Hallo ihr Lieben,


Ne gute Freundin von mir hat folgendes Problem mit IE6 (ich poste das mal eben für sie, weil ich gerade hier bin):
Sie schreibt mir:

"Mein Prob heißt wahrscheinlich AdBreak.
Sobald Zone Alarm dran ist, komm ich zB
auf diese seltsame http://www.www.google.de.com/
Mach ichs aus, alles okay und schnell."

Ist das überhaupt n Browser-Prob?

Ich hatte ihr Nikitas komplette Anleitung und alle Progs rübergeschickt, die haben dann auch ne Menge Schrott gefunden und beseitigt bis auf dies "AdBreak" - sie kriegt es einfach nicht weg! Vielleicht weißt irgendjemand, wie man den beseitigen kann?

Im Voraus herzlichen Dank und viele Grüße
Scruffy

Hallöchen,

aktuelle Versionen von Adaware und Spybot Search & Destroy probiert?

@Skuffy

Sie soll mal das HijackThis-Log schicken.

dieses Tool laden, scannen, save -das Log mit der Maus kopieren und dann hier ins Forum setzen.


http://board.protecus.de/showtopic.php?threadid=9391

So koennen wir helfen, den Comp. sauber zu bekommen.


MfG
Nikita

How to Remove AdBreak ?

http://www.spyany.com/program/article_s ... Break.html

Follow the instructions below to remove AdBreak manually:

1. Start the registry editor. (Click Start > Run. Type regedit and click OK. The registry editor will open.)
2. Locate the key:
'HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run' ,in the right pane, delete the value called 'CCB Enhancement', if it exists.
3. Delete 'HKEY_LOCAL_MACHINE \ SOFTWARE \ Classes \ CLSID \ {00000000-D9E3-4BC6-A0BD-3D0CA4BE5271}', if it exists.
4. Find the entry 'HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Browser Helper Objects \ {00000000-D9E3-4BC6-A0BD-3D0CA4BE5271}',and delete it. Exit the registry editor.
5. Restart your computer.
6. Find and delete the following files in your windows directory (by default it is C:\Windows):
kvnab.dll
fhfmm.dll

http://www.pestscan.com/Scan.asp
Pestpatrol-Onlinescan duerfte es loeschen


Dann den IE saeubern und unter InternetOptionen die Startseite neu einstellen.
http://www.zdnet.de/downloads/programs/ ... is-wc.html

MfG
Nikita

Hallo Leute,

erstmal vielen Dank für eure Tips - ich habe sie weitergeleitet - sie will sich auf alle Fälle auch hier im Forum anmelden.
Bin gespannt, ob einer der Tips hinhaut!

Herzlichen Dank und schönes Wochenende!

Scruffy

Hi,
ich bin das mit dem Problem...
Es scheint gar nichts mit AdBreak zu tun zu haben.
Ich lande nach wie vor statt auf www.google.de auf www.www.google.de.com, aber nur, wenn Zone Alarm eingeschaltet ist. Ohne funzt es.

Den Scan mit pestpatrol habe ich ausgeführt. Dabei wurde zwar SaveNow und der Windows Media Cookie gefunden, aber das wars nicht.

Dann cwsshredder: Fehlanzeige

spybot: CoolWWWSearch gefunden, ist entfernt

adaware: Fehlanzeige

HijackThis: der Log ist:

Logfile of HijackThis v1.97.7
Scan saved at 16:17:05, on 16.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\ati2evxx.exe
C:\CFusionMX\runtime\bin\jrunsvc.exe
C:\CFusionMX\runtime\bin\jrun.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Apoint\Apoint.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\Apoint\Apntex.exe
C:\pegasus\winpm-32.exe
C:\antispy\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.1.12:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{FABA8165-CBD8-406C-8875-7E7BB6BCF8A7}: NameServer = 192.168.1.1


Das System wurde vorige Woche auf den neuesten Windows XP Home Stand gebracht.

Vorab schon einmal ganz herzlichen Danke für Hilfe!

Hallo Zitrone

Stelle mal bitte unter InternetOptionen die Startseite ein und poste (dann mit dem Eintrag) das Log noch mal.
So kann ich sehen. ob und wie sich die Startseite verstellt.
MfG
Nikitqa

Der neue Log ist:

Logfile of HijackThis v1.97.7
Scan saved at 19:02:17, on 16.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\ati2evxx.exe
C:\CFusionMX\runtime\bin\jrunsvc.exe
C:\CFusionMX\runtime\bin\jrun.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Apoint\Apoint.exe
C:\Programme\Apoint\Apntex.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\antispy\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.dirks-computerecke.de/foren/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.1.12:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{FABA8165-CBD8-406C-8875-7E7BB6BCF8A7}: NameServer = 192.168.1.1

Danke!

Nun, das war ja wohl ein Schuss in den Ofen...unser FORUM verstellt gewiss nicht die Startseite...
Ich kann keine dll sehen, keinen Hijacker...es scheint alles ok.
Aber diese Domain-Site ist sicherlich nicht normal..
http://www.www.google.d.....


Scanne mal deinen Comp. mit allen Tools, die irgend moeglich sind.
.................................................................................................................
#Lade den Antivir
http://www.free-av.com/

0) Search&Destroy...aktualisieren !
http://www.safer-networking.org/index.php?page=download
1) AdAware laden, updaten (aktualisieren) und scannen.(suche dir free-version)
http://lavasoft.element5.com/german/support/download/
2)...Und von dieser Seite laedst du den CWShredder und scannst ebenfalls deinen Comp.
http://www.rokop-security.de/main/artic ... ad&order=0
3).Dann laedst du dieses Tool und scannst ebenfalls(save to disc.....dann laden....dann die mwav.exe suchen....scannen, loesche dann MANUELL , alles was er dir als<bad< anzeigt.
http://www.soft411.com/company/MicroWor ... oolkit.htm
4)...Nun laedst du ClearProg und saeuberst deinen IE
http://www.clearprog.de/
5.)...Zum Schluss laedst du als Zweitbrowser den Firefox.....ist viel sicherer und schneller.
Die SicherheitsUpdates fuer den IE 6 SP1 musst du aber trotzdem immer machen.
http://firebird.stw.uni-duisburg.de/windows.php
-------------------------------------------------------------------------------------------------------------------------

Lade Java -Sun, denn ueber die Java vom IE von Microsoft , wenn man ihn dummerweise verwendet, (statt Firefox) U.A.kommen die Hijacker aufs System
Java von Sun:
http://www.java.com/de/download/windows_manual.jsp

----------------------------------------------------------------------------------

Gehe mal in die Registry
Start<Ausfuehren<regedit

Dort muesstest du einen Eintrag von dieser Site im Browser-Cache finden.
Loesche sie bitte.

Dann berichte mal, ob die Tools was gefunden haben und poste dein Log noch mal.
(vorher unter InternetOptionen die normale Google-Site einstellen)

Es koennte sogar mit dem Sasser-Wurm zusammenhaengen, der generiert die Host.
Aber ich kann nichts von ihm entdecken....alles sauber dein Log...
MfG
Nikita

Erstmal vielen Dank für all die Tips!

Ups, sorry, das mit der Startseite war ich selbst, ich dachte ich soll eine eingeben, weil normal habe ich nur die blank... so war es im ersten Log.

Habe folgendes gemacht:
SPHjfix.exe: keine Infektion
CWshredder: nix gefunden
SpyHunter: Scan All: nix gefunden
Mwax.exe: Hat Trojan.win32.Dialer.u.virus gefunden
ClearProg für IE und Netscape ausgeführt
Startseite auf google gelegt => funzt!
neu gestartet
funzt immer noch!
Startseite wieder auf blank gelegt
www.google.de funzt immer noch!!

Hoffe, dass es das war und vielen Dank für die tolle und schnelle Hilfe!!!

Ein dreifaches Hoch auf den e-scann (mwav.exe!!!)
Gruss
Nikita

Ich habe mich zu früh gefreut...
Gestern Abend und heute Morgen war alles noch sauber, und seit heute Nachmittag ist der Hijack wieder wie gehabt aktiv. Habe folgendes probiert:

escan: nix gefunden
spyhunter: nix
HijackThis: nix

Ganz kurz tauchte einmal etwas mit www.sedo auf beim Laden von der falschen Google-Site. Habe in der registry geschaut und dort folgenden Eintrag gefunden:

HKEY_USERS\S-1-5-21-2214429306-1709162666-557728558-1005\Software\Microsoft\Search Assistant\ACMru\5604
www.sedo

Auf anderen Rechnern habe ich das nicht, aber vielleicht bedeutet es auch nichts? Habe mal alle Rechte entzogen, aber das war nicht die Lösung.

Ich könnte ein Log mit dem Router machen, würde das etwas helfen?

Vielen Dank vorab für weitere Hilfe...

http://www.trojaner-info.de/anleitungen ... blank.html

Lade ALLE Tools von dieser Site, auch den SPHjfix und scanne den Comp.

loesche diese Sado , sowie alle Eintraege, die damit zu tun haben in der Registry.

#Saeubere den Browser mit WebWasher oder ClearProg.
http://www.zdnet.de/downloads/programs/ ... is-wc.html

#Saeubere die Offline-Sites unter InternetOptionen

#Surfe mit Firefox, da gibt es diese Probleme nicht.
Die SicherheitsUpdates fuer den IE 6 SP1 musst du aber trotzdem immer machen.
http://firebird.stw.uni-duisburg.de/windows.php

#poste das Log noch mal.
MfG
Nikita

Habe folgendes gemacht (alles mit neuester Version):
adaware: enigma spy hunter (entfernt)
CWShredder: nix
Spybot: nix
ClearProg
escan: nix
und
SpHjfix hat leider nichts festgestellt

Hatte heute mehrfach die Anfrage eines Scripts von enigmasoftwaregroup (?), abgelehnt.

Beim Aufruf von Google mit dem IE kommt ganz kurz:
www.sedo.de/search/registrar .... und dann was mit www.google...

Beim Surfen mit Mozilla werden die betroffenen Seiten nicht gefunden (can't resolve...).

microsoft.de wird auch gehijacked, dort wird der Server aber einfach nicht gefunden.

Wenn ich Zone Alarm ausschalte, findet kein hijack statt, vielleicht ein Ansatzpunkt zum Einkreisen?

Der Log:
Logfile of HijackThis v1.97.7
Scan saved at 15:08:46, on 18.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\ati2evxx.exe
C:\CFusionMX\runtime\bin\jrunsvc.exe
C:\CFusionMX\runtime\bin\jrun.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Programme\Apoint\Apoint.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\Apoint\Apntex.exe
C:\antispy\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.1.1:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/C ... 3973958333
O17 - HKLM\System\CCS\Services\Tcpip\..\{FABA8165-CBD8-406C-8875-7E7BB6BCF8A7}: NameServer = 192.168.1.1


Vielen Dank für Hilfe und herzlichen Gruß
Zitrone

http://www.spywareguide.com/txt_onlinescan.html
Mach mal einen Online.scann

MfG
Nikita


http://forums.maddoktor2.com/index.php?showtopic=268