"Search for..." Startseite kommt immer wieder!Thema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
10.06.2004, 11:44
Member
Beiträge: 11 |
||
|
||
10.06.2004, 11:48
Ehrenmitglied
Beiträge: 29434 |
#47
@Lostprophet
Das Beste, du postest noch einmal das aktuelle Log. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
10.06.2004, 14:20
Member
Beiträge: 11 |
#48
@sabina
hier also nochmal der log: Logfile of HijackThis v1.97.7 Scan saved at 14:21:15, on 10.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\System32\brsvc01a.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\brss01a.exe C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartService.exe C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe C:\PROGRA~1\NORTON~2\NORTON~2\NPROTECT.EXE C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe C:\PROGRA~1\NORTON~2\NORTON~2\SPEEDD~1\NOPDB.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Tech\Wheel Mouse\5.2\MOUSE32A.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Programme\AntiSpy-Ad-Ware\PestPatrol\PPMemCheck.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\AntiSpy-Ad-Ware\HijackThis.exe O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll O2 - BHO: Guard-IE - {D2F719F3-106A-402B-9996-3A5B12ACA564} - C:\Programme\Failsafe\GuardIE\PnIE.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll O3 - Toolbar: Guard-IE - {37C8204D-97C3-4127-BB28-1BFF3FA2F7DA} - C:\Programme\Failsafe\GuardIE\PnIE.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O4 - HKLM\..\Run: [Anvshell] anvshell.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [LiveNote] livenote.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Tech\Wheel Mouse\5.2\MOUSE32A.EXE O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\AntiSpy-Ad-Ware\PestPatrol\PPMemCheck.exe O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [OpwareSE2] "C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O9 - Extra button: ICQ Lite (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O9 - Extra button: @C:\Programme\Failsafe\GuardIE\PnIE.dll,-100 (HKLM) O9 - Extra 'Tools' menuitem: @C:\Programme\Failsafe\GuardIE\PnIE.dll,-100 (HKLM) O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea.com/downloads/rtpatch/EARTPX.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/300cc39ca8593d5d5016/netzip/RdxIE601_de.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37909.2748611111 O17 - HKLM\System\CCS\Services\Tcpip\..\{9728CEF5-0108-422E-B25F-BF921033419A}: NameServer = 194.25.2.129 alles ok? gruß lp |
|
|
||
10.06.2004, 19:52
Member
Beiträge: 12 |
#49
Auch ich habe dieses Problem
Wie bei den meisten im Forum: Meine Startseite stellt sich immer auf blank um -> es kommt eine "Search for..."-Startseite. Bitte mal mein logfile durchschauen: Logfile of HijackThis v1.97.7 Scan saved at 19:36:21, on 10.06.04 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v5.00 (5.00.2614.3500) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MDM.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAMME\PRIMAX\POWERTWAIN\PMXDETECT.EXE C:\WINDOWS\SYSTEM\LAUNCHER.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE C:\PROGRAMME\MICROSOFT MONEY\SYSTEM\REMINDER.EXE C:\WINDOWS\SYSTEM\WEBCHECK.EXE C:\WINDOWS\SYSTEM\TASKMON.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\WINDOWS\SYSTEM\PSTORES.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\PROGRAMME\OUTLOOK EXPRESS\MSIMN.EXE C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\SYSTEM\CMINMAA.DLL/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\SYSTEM\CMINMAA.DLL/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\SYSTEM\CMINMAA.DLL/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\SYSTEM\CMINMAA.DLL/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\SYSTEM\CMINMAA.DLL/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\SYSTEM\CMINMAA.DLL/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe O4 - HKLM\..\Run: [OEMCleanup] C:\WINDOWS\OPTIONS\OEMRESET.EXE O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [Scan Detector] C:\PROGRA~1\PRIMAX\POWERT~1\Pmxdetect.exe O4 - HKLM\..\Run: [PrimaLauncher] C:\WINDOWS\SYSTEM\Launcher.exe O4 - HKLM\..\Run: [Cat's Claw] C:\NORMAN\WIN95\CLAW95.EXE O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKCU\..\Run: [Reminder] C:\Programme\Microsoft Money\System\reminder.exe O4 - HKCU\..\Run: [System Update] C:\WINDOWS\System\webcheck.exe O4 - HKCU\..\Run: [System Update2] c:\windows\system\taskmon.exe O4 - Startup: Erinnerungen für Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE O12 - Plugin for .mov: C:\Programme\Netscape\Communicator\Program\PLUGINS\Npqtw32.dll O12 - Plugin for .pif: C:\Programme\Netscape\Communicator\Program\PLUGINS\npaudio.dll O12 - Plugin for .exe: C:\Programme\Netscape\Communicator\Program\PLUGINS\npaudio.dll O12 - Plugin for .scr: C:\Programme\Netscape\Communicator\Program\PLUGINS\npaudio.dll O14 - IERESET.INF: SEARCH_PAGE_URL=http://www.microsoft.com/isapi/redir.dll?prd=ie&clcid=0x0407&ar=iesearch O14 - IERESET.INF: START_PAGE_URL=http://www.msn.de O14 - IERESET.INF: MS_START_PAGE_URL=http://www.msn.de O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {00000000-663f-49e8-bdf6-f26db51c7dd5} - O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?38028.5493634259 Würde mich riesig über Eure Hilfe freuen. Gruß Inge |
|
|
||
11.06.2004, 10:38
Member
Beiträge: 1095 |
#50
@Inge
Bitte dies in HiJAckThis Fixen Alles mit R0&R1 O4 - HKLM\..\Run: [Cat's Claw] C:\NORMAN\WIN95\CLAW95.EXE O4 - HKCU\..\Run: [System Update] C:\WINDOWS\System\webcheck.exe O4 - HKCU\..\Run: [System Update2] c:\windows\system\taskmon.exe Dann das hier ausführen http://www.rokop-security.de/main/article.php?sid=746&mode=thread&order=0 Dann nochmal Logfile posten Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 11.06.2004 um 13:11 Uhr von paff editiert.
|
|
|
||
11.06.2004, 10:56
Ehrenmitglied
Beiträge: 29434 |
#51
@Lostprophet
Ist alles o.k. die obscure dll ist wahrscheinlich von einem der Tools geloescht worden. Gruss Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
11.06.2004, 11:17
Ehrenmitglied
Beiträge: 29434 |
#52
@Inge71
Lade von dieser Site den AdAware, Spybot, CWShredder und Sphjfix.exe http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html und hier lade die mwav.exe http://www.mwti.net/antivirus/free_utilities.asp scanne mit dem HijackThis , hake an, was ich poste und dann \fix\ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\SYSTEM\CMINMAA.DLL/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\SYSTEM\CMINMAA.DLL/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\SYSTEM\CMINMAA.DLL/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\SYSTEM\CMINMAA.DLL/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\SYSTEM\CMINMAA.DLL/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\SYSTEM\CMINMAA.DLL/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O4 - HKLM\..\Run: [PrimaLauncher] C:\WINDOWS\SYSTEM\Launcher.exe O4 - HKCU\..\Run: [System Update] C:\WINDOWS\System\webcheck.exe O4 - HKCU\..\Run: [System Update2] c:\windows\system\taskmon.exe O16 - DPF: {00000000-663f-49e8-bdf6-f26db51c7dd5} - neustarten 1.Ohne Internetverbindung> scannen mit / AdAware /Spybot /Cwshredder /Sphjfix.exe /mwav.exe.....Antiviren/Tool 2. unter IntrnetOptionen die TemporaryIntermnetFiles loeschen und die Startseite neu einstellen 3. Lade den Firefox als Zweitbrowser...ist hijackerfrei http://www.firebird-browser.de/ Dann poste das Log noch einmal. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 11.06.2004 um 19:27 Uhr von Sabina editiert.
|
|
|
||
11.06.2004, 12:08
Member
Beiträge: 1095 |
#53
@Inge
Das auf keinen Fall fixen O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min Das ist dein Virenscanner Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
11.06.2004, 12:52
Ehrenmitglied
Beiträge: 29434 |
#54
@Hi Paff, ich habe das auch komisch gefunden, denn es ist ja der Antivirus...sollte es jedenfalls sein, suspekt ist der Eintrag trotzdem.
Kann es sein, dass der Antivirus zerstoert ist und von einem Virus manipuliert wurde .... MfG Sabina ................................................................................................ Zitat>von Paff @Inge Bitte dies in HiJAckThis Fixen Alles mit R0&R1 O4 - HKLM\..\Run: [Cat's Claw] C:\NORMAN\WIN95\CLAW95.EXE O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min O4 - HKCU\..\Run: [System Update] C:\WINDOWS\System\webcheck.exe O4 - HKCU\..\Run: [System Update2] c:\windows\system\taskmon.exe __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 11.06.2004 um 12:55 Uhr von Sabina editiert.
|
|
|
||
11.06.2004, 13:12
Member
Beiträge: 1095 |
#55
@sabina
Mist, wahr ja mein Fehler Ich hab's im oberen Post editiert, machs am besten in deinem auch Könnte sonst Verwirrungen geben Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
17.06.2004, 16:36
Member
Beiträge: 12 |
#56
@paff & @sabina
Sorry für die verspätete Rückmeldung. Habe die Schritte ausgeführt und bin auch geheilt. Ich danke Euch !!!!!!! :-) Super Hilfe. Hier mein jetziges Log: Logfile of HijackThis v1.97.7 Scan saved at 16:28:03, on 17.06.04 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v5.00 (5.00.2614.3500) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MDM.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAMME\PRIMAX\POWERTWAIN\PMXDETECT.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE C:\PROGRAMME\MICROSOFT MONEY\SYSTEM\REMINDER.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe O4 - HKLM\..\Run: [OEMCleanup] C:\WINDOWS\OPTIONS\OEMRESET.EXE O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [Scan Detector] C:\PROGRA~1\PRIMAX\POWERT~1\Pmxdetect.exe O4 - HKLM\..\Run: [Cat's Claw] C:\NORMAN\WIN95\CLAW95.EXE O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKCU\..\Run: [Reminder] C:\Programme\Microsoft Money\System\reminder.exe O4 - Startup: Erinnerungen für Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE O12 - Plugin for .mov: C:\Programme\Netscape\Communicator\Program\PLUGINS\Npqtw32.dll O12 - Plugin for .pif: C:\Programme\Netscape\Communicator\Program\PLUGINS\npaudio.dll O12 - Plugin for .exe: C:\Programme\Netscape\Communicator\Program\PLUGINS\npaudio.dll O12 - Plugin for .scr: C:\Programme\Netscape\Communicator\Program\PLUGINS\npaudio.dll O14 - IERESET.INF: SEARCH_PAGE_URL=http://www.microsoft.com/isapi/redir.dll?prd=ie&clcid=0x0407&ar=iesearch O14 - IERESET.INF: START_PAGE_URL=http://www.msn.de O14 - IERESET.INF: MS_START_PAGE_URL=http://www.msn.de O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?38028.5493634259 Gruß Inge |
|
|
||
18.06.2004, 12:28
Ehrenmitglied
Beiträge: 29434 |
#57
@Lostprophet
Du hast unter InternetOptionen keine Startseite eingestellt. Ansonsten ist alles ok. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
18.06.2004, 12:30
Ehrenmitglied
Beiträge: 29434 |
#58
@Inge 71
#stelle bitte unter InternetOptionen eine Startseite deiner Wahl ein und poste das Log noch einmal. Lade bitte den Firefox als SurfBrowser...ist hijackerfrei Dort kannst du auch eine Startseite einstellen. http://www.firebird-browser.de/ MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 18.06.2004 um 12:31 Uhr von Sabina editiert.
|
|
|
||
20.06.2004, 01:01
...neu hier
Beiträge: 4 |
#59
So seit heute morgen hab ich diesen Schei... auch *kotz*... ist das überhaupt rechtlich sich so einzunisten? naja egal... habe auch schon einige mal gefixed, cwshredder drüber laufen lassen -> neustart alles ist wieder wie vorher... hier mal meine log:
Logfile of HijackThis v1.97.7 Scan saved at 01:00:04, on 20.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE C:\Dokumente und Einstellungen\Marco\Desktop\HijackThis.exe C:\Programme\Internet Explorer\IEXPLORE.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Marco\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Marco\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Marco\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Marco\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Marco\LOKALE~1\Temp\sp.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Marco\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {3F14D10F-75FC-45ED-BC6D-E0AED7BF6221} - C:\WINDOWS\System32\kghphjj.dll O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKCU\..\Run: [DeeEnEs] C:\Dokumente und Einstellungen\Marco\Desktop\DeeEnEs.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: ICQ Pro (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O9 - Extra button: Recherchieren (HKLM) O9 - Extra button: ICQ Lite (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38050.3559953704 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{EEE2B8B9-C212-4461-B984-7DE16CE3C1D6}: NameServer = 217.237.151.225 194.25.2.129 Über eine Antwort würde ich mich sehr freuen, da ich diesen Schei... wieder weg haben will... Mit freundlichen Grüßen Mestro |
|
|
||
20.06.2004, 09:11
Ehrenmitglied
Beiträge: 29434 |
#60
@Mestro
fixe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Marco\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Marco\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Marco\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Marco\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Marco\LOKALE~1\Temp\sp.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Marco\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {3F14D10F-75FC-45ED-BC6D-E0AED7BF6221} - C:\WINDOWS\System32\kghphjj.dll neustarten Gehe in den abgesicherten Modus...F8 beim Hochfahren druecken dort suchst du C:\WINDOWS\System32\kghphjj.dll benennst sie um und loescht C:\WINDOWS\System32\->kghphjj _old.dll dann scannst du mit AdAware http://www.lavasoft.de/ Cwhredder http://www.spywareinfo.com/~merijn/downloads.html normal neustarten 1. Doppelklicken Sie in der Systemsteuerung auf Internetoptionen. 2. Klicken Sie auf die Registerkarte Allgemein, und klicken Sie danach unter Temporäre Internetdateien auf Dateien löschen. 3. Aktivieren Sie im Dialogfeld Dateien löschen das Kontrollkästchen Alle Offlineinhalte löschen, wenn Sie alle Webseiteninhalte löschen möchten, die Sie offline bereitgestellt haben. 4. Klicken Sie auf OK. dann stelle unter InternetOptionen eine neue Startseite ein und poste das Log noch einmal. Tip\ Lade den Firefox als SurfBrowser....ist hijackerfrei http://www.firebird-browser.de/ MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 20.06.2004 um 09:12 Uhr von Sabina editiert.
|
|
|
||
Servus.
also bei mir scheints jetzt wieder zu funktionieren. bin nochmals deinen anweisungen gefolgt, sabina, mit dem untschied das ich ad-watch-autostart enfernte und ich so plötzlich die einträge in der registry gefunden habe und somit auch löschen konnte. die besagte datei lkcp.dll/sp.html habe ich im Windows ordner aber nicht gefunden...gibts da noch ein problem mit???
Gruß
LP