</font><blockquote>Zitat:</font><hr />Original erstellt von Sebastian84:

Zum Browser gibts eigendlich keine richtige Alternative:

- Netscape, Opera, Mozilla und was weiß ich nicht alles taugen nichts. Entweder die sind absolute Bugy oder es gibt Probleme mit der Darstellung mancher Webseiten.
</font>[/QUOTE]Tja, mein Gutser, meist sind nicht die Browser der Mozilla-Familie oder Operea buggy sondern die Seiten! ("Natürlich" sind diese browser auch nicht fehlerfrei, aber eigentlich in jeder Hinsicht mit weniger ernsten Fehlern behafte wie der IE) Erstaunlicher Weise sind selbst Webseitenersteller von teuersten Internetauftritten manchmal zu dämlich (ich meine das auch so) eine einzige valide Seite zu erstellen. Deine Aussage "taugen nichts" sagt allerdings sehr viel über Dich aus
Im besten Fall hast du keine Ahnung von dem was Du redest


Alternative Online-AV-Scans schon mal gemacht (die funktionieren übrigens dank ActiveX fast nur mit IE)?

</font><blockquote>Zitat:</font><hr />...hmm also wie gesagt der CWShredder hilft hierbei recht wenig und ich glaub kaum das das im Abgesicherten anders ist. </font>[/QUOTE]Vielleicht sollten wir das 'Glauben' auf den morgigen Kirchgang verschieben?!?


</font><blockquote>Zitat:</font><hr />Zum Browser gibts eigendlich keine richtige Alternative
...
Das Auto Update lass ich von zeit zu zeit auch immer mal durchlaufen... </font>[/QUOTE]Tja, bei den Sicherheitsvorkehrungen wirst Du wohl noch viel Freude an Hijackern und Co haben... [img]redface.gif[/img]

Gruß,
Lutz

hmm aber die Einträge kommen auf einmal nicht mehr in die Registry und ich kann noch wieder meine eigene Startseite festlegen (hoffen bliebt das so).CWShredder hat aber eigendlich nix runtergemacht zumindest hat er nix angezeigt. Da weiß ich nu och nicht was los war. Hoffentlich ist diese Krise überstanden, nagut dann danke für eure Hilfe.

SpAss ist mit sicherheit nicht bugy sondern nur für IE optimiert. Mir is diese Seite nun einmal sehr wichtig und ich will keine dämlichen Farbtöne haben und das die hälfe der Grafikskins fehlen bzw. nicht ordentlich angezeigt werden passt mir auch nicht. Übrigens hab ich all diese Browser schon installiert gehabt und nach kurzer Zeit wieder deinstalliert also weiß ich genau wovon ich rede. Es kann schon sein das die Programmierer einfach zu dämlich sind ne Seite für jeden Browser lauffährig zu machen aber das is ja wurst, das kommt aufs selbe an.

Sicher, das der IE Sicherheitslücken hat ist unbestritten. Die ganze OS ist ne einzige Sicherheitslücke, aber deshalb steig ich ja auch nicht gleich auf Linux um.

Übrigens bin ich Heide und Glaube auch am morgigen Kirchentag an nichts und das mit dem Abgesichten Modus hab ich probiert... da passiert genau das gleiche wie im Normalmodus "not present,not present...usw."

Die Internetvirenscanns hab ich och schon durch. Kann doch nicht sein das da kein Virenschutz was findet irgendwas muss da doch sein!?!?

PS: Es wird keine neue Datei beim booten erzeugt da ich den Rechner die letzten 2 Tage weder heruntergefahren noch neugestartet habe.

[ 18. April 2004, 01:15: Beitrag editiert von: Sebastian84 ]

Dein Problemmit der Startseite hatte ich auch mal.
War zum verrücktwerden. Poste mal welche Programme/Prozesse bei dir laufen (Winxp Ctrl+Alt+Del sollte in Taskmanager in vorschein treten wo alle aufgelistet sind.)
Das mit der Startseite war so weil ein programm mit windows gestartet wurde und automatische alle Registry einträge wieder repariert hat. dieses programm wurde bei mir nicht von Spybot erkannt habs desshalb manuel gelöscht und war wieder alles IO.

Grüsse

Hallo an alle!

Genau das gleiche Problem habe ich auch und bei mir erscheint ebenso die gleiche dämliche Homepage... Bin ja froh, dass es keine Hardcore-Seite ist.

Da ich leider nicht sonderlich bewandert iS Registry etc. bin, ist dies für mich echt ein Problem.

Also, ich habe Spyboot und AdAware (und AntiVir) bereits laufen lassen und zumindest Spyboot schafft es immer, das Ding für kure Zeit zu entfernen. Doch dann ist es wieder da.

Wenn sich jemand meiner Erbarmen würde, wäre es wirklich super!!!
Ich weiß leider auch nicht genau, welche Infos ihr als Ausgangslage alle benötigt. Schreibt es mir dann doch bitte (und wie ich selber die Daten rausfinde..).

Danke!

Marc

Hallo and Welcome

Mal bitte hier HijackThis downloaden ,überprüfen und das Ergebnis hier posten.

Hier die Anleitung zum Nachlesen.

Welches OS hast du - welches AV Programm ?

Also, dies hier hat das Programm ausgespuckt, was auch immer es bedeutet...
</font><blockquote>Zitat:</font><hr />Logfile of HijackThis v1.97.7
Scan saved at 21:05:32, on 18.04.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WIN_XP\System32\smss.exe
C:\WIN_XP\system32\winlogon.exe
C:\WIN_XP\system32\services.exe
C:\WIN_XP\system32\lsass.exe
C:\WIN_XP\system32\svchost.exe
C:\WIN_XP\System32\svchost.exe
C:\WIN_XP\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\program files\lotus\notes\ntmulti.exe
C:\WIN_XP\Explorer.EXE
C:\WIN_XP\System32\nvsvc32.exe
C:\WIN_XP\System32\svchost.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
C:\WIN_XP\System32\windll32.exe
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\WIN_XP\System32\SCVHOST.EXE
C:\WIN_XP\System32\RUNDLL32.EXE
C:\dokume~1\abc\anwend~1\update.exe
C:\Programme\TV-Browser\tvbrowser.exe
C:\Programme\Java\j2re1.4.2_03\bin\javaw.exe
C:\Programme\eMule.de\emule.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\abc\Eigene Dateien\Downloads\hijackthis1977\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.yoursearch247.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WIN_XP\System32\nkckde.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WIN_XP\System32\nkckde.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.yoursearch247.com/se.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WIN_XP\System32\nkckde.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://homepage.com
%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.yoursearch247.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WIN_XP\System32\nkckde.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WIN_XP\System32\nkckde.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.yoursearch247.com/se.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://homepage.com
%00@www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WIN_XP\System32\nkckde.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://homepage.com
%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://homepage.com
%00@www.e-finder.cc/search/ (obfuscated)
O2 - BHO: (no name) - {2FBD468B-1676-4CEB-9FEA-CA3678F8AC2F} - C:\WIN_XP\System32\nkckde.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WIN_XP\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WIN_XP\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WIN_XP\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [windll32] C:\WIN_XP\System32\windll32.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [Windows Security Assistant] C:\WIN_XP\system32\rundll32.vbe
O4 - HKLM\..\Run: [MSStartOptimizer] C:\WIN_XP\System32\SCVHOST.EXE
O4 - HKLM\..\Run: [RegCompres] C:\WIN_XP\System32\REGCPM32.EXE
O4 - HKLM\..\RunServices: [Windows Security Assistant] C:\WIN_XP\system32\rundll32.vbe
O4 - HKLM\..\RunServices: [MSStartOptimizer] C:\WIN_XP\System32\SCVHOST.EXE
O4 - HKLM\..\RunServices: [RegCompres] C:\WIN_XP\System32\REGCPM32.EXE
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WIN_XP\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [System Update] c:\dokume~1\abc\anwend~1\update.exe
O4 - HKCU\..\Run: [Windows Security Assistant] C:\WIN_XP\system32\rundll32.vbe
O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {11111111-1111-1111-1111-111111111123} - ms-its:mhtml:file://C:\ss.MHT!http://64.237.47.178//chm.chm::/1/e.exe
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/soft...ch/alaunch.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://arcade.icq.com/multiplayer/odyssey_web8.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...092.4275231482
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C621D070-43D0-4A73-BAA0-3C8C6271113C}: NameServer = 217.237.151.33 194.25.2.129
</font>[/QUOTE]Als Antivirenprogramm habe ich nur AntiVir, Sonst WinXP Prof.

Danke!

</font><blockquote>Zitat:</font><hr />C:\WIN_XP\System32\windll32.exe
C:\WIN_XP\System32\SCVHOST.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.yoursearch247.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WIN_XP\System32\nkckde.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WIN_XP\System32\nkckde.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.yoursearch247.com/se.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WIN_XP\System32\nkckde.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://homepage.com
%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.yoursearch247.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WIN_XP\System32\nkckde.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WIN_XP\System32\nkckde.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.yoursearch247.com/se.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://homepage.com
%00@www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WIN_XP\System32\nkckde.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://homepage.com
%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://homepage.com
%00@www.e-finder.cc/search/ (obfuscated)

O4 - HKLM\..\Run: [windll32] C:\WIN_XP\System32\windll32.exe
O4 - HKLM\..\Run: [Windows Security Assistant] C:\WIN_XP\system32\rundll32.vbe
O4 - HKLM\..\Run: [MSStartOptimizer] C:\WIN_XP\System32\SCVHOST.EXE
O4 - HKLM\..\Run: [RegCompres] C:\WIN_XP\System32\REGCPM32.EXE
O4 - HKLM\..\RunServices: [Windows Security Assistant] C:\WIN_XP\system32\rundll32.vbe
O4 - HKLM\..\RunServices: [MSStartOptimizer] C:\WIN_XP\System32\SCVHOST.EXE
O4 - HKLM\..\RunServices: [RegCompres] C:\WIN_XP\System32\REGCPM32.EXE
O4 - HKCU\..\Run: [Windows Security Assistant] C:\WIN_XP\system32\rundll32.vbe
O16 - DPF: {11111111-1111-1111-1111-111111111123} - ms-its:mhtml:file://C:\ss.MHT!http://64.237.47.178//chm.chm::/1/e.exe </font>[/QUOTE]Das alles mal fixen lassen.

</font><blockquote>Zitat:</font><hr />C:\dokume~1\abc\anwend~1\update.exe
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/soft...ch/alaunch.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://arcade.icq.com/multiplayer/odyssey_web8.cab </font>[/QUOTE]Das alles kenn ich nicht, sagt mir aber auch im moment nichts.

Björn

ähh.. sorry.. fixen lassen?
ich machs sofort, wenn du mir sagst wie

Auf jeden Fall super, dass mir hier geholfen wird!

Du klickst die an die Lucky beschrieben hat und dann auf fix checked klicken - ABER bitte erst einen Save Log machen - sicher ist sicher

ok, jetzt kann ich auch fixen sit soeben geschehen.

Dies hier:


</font><blockquote>Zitat:</font><hr />

C:\WIN_XP\System32\windll32.exe
C:\WIN_XP\System32\SCVHOST.EXE

</font>[/QUOTE]konnte ich nicht fixen, es stand nur in der Save-Datei, nicht im Programm selber.
Und nun? [img]graemlins/kloppen.gif[/img]

Marc

Hallo Marc,

mit HijackThis kannst Du nur Einträge ab R1 'fix'en*1.
Der obere Bereich zeigt 'nur' an, welche Prozesse gestartet sind.
Die non Lucky genannten Dateien musst Du von Hand löschen, also über den Windows-Explorer....


*1 Mit HijackThis können generell keine Dateien gelöscht werden, sondern nur 'Start-Einträge' aus der Registry. Infizierte Dateien müssen -wenn sie denn eindeutig als schadhaft erkannt wurden- immer noch zusätzlich von Hand gelöscht werden.

Gruß,
Lutz

ok, dann werde ich die mal weiter bekämpfen...

In welchem Verzeichnis kann ich sie denn finden...?

steht eigentlich schon da:

</font><blockquote>Zitat:</font><hr />C:\WIN_XP\System32\windll32.exe

C:\WIN_XP\System32\SCVHOST.EXE</font>[/QUOTE]