immer wiederkehrendes PopUp, das den IE blockiert |
||
---|---|---|
#0
| ||
02.05.2004, 13:54
...neu hier
Beiträge: 2 |
||
|
||
02.05.2004, 14:02
Member
Beiträge: 1122 |
#2
Fix mal:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://E:\WINNT\system32\gdomc.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://E:\WINNT\system32\gdomc.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = E:\WINNT\system32\blank.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = E:\WINNT\system32\blank.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://E:\WINNT\system32\gdomc.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://E:\WINNT\system32\gdomc.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://E:\WINNT\system32\gdomc.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = E:\WINNT\system32\blank.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = E:\WINNT\system32\blank.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://E:\WINNT\system32\gdomc.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {E880D22F-18B2-4873-A573-A3F65A1B5094} - E:\WINNT\system32\gdomc.dll O2 - BHO: (no name) - {FF1BF4C7-4E08-4A28-A43F-9D60A9F7A880} - E:\WINNT\system32\mshelper.dll O4 - HKLM\..\Run: [sys] regedit -s sys.reg Teste diese Datei mal Online: (http://www.kaspersky.com/scanforvirus) internat.exe MFG DAFRA |
|
|
||
02.05.2004, 15:05
...neu hier
Themenstarter Beiträge: 2 |
||
|
habe folgendes Prob:
Nach dem ordentlichen Start des IE, kommt immer ein bestimmtes PopUp hoch, das offenbar irgendein WebSearch ist.
Zuerst habe ich alle Coookies, Dateien (auch offline) und Verläufe gelöscht.
Mit AdAware drübergenudelt gibts folgende Meldung:
Started registry scan
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
CoolWebSearch Object recognized!
Type : RegValue
Data :
Rootkey : HKEY_LOCAL_MACHINE
Object : SOFTWARE\Microsoft\Internet Explorer\Main
Value : HOMEOldSP
hab´s in Quarantäne geschickt und sogar in der Reg den Eintrag gelöscht.
dann mit Spybot drüber, der mittlerweile keine Spione mehr meldet.
Das Hijack-Log ist wie folgt:
Logfile of HijackThis v1.97.7
Scan saved at 11:28:59, on 02.05.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
E:\WINNT\System32\smss.exe
E:\WINNT\system32\winlogon.exe
E:\WINNT\system32\services.exe
E:\WINNT\system32\lsass.exe
E:\WINNT\system32\svchost.exe
E:\WINNT\system32\spoolsv.exe
E:\Programme\AVPersonal\AVGUARD.EXE
E:\Programme\AVPersonal\AVWUPSRV.EXE
E:\WINNT\system32\crypserv.exe
E:\WINNT\System32\svchost.exe
E:\WINNT\system32\nvsvc32.exe
E:\WINNT\system32\regsvc.exe
E:\WINNT\system32\MSTask.exe
E:\WINNT\system32\ZONELABS\vsmon.exe
E:\WINNT\System32\WBEM\WinMgmt.exe
E:\WINNT\system32\svchost.exe
E:\WINNT\Explorer.EXE
E:\WINNT\system32\RunDll32.exe
E:\Programme\Browser mouse\1.3\mouse32a.exe
E:\Programme\FreePDF\FreePDFA.exe
E:\WINNT\system32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
E:\Programme\AVPersonal\AVGNT.EXE
E:\WINNT\system32\internat.exe
E:\PROGRA~1\WinEject\wineject.exe
E:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
E:\Programme\WinZip\WZQKPICK.EXE
E:\Programme\Multimedia keyboard utility\1.3\KBDAP32A.EXE
E:\Programme\Emerald PopStop\ETIPopStop.exe
E:\WINNT\system32\wuauclt.exe
E:\PROGRA~1\INTERN~1\iexplore.exe
E:\WINNT\ISW\netcol.dsl\signup\Tray.exe
C:\Programme\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://E:\WINNT\system32\gdomc.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://E:\WINNT\system32\gdomc.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = E:\WINNT\system32\blank.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = E:\WINNT\system32\blank.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://E:\WINNT\system32\gdomc.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://E:\WINNT\system32\gdomc.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://E:\WINNT\system32\gdomc.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = E:\WINNT\system32\blank.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = E:\WINNT\system32\blank.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://E:\WINNT\system32\gdomc.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {CD4C3CF0-4B15-11D1-ABED-709549C10000} - E:\PROGRA~1\GOZILLA\GoIEHlp.dll
O2 - BHO: (no name) - {E880D22F-18B2-4873-A573-A3F65A1B5094} - E:\WINNT\system32\gdomc.dll
O2 - BHO: (no name) - {FF1BF4C7-4E08-4A28-A43F-9D60A9F7A880} - E:\WINNT\system32\mshelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [FLMK08KB] E:\Programme\Multimedia keyboard utility\1.3\MMKEYBD.EXE
O4 - HKLM\..\Run: [FLMMEDIONMOUSE] E:\Programme\Browser mouse\1.3\mouse32a.exe
O4 - HKLM\..\Run: [FreePDFAssistent] E:\Programme\FreePDF\FreePDFA.exe
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [EPSON Stylus C84 Series] E:\WINNT\system32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O6 "USB001" /M "Stylus C84"
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "E:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [AVGCtrl] E:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [sys] regedit -s sys.reg
O4 - HKLM\..\Run: [Ad-aware] "E:\Programme\Lavasoft\Ad-aware 6\Ad-aware.exe" +c
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINNT\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [YAW starten] "E:\Programme\YAW 3.5\yawguard.exe"
O4 - HKCU\..\Run: [WinEjectAutoStart1] E:\PROGRA~1\WinEject\wineject.exe -instance:1
O4 - HKCU\..\Run: [AccountLogon] E:\Programme\AccountLogon\AccountLogon.exe
O4 - Startup: Emerald PopStop.lnk = E:\Programme\Emerald PopStop\ETIPopStop.exe
O4 - Global Startup: ZoneAlarm.lnk = E:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = E:\Programme\WinZip\WZQKPICK.EXE
O4 - Global Startup: Multimedia Keyboard 1.3.lnk = E:\Programme\Multimedia keyboard utility\1.3\KBDAP32A.EXE
O9 - Extra button: AccountLogon (HKCU)
O9 - Extra 'Tools' menuitem: AccountLogon (HKCU)
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {638AF6A2-81A1-4655-9FFA-9FC09CDE22CF} (CScanner Object) - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38021.2716087963
O17 - HKLM\System\CCS\Services\Tcpip\..\{9D644CB3-E667-4212-A1EA-7772863DBC69}: NameServer = 213.168.112.60 194.8.194.60
komisch scheinen mir die R1 mit (obfuscated) und auch blank.html und die O2 mit ...gdomc.dll zu sein.
Ein Fixing hat bisher aber nicht geholfen, da müsste also noch irgendwo was drinstecken.
Danke vorab schonmal für Eure Hilfe
Gruss
CGNDude