Hallo!
Hilfe habe ein riesen problem.
Ich habs mit anti-virus, spybots, SpHjfix und CWSchredder versucht aber nichts passiert!

Mein Problem:
Meine Startseite ist jetzt eine Suchseite.
Ich hatte dieses Problem einige male, doch ich konnte sie immer wieder beheben.
Jetzt ist es etwas anders!

Ich öffne IE dann öffnet sich eine URL names www.windowws.cc/hp.htm?id=191
auf der seite is nichts zusehen... dann nach 1 Sek.
komm ich auf die seite
http://296f8.ilxt.info/index.php?aid=20009

Dort ist dann die Suchmaschine "Search for..."

Ich habe es schon mit eurem tool: SpHjfix versucht... den es hat mir letzte mal geholfen!

Nun jetzt ist es so: Ich will SpHjfix.exe öffnen und dann öffnet sich dieses kleine fenster... nach 3 sek. schließt sich das fenster und SpHjfix.exe verschwindet (nur die SpHjfix.log bleibt) ich habe das programm 5 mal neu runtergeladen und es ist 5mal gelöscht worden.... Misteriös sag ich da nur...!

Nun ich krieg das problem einfach nicht weg ICH BIN AM VERZWEIFELN!
bitte helft mir.

DANKE. Andi

Also da gibt es 2 Möglichkeiten:

1. Möglichkeit:
du könntest folgendes probieren evt. findet escan was. ist echt ein Hammer Tool

lade dir Escan runter auf:

http://www.mwti.net/antivirus/free_utilities.asp

Die Datei ist mwav.exe.

Wenn sie runter is erstellst du folgendes Verzeichniss: C:\bases
danach entpackst du mwav.exe in dieses Verzeichniss.

Wenn du das gemacht hast startest du zu erst kavupd.exe damit er die
Updates runterladen kann vom net. wenn die updates runter sind.

Startest du den REchner im abgesicherten Modus (offline) neu und
öffnest die Datei msavscan.com

Stelle dabei sicher, dass folgende Kästchen aktiviert sind:
-Memory
-registry and INI Files
-Startup Folders
-System Folders
-Services
-Drive
-All Local Drives
-Scan all Drives

danach startest du mit dem Button Scan Clean. den rest macht er von alleine.
**********************************************************
2. Möglichkeit

geh auf die folgende Page:
http://www.pestscan.com/ScanOrTrial.asp

clicke auf Continue with the installation

danach kannste ein Onlinescan durchführen. Er gibt dir alle Adware an die auf deiner Kiste ist sogar browser zeug in der Registry der einzige Nachteil du musst das selber im regedit löschen. Mache aber zuerst ein Backup der Registry nicht das du ausversehen den falschen key löscht.

Probier es aus und schreib mir ne Antwort hier drinn.

Hallo Andi-IN-DA-CLUB,

bitte poste ein Logfile entsprechend Anleitung: http://www.trojaner-board.de/51130-a...ijackthis.html

SD

also
1. Wie geh ich in den abgesicherten modus (sorry für die noob frage aber weiß es wirklich nicht )

2. Wenn ich diesen link von möglichkeit 2 öffnen will dann kommt diese suchmaschine !!!

dan diese log:
Logfile of HijackThis v1.97.7
Scan saved at 11:52:42, on 04.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
C:\Programme\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Speed Disk\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\AS\Eigene Dateien\Eigene Programme\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://super-spider.com/sp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://super-spider.com/sp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://super-spider.com/sp.htm?id=9
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.windowws.cc/hp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://super-spider.com/sp.htm?id=9
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\91i5ey9lghzlh.dll
O4 - HKLM\..\Run: [Network Security Guard] C:\WINDOWS\System32\sggmsrfnjdoa62.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup



***********************
Hab noch was gefunden was ungewöhnlich ist...
onzwar wenn ich den Taskmaneger öffne dann sind da prozesse die ich gar nicht kenne. Gestern war sogar ein prozess da der hat sich nach 5 sek. entfernt und kamm nach 2 sek. wieder... also ganz komisch!....

DAnke für eure hilfe...

Hallo,

deine HJT Version ist veraltert. Lade bitte die neue Version hier und erstelle nochmal ein neues Log-File.

Also 1. Die erste log file von mir ist fehlerhaft.... ich wusste nicht das hjthis die prozesse anzeigt.... hab davor dann schon einige prozesse gelöscht... SORRY!


Hier meine Log file mit der neuen VERSION:
Logfile of HijackThis v1.98.2
Scan saved at 12:00:35, on 04.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\sggmsrfnjdoa62.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
C:\Programme\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Speed Disk\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\AS\Eigene Dateien\Eigene Programme\yu gi oh\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://super-spider.com/sp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://super-spider.com/sp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://super-spider.com/sp.htm?id=9
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.windowws.cc/hp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://super-spider.com/sp.htm?id=9
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\91i5ey9lghzlh.dll
O4 - HKLM\..\Run: [Network Security Guard] C:\WINDOWS\System32\sggmsrfnjdoa62.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O20 - AppInit_DLLs: 6e2m5o6drj7i4.tlb

Das eScan AV Toolkit (mwav.exe) herunterladen, die Datei in den Ordner "c:\Bases" (wichtig !) entpacken und danach die "kavupd.exe" (Update) ausführen.
http://www.mwti.net/antivirus/free_utilities.asp

Beende diesen Prozess:
C:\WINDOWS\System32\sggmsrfnjdoa62.exe

Fixe diese Einträge:
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://super-spider.com/sp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://super-spider.com/sp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://super-spider.com/sp.htm?id=9
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.windowws.cc/hp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://super-spider.com/sp.htm?id=9
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\91i5ey9lghzlh.dll
O4 - HKLM\..\Run: [Network Security Guard] C:\WINDOWS\System32\sggmsrfnjdoa62.exe
O20 - AppInit_DLLs: 6e2m5o6drj7i4.tlb

Wechsle in den abgesicherten Modus http://www.bsi.de/av/texte/winsave.htm und lösche diese Dateien:
C:\WINDOWS\System32\sggmsrfnjdoa62.exe
C:\WINDOWS\System32\91i5ey9lghzlh.dll

- mit eScan scannen (den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan clean" klicken.)
- Neustart
- dein System updaten http://v5.windowsupdate.microsoft.co...r/default.aspx
- neues Log-File von HijackThis und die Virus Log Information von eScan posten


Weitere Vorgehensweise um einen Wiederbefall vorzubeugen:
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/

Also es geht nit...
onzwar downloade ich escan (mwav.zip) un will es dann mit WinRAR entpacken aber dann tuht sich NICHTS!
wenn ich dann doppelklick mache dann öffnet sich ein kleines fenster in dem steht das er das irgentwie da hinzipt: C:/Dokument und Einstellungen/.../Temp (ich kann garnichts machen weil der zu schnell zipt) Und nach dem öffnet mir der escan... das schlimme daran: mwav.zip ist von meinem PC verschwunden (wahrscheinlich gelöscht) habs 5mal versuch 5mal verschwunden....

andi.

Zitat:

onzwar downloade ich escan (mwav.zip) un will es dann mit WinRAR entpacken aber dann tuht sich NICHTS!

Du sollst auch nicht doppelklicken!
Rechtklick auf das Archiv -> Dateien entpacken -> Unter Zielverzeichnis folgendes eingeben: C:\bases -> OK

btw: Wo ist dein Download Ordner? Sieh da nochmal nach.

Ja es passiert ja nichts wenn ich rechtsklick auf die datei und dann irgentwie exact to... klicke... aber ich glaub ich weiß was passiert ist...

onzwar bin ich mal im WinRAR verzeichnis gegangen um WinRAR so zu starten.... es besteht winrar.exe doch:
1. ohne Icon (diese bücher)
2. wenn ich öffne dann öffnet sich so ein DOS fenster ... gibt einige sachen da ein und schließt sich wieder...
das heißt winRAR kann sich garnicht öffnen....

oh mann es wird immer schlimmer... was tun?!

Aktualisiere mal AntiVir und mach danach einen Fullscan im abgesicherten Modus.

ich hab jez escan einfach mal drüberlaufen lassen hat sehr viel gefunden... aber hat nicht alles gelöscht...

ich versuch jetzt mal mit antivir im abgesicherten modus!

Was mich verwirrt ist:
Ich war 10 minuten nicht am pc und hab den pc aber angelassen... ich guck dann mal im Taskmanager auf einmal sehe ich diesen Prozess sggmsrfnjdoa62.exe 15x eingetragen... und einige andere auch noch.... also es wird immer schlimmer hier....

Ich meld mich dann wenn ich antivir im abgesicherten modus gelaufen habt (falls ihr nochmehr ideen habt die ich ausprobieren kann schreibt es hier rein ich will alles versuchen!)

DANKE!

Poste mal den Inhalt der mwXface.log.

ich konnte des nicht speichern... müsste escann dann nochmal drüberlaufen (zu info ich hab escan nicht auf dem pc gespeichert... ich lad mir die zip runter mach doppelklick drauf und dann öffnet sich escan.. speichern kann ich das programm nicht...

es geht immer noch nicht...was soll ich den jetzt machen