"Search for..." Startseite kommt immer wieder!

Thema ist geschlossen!
Thema ist geschlossen!
#0
05.07.2004, 13:37
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#166 Cheesy


Fixe mit dem HijackThis

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\KSER~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\KSER~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\KSER~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\KSER~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\KSER~1\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\KSER~1\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ie.serch.msn.com/{SUB_RFC1766}srchasst/srchcust.htm

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

O2 - BHO: (no name) - {4169A69B-0941-4527-8A85-C6FEE5E738AE} - C:\WINNT\system32\beaio.dll
O18 - Filter: text/html - {BF716427-E99F-4F00-9FB6-6C491BDE7D4C} - C:\WINNT\system32\beaio.dll
O18 - Filter: text/plain - {BF716427-E99F-4F00-9FB6-6C491BDE7D4C} - C:\WINNT\system32\beaio.dll

neustarten


#deaktiviere kurz deinen Virenscanner und installiere Antivirus
http://www.free-av.de/

Konfiguriere den Antivirus:
Einstellungen : (Suchen: ALLE DATEIN, Reperatur: OHNE RÜCKFRAGEN, Löschen bei fehlgeschlagener Reperatur: LÖSCHEN OHNE RÜCKFRAGEN, Unerwünschte Programme: ALLE ausser spiele, Heuristik: Win32 Heuristik Priorität hoch)

#Gehe in den abgesicherten Modus...F8 druecken, wenn der Comp. hochfaehrt
#scanne mit dem Antivirus
#Loesche C:\WINNT\system32\beaio.dll , falls der Trojaner noch da ist
#normal neustarten

#Loesche unter \InternetOptionen \die TemporatryInternetFiles und stelle eine neue Startseite ein und poste das Log noch mal.

#surfe nur mit dem Firefox..ist ein bisschen sicherer als der IE
http://www.firebird-browser.de/

Mfg
Sabina

;)
Tipp
regsvc.exe
Die REGSVC.EXE (Remote Registry Service) ist ein Systemprozess.
Mit dieser kann man von einem anderen Rechner auf die Registry zugreifen und sie bearbeiten.
Wer diesen Dienst nicht nutzt (was wohl für die Meisten zutrifft) kann ihn deaktivieren....Sicherheitsrisiko

Start<Systemsteuerung<Verwaltung<Dienste
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 05.07.2004 um 13:40 Uhr von Sabina editiert.
Seitenanfang Seitenende
05.07.2004, 13:39
Member

Beiträge: 1095
#167 Hi CHeesy

Hier ist der Lösungsvorschlag(englisch)
http://www.wilderssecurity.com/showpost.php?p=199716&postcount=27

Die Namen der DLL's varieren, davon nicht verrückt machen lassen

Das "NOTE:" in dieser Anwesiung kannst du ignorieren

Gruß paff
P.S. Wenn du Probleme hast einfach nochmal posten
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
05.07.2004, 15:12
...neu hier

Beiträge: 2
#168 @ sabina

Herzlichen Dank, es scheint jetzt alles wieder zu funktionieren. Du bist einfach Klasse !!!!!

anbei nochmal das Logfile:

Logfile of HijackThis v1.98.0
Scan saved at 15:11:13, on 05.07.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Corel\Graphics8\Programs\MFIndexer.exe
C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Hardcopy\hardcopy.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Käser\Lokale Einstellungen\TEMP\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\aibdf.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\aibdf.dll/sp.html (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.goggle.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\aibdf.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\aibdf.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.goggle.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\aibdf.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\aibdf.dll/sp.html (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R3 - Default URLSearchHook is missing
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {79F73D49-991C-41E7-B884-2DBF75C9308C} - C:\WINNT\system32\aibdf.dll (file missing)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [SpySweeper] C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe /0
O4 - Startup: Hardcopy.LNK = C:\Programme\Hardcopy\hardcopy.exe
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe
O4 - Global Startup: Microsoft Outlook.lnk = C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = VG-BGH.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{F2C53988-5EB0-43AC-93DD-364248746F5B}: NameServer = 10.93.33.10
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = VG-BGH.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = VG-BGH.local
O18 - Filter: text/html - {8425E01B-644C-4954-8783-06A76BCA5C90} - C:\WINNT\system32\aibdf.dll
O18 - Filter: text/plain - {8425E01B-644C-4954-8783-06A76BCA5C90} - C:\WINNT\system32\aibdf.dll


@ paff

Deinen Lösungsvorschlag heb ich mir sicherheitshalber auf, falls sich das Problem noch einmal ergibt. Auch dir ein hezliches Dankeschön.

Macht weiter so

Viele Grüße

Wolfgang
Seitenanfang Seitenende
05.07.2004, 18:55
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#169 Cheesy

.. ;)

Fixe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\aibdf.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\aibdf.dll/sp.html (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.goggle.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\aibdf.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\aibdf.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.goggle.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\aibdf.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\aibdf.dll/sp.html (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

O2 - BHO: (no name) - {79F73D49-991C-41E7-B884-2DBF75C9308C} - C:\WINNT\system32\aibdf.dll (file missing)

O18 - Filter: text/html - {8425E01B-644C-4954-8783-06A76BCA5C90} - C:\WINNT\system32\aibdf.dll
O18 - Filter: text/plain - {8425E01B-644C-4954-8783-06A76BCA5C90} - C:\WINNT\system32\aibdf.dll

neustarten

#Lade Cwhredder
http://www.chip.de/downloads/c_downloads_11353799.html

#Loesche C:\WINNT\system32\aibdf.dll
falls die dll nach dem Scann mit Cwshredder noch da ist.
Hier ist der Lösungsvorschlag(englisch)
http://www.wilderssecurity.com/showpost.php?p=199716&postcount=27
Klicke die einzelnen Prozesse unter system32 < an an , bist du die Dll gefunden hast.
Dann klicke die dll an und es erscheint ein kleines Fenster...<unload<

#Dann scanne noch einmal mit dem Antivrus im abgesicherten Modus.
Konfiguriere den Antivirus:
Einstellungen : (Suchen: ALLE DATEIN, Reperatur: OHNE RÜCKFRAGEN, Löschen bei fehlgeschlagener Reperatur: LÖSCHEN OHNE RÜCKFRAGEN, Unerwünschte Programme: ALLE ausser spiele, Heuristik: Win32 Heuristik Priorität hoch)

#Gehe in den abgesicherten Modus...F8 druecken, wenn der Comp. hochfaehrt
#scanne mit dem Antivirus

neustarten


#Loesche unter \InternetOptionen \die TemporatryInternetFiles !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!und stelle eine neue Startseite ein und poste das Log noch mal.

Lade vorher den SpywareGuard
http://www.javacoolsoftware.com/sgdownload.html

und ...#surfe nur mit dem Firefox..ist ein bisschen sicherer als der IE
http://www.firebird-browser.de/

MfG
Sabina
;)
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 05.07.2004 um 19:11 Uhr von Sabina editiert.
Seitenanfang Seitenende
05.07.2004, 20:53
...neu hier

Beiträge: 3
#170 Ich verstehe es nicht. Das immer noch so viele mit dem Problem kämpfen. scheinbar lesen alle nur den Anfang und das Ende des Forums.
Seitenanfang Seitenende
13.07.2004, 17:33
...neu hier

Beiträge: 2
#171 Hallo, habe auch das Problem mit dieser verdammten Search for... Seite, habe schon einiges versucht, Win lässt sich übers Internet noch nicht einmal Updaten, wenn er nach Updates sucht taucht auf einmal die Search for... Seite wieder auf. Die genaue Bezeichnung der Seite lautet http://aifind.info (bitte nicht öffnen)

Kann mir jemand helfen?????

Logfile of HijackThis v1.98.0
Scan saved at 07:29:06, on 06.06.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYSTEM\MOSEARCH\BIN\MOSEARCH.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\VS7DEBUG\MDM.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\SYSTEM\CMMPU.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\LOGITECH\ITOUCH\ITOUCH.EXE
C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\PROGRAMME\ADAPTEC\DIRECTCD\DIRECTCD.EXE
C:\PROGRAMME\MICROSOFT MONEY\SYSTEM\REMINDER.EXE
C:\WINDOWS\SYSTEM\SERVICES.EXE
C:\PROGRAMME\LOGITECH\ITOUCH\KBDTRAY.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\CTFMON.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\EIGENE DATEIEN\GEMEINSAME DOKUMENTE\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von AOL
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.1:6588
F1 - win.ini: run=C:\WINDOWS\SYSTEM\cmmpu.exe
O2 - BHO: ViewSource Class - {00000000-0000-0000-0000-000000000000} - C:\WINDOWS\SYSTEM\MSXSLAB.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [zBrowser Launcher] C:\PROGRA~1\LOGITECH\ITOUCH\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [ICSDCLT] C:\WINDOWS\rundll32.exe C:\WINDOWS\SYSTEM\icsdclt.dll,ICSClient
O4 - HKLM\..\Run: [Adaptec DirectCD] C:\PROGRA~1\ADAPTEC\DIRECTCD\DIRECTCD.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [MOSearch] C:\PROGRA~1\GEMEIN~1\SYSTEM\MOSEARCH\BIN\MOSEARCH.EXE
O4 - HKLM\..\RunServices: [MDM7] "C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\VS7DEBUG\MDM.EXE"
O4 - HKCU\..\Run: [Reminder] C:\Programme\Microsoft Money\System\reminder.exe
O4 - HKCU\..\Run: [System Update4] c:\windows\system\services.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\PROGRAMME\AIM95\AIM.EXE
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.0.1
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\MSOPT.DLL
Dieser Beitrag wurde am 13.07.2004 um 22:01 Uhr von Badboy2 editiert.
Seitenanfang Seitenende
29.07.2004, 10:39
...neu hier

Beiträge: 3
#172 Hallo!

Ich habe auch noch einen PC den es erwischt hat.
Danke schon mal vorab für die Hilfe.

Pluds


Logfile of HijackThis v1.98.0
Scan saved at 18:57:45, on 28.07.04
Platform: Windows NT 4 SP5 (WinNT 4.00.1381)
MSIE: Internet Explorer v5.50 SP1 (5.50.4522.1800)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\spoolss.exe
C:\WINNT\System32\nddeagnt.exe
C:\WIN32APP\TOOLKIT\TKSCHNTS.EXE
C:\WINNT\System32\mgasc.exe
C:\WIN32APP\TOOLKIT\ntguard.exe
C:\WINNT\System32\mgactrl.exe
C:\WINNT\system32\RpcSs.exe
C:\WINNT\system32\tapisrv.exe
C:\WINNT\system32\rasman.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\esserver.exe
c:\winnt\system32\pstores.exe
C:\WINNT\System32\SENS.EXE
C:\WINNT\explorer.exe
C:\WINNT\System32\MGAHOOK.EXE
C:\Programme\MGA NT PowerDesk\QDesk\MGAQDESK.EXE
C:\Real\Player\realplay.exe
C:\Programme\ISTsvc\istsvc.exe
C:\Program Files\Internet Optimizer\optimize.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINNT\runwin32.exe
C:\WINNT\wininet32.exe
C:\Program Files\Internet Optimizer\actalert.exe
C:\Programme\Microsoft ActiveSync\WCESMgr.exe
C:\PROGRA~1\MICROS~1\OFFICE\OUTLOOK.EXE
C:\Programme\Program\netscape.exe
C:\Programme\Plus!\Microsoft Internet\IEXPLORE.EXE
C:\PROGRA~1\WinZip\winzip32.exe
C:\TEMP\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://dka.directwebsearch.net/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://dka.directwebsearch.net/search.php
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://dka.directwebsearch.net/search.php
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://dka.directwebsearch.net/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://dka.directwebsearch.net/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://dka.directwebsearch.net/search.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://dka.directwebsearch.net/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://dka.directwebsearch.net/search.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://easy-search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://dep3.al.group-net.de/infonetlogin/index.jsp
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R3 - URLSearchHook: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - C:\Programme\IntBar\ToolBand.dll
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=userinit,nddeagnt.exe
O1 - Hosts: 213.159.117.235 auto.search.msn.com
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Search Bar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - C:\Programme\IntBar\ToolBand.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [TCASUTIEXE] TCAUDIAG.EXE -off
O4 - HKLM\..\Run: [MGA Hook] "C:\WINNT\System32\MGAHOOK.EXE"
O4 - HKLM\..\Run: [MGA QuickDesk] "C:\Programme\MGA NT PowerDesk\QDesk\MGAQDESK.EXE"
O4 - HKLM\..\Run: [RealTray] C:\Real\Player\realplay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [FBAAutoRun] I:\AutoRun
O4 - HKLM\..\Run: [mdac_runonce] C:\WINNT\System32\runonce.exe
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [Power Scan] C:\Programme\Power Scan\powerscan.exe
O4 - HKLM\..\Run: [Belt] C:\WINNT\Belt.exe
O4 - HKLM\..\Run: [winupd] C:\WINNT\System32\winupd.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [SpyKiller] C:\Programme\SpyKiller\spykiller.exe /startup
O4 - HKCU\..\Run: [System Soap Pro] C:\Programme\System Soap Pro\soap.exe min
O4 - HKCU\..\Run: [runwin32] C:\WINNT\runwin32.exe
O4 - HKCU\..\Run: [wininet32] C:\WINNT\wininet32.exe
O4 - HKCU\..\Run: [Plug and Play] C:\WINNT\wininet32.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - (no file)
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - (no file)
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - (no file)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O12 - Plugin for .dcr: C:\Programme\Program\PLUGINS\NP32DSW.DLL
O12 - Plugin for .mov: C:\PROGRA~1\Plus!\MICROS~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .pntg: C:\PROGRA~1\Plus!\MICROS~1\PLUGINS\npqtplugin4.dll
O12 - Plugin for .swf: C:\Programme\Program\PLUGINS\NPSWF32.dll
O13 - WWW. Prefix: http://
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de
O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} (Moniker32 Class) - http://63.219.181.7/cax.cab
O16 - DPF: {067D7797-04FC-42B1-92DB-81FC6CD318FD} (Dlctrl) - http://www.eingang69.de/EroticAccess/Ocx/dlctrl2.ocx
O16 - DPF: {0733B8F9-8B52-4693-A9FA-829E12D27F78} (preload control) - http://www.thepaymentcentre.com/build/preload2.cab
O16 - DPF: {10000000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\MAIN.MHT!http://d.dialer2004.com//tv/main.chm::/load.exe
O16 - DPF: {10003000-1000-0000-1000-000000000000} - its:mhtml:file://c:\MAIN.MHT!http://213.159.117.237:4000/buka.chm::/x.exe
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!http://69.31.79.187/winsearchie32.chm::/winsearchie32.exe
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://super-gals.com/scj/rotation/templates/s/x.chm::/ad.exe
O16 - DPF: {11120607-1001-1111-1000-110199901123} - ms-its:mhtml:file://c:\explorer.mht!http://www.cameup.com/download2/bar.chm::/ToolBand.exe
O16 - DPF: {12398DD6-40AA-4C40-A4EC-A42CFC0DE797} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab
O16 - DPF: {421A63BA-4632-43E0-A942-3B4AB645BE51} - http://download-ak.systemsoap.com/ssoap/pptproactauthsmakamai/systemsoappro.cab
O16 - DPF: {95E5A0FC-6CFB-4EB6-B649-7A9AA877A7A9} (Pcksloader Control) - http://www.pckindersicherung.de/pcks/pcks.cab
O16 - DPF: {D34151C8-0C6C-4A7D-B677-4FCC9552E957} (snConnect Class) - http://www.bcnx.com/SunInfoConnect_www.bcnx.com_medium.cab
O16 - DPF: {EF86873F-04C2-4A95-A373-5703C08EFC7B} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v3.0/0006.cab
O16 - DPF: {FC87A650-207D-4392-A6A1-82ADBC56FA64} (MultiDist) - http://xbs.mtree.com/mt/dialers/fc/MultiDistFC.CAB
O16 - DPF: {FFFF0003-0001-101A-A3C9-08002B2F49FB} - http://in.free64u.com/d/imt110z8sm_adult.exe
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ditting.bmw-net.de
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ditting.bmw-net.de
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 195.145.81.38 195.145.81.39
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 195.145.81.38 195.145.81.39
O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F81-00104B107C96}
O18 - Protocol: start - {53B95211-7D77-11D2-9F81-00104B107C96} - C:\WINNT\System32\msxword.dll
Seitenanfang Seitenende
29.07.2004, 11:49
Moderator

Beiträge: 7805
#173 Es waere sehr nett von euch, wenn ihr bevor ihr eure Logs postet, diesen Thread abarbeiten koenntet:

http://board.protecus.de/t9373.htm

Besonders die Punkte 1-4
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
29.07.2004, 17:16
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#174 @Badboy2


ohne die Garantie zu uebernehmen, dass nach der Virenbereinigung noch alles gut funktioniert.
FIXE mit dem HijackThis


F1 - win.ini: run=C:\WINDOWS\SYSTEM\cmmpu.exe
O2 - BHO: ViewSource Class - {00000000-0000-0000-0000-000000000000} - C:\WINDOWS\SYSTEM\MSXSLAB.DLL
O4 - HKCU\..\Run: [System Update4] c:\windows\system\services.exe
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\MSOPT.DLL

neustarten

#Lade mwav.exe...scanne alle Dateien (30 Tage free)
http://www.mwti.net/antivirus/free_utilities.asp

Loesch mit ClearProg
http://www.clearprog.de/
# die TemporaryInternetFiles !!!

#Installiere Antivirus
http://www.free-av.de/

Konfiguriere den Antivirus AVGCtrl
Automatischen Scan stoppen,
Einstellungen hochschrauben (Suchen: ALLE DATEIN, Reperatur: OHNE RÜCKFRAGEN, Löschen bei fehlgeschlagener Reperatur: LÖSCHEN OHNE RÜCKFRAGEN, Unerwünschte Programme: ALLE ausser spiele, Heuristik: Win32 Heuristik Priorität hoch)


Dann poste das Log noch einmal.
mfg
Sabina

http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=TROJ_WINSHOW.AF&VSect=T
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=TROJ_BESPY.A
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 29.07.2004 um 17:24 Uhr von Sabina editiert.
Seitenanfang Seitenende
29.07.2004, 17:32
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#175 @Pluds
ohne die Garantie zu uebernehmen, dass nach der Virenbereinigung noch alles gut funktioniert
FIXE

R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://dka.directwebsearch.net/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://dka.directwebsearch.net/search.php
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://dka.directwebsearch.net/search.php
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://dka.directwebsearch.net/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://dka.directwebsearch.net/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://dka.directwebsearch.net/search.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://dka.directwebsearch.net/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://dka.directwebsearch.net/search.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://easy-search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://dep3.al.group-net.de/infonetlogin/index.jsp
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

F2 - REG:system.ini: UserInit=userinit,nddeagnt.exe
O1 - Hosts: 213.159.117.235 auto.search.msn.com

O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [Power Scan] C:\Programme\Power Scan\powerscan.exe
O4 - HKLM\..\Run: [Belt] C:\WINNT\Belt.exe
O4 - HKLM\..\Run: [winupd] C:\WINNT\System32\winupd.exe
O4 - HKCU\..\Run: [runwin32] C:\WINNT\runwin32.exe
O4 - HKCU\..\Run: [wininet32] C:\WINNT\wininet32.exe
O4 - HKCU\..\Run: [Plug and Play] C:\WINNT\wininet32.exe

16 - DPF: {10000000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\MAIN.MHT!http://d.dialer2004.com//tv/main.chm::/load.exe
O16 - DPF: {10003000-1000-0000-1000-000000000000} - its:mhtml:file://c:\MAIN.MHT!http://213.159.117.237:4000/buka.chm::/x.exe
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!http://69.31.79.187/winsearchie32.chm::/winsearchie32.exe
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://super-gals.com/scj/rotation/templates/s/x.chm::/ad.exe
O16 - DPF: {11120607-1001-1111-1000-110199901123} - ms-its:mhtml:file://c:\explorer.mht!http://www.cameup.com/download2/bar.chm::/ToolBand.exe
O16 - DPF: {12398DD6-40AA-4C40-A4EC-A42CFC0DE797} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab
O16 - DPF: {EF86873F-04C2-4A95-A373-5703C08EFC7B} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v3.0/0006.cab
O16 - DPF: {FC87A650-207D-4392-A6A1-82ADBC56FA64} (MultiDist) - http://xbs.mtree.com/mt/dialers/fc/MultiDistFC.CAB
O16 - DPF: {FFFF0003-0001-101A-A3C9-08002B2F49FB} - http://in.free64u.com/d/imt110z8sm_adult.exe
O18 - Protocol: start - {53B95211-7D77-11D2-9F81-00104B107C96} - C:\WINNT\System32\msxword.dll

NEUSTARTEN


Deaktiviere kurz deinen Virenscanner !!!!
#Installiere Antivirus
http://www.free-av.de/

Konfiguriere den Antivirus AVGCtrl
Automatischen Scan stoppen,
Einstellungen hochschrauben (Suchen: ALLE DATEIN, Reperatur: OHNE RÜCKFRAGEN, Löschen bei fehlgeschlagener Reperatur: LÖSCHEN OHNE RÜCKFRAGEN, Unerwünschte Programme: ALLE ausser spiele, Heuristik: Win32 Heuristik Priorität hoch)

#Geh in den abgesicherten Modus...das ist wichtig !
http://www.bsi.de/av/texte/winsave.htm
und mache einen Vollscann mit dem Antivirus.

# Gehe in die Host-Datei
in c:\Windows\System32\drivers\etc\hosts

Im Normalfall sollte dass hier drin stehen, alles andere loeschen !!!!!!!!!!!.
127.0.0.1 localhost
#Orginal Host Datei


normal neustarten

.............................................................................................................
#Lade AdAware free...updaten vor dem Scannen !!!
http://www.lavasoft.de/support/download/
und Spybot von dieser Site
http://www.safer-networking.org/de/download/index.html


#lade Spysweeper free
http://www.spysweeper.com/

#Lade mwav.exe...scanne alle Dateien (30 Tage free)
http://www.mwti.net/antivirus/free_utilities.asp

Loesch mit ClearProg
http://www.clearprog.de/
# die TemporaryInternetFiles !!! und stelle eine neue Startseite unter Internnetoptionen ein

Dann poste das Log noch einmal.

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 29.07.2004 um 17:36 Uhr von Sabina editiert.
Seitenanfang Seitenende
30.07.2004, 20:28
...neu hier

Beiträge: 2
#176 Danke für die nachträgliche Hilfe.

Habe aber in einem anderen Thread auf der Seite ein Programm gefunden, welches das Log automatisch auswertet und angibt, was gefixt werden soll. Ist eigentlich recht einfach.

Mein PC funktioniert auch wieder richtig.

Also bis dann

Badboy2
Seitenanfang Seitenende
11.08.2004, 15:41
...neu hier

Beiträge: 4
#177 Hallo Freunde.

Ich habe hier auch schon eine Weile mitgelesen.
Vielleicht könnt ihr mir helfen.

Hier mein Log:
Logfile of HijackThis v1.98.2
Scan saved at 15:40:13, on 11.08.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
E:\Sicherheit\Norton Internet Security\NISUM.EXE
C:\WINDOWS\Explorer.EXE
E:\Sicherheit\Norton Internet Security\SymProxySvc.exe
E:\Sicherheit\Norton Internet Security\NISSERV.EXE
E:\internet\ICQLite\ICQLite.exe
E:\internet\onlineeye pro\onlineeye.exe
E:\Sicherheit\Norton Internet Security\IAMAPP.EXE
E:\tools\Motherboard Monitor 5\MBM5.exe
E:\Sicherheit\Norton Internet Security\ATRACK.EXE
E:\Microsoft Office XP\Office10\OUTLOOK.EXE
E:\Verwaltung\Total Commander 5\TOTALCMD.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\DOKUME~1\ROB\LOKALE~1\TEMP\$wc1\HIJACK~1.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Rob\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Rob\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Rob\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Rob\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Rob\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Rob\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Tools\Adobe Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\tools\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - E:\Sicherheit\Norton Internet Security Professional\Norton AntiVirus\NavShExt.dll (file missing)
O2 - BHO: (no name) - {C3BFD036-0132-44A8-BDF6-202A7B1E3D35} - C:\WINDOWS\System32\iebaag.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - E:\Sicherheit\Norton Internet Security Professional\Norton AntiVirus\NavShExt.dll (file missing)
O4 - HKLM\..\Run: [ICQ Lite] E:\internet\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [OnlineTime] "e:\internet\onlineeye pro\onlineeye.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [iamapp] E:\Sicherheit\Norton Internet Security\IAMAPP.EXE
O4 - HKCU\..\RunOnce: [ICQ Lite] E:\internet\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: MBM 5.lnk = E:\tools\Motherboard Monitor 5\MBM5.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\internet\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\internet\ICQLite\ICQLite.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{3F83744D-5EF5-4837-B954-F40BFF83A92D}: NameServer = 192.168.0.1
O18 - Filter: text/html - {13393260-527C-4FBA-B755-3517A2DB84AA} - C:\WINDOWS\System32\iebaag.dll
O18 - Filter: text/plain - {13393260-527C-4FBA-B755-3517A2DB84AA} - C:\WINDOWS\System32\iebaag.dll


Würde mich freuen, wenn mir einer helfen könnte.
Habe schon versucht, nach den hier angegebenen Verfahren zu handeln, doch leider ist noch nix passiert.

mfg
Seitenanfang Seitenende
11.08.2004, 15:57
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#178 @rob_drummer

Fixe mit dem HijackThis:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Rob\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Rob\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Rob\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Rob\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Rob\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Rob\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

O2 - BHO: (no name) - {C3BFD036-0132-44A8-BDF6-202A7B1E3D35} - C:\WINDOWS\System32\iebaag.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O18 - Filter: text/html - {13393260-527C-4FBA-B755-3517A2DB84AA} - C:\WINDOWS\System32\iebaag.dll
O18 - Filter: text/plain - {13393260-527C-4FBA-B755-3517A2DB84AA} - C:\WINDOWS\System32\iebaag.dll

neustarten

#Lade dieses Tool,
Download and install APM
http://www.diamondcs.com.au/index.php?page=apm
klicke die Explorerprozesse an, bis du
C:\WINDOWS\System32\iebaag.dll gefunden hast.
Druecke:<unload<

#Loesche:C:\WINDOWS\System32\iebaag.dll

#Lade eScan (in C:\ entpacken)
http://www.mwti.net/antivirus/free_utilities.asp
Nun suchst du eine "kavupd.exe" und anklicken.
<Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt(dauert ein bisschen)

#gehe in den abgesicherten Modus (wichtig !)
http://www.bsi.de/av/texte/winsave.htm
<den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen und "CleanScan" klicken.
.........................................................................................................
normal neustarten

#Lade AdAware (free) und scanne <alle Dateien<
http://www.lavasoft.de/support/download/

#Lade TuneUp 2004 (30 Tage free)
http://www.tuneup.de/download/
Funktion:<aufraeumen und reparieren< durchfuehren

#Lade ClearProg
loesche mit dem Tool die
-Cookies
- Verlauf
- Temporäre Internetfiles (Cache)
http://www.clearprog.de/

Lade Firefox als Alternativbrowser und surfe nur mit ihm
(ist sicherer)
http://www.firebird-browser.de/

#Stelle unter <Internetoptionen <eine neue Startseite ein
und poste das Log noch mal.(mit dem IE)

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 11.08.2004 um 16:03 Uhr von Sabina editiert.
Seitenanfang Seitenende
11.08.2004, 16:32
...neu hier

Beiträge: 4
#179 Ich danke dir für die Info.
Werde das mal ausprobieren.
mfg
Seitenanfang Seitenende
06.09.2004, 00:24
...neu hier

Beiträge: 6
#180 hallo
ich weiss dass ich schon der hundertste mit dieser lästigen startseite bin, da ich aber mit fixen usw nicht viel zu tun hab kenn ich mich in meinem log und der weiteren vorgehensweise zur vertilgung dieses übels nicht wirklich aus...
hier mal das log... sp.html muss weg...und die C:\WINDOWS\System32\gklpg.dll sehen auch verdächtig aus..?

hof auf eine kleine leicht verständliche rettung.... liebe grüsse aus wien

Logfile of HijackThis v1.98.0
Scan saved at 00:08:27, on 06.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Launch Manager\QtZgAcer.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\SCVHOST.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\TPPALDR.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Dokumente und Einstellungen\tobi\Eigene Dateien\Programme\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\tobi\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\tobi\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\tobi\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\tobi\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\tobi\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\tobi\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {D439FEA3-0D3C-4D16-A67F-805BB87C1229} - C:\WINDOWS\System32\gklpg.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [MSStartOptimizer] C:\WINDOWS\System32\SCVHOST.EXE
O4 - HKLM\..\Run: [RegCompres] C:\WINDOWS\System32\REGCPM32.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [TPP Auto Loader] C:\WINDOWS\TPPALDR.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\RunServices: [MSStartOptimizer] C:\WINDOWS\System32\SCVHOST.EXE
O4 - HKLM\..\RunServices: [RegCompres] C:\WINDOWS\System32\REGCPM32.EXE
O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE C:\WINDOWS\System32\sti_ci.dll,WiaCreateWizardMenu
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/25ede4a8f149f0a47121/netzip/RdxIE601_de.cab
O16 - DPF: {86A88967-7A20-11D2-8EDA-00600818EDB1} (ParallelGraphics Cortona Control) - http://www.parallelgraphics.com/bin/cortvrml.cab
O16 - DPF: {F57D17AE-CE37-4BC8-B232-EA57747BE5E7} - http://66.230.146.53/EPlugin_AT.cab
O18 - Filter: text/html - {FD97010D-3006-49C1-99FA-E53C7BDDC598} - C:\WINDOWS\System32\gklpg.dll
O18 - Filter: text/plain - {FD97010D-3006-49C1-99FA-E53C7BDDC598} - C:\WINDOWS\System32\gklpg.dll
Seitenanfang Seitenende