mywebsearch

prinnzessin · 21.10.2005, 20:32

Hallo zusammen,
meine tochter hat sich irgendwie beim Anmelden vom MSM Messenger die Seite h++p://mysearchnow.com/ eingefangen und seitdem spinnt der PC.
Schmeißt mir alle Favoriten raus, langsam bis zum Ende, Icons auf dem Destop und ich habe null Ahnung wie ich dieses Teil wieder weg bekomme.
Popup öffnen sich wie sie gerade wollen, einfach doof.

Habe mal ein Log gemacht und hoffe das mir hier jemand helfen kann.

Logfile of HijackThis v1.99.1
Scan saved at 21:01:41, on 21.10.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Programme\Norton Internet Security\ccPxySvc.exe
C:\dokumente und einstellungen\+++\lokale einstellungen\temp\DZbgdAL.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\TuneUp Utilities\MemOptimizer.exe
C:\Programme\Yahoo!\Messenger\ypager.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Messenger\msmsgs.exe
C:\hjt\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h++p://www.quawjsbwpfwalppygqxshrx.biz/McIrujerCQuydUuLD9ueWB1lHTXxNMIqKQ1mWJipTzwhskFljfkg_dhx8ETKjkui.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h++p://www.gseoifbzoktofaclnhggeov.biz/McIrujerCQt3KbVDQPyE/1e42Hoi8s87kG_aw57gAcg.jsp
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h++p://de.rd.yahoo.com/slv/ycheck/as/*h++p://search.yahoo.com/search?p=%s
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {8D593571-D2A9-D674-88E5-3B2E65A058D0} - C:\DOKUME~1\+++\ANWEND~1\METABI~1\oozeprogram.exe
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [DZbgdAL] C:\dokumente und einstellungen\monika\lokale einstellungen\temp\DZbgdAL.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [browse eggs stop htm] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Mp3 Great Browse Eggs\drive file.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] C:\Programme\TuneUp Utilities\MemOptimizer.exe autostart
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programme\Yahoo!\Messenger\ypager.exe" -quiet
O4 - HKCU\..\Run: [Facefind] C:\DOKUME~1\+++\ANWEND~1\DATEBO~1\Team trans.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\YAHOO!\COMMON\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\YAHOO!\COMMON\yhexbmesde.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: JT's Blocks - h*tp://download.games.yahoo.com/games/clients/y/blt1_x.cab
O16 - DPF: Yahoo! Backgammon - h**p://download.games.yahoo.com/games/clients/y/at1_x.cab
O16 - DPF: Yahoo! Chat - h**p://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: Yahoo! MahJong Solitaire - h**p://download.games.yahoo.com/games/clients/y/mjst3_x.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - h++p://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1122556580582
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - C:\Programme\Norton Internet Security\ccPxySvc.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - C:\Programme\Norton Internet Security\NISUM.EXE
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe

Hoffe das ist richtig so und bedanke mich schon mal für eure Hilfe

Liebe Grüße einer verzweifelten prinnzessin

dartus · 21.10.2005, 23:24

Hallo prinnzessin,

das System ist nicht aktuell! SP 2 und alle weiteren Sicherheitspatches müssen installiert sein!

Deinstalliere über Systemsteuerung/Software "MessengerPlus3" sowie weitere Dir unbekannte Software.

Wechsel in den abgesicherten Modus bei deaktivierter Systemwiederherstellung http://www.systemwiederherstellung-d...indows-xp.html und fixe folgende Einträge (Scan mit HJT und Häckchen vor Eintrag):
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://h++p://www.quawjsbwpfwalppyg...hx8ETKjkui.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://h++p://www.gseoifbzoktofacln...kG_aw57gAcg.jsp
O2 - BHO: (no name) - {8D593571-D2A9-D674-88E5-3B2E65A058D0} - C:\DOKUME~1\+++\ANWEND~1\METABI~1\oozeprogram.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [browse eggs stop htm] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Mp3 Great Browse Eggs\drive file.exe
O4 - HKCU\..\Run: [Facefind] C:\DOKUME~1\+++\ANWEND~1\DATEBO~1\Team trans.exe

Lösche folgende Ordner manuell:
C:\DOKUME~1\+++\ANWEND~1\METABI~1
C:\Programme\MessengerPlus! 3
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Mp3 Great Browse Eggs
C:\DOKUME~1\+++\ANWEND~1\DATEBO~1

Papierkorb leeren

Neustart --> Systemwiederherstellung kann wieder aktiviert werden

Neues Logfile

dartus

prinnzessin · 22.10.2005, 17:25

Hallo Dartus,

danke.

MessengerPlus3 war der Übeltäter, nachdem der deinstalliert war, war alles andere auch weg. Weiß der Henker wie meine Tochter es geschafft hat, sich so ein Teil, ohne zu merken, runterzuladen.

Danke Dir nochmal für deine Hilfe, sah mich schon beim kompletten Neuaufbau der Festplatte.

Liebe Grüße

prinnzessin

mywebsearch

Log-Analyse und Auswertung: mywebsearch

mywebsearch

mywebsearch

mywebsearch

Ähnliche Themen: mywebsearch

22.10.2005, 17:25	#3
prinnzessin	mywebsearch Hallo Dartus, danke. MessengerPlus3 war der Übeltäter, nachdem der deinstalliert war, war alles andere auch weg. Weiß der Henker wie meine Tochter es geschafft hat, sich so ein Teil, ohne zu merken, runterzuladen. Danke Dir nochmal für deine Hilfe, sah mich schon beim kompletten Neuaufbau der Festplatte. Liebe Grüße prinnzessin __________________