"search for" noch nicht ganz verschwunden |
||
---|---|---|
#0
| ||
14.05.2004, 23:28
...neu hier
Beiträge: 1 |
||
|
||
17.05.2004, 16:25
...neu hier
Beiträge: 5 |
#62
Hi zusammen!
hab den CWShredder mal durhclaufen lassen und meine Startseite im IE ist leer! das ding ist weg! naja, fast... Die eingentliche Datei mit dem "Search for..."-Ding gibt es nicht mehr, jedoch stellt irgendeine Datei immer wieder "about:blank" als Startpage in der Registry ein.... sowohl unter Current User als auch unter Local Machine... Bringts vielleicht was, wenn ich einfach die SVCHOST & Co. noch mal ersetze? |
|
|
||
17.05.2004, 16:35
Ehrenmitglied
Beiträge: 29434 |
#63
Hallo Fruchtzwerg
Lade bitte alle Tools von dieser Site, auch den SPHjfix, scanne und dann poste das Log noch mal. http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 17.05.2004 um 16:35 Uhr von Sabina editiert.
|
|
|
||
18.05.2004, 13:37
Member
Beiträge: 1095 |
#64
@all die HiJacker mit der "mrhop.dll" haben
Lösung hier Post Nr.17 http://www.wilderssecurity.com/showthread.php?p=167939#post167939 Zitat R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated) __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
24.05.2004, 19:40
...neu hier
Beiträge: 1 |
#65
Hey dears!
die lösung ist simple und sehr, sehr einfach: eine lästige dll-datei verdirbt euch das leben!!! 1. registry säubern: sucht nach der datei "kfoole.dll". zwei einträge werden gefunden, davon müssen die gesamten schlüssel gelöscht werden! 2. zudem müssen folgende werte gelöscht werden: - HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel (Sollte der Wert ResetWebSettings oder der Wert HomePage unter diesem Schlüssel vorhanden sein, klicken Sie mit der rechten Maustaste auf diese Werte, und klicken Sie auf Löschen.) Hinweis: Sie sollten außerdem die Website-Informationen überpüfen, die in den Werten Default_Page_URL und Start Page in den folgenden Registrierungsschlüsseln gespeichert sind: - HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main - HKEY_ LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main - HKEY_USERS\Default\Software\Microsoft\Internet Explorer\Main 3. unter x:\winnt\system32\... ist die datei "kfoole.dll" zu finden. diese dll muss nun auch noch gelöscht werden. 4. danach ist ein sauberer neustart notwendig! nun ist das problem gelöst!!! viel glück :-) |
|
|
||
21.06.2004, 17:34
...neu hier
Beiträge: 2 |
#66
Hallo,
Ich hab auch das Problem, dass in meinem Browser immer diese "search for" Seite ist, außerdem ein Pop up mit irgend welchen System Infos, die der aus der Internetverbindung zieht. Ich hab jetzt mal das Scan - Programm runter geladen, und dabei kam das hier raus, inzwischen hat sich auch mein "Notepad" verabschiedet.... Ach ja, ich hab Win XP und den Inet Explorer 6 ;-) Logfile of HijackThis v1.97.7 Scan saved at 17:27:36, on 21.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\Norton Internet Security\NISUM.EXE C:\WINDOWS\Explorer.EXE C:\Programme\Norton Internet Security\ccPxySvc.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe C:\Programme\QuickTime\qttask.exe C:\Programme\ZDFnachrichtenkurier\messenger.exe C:\Programme\T-Online\T-Online_Software_5\Banking\HBRemind.exe C:\PROGRA~1\MICROS~3\Office\OUTLOOK.EXE C:\Programme\SpamPal\spampal.exe C:\Programme\Microsoft Office\Office\1031\msoffice.exe C:\WINDOWS\msagent\AgentSvr.exe C:\Programme\T-DSL SpeedManager\tsmsvc.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Matthias Schäfer\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis1977.zip\HijackThis.exe C:\Programme\Messenger\msmsgs.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\MATTHI~1\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\MATTHI~1\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\MATTHI~1\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\MATTHI~1\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\MATTHI~1\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.gericom.com R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\MATTHI~1\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O2 - BHO: (no name) - {CC7CD70D-0112-49E4-810D-2B9E07FA6460} - C:\WINDOWS\System32\eda.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [VOBID] C:\Programme\Pinnacle\InstantCDDVD\InstantDrive\InstantDrive.exe /remount O4 - HKLM\..\Run: [IW ControlCenter] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\winampa.exe" O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [ZDF.nachrichtenkurier] C:\Programme\ZDFnachrichtenkurier\messenger.exe O4 - HKCU\..\Run: [HBRemind] C:\Programme\T-Online\T-Online_Software_5\Banking\HBRemind.exe O4 - Startup: Microsoft Outlook.lnk = ? O4 - Startup: SpamPal.lnk = C:\Programme\SpamPal\spampal.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O9 - Extra button: Real.com (HKLM) O14 - IERESET.INF: START_PAGE_URL=http://www.gericom.com O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB O16 - DPF: {B991DA79-51F7-4011-98D2-1F2592E82A56} (ACNPlayer2 Class) - http://198.99.241.129/eplayer/V3_1_0_0/acneplayer.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{A4C9AC55-DA05-4892-94A2-237DC1A2CA9E}: NameServer = 192.168.1.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{AE310309-A073-4340-96E8-5D6C35304497}: NameServer = 192.168.1.1 Würde mich unheimlich freuen, wenn mir jemand helfen könnte.... DANKE! |
|
|
||
21.06.2004, 18:55
Ehrenmitglied
Beiträge: 29434 |
#67
@MS Schaefer
FIXE mit dem HijackThis R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\MATTHI~1\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\MATTHI~1\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\MATTHI~1\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\MATTHI~1\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\MATTHI~1\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.gericom.com R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\MATTHI~1\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {CC7CD70D-0112-49E4-810D-2B9E07FA6460} - C:\WINDOWS\System32\eda.dll NEUSTARTEN Gehe in den abgesicherten Modus..F8 beim Hochfahren druecken und loesche C:\WINDOWS\System32\eda.dll loesche unter InternetOptionen die TemporaryInternetFiles und stelle eine neue Startseite ein. Lade dann noch AdAware free und den CWSHredder und scanne und lade den Firefox als Zweit-und Surfbrowser...ist hijackerfrei MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 21.06.2004 um 18:56 Uhr von Sabina editiert.
|
|
|
||
21.06.2004, 20:21
...neu hier
Beiträge: 1 |
#68
Hallo,
ich habe auch einen Rechner mit diesem nervigen HiJacker und ich krieg's nich weg. Hier mal die Logdatei aus HighJackThis: Logfile of HijackThis v1.97.7 Scan saved at 18:53:40, on 21.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\System32\igfxtray.exe C:\WINDOWS\System32\hkcmd.exe C:\Programme\Analog Devices\SoundMAX\Smtray.exe C:\Programme\Support.com\bin\tgcmd.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe C:\Programme\AVPersonal\AVGNT.EXE C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\Gerd\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Gerd\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Gerd\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Gerd\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Gerd\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Gerd\LOKALE~1\Temp\sp.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Gerd\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: (no name) - {88FED8A5-F662-4233-B759-31C5E79CEB6B} - C:\WINDOWS\System32\lhepia.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\Smtray.exe O4 - HKLM\..\Run: [tgcmd] "C:\Programme\Support.com\bin\tgcmd.exe" /server O4 - HKLM\..\Run: [UC_Start] C:\IBMTools\Updater\ucstartup.exe O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Zum Popup-Filter hinzufügen - C:\Programme\MYIE2-gerd\config/blacklist.htm O11 - Options group: [JAVA_IBM] Java (IBM) O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {1C78AB3F-A857-482E-80C0-3A1E5238A565} - file://C:\install.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.johannrain-softwareentwicklung.de/scan/Msie/bitdefender.cab Ich drück mal die Daumen, daß ihr mir helfen könnt und sag DANKE! Chrissi |
|
|
||
22.06.2004, 09:15
Ehrenmitglied
Beiträge: 29434 |
#69
@Chrissi72
Scanne mit dem HijackThis, dann hake an, was ich poste und fix R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Gerd\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Gerd\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Gerd\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Gerd\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Gerd\LOKALE~1\Temp\sp.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Gerd\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {88FED8A5-F662-4233-B759-31C5E79CEB6B} - C:\WINDOWS\System32\lhepia.dll neustarten Gehe in den abgesicherten Modus...F8 beim Hochfahren druecken #Loesche C:\WINDOWS\System32\lhepia.dll #zudem müssen folgende werte gelöscht werden: - HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel (Sollte der Wert ResetWebSettings oder der Wert HomePage unter diesem Schlüssel vorhanden sein, klicken Sie mit der rechten Maustaste auf diese Werte, und klicken Sie auf Löschen.) Hinweis: Sie sollten außerdem die Website-Informationen überpüfen, die in den Werten Default_Page_URL und Start Page in den folgenden Registrierungsschlüsseln gespeichert sind: - HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main - HKEY_ LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main #normal neustarten #Lade AdAware free Search\Destroy CWSHredder Sphjfix.exe http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html ## Doppelklicken Sie in der Systemsteuerung auf Internetoptionen. # Klicken Sie auf die Registerkarte Allgemein, und klicken Sie danach unter Temporäre Internetdateien auf Dateien löschen. Stelle eine neue Startseite ein #Lade den Firefox als AlternativBrowser..ist hijackerfrei und surfe nur mit ihm http://www.firebird-browser.de/ #Dann poste das Log noch einmal. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 22.06.2004 um 09:17 Uhr von Sabina editiert.
|
|
|
||
23.06.2004, 18:06
...neu hier
Beiträge: 2 |
#70
Hallo,
Vielen Dank für die schnelle und umfassende Hilfe! Es hat alles wunderbar geklappt. Jetzt hab ich noch gleich drei weitere Sachen gefixt, und schon läuft das gesamte System wieder schneller und stabiler. Danke!!! Viele Grüße, Matthias |
|
|
||
Leider habe ich WinME. Eine Reparaturconsole gibt es da nicht.
Weiß jemand Rat?