nicht mehr die agegebene Startpage öffnet, sondern eben aifind.info und außerdem immer about:blank in den Eigenschaften des Internet Explorers erscheint. Ich weiß das zum Teil darüber schon geschrieben worden ist, allerdings konnte ich damit nichts anfangen...
Habe schon ein Hijackthis "Protokol":
Logfile of HijackThis v1.97.7
Scan saved at 20:49:49, on 27.04.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Browser Mouse\Browser Mouse\1.0\mouse32a.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\Realtek\Rtl8180\RtlWake.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10MT2.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10RN2.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\cc1\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1977.zip\HijackThis.exe
C:\Programme\Messenger\msmsgs.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://windowsupdate.microsoft.com/
O1 - Hosts: 213.159.117.235 auto.search.msn.com
O2 - BHO: (no name) - {00000000-0000-0000-0000-000000000000} - C:\WINDOWS\System32\msxslab.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [IW ControlCenter] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [FLMBROWSEMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\mouse32a.exe
O4 - HKLM\..\Run: [websx] C:\Programme\websx\int158410.exe -auto
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: AOL 8.0 Tray-Symbol.lnk = C:\Programme\AOL 8.0\aoltray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: RtlWake.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37881.1413078704

Kann mir bitte jemand schreiben was ich da machen kann und vorallem wie?
(Weiß auch nicht was das Fixen von irgendwelchen Zeilen ist!)
Danke schonmal[/img][/url]

#2 Leg Hijackthis erstmal in einen Odner (c;\Hijackthis) wegen Backups.

Dann fix mal:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

Kannst du mir mal bitte die Datei schicken C:\Programme\websx\int158410.exe

An Spam-Email@gmx.net


@all
das sollte doch glaub ich auch gefixt werden, hab nix bei google gefunden.
O2 - BHO: (no name) - {00000000-0000-0000-0000-000000000000} - C:\WINDOWS\System32\msxslab.dll

MFG
DAFRA

#3 Der HijackThis loescht nichts, man fixt ...bootet .....geht im abgesicherten Modus in Windows und scannt dort mit CWShredder, AdAware , Spybot&Destroy.

Lade vorher noch dieses Tool: http://www.soft411.com/company/MicroWorld-Technologies-Inc/MicroWorld-Anti-Virus-Toolkit.htm


Oder man muss Programme , exe oder dll manuell loeschen, wenn die Tools nicht helfen.

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#4 Raus mit dem Eintrag, das ist ein Dialer!!
O4 - HKLM\..\Run: [websx] C:\Programme\websx\int158410.exe -auto
__________
MfG Ralf
SEO-Spam Hunter

#5 O1 - Hosts: 213.159.117.235 auto.search.msn.com

das muss auch raus , ist das korrekt, Raman ?
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#6 Hallo liebe leute, ne frage an euch!!!!
ich hab neulich auch das problem mit dem aifind gehabt und eine auto blank beim explorer das ging soweit das ich meinen xp neu instaliert hab. also meine frage was kann ich tun das mir das nicht wieder pasiert? ich hab das nortonp firewall gehabt aber hatte es trotzdem bekommen. gibt es was besseres als norton damit mir das nicht nochmal pasiert??? im vorraus danke schön!!

#7 Hi Timur,
Eine Firewall schuetzt nicht vor Hijackern oder Trojanern (wenn einmal geladen)

Loesung :
Lade den Firefox als Zweitbrowser
http://www.firebird-browser.de/

AdAware(free) und Spybot(free), WebWasher (die Registrierung lohnt sich)

(immer fleissig updaten) und ab und an scannen
http://beam.to/spybotsd
http://www.zdnet.de/downloads/programs/a/f/de000PAF_is-wc.html
http://www.lavasoft.de/support/download/

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#8 Danke werd ich machen!!!!

#9 habe das auch, aber in etwas anderer art !
hatte den aifind auch immer als startseite, konnte das problem aber beheben !
aber: wenn ich z.B. in google nach was suche werden bestimmt wörter gelb hinterlegt z.B. computer, download, camera
maus auf das gelbhinterlegte wort, ein liste wird drunter angezeigt ! klick drauf und bin auf aifind !
weiterhin kann ich seiten wie z.B. chip.de nicht mehr öffnen !
vielleicht kennt das einer hier !?

mfg
Laguna

#10 @Laguna

schau mal in c:\Windows\System32\drivers\etc\hosts rein, was da drin steht.

Im Normalfall sollte dass hier drin stehen.
127.0.0.1 localhost
#Orginal Host Datei

Lade alle Tools von dieser Site und scanne.
http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html

Und poste dein HijackThis:
http://board.protecus.de/t9391.htm

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#11 bei mir steht aber das drinne...

216.177.73.139 auto.search.msn.com
216.177.73.139 search.netscape.com
216.177.73.139 ieautosearch

desweiteren habe ich alle oben genannten programme ausgeführt, hat sich nix geregt

PS. wie poste ich denn den HJT ? kanns irgendwie net kopieren...

#12

Zitat

Laguna postete
216.177.73.139 auto.search.msn.com
216.177.73.139 search.netscape.com
216.177.73.139 ieautosearch

Das muß raus
Einfach die 3 Zeilen löschen

Zitat

desweiteren habe ich alle oben genannten programme ausgeführt, hat sich nix geregt

Wurden die Programme nicht gestartet oder haben SIe nichts gefunden ??

Wenn Sie nicht gestartet wurden
probier das mal

Zitat

Sollte das auch nicht funktionieren, den teil zwischen den "---" in eine Datei kopieren und diese unter dem Namen fix.reg speichern und im abgesicherten Modus einfach doppelt anklicken und die abfrage mit ja beantworten

---
REGEDIT4

[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"
---

copyright raman

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#13 die 3 sind nun weg !

den spywareblaster habe ich noch nicht versucht, weiß aber auch noch net ganz wie der funzzt
alle anderen haben ihre arbeit getan aber den fehler nicht beheben können !

was deinen letzten vorschlag betrifft, das raff ich net ganz was du damit meinst !

und ich weiß immer noch nicht wie ich den HJT kopieren kann um den hier einzufügen damit man sich den ansehen kann !

man, von dem aifind habe ich nie was gehört und darum auch GAR keinen plan was ich machen soll, bin absolut auf eure hilfe angewiesen !
ok, ok, eins weiß ich was auf jeden fall klappen wird... format c *g* der letzte weg... ein schmerzhafter

#14 @Laguna

Geh mal in die Registry
Start<Ausfuehren<regedit reinschreiben

Suche den Schluessel
[HKEY_CLASSES_ROOT\exefile\shell\open\command
Da muss rechts @="\"%1\" %*" drinstehen.

Airfind ist ein Trojaner, der die Startseite verstellt. Deshalb funktionieren auch die anderen Tools nicht.
http://securityresponse.symantec.com/avcenter/venc/data/trojan.bookmarker.e.html


1.) die Wiederherstellung deaktivieren (nach der Reinigung kannst du sie wieder aktivieren)
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

und in den abgesicherten Modus gehen(F8 beim Hochfahren druecken)


# Disable System Restore (Windows Me/XP).
# Update the virus definitions.
# Run a full system scan and record the file names detected as Trojan.Bookmarker.E.
# Restart the computer in Safe mode.
# Search for the detected .dll file (Usually cpan.dll).
# Rename the file and the extension.
# Restart the computer in Safe mode.
# Delete the value that was added to the registry.
# Run a full system scan and delete the files detected as Trojan.Bookmarker.E.
# Reset the Internet Explorer Home page.
# Reset the Internet Explorer Search page.
# Remove the links from the Favorites folder.
# Remove the DNS entries that were added to the Windows Hosts file.



2.)Suche und loesche .dll file (normalerweise cpan.dll)....das ist der Tojaner

# Verify that "Look in" is set to "Local Hard Drives" or to (C.
# Click "More advanced options."
# Select "Search system folders."
# Select "Search subfolders."
# Select "Search hidden files and folders."
# Click Search

cpan.dll



3) Start<Ausfuehren
schreibe :

cmd

es oeffnet sich ein DOS-Fenster
dort schreibst du rein:
/c "attrib -h %systemroot%\system32\cpan.dll & ren %systemroot%\system32\cpan.dll Badfile.bad"

und o.k

Dann gehst du in die Registry
Start<Ausfuehren<regedit
und suchst den Schluessel:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

auf der rechten Seite loescht du
"AppInit_DLLs"="cpan.dll"

Dann suchst du den Schluessel:
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Styles

auf der rechten Seite loescht du:
"User Stylesheet"="%Windir%\hh.htt"
"Use My Stylesheet"=0x1

dann schliesse die Registry



10. Start Microsoft Internet Explorer.
Click Tools, and then click Internet Options.
In the Home page section of the General tab, click Use Current, o.k


11. Resetting the Internet Explorer Search page

1. Start Microsoft Internet Explorer.
2. Click the Search icon on the toolbar.
3. In the Search pane, click Customize.
4. Click Reset.
5. Click Autosearch Settings.
6. Choose a search site from the drop-down list, and then click OK.
7. Click OK.


12. Removing links added to Favorites

1. Start Internet Explorer.
2. Click Favorites, and then Organize Favorites.
3. Delete the links to the pornographic Web sites that the Trojan inserted.

13. Removing DNS entries added to Windows Hosts file
c:\Windows\System32\drivers\etc\hosts

Im Normalfall sollte dass hier drin stehen.
127.0.0.1 localhost
#Orginal Host Datei


# Click Start, and then click Search.
# Click All files and folders.
# In the "All or part of the file name" box, type:

hosts

# Verify that "Look in" is set to "Local Hard Drives" or to (C.
# Click "More advanced options."
# Check "Search system folders."
# Check "Search subfolders."
# Click Search.
# Click Find Now or Search Now.
# Right-click the file, and then click Properties.

1. At the bottom of the Properties box, uncheck "Read Only" if it is checked. Click OK.
2. Right-click the file, and then click "Open With."
3. Deselect the "Always use this program to open this program" check box.
4. Scroll through the list of programs and double-click Notepad.
5. Delete any lines that begin with:

213.159.117.235

Close Notepad and save your changes when prompted.
---------------------------------------------------------------------


Nun machst du einen Onlinescann
#Onlinescann
http://www.symantec.com/region/de/avcenter/snoops.html

----------------------------------------------------------------------------
#e-scann(mwav.exe) alle Dateien scannen und manuell loeschen, was das Tool anzeigt
http://www.soft411.com/company/MicroWorld-Technologies-Inc/MicroWorld-Anti-Virus-Toolkit.htm
#Webwasher laden
http://www.zdnet.de/downloads/programs/a/f/de000PAF_is-wc.html
Dann stellst du unter InternetOptionen die Startseite neu ein und postest das Log noch einmal.
Sabina

__________
MfG Sabina

rund um die PC-Sicherheit

#15

Zitat

Laguna postete
und ich weiß immer noch nicht wie ich den HJT kopieren kann um den hier einzufügen damit man sich den ansehen kann !

Was genau verstehts du nicht, oder was genau klappt nicht?
1. HJT starten
2. Scan drücken.
3. "Save log" drücken
4. Text markieren
5. hier posten

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware