Hallo,
ich habe das Problem, dass ich die Startseite im Internet-Explorer nicht ändern kann. Es wird immer http://www.esearch.cc/ geladen. Eine Umstellung in den Internetoptionen und Löschen von Cookies, etc. ändert daran nichts. Die Suchseite bleibt ebenfalls immer http://www.esearch.cc/.
Wie ich nach mittlerweile mehreren Stunden der Internetrecherche herausgefunden habe, ist dieses Problem eigentlich allseits bekannt ("hijacking") und einige Lösungsvorschläge habe ich auch schon gefunden, die bei mir aber leider alle keinen Erfolg brachten. Ich habe bestimmt schon 5 oder 6 Anti-SpyWare-Programme versucht, alles aktuelle Versionen und alle haben leider nicht geholfen. Zum Schluss habe ich noch eine Änderung in der „Registry“ (was immer das auch ist) versucht, die ebenfalls nichts brachte. Mittlerweile bin ich alle Tips durch, die ich im Internet gefunden habe. Ohne positives Ergebnis!
Kann mir bitte jemand weiterhelfen?!?
Gruß,
rafi86
Warum kostenlos registrieren?
Nur als registriertes Mitglied hast Du vollen Zugriff auf alle Funktionen unserer Website. So kannst Du eigene Fragen stellen und hast die volle Übersicht über neue interessante Themen im Forum.
Jetzt kostenlos registrieren.
Login
Search Page = *http://www.esearch.cc/s.php*
51 Beiträge • Seite 1 von 4 • 1, 2, 3, 4
von Computerdirk am 28.06.2004, 16:53
Hallöchen,
der Einsatz von Adaware oder Spybot Search & Destroy soltle da Hilfe bringen...
http://www.dirks-computerecke.de/downloads.htm
der Einsatz von Adaware oder Spybot Search & Destroy soltle da Hilfe bringen...
http://www.dirks-computerecke.de/downloads.htm
- Computerdirk
- Administrator
- Beiträge: 7132
- Registriert: 25.05.2003, 21:17
- Wohnort: Goslar
von rafi86 am 29.06.2004, 13:49
Ich habe alle diese Tools runtergeladen, installiert, geupdated und ausgeführt - alles ohne Erfolg!
Die Startseite wird immer noch automatisch überschrieben. Ändere ich den entsprechenden Eintrag in den Internetoptionen, so öffnet der Internet Explorer beim nächsten Mal die von mir gewählte Seite. Doch dabei wird die Startseite wieder mit http://www.esearch.cc/ überschrieben und beim erneuten Öffnen des Browsers ist die ungewünschte Startseite wieder da.
Was kann ich jetzt noch machen? Ist es vielleicht möglich, den Internet Explorer komplett neu zu installieren?
Gruß,
rafi
Die Startseite wird immer noch automatisch überschrieben. Ändere ich den entsprechenden Eintrag in den Internetoptionen, so öffnet der Internet Explorer beim nächsten Mal die von mir gewählte Seite. Doch dabei wird die Startseite wieder mit http://www.esearch.cc/ überschrieben und beim erneuten Öffnen des Browsers ist die ungewünschte Startseite wieder da.
Was kann ich jetzt noch machen? Ist es vielleicht möglich, den Internet Explorer komplett neu zu installieren?
Gruß,
rafi
- rafi86
- Beiträge: 5
- Registriert: 28.06.2004, 16:46
von rafi86 am 29.06.2004, 14:00
PS: Mit dem Programm "HijackThis" wird die Seite esearch.cc zwar aufgezeigt, und wenn ich auf "Fix checked" klicke sind diese auch erst mal weg, doch wenn ich den Internetexplorer dann öffne, kommen die Einträge wieder.
- rafi86
- Beiträge: 5
- Registriert: 28.06.2004, 16:46
von Nikita am 30.06.2004, 10:52
http://board.protecus.de/showtopic.php?threadid=9391
Dir kann geholfen werden...lade das HijackThis, scanne und save.Dann kopiere das Log ins Forum.
MfG
Nikita
Dir kann geholfen werden...lade das HijackThis, scanne und save.Dann kopiere das Log ins Forum.
MfG
Nikita
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von rafi86 am 01.07.2004, 00:07
Logfile of HijackThis v1.97.7
Scan saved at 00:05:21, on 01.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Messenger\MSMSGS.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Thelesol\Desktop\Anti-Spyware\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.esearch.cc/s.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.esearch.cc/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.esearch.cc/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.esearch.cc/s.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.esearch.cc/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.esearch.cc/s.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.esearch.cc/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.esearch.cc/
O2 - BHO: MyWay Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - C:\Programme\MyWay\SrchAstt\1.bin\MYSRCHAS.DLL
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Shorty - {5C472352-90D0-4214-BF20-8E4A2B82F980} - C:\WINDOWS\win32app.dll
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O13 - WWW. Prefix: http://
O17 - HKLM\System\CCS\Services\Tcpip\..\{B80FFE38-67C1-4C08-BB1B-EB78174EE55F}: NameServer = 192.168.2.1
Ich habe bereits versucht, die Einträge, in denen "http://www.esearch.cc" vorkommt, zu löschen. Dies brachte keinen Erfolg, da die entsprechenden Zeilen nach zweimaligem öffnen des IE wieder da waren.
rafi
Scan saved at 00:05:21, on 01.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Messenger\MSMSGS.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Thelesol\Desktop\Anti-Spyware\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.esearch.cc/s.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.esearch.cc/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.esearch.cc/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.esearch.cc/s.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.esearch.cc/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.esearch.cc/s.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.esearch.cc/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.esearch.cc/
O2 - BHO: MyWay Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - C:\Programme\MyWay\SrchAstt\1.bin\MYSRCHAS.DLL
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Shorty - {5C472352-90D0-4214-BF20-8E4A2B82F980} - C:\WINDOWS\win32app.dll
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O13 - WWW. Prefix: http://
O17 - HKLM\System\CCS\Services\Tcpip\..\{B80FFE38-67C1-4C08-BB1B-EB78174EE55F}: NameServer = 192.168.2.1
Ich habe bereits versucht, die Einträge, in denen "http://www.esearch.cc" vorkommt, zu löschen. Dies brachte keinen Erfolg, da die entsprechenden Zeilen nach zweimaligem öffnen des IE wieder da waren.
rafi
- rafi86
- Beiträge: 5
- Registriert: 28.06.2004, 16:46
von Nikita am 01.07.2004, 12:12
#Oeffne das HijackTHis< scan< anhaken < Button "Fix checked" < PC neustarten
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.esearch.cc/s.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.esearch.cc/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.esearch.cc/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.esearch.cc/s.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.esearch.cc/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.esearch.cc/s.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.esearch.cc/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.esearch.cc/
O2 - BHO: MyWay Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - C:\Programme\MyWay\SrchAstt\1.bin\MYSRCHAS.DLL
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: Shorty - {5C472352-90D0-4214-BF20-8E4A2B82F980} - C:\WINDOWS\win32app.dll
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
neustarten
HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren.
C:\WINDOWS\win32app.dll
PC neustarten
HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren
C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
PC neustarten
suche und loesche manuell:
<mwssrcas.dll
...................................................................................................
Lade Cwshredder
http://www.spywareinfo.com/~merijn/downloads.html
Lade Spysweeper
http://www.spysweeper.com/
Loesche mit ClearProg die TemporaryInternetFiles und stelle dann unter InternetOptionen eine neue Startseite ein.
http://www.clearprog.de/
Surfe nur mit dem Firefox...ist sicherer
http://www.firebird-browser.de/
Dann poste das Log noch mal.
MfG
Nikita
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.esearch.cc/s.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.esearch.cc/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.esearch.cc/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.esearch.cc/s.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.esearch.cc/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.esearch.cc/s.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.esearch.cc/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.esearch.cc/
O2 - BHO: MyWay Search Assistant BHO - {04079851-5845-4dea-848C-3ECD647AA554} - C:\Programme\MyWay\SrchAstt\1.bin\MYSRCHAS.DLL
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: Shorty - {5C472352-90D0-4214-BF20-8E4A2B82F980} - C:\WINDOWS\win32app.dll
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
neustarten
HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren.
C:\WINDOWS\win32app.dll
PC neustarten
HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren
C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
PC neustarten
suche und loesche manuell:
<mwssrcas.dll
...................................................................................................
Lade Cwshredder
http://www.spywareinfo.com/~merijn/downloads.html
Lade Spysweeper
http://www.spysweeper.com/
Loesche mit ClearProg die TemporaryInternetFiles und stelle dann unter InternetOptionen eine neue Startseite ein.
http://www.clearprog.de/
Surfe nur mit dem Firefox...ist sicherer
http://www.firebird-browser.de/
Dann poste das Log noch mal.
MfG
Nikita
Zuletzt geändert von Nikita am 05.11.2004, 02:12, insgesamt 2-mal geändert.
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von rafi86 am 01.07.2004, 14:47
@nikita:
Ich habe gerade mal die von Dir aufgelisteten Schritte durchgeführt.
Die Dateien mwssrcas.dll und C:\WINDOWS\win32app.dll sind anscheinend nicht auf meinem Computer, jedenfalls findet die Suchmaschine sie nicht.
Die Prozedur scheint Erfolg gehabt zu haben!
Zumindest wird im Augenblick die Startseite nicht mehr überschrieben, aber man muss da vielleicht noch ein oder zwei Tage abwarten.
Auf jeden Fall vielen Dank für die Anleitung!!! Bis her der einzige Vorschlag, der wirklich etwas gegen die Spyware gebracht hat!
Kann man denn sagen, welcher Schritt denn jetzt schließlich zum gewünschten Ergebnis führte? Oder war es die Kombination?
Spy Sweeper hat auf alle Fälle SpyWare entdeckt, die die anderen Programme übersehen haben.
Hier noch das neue Log-File (falls Dich das noch interessieren sollte). Als Startseite habe ich einfach mal web.de eingegeben.
Logfile of HijackThis v1.97.7
Scan saved at 14:35:18, on 01.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Messenger\MSMSGS.EXE
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\Dokumente und Einstellungen\Thelesol\Desktop\Anti-Spyware\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [SpyKiller] C:\Programme\SpyKiller\spykiller.exe /startup
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O13 - WWW. Prefix: http://
O17 - HKLM\System\CCS\Services\Tcpip\..\{B80FFE38-67C1-4C08-BB1B-EB78174EE55F}: NameServer = 192.168.2.1
Nochmals Danke und viele Grüße,
rafi
PS: Zum Schluss habe ich noch eine kurze Frage, und zwar: Was ist die registry und welche Aufgaben hat sie?
Ich habe gerade mal die von Dir aufgelisteten Schritte durchgeführt.
Die Dateien mwssrcas.dll und C:\WINDOWS\win32app.dll sind anscheinend nicht auf meinem Computer, jedenfalls findet die Suchmaschine sie nicht.
Die Prozedur scheint Erfolg gehabt zu haben!
Zumindest wird im Augenblick die Startseite nicht mehr überschrieben, aber man muss da vielleicht noch ein oder zwei Tage abwarten.
Auf jeden Fall vielen Dank für die Anleitung!!! Bis her der einzige Vorschlag, der wirklich etwas gegen die Spyware gebracht hat!
Kann man denn sagen, welcher Schritt denn jetzt schließlich zum gewünschten Ergebnis führte? Oder war es die Kombination?
Spy Sweeper hat auf alle Fälle SpyWare entdeckt, die die anderen Programme übersehen haben.
Hier noch das neue Log-File (falls Dich das noch interessieren sollte). Als Startseite habe ich einfach mal web.de eingegeben.
Logfile of HijackThis v1.97.7
Scan saved at 14:35:18, on 01.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Messenger\MSMSGS.EXE
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\Dokumente und Einstellungen\Thelesol\Desktop\Anti-Spyware\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [SpyKiller] C:\Programme\SpyKiller\spykiller.exe /startup
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O13 - WWW. Prefix: http://
O17 - HKLM\System\CCS\Services\Tcpip\..\{B80FFE38-67C1-4C08-BB1B-EB78174EE55F}: NameServer = 192.168.2.1
Nochmals Danke und viele Grüße,
rafi
PS: Zum Schluss habe ich noch eine kurze Frage, und zwar: Was ist die registry und welche Aufgaben hat sie?
- rafi86
- Beiträge: 5
- Registriert: 28.06.2004, 16:46
von Nikita am 01.07.2004, 20:55
1. Das Log ist sauber...surfe nur noch mit dem Firefox...ist sicherer.
http://www.firebird-browser.de/
2. Die Registry ist das <Herz< vom Computer.
Dort ist alles eingetragen, was das System betrifft.
Start<Ausfuehren< regedit reinschreiben ......
Tip.
Lade eine Firewall..Sygate free...
http://smb.sygate.com/products/spf_standard.htm
MfG
Nikita
http://www.firebird-browser.de/
2. Die Registry ist das <Herz< vom Computer.
Dort ist alles eingetragen, was das System betrifft.
Start<Ausfuehren< regedit reinschreiben ......
Tip.
Lade eine Firewall..Sygate free...
http://smb.sygate.com/products/spf_standard.htm
MfG
Nikita
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
Ähnliches Problem
von piepenhenne am 03.07.2004, 00:56
Hallo nikita, hallo rafi86,
habe ein ähnliches Problem, nur mit einer anderen Seite, die sich derart festgesetzt hat, dass alle bisherigen Massnahmen fehlgeschlagen sind.
Hier das Hijack-Log:
Logfile of HijackThis v1.98.0
Scan saved at 00:45:28, on 03.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SCARDS32.EXE
C:\WINDOWS\system32\crbf.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\GFI\FAXmaker Client\FMSTART.EXE
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Roxio\WinOnCD 5 PE\DirectCD\DirectCD.exe
C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\Program Files\WinSweep\WSMonitor.exe
C:\Program Files\Mozilla\Mozilla.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\WEB.DE\WEB.DE Screensaver\TraySvr.exe
C:\WINDOWS\apiku.exe
D:\Install\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\nmmmz.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://nmmmz.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://nmmmz.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\nmmmz.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\nmmmz.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://nmmmz.dll/index.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by Broadway Trier - Verwaltung
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {CAAE655F-2DCF-C22E-E0F1-2CD01C369A66} - C:\WINDOWS\system32\javaci32.dll
O4 - HKLM\..\Run: [FMStart] "C:\Program Files\GFI\FAXmaker Client\FMSTART.EXE"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\WinOnCD 5 PE\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [apiku.exe] C:\WINDOWS\apiku.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [WINSWEEP] C:\Program Files\WinSweep\WINSWEEP.Exe /AUTO
O4 - HKCU\..\Run: [WINSWEEP Popupblocker] C:\Program Files\WinSweep\WSPopup.Exe /STEP1 /SOUND
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Program Files\Mozilla\Mozilla.exe" -turbo
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O4 - Global Startup: WEB.DE Screensaver Quick-Start.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Microsoft Outlook.lnk = ?
O4 - Global Startup: win-data 7 Zahlungserinnerung.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = broadway.res
O17 - HKLM\Software\..\Telephony: DomainName = broadway.res
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = broadway.res
Habe versucht, entsprechend vorzugehen wie schon beschrieben - ohne Erfolg. Die Einträge in Zusammenhang mit "res://C:\WINDOWS\nmmmz.dll/sp.html#96676" tauchen nach dem ersten Start des Explorers wieder auf. Habe alle Einträge, die verdächtig schienen bereits gefixt - beim nächsten Mal sind sie wieder da.
Irgendetwas habe ich wohl übersehen... Irgendeine Idee?
Herzlichen Dank für jede Hilfe!
piepenhenne
habe ein ähnliches Problem, nur mit einer anderen Seite, die sich derart festgesetzt hat, dass alle bisherigen Massnahmen fehlgeschlagen sind.
Hier das Hijack-Log:
Logfile of HijackThis v1.98.0
Scan saved at 00:45:28, on 03.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SCARDS32.EXE
C:\WINDOWS\system32\crbf.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\GFI\FAXmaker Client\FMSTART.EXE
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Roxio\WinOnCD 5 PE\DirectCD\DirectCD.exe
C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\Program Files\WinSweep\WSMonitor.exe
C:\Program Files\Mozilla\Mozilla.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\WEB.DE\WEB.DE Screensaver\TraySvr.exe
C:\WINDOWS\apiku.exe
D:\Install\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\nmmmz.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://nmmmz.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://nmmmz.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\nmmmz.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\nmmmz.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://nmmmz.dll/index.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by Broadway Trier - Verwaltung
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {CAAE655F-2DCF-C22E-E0F1-2CD01C369A66} - C:\WINDOWS\system32\javaci32.dll
O4 - HKLM\..\Run: [FMStart] "C:\Program Files\GFI\FAXmaker Client\FMSTART.EXE"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\WinOnCD 5 PE\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [apiku.exe] C:\WINDOWS\apiku.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [WINSWEEP] C:\Program Files\WinSweep\WINSWEEP.Exe /AUTO
O4 - HKCU\..\Run: [WINSWEEP Popupblocker] C:\Program Files\WinSweep\WSPopup.Exe /STEP1 /SOUND
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Program Files\Mozilla\Mozilla.exe" -turbo
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O4 - Global Startup: WEB.DE Screensaver Quick-Start.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Microsoft Outlook.lnk = ?
O4 - Global Startup: win-data 7 Zahlungserinnerung.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = broadway.res
O17 - HKLM\Software\..\Telephony: DomainName = broadway.res
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = broadway.res
Habe versucht, entsprechend vorzugehen wie schon beschrieben - ohne Erfolg. Die Einträge in Zusammenhang mit "res://C:\WINDOWS\nmmmz.dll/sp.html#96676" tauchen nach dem ersten Start des Explorers wieder auf. Habe alle Einträge, die verdächtig schienen bereits gefixt - beim nächsten Mal sind sie wieder da.
Irgendetwas habe ich wohl übersehen... Irgendeine Idee?
Herzlichen Dank für jede Hilfe!
piepenhenne
- piepenhenne
- Beiträge: 4
- Registriert: 03.07.2004, 00:47
von Nikita am 03.07.2004, 10:26
piepenhenne
fixe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://nmmmz.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://nmmmz.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\nmmmz.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\nmmmz.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://nmmmz.dll/index.html#96676
O2 - BHO: (no name) - {CAAE655F-2DCF-C22E-E0F1-2CD01C369A66} - C:\WINDOWS\system32\javaci32.dll
O4 - HKLM\..\Run: [apiku.exe] C:\WINDOWS\apiku.exe
neustarten
Lade Antivirus
http://www.free-av.de/
Automatischen Scan stoppen,
Internetupdate von Antivir starten,
Einstellungen hochschrauben (Suchen: ALLE DATEIN, Reperatur: OHNE RÜCKFRAGEN, Löschen bei fehlgeschlagener Reperatur: LÖSCHEN OHNE RÜCKFRAGEN, Unerwünschte Programme: ALLE ausser spiele, Heuristik: Win32 Heuristik Priorität hoch)
Scan starten (hat bei mir (80Gb) ca. 100min gedauert)
C:\WINDOWS\SYSTEM32\javaci32.dll ist ein Trojaner und muesste erkannt und geloescht werden....
Danach die Registrireungseinträge in:
Hkey_Local_Maschine>Software>Microsoft>Internet Explorer> Main und einbisschen weiter unten in SEARCH
Homeoldsp; und 3 weitere Einträge die sich auf die Datei in >C:\WINDOWS\nmmmz.dll/sp.html#96676
beziehen gelöscht.
#Loesche dann unter InternetOptionen die TemporaryInternetFiles
besser machst du das mit ClearProg
http://www.shtools.de/downloads.php
#Danach einen Neustarten und die Einträge kamen nicht wieder! Auch die LEERE SEITE (about:blank) war wieder so wie sie sein soll: LEER!
#Stelle nun unter InternetOptionen eine neue Startseite ein und poste das Log noch einmal.
Tip
Surfe nur mit dem Firefox...ist sicherer...
http://www.firebird-browser.de/
MfG
Nikita
fixe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://nmmmz.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://nmmmz.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\nmmmz.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\nmmmz.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://nmmmz.dll/index.html#96676
O2 - BHO: (no name) - {CAAE655F-2DCF-C22E-E0F1-2CD01C369A66} - C:\WINDOWS\system32\javaci32.dll
O4 - HKLM\..\Run: [apiku.exe] C:\WINDOWS\apiku.exe
neustarten
Lade Antivirus
http://www.free-av.de/
Automatischen Scan stoppen,
Internetupdate von Antivir starten,
Einstellungen hochschrauben (Suchen: ALLE DATEIN, Reperatur: OHNE RÜCKFRAGEN, Löschen bei fehlgeschlagener Reperatur: LÖSCHEN OHNE RÜCKFRAGEN, Unerwünschte Programme: ALLE ausser spiele, Heuristik: Win32 Heuristik Priorität hoch)
Scan starten (hat bei mir (80Gb) ca. 100min gedauert)
C:\WINDOWS\SYSTEM32\javaci32.dll ist ein Trojaner und muesste erkannt und geloescht werden....
Danach die Registrireungseinträge in:
Hkey_Local_Maschine>Software>Microsoft>Internet Explorer> Main und einbisschen weiter unten in SEARCH
Homeoldsp; und 3 weitere Einträge die sich auf die Datei in >C:\WINDOWS\nmmmz.dll/sp.html#96676
beziehen gelöscht.
#Loesche dann unter InternetOptionen die TemporaryInternetFiles
besser machst du das mit ClearProg
http://www.shtools.de/downloads.php
#Danach einen Neustarten und die Einträge kamen nicht wieder! Auch die LEERE SEITE (about:blank) war wieder so wie sie sein soll: LEER!
#Stelle nun unter InternetOptionen eine neue Startseite ein und poste das Log noch einmal.
Tip
Surfe nur mit dem Firefox...ist sicherer...
http://www.firebird-browser.de/
MfG
Nikita
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
Hijack-Log
von piepenhenne am 04.07.2004, 16:22
Hallo nikita,
hier das aktuelle Log nach Ausführung der empfohlenen Schritte:
Logfile of HijackThis v1.98.0
Scan saved at 16:19:13, on 04.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir\AVWUPSRV.EXE
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SCARDS32.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\GFI\FAXmaker Client\FMSTART.EXE
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Roxio\WinOnCD 5 PE\DirectCD\DirectCD.exe
C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\Program Files\Mozilla\Mozilla.exe
C:\Program Files\WinSweep\WSMonitor.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\WEB.DE\WEB.DE Screensaver\TraySvr.exe
C:\Program Files\Microsoft Office\Office10\OUTLOOK.EXE
C:\Program Files\Microsoft Office\Office10\WINWORD.EXE
D:\Install\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by Broadway Trier - Verwaltung
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0BABB5A0-C721-8792-633A-C0AC20646EDE} - C:\WINDOWS\system32\sysrq32.dll (file missing)
O4 - HKLM\..\Run: [FMStart] "C:\Program Files\GFI\FAXmaker Client\FMSTART.EXE"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\WinOnCD 5 PE\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [mshj.exe] C:\WINDOWS\mshj.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [WINSWEEP] C:\Program Files\WinSweep\WINSWEEP.Exe /AUTO
O4 - HKCU\..\Run: [WINSWEEP Popupblocker] C:\Program Files\WinSweep\WSPopup.Exe /STEP1 /SOUND
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Program Files\Mozilla\Mozilla.exe" -turbo
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O4 - Global Startup: WEB.DE Screensaver Quick-Start.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Microsoft Outlook.lnk = ?
O4 - Global Startup: win-data 7 Zahlungserinnerung.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = broadway.res
O17 - HKLM\Software\..\Telephony: DomainName = broadway.res
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = broadway.res
Auch wenn der Explorer wieder sauber läuft, werde ich künftig Mozilla nutzen.
Vielen Dank für die Tipps und Deine Zeit und Arbeit. Kann ich das irgendwie gutmachen?
Es grüsst froh und munter
piepenhenne
hier das aktuelle Log nach Ausführung der empfohlenen Schritte:
Logfile of HijackThis v1.98.0
Scan saved at 16:19:13, on 04.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir\AVWUPSRV.EXE
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SCARDS32.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\GFI\FAXmaker Client\FMSTART.EXE
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Roxio\WinOnCD 5 PE\DirectCD\DirectCD.exe
C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\Program Files\Mozilla\Mozilla.exe
C:\Program Files\WinSweep\WSMonitor.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\WEB.DE\WEB.DE Screensaver\TraySvr.exe
C:\Program Files\Microsoft Office\Office10\OUTLOOK.EXE
C:\Program Files\Microsoft Office\Office10\WINWORD.EXE
D:\Install\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by Broadway Trier - Verwaltung
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0BABB5A0-C721-8792-633A-C0AC20646EDE} - C:\WINDOWS\system32\sysrq32.dll (file missing)
O4 - HKLM\..\Run: [FMStart] "C:\Program Files\GFI\FAXmaker Client\FMSTART.EXE"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\WinOnCD 5 PE\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [mshj.exe] C:\WINDOWS\mshj.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [WINSWEEP] C:\Program Files\WinSweep\WINSWEEP.Exe /AUTO
O4 - HKCU\..\Run: [WINSWEEP Popupblocker] C:\Program Files\WinSweep\WSPopup.Exe /STEP1 /SOUND
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Program Files\Mozilla\Mozilla.exe" -turbo
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O4 - Global Startup: WEB.DE Screensaver Quick-Start.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Microsoft Outlook.lnk = ?
O4 - Global Startup: win-data 7 Zahlungserinnerung.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = broadway.res
O17 - HKLM\Software\..\Telephony: DomainName = broadway.res
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = broadway.res
Auch wenn der Explorer wieder sauber läuft, werde ich künftig Mozilla nutzen.
Vielen Dank für die Tipps und Deine Zeit und Arbeit. Kann ich das irgendwie gutmachen?
Es grüsst froh und munter
piepenhenne
- piepenhenne
- Beiträge: 4
- Registriert: 03.07.2004, 00:47
von Nikita am 04.07.2004, 16:28
@Piepenhenne
da gibt es leider noch ein Trojanerchen...
Fixe
O4 - HKLM\..\Run: [mshj.exe] C:\WINDOWS\mshj.exe
neustarten
Gehe in den abgesicherten Modus...F8 beim Hochfahren vom Computer druecken
#Gehe in die Registry
Start\Ausfuehren\regedit reinschreiben
suche diesen Schluessel und loesche auf der rechten Seite der Registry [mshj.exe]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
schliesse die Registry
#Loesche C:\WINDOWS\mshj.exe
neustarten
tip...falls du dich fuer den\ Antivirus free\ entschieden hast...
der Antivirus hat einen Guard...sehe ich aber nicht ...Deinstalliere den Antivirus ...
installiere Antivirus noch mal neu, lasse alles durchlaufen und dann aktiviere den Guard, dass er unter 04 im StartUp erschein.
http://www.free-av.de/
MfG
Nikita
da gibt es leider noch ein Trojanerchen...
Fixe
O4 - HKLM\..\Run: [mshj.exe] C:\WINDOWS\mshj.exe
neustarten
Gehe in den abgesicherten Modus...F8 beim Hochfahren vom Computer druecken
#Gehe in die Registry
Start\Ausfuehren\regedit reinschreiben
suche diesen Schluessel und loesche auf der rechten Seite der Registry [mshj.exe]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
schliesse die Registry
#Loesche C:\WINDOWS\mshj.exe
neustarten
tip...falls du dich fuer den\ Antivirus free\ entschieden hast...
der Antivirus hat einen Guard...sehe ich aber nicht ...Deinstalliere den Antivirus ...
installiere Antivirus noch mal neu, lasse alles durchlaufen und dann aktiviere den Guard, dass er unter 04 im StartUp erschein.
http://www.free-av.de/
MfG
Nikita
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von piepenhenne am 04.07.2004, 17:18
@nikita
Yo, habe den Antivirus free laufen, wollte den Guard auch installieren, da aber ausdrücklich darauf hingewiesen wird, dass es hier zu gehörigen Problemen kommen kann, sofern andere Antivirensoftware läuft, habe ich das mal gelassen.
Ich hänge mit meiner Workstation an einem Win2000-Netzwerk, auf dem eine Virensoftware läuft und ich will nicht mehr Probleme als nötig bekommen. Wir haben hier teilweise vorsintflutliche Software laufen und eine 16bit-Anwendung verweigert seit der Bereinigung bereits den Dienst (findet "shell.dll" nicht). Da werde ich unseren Support mal befragen müssen, worauf da zurückgegriffen wird... Kurzum: Würde gerne den Guard gerne installieren, ist mir aber zu heikel. Oder kann ich das Deiner Meinung nach ruhig machen?
Besten Gruss
piepenhenne
Yo, habe den Antivirus free laufen, wollte den Guard auch installieren, da aber ausdrücklich darauf hingewiesen wird, dass es hier zu gehörigen Problemen kommen kann, sofern andere Antivirensoftware läuft, habe ich das mal gelassen.
Ich hänge mit meiner Workstation an einem Win2000-Netzwerk, auf dem eine Virensoftware läuft und ich will nicht mehr Probleme als nötig bekommen. Wir haben hier teilweise vorsintflutliche Software laufen und eine 16bit-Anwendung verweigert seit der Bereinigung bereits den Dienst (findet "shell.dll" nicht). Da werde ich unseren Support mal befragen müssen, worauf da zurückgegriffen wird... Kurzum: Würde gerne den Guard gerne installieren, ist mir aber zu heikel. Oder kann ich das Deiner Meinung nach ruhig machen?
Besten Gruss
piepenhenne
- piepenhenne
- Beiträge: 4
- Registriert: 03.07.2004, 00:47
von piepenhenne am 04.07.2004, 17:39
@nikita:
Letzter Stand des Logs sieht nach Bereinigung von "mshj.exe" so aus:
Logfile of HijackThis v1.98.0
Scan saved at 17:38:36, on 04.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir\AVWUPSRV.EXE
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SCARDS32.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\GFI\FAXmaker Client\FMSTART.EXE
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Roxio\WinOnCD 5 PE\DirectCD\DirectCD.exe
C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\Program Files\Mozilla\Mozilla.exe
C:\Program Files\WinSweep\WSMonitor.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\WEB.DE\WEB.DE Screensaver\TraySvr.exe
C:\Program Files\Microsoft Office\Office10\OUTLOOK.EXE
C:\Program Files\Microsoft Office\Office10\WINWORD.EXE
D:\Install\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by Broadway Trier - Verwaltung
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0BABB5A0-C721-8792-633A-C0AC20646EDE} - C:\WINDOWS\system32\sysrq32.dll (file missing)
O4 - HKLM\..\Run: [FMStart] "C:\Program Files\GFI\FAXmaker Client\FMSTART.EXE"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\WinOnCD 5 PE\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [WINSWEEP] C:\Program Files\WinSweep\WINSWEEP.Exe /AUTO
O4 - HKCU\..\Run: [WINSWEEP Popupblocker] C:\Program Files\WinSweep\WSPopup.Exe /STEP1 /SOUND
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Program Files\Mozilla\Mozilla.exe" -turbo
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O4 - Global Startup: WEB.DE Screensaver Quick-Start.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Microsoft Outlook.lnk = ?
O4 - Global Startup: win-data 7 Zahlungserinnerung.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = broadway.res
O17 - HKLM\Software\..\Telephony: DomainName = broadway.res
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = broadway.res
Nochmals herzlichen Dank und bitte lass mich wissen, wenn ich was für Dich tun kann. Bist Du evtl Kinofan? Kann ich evtl mit einem netten Filmplakat dienlich sein?
Erneut Grüsse
piepenhenne
Letzter Stand des Logs sieht nach Bereinigung von "mshj.exe" so aus:
Logfile of HijackThis v1.98.0
Scan saved at 17:38:36, on 04.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir\AVWUPSRV.EXE
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SCARDS32.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\GFI\FAXmaker Client\FMSTART.EXE
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Roxio\WinOnCD 5 PE\DirectCD\DirectCD.exe
C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
C:\Program Files\Mozilla\Mozilla.exe
C:\Program Files\WinSweep\WSMonitor.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\WEB.DE\WEB.DE Screensaver\TraySvr.exe
C:\Program Files\Microsoft Office\Office10\OUTLOOK.EXE
C:\Program Files\Microsoft Office\Office10\WINWORD.EXE
D:\Install\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by Broadway Trier - Verwaltung
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0BABB5A0-C721-8792-633A-C0AC20646EDE} - C:\WINDOWS\system32\sysrq32.dll (file missing)
O4 - HKLM\..\Run: [FMStart] "C:\Program Files\GFI\FAXmaker Client\FMSTART.EXE"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\WinOnCD 5 PE\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [WINSWEEP] C:\Program Files\WinSweep\WINSWEEP.Exe /AUTO
O4 - HKCU\..\Run: [WINSWEEP Popupblocker] C:\Program Files\WinSweep\WSPopup.Exe /STEP1 /SOUND
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Program Files\Mozilla\Mozilla.exe" -turbo
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O4 - Global Startup: WEB.DE Screensaver Quick-Start.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Microsoft Outlook.lnk = ?
O4 - Global Startup: win-data 7 Zahlungserinnerung.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = broadway.res
O17 - HKLM\Software\..\Telephony: DomainName = broadway.res
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = broadway.res
Nochmals herzlichen Dank und bitte lass mich wissen, wenn ich was für Dich tun kann. Bist Du evtl Kinofan? Kann ich evtl mit einem netten Filmplakat dienlich sein?
Erneut Grüsse
piepenhenne
- piepenhenne
- Beiträge: 4
- Registriert: 03.07.2004, 00:47
51 Beiträge • Seite 1 von 4 • 1, 2, 3, 4
Ähnliche Themen
| Cheats Page... Forum: Software-Hilfe Autor: Spinne20 Antworten: |
Sicherheitsloch in phpBB Forum: Online- und PC-Sicherheit Autor: Computerdirk Antworten: |
Was haltet ihr von diesem Internet Explorer Search Add-On? Forum: Software-Hilfe Autor: Anonymous Antworten: |
Startseite im Explorer im die selbe:best.omega-search.com/?? Forum: DFÜ, Netzwerk, Internet Autor: Satanic Antworten: |
http:// Eingabe geht nicht automatisch Forum: Software-Hilfe Autor: Skippy Antworten: |
Zurück zu Online- und PC-Sicherheit
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste