![]() |
Home search assistenrt Problem Hallo! Ich habe das problem das sich bei mir vor einiger zeit home search assistent sowie die programme shopping wizard und search extender installiert hat. versuche die programme zu deinstallieren klappten nicht. mittlerweile erscheint beim öffnen des internet explorers immer die quick web search seite und ich kann nicht mehr meinen explorer sowie arbeitsplatz öffnen. wäre sehr nett wenn ihr meinen logfile mal checken könntet. danke schon mal im vorraus. Logfile of HijackThis v1.99.0 Scan saved at 12:37:45, on 09.03.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\D-Tools\daemon.exe C:\Programme\QuickTime\qttask.exe C:\WINDOWS\system32\P2P Networking\P2P Networking.exe C:\Programme\Common files\SearchUpgrader\SearchUpgrader.exe C:\program files\altnet\points manager\points manager.exe C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis1.exe C:\WINDOWS\system32\appsm32.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Date Manager\DateManager.exe C:\Programme\Gemeinsame Dateien\GMT\GMT.exe C:\PROGRA~2\Altnet\DOWNLO~1\asm.exe C:\WINDOWS\system32\apifj32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\FRITZ!DSL\FritzDSL.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\Timo\LOKALE~1\Temp\Rar$EX00.404\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ewdyn.dll/sp.html#68250 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ewdyn.dll/sp.html#68250 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\ewdyn.dll/sp.html#68250 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ewdyn.dll/sp.html#68250 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ewdyn.dll/sp.html#68250 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ewdyn.dll/sp.html#68250 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://register.ubi.com/pandora R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {5F56761A-21EA-97B6-474D-E9630FC57B28} - C:\WINDOWS\system32\addjv32.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\system32\P2P Networking\P2P Networking.exe /AUTOSTART O4 - HKLM\..\Run: [SearchUpgrader] C:\Programme\Common files\SearchUpgrader\SearchUpgrader.exe O4 - HKLM\..\Run: [AltnetPointsManager] c:\program files\altnet\points manager\points manager.exe -s O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe" O4 - HKLM\..\Run: [pdfFactory Pro Dispatcher v1] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis1.exe O4 - HKLM\..\Run: [tibs3] C:\WINDOWS\system32\tibs3.exe O4 - HKLM\..\Run: [appsm32.exe] C:\WINDOWS\system32\appsm32.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Date Manager.lnk = C:\Programme\Date Manager\DateManager.exe O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O15 - Trusted Zone: *.frame.crazywinnings.com O15 - Trusted Zone: *.static.topconverting.com O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM) O15 - Trusted Zone: *.static.topconverting.com (HKLM) O15 - Trusted IP range: 206.161.125.149 O15 - Trusted IP range: 206.161.125.149 (HKLM) O17 - HKLM\System\CCS\Services\Tcpip\..\{2797F0D9-502E-4043-8ABB-FF918BDAB177}: NameServer = 192.168.122.252,192.168.122.253 O17 - HKLM\System\CS1\Services\Tcpip\..\{2797F0D9-502E-4043-8ABB-FF918BDAB177}: NameServer = 192.168.122.252,192.168.122.253 O21 - SSODL: hvryiSh - {8C459990-26EF-333A-A6AB-18208FB8CF9A} - C:\WINDOWS\system32\btpacn.dll O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: Macromedia Licensing Service - Unknown - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: Workstation NetLogon Service - Unknown - C:\WINDOWS\system32\apifj32.exe |
@jacky2 diese datei auf diskette sichern, als beweismittel gegen hohe telefonrechnungen C:\WINDOWS\system32\tibs3.exe die O15 einträge bekommst du hiermit weg http://www.trojaner-board.de/showpos...6&postcount=31 führe das posting vom Lutz durch wechsle danach in den abgesicherten modus und fixe mit HJT R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ewdyn.dll/sp.html#68250 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ewdyn.dll/sp.html#68250 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\ewdyn.dll/sp.html#68250 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ewdyn.dll/sp.html#68250 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ewdyn.dll/sp.html#68250 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ewdyn.dll/sp.html#68250 R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {5F56761A-21EA-97B6-474D-E9630FC57B28} - C:\WINDOWS\system32\addjv32.dll O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\system32\P2P Networking\P2P Networking.exe /AUTOSTART O4 - HKLM\..\Run: [SearchUpgrader] C:\Programme\Common files\SearchUpgrader\SearchUpgrader.exe O4 - HKLM\..\Run: [AltnetPointsManager] c:\program files\altnet\points manager\points manager.exe -s O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe" O4 - HKLM\..\Run: [tibs3] C:\WINDOWS\system32\tibs3.exe O4 - HKLM\..\Run: [appsm32.exe] C:\WINDOWS\system32\appsm32.exe O4 - Global Startup: Date Manager.lnk = C:\Programme\Date Manager\DateManager.exe O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe O15 - Trusted Zone: *.frame.crazywinnings.com O15 - Trusted Zone: *.static.topconverting.com O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM) O15 - Trusted Zone: *.static.topconverting.com (HKLM) O15 - Trusted IP range: 206.161.125.149 O15 - Trusted IP range: 206.161.125.149 (HKLM) O23 - Service: Workstation NetLogon Service - Unknown - C:\WINDOWS\system32\apifj32.exe lösche danach manuell C:\WINDOWS\system32\P2P Networking\P2P Networking.exe C:\Programme\Common files\SearchUpgrader\SearchUpgrader.exe C:\program files\altnet\points manager\points manager.exe C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe C:\WINDOWS\system32\appsm32.exe :\Programme\Date Manager\DateManager.exe C:\Programme\Gemeinsame Dateien\GMT\GMT.exe C:\WINDOWS\system32\apifj32.exe C:\WINDOWS\system32\tibs3.exe C:\PROGRA~2\Altnet\DOWNLO~1\asm.exe neu booten, neues HJT logfile posten eventuell mal dein surfverhalten überdenken ;) chaosman |
Hallo chaosman!!! erstmal vielen vielen lieben dank für deine scnellen tipps!!!!!!!!!!! hab alles so durchgeführt,nur die datei C:\WINDOWS\system32\tibs3.exe hab ich nicht gefunden.konnte sie somit nicht speichern und löschen. ansonsten scheint aber wieder alees ok zu sein.kann arbeitsplatz und explorer wider öffnen und die search startseite ist auch weg. :daumenhoc :daumenhoc in der systemsteuerung sind die programme noch aufgelistet,allerdings ohne dateigrösse. hier das neue logfile: Logfile of HijackThis v1.99.0 Scan saved at 15:05:00, on 10.03.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\D-Tools\daemon.exe C:\Programme\QuickTime\qttask.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis1.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\FRITZ!DSL\FritzDSL.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\Timo\LOKALE~1\Temp\Rar$EX00.995\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://register.ubi.com/pandora O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [pdfFactory Pro Dispatcher v1] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis1.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O17 - HKLM\System\CCS\Services\Tcpip\..\{2797F0D9-502E-4043-8ABB-FF918BDAB177}: NameServer = 192.168.122.252,192.168.122.253 O17 - HKLM\System\CS1\Services\Tcpip\..\{2797F0D9-502E-4043-8ABB-FF918BDAB177}: NameServer = 192.168.122.252,192.168.122.253 O21 - SSODL: hvryiSh - {8C459990-26EF-333A-A6AB-18208FB8CF9A} - C:\WINDOWS\system32\btpacn.dll O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: Macromedia Licensing Service - Unknown - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe danke nochmal |
Hi, ich hab deine log gecheckt, alles ok, aber er sagt das: O21 - SSODL: hvryiSh - {8C459990-26EF-333A-A6AB-18208FB8CF9A} - C:\WINDOWS\system32\btpacn.dll onnötig ist bzw. er kennt die datei net... kann es sein das du weder einen bekannten oder gar keinen antivirenschutz hast und keine firewall? noch was, du hast die alte version von hijack ;) |
hi! danke fürs checken! soll ich denn hierfür jetz noch irgendwas machen?: O21 - SSODL: hvryiSh - {8C459990-26EF-333A-A6AB-18208FB8CF9A} - C:\WINDOWS\system32\btpacn.dll mit dem anti viren schutz kann gut sein. wollte deshalb hier auch nochmal nachfragen welchen ich da am besten nehmen soll und wo ich den finde. |
Hallo jacky2, lass diese Datei: C:\WINDOWS\system32\btpacn.dll hier online scannen: http://virusscan.jotti.org Bitte teile das Ergebnis mit, sind etwa 15 Zeilen. dartus |
Hallo dartus! wollte den virenscan durchführen. aber sobald ich auf submit klicke zeigt der internet explorer mir:"seite kann nicht angezeigt werden" und wenn ich dasselbe mit firefox mache passiert gar nichts. |
@jacky2 Im Windows-Explorer: Im Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren + Im Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren Zitat Haui45 schicke beide dateien an malwareupload.com poste das ergebnis chaosman |
Hallo chaosman! habe die schritte im windows explorer durchgeführt. danach wollte ich die datei: C:\WINDOWS\system32\btpacn.dll bei malwareupload hochladen. ist aber wieder dasselbe problem wie bei virusscan. Internet explorer zeigt wieder "seite kann nicht angezeigt werden" sobald ich auf hochladen klicke.irgendwie können die die datei nich scannen. :( danke für eure hilfe jacky |
keine weitere idee? hab nämlich keine ahnung ob die datei mir noch weiteren schaden zufügen könnte?? |
Hallo jacky2, pack die Datei, verseh das ganze mit einem Passwort und schick es dann mit Angabe des Passwortes und verweis auf diesem Thread an: partytime-germany.ice@web.de <--Email-Adresse (Mitbetreiber von malwareupload) dartus |
Alle Zeitangaben in WEZ +1. Es ist jetzt 09:27 Uhr. |
Copyright ©2000-2025, Trojaner-Board