Probleme mit aifind.info |
||
---|---|---|
#0
| ||
27.04.2004, 21:07
...neu hier
Beiträge: 4 |
||
|
||
27.04.2004, 21:49
Member
Beiträge: 1122 |
#2
Leg Hijackthis erstmal in einen Odner (c;\Hijackthis) wegen Backups.
Dann fix mal: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank Kannst du mir mal bitte die Datei schicken C:\Programme\websx\int158410.exe An Spam-Email@gmx.net @all das sollte doch glaub ich auch gefixt werden, hab nix bei google gefunden. O2 - BHO: (no name) - {00000000-0000-0000-0000-000000000000} - C:\WINDOWS\System32\msxslab.dll MFG DAFRA Dieser Beitrag wurde am 27.04.2004 um 21:49 Uhr von Dafra editiert.
|
|
|
||
28.04.2004, 10:44
Ehrenmitglied
Beiträge: 29434 |
#3
Der HijackThis loescht nichts, man fixt ...bootet .....geht im abgesicherten Modus in Windows und scannt dort mit CWShredder, AdAware , Spybot&Destroy.
Lade vorher noch dieses Tool: http://www.soft411.com/company/MicroWorld-Technologies-Inc/MicroWorld-Anti-Virus-Toolkit.htm Oder man muss Programme , exe oder dll manuell loeschen, wenn die Tools nicht helfen. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
28.04.2004, 21:54
Moderator
Beiträge: 7805 |
#4
Raus mit dem Eintrag, das ist ein Dialer!!
O4 - HKLM\..\Run: [websx] C:\Programme\websx\int158410.exe -auto __________ MfG Ralf SEO-Spam Hunter |
|
|
||
29.04.2004, 12:03
Ehrenmitglied
Beiträge: 29434 |
#5
O1 - Hosts: 213.159.117.235 auto.search.msn.com
das muss auch raus , ist das korrekt, Raman ? Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
15.05.2004, 12:16
...neu hier
Beiträge: 2 |
#6
Hallo liebe leute, ne frage an euch!!!!
ich hab neulich auch das problem mit dem aifind gehabt und eine auto blank beim explorer das ging soweit das ich meinen xp neu instaliert hab. also meine frage was kann ich tun das mir das nicht wieder pasiert? ich hab das nortonp firewall gehabt aber hatte es trotzdem bekommen. gibt es was besseres als norton damit mir das nicht nochmal pasiert??? im vorraus danke schön!! |
|
|
||
15.05.2004, 18:07
Ehrenmitglied
Beiträge: 29434 |
#7
Hi Timur,
Eine Firewall schuetzt nicht vor Hijackern oder Trojanern (wenn einmal geladen) Loesung : Lade den Firefox als Zweitbrowser http://www.firebird-browser.de/ AdAware(free) und Spybot(free), WebWasher (die Registrierung lohnt sich) (immer fleissig updaten) und ab und an scannen http://beam.to/spybotsd http://www.zdnet.de/downloads/programs/a/f/de000PAF_is-wc.html http://www.lavasoft.de/support/download/ MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
16.05.2004, 09:03
...neu hier
Beiträge: 2 |
#8
Danke werd ich machen!!!!
|
|
|
||
22.05.2004, 22:57
...neu hier
Beiträge: 5 |
#9
habe das auch, aber in etwas anderer art !
hatte den aifind auch immer als startseite, konnte das problem aber beheben ! aber: wenn ich z.B. in google nach was suche werden bestimmt wörter gelb hinterlegt z.B. computer, download, camera maus auf das gelbhinterlegte wort, ein liste wird drunter angezeigt ! klick drauf und bin auf aifind ! weiterhin kann ich seiten wie z.B. chip.de nicht mehr öffnen ! vielleicht kennt das einer hier !? mfg Laguna |
|
|
||
23.05.2004, 10:19
Ehrenmitglied
Beiträge: 29434 |
#10
@Laguna
schau mal in c:\Windows\System32\drivers\etc\hosts rein, was da drin steht. Im Normalfall sollte dass hier drin stehen. 127.0.0.1 localhost #Orginal Host Datei Lade alle Tools von dieser Site und scanne. http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html Und poste dein HijackThis: http://board.protecus.de/t9391.htm MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
24.05.2004, 18:51
...neu hier
Beiträge: 5 |
#11
bei mir steht aber das drinne...
216.177.73.139 auto.search.msn.com 216.177.73.139 search.netscape.com 216.177.73.139 ieautosearch desweiteren habe ich alle oben genannten programme ausgeführt, hat sich nix geregt PS. wie poste ich denn den HJT ? kanns irgendwie net kopieren... |
|
|
||
24.05.2004, 22:51
Member
Beiträge: 1095 |
#12
Zitat Laguna posteteDas muß raus Einfach die 3 Zeilen löschen Zitat desweiteren habe ich alle oben genannten programme ausgeführt, hat sich nix geregtWurden die Programme nicht gestartet oder haben SIe nichts gefunden ?? Wenn Sie nicht gestartet wurden probier das mal Zitat Sollte das auch nicht funktionieren, den teil zwischen den "---" in eine Datei kopieren und diese unter dem Namen fix.reg speichern und im abgesicherten Modus einfach doppelt anklicken und die abfrage mit ja beantwortencopyright raman Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
25.05.2004, 00:03
...neu hier
Beiträge: 5 |
#13
die 3 sind nun weg !
den spywareblaster habe ich noch nicht versucht, weiß aber auch noch net ganz wie der funzzt alle anderen haben ihre arbeit getan aber den fehler nicht beheben können ! was deinen letzten vorschlag betrifft, das raff ich net ganz was du damit meinst ! und ich weiß immer noch nicht wie ich den HJT kopieren kann um den hier einzufügen damit man sich den ansehen kann ! man, von dem aifind habe ich nie was gehört und darum auch GAR keinen plan was ich machen soll, bin absolut auf eure hilfe angewiesen ! ok, ok, eins weiß ich was auf jeden fall klappen wird... format c *g* der letzte weg... ein schmerzhafter |
|
|
||
25.05.2004, 09:42
Ehrenmitglied
Beiträge: 29434 |
#14
@Laguna
Geh mal in die Registry Start<Ausfuehren<regedit reinschreiben Suche den Schluessel [HKEY_CLASSES_ROOT\exefile\shell\open\command Da muss rechts @="\"%1\" %*" drinstehen. Airfind ist ein Trojaner, der die Startseite verstellt. Deshalb funktionieren auch die anderen Tools nicht. http://securityresponse.symantec.com/avcenter/venc/data/trojan.bookmarker.e.html 1.) die Wiederherstellung deaktivieren (nach der Reinigung kannst du sie wieder aktivieren) http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 und in den abgesicherten Modus gehen(F8 beim Hochfahren druecken) # Disable System Restore (Windows Me/XP). # Update the virus definitions. # Run a full system scan and record the file names detected as Trojan.Bookmarker.E. # Restart the computer in Safe mode. # Search for the detected .dll file (Usually cpan.dll). # Rename the file and the extension. # Restart the computer in Safe mode. # Delete the value that was added to the registry. # Run a full system scan and delete the files detected as Trojan.Bookmarker.E. # Reset the Internet Explorer Home page. # Reset the Internet Explorer Search page. # Remove the links from the Favorites folder. # Remove the DNS entries that were added to the Windows Hosts file. 2.)Suche und loesche .dll file (normalerweise cpan.dll)....das ist der Tojaner # Verify that "Look in" is set to "Local Hard Drives" or to (C. # Click "More advanced options." # Select "Search system folders." # Select "Search subfolders." # Select "Search hidden files and folders." # Click Search cpan.dll 3) Start<Ausfuehren schreibe : cmd es oeffnet sich ein DOS-Fenster dort schreibst du rein: /c "attrib -h %systemroot%\system32\cpan.dll & ren %systemroot%\system32\cpan.dll Badfile.bad" und o.k Dann gehst du in die Registry Start<Ausfuehren<regedit und suchst den Schluessel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows auf der rechten Seite loescht du "AppInit_DLLs"="cpan.dll" Dann suchst du den Schluessel: HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Styles auf der rechten Seite loescht du: "User Stylesheet"="%Windir%\hh.htt" "Use My Stylesheet"=0x1 dann schliesse die Registry 10. Start Microsoft Internet Explorer. Click Tools, and then click Internet Options. In the Home page section of the General tab, click Use Current, o.k 11. Resetting the Internet Explorer Search page 1. Start Microsoft Internet Explorer. 2. Click the Search icon on the toolbar. 3. In the Search pane, click Customize. 4. Click Reset. 5. Click Autosearch Settings. 6. Choose a search site from the drop-down list, and then click OK. 7. Click OK. 12. Removing links added to Favorites 1. Start Internet Explorer. 2. Click Favorites, and then Organize Favorites. 3. Delete the links to the pornographic Web sites that the Trojan inserted. 13. Removing DNS entries added to Windows Hosts file c:\Windows\System32\drivers\etc\hosts Im Normalfall sollte dass hier drin stehen. 127.0.0.1 localhost #Orginal Host Datei # Click Start, and then click Search. # Click All files and folders. # In the "All or part of the file name" box, type: hosts # Verify that "Look in" is set to "Local Hard Drives" or to (C. # Click "More advanced options." # Check "Search system folders." # Check "Search subfolders." # Click Search. # Click Find Now or Search Now. # Right-click the file, and then click Properties. 1. At the bottom of the Properties box, uncheck "Read Only" if it is checked. Click OK. 2. Right-click the file, and then click "Open With." 3. Deselect the "Always use this program to open this program" check box. 4. Scroll through the list of programs and double-click Notepad. 5. Delete any lines that begin with: 213.159.117.235 Close Notepad and save your changes when prompted. --------------------------------------------------------------------- Nun machst du einen Onlinescann #Onlinescann http://www.symantec.com/region/de/avcenter/snoops.html ---------------------------------------------------------------------------- #e-scann(mwav.exe) alle Dateien scannen und manuell loeschen, was das Tool anzeigt http://www.soft411.com/company/MicroWorld-Technologies-Inc/MicroWorld-Anti-Virus-Toolkit.htm #Webwasher laden http://www.zdnet.de/downloads/programs/a/f/de000PAF_is-wc.html Dann stellst du unter InternetOptionen die Startseite neu ein und postest das Log noch einmal. Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 25.05.2004 um 10:28 Uhr von Sabina editiert.
|
|
|
||
25.05.2004, 10:59
Member
Beiträge: 1095 |
#15
Zitat Laguna posteteWas genau verstehts du nicht, oder was genau klappt nicht? 1. HJT starten 2. Scan drücken. 3. "Save log" drücken 4. Text markieren 5. hier posten Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
Ich hab von all dem hier leider gar keine Ahnung und hab jetzt das Problem, dass sich nicht mehr die agegebene Startpage öffnet, sondern eben aifind.info und außerdem immer about:blank in den Eigenschaften des Internet Explorers erscheint. Ich weiß das zum Teil darüber schon geschrieben worden ist, allerdings konnte ich damit nichts anfangen...
Habe schon ein Hijackthis "Protokol":
Logfile of HijackThis v1.97.7
Scan saved at 20:49:49, on 27.04.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Browser Mouse\Browser Mouse\1.0\mouse32a.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\Realtek\Rtl8180\RtlWake.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10MT2.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10RN2.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\cc1\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1977.zip\HijackThis.exe
C:\Programme\Messenger\msmsgs.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://windowsupdate.microsoft.com/
O1 - Hosts: 213.159.117.235 auto.search.msn.com
O2 - BHO: (no name) - {00000000-0000-0000-0000-000000000000} - C:\WINDOWS\System32\msxslab.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [IW ControlCenter] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [FLMBROWSEMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\mouse32a.exe
O4 - HKLM\..\Run: [websx] C:\Programme\websx\int158410.exe -auto
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: AOL 8.0 Tray-Symbol.lnk = C:\Programme\AOL 8.0\aoltray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: RtlWake.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37881.1413078704
Kann mir bitte jemand schreiben was ich da machen kann und vorallem wie?
(Weiß auch nicht was das Fixen von irgendwelchen Zeilen ist!)
Danke schonmal[/img][/url]