hallo allerseits!

ihr wurdet mir in einem anderen forum empfohlen! wir haben uns anscheinend was ganz uebles eingefangen ! about blank und das dementsprechende (verschiedene) pop-ups widersteht bisher allem u. a. hijackthis...
wer kann uns helfen ?
kann ich euch mit unserem logfile nerven ?

liebe gruesse aus british/columbia/canada
von einer ziemlich genervten sockeye

Hi,

ja, natürlich, kannst du das. Wir helfen gerne, wenn wir können.

Gruß Jinxy

[quote="Jinxy"]Hi,

ja, natürlich, kannst du das. Wir helfen gerne, wenn wir können.

Gruß Jinxy[/quote]

hi jinxy

danke fuer die nette begruessung !
schau mal hier, findest du da was *hoff*
ratlose gruesse von socke!

Logfile of HijackThis v1.98.0
Scan saved at 2:10:16 PM, on 8/3/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Wintab32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\Fast.exe
C:\WINDOWS\Explorer.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\WINDOWS\System32\ccwtup32.exe
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\Program Files\Creative\ShareDLL\CtNotify.exe
C:\WINDOWS\System32\taskswitch.exe
C:\WINDOWS\System32\fast.exe
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
C:\Program Files\Creative\ShareDLL\MediaDet.Exe
C:\Program Files\Internet Call Director\ICD.EXE
C:\PROGRA~1\WINZIP\winzip32.exe
D:\My shared folder\hijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\ARMINM~1\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\ARMINM~1\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\ARMINM~1\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\ARMINM~1\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\ARMINM~1\LOCALS~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\ARMINM~1\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:4001
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Program Files\WS_FTP Pro\wsbho2k0.dll
O2 - BHO: (no name) - {8A411EA3-AF04-4B3F-A661-2EB4B24B5F6E} - C:\WINDOWS\System32\cdbg.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [Jet Detection] C:\Program Files\Creative\SBAudigy\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [CTStartup] C:\Program Files\Creative\SBAudigy\Program\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [PC-CAM 350 STI App Registration] RunDLL32.exe P1060pin.dll,RunDLL32EP 513
O4 - HKLM\..\Run: [CalCompUtil] ccwtup32.exe
O4 - HKLM\..\Run: [GTCO.wtxpload] C:\WINDOWS\GTCO\wtxpload.exe GTCO
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [MOD] C:\Program Files\Microangelo\muamgr.exe
O4 - HKLM\..\Run: [Disc Detector] C:\Program Files\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe
O4 - HKLM\..\Run: [FastUser] C:\WINDOWS\System32\fast.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [TaskTray] C:\Program Files\Creative\SBAudigy\Taskbar\CTLTray.exe
O4 - HKCU\..\Run: [Taskbar] C:\Program Files\Creative\SBAudigy\Taskbar\CTLTask.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Download with GetRight - C:\Program Files\GetRight\GRdownload.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Program Files\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {2253F320-AB68-4A07-917D-4F12D8884A06} (ChainCast VMR Client Proxy) - http://www.streamaudio.com/download/ccpm_0237.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/ ... 0_0_42.cab
O16 - DPF: {486E48B5-ABF2-42BB-A327-2679DF3FB822} - http://akamai.downloadv3.com/binaries/IA/ia_XP.cab
O16 - DPF: {737D14F8-4090-11D4-AE0E-0010830243BD} (SysVerChk Control) - http://pointa.autodesk.com/portal/lang/ ... VerChk.ocx
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday Control) - file://C:\Program Files\Autodesk Architectural Desktop 3\AcDcToday.ocx
O16 - DPF: {AE563720-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - http://pointa.autodesk.com/portal/lang/enu/InstBanr.Ocx
O16 - DPF: {C6637286-300D-11D4-AE0A-0010830243BD} (InstaFred) - http://pointa.autodesk.com/portal/lang/enu/InstFred.Ocx
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview Control) - file://C:\Program Files\Autodesk Architectural Desktop 3\AcPreview.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{C1FB003D-46BB-4C3B-8C87-B2084DF6807D}: NameServer = 209.53.216.2 209.53.215.2
O18 - Filter: text/html - {C9A11122-C97B-4392-9F4A-5CD6701852D9} - C:\WINDOWS\System32\cdbg.dll
O18 - Filter: text/plain - {C9A11122-C97B-4392-9F4A-5CD6701852D9} - C:\WINDOWS\System32\cdbg.dll

Hi,

das ist wirklich etwas Übles. Unter folgendem Link gibt es eine genaue Anleitung, wie man am besten vorgeht, weil das Fixen mit HijackThis in dem Fall keinen Erfolg bringt.

http://www.trojaner-info.de/anleitungen ... blank.html

Wenn die beiden Programme ausgeführt wurden, dann erstelle noch einmal ein neues HijackThis Logfile.

Gruß Jinxy

hi

- haben deinen link versucht- wird angezeigt 'not infected'
ratlose gruesse
socke

fixe mit dem HijackThis (dazu hakst du an, was ich poste, drueckst auf <fix< und dann starte den Computer enu

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\ARMINM~1\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\ARMINM~1\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\ARMINM~1\LOCALS~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\ARMINM~1\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\ARMINM~1\LOCALS~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\ARMINM~1\LOCALS~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

O2 - BHO: (no name) - {8A411EA3-AF04-4B3F-A661-2EB4B24B5F6E} - C:\WINDOWS\System32\cdbg.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/ ... 0_0_42.cab
O16 - DPF: {486E48B5-ABF2-42BB-A327-2679DF3FB822} - http://akamai.downloadv3.com/binaries/IA/ia_XP.cab

O18 - Filter: text/html - {C9A11122-C97B-4392-9F4A-5CD6701852D9} - C:\WINDOWS\System32\cdbg.dll
O18 - Filter: text/plain - {C9A11122-C97B-4392-9F4A-5CD6701852D9} - C:\WINDOWS\System32\cdbg.dll


neustarten


Deaktiviere kurz deinen Virenscanner
Lade Antivirus free
http://www.free-av.de/
nach dem Installationsscann konfigurierst du<alle Dateien scannen< und Heuristik <hoch<
Dann gehst du in den abgesicherten Modus
http://www.bsi.de/av/texte/winsave.htm
und machst einen Vollscann.

#Gehe in die Registry
Start<Ausfuehren<regedit

Hkey_Local_Maschine>Software>Microsoft>Internet Explorer> Main und ein bisschen weiter unten in SEARCH
Homeoldsp; und 3 weitere Einträge die sich auf die Datei in Dokumente und Einstellungen>%Benutzername%>Lokale Einstellungen>Temp> SP.html
loeschen !

HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\ARMINM~1\LOCALS~1\Temp\sp.html
HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\ARMINM~1\LOCALS~1\Temp\sp.html
HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOCUME~1\ARMINM~1\LOCALS~1\Temp\sp.html
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOCUME~1\ARMINM~1\LOCALS~1\Temp\sp.html
HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\ARMINM~1\LOCALS~1\Temp\sp.html
HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOCUME~1\ARMINM~1\LOCALS~1\Temp\sp.html
HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank


schliesse die Registry

#Loesche:C:\WINDOWS\System32\cdbg.dll
#suche und loesche, falls vorhanden:
C:\WINDOWS\SYSTEM32\onfgmha.dll
(es kann natuerlich sein, dass der Antivirus das schon geloescht hat...)


normal neustarten

#Lade Spysweeper
http://www.spysweeper.com/

#Lade ClearProg
loesche mit dem Tool die
-Cookies
- Verlauf
- Temporäre Internetfiles (Cache)
http://www.clearprog.de/


#Stelle unter <Internetoptionen <eine neue Startseite ein

#Lade Spybot
http://www.safer-networking.org/de/download/index.html
<Immunisieren<
Stelle dort ein IE <Lock Hosts file read only...<
Damit wird die IE-Startseite vor veraenderung geschuetzt.

Lade Firefox als Alternativbrowser und surfe nur mit ihm
(ist sicherer)
http://www.firebird-browser.de/
(gibt es auch in Englisch)

dann poste das Log noch mal.

mfg
Nikita

danke nikita fuer deine antwort!

wir haben sofort losgelegt, nach deinen angaben- nun hat sich durch unser rumprobieren heute :x ( erfolglos) das logfile leider geaendert!

soll ich es nochmal reinstellen ?

vielen, vielen dank fuer deine muehe!
gruesse aus BC

sockeye

Ja natuerlich !
Poste es noch mal.

Fixe alle Eintraege, die als <bad< erkannt wurden, aber wieder aufgetaucht sind...starte neu !
Dann:
..............................................................................................................
Man kann noch viel machen, bis alles sauber ist.
Mich wuerde auch interessieren, ob du eine C:\WINDOWS\SYSTEM32\onfgmha.dll gefunden hast und ob der Antivirus was geloescht hat.

Lade Cwshredder (schliesse den Browser vor dem Scannen)
http://www.lurkhere.com/~nicefiles/

lade von unten links:
Download abaut blank scanner
http://www.adwareaway.com/aboutblank.htm
(direktlinK)

..........................................................................................................

Schau dir mal bitte ALLE <dll< an und poste mir, welche dem Datum entspricht, seit du das Problem mit der verstellten Startseite hast .
Es muss also eine dll juengeren Datums sein....

Poste auch, was hier verzeichnet ist:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"System"=- ..............................................................

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs

............................................................................................................

Lade Beta-Fix, klicke auf <Log Bat< und poste das Log!
http://www10.brinkster.com/expl0iter/freeatlast/FNF/
(wenn der Antivirus etwas reklamiert..beim Laden ....nicht erschrecken...das ist ein Fehler vom Programm)
Nikita

http://forums.spywareinfo.com/index.php?showtopic=19145

guten morgen nikita

danke fuer deine antwort!

wir haben deinen adware link ausprobiert, 2 mal das programm durchlaufen lassen, - und im moment ist about blank tatsaechlich weg *hoff* und unsere normale startseite wieder da!
nach allem was ich in den letzten tagen ueber den trojaner gelesen habe kann ich mich noch nicht so richtig freuen..... - ob er wiederkommt ???

darf ich mich dann noch mal melden und die logfiles reinstellen?

einstweilen erst mal vielen dank fuer deine hilfe und ganz liebe gruesse aus west- kanada

sockeye

PS irgentwas hat der trojaner mit norton antivirus angestellt!
wir haben beim 1. auftreten zuerstmal das ganze system gescant
gefunden wurde nichts, spaeter war dann norton auf einmal deaktiviert :-((( und verstellt und musste vom desktop aus gestartet werden.

Hallo sockeye
Du musst nicht darum bitten, etwas posten zu duerfen
Am besten ist es, wenn man viel komuniziert...so laesst sich alles loesen und dafuer sind wir da im Forum.

1. Lade Beta-Fix, klicke auf <Log Bat<

und poste das Log!
http://www10.brinkster.com/expl0iter/freeatlast/FNF/
(wenn der Antivirus etwas reklamiert..beim Laden ....nicht erschrecken...das ist ein Fehler vom Programm)


2.
schaue im NortonProgramm in der Taskleiste...Autostart aktivieren, ...ich weiss nicht genau wie die Funktion heisst beim Norton.

O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
muss dann wieder im Autostart erscheinen.
Start<Ausfuehren (Run) <msconfig

3. Zusammen mit der <LogBat< postest du bitte das Log vom HijackThis noch einmal.

Aber bitte mit einer Startseite.

mfg
Nikita.

hi nikita!

1. about blank immer immer noch verschwunden- meine 'normale' startseite wird geladen *freu*

(ich bin total geruehrt , wie mir hier geholfen wird - und dass ihr 'eure' time fuer mich verwendet ! - daher mein vorsichtiges anfragen !)
hier das erste log, ich hoffe es ist das richtige !


Sat 07 Aug 04 09:29:30

»»»»»*** www10.brinkster.com/expl0iter/freeatlast/FNF/ ***»»»»»

Microsoft Windows XP Professional 5.1 Service Pack 1 (Build 2600)


Microsoft Windows XP [Version 5.1.2600]
IE version:
6.0.2800.1106 SP1-Q324929-Q818529-Q330994-Q822925-Q837009-Q832894

The type of the file system is NTFS.

Saturday, August 07, 2004 (8/7/2004)
9:29 AM, Pacific Daylight Time
9:29am up 0 days, 0:55


»»Member of...: ("ADMIN" logon + group match required!)

User is a member of group ARMIN-YO0XIC851\None.
User is a member of group \Everyone.
User is a member of group BUILTIN\Administrators.
User is a member of group BUILTIN\Users.
User is a member of group \LOCAL.
User is a member of group NT AUTHORITY\INTERACTIVE.
User is a member of group NT AUTHORITY\Authenticated Users.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Group BUILTIN\Administrators matches list.
Group BUILTIN\Users matches list.

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

User: [ARMIN-YO0XIC851\armin maerkl], is a member of:

BUILTIN\Administrators
\Everyone
ARMIN-YO0XIC851\None

»»»»»»»»»»»»»»»»»»*** Note! ***»»»»»»»»»»»»»»»»
The list will produce a small database of files that will match certain criteria.
Ex: read only files, s/h files, last modified date. size, etc.
The filters provided and registry scan should match the
corresponding file(s) listed.
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Unless the file match the entire criteria, it should not be pointed to remove
without attempting to confirm it's nature!
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
At times there could be several (legit) files flagged, and/or duplicate culprit file(s)!
If in doubt, always search the file(s) and properties according to criteria!

The file(s) found should be moved to \FINDnFIX\"junkxxx" Subfolder
»»»»»»»»»»»»»»»»»»***LOG!***(*updated 8/06)»»»»»»»»»»»»»»»»

»»»*»»»*Use at your own risk!»»»*»»»*

Scanning for file(s)...
»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»
»»»»» (*1*) »»»»» .........
»»Locked or 'Suspect' file(s) found...


»»»»» (*2*) »»»»»........

»»»»» (*3*) »»»»»........

No matches found.

unknown/hidden files...

No matches found.

»»»»» (*4*) »»»»».........
Sniffing..........
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.

SNiF 1.34 statistics

Matching files : 0 Amount in bytes : 0
Directories searched : 1 Commands executed : 0

Masks sniffed for: *.DLL

»»»»»(*5*)»»»»»

»»»»»(*6*)»»»»»

»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»
»»»»»Search by size...


No matches found.

No matches found.

No matches found.

Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.

SNiF 1.34 statistics

Matching files : 0 Amount in bytes : 0
Directories searched : 1 Commands executed : 0

Masks sniffed for: *.DLL
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.

SNiF 1.34 statistics

Matching files : 0 Amount in bytes : 0
Directories searched : 1 Commands executed : 0

Masks sniffed for: *.DLL
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.

SNiF 1.34 statistics

Matching files : 0 Amount in bytes : 0
Directories searched : 1 Commands executed : 0

Masks sniffed for: *.DLL

»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»


BHO search...

**File C:\WINDOWS\SYSTEM32\CDBG.DLL
000020DC: 25 25 25 30 32 78 00 00 . 00 00 00 00 C0 82 05 B3 %%%02x.. ....À‚.³

Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.

SNiF 1.34 statistics

Matching files : 0 Amount in bytes : 0
Directories searched : 1 Commands executed : 0

Masks sniffed for: *.DLL


»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»
»»Size of Windows key:
(*Default-450 *No AppInit-398 *fake(infected)-448,504,512...)

Size of HKEY_LOCAL_MACHINE\software\microsoft\Windows NT\CurrentVersion\Windows: 0

»»Dumping Values........
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows: The system cannot find the file specified.

REGDMP: Unable to open key 'HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows' (2)


»»Security settings for 'Windows' key:


RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!


Can't open Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:

2 - The system cannot find the file specified.

»»Performing string scan....
ERROR: failed to open file
--------------
--------------
--------------
--------------
No matching files were found.

--------------
--------------
Error: Couldn't open HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows-----------------------

»»»»»»Backups list...»»»»»»
9:30am up 0 days, 0:56
Sat 07 Aug 04 09:30:20


No matches found.

No matches found.

*Temp backups...

No matches found.

C:\FINDNFIX\
JUNKXXX Sat Aug 7 2004 9:29:30a .D... <Dir>

1 item found: 0 files, 1 directory.

-----END------
Sat 07 Aug 04 09:30:21


.............................................................................

2. in die norton taskleiste sind wir gegangen , da war wieder was verstellt ( was wir nicht gemacht haben...) und zwar die life up date funktion ausgestellt ..... ( diese symantec leute haben wir uebrigens auch schon ohne erfolg angemailed)
......................................................................................

3. im moment haben wir keine idee wie man von der startup-tab in msconfig eine kopie macht , die man dann in das forum stellen kann...
(- wir koennen nur mit print screen in paint ein bild machen : jpeg dass sich in word nur als bild stellen laesst . sorry , leider sind wir nicht die pro's ...........) wir versuchen es weiter !

lg gruesse und ein schoenes wochenende
wuenscht sockeye

Hallo sockeye

du musst keine msconfig-Log schicken, ich weiss, was du alles im Autostart hast:

O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [Jet Detection] C:\Program Files\Creative\SBAudigy\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [CTStartup] C:\Program Files\Creative\SBAudigy\Program\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [PC-CAM 350 STI App Registration] RunDLL32.exe P1060pin.dll,RunDLL32EP 513
O4 - HKLM\..\Run: [CalCompUtil] ccwtup32.exe
O4 - HKLM\..\Run: [GTCO.wtxpload] C:\WINDOWS\GTCO\wtxpload.exe GTCO
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [MOD] C:\Program Files\Microangelo\muamgr.exe
O4 - HKLM\..\Run: [Disc Detector] C:\Program Files\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe
O4 - HKLM\..\Run: [FastUser] C:\WINDOWS\System32\fast.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [TaskTray] C:\Program Files\Creative\SBAudigy\Taskbar\CTLTray.exe
O4 - HKCU\..\Run: [Taskbar] C:\Program Files\Creative\SBAudigy\Taskbar\CTLTask.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

ich dachte nur, dass du dort den Symantec wieder in den Autostart bringen kannst.....aber da ist er ja vorhanden.
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe

ich wusste ja nicht, dass die LiveUpdate-Funktion den Geist ausgehaucht hat.

...........................................................................................................................

#Doppelklick auf das AntiVir-Symbol (im Tray). Im Fenster auf Optionen und darunter auf AntiVirus. Im folgenden Fenster in der linken Spalte auf LiveUpdate und dann auf "Automatisches Update aktivieren".

#In der LiveUpdate-Systemsteuerung gibt es eine Option, mit der Benutzer
zwischen dem interaktiven Modus und dem Express-Modus wechseln können.
Diese Option ist im Register 'Allgemein' der LiveUpdate-Systemsteuerung
verfügbar.

So wechseln Sie zum Express-Modus

1. Öffnen Sie die Windows-Systemsteuerung und doppelklicken Sie auf das
LiveUpdate-Symbol. Standardmäßig wird das Register "Allgemein"
angezeigt.
2. Wählen Sie die Optionsschaltfläche "Express-Modus".
3. Legen Sie fest, wie LiveUpdate gestartet werden soll.
4. Klicken Sie auf die Schaltfläche "OK".
Wenn LiveUpdate das nächste Mal ausgeführt wird, wird es im Express-
Modus ausgeführt.
ftp://ftp.symantec.com/public/deutsch/l ... readme.txt


#Wenn Probleme mit LiveUpdate auftreten, die möglicherweise auf
Installationsprobleme oder beschädigte Dateien zurückzuführen sind,
können Sie LiveUpdate einfach neu installieren.

So installieren Sie LiveUpdate neu:
1. Suchen Sie die Programmdatei LUSETUP.EXE auf Ihrem Computer oder auf
der CD-ROM, die Ihr Symantec-Produkt enthält.

Sie können auch die neueste Version vom Internet herunterladen:

http://www.symantec.com/region/de/techs ... files.html

2. Doppelklicken Sie auf LUSETUP.EXE.
Sie werden gefragt, ob Sie LiveUpdate installieren möchten.

3. Klicken Sie auf "Ja".
Das LiveUpdate-Programm wird automatisch neu installiert.


Poste dann, ob es geklappt hat
...........................................................................................................

Gruss
Nikita

hi nikita

ich muss jetzt leider noch mal ganx bloed fragen
siehst du das dass der live update sein leben ausgehaucht hat?????????
...............und dann noch bloeder weiter fragen *aeehm*
kannst du erkennen ob ich diesen about blank endgueltig losgeworden bin??????

liebe gruesse
sockeye

Wenn du noch einmal das komplette Log, mit einer Startseite postest, kann ich dir sagen, ob die verstellte Startseite oder abaut blank weg ist.
Vom LiveUpdate (Synmantec< hast DU gesprochen....ich sehe nur, dass der Norton aktiviert ist.

mfg
Nikita

hi nikita

mach ich gern !
was meinst du mit startseite ?( die naechste naive frage , zur entschuldigung kann ich nur anbringen bei unserem pc laeuft alles in english )

der norton antivirus hat heute mehrmals verrueckt gespielt, - ohne das jemand die einstellung am taskbar geaendert hat waren mehrmals verschiedene sachen abgeschaltet ...
-wir haben jetzt das express update und lusetup 4.0100.1190 installiert wie du geraten hast!

gruss sockeye