| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: powerwebsearch Startseite, bekomme sie nicht wegWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
24.02.2004, 10:15
| #1 |
| |  powerwebsearch Startseite, bekomme sie nicht weg Hallo! Leider hat es mich nun auch erwischt und ich habe eine neue Startseite die sich immer wieder einstellt, was immer ich auch versuche. Mit den bisherigen Versuchen habe ich leider keinerlei Erfolg erzielen könne. Folgendes hab ich bisher probiert: - Temporäre Dateien und cookis gelöscht - adaware6 - spybotsd12 - CWShredder - XPclean - antisobig auch die Dinge die für ntsearch.com als Startseite, empfohlen wurden brachten keine Hilfe. Mit HijackThis bekomme ich folgendes Ergebniss, in dem auch powerwebsearch auftaucht. Bekomme es aber leider mit keinem Programm dauerhaft weg. Hat also jemand einen Tipp für dieses spezielle Problem? Ich wäre wirklich sehr Dankbar! </font><blockquote>Code:</font><hr /><pre style="font-size:x-small; font-family: monospace;">Logfile of HijackThis v1.97.7 Scan saved at 10:06:38, on 24.02.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe d:\Programme\AVPersonal\AVGUARD.EXE d:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE C:\WINDOWS\System32\sesinetd.exe C:\WINDOWS\System32\hserver.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\windows\system32\idecntl.exe C:\WINDOWS\Svchost.exe C:\WINDOWS\System32\wfxsnt40.exe D:\Programme\t-dsl-speedmanager\SpeedMgr.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe D:\Programme\Messenger Plus! 2\MsgPlus.exe D:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe d:\Programme\Logitech\MouseWare\system\em_exec.exe C:\WINDOWS\System\services.exe D:\Programme\Acrobat Reader 5.0.5\Distillr\AcroTray.exe D:\Programme\t-dsl-speedmanager\tsmsvc.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Outlook Express\msimn.exe C:\Dokumente und Einstellungen\Oliver\Desktop\hijackthis1977\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://powerwebsearch.com/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://powerwebsearch.com/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://powerwebsearch.com/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://powerwebsearch.com/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://powerwebsearch.com/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://powerwebsearch.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://powerwebsearch.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://powerwebsearch.com/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://powerwebsearch.com/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://powerwebsearch.com/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = www-proxy.btx.dtag.de:80 F1 - win.ini: run=c:\windows\system32\idecntl.exe [...] O2 - BHO: (no name) - {0096CC0A-623C-4829-AD9C-19AF0DC9D8FE} - D:\Programme\DAP\DAPIEBar.dll O2 - BHO: (no name) - {00C6482D-C502-44C8-8409-FCE54AD9C208} - D:\Programme\SnagIt 7\SnagItBHO.dll O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\Programme\Acrobat Reader 5.0.5\Acrobat\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - d:\Programme\RoboForm\RoboForm.dll O2 - BHO: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - d:\Programme\RoboForm\RoboForm.dll O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file) O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - D:\Programme\SnagIt 7\SnagItIEAddin.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [scheduler] d:\Programme\tbank\Dresdner Bank AG\bin\scheduler.exe O4 - HKLM\..\Run: [RoboForm] d:\Programme\RoboForm\RoboFormWatcher.exe O4 - HKLM\..\Run: [SystemReg] C:\WINDOWS\Svchost.exe run O4 - HKLM\..\Run: [WinFaxAppPortStarter] wfxsnt40.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [T-DSL SpeedMgr] "D:\Programme\t-dsl-speedmanager\SpeedMgr.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE O4 - HKLM\..\Run: [MessengerPlus2] "d:\Programme\Messenger Plus! 2\MsgPlus.exe" O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [AVGCtrl] d:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [AdobeFonts] C:\WINDOWS\Fonts\fonts.hta O4 - HKLM\..\Run: [Idecntl] c:\windows\system32\idecntl.exe O4 - HKLM\..\RunServices: [SystemReg] C:\WINDOWS\Svchost.exe run O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [SystemReg] C:\WINDOWS\Svchost.exe run O4 - HKCU\..\Run: [Makro] "C:\Dokumente und Einstellungen\Oliver\Desktop\makro\Makro.exe" O4 - HKCU\..\Run: [MessengerPlus2] "d:\Programme\Messenger Plus! 2\MsgPlus.exe" /WinStart O4 - HKCU\..\Run: [Yahoo! Pager] D:\PROGRA~1\YAHOO!\MESSEN~1\ypager.exe -quiet O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "D:\PROGRA~1\POP-UP~1\PSFREE.EXE" O4 - HKCU\..\Run: [System Update] C:\WINDOWS\System\services.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [Idecntl] c:\windows\system32\idecntl.exe O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Startup: PalNetaware.lnk = D:\Programme\Paltalk\pnetaware.exe O4 - Global Startup: Acrobat Assistant.lnk = D:\Programme\Acrobat Reader 5.0.5\Distillr\AcroTray.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: SnagIt 7.lnk = D:\Programme\SnagIt 7\SnagIt32.exe O8 - Extra context menu item: &2 Customize Menu - res://d:\Programme\RoboForm\RoboForm.DLL/ComCustomIEMenu.html O8 - Extra context menu item: &5 Fill from Identity - res://d:\Programme\RoboForm\RoboForm.DLL/ComFillIdent.html O8 - Extra context menu item: &7 Fill Forms - res://d:\Programme\RoboForm\RoboForm.DLL/ComFillForms.html O8 - Extra context menu item: &8 Save Forms - res://d:\Programme\RoboForm\RoboForm.DLL/ComSavePass.html O8 - Extra context menu item: &9 Robo Toolbar - res://d:\Programme\RoboForm\RoboForm.DLL/ComShowToolbar.html O8 - Extra context menu item: &Download with &DAP - D:\PROGRA~1\DAP\dapextie.htm O8 - Extra context menu item: Download with GetRight - D:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Free Software - d:\Programme\FavSearch\hh.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Open with GetRight Browser - D:\Programme\GetRight\GRbrowse.htm O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM) O9 - Extra button: RF toolbar (HKLM) O9 - Extra 'Tools' menuitem: &9 Robo Toolbar (HKLM) O9 - Extra button: ICQ Lite (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O9 - Extra button: Real.com (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Messenger (HKLM) O9 - Extra button: FavSearch (HKCU) O9 - Extra 'Tools' menuitem: FavSearch (HKCU) O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst0309.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/1772e40946375fa...dxIE601_de.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/b...ll/xscan53.cab O16 - DPF: {8714912E-380D-11D5-B8AA-00D0B78F3D48} (Yahoo! Webcam Upload Wrapper) - http://chat.yahoo.com/cab/yuplapp.cab O16 - DPF: {9CCE3B43-4DE0-4236-A84E-108CA848EE6A} (WebCam Control) - http://webcamnow.com/broadcast/ActiveXWebCam.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...005.7711342593 O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab O16 - DPF: {DCE3340D-3568-4883-8B15-F6E296BC9445} (NCSVersion Class) - http://satmap.ga.gov.au/ecwplugins/ncs.cab O16 - DPF: {F5820AD3-9B20-423E-B2AA-7AF2B4055746} (CRegistryDownload Class) - http://download.paltalk.com/download/0.x/regdload.cab O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{0C125E05-541D-4EC0-9292-9D485223C809}: NameServer = 217.5.99.9 194.25.2.129 O17 - HKLM\System\CS1\Services\Tcpip\..\{0C125E05-541D-4EC0-9292-9D485223C809}: NameServer = 217.5.99.9 194.25.2.129</pre>[/QUOTE] |
|
24.02.2004, 10:24
| #2 |
  |  powerwebsearch Startseite, bekomme sie nicht weg hier findest du bereits tips und tools...
__________________http://www.trojaner-board.de/forum/u...c;f=6;t=004653 rock |
|
24.02.2004, 11:32
| #3 |
| | powerwebsearch Startseite, bekomme sie nicht weg Ja, Danke. Hatte ja eigentlich wie geschrieben schon alles für das Problem mit ntsearch.com als Startseite durchprobiert, also auch unter deinem Link. Hab das aber jetzt doch noch mal gemacht und es scheint diesmal funktioniert zu haben mit HijackThis, dachte damit kann man nur loggen, aber habe nun herausgefunden, das er das auch beheben, bzw. löschen konnte mit "Fix checked".
__________________ |
|
| Themen zu powerwebsearch Startseite, bekomme sie nicht weg |
| als startseite, antivirus, antivirus scan, bho, browser, desktop, drivers, einstellungen, excel, explorer, hijack, hijackthis, immer wieder, internet, internet explorer, logfile, makro, nvcpl.dll, object, outlook express, pop-up, popups, problem, programm, programme, registry, rundll, shockwave, software, symantec, system, tcpip, temporäre dateien, windows, windows xp, windows\system32\drivers, wrapper, yahoo |
Linear-Darstellung
