hallo

bei mir hat sich die startseite "searchmyrequest" eingenistet und ich werd sich nicht mehr los.
Ich weiß, fürProfis ein altes und sicher schon langweiliges Thema, aber ich hab selber schon mal alle Foren durchforstet, adware, spyware cwsshredder etc runtergeladen und angewendet, aber nach jedem Neustart ist die Seite wieder da.

Muss man, wenn die Einträge gefixt werden eigentlich im abgesicherten Modus starten oder bringt das nix ?

Hier mein Logfile (das alles mit seachmyrequest weg muss ist klar, aber was noch ??? damit es nicht beim Neustart wieder da ist ????


Logfile of HijackThis v1.98.2
Scan saved at 13:45:22, on 27.08.2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\WebWasher\wwasher.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Antivirus\hijackthis_198\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmyrequest.com/sp.php
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://searchmyrequest.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmyrequest.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchmyrequest.com/sp.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmyrequest.com/sp.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchmyrequest.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchmyrequest.com/sp.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchmyrequest.com/sp.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Arcor
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SysA] C:\winnt\system32\wincxo32.exe
O4 - HKLM\..\Run: [roabcxkvgr] C:\Programme\Symantec\cigmo0yzzr.exe
O4 - HKLM\..\Run: [Sys] c:\winnt\system32\winaam32.exe
O4 - HKCU\..\Run: [WebWasher] C:\Programme\WebWasher\wwasher.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: START_PAGE_URL=http://www.arcor.de


Wäre für Hilfe superdankbar

Grüße Steffen

Hallo stf,

bitte mit Hijack This offline im abgesicherten Modus fixen:

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmyrequest.com/sp.php
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://searchmyrequest.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmyrequest.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchmyrequest.com/sp.php

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmyrequest.com/sp.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchmyrequest.com/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchmyrequest.com/sp.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchmyrequest.com/sp.php

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot

O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

-------

Bitte folgende Dateien mit dem Online-Scan von Kaspersky prüfen:

C:\winnt\system32\wincxo32.exe
C:\Programme\Symantec\cigmo0yzzr.exe
c:\winnt\system32\winaam32.exe

--------

Lade Dir gegebenenfalls eScan runter - entsprechend der Anweisung - (Downloadlink und Erklärung): meine Signatur unter "TI Hijacker-Rubrik". eScan muss in das Verzeichnis c:\bases kopiert werden (Ordner/Verzeichnis bitte erstellen), online geupdatet und offline im abgesicherten Modus ausgeführt werden. Der Scan nimmt einige Zeit in Anspruch.

Poste danach bitte ein neues Logfile.

SD

Hallo

Zitat:

Zitat von Shadowdance

Bitte folgende Dateien mit dem Online-Scan von Kaspersky prüfen:
C:\winnt\system32\wincxo32.exe
....
c:\winnt\system32\winaam32.exe

Es gibt keinen Zweifel - Malware, Dateien löschen. Wenn nicht klappt - über Task-Manager Prozesse mit diesen Dateien beenden, danach löschen.

Zitat:

O4 - HKLM\..\Run: [roabcxkvgr] C:\Programme\Symantec\cigmo0yzzr.exe

Ich sehe bei dir keine Spuren der funktionierenden Symantec-Software. Wenn du nichts davon installiert hast, lösche das ganze Verzeichnis ..\Symantec\..

Zitat:

Zitat von Rene-gad

...

Es gibt keinen Zweifel - Malware, Dateien löschen. Wenn nicht klappt - über Task-Manager Prozesse mit diesen Dateien beenden, danach löschen.
...

Wobei noch nicht zu sagen ist, ob KAV diese Malware auch erkennt.
Also: Ruhig überprüfen.

@stf
Auch mal wieder bei www.windowsupdate.com vorbeischauen und alle Updates und Patches installieren.

Verwende zum Schutz einen anderen Browser: www.firefox-browser.de ist schnell, sicher und kostenlos.

Zitat:

Zitat von *Christian*

Wobei noch nicht zu sagen ist, ob KAV diese Malware auch erkennt.

Erkennt. Ich weiß nicht genau - um welche(n) Trojaner es sich handelt. Was ich aber genau weiß: diese Dateien gehören nicht zu Windows-Systemdateien und habe im System-Verzechnis nichts zu suchen.

Wenn stf den Online-Scan durchführt wissen wir mehr.