Hallo zusammen!

Habe so ein schäbiges Teil in der Registry welches, wenn ich es z.B. mit Ad-Aware entferne, dann gerade wieder einstellt! Soll heißen wenn man dann wieder about:blank einstellt installiert es sich zwar wieder, aber wenn man den Browser danach wieder auf eine leere Seite einstellt bleibt er auch dabei! Es macht also nur Backen wenn man es mittels Ad-Aware entfernen will! Habe dazu mal einen Onlinecheck der Log-Datei machen lassen und da wird mir gesagt dass die = nov Sachen, NpFv412.dll und npseatools.cab eventuell böse <-- *lol* sein könnten! Könnte das die nov Sache sein und was besagen die anderen beiden bedenklichen Dateien?

Wäre schön wenn mir einer dazu was schreiben könnte da man sein Sys ja immer so sauber wie möglich halten möchte!

Hier das Log_File:

Logfile of HijackThis v1.99.1
Scan saved at 22:55:36, on 08.05.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
D:\Programme\T-DSL SpeedManager\SpeedMgr.exe
D:\Programme\AVPersonal\AVGNT.EXE
D:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Programme\AVPersonal\AVGUARD.EXE
D:\Programme\Soulseek\slsk.exe
C:\WINDOWS\System32\javaw.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Downloads\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = nov
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = nov
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = nov
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = nov
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "D:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - D:\Programme\AIM95\aim.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {40BF816B-D862-41B9-9445-ECA36D5F67F9} (Flatcast Viewer 4.12) - http://www.1mal1.com/flatcast/NpFv412.dll
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-17.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {F49DA492-7B88-463F-B389-CA9A02F6DA76} (Seagate SeaTools German Online) - http://www.seagate.com/support/disc/...npseatools.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A60B380A-7633-4414-B0FB-144B8A0228ED}: NameServer = 217.237.151.33 217.237.149.225
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: TSMService - T-Systems Nova, Berkom - D:\Programme\T-DSL SpeedManager\tsmsvc.exe

@Caranthir
update system und IE

wechsle danach in den abgesicherten modus und fixe mit HJT
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = nov
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = nov
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = nov
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = nov

neu booten, neue Startseite vergeben, neues HJT logfile posten
chaosman

Hi Chaosman!

Das mit dem Update ist so eine Sache, soll heißen ich habe es bisher noch nicht gemacht weil es eben so unübersichtlich auf der Microsoftseite ist und es da so viele Sachen giebt die man laden sollte oder könnte! ( siehe PN dazu )

Habe aber mal ein normales Update über Windows vollzogen und dann Deine Anweisungen befolgt was aber leider nix gebracht hat und ich auch somit nicht das Log gepostet habe da es annähernd genauso aussieht!

Habe jetzt auch schon ein paar andere Sachen gefixt die keine Beeinträchtigung gewesen sein können, soll heißen die Kiste läuft immer noch tadellos bis auf diese von mir beschriebene Sache welche immer wieder kommt!

@ Caranthir

Lade dir zuallererst das Service Pack 2 und installiere es
Besuche danach erneut www.windowsupdate.com und lade dir alle noch erhältlichen wichtigen Updates.
Poste dann einen neuen Log, damit wir mit der Bereinigung vortschreiten können.

Alle wichtigen Updates habe ich gezogen und habe sie vom Sys installieren lassen! Jetzt ziehe ich eben von dem Link von Dir SP2 und hoffe das alles gut geht, hätte aber nicht gedacht das es bei einer DSL Verbindung so lang dauert 265 MB zu ziehen! Ich werde das dann demnächst mal installieren und das Log-File posten...

Nachtrag:

Hatte doch noch angenehme Gesprächspartner und habe somit noch abgewartet und SP2 installiert! Gefixt hatte ich die Sachen aber auch voher schon und mußte feststellen dass das Prob immer noch nicht behoben ist. Ich poste jetzt hier mal das aktuelle Logfile, aber wenn ich den Hijacker mit Adaware raushaue kommt er trotzdem wieder wenn ich den IE öffne! Wie auch schon unten beschrieben kann ich dann wieder abaut:blank einstellen und er nervt nicht mehr , bis ich wieder mal mit Adaware alles raushau!?! Ist halt nicht wichtig, aber ich würde es gern beseitigt haben da das hier eben nicht meine eigene Kiste ist und sie immer von vielen Leuten genutzt wird!!!

Hier das Log-File:

Logfile of HijackThis v1.99.1
Scan saved at 01:55:14, on 10.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\AVPersonal\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\Programme\AVPersonal\AVGNT.EXE
D:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\WINDOWS\system32\javaw.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Downloads\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "D:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - D:\Programme\AIM95\aim.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {40BF816B-D862-41B9-9445-ECA36D5F67F9} (Flatcast Viewer 4.12) - http://www.1mal1.com/flatcast/NpFv412.dll
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-17.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1115669281812
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {F49DA492-7B88-463F-B389-CA9A02F6DA76} (Seagate SeaTools German Online) - http://www.seagate.com/support/disc/...npseatools.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A60B380A-7633-4414-B0FB-144B8A0228ED}: NameServer = 217.237.151.33 217.237.149.225
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: TSMService - T-Systems Nova, Berkom - D:\Programme\T-DSL SpeedManager\tsmsvc.exe


besten Dank bis hier her schonmal obwohl es eher so ein kleines Prob ist!

Erstmal schön,dss dein System jetzt jetz auf dem neuesten Stand ist.
So nun zum Thema:


Scans mit Antivirus-, Antispyware- oder/und jeglichen Programmen dieser Art sollten bei XP im abgesicherten Modus bei deaktivierter Systemwiederherstellung durchgeführt werden:

http://www.systemwiederherstellung-d...indows-xp.html

Nach dem Neustart sollte die Systemwiederherstellung wieder angeschaltet werden.

Du solltest dir zunächst zusätzlich zu Adaware noch Spybot runterladen und danach Adaware und Spybot über deren Updatefunktion aktualisieren
Wechsel danach in den abgesicherten Modus bei deaktivierter Systemwiedeherstellung wie oben beschrieben und fixxe mitels HJTfolgende Einträge:

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/...all/xscan53.cab
O16 - DPF: {40BF816B-D862-41B9-9445-ECA36D5F67F9} (Flatcast Viewer 4.12) - http://www.1mal1.com/flatcast/NpFv412.dll
O16 - DPF: {F49DA492-7B88-463F-B389-CA9A02F6DA76} (Seagate SeaTools German Online) - http://www.seagate.com/support/disc.../npseatools.cab

Führe danach Adaware und Spybot aus und behebe gefundene Probleme.
Mit Spybot zusätzlich immunisieren.
Neubooten und Systemwiederherstellung wieder anschalten.

Weiterhin:


Lies dir mal zum Thema Systemabsicherung den hier beschriebenen 12 Punkte Plan durch: http://www.trojaner-board.de/showthread.php?t=12154
Besonders der Umstieg auf einen anderen Browser sei dir hiermit empfohlen.

Hab es laut Deiner Beschreibung probiert, hat aber leider nicht geklappt! Bis auf die Sache mit Spybot - das muß ich nochmal irgendwann testen.

Scheint ja ein ziemlich hartnäckiger Geselle zu sein!!! Obwohl er eigentlich ja überhaupt nicht stört würde ich das Teil schon gerne weg haben wollen!

Die Einträge welche ich abgesichert fixen sollte habe ich erstmal gelassen sind zwar nicht unbedingt nötig, ich weiß aber was das alles ist und sie sollten somit nicht bedenklich sein!

Was einen anderen Browser angeht weiß ich ja auch das der IE nicht der wahre Jacob ist, aber es ist nicht mein Rechner und die Leute denen er gehört wollen nicht so recht ran an einen anderen! *schulterzuck*