HWE-Forum.de

Mahlzeit Jungz uns Mädelz,

Mein Cheffe hat sich mal wieder (zum ca. 1000. mal  ::) )  'nen Hijacker eingefangen, aber so ein hartnäckiges Biest ist mir noch nicht untergekommen...

Die Startseite wird auf about:blank geändert und im Browserfenster erscheint eine Seite mit dem Titel "Search for.." ... anscheinend eine Art von CoolWebSearch.

Das ganze scheint sich um eine Datei namens akafep.dll im System32 Ordner zu drehen, die laut WinPatrol als Hilfsprogramm für den Internet Explorer installiert ist. Versuche, diese Datei zu Löschen, enden in der Fehlermeldung, dass die Datei von Windows verwendet wird (auch im abgesicherten Modus).

Spybot S&D findet gar nix.
CWShredder, Ad-aware und etliche andere Tools finden zwar was, entfernen das angeblich auch, aber es funktioniert leider nicht.

Das IE-Hilfsprogramm akafep.dll lässt sich unter WinPatrol auch entfernen, ist aber trotzdem noch da.

Es tauchen auch in der Registry unter Current_User\Software\Microsoft\Internet Explorer\Main merkwürdige einträge auf:

Die normalerweise eingestellte Startseite findet sich im Key Start_Page_bak. Start_Page ist auf about:blank gesetzt.
Search_Bar und noch ein par andere Keys enthalten kryptische Werte wie res://%1%2%3...

Das Ändern dieser Werte bringt herzlich wenig, da diese sich kurze Zeit später wieder von selbst verändern.

Es laufen keinerlei verdächtige Prozesse im Hintergrund und auch unter HKEY_LOCAL_MACHINE\blablabla\Current Version\Run steht nix verdächtiges.

Also ich bin irgendwie mit meinem Latein am Ende  ??? ... auch Google gibt nix her....

Falls jemand eine Idee hat ... ich bin für jeden Vorschlag dankbar.

versuch doch die datei unter linux zu löschen

Ich hab's hinbekommen *freu*

Eine Anleitung dafür gibt's von mir per Mail gegen einen kleinen Kostenbeitrag von 10€  ;D *scherz*



Hier die Anleitung:

Windwos starten und direkt nach dem Start die Eingabeaufforderung starten (Start->Ausführen->cmd)

Hier jetzt die akafep.dll löschen (z.B.: del C:\WINDOWS\SYSTEM32\AKAFEP.DLL)

Anschließend mit WinPatrol unter IE-Helper nochmals die AKAFEP.DLL entfernen.

Nun noch einmal CWShredder und Ad-Aware drüberlaufen lassen um die Registry-Einträge des Hijakers zu entfernen.

Sollten zwischendurch Hinweise von WinPatrol kommen, dass die Startseite oder Suchseite geändert wurde, diese mit "Ja" beantworten.

Und schon ist das Problem gelöst.

 :'(Hallo
hört sich gut an ,endlich mal was über diese -Search For...-Seite
die ist unlöschbar  (die reinste Nötigung ,man sollte CWS verklagen!!!!!!!!!!!!!!!!!!!!!!!).
Werde deine Lösung anwenden ,hab ihn nur grad wieder mit --
CWS
Spybot
Ad-Aware
Hijack-This
Win-Patrol
Purge-ID
Spoon-weg
Spy-Hunter
und Tune up Utilities gelöscht ,was aber nichts bringt. :'(
Mal sehen was passiert, werde mein Ergebnis mitteilen.
;D freue mich schon wenn nach einem Tag das sch***ding wieder da ist. :o ------  >:( -------  :'(

HI,
hab mir auch so ein coolwebsearch Biest eingefangen. AdAware scannt, aber nix tut sich. Seite geht beim Start des IE wieder auf about:blank mit einer Suchmaschine.

Bin ziemlich ratlos. Ideen?

MfG,
JoeK

HI, glaube, bin das Dreckding los. Nach Joey Tip hab ich im System32 Ordner nachgeschaut und über Start>Ausführen>cmd die Datei dpbeb.dll entfernt. Nochmal AdAware laufen lassen, nun ist offenabr alles OK.

1000 Dank für Joeys Tipps!!!

Joek

Ich frag mich, wo man die Dinger nur herbekommt...  ??? ich surfe den ganzen tag im Netz rum, auf allmöglichen seiten, nur bekomme ich nie sowas, und wie ich weiß sucht TMK sowas auch verzweifelt  :D

:wink3:
American

Jep, würde mich auch mal interessieren wo die Sachen herkommen?!  ???

Hi,
wo ich das herhabe, wüsste ich auch gerne. Jedenfalls ist es eine hartnäckige Sache. About.Blank Seite kam heute morgen plötzlich wieder, und aller möglicher Dreck poppte auf. Hatte vorgestern alle ActiveX-Steuerelemente auf deaktivieren gestellt, bis auf die mit den sicheren Scriptings und als ich eben schaute waren sie alle wieder aktiviert... Sh..

Im System-32 Ordner war diesmal nichts Auffälliges. AdAware hat 4 TrackingCookies gefunden, irgend ein Ding mit dem Namen asl.falkag.txt ist immer dabei.

Habe alle ActiveX-Steuerelemente deaktiviert, was letztlich auch nicht befriedigend ist, aber erst mal ist Ruhe.

WinPatrol, Spybot usw. kann ich nicht runterladen, da kommt eine Fehlermeldung "193", was auch immer das bedeutet.
Bin massiv genervt >:(

Vieilleicht hat jmd. nützliche Tipps?!?
J.

Könntest mal mit RegCleaner nachsehen, was bei Dir alles so im Autostart (Startup List) angezeigt wird:

http://www.hardwareecke.de/forum/attachments/RegCleaner.exe (http://www.hardwareecke.de/forum/attachments/RegCleaner.exe)

Hi TKM,
hab mal den Regcleaner laufen lassen. Die Startup List zeigt folgendes:

A², "C:\Programme\a2\a2guard.exe", HKEY_CU\Run
Acrobat Assistant, N/A, Start Menu (Common User)
Application Explorer, N/A, Start Menu (Common User)
Em_exec, C:\progra~1\mousew~1\system\em_exec.exe, HKEY_LM\Run
Mdac_runonce, C:\WINNT\System32\runonce.exe, HKEY_LM\Run
Microsoft-Indexerstellung, N/A, Start Menu (Common User)
Nwtray, Nwtray.exe, HKEY_LM\Run
Office-Start, N/A, Start Menu (Common User)
RemotePrinter, C:\PROGRA~1\EPRINT~1\REMOTE~1\RemPrn.exe, HKEY_LM\Run
SystemTray, SysTray.Exe, HKEY_LM\Run
Vptray, C:\PROGRA~1\Navnt\vptray.exe, HKEY_LM\Run
Winhost, C:\WINNT\winh.exe, HKEY_LM\Run

Ist da was Verdächtiges bei?

Übrigens hat sich mein IE-Explorer, nachdem die Search Site About:Blank hochpoppte, immer wieder selbst gestartet und mich auf diverse miese Seiten geführt. Da kommt Freude auf...

Im Moment ist Ruhe im Kasten, aber wie lange noch??
Gruß, J

winh.exe scheint nicht ok zu sein, der Rest ist zwar teilweise überflüssig, sind aber keine Viren bzw. Würmer: siehe:  --> http://www.kephyr.com/spywarescanner/library/lolaweb.winhost/index.phtml

Kontrolliere vielleicht auch mal unter "C:\WINNT\SYSTEM32\DRIVERS\ETC" die hosts-Datei, mit einem Editor (z.B. Notepad) kannst Du dir den Inhalt anzeigen lassen.

Würde aus Sicherheitsgründen auch generell auf einen anderen Internet Browser umsteigen, Firefox ist zu empfehlen:

http://firebird-browser.de/

1000 Dank für Deine schnelle Antwort!!!

Hi,

ich hab dieses Sch... CWS-Teil jetzt auch seit ca. einer Woche drauf und bin am verzweifeln. :-\

zu Gabbo: Also wenn du klagst, ich bin dabei. Da könnte man ne schöne Sammelklage draus machen. >:(

Wie schon beim anderen topic angemerkt, hat mir bis jetzt am meisten Spy Sweeper geholfen´, welcher mir wenigstens macht nach jedem Neustart mein system wieder arbeitsfähig zu machen (war vorher wohl aufgrund von CWS ultralahm) und meine Standartseite wiederherzustellen. Aber nach jedem Neustart - wie sollte es auch anders sein - ist der verdammte !"$%$%& wieder da! Mitunter reproduziert sich das Ding auch bei längerer Laufzeit und ohne Neustart. Ich hab sowas noch nicht erlebt. Hat igendjemand noch eine Idee??

Es muss doch was anderes als "Format C:\" geben?!?!? ??? ??? ??? ??? ??? ???

Sollte in Kombination mit HijackThis, RegCleaner und SpyBot sicherlich möglich sein:

http://www.spywareinfo.com/%7Emerijn/downloads.html

http://www.trojaner-info.de/anleitungen/hijackthis/htlogtutorial.html

1 Als erstes würde ich mal einen Virenscan im abgesicherten Modus durchführen.
z. B mit der Demo von http://www.gdata.de/filemanager/list/4/%3Ewww.gdata.de/filemanager/list/4
(AntivirenKit 2004) und gleich updaten.

2 Sicherheitspatche Installieren

wenn das allein noch nichts gebracht hat

wie TMK schon vorgeschlagen hat.. Hijack This runterladen
hier gibt es auch noch ein Anleitung
http://hjt.klaffke.de/

und  den Report mal posten (kann eine lange Liste sein)

und suche auch mal über die Suchfunktion die Datei hosts (ohne Endung)
die kann mit dem Texteditor geöffnet werden.

evtl stehen dort auch die Ip umleitungen


Gruß Skyline

Danke TMK und Skyline für die Antworten.

Hier die Log-File vor der Entfernung:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\Windows\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\Windows\TEMP\sp.htmlR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\Windows\TEMP\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\Windows\TEMP\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\Windows\TEMP\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\Windows\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blankO2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {2A4D2681-D695-11D8-B551-0003CB29992D} - C:\WINDOWS\SYSTEM\JNF.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spyware Detection\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [Ati2cwxx] Ati2cwxx.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\NORTON~1\NAVAPW32.EXE
O4 - HKLM\..\Run: [NPROTECT] C:\Programme\Norton SystemWorks\Norton Utilities\nprotect.exe
O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton SystemWorks\Norton Personal Firewall\IAMAPP.EXE
O4 - HKLM\..\Run: [ScanRegistry] C:\Windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMON.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [ATIPOLAB] ati2evxx.exe
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [NPROTECT] C:\Programme\Norton SystemWorks\Norton Utilities\nprotect.exe
O4 - HKLM\..\RunServices: [SymTray - Norton SystemWorks] C:\Programme\Gemeinsame Dateien\Symantec Shared\SymTray.exe "Norton SystemWorks"
O4 - HKLM\..\RunServices: [nisserv] C:\Programme\Norton SystemWorks\Norton Personal Firewall\NISSERV.EXE
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Spy Sweeper\SPYSWEEPER.EXE" /0
O4 - HKCU\..\RunServices: [SpySweeper] "C:\Programme\Spy Sweeper\SPYSWEEPER.EXE" /0
O12 - Plugin for .wav: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin2.dll
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.120.252,192.168.120.253



Danach hab ich in dieser Reihenfolge folgende Programme ausgeführt:

                                                gefunden:

Spy Sweeper                              3 Dateien
Ad-Aware (erweiterte Suche)       keine
Spybot- Search & Destroy             nur security hole (genannt DSO)
CWShredder                               keine

(alle Programme mit den aktuellsten Updates)

Danach sah die Hijackthis-Log so aus:
(nach Spy Sweeper unverändert)


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\Windows\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\Windows\TEMP\sp.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\Windows\TEMP\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\Windows\TEMP\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\Windows\TEMP\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\Windows\TEMP\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {2A4D2681-D695-11D8-B551-0003CB29992D} - C:\WINDOWS\SYSTEM\JNF.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spyware Detection\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [Ati2cwxx] Ati2cwxx.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\NORTON~1\NAVAPW32.EXE
O4 - HKLM\..\Run: [NPROTECT] C:\Programme\Norton SystemWorks\Norton Utilities\nprotect.exe
O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton SystemWorks\Norton Personal Firewall\IAMAPP.EXE
O4 - HKLM\..\Run: [ScanRegistry] C:\Windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMON.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [ATIPOLAB] ati2evxx.exe
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [NPROTECT] C:\Programme\Norton SystemWorks\Norton Utilities\nprotect.exe
O4 - HKLM\..\RunServices: [SymTray - Norton SystemWorks] C:\Programme\Gemeinsame Dateien\Symantec Shared\SymTray.exe "Norton SystemWorks"
O4 - HKLM\..\RunServices: [nisserv] C:\Programme\Norton SystemWorks\Norton Personal Firewall\NISSERV.EXE
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Spy Sweeper\SPYSWEEPER.EXE" /0
O4 - HKCU\..\RunServices: [SpySweeper] "C:\Programme\Spy Sweeper\SPYSWEEPER.EXE" /0
O12 - Plugin for .wav: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin2.dll
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.120.252,192.168.120.253

Mit regcleaner konnte ich leider nicht viel anfangen. Zusätzlich hab ich noch Norton Antivirus upgedatet und drüberlaufen lassen, der auch nichts gefunden hat.

Im Vergleich der Log-Files wurden offensichtlich die oben farbig makierten Zeilen gelöscht.

Und was war das Ende vom Lied?  Nach dem nächsten Neustart waren die Dateien wieder da!! Da muss irgendwo ne versteckte Datei sein die immer wieder die Interneteinstellungen ändert (vielleicht sogar ne .exe????)

Ich hab mich noch gefragt, was es mit dem NameServer- Eintrag auf sich hat. Hat da jemand Ahnung? ??? ???

Bin für jede weitere Idee dankbar.  :-\

                       

Sorry hab die falsche Log-File gepostet!!

Nach der Entfernung sah sie so aus:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {2A4D2681-D695-11D8-B551-0003CB29992D} - C:\WINDOWS\SYSTEM\JNF.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spyware Detection\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [Ati2cwxx] Ati2cwxx.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\NORTON~1\NAVAPW32.EXE
O4 - HKLM\..\Run: [NPROTECT] C:\Programme\Norton SystemWorks\Norton Utilities\nprotect.exe
O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton SystemWorks\Norton Personal Firewall\IAMAPP.EXE
O4 - HKLM\..\Run: [ScanRegistry] C:\Windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMON.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [ATIPOLAB] ati2evxx.exe
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [NPROTECT] C:\Programme\Norton SystemWorks\Norton Utilities\nprotect.exe
O4 - HKLM\..\RunServices: [SymTray - Norton SystemWorks] C:\Programme\Gemeinsame Dateien\Symantec Shared\SymTray.exe "Norton SystemWorks"
O4 - HKLM\..\RunServices: [nisserv] C:\Programme\Norton SystemWorks\Norton Personal Firewall\NISSERV.EXE
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Spy Sweeper\SPYSWEEPER.EXE" /0
O12 - Plugin for .wav: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin2.dll
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.120.252,192.168.120.253

Wie wirkt sich das "CWS-Teil" denn momentan bei Dir genau aus?



P.S.: Du kannst deine eigenen Beiträge auch editieren.

Also wenn ich die Dateien nach dem Neustart entfernt habe (manchmal muss ich sie mehrmals entfernen [die reprodiziert sich wohl immer gleich zweimal nach dem Neustart]) gibts eigentlich keine Probleme und ich kann System und Internet normal benutzen.

Allerdings sind die Dateien nach jedem Neustart wieder da (Spy Sweeper [im Hintergrund] zeigt mir wenigstens ne Warnmeldung, wenn in den Internetoptionen etwas geändert wird so dass ich weiss, wann die Dateien sich wieder installiert haben.

Ist aber ziemlich lästig (ich muss jedesmal wieder die Suchfunktion in Spy Sweeper auführen (2x), und dann die Objekte löschen). Wenn ich das nicht mache, wird mein System so lahm, dass ich nicht mal den Explorer öffnen kann und mein Internet wird ebenfalls langsam und zeigt die site adresszeile: about:blank und im Seiteninhalt eine Seite mit der Überschrift "Search for...." an die auch im offline-modus verfügbar ist.

Hab noch ne Frage: Sollte ich die Zeilen mit dem Name Server-Eintrag und eventuell die jnf.dll löschen (siehe Log-File oben[Farbe grün])?? Vielleicht löst das das Problem??

Die "JNF.DLL" würde ich mal löschen, beim Nameserver bin ich mir nicht sicher, grundsätzlich sollte ein derartiger Eintrag drin sein.

Hast Du nach der "hosts"-Datei gesucht (c:\windows\system32\drivers\etc) und Dir mal die Einträge angesehen.

Kann die hosts-Datei nicht finden!

Hast aber schon WinXP installiert?

Nein bei mir läuft Win98 SE. Ich hab nen ewas älteren Rechner und alles andere wäre mir zu langsam.

Ich wollt nur sagen: mir reichts jetzt ich werd jetzt "Format C:\" machen! CWS ist einfach nicht zu entfernen!
Bleibt nur zu hoffen, dass sich da mal ein Profi dranmacht und da ein paar ordentliche Entfernungstools ins Netz stellt.
Allen die bis dahin von CWS infected werden, kann ich nur herzliches Beileid wünschen!!

Danke trotzdem für Eure Hilfe! Bis dann!

...dann installier am Besten auch gleich einen anderen Browser. --> Mozilla, Firefox oder Opera.

ihrgendwie ist das mal wieder ein beweis dafür das Norton trotz updates versagt hat Oder?

andere Scannner http://www.sophos.de/virusinfo/analyses/trojcwsc.html

kommen da anscheinend besser klar

zu den Hijack This einträgen
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Spy Sweeper\SPYSWEEPER.EXE" /0

hätte auf jeden Fall auch entfernt werden müssen und wAr**heinlich auch die dll
Einträge 012

Warum die einen Hijacker bekommen und die anderen nicht

Der Grund wird wohl folgender sein
Die einen nehmen einen anderen Browser Opera Mozilla usw.
die anderen einen gepachten IE (wie z. B. American)

bleibt noch eine Gruppe ..
- Surfen mit einem ungepatchten IE

auf schlüpfrigen oder unbekannten Seiten.

Werden eigentlich noch die IE Patche für Windows 98 angeboten?
Nichts gegegen Windows 98 ist nach meiner Meinung sicherer wie XP -  zumindes in einigen Punkten.
Zum Beispiel kann man sich dort keinen Blaster oder ähnliches einfangen bzw. er kann dort nichts anrichten.


Hier deshalb noch mal die Links zu den Alternativen (Browsern)

http://www.opera7.de/
http://firefox.bric.de/index.php

Opera läuft auch auf älteren Rechnern problemlosl - ich denke firefox auch.

mfg Skyline

Also ich hab CWS besiegt durch Format C:/. System läuft wieder. Ich hab gleich mal Firefox 0.9 und Antivirus-, Spyware- und Firewallprogs installiert. Ich glaub nützlich ist jetzt noch ein Systembackup!!! Hat mich Stunden gekostet das ganze Zeug zu installieren!


Also Danke noch mal.

und

CWS R.I.P.

Hallo !

Habe (glaube ich) endlich die Lösung gegen dieses Coolwebsearch Mistding gefunden. Das Sophos Virenprogramm hat seit dem neusten Update einen Trojaner names Troj/Start-Pa-Do gefunden. Der hartnäckige Bursche ändert die Browsereinstellungen. Das löschen der Dll Dateien hat sonst nichts genützt, da die sich ständig ändern. Nach dem hochfahren die Datei Winnt/Sytem32/mpmbb.dll löschen. Hoffe nur das ich in einer halben Stunde nicht wieder eine andere Dll-Datei drauf habe.

Bis dann ! Gruß Fossi

Moinsen !

Ich nochmal. Ich glaube, ich habe nach 3 Monaten gegen CWS gesiegt. Hatte Spybot, Adaware, CWshredder, Spywareblaster, Hijack this, McAfee Firewall (hohe Sicherheit) drauf und hatte die Aktive-X Steuerelemente auf deaktivieren gesetzt. Genützt hat das gar nix. Die Programme haben zwar immer was gefunden, hatte den Müll aber gleich wieder drauf. Geholfen hat ein wenig die Startseite von about:blank auf etwas anderes zu setzen. Dann Winpatrol installiert gehabt. Das Programm hat wenigstens was angezeigt, wenn sich was eingenistet hat. War aber trotz allem ultra nervig, jede halbe Stunde die Scanner durchlaufen zu lassen. Sophos Antivirus von der Uni hatte auch immer nichts gefunden. Bis heute. Troj/Start Pa-Do gefunden. Konnte Sophos aber nicht löschen. Zugriff verweigert. Datei Winnt/system32/mpmbb.dll. Das Teil ändert die Startseite des Explorers. Habe dann neu hochgefahren und unter Start/Suchen die Datei mpmbb in den Müll befördert. Seit dem surfe ich jetzt seit etwa 4 Stunden und Winpatrol hat noch nicht gebellt. Hoffe da kommt auch nichts mehr. Ansonsten melde ich mich.

Viel Glück ! Ciao Fossi

Hi !

Vergeßt alles was ich geschrieben habe. Das Teil ist wieder da mit ner neuen dll Datei. F... o..

Bye Fossi

Hi, Ich hatte CoolWebsearch schon 4 mal auf dem System. Am Anfang waren es vergleichbar harmlose Versionen und da es beim 1. Mal noch kein fähiges Tool gab hab ich das Teil von Hand aus der Registry entfernt. Hatte 100% erfolg und das Teil war weg. Mittlerweile ist das Teil wies aussieht mutiert. Das 2. Mal hab ich es mit dem CWS Shredder entfernt und war auch ok. Nun vor ner Woche hatte ich das Teil wieder. Nur diesmal konnte man machen was man wollte das Teil hat sich nicht entfernen lassen. Habs nach 2 Tagen dann doch geschafft. Ich poste euch die Vorgehensweise. Antivir runterladen, updaten und laufen lassen. Das Teil muß vorher noch manuell scharf gestellt werden sprich Heuristik auf mittel und Scherzprogramme aktivieren. Danach Adaware runterladen, updaten und laufen lassen. Mit dem CWS Shredder danach überprüfen. Dann in der Startleiste unter ausführen regedit eingeben. Mit suchen die Einträge mit den Begriffen CoolWWW und Coolweb finden und die ordner löschen.

Danach Neustrart und das Teil war tot.
Hoffe es funzt bei euch auch.

Hier noch die Links: http://www.intermute.com/spysubtract/cwshredder_download.html

http://www.download.com/3000-2144-10045910.html?part=69274&subj=dlpage&tag=button

http://download.freenet.de/download.php?file_id=2957&download=antivir_6_personal_edition

Gruß Magic

Es gibt doch ein uninstall-prog.  :)

Wenn ihr service pack 2 installiert habt kann es manchmal schwierig sein beim downloaden.
Windows blockiert diese Seite. Ich habs mit Netpumper gezogen.

so nun der link: http://lop.com/

bis denn


Edit v. TMK:
Bitte keine direkten Downloadlinks von fremden Seiten posten.

Zitat von: MAJOR SL am 03. Januar 2005, 09:44:00 Uhr
Es gibt doch ein uninstall-prog. :)

Wenn ihr service pack 2 installiert habt kann es manchmal schwierig sein beim downloaden.
Windows blockiert diese Seite. Ich habs mit Netpumper gezogen.

so nun der link: http://66.220.17.157/help.html

bis denn


Edit v. TMK:
Bitte keine direkten Downloadlinks von fremden Seiten posten.

Hi, habe mir gerade einen cws eingefangen und bekomme ihn net wieder runter...Spybot löscht ihn, aber beim Start des Browsers ist er direkt wieder da...
Würde mich hören bald von Euch zu Hören....

Versuch es mit dem CWShredder (http://www.intermute.com/products/cwshredder.html).

Ich hab mir vor ein paar Tagen auch so ein kack eingefangen
ich erzähl euch mal wie das bei mir lief
1. Der Rechner fährt hocj (10 min.) komisch.
2. Adaware, kaspersky antivirus und spybot laufen gelassen findert dateien wie "coolwebsearch"
3. Hintergrundbild ändert sich auf DANGER
4. pop up fenster mit "Your computer is in danger"
Und das löschen dieser "coolwebsearch" teile bringt auch nix die kommen immer wieder
ich hab oben auf der Seite ein paar Tricks gesehen die bringen aber auch nix weil bei mir die akafep.dll gar nicht existiert...
Es will auch andauern immer eine Seite geöffnet werden die mein antivir aber abblockt
Infiziert durch Virus; Trojan.Win32.StartPage.uz steht dann da
Bitte helft mir
Hab auch schon Hijack This und Cvschredder ausprobiert bringt aber auch nichts...
Habt ihr Vorschläge ??
Danke schon im Vorraus
Icq: 333-219-756
entweder icq oder hier im forum
danke

hallo,
ich hatte ebenso einen coolwebsearch auf meinem rechner, dauernd hat sich meine startseite verändert, beim einloggen kam ich auf eine hacker.com seite und wenn ich agr nix machte, öffneten sich fenster mit spam...
nachdem ich aber dann CWShredder durchlaufen lies und er alles fand und ich dann auch löschte war s wieder gut, aber nun habe ich ein weiteres problem. ich kann nichts mehr downloaden über den IE (neuste version) und auch über mozilla kann ich nichts downlaoden. bei beiden browsern ist es auch gleich, dass die grafiken, also bilder, nicht angezeigt werden. bei den meisten kommen einfah rote X in einem kästchen oder von oben anch unten wir das bild von hell anch dunkel angezeigt. auch wenn ich bei ebay schaue, und auf inen link klicke, dann entsteht eine seite, aber darauf sehe ich nur ein bis 2 sätze, meisten den versand. ich muss dazu dann 10 mal auf aktualisieren klicken, dasss die seite richtig und komplett angezeigt wird, allerdings bleiben die bilder immer so wie vorher beschieben. bitte helft mit: tobiasmassoth@web.de

mein System: antivir (kann keine updates mehr herunterladen)
CWshredder
ad-aware (updates können herunter geladen werden)
MS Windows 2000
IE und Mozilla (beide neuste version)
bitte, bitte meldet euch: tobiasmassoth@web.de                      oder schreibt etwas hier rein

Könntest mal mit Hijackthis ein Logfile erstellen und hier posten:
http://www.hardwareecke.de/berichte/sicherheit/viren_trojaner_hijacker_schutz_beseitigung_2.php

Hab jetzt auch schon alles versucht und bekomm den sch**** nicht weg . Bin auch der volle Laie auf dem Gebiet . Hab mal so eine Logfile gemacht hoffe ihr könnt mir helfen .

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\crdj.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinAce\WinAce.exe
C:\Dokumente und Einstellungen\Philipp\Steganos AntiSpyware 7\aspy7.exe
C:\DOKUME~1\Philipp\LOKALE~1\Temp\~AceTemp\hijackthis_199[1]\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\qteto.dll/sp.html#93256
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\qteto.dll/sp.html#93256
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\qteto.dll/sp.html#93256
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\qteto.dll/sp.html#93256
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\qteto.dll/sp.html#93256
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\qteto.dll/sp.html#93256
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\qteto.dll/sp.html#93256
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {372EF314-6508-92AB-732E-258B08992A73} - C:\WINDOWS\d3uc.dll
O2 - BHO: Class - {BD6D3515-13C8-89DB-38D3-4630B615B324} - C:\WINDOWS\addpa32.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: Class - {F97F2532-4324-0DA9-21C3-64C1650A6515} - C:\WINDOWS\system32\atlrc.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O4 - HKLM\..\Run: [crdj.exe] C:\WINDOWS\crdj.exe
O4 - HKLM\..\RunOnce: [addvi.exe] C:\WINDOWS\addvi.exe
O4 - HKLM\..\RunOnce: [ipjg.exe] C:\WINDOWS\ipjg.exe
O4 - HKLM\..\RunOnce: [sysng.exe] C:\WINDOWS\system32\sysng.exe
O4 - HKLM\..\RunOnce: [iprh.exe] C:\WINDOWS\system32\iprh.exe
O4 - HKLM\..\RunOnce: [d3zm32.exe] C:\WINDOWS\d3zm32.exe
O4 - HKLM\..\RunOnce: [javaog.exe] C:\WINDOWS\javaog.exe
O4 - HKLM\..\RunOnce: [ipwx32.exe] C:\WINDOWS\ipwx32.exe
O4 - HKLM\..\RunOnce: [javamc32.exe] C:\WINDOWS\system32\javamc32.exe
O4 - HKLM\..\RunOnce: [d3iw.exe] C:\WINDOWS\system32\d3iw.exe
O4 - HKLM\..\RunOnce: [appgq32.exe] C:\WINDOWS\appgq32.exe
O4 - HKLM\..\RunOnce: [ipdj32.exe] C:\WINDOWS\system32\ipdj32.exe
O4 - HKLM\..\RunOnce: [ntyk.exe] C:\WINDOWS\system32\ntyk.exe
O4 - HKLM\..\RunOnce: [crte.exe] C:\WINDOWS\system32\crte.exe
O4 - HKLM\..\RunOnce: [sdkkh.exe] C:\WINDOWS\system32\sdkkh.exe
O4 - HKLM\..\RunOnce: [javayy32.exe] C:\WINDOWS\javayy32.exe
O4 - HKLM\..\RunOnce: [apifd32.exe] C:\WINDOWS\apifd32.exe
O4 - HKLM\..\RunOnce: [crgd.exe] C:\WINDOWS\crgd.exe
O4 - HKLM\..\RunOnce: [apism.exe] C:\WINDOWS\system32\apism.exe
O4 - HKLM\..\RunOnce: [apicj32.exe] C:\WINDOWS\apicj32.exe
O4 - HKLM\..\RunOnce: [mfcai.exe] C:\WINDOWS\system32\mfcai.exe
O4 - HKLM\..\RunOnce: [sdklk.exe] C:\WINDOWS\sdklk.exe
O4 - HKLM\..\RunOnce: [ntzc.exe] C:\WINDOWS\system32\ntzc.exe
O4 - HKLM\..\RunOnce: [atlmw.exe] C:\WINDOWS\system32\atlmw.exe
O4 - HKLM\..\RunOnce: [appug32.exe] C:\WINDOWS\system32\appug32.exe
O4 - HKLM\..\RunOnce: [msza.exe] C:\WINDOWS\system32\msza.exe
O4 - HKLM\..\RunOnce: [sdkxq32.exe] C:\WINDOWS\sdkxq32.exe
O4 - HKLM\..\RunOnce: [cryh32.exe] C:\WINDOWS\cryh32.exe
O4 - HKLM\..\RunOnce: [addpa32.exe] C:\WINDOWS\addpa32.exe
O4 - HKLM\..\RunOnce: [iegb.exe] C:\WINDOWS\system32\iegb.exe
O4 - HKLM\..\RunOnce: [ieui32.exe] C:\WINDOWS\system32\ieui32.exe
O4 - HKLM\..\RunOnce: [apiiz32.exe] C:\WINDOWS\apiiz32.exe
O4 - HKLM\..\RunOnce: [sysnb.exe] C:\WINDOWS\sysnb.exe
O4 - HKLM\..\RunOnce: [atlei32.exe] C:\WINDOWS\atlei32.exe
O4 - HKLM\..\RunOnce: [sdkix.exe] C:\WINDOWS\sdkix.exe
O4 - HKLM\..\RunOnce: [sysnn.exe] C:\WINDOWS\system32\sysnn.exe
O4 - HKLM\..\RunOnce: [addnt32.exe] C:\WINDOWS\system32\addnt32.exe
O4 - HKLM\..\RunOnce: [addqg.exe] C:\WINDOWS\system32\addqg.exe
O4 - HKLM\..\RunOnce: [msli.exe] C:\WINDOWS\system32\msli.exe
O4 - HKLM\..\RunOnce: [atljb.exe] C:\WINDOWS\atljb.exe
O4 - HKLM\..\RunOnce: [javarw.exe] C:\WINDOWS\system32\javarw.exe
O4 - HKLM\..\RunOnce: [mfcjh32.exe] C:\WINDOWS\system32\mfcjh32.exe
O4 - HKLM\..\RunOnce: [sdkcd.exe] C:\WINDOWS\sdkcd.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [AntiSpyware7] "C:\Dokumente und Einstellungen\Philipp\Steganos AntiSpyware 7\aspy7.exe" /0
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Dokumente und Einstellungen\Philipp\Eigene Dateien\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Dokumente und Einstellungen\Philipp\Eigene Dateien\Programme\ICQLite\ICQLite.exe
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{681F210C-3152-43A8-AFA1-C06F9FF36396}: NameServer = 172.19.30.10 195.226.96.131
O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\apicj32.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

Mein Gott...wie hast Du das denn hinbekommen.  ::)   Hast Du überhaupt noch Zugriff auf den Rechner, oder wird alles per Remote gesteuert?  ;D

Also druck Dir das mal aus und fixe folgende Einträge. Anschliessend startest Du im abgesicherten Modus und suchst nach allen Dateien die hier aufgelistet sind. Angefangen bei qteto.dll bis apicj32.exe...und hake die ab, die Du gelöscht hast sonst blickst Du nicht mehr durch. Anschliessend löscht Du noch den Papierkorbinhalt bevor Du wieder bootest, sonst hast Du alles wieder da. Viel Erfolg.:

C:\WINDOWS\crdj.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\qteto.dll/sp.html#93256

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\qteto.dll/sp.html#93256

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\qteto.dll/sp.html#93256

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\qteto.dll/sp.html#93256

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\qteto.dll/sp.html#93256

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\qteto.dll/sp.html#93256

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\qteto.dll/sp.html#93256

R3 - Default URLSearchHook is missing

O2 - BHO: Class - {372EF314-6508-92AB-732E-258B08992A73} - C:\WINDOWS\d3uc.dll

O2 - BHO: Class - {BD6D3515-13C8-89DB-38D3-4630B615B324} - C:\WINDOWS\addpa32.dll

O2 - BHO: Class - {F97F2532-4324-0DA9-21C3-64C1650A6515} - C:\WINDOWS\system32\atlrc.dll

O4 - HKLM\..\Run: [crdj.exe] C:\WINDOWS\crdj.exe

O4 - HKLM\..\RunOnce: [addvi.exe] C:\WINDOWS\addvi.exe

O4 - HKLM\..\RunOnce: [ipjg.exe] C:\WINDOWS\ipjg.exe

O4 - HKLM\..\RunOnce: [sysng.exe] C:\WINDOWS\system32\sysng.exe

O4 - HKLM\..\RunOnce: [iprh.exe] C:\WINDOWS\system32\iprh.exe

O4 - HKLM\..\RunOnce: [d3zm32.exe] C:\WINDOWS\d3zm32.exe

O4 - HKLM\..\RunOnce: [javaog.exe] C:\WINDOWS\javaog.exe

O4 - HKLM\..\RunOnce: [ipwx32.exe] C:\WINDOWS\ipwx32.exe

O4 - HKLM\..\RunOnce: [javamc32.exe] C:\WINDOWS\system32\javamc32.exe

O4 - HKLM\..\RunOnce: [d3iw.exe] C:\WINDOWS\system32\d3iw.exe

O4 - HKLM\..\RunOnce: [appgq32.exe] C:\WINDOWS\appgq32.exe

O4 - HKLM\..\RunOnce: [ipdj32.exe] C:\WINDOWS\system32\ipdj32.exe

O4 - HKLM\..\RunOnce: [ntyk.exe] C:\WINDOWS\system32\ntyk.exe

O4 - HKLM\..\RunOnce: [crte.exe] C:\WINDOWS\system32\crte.exe

O4 - HKLM\..\RunOnce: [sdkkh.exe] C:\WINDOWS\system32\sdkkh.exe

O4 - HKLM\..\RunOnce: [javayy32.exe] C:\WINDOWS\javayy32.exe

O4 - HKLM\..\RunOnce: [apifd32.exe] C:\WINDOWS\apifd32.exe

O4 - HKLM\..\RunOnce: [crgd.exe] C:\WINDOWS\crgd.exe

O4 - HKLM\..\RunOnce: [apism.exe] C:\WINDOWS\system32\apism.exe

O4 - HKLM\..\RunOnce: [apicj32.exe] C:\WINDOWS\apicj32.exe

O4 - HKLM\..\RunOnce: [mfcai.exe] C:\WINDOWS\system32\mfcai.exe

O4 - HKLM\..\RunOnce: [sdklk.exe] C:\WINDOWS\sdklk.exe

O4 - HKLM\..\RunOnce: [ntzc.exe] C:\WINDOWS\system32\ntzc.exe

O4 - HKLM\..\RunOnce: [atlmw.exe] C:\WINDOWS\system32\atlmw.exe

O4 - HKLM\..\RunOnce: [appug32.exe] C:\WINDOWS\system32\appug32.exe

O4 - HKLM\..\RunOnce: [msza.exe] C:\WINDOWS\system32\msza.exe

O4 - HKLM\..\RunOnce: [sdkxq32.exe] C:\WINDOWS\sdkxq32.exe

O4 - HKLM\..\RunOnce: [cryh32.exe] C:\WINDOWS\cryh32.exe

O4 - HKLM\..\RunOnce: [addpa32.exe] C:\WINDOWS\addpa32.exe

O4 - HKLM\..\RunOnce: [iegb.exe] C:\WINDOWS\system32\iegb.exe

O4 - HKLM\..\RunOnce: [ieui32.exe] C:\WINDOWS\system32\ieui32.exe

O4 - HKLM\..\RunOnce: [apiiz32.exe] C:\WINDOWS\apiiz32.exe

O4 - HKLM\..\RunOnce: [sysnb.exe] C:\WINDOWS\sysnb.exe

O4 - HKLM\..\RunOnce: [atlei32.exe] C:\WINDOWS\atlei32.exe

O4 - HKLM\..\RunOnce: [sdkix.exe] C:\WINDOWS\sdkix.exe

O4 - HKLM\..\RunOnce: [sysnn.exe] C:\WINDOWS\system32\sysnn.exe

O4 - HKLM\..\RunOnce: [addnt32.exe] C:\WINDOWS\system32\addnt32.exe

O4 - HKLM\..\RunOnce: [addqg.exe] C:\WINDOWS\system32\addqg.exe

O4 - HKLM\..\RunOnce: [msli.exe] C:\WINDOWS\system32\msli.exe

O4 - HKLM\..\RunOnce: [atljb.exe] C:\WINDOWS\atljb.exe

O4 - HKLM\..\RunOnce: [javarw.exe] C:\WINDOWS\system32\javarw.exe

O4 - HKLM\..\RunOnce: [mfcjh32.exe] C:\WINDOWS\system32\mfcjh32.exe

O4 - HKLM\..\RunOnce: [sdkcd.exe] C:\WINDOWS\sdkcd.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{681F210C-3152-43A8-AFA1-C06F9FF36396}: NameServer = 172.19.30.10 195.226.96.131

O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\apicj32.exe

Ok hab das meiste gemacht nur die apicj32.exe konnte ich nicht löschen da sie irgendwie genutzt wird .

So sieht es jetzt aus .

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\apicj32.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\Philipp\LOKALE~1\Temp\~AceTemp\hijackthis\HijackThis.exe
C:\Dokumente und Einstellungen\Philipp\Ad-aware 6\Ad-aware.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [AntiSpyware7] "C:\Dokumente und Einstellungen\Philipp\Steganos AntiSpyware 7\aspy7.exe" /0
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Dokumente und Einstellungen\Philipp\Eigene Dateien\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Dokumente und Einstellungen\Philipp\Eigene Dateien\Programme\ICQLite\ICQLite.exe
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\apicj32.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

Das sieht doch schon wieder ganz ordentlich aus. Die apicj32.exe scheint allerdings nicht gut zu sein.

Lade Dir mal den Prozess Explorer (http://www.sysinternals.com/ntw2k/freeware/procexp.shtml) down. Dort werden Dir alle Dienste besser als im Taskmanager angezeigt. Du kannst den Dienst der hinter apicj32.exe beenden und dann löschen möglicherweise kann dieser Dienst auch gekillt werden vom Prozess Explorer. Ein manuelles löschen (sicherheithalber mit Papierkorb leeren) würde ich dennoch vornehmen, wenn die Datei noch vorhanden sein sollte.

Ok hab den Proess mit dem Taskmanager abgeschaltet hat sich zwar immer wieder eingeschaltet aber man hat etwa 1 sec Zeit um sie zu löschen .

Läuft wieder alles einwandfrei . Hätte sofort hier fragen sollen bevor ich die etlichen Spyprogramme sinnlos ausprobiere . :)

Gruß Fasching