startseite lässt sich nicht ändern

#0
30.08.2004, 15:20
...neu hier

Beiträge: 3
#16 Hallochen,
ich habe das gleiche Problem mit der Startseite,
hab auch schon einiges versucht nur weiß ich eben nicht was ich alles löschen kann. Hier mal meine Liste:


Logfile of HijackThis v1.98.2
Scan saved at 15:11:52, on 30.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\RVS\WCOM\SYSTEM\RVSINST.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\RVS\WCOM\SYSTEM\RVSCC.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\Programme\Roxio\WinOnCD 6 PE\DirectCD\DirectCD.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Messenger Plus! 2\MsgPlus.exe
C:\HP\KBD\KBD.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\unzipped\hijackthis_198\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de8.hpwis.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-de8.hpwis.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/sb/*http://www.yahoo.com/search/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/sp/*http://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.makemesearch.com/?said=114
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.freenet.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-de8.hpwis.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.makemesearch.com/?said=114
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*http://www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {22A637A6-5EC1-9D0D-83C4-1610C376ED03} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Search Toolbar - {9EAC0102-5E61-2312-BC2D-4E4153202020} - C:\WINDOWS\System32\NAS.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Search Toolbar - {9EAC0102-5E61-2312-BC2D-4E4153202020} - C:\WINDOWS\System32\NAS.dll
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C64 Series" /O6 "USB001" /M "Stylus C64"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\WinOnCD 6 PE\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [MessengerPlus2] "C:\Programme\Messenger Plus! 2\MsgPlus.exe"
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O16 - DPF: {11111111-1111-1111-1111-111111111123} - ms-its:mhtml:file://c:\nosuch.mht!http://www.awmdabest.com/bltd/114.chm::/file.exe
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-9.cab

Ich hoffe mir kann mal jemand helfen, das piept einen nämlich an :-)))

Ach so und dann hab ich noch so ne komische "Suchleiste" die ich auch nicht haben will, ist in jedem Ordner drin.

Viele Grüße,
Radi
Seitenanfang Seitenende
30.08.2004, 16:18
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#17 Hallo @radiline

scanne mit dem Hijackthis, hake an, was ich angebe und <fix<
dann sofort neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de8.hpwis.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-de8.hpwis.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/sb/*http://www.yahoo.com/search/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/sp/*http://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.makemesearch.com/?said=114
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://srch-de8.hpwis.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.makemesearch.com/?said=114
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*http://www.yahoo.com
O2 - BHO: (no name) - {22A637A6-5EC1-9D0D-83C4-1610C376ED03} - (no file)
O2 - BHO: Search Toolbar - {9EAC0102-5E61-2312-BC2D-4E4153202020} - C:\WINDOWS\System32\NAS.dll
O3 - Toolbar: Search Toolbar - {9EAC0102-5E61-2312-BC2D-4E4153202020} - C:\WINDOWS\System32\NAS.dll
O4 - HKLM\..\Run: [MessengerPlus2] "C:\Programme\Messenger Plus! 2\MsgPlus.exe"

O16 - DPF: {11111111-1111-1111-1111-111111111123} - ms-its:mhtml:file://c:\nosuch.mht!http://www.awmdabest.com/bltd/114.chm::/file.exe

neustarten


#Deinstalliere den Messenger Plus! 2 und loesche alles, was mit ihm zu tun hat.
#Loesche unter <Internetoptionen< die Temporary-internetfiles (auch die Offline)

#Lade eScan (entpacke in C:\ base, einen Ordner, den du vorher erstellst)
http://www.mwti.net/antivirus/free_utilities.asp

Nun suchst du eine "kavupd.exe" und anklicken.
<Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt (dauert ein bisschen)
.........................................................................................................
#Gehe in den abgesicherten Modus
http://www.bsi.de/av/texte/winsave.htm

#suche "mwav.exe und starte so den< eScan<. Alle Häkchen setzen und "Clean-Scan" klicken

normal neustarten

##Lade AdAware (free) ..scanne <alle Dateien<
http://www.lavasoft.de/support/download/

#scanne noch mal mit mwav.exe und poste alles, was no deleted, no action taken oder deleted ist.
#Stelle eine neue Startseite unter <Internetoptionen<ein und poste das Log noch mal.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 30.08.2004 um 16:24 Uhr von Sabina editiert.
Seitenanfang Seitenende
30.08.2004, 16:45
Member

Beiträge: 1095
#18 @radiline

Wegen Messanger Plus!2 , man muß ihn vielleicht nicht hleich deinstallieren aber lies dies hier mal durch
http://forums.spywareinfo.com/index.php?showtopic=20849

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
30.08.2004, 16:49
...neu hier

Beiträge: 3
#19 Hallo Sabina,
ich mache das heute abend alles mal, weils ja bischen dauert.
ne Frage hab ich aber noch: Muss ich den Messenger wirklich löschen? Den hab ich schon paar Monate und das Prob hab ich erst seit paar Tagen (mein Mann war wieder auf Seiten die man nicht unbedingt anklickt - hab schon getopt :-)) )

Gruß,
Radi
Seitenanfang Seitenende
30.08.2004, 18:10
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#20 @radiline
Das hat @paff mit seinem Link schon beantwortet.(der Messenger hat Spyware)
mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.08.2004, 18:55
...neu hier

Beiträge: 3
#21 Jo hab ich gesehen, kann aber nix verstehen weil alles englisch ist und ich davon keinen Dunst habe.
Seitenanfang Seitenende
31.08.2004, 17:25
Member

Beiträge: 1095
#22 @radiline

Im Wesentlichen gehts in dem Link darum, das man den MSG Messanger "ohne" Adware (Also Werbung) installieren kann. Dies muß allerdings bei der Installation angegeben werden.

Anmerkung: Ist 'ne ziemliche Sauerei eigentlich, aber so ist der Hersteller fein raus.

Such mal im Netz, ob du irgendwo eine Anleitung findest dem
Messanger Plus!2
diese Werbung auszutreiben ohne neu zu installieren !

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
04.09.2004, 16:02
...neu hier

Beiträge: 10
#23 guten tag allerseits,

bin dann wohl der dritte im bunde mit dem gleichen problem ;)

habe auch eine enlische site als startseite, die ich aber als solche nicht verwenden möchte (zusätzlich öffnet sich auch ein popup beim start vom IE) ich habe auch schon mit dem angegebenen script versucht das problem zu lösen, gebracht hat es leider nichts.

daher hier mein hijackThis log, hoffe und glaube ihr könnt mir helfen, thx schon mal im voraus..


Logfile of HijackThis v1.98.2
Scan saved at 16:01:34, on 04.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Winamp3\winampa.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\programme\powerstrip\pstrip.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Andreas\Eigene Dateien\Hijack This\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Andreas\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Andreas\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Andreas\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Andreas\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Andreas\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Andreas\LOKALE~1\Temp\sp.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {15ACE85C-0BB1-42d1-9E32-07EB0506675A} - C:\WINDOWS\System32\aaquoa.dll
O2 - BHO: (no name) - {4399242A-D9B8-4AED-9588-EBEEF53475A7} - C:\WINDOWS\System32\niteteq.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {FEAFC9A6-5ABF-484F-B1DF-86BAC561CC26} - C:\WINDOWS\System32\jhima.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PowerStrip] c:\programme\powerstrip\pstrip.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [Steam] "c:\programme\valve\steam\steam.exe" -silent
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O18 - Filter: text/html - {7B799829-15EC-4E8B-A735-FCBDE3280205} - C:\WINDOWS\System32\jhima.dll
O18 - Filter: text/plain - {7B799829-15EC-4E8B-A735-FCBDE3280205} - C:\WINDOWS\System32\jhima.dll

mfg

hummer
Dieser Beitrag wurde am 04.09.2004 um 16:11 Uhr von hummer editiert.
Seitenanfang Seitenende
04.09.2004, 17:14
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#24 @hummer

fixe mit dem HijackThis:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Andreas\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Andreas\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Andreas\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Andreas\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Andreas\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Andreas\LOKALE~1\Temp\sp.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {15ACE85C-0BB1-42d1-9E32-07EB0506675A} - C:\WINDOWS\System32\aaquoa.dll
O2 - BHO: (no name) - {4399242A-D9B8-4AED-9588-EBEEF53475A7} - C:\WINDOWS\System32\niteteq.dll
O2 - BHO: (no name) - {FEAFC9A6-5ABF-484F-B1DF-86BAC561CC26} - C:\WINDOWS\System32\jhima.dll
O18 - Filter: text/html - {7B799829-15EC-4E8B-A735-FCBDE3280205} - C:\WINDOWS\System32\jhima.dll
O18 - Filter: text/plain - {7B799829-15EC-4E8B-A735-FCBDE3280205} - C:\WINDOWS\System32\jhima.dll

neustarten

#Loesche unter <Internetoption< die TemporaryInternetfiles
#Start<Ausfuehren%temp%
und loesche alle C:\DOKUME~1\Andreas\LOKALE~1\Temp (Ordner )

#Downloaden und installieren: Advanced Process Manipulation
http://www.diamondcs.com.au/index.php?page=apm
Loesche:
C:\WINDOWS\System32\jhima.dll
C:\WINDOWS\System32\aaquoa.dll
C:\WINDOWS\System32\niteteq.dll

#Lade eScan (entpacke in C:\ base, einen Ordner, den du vorher erstellst)
http://www.mwti.net/antivirus/free_utilities.asp

Nun suchst du eine "kavupd.exe" und anklicken.
<Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt (dauert ein bisschen)
.........................................................................................................
#Gehe in den abgesicherten Modus
http://www.bsi.de/av/texte/winsave.htm

#suche "mwav.exe und starte so den< eScan<. Alle Häkchen setzen und "Clean-Scan" klicken

normal neustarten

##Lade AdAware (free) ..scanne <alle Dateien<
http://www.lavasoft.de/support/download/

#scanne noch mal mit mwav.exe und poste alles, was no deleted, no action taken oder deleted ist.
#Stelle eine neue Startseite unter <Internetoption< ein und poste das Log noch mal.
mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 05.09.2004 um 15:15 Uhr von Sabina editiert.
Seitenanfang Seitenende
05.09.2004, 14:10
...neu hier

Beiträge: 10
#25 hallöchen, habe ein kleines verständnisproblem..

Zitat

und loesche alle C:\DOKUME~1\Andreas\LOKALE~1\Temp \-Ordner \Dateien
meinst du also alle dateien und ordner in dem ornder C:\DOKUME~1\Andreas\LOKALE~1\Temp \-Ordner \Dateien löschen?

mfg
hummer
Dieser Beitrag wurde am 05.09.2004 um 14:12 Uhr von hummer editiert.
Seitenanfang Seitenende
05.09.2004, 15:07
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#26 Hallo @hummer

Downloaden und installieren: Advanced Process Manipulation
http://www.diamondcs.com.au/index.php?page=apm

APM starten, im oberen Fenster explorer.exe und/oder iexplore.exe suchen und markieren.

Dann werden im unteren Fenster alle geladenen Module von explorer.exe angezeigt.
Im unteren Fenster nach der O2-BHO (no name) - DLL suchen die in Hijackthis angezeigt wird.

O2 - BHO: (no name) - {15ACE85C-0BB1-42d1-9E32-07EB0506675A} - C:\WINDOWS\System32\aaquoa.dll
O2 - BHO: (no name) - {4399242A-D9B8-4AED-9588-EBEEF53475A7} - C:\WINDOWS\System32\niteteq.dll
O2 - BHO: (no name) - {FEAFC9A6-5ABF-484F-B1DF-86BAC561CC26} - C:\WINDOWS\System32\jhima.dll

Ist daran zu erkennen das sie keinem Programm zugeordnet ist.

Rechtsklick auf die gefundene DLL/Eintrag (aaquoa.dll,niteteq.dll,jhima.dll) im unteren Fenster -> Unload Dll.

Dann kann APM beendet werden und mit Hijackthis die Einträge markiert und gefixt und die entladene DLL gelöscht werden.
und Temp-Ordner + Temporäre-Internetfiles Ordner leeren.

1.Start<Ausfuehren%temp% (alles loeschen)
2. Start<Sysyemsteuerung<Internetoption <temporaryInternetFiles loeschen

Danach noch die Upgedateten Spyware-Tools drüberlaufen lassen um die Registry-Einträge zu bereinigen (hier in diesem Fall "eScan" und "AdAware"

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 05.09.2004 um 15:22 Uhr von Sabina editiert.
Seitenanfang Seitenende
05.09.2004, 17:03
...neu hier

Beiträge: 10
#27 hallo,
habe das problem dank deiner hilfe gelöst, hab es jetzt so gemacht wie du es mir im ursprünglichen post beschrieben hast.

vielen vielen dank @ sabina,

hier noch mal das log:

Logfile of HijackThis v1.98.2
Scan saved at 17:01:59, on 05.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Winamp3\winampa.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\programme\powerstrip\pstrip.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Andreas\Eigene Dateien\Hijack This\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Andreas\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Andreas\LOKALE~1\Temp\sp.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Andreas\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Andreas\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Andreas\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Andreas\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PowerStrip] c:\programme\powerstrip\pstrip.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [Steam] "c:\programme\valve\steam\steam.exe" -silent
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

besten dank nochmal

mfg
hummer
Seitenanfang Seitenende
05.09.2004, 17:44
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#28 Hallo @hummer ;)

Der Startseitentrojaner ist noch drauf

Fixe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Andreas\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Andreas\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Andreas\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Andreas\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Andreas\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Andreas\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank


neustarten

#Lade eScan (entpacke in C:\ base, einen Ordner, den du vorher erstellst)
http://www.mwti.net/antivirus/free_utilities.asp

Nun suchst du eine "kavupd.exe" und anklicken.
<Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt (dauert ein bisschen)
.........................................................................................................
#Gehe in den abgesicherten Modus
http://www.bsi.de/av/texte/winsave.htm

#suche "mwav.exe und starte so den< eScan<. Alle Häkchen setzen und "Clean-Scan" klicken

normal neustarten

und poste das Log noch mal und ob der Scanner was gefunden\geloescht hat)

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 05.09.2004 um 17:49 Uhr von Sabina editiert.
Seitenanfang Seitenende
05.09.2004, 19:57
...neu hier

Beiträge: 10
#29 hi @ sabina, danke fuer den hinweis, ist ja mehr als gut zu wissen ;)

hier das log zum 3. und einen herzlichen dank..

Logfile of HijackThis v1.98.2
Scan saved at 19:54:40, on 05.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Winamp3\winampa.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\programme\powerstrip\pstrip.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Winamp3\studio.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Andreas\Eigene Dateien\Hijack This\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PowerStrip] c:\programme\powerstrip\pstrip.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [Steam] "c:\programme\valve\steam\steam.exe" -silent
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

geloescht hat der scanner jetzt auch nichts mehr, war aber beim ersten durchgang der fall, die namen der files hab ich aber leider nicht mehr.

mfg
hummer
Dieser Beitrag wurde am 05.09.2004 um 19:59 Uhr von hummer editiert.
Seitenanfang Seitenende
05.09.2004, 19:59
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#30 Hallo @hummer
Das sieht gut aus ;)
Nun lade noch den Browser Firefox, stelle eine Startseite ein und surfe nur mit ihm (ist sicherer als der IE)
http://www.firebird-browser.de/

#TemporaryIntenetfiles loeschen:
Loesche die Files mit <Winsweep<
http://www.winsweep.de/down.htm
Klicke auf die Grafik , da erscheint der Download.
Dann musst du das Tool nicht kaufen, sondern einfach ab und zu "System reinigen" anklicken.
Dann das Tool wieder aus dem Autostart nehmen
Start<Ausfuehren<msconfig<Systemstart< das Haekchen vor Winsweep rausnehmen.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 05.09.2004 um 20:04 Uhr von Sabina editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
  • »
  • »
  • »
  • »
  • »