Hallo,
habe neuerdings "search for" als Startseite festgelegt...hab schon einiges versucht, unteranderem mit Antivir oder auch Adaware...wird zwar immer was festgestellt, aber ändern tut sich nichts...sch....

Leider klappts auch nicht (oder noch nicht) mit dem Windowsupdate, werd immer wieder zu dieser Sch....seite "search for" weitergeleitet...

wer kann mir weiterhelfen ??? Vielen Dank im vorraus....


hier ist das Logfile von Hijackthis...


Logfile of HijackThis v1.98.2
Scan saved at 17:25:16, on 09.11.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\atievxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Ad Muncher\AdMunch.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Program Files\NETGEAR\MA521 Configuration Utility\wlancfg5.exe
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\PROGRA~1\AIM95\aim.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Andy\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis_1.98.2.zip\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: IE Search Toolbar Helper - {2C5175A2-ADF3-4F57-AB70-BA90FD60A383} - C:\Programme\IESearchToolbar\IESearchToolbar.dll
O2 - BHO: (no name) - {CF5B25D6-3160-4EA9-B565-B2DB1B16A1D0} - C:\WINDOWS\System32\cimg.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O3 - Toolbar: IE Search Toolbar - {EB381422-F797-4A98-A266-9DC490821907} - C:\Programme\IESearchToolbar\IESearchToolbar.dll
O4 - HKLM\..\Run: [Ad Muncher] C:\Programme\Ad Muncher\AdMunch.exe /bt
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: MA521 Configuration Utility.lnk = ?
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\PROGRA~1\AIM95\aim.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O18 - Filter: text/html - {1FF60851-AB0E-41FB-96D8-00467A79D4AB} - C:\WINDOWS\System32\cimg.dll
O18 - Filter: text/plain - {1FF60851-AB0E-41FB-96D8-00467A79D4AB} - C:\WINDOWS\System32\cimg.dll

Hallo,

ich hoffe, dass du nach dieser Bereinigung schnellstmöglich Windows Update besuchst und dein System ausreichend patcht, denn sonst war alles für die Katz!

Lade eScan AntiVirus

Wechsle in den abgesicherten Modus http://www.bsi.bund.de/av/texte/wiederher_xp.htm und fixe diese Einträge (Haken setzen und auf Fix Checked klicken):
O2 - BHO: (no name) - {CF5B25D6-3160-4EA9-B565-B2DB1B16A1D0} - C:\WINDOWS\System32\cimg.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O18 - Filter: text/html - {1FF60851-AB0E-41FB-96D8-00467A79D4AB} - C:\WINDOWS\System32\cimg.dll
O18 - Filter: text/plain - {1FF60851-AB0E-41FB-96D8-00467A79D4AB} - C:\WINDOWS\System32\cimg.dll

Lösche diese Dateien:
C:\WINDOWS\System32\cimg.dll

- mit eScan scannen (den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan clean" klicken.) und die Malware manuell entfernen http://www.trojaner-board.de/42731-escan-anleitung.html
- interne Verbindungsfirewall aktivieren http://www.computerhilfe-euskirchen....xp/tipp16.html
- Neustart
- dein System updaten http://v5.windowsupdate.microsoft.co...r/default.aspx
- neues Log-File von HijackThis und die Virus Log Information von eScan posten

Hallo Cidre,

vielen Dank für die Beschreibung, leider klappts nicht ganz so...ich komm mit dem escan nicht weiter...hab ich geladen, aber wenn ich ihn laufen lassen will dann bekomm ich immer ( nach dem entzippen )einen "Internal Error" Please send logfile to....."

Zitat:

When installing e-Scan I get an error message: "Internal Error!!! Please send log file to support@mwti.net"
You can disregard this error message and proceed with the rest of the installation as normal. It occurs because for some reason eScan is not able to connect to the server to check for updates.

This is usually resolved once eScan is installed. If you can't access the Internet after installing eScan please refer to the relevant topic in this help sheet, "After installing e-scan, I can no longer connect to the Internet".

As long as you can connect to the Internet, eScan will automatically check for updates after the installation.

Quelle: http://ww2.focusmm.co.uk/supportresu...ss_code=ESS486

Hi Cidre,
jetzt muss ich dir doch erst mal ein Prost zurufen... super !!! es klappt wieder, endlich hab ich die "Search for" weg, ich hoffe nur für immer...leider konnte ich den escan noch immer nicht starten und alles in englisch hab ich auch nicht verstanden...aber ich hab jetzt das Windows Update und mit dem HijackThis die "bösen" eliminiert...oder auch "terminiert"...

anbei noch einmal das aktuelle hijackthis, ich hoffe es ist soweit o.k.

vielleicht kannst du mir auch noch mal sagen was für einen Virenschutz ich am besten nehmen kann...hatte bislang immer den Antivirus drauf, aber der lief auch im Hintergrund als ich mir diesen Trojaner holte...daher !?

Also nochmal vielen Dank für deine Hilfe !!!!


Logfile of HijackThis v1.98.2
Scan saved at 21:52:24, on 09.11.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\atievxx.exe
C:\Programme\Ad Muncher\AdMunch.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Program Files\NETGEAR\MA521 Configuration Utility\wlancfg5.exe
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\hijackthis_1.98.2\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O4 - HKLM\..\Run: [Ad Muncher] C:\Programme\Ad Muncher\AdMunch.exe /bt
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: MA521 Configuration Utility.lnk = ?
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\PROGRA~1\AIM95\aim.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe

@Antiwurm
möchtest du nicht lieber doch updaten?
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

chaosman

Hallo chaosman,

ich denke mal das ist das update das ich habe...ich war bei windowsupdate.com und hab mir das aktuelle Update runtergeladen, Version weiss ich zwar nicht, aber das müsste das aktuelle sein, da ich ja grad drauf war....

Du hast dir lediglich das Windows Update V5 installiert!
Klicke nochmals die Seite an und lade bzw. installiere das SP2.

Zitat:

was für einen Virenschutz ich am besten nehmen kann.

Lese dich hier durch und handle danach, dann bist du weitgehendst geschützt.
http://www.mathematik.uni-marburg.de...ompromise.html