Hallo Leute, ich war vor einiger Zeit schon einmal wegen meinem Problem hier und habe bei meinen Versuchen den Browser Hijacker zu eliminieren wohl in der Registry etwas zu viel gelöscht.
Nun habe ich ein Windows Servicepack eingespielt, der Browser läuft wieder, aber 'search the Web' ist immer noch da. Auch bei Software hat sich einiges festgesetzt (z.b. Home search extender), was sich nicht wie normale Software löschen lässt.

Damals haben die gängigen Programme, die hier so empfohlen werden (hijack this, cwsshredder, hijack this, Sphfix , ad aware...) nichts geholfen.
Gibt es zwischenzeitlich neue erkenntnisse oder Updates, die helfen??

Hier meine aktuelle Logfile, bin dankbar für jede Hilfe!!
Logfile of HijackThis v1.98.2
Scan saved at 11:48:58, on 26.09.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKService.exe
C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKWCtl.exe
C:\WINDOWS\System32\gearsec.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Program Files\Winad Client\Winad.exe
C:\WINDOWS\system32\atlvv.exe
C:\Program Files\Winad Client\WinClt.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\wiaservc.log:ulaor
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\system32\drwtsn32.exe
C:\WINDOWS\explorer.exe
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\Programme\emule\emule.exe
C:\Programme\Web_Rebates\WebRebates1.exe
C:\Programme\Web_Rebates\WebRebates0.exe
C:\DOKUME~1\volker\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\jcrdb.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\jcrdb.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\jcrdb.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\jcrdb.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\jcrdb.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\jcrdb.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\jcrdb.dll/sp.html#29126
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {8610500C-F1E8-A81C-08D5-F0E37964B059} - C:\WINDOWS\sdkih.dll
O4 - HKLM\..\Run: [Winad Client] C:\Program Files\Winad Client\Winad.exe
O4 - HKLM\..\Run: [atlvv.exe] C:\WINDOWS\system32\atlvv.exe
O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe"
O4 - HKLM\..\RunOnce: [ulaor] C:\WINDOWS\wiaservc.log:ulaor
O4 - HKLM\..\RunOnce: [djtopr1150.exe] "C:\DOKUME~1\volker\LOKALE~1\Temp\djtopr1150.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{6B5F5E7A-CCFE-4E83-8792-E59D06240203}: NameServer = 192.168.6.5
O17 - HKLM\System\CS1\Services\Tcpip\..\{6B5F5E7A-CCFE-4E83-8792-E59D06240203}: NameServer = 192.168.6.5

@Volkerle

du hast einiges im system

in den abgesicherten modus gehen und fixen
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\jcrdb.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\jcrdb.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\jcrdb.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\jcrdb.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\jcrdb.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\jcrdb.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\jcrdb.dll/sp.html#29126
R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [Winad Client] C:\Program Files\Winad Client\Winad.exe
O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe"
O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

fixen und manuell löschen
C:\Program Files\Winad Client\Winad.exe
C:\Programme\Web_Rebates\WebRebates1.exe
C:\Programme\Web_Rebates\WebRebates0.exe

ich würde den firefox browser benützen, www.firefox-browser.de
anschließen noch escan hier downloaden und genauso wie beschrieben laufen lassen. http://www.trojaner-board.de/42731-escan-anleitung.html
anschließend hier noch ein neues HJT log im board posten
chaosman

Diese solltest du auch noch fixen und danach löschen:
O4 - HKLM\..\Run: [atlvv.exe] C:\WINDOWS\system32\atlvv.exe
O4 - HKLM\..\RunOnce: [ulaor] C:\WINDOWS\wiaservc.log:ulaor
O4 - HKLM\..\RunOnce: [djtopr1150.exe] "C:\DOKUME~1\volker\LOKALE~1\Temp\djtopr1150.exe"

Ok, also an Chaosman und Cidre erst einmal 1000 Dank für die Zeit, die iHr euch genommen habt! Hoffe es klappt.

Eine Frage noch: Nach dem Fixen mit Hijack This die anderen dateien manuell löschen. Das heisst im exploren der Verzeichnispfad folgen und diese rauslöschen? Sorry, bin nicht ganz so der PC_freak, deshalb bin ich ja auch hier.

Zitat:

Zitat von Volkerle

Eine Frage noch: Nach dem Fixen mit Hijack This die anderen dateien manuell löschen. Das heisst im exploren der Verzeichnispfad folgen und diese rauslöschen?

Sehr richtig.

Hi,

ich denke, dass ich alles richtiggemacht habe.
Zuerst im abgesicherten Modus Windows gestartet, dann mit hijackthis1982 gefixed, was Ihr gesschrieben habt.
Nur bei den kommenden 3, die habe ich aus dem Explorer gelöscht, da die ja nicht in der REG zum fixen waren, sondern im verzeichnispfad, den Ihr angegeben habt.
Irgendwie hat es nicht viel gebracht, etliches ist wieder da, was kann man noch tun?
hier die aktuelle logfile:

Logfile of HijackThis v1.98.2
Scan saved at 22:37:13, on 27.09.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKService.exe
C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKWCtl.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\atlvv.exe
C:\WINDOWS\wiaservc.log:ulaor
C:\DOKUME~1\volker\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\iqsij.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\iqsij.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\iqsij.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\iqsij.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\iqsij.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\iqsij.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\iqsij.dll/sp.html#29126
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {73BBFCD2-1DDD-E846-38F4-C12CBBE9C89E} - C:\WINDOWS\sdknd.dll
O4 - HKLM\..\Run: [atlvv.exe] C:\WINDOWS\system32\atlvv.exe
O4 - HKLM\..\RunOnce: [ulaor] C:\WINDOWS\wiaservc.log:ulaor
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{6B5F5E7A-CCFE-4E83-8792-E59D06240203}: NameServer = 192.168.6.5
O17 - HKLM\System\CS1\Services\Tcpip\..\{6B5F5E7A-CCFE-4E83-8792-E59D06240203}: NameServer = 192.168.6.5

Nochmal abgesicherter Modus und fixen:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\iqsij.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\iqsij.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\iqsij.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\iqsij.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\iqsij.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\iqsij.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\iqsij.dll/sp.html#29126
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {73BBFCD2-1DDD-E846-38F4-C12CBBE9C89E} - C:\WINDOWS\sdknd.dll
O4 - HKLM\..\Run: [atlvv.exe] C:\WINDOWS\system32\atlvv.exe
O4 - HKLM\..\RunOnce: [ulaor] C:\WINDOWS\wiaservc.log:ulaor

Diese Dateien löschen:
C:\WINDOWS\system32\iqsij.dll
C:\WINDOWS\sdknd.dll
C:\WINDOWS\system32\atlvv.exe
C:\WINDOWS\wiaservc.log:ulaor

- mit eScan scannen (den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan clean" klicken.)
- neue Startseite vergeben
- Neustart
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org
- neues Log-File von HijackThis und die Virus Log Information von eScan posten

hi,

es sieht besser aus, ich denke die Startseite ist weg.

Beim manuellen löschenhabe ich die Dateien in system32 aber nicht gefunden.

escan habe ich laufen lassen, mwavscan.comsagte mir aber nicht. Ich habe das tool runtergeladen und die mwav.exe gestartet und scan clean laufen lassen. Hoffe das war so OK.

Ich habe das jetzt noch nicht durchgetestet, die Startseite im explorer ist weg, in systemsteuerung/software ist jedoch immer noch der home search extender, der sich nicht löschen lässt. Hoffe das macht nichts....

Habe auch von nem Kumpel nun den Firefox browser bekommen, meine Freundin will aber immer noch den IE benutzen. Nun ja. Wohl nicht so schlimm, da ich ja für das problem verantwortlich war ;-)


Hier nochmal die aktuell logfile: Noch etwa szu beachten/anzuwenden?

Logfile of HijackThis v1.98.2
Scan saved at 23:08:37, on 30.09.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKService.exe
C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKWCtl.exe
C:\WINDOWS\System32\gearsec.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Web_Rebates\WebRebates0.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Web_Rebates\WebRebates1.exe
C:\DOKUME~1\volker\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe"
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [MSConfig] C:\Dokumente und Einstellungen\volker\Desktop\###clean&Safe\msconfig.exe /auto
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{6B5F5E7A-CCFE-4E83-8792-E59D06240203}: NameServer = 192.168.6.5
O17 - HKLM\System\CS1\Services\Tcpip\..\{6B5F5E7A-CCFE-4E83-8792-E59D06240203}: NameServer = 192.168.6.5

Vielen Dank an dieser Stelle erstmal an alle, die mir mit rat und Tat geholfen haben!!!!!

Schon wieder da:

C:\Programme\Web_Rebates\WebRebates0.exe
C:\Programme\Web_Rebates\WebRebates1.exe

Deinstallieren bzw. löschen!


Fixen:

O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe"
O8 - Extra context menu item: Web Rebates -
file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

So, ich hoffe, mein System ist bald clean. In der Software ist immer noch dieser home search extender, aber wenn der nix anrichtet, solls mir recht sein.
Eine Frage noch: Ist dieses escann nur für solche Hijacker Probleme oder auch ein allgemein guter Virenscannertool?

hier noch mal die log:
Logfile of HijackThis v1.98.2
Scan saved at 20:35:07, on 01.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKService.exe
C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKWCtl.exe
C:\WINDOWS\System32\gearsec.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\iPod\bin\iPodService.exe
C:\DOKUME~1\volker\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis1982.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [MSConfig] C:\Dokumente und Einstellungen\volker\Desktop\###clean&Safe\msconfig.exe /auto
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{6B5F5E7A-CCFE-4E83-8792-E59D06240203}: NameServer = 192.168.6.5
O17 - HKLM\System\CS1\Services\Tcpip\..\{6B5F5E7A-CCFE-4E83-8792-E59D06240203}: NameServer = 192.168.6.5

@volkerle
dein system sieht sauber aus,
ich würde dir nur den firefox als browser empfehlen.
www.firefox-browser.de
chaosman

eScan ist ein sogenannter on demand Scanner, d.h. er scannt bei Interaktion des Users die Dateien der Festplatte oder anderer Speichermedien. Die Virenwächter Funktion fehlt hier natürlich.
eScan ist ein hervorragender AV Scanner, beinhaltet die Kaspersky Engine und wird auch mit den aktuellen Signaturen von Kaspersky versorgt.

Seit wann ist denn hier Werbung erlaubt?