"Search for..." Startseite kommt immer wieder!Thema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
26.06.2004, 00:03
Ehrenmitglied
Beiträge: 29434 |
||
|
||
26.06.2004, 00:57
...neu hier
Beiträge: 3 |
#107
Hi,
Ich habe mal den Quelltext der Seite "Search for" angesehen. Dasteht unten folgende Seite... http://oz.msie.tv/ folge diesem Link. Áuf der geöffneten Seite ist ein Linkt "uninstall software " http://oz.msie.tv/uninstall.exe unmittelbar nach dem Download und ausführen des Programms war meine Startseite wirklich wieder Blank und eine neu eingerichtete Startseite wurde auch wieder angezeigt. Ich weiß nicht wie lange es hilft, aber es war das einzigste was wirklich sofort geholfen hat. Bitte verbreitet diese Info weiter wenn ihr es getestet habt und es bei euch auch funktioniert. Ich bitte auch um Rückmeldung. Ich hoffe das ich helfen konnte. Gruß Bonanza |
|
|
||
26.06.2004, 11:56
...neu hier
Beiträge: 3 |
#108
hallo sabina
hier mein log hat alles wunderbar funktioniert danke für die hilfe Logfile of HijackThis v1.97.7 Scan saved at 11:55:23, on 26.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\NVIDIA Corporation\NvMixer\NvMixerTray.exe C:\WINDOWS\System32\ctfmon.exe D:\Downloads\AdminTools\1977\HijackThis.exe O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [NvMixerTray] C:\Programme\NVIDIA Corporation\NvMixer\NvMixerTray.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: concept/design's onlineTV (HKLM) O9 - Extra button: Recherchieren (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Messenger (HKLM) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{17045680-89B8-4061-AA71-862D085EA666}: NameServer = 195.185.185.195 O17 - HKLM\System\CS1\Services\Tcpip\..\{5BF1F27B-BADE-4F45-B961-4FBE9F9A5C3F}: NameServer = 195.185.185.195 O17 - HKLM\System\CS2\Services\Tcpip\..\{17045680-89B8-4061-AA71-862D085EA666}: NameServer = 195.185.185.195 O17 - HKLM\System\CS3\Services\Tcpip\..\{17045680-89B8-4061-AA71-862D085EA666}: NameServer = 195.185.185.195 |
|
|
||
26.06.2004, 13:30
...neu hier
Beiträge: 2 |
#109
Hi Sabina,
also ich hab die Anweisungen befolgt und die nervige Seite ist endlich weg! *freu Danke noch einmal und hier mein Log File! Logfile of HijackThis v1.97.7 Scan saved at 13:30:59, on 26.06.2004 Platform: Windows XP SP2, v.2096 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2096) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\brsvc01a.exe C:\WINDOWS\system32\brss01a.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe D:\Programme\Executive Software\Diskeeper\DkService.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton Personal Firewall\NISUM.EXE C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\Norton Personal Firewall\ccPxySvc.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\D-Tools\daemon.exe C:\Programme\Nokia\Nokia PC Suite 5\DataLayer.exe C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe C:\WINDOWS\system32\CTHELPER.EXE C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Nokia\Services\ServiceLayer.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Moony\moony.exe C:\PROGRA~1\Paragon\LASTMI~1\plmg.exe C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\Programme\Samsung\Digimax Viewer 1.0\DigimaxViewer.exe C:\Programme\iFinger\iFinger.exe C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE C:\Programme\Crazy Browser\Crazy Browser.exe C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE C:\Programme\Trillian\trillian.exe C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE F:\Install\Internet\HiJacker Site\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Oli\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Oli\LOKALE~1\Temp\sp.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Oli\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Oli\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Oli\LOKALE~1\Temp\sp.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Oli\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: (no name) - {A114D52B-870C-4F15-8021-B6D7F91A054B} - C:\Programme\iFinger\plugins\IE.ifp O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O2 - BHO: (no name) - {FFD1BBD3-CB69-4DEC-8453-7AE6416A3BE8} - C:\WINDOWS\system32\jjjdbeh.dll (file missing) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~2\AdvTools\ADVCHK.EXE O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [DataLayer] C:\Programme\Nokia\Nokia PC Suite 5\DataLayer.exe O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Moony] "C:\Programme\Moony\moony.exe" O4 - HKCU\..\Run: [plmg.exe] C:\PROGRA~1\Paragon\LASTMI~1\plmg.exe O4 - Startup: iFinger.lnk = C:\Programme\iFinger\iFinger.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: Digimax Viewer 1.0.lnk = ? O4 - Global Startup: iFinger 2.1.lnk = C:\Programme\iFinger\iFinger.exe O4 - Global Startup: iFinger.lnk = C:\Programme\iFinger\iFinger.exe O4 - Global Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE O8 - Extra context menu item: &Artikel hinzufügen - file://c:\add.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: Preispiraten 2.02 (HKLM) O9 - Extra button: Recherchieren (HKLM) O9 - Extra button: iFinger (HKLM) O9 - Extra button: Recherche-Assistent (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM) O9 - Extra button: Add bid (HKCU) O9 - Extra 'Tools' menuitem: Add bid (HKCU) O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{CF9CB396-B79A-42FF-82D2-BBB2234FC96E}: NameServer = 192.168.123.254 |
|
|
||
26.06.2004, 16:01
Ehrenmitglied
Beiträge: 29434 |
#110
@Oli00
leider ist alles noch beim alten... Fixe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Oli\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Oli\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Oli\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Oli\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Oli\LOKALE~1\Temp\sp.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Oli\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {FFD1BBD3-CB69-4DEC-8453-7AE6416A3BE8} - C:\WINDOWS\system32\jjjdbeh.dll (file missing) neustarten #lade sp http://www.rokop-security.de/main/article.php?sid=746 #lade Cwhredder http://www.spywareinfo.com/~merijn/downloads.html gehe in den abgesicherten Modus...F8 beim Hochfahren druecken loesche C:\WINDOWS\system32\jjjdbeh.dll wenn es nicht geht, benenne die dll um und loesche. http://www.wilderssecurity.com/showpost.php?p=199716&postcount=27 oder mache es mit dem Tool von dieser Site im Internet-Explorer unter dem Menüpunkt Extras -> Internetoptionen gibt es eine Startseite. Da sollte zumindest erstmal nicht die unerwünschte Seite drinstehen. #die TemporaryInternetFiles loeschen !!!!!unter InternetOptionen Jetzt geht es etwas ins Detail, aber keine Angst. Im Registrierungs-Editor (Start -> Ausführen und dort "regedit" eingeben und auf OK klicken) im Ordner: HKEY_CURRENT_USER -> Software -> Microsoft -> Internet Explorer -> und dort in den Ordnern "Main", "Search" und "SearchURL" setzen sich diese unerwünschten Seiten gerne rein unter den Parametern: DefaultSearch, DefaultSearchURL, Search Assistant oder Customize Search ... Oftmals sind diese Seiten hier hexadezimal verschlüsselt (da steht dann beispielsweise "http://%6f%75%74%2e%74%72%75%65%2d..." usw.), weil sie hier nicht erkannt werden wollen und gerne wichtig erscheinen möchten und natürlich den normalen Windows-Anwender (dazu zählen wir fast alle) verunsichern. Diese Parameter können ruhig gelöscht werden, aber BITTE keine anderen. Doppelklick auf die Parameterbezeichnung links und dann im unteren Feld den Wert einfach löschen und OK. Die gleiche Prozedur mußt du allerdings auch nochmal im Ordner HKEY_LOCAL_MACHINE -> gleiche Unterverzeichnisse durchführen. #scanne mit sp-Tool #scanne mit Cwshredder neustarten poste das Log noch einmal. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 26.06.2004 um 19:50 Uhr von Sabina editiert.
|
|
|
||
26.06.2004, 18:20
...neu hier
Beiträge: 7 |
#111
Hallo zusammen...
könnte sich mal jemand mein log file ansehen danke im voraus Logfile of HijackThis v1.97.7 Scan saved at 18:14:26, on 26.06.04 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MSTASK.EXE D:\PROGRAMME\KASPERSKY LAB\KASPERSKY ANTI-VIRUS PERSONAL\AVPCC.EXE C:\WINDOWS\EXPLORER.EXE D:\PROGRAMME\KASPERSKY LAB\KASPERSKY ANTI-VIRUS PERSONAL\AVPM.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\SYSTEM\HPZTSB04.EXE D:\PROGRAMME\KASPERSKY LAB\KASPERSKY ANTI-VIRUS PERSONAL\AVPCC.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\P2P NETWORKING\P2P NETWORKING.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE C:\PROGRAMME\KASPERSKY LAB\KASPERSKY ANTI-HACKER\KAVPF.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE D:\TOOLS\OW32DEDE723J.EXE C:\PROGRAMME\WINZIP\WINZIP32.EXE C:\WINDOWS\TEMP\HIJACKTHIS.EXE C:\PROGRAMME\OPERA7\J2RE-1_4_2_01-WINDOWS-I586.EXE C:\WINDOWS\SYSTEM\MSIEXEC.EXE R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://magicsearch.us/browser/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://magicsearch.us/browser/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://magicsearch.us/browser/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://magicsearch.us/browser/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://magicsearch.us/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://magicsearch.us/browser/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://magicsearch.us/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://magicsearch.us/browser/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://magicsearch.us/browser/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://magicsearch.us/browser/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://aifind.info/ R3 - URLSearchHook: PerfectNavBHO Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL O1 - Hosts: 207.68.176.190 www.auto.search.msn.com O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\PROGRAMME\MYWAY\MYBAR\1.BIN\MYBAR.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\PROGRAMME\MYWAY\MYBAR\1.BIN\MYBAR.DLL O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb04.exe O4 - HKLM\..\Run: [AVPCC] "d:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /wait O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - HKLM\..\Run: [Internat Conf] \bootconf.exe O4 - HKLM\..\Run: [P2P NETWORKING] C:\WINDOWS\SYSTEM\P2P NETWORKING\P2P NETWORKING.EXE /AUTOSTART O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [AVPCC Service] "d:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /service O4 - HKCU\..\Run: [Service Manager] C:\windows\dxsound.exe O4 - Startup: Erinnerungen für Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe O4 - Startup: Microsoft Office.lnk = C:\WINDOWS\Anwendungsdaten\Microsoft\Installer\{00170407-78E1-11D2-B60F-006097C998E7}\misc.exe O4 - Startup: Kaspersky Anti-Hacker.lnk = C:\Programme\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) - O19 - User stylesheet: c:\windows\my.css |
|
|
||
26.06.2004, 19:42
Ehrenmitglied
Beiträge: 29434 |
#112
@Sebuko
Fixe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://magicsearch.us/browser/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://magicsearch.us/browser/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://magicsearch.us/browser/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://magicsearch.us/browser/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://magicsearch.us/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://magicsearch.us/browser/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://magicsearch.us/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://magicsearch.us/browser/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://magicsearch.us/browser/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://magicsearch.us/browser/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://aifind.info/ R3 - URLSearchHook: PerfectNavBHO Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL O1 - Hosts: 207.68.176.190 www.auto.search.msn.com O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\PROGRAMME\MYWAY\MYBAR\1.BIN\MYBAR.DLL O4 - HKLM\..\Run: [Internat Conf] \bootconf.exe O4 - HKCU\..\Run: [Service Manager] C:\windows\dxsound.exe O4 - Startup: Microsoft Office.lnk = C:\WINDOWS\Anwendungsdaten\Microsoft\Installer\{00170407-78E1-11D2-B60F-006097C998E7}\misc.exe NEUSTARTEN #Lade dieses Tool und scanne<alle Datein< http://www.trojaner-board.de/forum/ultimatebb.cgi?ubb=get_topic;f=6;t=005602;p= #Gehe mal in die Host-Datei schau mal in c:\Windows\System32\drivers\etc\hosts Im Normalfall sollte dass hier drin stehen, alles andere loeschen !!!!!!!!!!!. 127.0.0.1 localhost #Orginal Host Datei #Lade AdAware free http://www.lavasoft.de/ # nutze mal diesen Cleaner: ftp://ftp.kaspersky.com/utils/clrav.com #Lade Cwhredder http://www.spywareinfo.com/~merijn/downloads.html #Lade Spybot http://www.safer-networking.org/index.php?page=download&lang=de ......................................................................................................... Dann suche eine C:\WINNT\system32\msxword.dll und, wenn sie da ist loesche sie. #loesche msxmidi.exe #unpacked-msxmidi.exe # erst alle Explorer Fenster schließen und anschließend ALLE Temporäre Datein in den Verzeichnisse: - C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp - C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files löschen, der Pfad kann bei einen anderem Username natürlich anders aussehen. im Internet-Explorer unter dem Menüpunkt Extras -> Internetoptionen gibt es eine Startseite. Da sollte zumindest erstmal nicht die unerwünschte Seite drinstehen. # Im Registrierungs-Editor (Start -> Ausführen und dort "regedit" eingeben und auf OK klicken) im Ordner: HKEY_CURRENT_USER -> Software -> Microsoft -> Internet Explorer -> und dort in den Ordnern "Main", "Search" und "SearchURL" setzen sich diese unerwünschten Seiten gerne rein unter den Parametern: DefaultSearch, DefaultSearchURL, Search Assistant oder Customize Search ... Oftmals sind diese Seiten hier hexadezimal verschlüsselt (da steht dann beispielsweise "http://%6f%75%74%2e%74%72%75%65%2d..." usw.), weil sie hier nicht erkannt werden wollen und gerne wichtig erscheinen möchten und natürlich den normalen Windows-Anwender (dazu zählen wir fast alle) verunsichern. Diese Parameter können ruhig gelöscht werden, aber BITTE keine anderen. Doppelklick auf die Parameterbezeichnung links und dann im unteren Feld den Wert einfach löschen und OK. Die gleiche Prozedur musst du allerdings auch nochmal im Ordner HKEY_LOCAL_MACHINE -> gleiche Unterverzeichnisse durchführen. #surfe nur mit dem Firefox...ist hijackerfrei http://www.firebird-browser.de/ Dann poste das Log noch einmal, um zu sehen, ob die Viren wegsind. MfG Sabina HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Run "Service Manager" = (%path to trojan%)\DXSOUND.EXE The file bootconf.exe may exist on your system, which is used by a hijacker related to coolwwwsearch, coolwebsearch, youfindall.net, ok-search.com and white-pages.ws. Check the troubleshooting advice above for guidance on finding and getting rid of such hijackers. http://inetexplorer.mvps.org/data/coolwebsearch.htm http://vil.nai.com/vil/content/v_100886.htm __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 26.06.2004 um 19:54 Uhr von Sabina editiert.
|
|
|
||
27.06.2004, 00:00
Member
Beiträge: 13 |
#113
Hallo,
da ich von dem gleichen Problem betroffen bin, mal eine ganz dumme Frage was bedeutet "fixe" = löschen der betreffenden Einträge? Ich denke ich werde ich in meinem log file einige der hier genannten Einträge finden, kann ich die dann bedenkenlos entfernen oder laufe ich Gefahr meinen PC abzuschießen? Danke und Gruß Neritia |
|
|
||
27.06.2004, 11:28
Ehrenmitglied
Beiträge: 29434 |
#114
@neritia
besser, du laedst das HijackThis, scannst , save und kopierst das Log ins Forum. Fixen bedeutet, die als Malware erkannten Eintraege anzuhaken und dann auf den Button <fix< zu druecken und dann neuzubooten. http://board.protecus.de/t9391.htm MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 27.06.2004 um 11:28 Uhr von Sabina editiert.
|
|
|
||
27.06.2004, 19:20
Member
Beiträge: 26 |
#115
ok hi leute! hab das selbe problem und wie gesehen hab konntet ihr ja schon einigen leute helfen!
hier mein log: Logfile of HijackThis v1.97.7 Scan saved at 19:19:27, on 27.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\WINDOWS\System32\CTsvcCDA.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe C:\WINDOWS\System\plugin.exe C:\WINDOWS\System32\rundll32.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe C:\Programme\eMule\emule.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Admin\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Admin\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Admin\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Admin\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Admin\LOKALE~1\Temp\sp.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Admin\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = file:///C:/Programme/Onlinedirect/Portal/portal.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {021BB032-80A8-4FB6-B3D5-CF27B1553B95} - C:\WINDOWS\mslagent\4b_1,0,1,0_mslagent.dll (file missing) O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {51D70C6A-7FAB-4AA5-89AA-AB3251959871} - C:\WINDOWS\System32\ncleogb.dll O2 - BHO: (no name) - {8D18DE25-0A5C-4432-AE2C-C87115A92E92} - (no file) O2 - BHO: (no name) - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\SBAudigy\Program\CTEaxSpl.EXE /run O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBAudigy\PROGRAM\ADGJDet.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [websx] C:\Programme\websx\int5529.exe -auto O4 - HKLM\..\Run: [System] C:\WINDOWS\System\plugin.exe O4 - HKLM\..\RunServices: [Microsoft Update] scvhost.exe O4 - HKCU\..\Run: [RemoteCenter] C:\Programme\Creative\SBAudigy\RemoteCenter\Rc\RcMan.EXE O4 - HKCU\..\Run: [Taskbar] C:\Programme\Creative\SBAudigy\Taskbar\CTLTask.exe O4 - HKCU\..\Run: [Instant Access] rundll32.exe p2esocks_1015.dll,InstantAccess O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE O4 - HKLM\..\RunOnce: [Ad-aware] "C:\Programme\Lavasoft\Ad-aware 6\Ad-aware.exe" "+b1" O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_all.htm O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_link.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: ICQ Pro (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O9 - Extra button: FlashGet (HKLM) O9 - Extra 'Tools' menuitem: &FlashGet (HKLM) O15 - Trusted Zone: http://*.windowsupdate.com O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38164.0186342593 wäre echt toll wenn auch ich das wegbekommen würde! thx im vorraus! |
|
|
||
27.06.2004, 20:04
...neu hier
Beiträge: 2 |
#116
ich habe auch das proplem mit dieser dummen startseite. wäre euch sehr dankbar wenn mir jemand helfen könnte.
Logfile of HijackThis v1.97.7 Scan saved at 16:33:10, on 27.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\NORTON~1\navapw32.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\PROGRA~1\PHILIP~1\VProperty.exe C:\WINDOWS\System32\sstray.exe C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\QuickTime\qttask.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Spamihilator\spamihilator.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\svchost.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\Stefan\LOKALE~1\Temp\Rar$EX00.781\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Stefan\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Stefan\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Stefan\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Stefan\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Stefan\LOKALE~1\Temp\sp.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Stefan\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.searchwww.com/search.cgi?s=%s R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O2 - BHO: (no name) - {C8A92CB2-2253-4DFF-83F5-0B8E74A23636} - C:\WINDOWS\System32\hbhbm.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [ToUcamVProperty] C:\PROGRA~1\PHILIP~1\VProperty.exe O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe" O4 - HKCU\..\Run: [Msmsgs] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab O16 - DPF: {086A694F-91FB-4068-B44C-124FB69BF05D} - http://www.searchwww.com/search.cab O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw-intl.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/02bc89c9ba3731880e16/netzip/RdxIE601_de.cab O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20030625/qtinstall.info.apple.com/abarth/de/win/QuickTimeInstaller.exe O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37962.3735648148 O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - http://www.moviegroup.tv/activex/DownloadMgr.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab mfg scrat |
|
|
||
27.06.2004, 20:26
Ehrenmitglied
Beiträge: 29434 |
#117
@demoness
Fixe mit dem HijackThis R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Admin\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Admin\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Admin\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Admin\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Admin\LOKALE~1\Temp\sp.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Admin\LOKALE~1\Temp\sp.html hier musst du selbst wissen, ob du es fixt oder ob es deine Startseite ist. R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Startpagina = file:///C:/Programme/Onlinedirect/Portal/portal.html O2 - BHO: (no name) - {021BB032-80A8-4FB6-B3D5-CF27B1553B95} - C:\WINDOWS\mslagent\4b_1,0,1,0_mslagent.dll (file missing) O2 - BHO: (no name) - {51D70C6A-7FAB-4AA5-89AA-AB3251959871} - C:\WINDOWS\System32\ncleogb.dll O2 - BHO: (no name) - {8D18DE25-0A5C-4432-AE2C-C87115A92E92} - (no file) O4 - HKLM\..\Run: [websx] C:\Programme\websx\int5529.exe -auto O4 - HKLM\..\Run: [System] C:\WINDOWS\System\plugin.exe O4 - HKLM\..\RunServices: [Microsoft Update] scvhost.exe O4 - HKCU\..\Run: [Instant Access] rundll32.exe p2esocks_1015.dll,InstantAccess neustarten #Lade escan (mwav.exe) und scanne alle Dateien. http://www.mwti.net/antivirus/free_utilities.asp #Lade AdAware free http://www.lavasoft.de/ # nutze mal diesen Cleaner: ftp://ftp.kaspersky.com/utils/clrav.com #Lade Cwhredder http://www.spywareinfo.com/~merijn/downloads.html #Lade Spybot http://www.safer-networking.org/index.php?page=download〈=de #lade a2 free http://www.emsisoft.de/de/software/free/ #mache einen Onlinescann http://bitdefender.buhl.de/scan/licence.html ................................................................................................. Gehe in den abgesicherten Modus...F8 beim Hochfahren druecken Loesche C:\WINDOWS\mslagent\4b_1,0,1,0_mslagent.dll C:\WINDOWS\System32\ncleogb.dll #scanne noch einmal mit dem escan #mache einen Vollscann mit dem Symantec neustarten #Loesche unter InternetOptionen die TemporaryInternetFiles und stelle eine neue Startseite ein. Dann poste das Log noch mal, um zu sehen, ob die Viren die Viren geloescht sind. http://securityresponse.symantec.com/avcenter/venc/data/w32.hllw.gaobot.ae.html C:\WINDOWS\navpmc\ http://sarc.com/avcenter/venc/data/adware.instantaccess.html http://securityresponse.symantec.com/avcenter/venc/data/trojan.simcss.b.html http://securityresponse.symantec.com/avcenter/venc/data/dialer.instantaccess.html MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 27.06.2004 um 20:33 Uhr von Sabina editiert.
|
|
|
||
27.06.2004, 20:40
Ehrenmitglied
Beiträge: 29434 |
#118
@scrat28
Fixe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Stefan\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Stefan\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Stefan\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Stefan\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Stefan\LOKALE~1\Temp\sp.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Stefan\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.searchwww.com/search.cgi?s=%s R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank O2 - BHO: (no name) - {C8A92CB2-2253-4DFF-83F5-0B8E74A23636} - C:\WINDOWS\System32\hbhbm.dll O16 - DPF: {086A694F-91FB-4068-B44C-124FB69BF05D} - http://www.searchwww.com/search.cab NEUSTARTEN Gehe in den abgesicherten Modus...F8 beim Hochfahren druecken loesche dort C:\WINDOWS\System32\hbhbm.dll Loesche unter InternetOptionen die TemporaryInternetFiles und stelle eine neue Startseite ein. neustarten #Lade escan (mwav.exe) ...30 Tage free und scanne alle Dateien. http://www.mwti.net/antivirus/free_utilities.asp #Lade AdAware free http://www.lavasoft.de/ # nutze mal diesen Cleaner: ftp://ftp.kaspersky.com/utils/clrav.com #Lade Cwhredder http://www.spywareinfo.com/~merijn/downloads.html #Lade Spybot http://www.safer-networking.org/index.php?page=download〈=de MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 27.06.2004 um 20:40 Uhr von Sabina editiert.
|
|
|
||
27.06.2004, 20:42
Member
Beiträge: 13 |
#119
@Sabina,
hier mein aktuelles Logfile, bitte schaue es dir mal an und sag mir welche Einträge ich fixen soll bzw. welche schritte ich noch unternehmen kann. Sobald die schädlichen Einträge entfernt sind werde ich auf Firefox wechseln. Logfile of HijackThis v1.97.7 Scan saved at 20:20:18, on 27.06.2004 Platform: Windows XP SP2, v.2149 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2149) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\cisvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\cidaemon.exe C:\Dokumente und Einstellungen\Owner\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Owner\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Owner\LOKALE~1\Temp\sp.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/freenet/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://0cj.net/cat R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Owner\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://0cj.net/srchasst.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Owner\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Owner\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://0cj.net/cat R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://0cj.net/cat R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://0cj.net/srchasst.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Owner\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://windowsupdate.microsoft.com/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://4-v.net/srchasst.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://4-v.net/srchasst.html R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://0cj.net/srchasst.html O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: ie - {2FF5573C-0EB5-43db-A1B2-C4326813468E} - (no file) O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file) O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM) O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://bin.mcafee.com/molbin/shared/mcinsctl/de/4,0,0,76/mcinsctl.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.143/code/PWActiveXImgCtl.CAB O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab O16 - DPF: {8E28B3A9-FE83-45D1-B657-D5426B81A121} (CustomerCtrl Class) - https://cs8b.instantservice.com/jars/customerxsigned41.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38155.2858564815 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4365/mcfscan.cab O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{11EF6398-5340-4545-8D63-1269C24C6AE1}: NameServer = 192.168.4.220 Vorab wurden folgende Programme ausgeführt, Ad-aware, Spybot-Serch&Destroy, CWShredder, Hijack Fixer und Kaspersky Antivir 4.5 Ach ist übrigens ne super Arbeit die ihr hier leistet. Danke und Gruß Neritia |
|
|
||
27.06.2004, 20:55
Ehrenmitglied
Beiträge: 29434 |
#120
@neritia
Fixe mit dem HijackThis R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Owner\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Owner\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://0cj.net/cat R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Owner\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://0cj.net/srchasst.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Owner\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Owner\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://0cj.net/cat R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://0cj.net/cat R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://0cj.net/srchasst.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Owner\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://4-v.net/srchasst.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://4-v.net/srchasst.html R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://0cj.net/srchasst.html O2 - BHO: ie - {2FF5573C-0EB5-43db-A1B2-C4326813468E} - (no file) neustarten Lade escan (mwav.exe) und scanne alle Dateien http://www.mwti.net/antivirus/free_utilities.asp Lade sp http://www.rokop-security.de/main/article.php?sid=746 Lade Cwshredder http://www.spywareinfo.com/~merijn/downloads.html Lade Antivir.stelle ein <alle Dateien scannen< http://www.free-av.de/ Lade AdAware free http://www.lavasoft.de/support/download/ Lade eine Firewall http://smb.sygate.com/products/spf_standard.htm # Spybot, stelle unter den Optionen ein,keine IE-Startseiteveraenderung Loesche unter InternetOptionen die TemporaryInternetFiles und dann poste das Log noch einmal. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 27.06.2004 um 21:21 Uhr von Sabina editiert.
|
|
|
||
Fixe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Trigger\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Trigger\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Trigger\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Trigger\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Trigger\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Trigger\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {B291E473-852B-4DE5-AB7F-447AC94A15E3} - C:\WINDOWS\System32\eni.dll
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
neustarten
Loesche im abgesicherten Modus C:\WINDOWS\System32\eni.dll
#Lade Sphijfix.exe
http://www.rokop-security.de/main/article.php?sid=746
#Lade alle Tools und scanne
http://www.rokop-security.de/main/article.php?sid=703
#loesche unter InternetOptionen die TemporaryInternetFiles und poste das Log noch einmal.
Gruss
Sabina
__________
MfG Sabina
rund um die PC-Sicherheit