Hallo, ???
ich habe mir einen Hijacker der übelsten Sorte eingefangen.
Es handelt sich um eine Startseite mit dem Namen --Search For...--die ich nicht mehr löschen kann ,wenn ich sie gefunden und entfernt habe ,kommt sie nach einem Tag wieder.
Nichts zu machen.
Probiert habe ich schon,
CWSchredder
Hijack This
Spoon weg
Spybot
Ad Aware
Spyhunter
Tune up Utilitys
Purge IE
Sysclean und
Win Patrol,
aber leider ohne Erfolg, der kommt immer wieder zurück.
Habe im Beitrag von Joey schon das gleiche Thema gefunden http://www.hwe-forum.de/index.php?board=24;action=display;threadid=4636
aber das funktioniert auch nicht ,wenn ich den Befehl (del C:\WINDOWS\SYSTEM32\AKAFEP.DLL)
in die cmd eingebe, bekomme ich die antwort --Datei nicht gefunden--.
Und seit heute kommt noch dazu das Win Patrol mir immer sagt
das sich eine neue Helper.exe installiert ,der Name ist --eodgj.dll--
Viel Ahnung habe ich nicht von all diesen Sachen, aber ich brauche
dringend Hilfe um diesen Hijacker zu entfernen!!!!!!!!!!!! :-\
>:( Dies ist eine neue Art von Internetnötigung. >:(
Du könntest es noch mit Ad-aware versuchen!
Und dneke erstmal eine Klage ist weit hergeholt und auch nicht grade sehr viel versprechend...
Solltest erstmal zusehen das ding zu entfernen!
Danke ,aber Ad Aware habe ich in meiner Auflistung nur vergessen
aber schon zugefügt .Das Teil ist immun gegen diese Programme,da muß man irgendiwe von hinten dran.
Die Browser ddl, die sich ständig aktiviert, dneke mal das die ja auch im Autostart / Task aktiv ist? Schau da mal nach, ansonsten geh mal in der Windowssuche und gebe diesen namen mal dort ein der dll und lösch diese dann! Eventuell im Abgesicherten Modus und vorher die dll ausm Borwser als Helper Löschen
Irgendwo muss das Ding doch verankert sein, versuchs mal über den abgesicherten Modus. Hier dann über "Start --> Ausführen" --> msconfig eingeben und die "Autostart"-Programme kontrollieren und ggf. dubiose Einträge deaktiveren. Anschließend dann die dazugehörigen Dateien manuell löschen, vorher ggf. in den Ordneroptionen (unter Extras --> Ornderoptionen --> Ansicht) "Alle Dateien und Ordner anzeigen" aktivieren.
hallo,
die systemwiederherstellung Deaktivieren !
bevor du ne datei von dem teillöschst
hast du ad aware upgedatet ?
gruS
Wo kann ich die systemwiederherstellung Deaktivieren ???
Ad Aware ist auf dem neuesten Stand ,und es findet auch immer alles und entfernt CWS Dateien.
Aber die kommen immer wieder.
hallo,
> systemsteurung > system , dort dan Systemwiederherstellung anklicken und dan einen hacken bei *systemwiederherstellung auf allen Laufwerken Deaktiviern* setzen, und dan übernemen.
gruS
wasn das für ne empfehlung?
und dann hat er nächste woche ein Problem und kann nicht recovern sonder muss windows neu aufsetzen... ergibt ja nicht gerade viel sinn
Du solltest wenn auch erwähnen das er sie wieder aktivieren soll wenn das System clean ist...
Gruß
Rashka
So ,jetzt habe ich langsam die Schnauze voll !!!!
Immer wenn ich die --.dll-- lösche, kommt eine neue.
Die erste war ,eobgj.dll dann kam nach dem löschen pcah.dll ,
und jetzt ist es die pkjahlb.dll.
Ich bekomme diese nachricht immer von Win Patrol ,das sich meine IE helper Datei verändert hat zu :::::::.dll ,immer ne neue.
??? Ist es gut wenn ich im Abgesicherten Modus ,die Systemwiederherstellung abschalte ,und dann in cmd die Datei lösche,
und alle meine Antihijacker Programme laufen lasse??????????????
???Und wann muß ich die Systemwiederherstellung wieder einschalten???????
Versuche mal einfach ohne abgeschaltete Systemwiederherstellung im Abgesicherten Modus deine Aktuellen (also bitte vorher im normalem Modus Updates laden) Sicherheitsprogramme durchlaufen zu lassen.
Die Systemwiederherstellung, wenn Du Sie ausmachst, solltest Du wieder anschalten wenn Du mit der Aktion fertig bist.
du musst die datei erst im dllcache, dann im System32 löschen, sonst is kein wunder das die immer wieder kommt
So ,
habe jetzt im Abgesicherten Modus ,mit abgeschalteter Systemwiederherstellung
CWShredder
Hijack This
Spybot
Win Patrol
Sysclean
Ad Aware
Purge IE und
Norton durchlaufen lassen (alle auf dem neuesten Stand).
Viel Hoffnung habe ich nicht ,lese aber in der vorigen Antwort von --dll.cache löschen.
Hört sich gut an ,müsste nur wissen wie man das macht , weil ich nicht soviel davon verstehe. ???
ist ganz einfach...
Im Ordner System32 ist ein Ordner der "dllcache" heißt.
Darin suchst du die *.dll datei die du löschen willst, löschst sie zuerst hier, und danach im System32.
Tada, die Datei wird _NICHT wiederhergestellt, auch wenn die Systemwiederherstellung noch an ist ;D
Gruß
Rashka
So ,
er ist wieder da ,hat alles nichts gebracht.
Jetzt heißt es --dllcache--.
Wollte die Datei --cache.dll-- löschen habe sie aber nicht gefunden ,
gesucht habe ich unter Arbeitsplatz-C-Windows- System32-????
da war nichts zu finden.
Wo muß ich suchen ,und wie genau muß ich vorgehen??????
hm... da hast du mich wohl etwas falsch verstanden ;)
die Datei die du löschen willst ist nicht nur in C:\Windows\System32, sondern auch in C:\Windows\System32\dllcache\
Du musst sie also erstmal hier löschen (C:\Windows\System32\dllcache\) und danach in C:\Windows\System32\
ansonsten wird die automatisch aus dem ..\dllcache\ wieder in ..\system32\ kopiert.
Hoffe das war jetzt was verständlicher...
Gruß
Rashka
Ich kann die datei dllcache nicht finden.
Habe überall nachgesehen ,selbst unter Suche hat der Zauberer nichts gefunden.
....
dllcache ist keine Datei sondern ein Ordner.... dieser befindet sich als unterordner in C:\windows\system32\.
Alle darin befindlichen dateien werden automatisch wiederhergestellt wenn du sie im System32 löscht.
Deshalb musst du, wenn du in System 32 eine Datei löschen willst, diese erst im Ordner dllcache löschen.
jetzt verstanden? ich kann auch gerne nen Screenshoot machen wenn du magst...
Gruß
Rashka
@gabbo
Lese dir diese Seite (link)erstmal genau durch, insbesondere die Erläuterung zum Tool 'Hijack This'
'Hijack This' muss genau ausgewertet werden.
Sonst führt das ganze nicht zum Ziel !
Es geht bei dem Hijacker um die BHO' s (Browser Helper objekts)
vergleiche die Liste(link)
http://www.bsi.de/av/hijack/browserhj.htm
mit deinem Report und die mit X gekennzeichneten BHO's kannst du über das Tool entfernen.
Dann wirst du den Hijacker endlich los sein.
Allerdings kannst du ihn mit dem IE schnell wieder einfangen.
(zumindest wenn Patche fehlen)
mfg Skyline
Ich glaube wir reden aneinander vorbei :-\
So hab ich es gemacht -Auf dem Desktop Arbeitsplatz angeklickt
-Festplatte (C:) geöffnet
-Ordner WINDOWS geöffnet
-in Ordner WINDOWS Ordner system32 geöffnet
-in dem Ordner system 32 sollte sich jetzt auch der Ordner dllcache befinden ,ist aber nicht zu finden.
Alle Ordner die mit D anfangen haben den Namen--Data--Defaults--dhcp--Direct X--drivers.
Unter Start suchen habe ich auch nichts gefunden ???
versuch doch den Weg über Hijack This!!
mein voriges Posting
So haben das schon etliche gelöst.
Hallo Rashka
Habe den Ordner dllcache endlich gefunden .
Der grund das ich ihn nicht fand war, das ich unter den Ordneroptionen --geschützte Systemdateien ausblenden (empfohlen)--aktiviert hatte.
Ich habe das häckchen entfernt und nun kann ich den Ordner dllcache in blau sehen.
sehr gut ;) hatte ich vergessen zu erwähnen ;)
also, die datei die du löschen willst erst darin löschen, dann im System32, rebooten... eigentlich sollte es dann gewesen sein
Gruß
Rashka
Habe die verdächtige .dll Datei nicht gefunden. ???
Aber ich habe heute von einem Informatiklehrer erfahren ,Norton taugt keinen Meter. -Zitat-- ist wie ein Haus ohne Fenster in dem man die Gardienen zuzieht. ;D
Aber leider hat der von Hijackern nocht nie gehört , schade :(
So,
Norton Antivirus und Internetsecurity runter.
Antivir und Kerio Personell Firewall drauf.
Antivir hat auch gleich einen Trojaner mit dem Namen TR.CLICK.VB.AC gefunden.
Außerdem hat mich Antivir auf all die verdächtigen .dll´s aufmerksam gemacht
die ich immer quer durch meinen Rechner jage.
Also jetzt warte ich mal ein bißchen ab ,und binn gespannt ob entfernt oder nur für einige zeit verscheucht. :shithappens:
Das mit Norton hätt ich dir vorher sagen können....
Kann man zwar nicht pauschalisieren, aber in 102% der fälle die ich kenne ist Norton müll.
Naja, jetzt lass am besten nochmal Ad-Aware6 und SpyBot drüberjagen, danach nochmal HiJackThis.... dann sollte dein System eigentlich clean sein...
Und wenn du willst das das so bleibt, NIMM NEN ANDEREN BROWSER!!!
IE taugt nix, fast jeder hier im Board kann dir Firefox empfehlen, ist flink wie jeck und um welten sicherer...
Gruß
Rashka
>:( nicht zu fassen ,
jetzt habe ich das Ding mit Anivir gelöscht ,und schwup ist es wieder da.
??? ??? ??? ??? ??? ??? ??? ???
es muß irgendwo noch eine Datei geben die diese .dll Dateien produziert,nur wo.
NUR WO???????????????
Oder haben die sowas wie meine IP und senden mir den Mist sobald ich Online bin, und warum hat Microsoft noch nichts dagegen getan .
Es muß doch einen Weg geben das wieder loszuwerden, bin ich den der
einzige auf der Welt ??????????????? ???
der dllcache reproduziert die datei.......
nim HiJack this in der neusten version oder machs von hand wies im Thread sthet...
Gruß
Rashka
Hier ist noch mal alles wesentliche beschrieben
http://board.protecus.de/showtopic.php?threadid=9373
Wenn das ihrgendwie nicht klappt, poste mal den Report von Hijack This.
mfg Skyline
:-\ Ich mußte etwas warten, aber jetzt ist der Hijacker wieder da.
Hier ist nun meine Hijack This liste.
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\een.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\een.dll/sp.html (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\een.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\een.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\een.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\een.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - e:\acrobat reader\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: (no name) - {5B8647DD-9011-498F-B159-1B49A38739B5} - C:\WINDOWS\System32\een.dll
O2 - BHO: (no name) - {87CB6B4C-6A34-4C03-9327-FF57EF11F113} - (no file)
O2 - BHO: (no name) - {9EAE0271-8094-487B-96CC-A5150ED8C0D0} - (no file)
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O2 - BHO: (no name) - {D082F453-EE91-4101-91B3-0B649EB9B1E7} - (no file)
O2 - BHO: (no name) - {FF90ECB8-47B8-4C68-971C-7FDE53F159C0} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [QuickTime Task] "E:\quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] E:\Treiber\Creative\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [AudioHQU] E:\Treiber\Creative\AudioHQ\AHQTBU.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Dialer Control] E:\DAILER~1\dc.exe
O4 - HKLM\..\Run: [WinPatrol] "e:\WINPAT~1\WinPatrol.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] E:\Anti Vir\AVGNT.EXE /min
O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "E:\POPUPS~1\POP-UP~1\PSFREE.EXE"
O4 - Global Startup: Microsoft Office.lnk = E:\Microsoft Office\Office\OSA9.EXE
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {1DB3B8DD-5801-443F-B2D5-9BF8912B980E} (dmgrax2Ctrl Class) - http://www.lxsystems.com/downloads/Install.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{26A21027-6B04-4107-849A-B9283DE4686D}: NameServer = 217.237.151.33 194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{26A21027-6B04-4107-849A-B9283DE4686D}: NameServer = 217.237.151.33 194.25.2.129
Die --een.dll-- ist diesmal die Hijacker dll .
Normalerweise habe ich www.Google.de als Startseite.
Ich habe schon versucht ,die BHO Nummern auf der Seite http://www.sysinfo.org/startuplist.php zu vergleichen ,
aber dort sind die meisten nicht zu finden.
alle Einträge zur een.dll einschließlich der een.dll löschen
------------------------------------------------------------------------------
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\een.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\een.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\een.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\een.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\een.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\een.dll/sp.html (obfuscated)
C:\WINDOWS\System32\een.dll !!
------------------------------------------------------------------------------
Was es mit den HBOS (no file) auf sich hat kann nun nicht sagen, würde erst mal die oben genannten Einträge über Hijack This löschen.
Um es genau beurteilen zu lassen kannst du auch den Hijack This Report hier (link)
http://www.rokop-security.de/main/article.php?sid=703
ins Forum posten (die setzen sich damit täglich auseinander)
mfg Skyline
Kann mir einer erklären was das "Hijacker CWS" genau ist und wo es das gibt? :D
Scheint ja unglaublich zu sein das Teil und ich kenne es nicht mal! :nixweiss:
http://www.hjt.klaffke.de/
Nettes Tool, hab mich gleich auch mal schlau gemacht!
"BHO" --> http://www.trojaner-info.de/anleitungen/hijackthis/htlogtutorial.html
Nu um Euch zu helfen lies ich mich registrieren. Um keinen Müll in meiner Box zu haben habe ich sofort diese Seiten als Spam festgelegt. Also bitte keine Mail.
---- Diesen Hijacker hatte ich auch und ganz einfach wegbekommen.
Winpatrol installieren und unter helpers nachsehen.
Mein Hijacker hiess "njnnca.dll"
Im Arbeitsplatz unter suchen ausfindig machen. - Löschen - Auch den Papierkorb löschen.
Dann PC neu starten - weg isser.....
Zitat von: bergfrei am 09. Mai 2004, 12:18:32 Uhr
Nu um Euch zu helfen lies ich mich registrieren. Um keinen Müll in meiner Box zu haben habe ich sofort diese Seiten als Spam festgelegt. Also bitte keine Mail.
Wie sollen wir das denn bitte verstehen???
Die einzigen Mails die du von HWE bekommst sind infomails darüber das jemand auf deinen Beitrag geantwortet hat, damit du nicht die übersicht verlierst falls du in mehreren Threads unterwegs bist.
Wir versenden weder Werbung noch Spam!
Gruß
Rashka
Zitat von: bergfrei am 09. Mai 2004, 12:18:32 Uhr
Nu um Euch zu helfen lies ich mich registrieren. Um keinen Müll in meiner Box zu haben habe ich sofort diese Seiten als Spam festgelegt. Also bitte keine Mail.
Sämtliche Mails über neue Postings, private Nachrichten und Ankündigungen kann jeder User selbst hier im Forum aktivieren bzw. deaktiveren. Newsletter, Werbung oder sonstiger Spam wird generell von uns nicht verschickt. ::)
Zitat von: bergfrei am 09. Mai 2004, 12:18:32 Uhr
Nu um Euch zu helfen lies ich mich registrieren. Um keinen Müll in meiner Box zu haben habe ich sofort diese Seiten als Spam festgelegt. Also bitte keine Mail.
---- Diesen Hijacker hatte ich auch und ganz einfach wegbekommen.
Winpatrol installieren und unter helpers nachsehen.
Mein Hijacker hiess "njnnca.dll"
Im Arbeitsplatz unter suchen ausfindig machen. - Löschen - Auch den Papierkorb löschen.
Dann PC neu starten - weg isser.....
Scheint ja ein ganz schlauer zu sein... :banghead:
@ bergfrei
ZitierenNu um Euch zu helfen lies ich mich registrieren. Um keinen Müll in meiner Box zu haben habe ich sofort diese Seiten als Spam festgelegt. Also bitte keine Mail
Dein Posting hättest du dir auch genausogut sparen können.
1. einen hijacker njnnca.dll gibt es wohl nicht
http://www.google.de/search?hl=de&ie=UTF-8&oe=UTF-8&q=Hijacker+njnnca.dll&btnG=Suche
vielleicht hat jemand eine 'dll' so benannt? Aber hier ging es um die een.dll
2. Hättest du den Report von Hijack This in diesem Thread aufmerksam gelesen, wäre dir vielleicht aufgefallen, dass
Winpatrol schon installiert wurde.
hier der Ausschnitt aus dem Report
O4 - HKLM\..\Run: [WinPatrol] "e:\WINPAT~1\WinPatrol.exe"
3. denke ich mal das das Problem schon gelöst wurde.
Skyline
Hallo,
eben diese bescheuerten Hijacker scheine ich auch zu haben. Folgende Programme auf neuestem Stand haben bereits "versagt":
Antivir
Spybot
CWShredder
Ein gutes hat es ja... ich bin auf FireFox umgestiegen. Dennoch will ich diesen beschissenen Mist loswerden.
Hier mein HijackThis Log:
Logfile of HijackThis v1.97.7
Scan saved at 13:59:18, on 10.05.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\VeriSign\NAVI\naviagent.exe
C:\Programme\Mozilla Firefox\firefox.exe
G:\Programme\Winamp3\Studio.exe
G:\Downloads\AV\HijackThis.exe
G:\Downloads\AV\CWShredder.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\mmpbb.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\mmpbb.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\mmpbb.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\mmpbb.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\mmpbb.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\mmpbb.dll/sp.html (obfuscated)
R3 - URLSearchHook: VeriSign Inc. i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_1_4.dll
F1 - win.ini: run=C:\WINDOWS\system32\services\wmplayer.exe
O2 - BHO: (no name) - {03921E4A-FDF1-40DB-9AAE-24FF569C9807} - C:\WINDOWS\System32\kppcbjb.dll (file missing)
O2 - BHO: (no name) - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot\SDHelper.dll
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\RoboForm.dll
O2 - BHO: (no name) - {86ACD056-B7EB-4D0C-B736-8A158E27058C} - C:\WINDOWS\System32\mmpbb.dll (file missing)
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: (no name) - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_1_4.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\RoboForm.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [RoboForm] "C:\Programme\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe"
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Scantaste.lnk = C:\SCANNER\EXE32\IBMSCAN.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: RF - &Formular speichern - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: RF - &Menü anpassen - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: RF - Formular ausf&üllen - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Ausfüllen (HKLM)
O9 - Extra 'Tools' menuitem: RF - Formular ausf&üllen (HKLM)
O9 - Extra button: Speichern (HKLM)
O9 - Extra 'Tools' menuitem: RF - &Formular speichern (HKLM)
O9 - Extra button: RoboForm (HKLM)
O9 - Extra 'Tools' menuitem: RF - RoboForm-S&ymbolleiste (HKLM)
O9 - Extra button: Hilfe zu i-Nav (HKLM)
O9 - Extra 'Tools' menuitem: Hilfe zu i-Nav (HKLM)
O9 - Extra 'Tools' menuitem: Optionen für i-Nav (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Muss ich die HKLM Einträge, sowie die O2´s löschen? Übrigens lädt jetzt mit Start der WMPlayer (Eintrag F1 win.ini), ohne dass ich das eingestellt hätte. Unter Autostart kann ich das auch nicht ändern. Kann ich unbesorgt den Eintrag über HijackThis löschen?
Danke für diese großartige Forum. Ich betreibe selbst ein Hilfeseite für Mathematik (MatheBoard) und weiß, dass die Betreiber dafür ganz schön schwitzen mussten und müssen ;)
Gruß,
Jama
hallo das schon mal rauslöschen
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\mmpbb.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\mmpbb.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\mmpbb.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\mmpbb.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\mmpbb.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\mmpbb.dll/sp.html (obfuscated)
R3 - URLSearchHook: VeriSign Inc. i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} -
C:\Programme\VeriSign\i-Nav\i-nav_4_1_4.dll
F1 - win.ini: run=C:\WINDOWS\system32\services\wmplayer.exe
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\RoboForm.dll
O2 - BHO: (no name) - {03921E4A-FDF1-40DB-9AAE-24FF569C9807} - C:\WINDOWS\System32\kppcbjb.dll (file missing)
C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot\SDHelper.dll
O2 - BHO: (no name) - {86ACD056-B7EB-4D0C-B736-8A158E27058C} - C:\WINDOWS\System32\mmpbb.dll (file missing)
//? No name dieses evtl erst drinlassen//
O2 - BHO: (no name) - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} -
mfg Skyline
Hi Skyline.
Danke für die Antwort. Ich hab das System vorhin wieder gescannt, um die genannten Dateien zu entfernen. Gefunden und gelöscht habe ich nur noch 5.
Scan vor dem Fixen:
Logfile of HijackThis v1.97.7
Scan saved at 18:12:53, on 10.05.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\VeriSign\NAVI\naviagent.exe
G:\Programme\Winamp3\Studio.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\CacaBack\Caca.exe
G:\Programme\Trillian\trillian.exe
G:\Downloads\AV\HijackThis.exe
R3 - URLSearchHook: VeriSign Inc. i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_1_4.dll
F1 - win.ini: run=C:\WINDOWS\system32\services\wmplayer.exe
O2 - BHO: (no name) - {03921E4A-FDF1-40DB-9AAE-24FF569C9807} - C:\WINDOWS\System32\kppcbjb.dll (file missing)
O2 - BHO: (no name) - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot\SDHelper.dll
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\RoboForm.dll
O2 - BHO: (no name) - {86ACD056-B7EB-4D0C-B736-8A158E27058C} - C:\WINDOWS\System32\mmpbb.dll (file missing)
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: (no name) - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_1_4.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\RoboForm.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [RoboForm] "C:\Programme\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe"
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Scantaste.lnk = C:\SCANNER\EXE32\IBMSCAN.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: RF - &Formular speichern - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: RF - &Menü anpassen - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: RF - Formular ausf&üllen - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Ausfüllen (HKLM)
O9 - Extra 'Tools' menuitem: RF - Formular ausf&üllen (HKLM)
O9 - Extra button: Speichern (HKLM)
O9 - Extra 'Tools' menuitem: RF - &Formular speichern (HKLM)
O9 - Extra button: RoboForm (HKLM)
O9 - Extra 'Tools' menuitem: RF - RoboForm-S&ymbolleiste (HKLM)
O9 - Extra button: Hilfe zu i-Nav (HKLM)
O9 - Extra 'Tools' menuitem: Hilfe zu i-Nav (HKLM)
O9 - Extra 'Tools' menuitem: Optionen für i-Nav (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Scan nach dem Fixen:
Logfile of HijackThis v1.97.7
Scan saved at 18:12:53, on 10.05.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\VeriSign\NAVI\naviagent.exe
G:\Programme\Winamp3\Studio.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\CacaBack\Caca.exe
G:\Programme\Trillian\trillian.exe
G:\Downloads\AV\HijackThis.exe
R3 - URLSearchHook: VeriSign Inc. i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_1_4.dll
F1 - win.ini: run=C:\WINDOWS\system32\services\wmplayer.exe
O2 - BHO: (no name) - {03921E4A-FDF1-40DB-9AAE-24FF569C9807} - C:\WINDOWS\System32\kppcbjb.dll (file missing)
O2 - BHO: (no name) - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot\SDHelper.dll
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\RoboForm.dll
O2 - BHO: (no name) - {86ACD056-B7EB-4D0C-B736-8A158E27058C} - C:\WINDOWS\System32\mmpbb.dll (file missing)
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: (no name) - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_1_4.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\RoboForm.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [RoboForm] "C:\Programme\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe"
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Scantaste.lnk = C:\SCANNER\EXE32\IBMSCAN.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: RF - &Formular speichern - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: RF - &Menü anpassen - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: RF - Formular ausf&üllen - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Ausfüllen (HKLM)
O9 - Extra 'Tools' menuitem: RF - Formular ausf&üllen (HKLM)
O9 - Extra button: Speichern (HKLM)
O9 - Extra 'Tools' menuitem: RF - &Formular speichern (HKLM)
O9 - Extra button: RoboForm (HKLM)
O9 - Extra 'Tools' menuitem: RF - RoboForm-S&ymbolleiste (HKLM)
O9 - Extra button: Hilfe zu i-Nav (HKLM)
O9 - Extra 'Tools' menuitem: Hilfe zu i-Nav (HKLM)
O9 - Extra 'Tools' menuitem: Optionen für i-Nav (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Gruß,
Jama
Hallo
den Hjacker kann man Löschen in dem man Spybot S&D durchführt. Danach AVK(Antivirenkit) auf die Festplatte spielen.
Danach war bei mir ruhe mit Hjackern.
:rambo2: Euer Computer Boy :rambo2:
AVK arbeitet mit den AV-Engines von Bit-Defender und Kaspersky Labs. die killen nur viren...
Hijacker, Spy- und Adware nicht ;) dafür sollte man schon AdAware 6 und Spybot drauf haben...
Und für extremfälle noch HiJack-This
Gruß
Rashka
Also ich hab die Lösung für das CWS Problem. Ich hatte den Hijacker jetzt 1 Monat jeden Tag und hab all diese tollen Entfernungstools wie Hijackthis Spybot, Ad-aware und Co. versucht. Ergebnis war wie bei vielen : nach einem Tag war der Hijacker wieder da.
Vor 4 Tagen hab ich in einem Forum dann endlich die Lösung gefunden. Es gibt ein Tool zum dauerhaften Entfernen des Hijackers.
http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html (http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html)
Das Tool einfach starten. Den Rechner rebooten und nach dem erneuten Systemstart dann unbedingt den CWShredder drüberlaufen lassen, damit die 31kb *.dll entfernt wird.
Das wars schon. Bei mir ist der Hijacker seitdem entfernt und nicht mehr aufgetaucht.
Viel Glück Leute!
Zitat von: fab am 03. Juni 2004, 08:51:08 Uhr
Also ich hab die Lösung für das CWS Problem.
Es gibt ein Tool zum dauerhaften Entfernen des Hijackers.
Ich auch...bzw mehr nen Ratschlag
nimm nen anderen Browser, mit dem IE hast du ratzfatz den nächsten drauf... mal abgesehn davon is Mozilla's Firefox auch um einiges schneller.
Gruß
rashka
Zitat von: Rashka am 03. Juni 2004, 08:56:02 Uhr
Ich auch...bzw mehr nen Ratschlag
nimm nen anderen Browser, mit dem IE hast du ratzfatz den nächsten drauf... mal abgesehn davon is Mozilla's Firefox auch um einiges schneller.
Gruß
rashka
ich nutze den IE seit nun mehr als 4jahren, und hatte noch nie so ein nettes Teilchen aufm Rechner.. wie hatte mal einer eine Signatur:
ZitierenWas kann Ich dafür das der IE bei mir läuft?
(http://www.eselpsychos.to/forum/images/smilies/wink.gif)
American
O0 Hallo,
schon länger her das ich hier gepostet habe.
Aber ich wollte noch sagen wie ich diesen Hijacker loßgeworden bin.
Windows CD einlegen Partition C/: Löschen -----und Windows neu Installieren ;D ;D ;D
So löst man alle Probleme die einen auf die Palme bringen.
Trotzdem DANK!!!!!! an alle die mir helfen wollten ,aber dieses ding ist unzerstörbar .
Sehr sinnig wenn man sich die arbeit sparen will, aber manchmal gehts halt nich anders ;)
Naja, hauptsache es fluppt jetzt wieder.... hoffe nur das du nicht weiterhin den IE benutzt, sonst hast du ruck-zuck nen neuen jacker drauf ;)
Gruß
Rashka
hab mir auch cws eingefangen
hab aber keine ahnung,was da falsch ist.
adaware hab ich laufen lassen
hjt log:
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\WINDOWS\System32\qttask.exe
C:\WINDOWS\appyp.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\appou32.exe
D:\hjt.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\kernel.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\sc_watch.exe
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\UPDATE.EXE
--------------------------------------------------
Listing of startup folders:
Shell folders Common Startup:
[C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart]
Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
--------------------------------------------------
Checking Windows NT UserInit:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,
--------------------------------------------------
Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
ccApp = "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
ccRegVfy = "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
Advanced Tools Check = C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
NvCplDaemon = RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
nwiz = nwiz.exe /install
SunJavaUpdateSched = C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
QuickTime Task = C:\WINDOWS\System32\qttask.exe
appyp.exe = C:\WINDOWS\appyp.exe
--------------------------------------------------
Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
netek32.exe = C:\WINDOWS\netek32.exe
appou32.exe = C:\WINDOWS\system32\appou32.exe
netkb32.exe = C:\WINDOWS\netkb32.exe
--------------------------------------------------
Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
MSMSGS = "C:\Programme\Messenger\msmsgs.exe" /background
NvMediaCenter = RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
NVIEW = rundll32.exe nview.dll,nViewLoadHook
--------------------------------------------------
Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:
Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*
Shell & screensaver key from Registry:
Shell=Explorer.exe
SCRNSAVE.EXE=*Registry value not found*
drivers=*Registry value not found*
Policies Shell key:
HKCU\..\Policies: Shell=*Registry key not found*
HKLM\..\Policies: Shell=*Registry value not found*
--------------------------------------------------
Enumerating Browser Helper Objects:
(no name) - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
NAV Helper - C:\Programme\Norton AntiVirus\NavShExt.dll - {BDF3E430-B101-42AD-A544-FADC6B084872}
(no name) - C:\WINDOWS\system32\appwg.dll - {FBC1B2FF-838B-6257-27F0-2FD318F49B54}
--------------------------------------------------
Enumerating Task Scheduler jobs:
Norton AntiVirus - Scan my computer.job
Symantec NetDetect.job
--------------------------------------------------
Enumerating Download Program Files:
[Shockwave ActiveX Control]
InProcServer32 = C:\WINDOWS\system32\Macromed\Director\SwDir.dll
CODEBASE = http://fpdownload.macromedia.com/get/shockwave/cabs/director/sw.cab
[RdxIE Class]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\RdxIE.dll
CODEBASE = http://software-dl.real.com/220b5838a0c60cffe605/netzip/RdxIE601_de.cab
[Update Class]
InProcServer32 = C:\WINDOWS\System32\iuctl.dll
CODEBASE = http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38035.3818518519
[Shockwave Flash Object]
InProcServer32 = C:\WINDOWS\System32\macromed\flash\Flash.ocx
CODEBASE = http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
--------------------------------------------------
Enumerating Windows NT logon/logoff scripts:
*No scripts set to run*
Windows NT checkdisk command:
BootExecute = autocheck autochk *
Windows NT 'Wininit.ini':
PendingFileRenameOperations: c:\windows\system32\apivo32.exe||c:\windows\crme.exe||c:\windows\iedl32.exe||c:\windows\iemx.exe||c:\windows\netek32.exe
--------------------------------------------------
Enumerating ShellServiceObjectDelayLoad items:
PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
CDBurn: C:\WINDOWS\system32\SHELL32.dll
WebCheck: C:\WINDOWS\System32\webcheck.dll
SysTray: C:\WINDOWS\System32\stobject.dll
--------------------------------------------------
End of report, 6.218 bytes
wäre dankbar für hilfe :-)
Ich hab mir auch den Hijack eingegangen... :'(
das teil ist echt /$%)/&
Adaware findet immer 9 Einträge in der Reg!!
Das ding geht auch nach mehrmaligen Löschen nicht weg.
Ich vermute das auch eine DLL dahinter steckt aber die unten genannten konnte ich nicht finden!!! Muss ma weiter suchen..
Besser wäre HILFE!!!!
Zitat von: regungsloser am 23. Juni 2004, 18:27:24 Uhr
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
nwiz = nwiz.exe /install
appyp.exe = C:\WINDOWS\appyp.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
netek32.exe = C:\WINDOWS\netek32.exe
appou32.exe = C:\WINDOWS\system32\appou32.exe
netkb32.exe = C:\WINDOWS\netkb32.exe
--------------------------------------------------
Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
NVIEW = rundll32.exe nview.dll,nViewLoadHook
(no name) - C:\WINDOWS\system32\appwg.dll - {FBC1B2FF-838B-6257-27F0-2FD318F49B54}
Windows NT 'Wininit.ini':
PendingFileRenameOperations: c:\windows\system32\apivo32.exe||c:\windows\crme.exe||c:\windows\iedl32.exe||c:\windows\iemx.exe||c:\windows\netek32.exe
wäre dankbar für hilfe :-)
Würde diese Sachen erstmal raus nehmen (vielleicht vorher exportieren, wenn du`s noch brauchst). Vielleicht ist NView auch noch i.O.
Auch die DLL und EXE verschieben, die aus der Regedit gelöscht wurden!
MFG Keyfinder
Hi,
Ich habe mal den Quelltext der Seite "Search for" angesehen. Dasteht unten folgende Seite...
http://oz.msie.tv/
folge diesem Link. Áuf der geöffneten Seite ist ein Linkt "uninstall software
"
http://oz.msie.tv/uninstall.exe
unmittelbar nach dem Download und ausführen des Programms war meine Startseite wirklich wieder Blank und eine neu eingerichtete Startseite wurde auch wieder angezeigt.
Ich weiß nicht wie lange es hilft, aber es war das einzigste was wirklich sofort geholfen hat.
Bitte verbreitet diese Info weiter wenn ihr es getestet habt und es bei euch auch funktioniert. Ich bitte auch um Rückmeldung.
Ich hoffe das ich helfen konnte.
Gruß Bonanza
Ich hab auch einen cws searcher aufm rechner und hab 2 Fragen!
1. Wie bekomme ich dieses sch***teil runter?
2. Was richtet er eigentlich an, weil noch alles wie geschmiert läut?
Habs mal mitm CWS Shredder versucht, der findent ihn und zerstört ihn auch, aber kommt immer und immer wieder!!
Für Hilfe wäre ich dankbar
MFG
Ich hab auch einen cws searcher aufm rechner und hab 2 Fragen!
1. Wie bekomme ich dieses sch***teil runter?
2. Was richtet er eigentlich an, weil noch alles wie geschmiert läut?
Habs mal mitm CWS Shredder versucht, der findent ihn und zerstört ihn auch, aber kommt immer und immer wieder!!
Für Hilfe wäre ich dankbar
MFG
Haste Dir den thread mal durchgelesen? Alle gängigen Hilfen wurden ja hier schon gepostet.
mfg
American
Hallo,
ich wollte bloß sagen: Gabbo, ich weiss was du durchgemacht hast. :-[
Ich hab das !"§$%&/-Teil jetzt seit ca. einer Woche drauf. Ich weiss weder Wo noch Wie ich mir das eingfangen habe. ??? >:(
Ich habe bisher Ad-Aware, Spybot, Spy Sweeper und CWShredder benutzt um das Problem zu beheben, aber immer wieder der gleiche Sch...:
Nach dem Neustart (bin ziemlich sicher,dass es am Neustart liegt) ist CWS wieder da. Hab auch schon msconfig bzw. autostartmenü durchgeschaut -> nichts zu finden.
Hab bisher nur an den Symptomen rumdoktern können (also meine Standartseite widerherstellen und das system wieder benutzbar machen). Dabei hat mir Spy Sweeper am meisten geholfen. Ad-awre hat das Problem zwar erkannt aber nicht mal Symptome waren zu beseitigen!
Spybot und CWShredder haben zwar zu entfernende Reg.Einträge gefunden aber geholfen hat das nichts.
Es muss doch noch irgendeine Möglichkeit ausser "Format C:/" geben!!???? ??? ???
Ich brauche dringend Hilfe!!! Aber bin wohl nicht der einzige wie es aussieht :-[
Zitat von: rchob am 22. Juli 2004, 16:39:00 Uhr
Ich habe bisher Ad-Aware, Spybot, Spy Sweeper und CWShredder benutzt um das Problem zu beheben, aber immer wieder der gleiche Sch...:
Es bleibt noch die Möglichkeit Spybot-Search & Destroy, SpywareBlaster, HiJackThis und Spoonweg einzusetzten.
Spyware finden und entfernen (http://www.computerhilfen.de/magazin_spyware.php3)
Danke tyco!
hab ich alle schon drübergejagt. Ausser Spoonweg werd ich aber auch noch testen!
>:( also ich hab immer noch den cws.Searchx hijacker drauf,hab alles versucht seit mehr als 15std.
habe auch jede menge foren durchsucht die dieses thema aufgreifen,einzigste möglichkeit für mich war mit einem antivir und antispy die platte zudurchsuchen und anschließend den iexplorer zu deaktivieren,steigt zu FireFox um,der is auch viel schneller
Hallo ihr geplagten,
ich habe mich mit diesem Problem ebenfalls einige Tage herumgeschlagen, bis ich den Beitrag von Bonanza (s. oben) gelesen habe - es "funktioniert".
Vorgehensweise:
Datei http://oz.msie.tv/uninstall.exe herunterladen auf A: speichern;
CWS-Schredder.......etc scannen und löschen der identifizierten reg-einträge und dateien:
A L L E !! Fenster und Anwendungen schließen auch die in Taskleiste!!!;
von A: o.g. Datei ausführen;
System Neusatart und neu scannen - danach war bei mir alles clean!!
!!! Empfehlung: Firefox installieren und als Standardbrowser einrichten und alles läuft wie geschmiert!!! ;D ;D ;D ;D
Hallo Leute,
zu eurer H I L F E und als Dank für die bemühten Unterstützer hier im Forum, hier mein Bericht, wie das Problem mit der ungewollten Startseite "Search for" G E L Ö S T W U R D E:
1)
Nachstehende Logfile habe ich nach dem ersten Scannen mit HijackThis erhalten.
2)
Ich habe dann nach mehrmaligen ausprobieren und 2 Stunden lesen in diesem wie in weiteren Foren mich einfach getraut folgenden Zeilen zu löschen (sollten hier FETT markiert sein. Bemerke R1, O2 und O18):
Logfile of HijackThis v1.99.0
Scan saved at 00:58:34, on 31.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\Programme\Network Associates\VirusScan\Mcshield.exe
C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Network Associates\PGPNT\PGPtray.exe
C:\Dokumente und Einstellungen\Zyprinus\Eigene Dateien\BB\Hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\Temp\sp.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\Temp\sp.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=ftpproxy.deutschepost.de:8080;http=wwwproxy.deutschepost.de:8080;https=wwwproxy.deutschepost.de:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;*.postag.de;127.0.0.1;*.deutschepost.de;*.intra.dpwn.net;*.dp-itsolutions.de;localhost;<local>
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {EFDFE523-A60D-4010-ABAF-489705BE8A9E} - C:\WINDOWS\system32\dhmn.dll
O4 - HKLM\..\Run: [ScanRegistry] C:\W
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [CookDel] c:\scripts\delcook.cmd
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: PGPtray.lnk = C:\Programme\Network Associates\PGPNT\PGPtray.exe
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{DEB137A3-2935-4E6C-B76B-F46A8E4494D4}: NameServer = 217.237.151.97 217.237.150.33
O18 - Filter: text/html - {5D22E6C4-B0B6-4EB7-ADEA-469EBEA49B38} - C:\WINDOWS\system32\dhmn.dll
O18 - Filter: text/plain - {5D22E6C4-B0B6-4EB7-ADEA-469EBEA49B38} - C:\WINDOWS\system32\dhmn.dll
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programme\Executive Software\DiskeeperLite\DKService.exe
O23 - Service: McAfee Framework-Dienst - Network Associates, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
hab so ein problem nun auch schon seit mehr als 2 monaten....seit jenem tag funktioniert weder IE noch slimbrowser! nur noch firefox geht....popups erscheinen sobald ich die kiste online hochgefahren hab, meist in minutenabständen, manchmal 4 ,manchmal auch 8 oder mehr popups!
sind keine dll im hijackthis bericht dabei....alles exe, cab und ocx! is das normal?
grüße ich
Poste doch mal Dein HijackThis.log.
wollt ich gestern schon machen, geht aber irgendwie kein copy & paste.....wie macht man sowas ??? *verlegenschulterzuck*
Das Logfile mit dem Editor oder Wordpad öffnen und dann copy & paste ins Forum.
danke....so....hier meine logfile.....
Logfile of HijackThis v1.97.7
Scan saved at 21:14:22, on 09.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\WINDOWS\System32\TPWRTRAY.EXE
C:\WINDOWS\System32\TFNF5.exe
C:\Programme\Toshiba\ConfigFree\NDSTray.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\TOSHIBA\Wireless Hotkey\TosHKCW.exe
C:\WINDOWS\System32\rmctrl.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Apoint2K\Apntex.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Dokumente und Einstellungen\Anne\Desktop\HijackThis.exe
C:\WINDOWS\system32\mspaint.exe
C:\WINDOWS\System32\svchost.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = socks=127.0.0.1:1080
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe /Type 28
O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [NDSTray.exe] "C:\Programme\Toshiba\ConfigFree\NDSTray.exe"
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [TouchED] C:\Programme\TOSHIBA\TouchED\TouchED.Exe
O4 - HKLM\..\Run: [TosHKCW.exe] "C:\Programme\TOSHIBA\Wireless Hotkey\TosHKCW.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\System32\rmctrl.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [antiware] C:\windows\system32\elitecln32.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZNxmk142XXUS
O9 - Extra button: ICQ 4.0 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=e35dab0b60db4a5037bd1113a93c2a95d05c3c2048fda163a84c15f07fac5cee9bdd84398043d5d5378d16d0bdbfa7eab3e3ec:b4dcaab7f2dabb84f93d90b6f3b1da5e
O16 - DPF: {771A1334-6B08-4A6B-AEDC-CF994BA2CEBE} - http://www.ysbweb.com/ist/softwares/v4.0/ysb_regular.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab
noch ne frage.....warum kann ich seit ich das problem mit den popups hab nur noch mit mozilla ins internet? ie geht net, slimbrowser auch net....ich weiß zwar, dass man die eh net nehmen sollte, aber komisch ist es dennoch! nich mal mehr die icq werbung kommt seither noch durch....nichts...
das ergebnis von antivir:
2270 Verzeichnisse wurden durchsucht
41643 Dateien wurden geprüft
8 Warnungen wurden ausgegeben
10 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
10 Viren bzw. unerwünschte Programme wurden gefunden
hoffe das wars.....sieht mal rel. erfolgreich aus....
Deinem HijackThis.log habe ich entnommen, dass Du keine Firewall und auch keinen aktiven Virenscanner verwendest. Ausserdem ist die aktuelle HijackThis Version 1.99.
Du solltest also etwas mehr für Deine Sicherheit sorgen.
ich bin hinter nem router....irgendjemand hat mir gesagt ich sei da schon ziemlich sicher, habs halt mal geglaubt.....
hatte mal ne firewall an, hat sich aber null mit allem möglichen vertragen, is andauernd abgestürzt! war glaub ich zonealarm! werd mir mal ne neue hijacken....
danke
so antivir hat zwar 10 trojaner gelöscht, die popups sind trotzdem da! shit! gehört wohl zu den datein, zu denen der zugriff verweigert wurde
die heißen MyWebsearch...weiß da einer bescheid? wie krieg ich die wech?
Du solltest es mal mit dem CWShredder versuchen.
Viren, Trojaner, Hijacker & Co – Schutz und Beseitigung (http://www.hardwareecke.de/berichte/sicherheit/viren_trojaner_hijacker_schutz_beseitigung_2.php)
Hallo,
leider ist das uninstall tool nicht mehr verfügbar.
hast du es vielleicht noch auf platte, und könntest es mir schicken ???
DANKE
dreister O0
Den CWShredder gibt es jetzt bei InterMute (http://www.intermute.com/spysubtract/cwshredder_download.html).
Hallo, ich hatte ihn auch und hab Systemwiederherstellung (1Woche zurück) gemacht und habe wieder alles ok - bis jetzt jedenfalls. Antivir findet jetzt auch nix mehr (vorher an 12 Stellen). Ich hoffe, es bleibt so. Wenn ja, wars einfach, ihn loszuwerden.
;D
nehmt spyware doctor.. hatte den CWS/Search for... auch drauf.. und der macht einem echt den gar aus.. Spyware doctor braucht selbst insgesammt bei mir 3 reboots um ihn entgültig loszuwerden.. aber meiner meinung nach.. jetz seit neuestem,.. seit dem ich spyware doctor habe.. empfinde ich adaware echt als den größten müll und schund mit viel optionen die alle NICHTS bringen und zudem beim spyware doctor in einer funktion stecken...
naja.. wiegesagt.. das CWS/search for ding is kein prob damit..
Hi !
Ich bin am verzweifeln!! Mein Hijack "Search for..." ist auch nicht wegzukriegen!!
kann mir jemand helfen?? Das wäre gut und ich wäre euch auf ewig dankbar!!
hier ist mein log:
Logfile of HijackThis v1.99.0
Scan saved at 15:39:31, on 06.03.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Miranda IM\miranda32.exe
c:\q747863.exe
C:\WINDOWS\Downloaded Program Files\on-line.exe
C:\WINDOWS\System32\rundll32.exe
C:\Dokumente und Einstellungen\Philipp\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis199.zip\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Philipp\LOKALE~1\Temp\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Philipp\LOKALE~1\Temp\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: (no name) - {AEB57267-CBFF-41D4-A651-5FD7A15DB68C} - C:\WINDOWS\System32\amgn.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [sp] rundll32 C:\DOKUME~1\Philipp\LOKALE~1\Temp\se.dll,DllInstall
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O18 - Filter: text/html - {FB6084BB-22DD-4609-91D5-0CDB21AC8017} - C:\WINDOWS\System32\amgn.dll
O18 - Filter: text/plain - {FB6084BB-22DD-4609-91D5-0CDB21AC8017} - C:\WINDOWS\System32\amgn.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
Fixe mal folgendes:
O2 - BHO: (no name) - {AEB57267-CBFF-41D4-A651-5FD7A15DB68C} - C:\WINDOWS\System32\amgn.dll
O18 - Filter: text/html - {FB6084BB-22DD-4609-91D5-0CDB21AC8017} - C:\WINDOWS\System32\amgn.dll
O18 - Filter: text/plain - {FB6084BB-22DD-4609-91D5-0CDB21AC8017} - C:\WINDOWS\System32\amgn.dll
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Philipp\LOKALE~1\Temp\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Philipp\LOKALE~1\Temp\se.dll/sp.html
O4 - HKLM\..\Run: [sp] rundll32 C:\DOKUME~1\Philipp\LOKALE~1\Temp\se.dll,DllInstall
Falls die sp.html nach einiger Zeit wieder erscheint kannst Du das Tool welches ich als Anlage beigefügt habe verwenden.
Lösche folgende Dateien im abgesicherten Modus:
C:\WINDOWS\Downloaded Program Files\on-line.exe
Vielen Dank! ich werde es sofort versuchen!
Nochmals danke aber es hat leide nicht geklappt...
hast du evtl eine Datei übersehen?
Der Hijacker ist sehr hartnäckig und zur Zeit immer häufiger anzutreffen. Hast Du das Tool sphjfix.exe auch eingesetzt?
Führe HijackThis mal im abgesicherten Modus aus und fixe die Einträge. Lass mal nach der Datei se.dll im abgesicherten Modus suchen und lösche sie überall. Anschliessend löscht Du auch alle Dateien aus dem Papierkorb.
JUCHUUUU vielen Dank hat alles geklappt!!!!
Du bist echt spitze! :D
Kann mir einer auch mal helfen? Das geht auch nicht diese CWS/SearchFor
hab auch Hijack this benutzt geht aber irgendwie net
Poste auch mal dein Hijackthis Logfile
dieser hijacker, searchfor, hat das was mit searchmaid zu tun?
Wenn ja, dann kann ich dir helfen.
noch was...hast du n antivirenprogramm drauf?
wenn ja, der müsste sich melden und dann poste mal bitte den namen des virus.
ich glaube ich hab den auch schon mal gehabt, und es war nicht einfach den zu entfernen.
kann irgendwas mit w32... sein
Abend...
Habe den von tyco vorgeschlagenen weg gewählt...nur...sobald ich alle .dll dateien die damit in verbindung stehen im abgesicherten mod. gelöscht habe und das tool drüberlaufen lassen will kommt vom tool die meldung "nicht infiziert"...aber trotzdem taucht er am nächsten tag wieder auf...
irgendwelche kreativen lösungsvorschläge?
vielen dank im voraus,
mfg
Ice
Was hast denn genau für ein Problem, was hast bisher genau gemacht? Poste vielleicht auch mal das Hijackthis Logfile von dir.
Sorry, dass ich hier andauernd poste, nächstes mal guck ich erst nach.
ich hab einen ähnlichen trojaner gehabt. meine datei war nur sp.dll und nicht se.dll, aber es müsste genauso funktionieren.
dein trojaner: TR/StartPage.qr.dll
beseitigung: http://www.informationsarchiv.net/foren/beitrag-13862.html
und dort den post von trojan_hunter anwenden.(na am besten guck dir alles an, das ist die lösung)
das müsste funktionieren, bei mir gings, aber halt mit sp.dll, aber der trojaner ist der gleiche.
BEFOLGE GENAU DAS, DENN EIN FEHLER UND DU HAST IHN WIEDER.
PS: nachdem du die dll datei rausgefunden hast, starte im abgesicherten modus ohne netzwerk, damit nix internetverbindung ist.
ZitierenSorry, dass ich hier andauernd poste
...dafür ist das Forum ja da. :D
Hallo Leute, habe wohl auch den searchmaid-trojahner. Doch damit nicht genug. Ich verstehe die Lösungsvorschläge aus google zu dem thema überhaupt nicht, da ich keine ahnung von der materie besitze. Gibt es eine chance, dass ich euch anrufe und ihr mir live helfen würdet? Vielleich heute abend ab 17.00 Uhr?
Versuch doch einfach mal mit SpyBot und Ad-aware dein Glück:
http://www.hardwareecke.de/berichte/sicherheit/viren_trojaner_hijacker_schutz_beseitigung_2.php
Hallo TMK, falls da eine antwort für mich war, so habe ich adaware schon gemacht. Leider keine problemlösung.
...und SpyBot?
Ich glaube verstanden zu haben, dass diese programme keine lösung bringen, TMK.
Poste mal Dein HijackThis Logfile.
ich habe es mit "AntiVir 9x" weg gebracht!
Hallo zusammen,
ich habe seit 2 Tagen scheinbar auch dieses verfluchte Ding, und alle Versuche, es zu vernichten schlugen fehl. Habe mit Hijack This alle Einträge, die laut Hilfe schädlich waren (z.B. R0 - R3 alle) gelöscht, aber nach dem Neustart waren sie wieder da. Deshalb meine Fragen:
- muss ich das hijack Teil im abgesicherten Modus laufen lassen ?
- kann ich trotz dieses Mistdings gefahrlos online-banking und andere Dinge wie e-mails abrufen machen ?
Wie man hier rauslesen kann, habe ich leider sehr wenig Ahnng von solchen Dingen und bin dringend auf eure hilfe angewiesen :)
Hier mal mein hijack Logfile, wie es nach dem Rebooten immer wieder ist. Die blöden R0 - R3 kommen einfach immer wieder.
Logfile of HijackThis v1.99.1
Scan saved at 11:17:44, on 29.04.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton Personal Firewall\NISUM.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Norton Personal Firewall\ccPxySvc.exe
C:\SDRC\I-DEAS8\Iona\bin\orbixd.exe
C:\SDRC\I-DEAS8\sec\lmgrd.exe
C:\SDRC\I-DEAS8\sec\lmgrd.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\SDRC\I-DEAS8\mf\mfjobman\bin\mfjobman.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
c:\SDRC\I-DEAS8\sec\sdrc_ms8.exe
c:\SDRC\I-DEAS8\sec\sdrcd.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\ScsiAccess.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\system32\apixq32.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\soundman.exe
C:\WINDOWS\system32\netxq32.exe
C:\WINDOWS\System32\DrvMon.exe
C:\Program Files\interMute\SpySubtract\SpySub.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\robert\Desktop\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\qjrkh.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\qjrkh.dll/sp.html#37049
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\qjrkh.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\qjrkh.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\qjrkh.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\qjrkh.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\qjrkh.dll/sp.html#37049
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {2F9CF46E-EFF6-35CD-9CDA-BF02ABD0CAF6} - C:\WINDOWS\atlba32.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~2\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [netxq32.exe] C:\WINDOWS\system32\netxq32.exe
O4 - HKLM\..\RunOnce: [apixq32.exe] C:\WINDOWS\system32\apixq32.exe
O4 - HKCU\..\Run: [DrvMon.exe] C:\WINDOWS\System32\DrvMon.exe
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - http://www.symantec.com/techsupp/activedata/SymAData.dll
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - http://www.symantec.com/techsupp/activedata/ActiveData.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9D0A9B3E-2B4B-43D0-8898-E0B609DB0237}: NameServer = 141.30.214.10,141.30.66.135
O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown owner - C:\WINDOWS\atluy32.exe (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - C:\Programme\Norton Personal Firewall\ccPxySvc.exe
O23 - Service: I-DEAS 8 Open I-DEAS Server - Unknown owner - C:\SDRC\I-DEAS8\Iona\bin\orbixd.exe
O23 - Service: IDEAS - Globetrotter Software Inc - C:\SDRC\I-DEAS8\sec\lmgrd.exe
O23 - Service: imageware - Globetrotter Software Inc - C:\SDRC\I-DEAS8\sec\lmgrd.exe
O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Unknown owner - C:\WINDOWS\System32\ImapiRox.exe (file missing)
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: Moldflow Job Manager (mfjobman) - Unknown owner - C:\SDRC\I-DEAS8\mf\mfjobman\bin\mfjobman.exe
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Personal Firewall Accounts Manager (NISUM) - Symantec Corporation - C:\Programme\Norton Personal Firewall\NISUM.EXE
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: ScsiAccess - Unknown owner - C:\WINDOWS\System32\ScsiAccess.EXE
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
Fixe folgendes....gegebenenfalls im abgesicherten Modus wiederholen.
C:\WINDOWS\system32\apixq32.exe
C:\WINDOWS\system32\netxq32.exe
C:\WINDOWS\System32\DrvMon.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\qjrkh.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\qjrkh.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\qjrkh.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\qjrkh.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\qjrkh.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\qjrkh.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\qjrkh.dll/sp.html#37049
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {2F9CF46E-EFF6-35CD-9CDA-BF02ABD0CAF6} - C:\WINDOWS\atlba32.dll
O4 - HKLM\..\Run: [netxq32.exe] C:\WINDOWS\system32\netxq32.exe
O4 - HKLM\..\RunOnce: [apixq32.exe] C:\WINDOWS\system32\apixq32.exe
O4 - HKCU\..\Run: [DrvMon.exe] C:\WINDOWS\System32\DrvMon.exe
Die drei Dateien apixq32.exe, netxq32.exe und DrvMon.exe löscht Du im abgesicherten Modus sowie die Datei atlba32.dll.
Anschliessend kannst Du noch das angefügte Tool zur Entfernung von sp.html über den Rechner laufen lassen. Verdächtige Dateien kannst Du zusätzlich online scannen lassen. http://virusscan.jotti.org/
EDIT: upps.....hatte vergessen sphjfix dranzuhängen. Ist nun in der Anlage.
Ahhh tyco vieeelen Dank,
es hat funktioniert !!! Ich bin so ja dankbar :) :D
so schnell hätt ich nie mit Hilfe gerechnet, welch super Forum !!!!
(http://img.photobucket.com/albums/v386/brotrob/a040.gif)
Nun nur schnell noch ein paar abschließende Fragen:
-kann man den Internetexplorer irgendwie durch ein paar einfache angeschaltete optionen gegen solch zeugs sichern ?
-ist dieses Firefox als alternativer Browser mit manchen websites nicht kompatibel oder so ? Und ist der kostenlos zu
haben ?
Nochmals ganz herzlichen Dank für die schnelle Hilfe ! Hoffentlich hätlts ne Weile...
Grüße,
Brotrob
Zitat von: Brotrob am 29. April 2005, 12:45:41 Uhr
Nun nur schnell noch ein paar abschließende Fragen:
-kann man den Internetexplorer irgendwie durch ein paar einfache angeschaltete optionen gegen solch zeugs sichern ?
-ist dieses Firefox als alternativer Browser mit manchen websites nicht kompatibel oder so ? Und ist der kostenlos zu
haben ?
Auf den IE würde ich ganz verzichten. Der ist ja die Quelle allen Übels.
Also mit Firefox bist Du gut bedient. Ich kenne keine Webseite die nicht kompotibel ist mit Firefox. Den kostenlosen Download gibt es hier:
http://www.firefox-browser.de/windows.php
hab mal wieder das gefühl, dass da was nicht stimmt! bisher war immer alles "normal" doch seit heute morgen ist irgendwas faul! der rechner scheint etwas langsamer zu sein, er arbeitet ständig, auch wenn ich kaum tasks laufen habe, doch alle programme finden nichts!
als ich eben heimkam, war im firefox FAST alle einstellungen verändert und meine gespeicherten passwörter weg! außerdem warnt mich der browser seit vorhin bei fast jedem besuch einer "unsicheren seite", was niemals zuvor hier der fall war!
hab mal die logfiles von hijackthis parat, kann da jemand was interessantes, auffälliges unerwünschtes erkennen?
Logfile of HijackThis v1.99.1
Scan saved at 17:45:45, on 25.10.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Spyware Doctor\swdoctor.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\WINDOWS\System32\taskmgr.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\GREGOR~1\LOKALE~1\Temp\Rar$EX00.234\HijackThis.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
wär super, wenn mir jemand aus der evtl. patsche helfen könnte, danke mal im voraus
Diese Einträge solltest Du mal fixen:
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
Und dann lass mal Dein System mit Spybot Search & Destroy scannen.
also mit spybot scan ich generall, da is mir eh schonmal aufgefallen, dass während dem scan unten in der leiste bei den gerade untersuchten objekten immer namen von dateien ddastehen, die ich nicht gerne auf meinem pc hätte, aber am ende zeigt er sie nie an, auch wenn er dran hängenbleibt! ich hab ihn auch öfters geupdated....hm