Hallo

Auch ich bin dem "Startseiten Problem" leider auf die Schliche gekommen. Schon einige Tage beschäftigt mich das Problem. Ich habe schon mehrere Beiträge und Lösungsvorschläge dazu gelesen und verschiedenes probiert. (Antivirus Norton 2004 updated, Systemscan/CWShreeder/Spbot-Destroy&Search) Auch habe ich bereits den Hijack This heruntergeladen und laufen lassen, habe aber betreffend log. keine Ahnung und nur das gelöscht, was mir wirklich "coolwebsearch"-mässiv vorkam.(aus regedit habe ich die Einträge von Coolwebsearch auch gelöscht)
Gestern glaubte ich das Problem gelöst zu haben, die Startseite wurde nicht mehr geändert (auch nach mehrerern Neustarts. Ich habe jetzt wirklich keine Ahnung was ich noch machen soll...

Ich hoffe jemand von euch kann mir helfen, dieses Problem ein für alle Male zu lösen. Im voraus vielen Dank!

Gruss,
Jens

PS. Den Artikel "Browser-Hijacking - Entführung auf unerwünschte Suchmaschinen" und diverse andere Beiträge habe ich bereits gelesen. Ohne weitere Erkenntnisse.

Hallo und Willkomen an Board
</font><blockquote>Zitat:</font><hr />
Ich habe jetzt wirklich keine Ahnung was ich noch machen soll...
Ich hoffe jemand von euch kann mir helfen, dieses Problem ein für alle Male zu lösen. Im voraus vielen Dank!
</font>[/QUOTE]...Browser-Wechsel löst das Problem radikal und für immer ;) : Firefox, Mozilla, Opera..... haben Hijacker-Problem (noch) nicht.
Interesses halber: http://www.trojaner-board.de/forum/u...6;t=005159;p=1

Hallo Jens und Willkommen im Board,
</font><blockquote>Zitat:</font><hr />...Gestern glaubte ich das Problem gelöst zu haben, die Startseite wurde nicht mehr geändert (auch nach mehrerern Neustarts. Ich habe jetzt wirklich keine Ahnung was ich noch machen soll...</font>[/QUOTE]Und heute hast Du doch wieder ein Problem, oder wie soll ich diesen Satz zu Ende deuten?? ;)

Am besten ist es, wenn Du uns mal dein Log von HiJackThis postest...

Gruß,
Lutz

Sorry! Genau, heute ist das Problem wieder augetaucht und bei jedem Internet Explorer erscheint about:blank.

Logfile of HijackThis v1.97.7
Scan saved at 12:47:04, on 21.04.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\gearsec.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton Personal Firewall\NISUM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Norton Personal Firewall\SymProxySvc.exe
C:\Programme\Norton Personal Firewall\NISSERV.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Norton Personal Firewall\IAMAPP.EXE
C:\Programme\FreePDF\FreePDFA.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\Hardcopy\hardcopy.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\Dokumente und Einstellungen\Jens Küng\Desktop\Security\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\eglmca.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\eglmca.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\eglmca.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\eglmca.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\eglmca.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\eglmca.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {CA982910-08DD-4675-873F-05EAAA1EEA58} - C:\WINDOWS\System32\eglmca.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] c:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton Personal Firewall\IAMAPP.EXE
O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Works Update Detection] c:\Programme\Microsoft Works\WkDetect.exe
O4 - Startup: HotSync Manager.lnk = C:\Programme\Sony Handheld\HOTSYNC.EXE
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Hardcopy.LNK = C:\Programme\Hardcopy\hardcopy.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: ConferenceRoom Java Client - http://irc1.bluewin.ch/java/cr.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {093F9CF8-0DE1-491C-95D5-5EC257BD4CA3} - http://akamai.downloadv3.com/binarie...tc32_EN_XP.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} (Fun Web Products Installer Start) - http://imgfarm.com/images/nocache/fu...tup1.0.0.5.cab
O16 - DPF: {1E50B82A-0D78-48B9-97EC-391B2F81CE8A} (IELoaderCtl Class) - http://acxd.freeload.cc/ieloader.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {486E48B5-ABF2-42BB-A327-2679DF3FB822} - http://akamai.downloadv3.com/binaries/IA/ia_XP.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...tatsClient.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://cam02.neuemedienag.ch/activex/AxisCamControl.ocx
O16 - DPF: {CEFB7B49-9652-464F-8AFD-A577C0500F39} (EGP2ECOM Class) - http://akamai.downloadv3.com/binarie...34_pack_XP.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab

Hallo,

im Moment muss Du folgendes fixen:

</font><blockquote>Zitat:</font><hr /> R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\eglmca.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\eglmca.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\eglmca.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\eglmca.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\eglmca.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\eglmca.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
...
O2 - BHO: (no name) - {CA982910-08DD-4675-873F-05EAAA1EEA58} - C:\WINDOWS\System32\eglmca.dll </font>[/QUOTE]Folgendes erscheint mir zumindest verdächtig:
</font><blockquote>Zitat:</font><hr />O16 - DPF: {093F9CF8-0DE1-491C-95D5-5EC257BD4CA3} - http://akamai.downloadv3.com/binarie...tc32_EN_XP.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} (Fun Web Products Installer Start) - http://imgfarm.com/images/nocache/fu...tup1.0.0.5.cab
O16 - DPF: {1E50B82A-0D78-48B9-97EC-391B2F81CE8A} (IELoaderCtl Class) - http://acxd.freeload.cc/ieloader.cab </font>[/QUOTE]Näheres kann ich Dir hierzu aber erst sagen, wenn ich wieder zu Hause an meinem Rechner bin...


Da dieser 'Mist' aber immer wieder kommt, schlage ich vor, dass Du das fixt, während dein Rechner im abgesicherten Modus gebootet ist. Auch ein Scan mit dem CWShredder im abgesicherten Modus hilft lt. mehrerer Anwenderaussagen.

Du solltest auch mal dein Windows updaten:
</font><blockquote>Zitat:</font><hr /> Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
</font>[/QUOTE]Das ist nicht besonders aktuell...

Da es sich aber hier um eine ungepachte Lücke des IE handelt, ist es statistisch gesehen eigentlich nur eine Frage der Zeit, bis Du Dir wieder soetwas einfängst. Daher lege ich Dir einen Browserwechsel nahe...

Gruß,
Lutz

Vielen Dank. Ich werde die betreffenden Einträge einmal fixen und auch CWShreeder im abges. Modus laufen lassen. Windows werde ich updaten und den Browers wechseln? Was empfiehlst du? Mozilla?

Ich schaue einmal ob das funkt.

Danke vielmals inzwischen!

</font><blockquote>Zitat:</font><hr />Was empfiehlst du? Mozilla?</font>[/QUOTE]Da ich persönlich Opera bisher immer stiefmütterlich vernachlässigt habe, kann ich Dir hierzu eigentlich nicht viel sagen, außer eben, dass auch er sicherer ist als der IE.

Und ob nun Mozilla oder Firefox ist für mich persönlich hauptsächlich eine Frage dessen, was Du damit machen willst. Wenn Du einen reinen Browser willst, nimm den Firefox, wenn Du ein Komplettpaket mit Mailprogramm, Newsreader, HTML-Editor,... willst, würde ich die Mozilla-Suite vorziehen.

Lutz

[ 21. April 2004, 15:05: Beitrag editiert von: Lutz (DerBilk) ]

Guten Morgen

Hier bin ich wieder. Gestern war alles i.O. Startseite hat sich nicht mehr geändert. Heute Morgen beim 1. Start vom IE kam auch noch die richtige Seite, doch als ich ein 2. Fenster öffnete wieder about:blank. Dieser Eintrag ist auch wieder bei den Internetoptionen als Startseiten eintrag gespeichert.

PLEASE HELP! I bin nahe daran zu verzweifeln...

Hallo Jens,

es gibt im Internet mindestens zwei Theorien hierzu:

1.) Die verantwortlichen Dateien werden durch den CWShredder nur scheinbar gelöscht und 'schlummern' weiter.

2.) Die Sicherheitslücke in Internet-Explorer ist noch nicht geschlossen und man infiziert sich deswegen immer wieder neu, wenn man auf entsprechend präparierte Seiten gelangt.

Ich persönliche tendiere mehr zu Variante 2. Ich halte es für relativ unwahrscheinlich, dass der HiJacker auf den betroffenen Systemen schlummert und entweder nach Zeitablauf oder nach x Neustarts sich plötzlich wieder aktiviert. Sicher nicht unmöglich, aber imho doch eher unwahrscheinlich.

Wenn man jetzt -wie ich- unterstellt, dass die 2. Variante zutrifft, hat man imho nur die Möglichkeit auf einen anderen Browser umzusteigen.
Zumindest solange, bis diese Lücke des IE geschlossen wurde. Wobei dann aber noch 'genügend' andere Lücken bleiben...

Gruß,
Lutz

</font><blockquote>Zitat:</font><hr />Original erstellt von Lutz (DerBilk):
hat man imho nur die Möglichkeit auf einen anderen Browser umzusteigen. </font>[/QUOTE]Vielen Dank. Ich habe inzwischen auf Mozilla Firefox gewechselt.

Einen schönen Abend!

Hallo zusammen

Wie hatte/habe ich da dieses Problem mit der about:blank Seite. Inzwischen habe ich ja auf Mozilla Firefox umgestellt. (benütze nur noch diesen und bin bislang auch nur auf etwa 3 sehr seriösen Seiten gewesen) trotzdem erscheint mir beim CWS Shredder bei Searchx REMOVED und dann noch bei den Interneteinträgen 6 Eitnräge gelöscht. Auch findet HijackThis jeden Tag aufs neue den about:blank Eintrag. (Aber nur diesen einen!)

Das alles ist ja noch halb so schlimm, aber was viel schlimmer ist, ist das mein PC sehr schlecht läuft, teilweise läuft er unendlich langsam! vorher war er immer sehr schnell. Hat das etwas damit zu tun? Was kann ich machen?

Vielen Dank für eure Hilfe.

Hallo Jens,

läuft der Rechner insgesamt langsamer, oder nur wenn Du im Internet bist? So spantan habe ich leider keine Idee, woran das jetzt liegen mag. :(
Poste doch bitte mal ein aktuelles Log von HiJackThis.

Gruß,
Lutz

Sorry für die Verspätung (... so langsam läuft der Rechner nun auch nicht wieder ;) Übrigens danke, dass du mir immer wieder hilfst!

Das Internet läuft momentan normal aber die Programme starten so langsam und werden sehr lansam ausgeführt (oft kommt "keine Rückmeldung") Bis der Rechner nur einmal aufgeschalet ist dauert es eine Ewigkeit...

Ich habe gestern Adware updated und einen Scan gemacht, da hat er 23 neue Objekte gefunden, ich habe diese gelöscht und dachte jetzt ist definitiv gegessen, denkste, --&gt; siehe HijackThis log.

An was kann das nur liegen? Was ich auch nicht loswerde ist diese Reg.-Datei CoolWebSearch Datei (Es muss irgendwie mit dieser zusammenhängen, normalerweise erscheint nur eine, doch heute sieht es horrormässig aus --&gt; siehe Adware log.), jedesmal lösche ich sie in Adware und nach jedem Scan nach dem Start erscheint sie wieder.

Danke im Voraus für deine Mühen.

Logfile of HijackThis v1.97.7
Scan saved at 09:47:07, on 25.04.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\System32\gearsec.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton Personal Firewall\NISUM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Norton Personal Firewall\SymProxySvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton Personal Firewall\NISSERV.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Norton Personal Firewall\IAMAPP.EXE
C:\Programme\FreePDF\FreePDFA.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\Hardcopy\hardcopy.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
c:\Programme\Microsoft Works\MSWorks.exe
C:\Dokumente und Einstellungen\Jens Küng\Desktop\Security\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\djn.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\djn.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\djn.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\djn.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\djn.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\djn.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {FB33F016-9B15-49B5-BC17-BBB31BF36936} - C:\WINDOWS\System32\djn.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] c:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton Personal Firewall\IAMAPP.EXE
O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Works Update Detection] c:\Programme\Microsoft Works\WkDetect.exe
O4 - Startup: HotSync Manager.lnk = C:\Programme\Sony Handheld\HOTSYNC.EXE
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Hardcopy.LNK = C:\Programme\Hardcopy\hardcopy.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: ConferenceRoom Java Client - http://irc1.bluewin.ch/java/cr.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...tatsClient.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://cam02.neuemedienag.ch/activex/AxisCamControl.ocx
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...098.2549421296
O16 - DPF: {CEFB7B49-9652-464F-8AFD-A577C0500F39} (EGP2ECOM Class) - http://akamai.downloadv3.com/binarie...34_pack_XP.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab


Lavasoft Ad-aware Personal Build 6.181
Logfile created on :Sonntag, 25. April 2004 09:53:26
Created with Ad-aware Personal, free for private use.
Using reference-file :01R299 22.04.2004
______________________________________________________

Ad-aware Settings
=========================
Set : Activate in-depth scan (Recommended)
Set : Safe mode (always request confirmation)
Set : Scan active processes
Set : Scan registry
Set : Deep scan registry


25.04.2004 09:53:26 - Scan started. (Smart mode)

Listing running processes
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

#:1 [smss.exe]
FilePath : \SystemRoot\System32\
ThreadCreationTime : 25.04.2004 07:09:25
BasePriority : Normal


#:2 [winlogon.exe]
FilePath : \??\C:\WINDOWS\system32\
ThreadCreationTime : 25.04.2004 07:09:30
BasePriority : High


#:3 [services.exe]
FilePath : C:\WINDOWS\system32\
ThreadCreationTime : 25.04.2004 07:09:31
BasePriority : Normal
FileSize : 99 KB
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
CompanyName : Microsoft Corporation
FileDescription : Anwendung f
InternalName : services.exe
OriginalFilename : services.exe
ProductName : Betriebssystem Microsoft
Created on : 01.10.2002 06:15:38
Last accessed : 25.04.2004 07:09:25
Last modified : 18.08.2001 12:00:00

#:4 [lsass.exe]
FilePath : C:\WINDOWS\system32\
ThreadCreationTime : 25.04.2004 07:09:31
BasePriority : Normal
FileSize : 11 KB
FileVersion : 5.1.2600.1106 (xpsp1.020828-1920)
ProductVersion : 5.1.2600.1106
CompanyName : Microsoft Corporation
FileDescription : LSA Shell (Export Version)
InternalName : lsass.exe
OriginalFilename : lsass.exe
ProductName : Microsoft
Created on : 01.10.2002 06:15:15
Last accessed : 25.04.2004 07:09:25
Last modified : 29.08.2002 10:43:40

#:5 [svchost.exe]
FilePath : C:\WINDOWS\system32\
ThreadCreationTime : 25.04.2004 07:09:33
BasePriority : Normal
FileSize : 12 KB
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
OriginalFilename : svchost.exe
ProductName : Microsoft
Created on : 01.10.2002 06:15:43
Last accessed : 25.04.2004 07:09:25
Last modified : 18.08.2001 12:00:00

#:6 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ThreadCreationTime : 25.04.2004 07:09:33
BasePriority : Normal
FileSize : 12 KB
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
OriginalFilename : svchost.exe
ProductName : Microsoft
Created on : 01.10.2002 06:15:43
Last accessed : 25.04.2004 07:09:25
Last modified : 18.08.2001 12:00:00

#:7 [spoolsv.exe]
FilePath : C:\WINDOWS\system32\
ThreadCreationTime : 25.04.2004 07:09:39
BasePriority : Normal
FileSize : 50 KB
FileVersion : 5.1.2600.0 (XPClient.010817-1148)
ProductVersion : 5.1.2600.0
CompanyName : Microsoft Corporation
FileDescription : Spooler SubSystem App
InternalName : spoolsv.exe
OriginalFilename : spoolsv.exe
ProductName : Microsoft
Created on : 01.10.2002 06:15:42
Last accessed : 25.04.2004 07:09:25
Last modified : 18.08.2001 12:00:00

#:8 [ccsetmgr.exe]
FilePath : C:\Programme\Gemeinsame Dateien\Symantec Shared\
ThreadCreationTime : 25.04.2004 07:09:39
BasePriority : Normal
FileSize : 229 KB
FileVersion : 2.0.0.635
ProductVersion : 2.0.0.635
Copyright : Copyright (c) 2000-2003 Symantec Corporation. All rights reserved.
CompanyName : Symantec Corporation
FileDescription : Common Client Settings Manager Service
InternalName : ccSetMgr
OriginalFilename : ccSetMgr.exe
ProductName : Common Client
Created on : 19.08.2003 20:29:56
Last accessed : 25.04.2004 07:09:25
Last modified : 19.08.2003 20:29:56

#:9 [gearsec.exe]
FilePath : C:\WINDOWS\System32\
ThreadCreationTime : 25.04.2004 07:09:40
BasePriority : Normal
FileSize : 52 KB
FileVersion : 1, 0, 0, 6
ProductVersion : 1, 0, 0, 6
Copyright : Copyright
CompanyName : GEAR Software
FileDescription : gearsec
InternalName : gearsec
OriginalFilename : gearsec.exe
ProductName : gearsec
Created on : 03.11.2003 11:47:08
Last accessed : 25.04.2004 07:09:25
Last modified : 03.11.2003 11:47:08

#:10 [navapsvc.exe]
FilePath : C:\Programme\Norton AntiVirus\
ThreadCreationTime : 25.04.2004 07:09:40
BasePriority : Normal
FileSize : 154 KB
FileVersion : 10.00.13
ProductVersion : 10.00.13
Copyright : Norton AntiVirus 2004 for Windows 98/ME/2000/XP Copyright (c) 2003 Symantec Corporation. All rights reserved.
CompanyName : Symantec Corporation
FileDescription : Norton AntiVirus Auto-Protect Service
InternalName : NAVAPSVC
OriginalFilename : NAVAPSVC.EXE
ProductName : Norton AntiVirus
Created on : 28.02.2004 15:33:05
Last accessed : 25.04.2004 07:09:25
Last modified : 04.12.2003 18:58:00

#:11 [nisum.exe]
FilePath : C:\Programme\Norton Personal Firewall\
ThreadCreationTime : 25.04.2004 07:09:40
BasePriority : Normal
FileSize : 85 KB
FileVersion : 4.0.1.91
ProductVersion : 4.0
Copyright : Copyright (c) 2001 Symantec Corporation
CompanyName : Symantec Corporation
FileDescription : Norton Internet Security Stats
ProductName : Norton Internet Security
Created on : 09.11.2003 00:54:22
Last accessed : 25.04.2004 07:09:25
Last modified : 14.11.2001 16:53:22

#:12 [nvsvc32.exe]
FilePath : C:\WINDOWS\System32\
ThreadCreationTime : 25.04.2004 07:09:40
BasePriority : Normal
FileSize : 80 KB
FileVersion : 6.14.10.5216
ProductVersion : 6.14.10.5216
Copyright : (C) NVIDIA Corporation. All rights reserved.
CompanyName : NVIDIA Corporation
FileDescription : NVIDIA Driver Helper Service, Version 52.16
InternalName : NVSVC
OriginalFilename : nvsvc32.exe
ProductName : NVIDIA Driver Helper Service, Version 52.16
Created on : 06.10.2003 12:16:00
Last accessed : 25.04.2004 07:09:25
Last modified : 06.10.2003 12:16:00

#:13 [explorer.exe]
FilePath : C:\WINDOWS\
ThreadCreationTime : 25.04.2004 07:09:42
BasePriority : Normal
FileSize : 983 KB
FileVersion : 6.00.2800.1106 (xpsp1.020828-1920)
ProductVersion : 6.00.2800.1106
CompanyName : Microsoft Corporation
FileDescription : Windows Explorer
InternalName : explorer
OriginalFilename : EXPLORER.EXE
ProductName : Betriebssystem Microsoft
Created on : 21.04.2004 13:26:28
Last accessed : 25.04.2004 07:09:44
Last modified : 29.08.2002 10:43:36

#:14 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ThreadCreationTime : 25.04.2004 07:09:43
BasePriority : Normal
FileSize : 12 KB
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
OriginalFilename : svchost.exe
ProductName : Microsoft
Created on : 01.10.2002 06:15:43
Last accessed : 25.04.2004 07:09:25
Last modified : 18.08.2001 12:00:00

#:15 [symproxysvc.exe]
FilePath : C:\Programme\Norton Personal Firewall\
ThreadCreationTime : 25.04.2004 07:09:44
BasePriority : Normal
FileSize : 53 KB
FileVersion : 4.0.1.91
ProductVersion : 4.0
Copyright : Copyright (c) 2001 Symantec Corporation
CompanyName : Symantec Corporation
FileDescription : Transparent Proxy Server
ProductName : Norton Internet Security
Created on : 09.11.2003 00:54:26
Last accessed : 25.04.2004 07:09:25
Last modified : 07.11.2001 18:53:02

#:16 [ccevtmgr.exe]
FilePath : C:\Programme\Gemeinsame Dateien\Symantec Shared\
ThreadCreationTime : 25.04.2004 07:09:44
BasePriority : Normal
FileSize : 250 KB
FileVersion : 2.0.0.635
ProductVersion : 2.0.0.635
Copyright : Copyright (c) 2000-2003 Symantec Corporation. All rights reserved.
CompanyName : Symantec Corporation
FileDescription : Common Client Event Manager Service
InternalName : ccEvtMgr
OriginalFilename : ccEvtMgr.exe
ProductName : Common Client
Created on : 19.08.2003 20:27:14
Last accessed : 25.04.2004 07:09:25
Last modified : 19.08.2003 20:27:14

#:17 [nisserv.exe]
FilePath : C:\Programme\Norton Personal Firewall\
ThreadCreationTime : 25.04.2004 07:09:46
BasePriority : Normal
FileSize : 61 KB
FileVersion : 4.0.1.91
ProductVersion : 4.0
Copyright : Copyright (c) 2001 Symantec Corporation
CompanyName : Symantec Corporation
FileDescription : IAMSERV.EXE
ProductName : Norton Internet Security
Created on : 09.11.2003 00:54:21
Last accessed : 25.04.2004 07:09:25
Last modified : 14.11.2001 16:53:18

#:18 [soundman.exe]
FilePath : C:\WINDOWS\
ThreadCreationTime : 25.04.2004 07:09:49
BasePriority : Normal
FileSize : 45 KB
FileVersion : 5.0.03
ProductVersion : 5.0.03
Copyright : Copyright (c) 2001-2002 Avance Logic, Inc.
CompanyName : Avance Logic, Inc.
FileDescription : Avance Sound Manager
InternalName : ALSMTray
OriginalFilename : ALSMTray.exe
ProductName : Avance Sound Manager
Created on : 01.10.2002 06:42:18
Last accessed : 25.04.2004 07:09:25
Last modified : 02.08.2002 17:00:12

#:19 [qttask.exe]
FilePath : C:\Programme\QuickTime\
ThreadCreationTime : 25.04.2004 07:09:49
BasePriority : Normal
FileSize : 96 KB
FileVersion : 6.5
ProductVersion : QuickTime 6.5
CompanyName : Apple Computer, Inc.
InternalName : QuickTime Task
OriginalFilename : QTTask.exe
ProductName : QuickTime
Created on : 23.01.2003 20:32:13
Last accessed : 25.04.2004 07:09:25
Last modified : 22.12.2003 21:45:48

#:20 [ituneshelper.exe]
FilePath : C:\Programme\iTunes\
ThreadCreationTime : 25.04.2004 07:09:50
BasePriority : Normal
FileSize : 224 KB
FileVersion : 4.2.0.72
ProductVersion : 4.2.0.72
CompanyName : Apple Computer, Inc.
FileDescription : iTunesHelper Module
InternalName : iTunesHelper
OriginalFilename : iTunesHelper.exe
ProductName : iTunes
Created on : 16.12.2003 11:06:12
Last accessed : 25.04.2004 07:09:25
Last modified : 16.12.2003 11:06:12

#:21 [iamapp.exe]
FilePath : C:\Programme\Norton Personal Firewall\
ThreadCreationTime : 25.04.2004 07:09:51
BasePriority : Normal
FileSize : 373 KB
Created on : 09.11.2003 00:54:19
Last accessed : 25.04.2004 07:09:25
Last modified : 14.11.2001 16:53:06

#:22 [freepdfa.exe]
FilePath : C:\Programme\FreePDF\
ThreadCreationTime : 25.04.2004 07:09:51
BasePriority : Normal
FileSize : 120 KB
FileVersion : 1.00.0140
ProductVersion : 1.00.0140
Copyright : Benutzung auf eigenes Risiko
CompanyName : shbox
FileDescription : Wartet auf FreePDF.ps und startet FreePDF.exe
InternalName : FreePDFA
OriginalFilename : FreePDFA.exe
ProductName : FreePDF Assistent
Created on : 07.03.2004 12:49:09
Last accessed : 25.04.2004 07:09:51
Last modified : 28.05.2003 21:16:08

#:23 [ccapp.exe]
FilePath : C:\Programme\Gemeinsame Dateien\Symantec Shared\
ThreadCreationTime : 25.04.2004 07:09:51
BasePriority : Normal
FileSize : 69 KB
FileVersion : 2.0.0.635
ProductVersion : 2.0.0.635
Copyright : Copyright (c) 2000-2003 Symantec Corporation. All rights reserved.
CompanyName : Symantec Corporation
FileDescription : Symantec Common Client User Session
InternalName : ccApp
OriginalFilename : ccApp.exe
ProductName : Common Client
Created on : 19.08.2003 20:21:40
Last accessed : 25.04.2004 07:09:25
Last modified : 19.08.2003 20:21:40

#:24 [msnmsgr.exe]
FilePath : C:\Programme\MSN Messenger\
ThreadCreationTime : 25.04.2004 07:09:52
BasePriority : Normal
FileSize : 4572 KB
FileVersion : 6.1.0211
ProductVersion : Version 6.1
Copyright : Copyright (c) Microsoft Corporation 1997-2003
CompanyName : Microsoft Corporation
FileDescription : Messenger
InternalName : msnmsgr
OriginalFilename : msnmsgr.exe
ProductName : Messenger
Created on : 04.03.2004 21:01:00
Last accessed : 25.04.2004 07:11:05
Last modified : 04.03.2004 21:01:00

#:25 [ctfmon.exe]
FilePath : C:\WINDOWS\System32\
ThreadCreationTime : 25.04.2004 07:09:55
BasePriority : Normal
FileSize : 13 KB
FileVersion : 5.1.2600.1106 (xpsp1.020828-1920)
ProductVersion : 5.1.2600.1106
CompanyName : Microsoft Corporation
FileDescription : CTF Loader
InternalName : CTFMON
OriginalFilename : CTFMON.EXE
ProductName : Microsoft
Created on : 21.04.2004 13:25:36
Last accessed : 25.04.2004 07:09:25
Last modified : 29.08.2002 10:43:36

#:26 [wkcalrem.exe]
FilePath : C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\
ThreadCreationTime : 25.04.2004 07:10:03
BasePriority : Normal
FileSize : 24 KB
FileVersion : 6.00.1911.0
ProductVersion : 6.00.1911.0
Copyright : Copyright
CompanyName : Microsoft
FileDescription : Microsoft
InternalName : WkCalRem
OriginalFilename : WKCALREM.EXE
ProductName : Microsoft
Created on : 01.10.2002 06:08:12
Last accessed : 25.04.2004 07:10:03
Last modified : 04.10.2001 14:46:14

#:27 [hardcopy.exe]
FilePath : C:\Programme\Hardcopy\
ThreadCreationTime : 25.04.2004 07:10:04
BasePriority : Normal
FileSize : 932 KB
FileVersion : 14.6.0
ProductVersion : 14.6.0
Copyright : Copyright
CompanyName : Siegfried Weckmann
FileDescription : Hardcopy - Drucken Fenster/Bildschirminhalt
InternalName : HARDCOPY
OriginalFilename : HARDCOPY.EXE
ProductName : Hardcopy f
Created on : 01.10.2002 03:25:48
Last accessed : 25.04.2004 07:10:16
Last modified : 01.10.2002 03:25:48

#:28 [ipodservice.exe]
FilePath : C:\Programme\iPod\bin\
ThreadCreationTime : 25.04.2004 07:10:18
BasePriority : Normal
FileSize : 408 KB
FileVersion : 4.2.0.72
ProductVersion : 4.2.0.72
CompanyName : Apple Computer, Inc.
FileDescription : iPodService Module
InternalName : iPodService
OriginalFilename : iPodService.exe
ProductName : iTunes
Created on : 16.12.2003 11:05:56
Last accessed : 25.04.2004 07:09:25
Last modified : 16.12.2003 11:05:56

#:29 [msmsgs.exe]
FilePath : C:\Programme\Messenger\
ThreadCreationTime : 25.04.2004 07:10:50
BasePriority : Normal
FileSize : 1462 KB
FileVersion : 4.7.2009
ProductVersion : Version 4.7
Copyright : Copyright (c) Microsoft Corporation 1997-2003
CompanyName : Microsoft Corporation
FileDescription : Messenger
InternalName : msmsgs
OriginalFilename : msmsgs.exe
ProductName : Messenger
Created on : 14.04.2003 18:05:18
Last accessed : 25.04.2004 07:10:27
Last modified : 14.04.2003 18:05:18

#:30 [savscan.exe]
FilePath : C:\Programme\Norton AntiVirus\
ThreadCreationTime : 25.04.2004 07:11:30
BasePriority : Normal
FileSize : 189 KB
FileVersion : 9.2.1.14
ProductVersion : 9.2
Copyright : Copyright (c) 2003 Symantec Corporation
CompanyName : Symantec Corporation
FileDescription : Symantec AntiVirus Scanner
InternalName : SAVSCAN
OriginalFilename : SAVSCAN.EXE
ProductName : Symantec AntiVirus AutoProtect
Created on : 28.02.2004 15:33:08
Last accessed : 25.04.2004 07:09:25
Last modified : 26.11.2003 08:26:22

#:31 [outlook.exe]
FilePath : C:\Programme\Microsoft Office\Office10\
ThreadCreationTime : 25.04.2004 07:11:45
BasePriority : Normal
FileSize : 45 KB
FileVersion : 10.0.2627
ProductVersion : 10.0.2627
Copyright : Copyright
CompanyName : Microsoft Corporation
FileDescription : Microsoft Outlook
InternalName : Outlook
OriginalFilename : Outlook.exe
ProductName : Microsoft Outlook
Created on : 07.03.2001 07:15:54
Last accessed : 25.04.2004 07:12:58
Last modified : 07.03.2001 07:15:54

#:32 [winword.exe]
FilePath : C:\Programme\Microsoft Office\Office10\
ThreadCreationTime : 25.04.2004 07:13:30
BasePriority : Normal
FileSize : 10329 KB
FileVersion : 10.0.2627
ProductVersion : 10.0.2627
Copyright : Copyright
CompanyName : Microsoft Corporation
FileDescription : Microsoft Word
InternalName : WinWord
OriginalFilename : WinWord.exe
ProductName : Microsoft Office XP
Created on : 09.11.2002 17:01:49
Last accessed : 25.04.2004 07:13:29
Last modified : 07.03.2001 09:11:12

#:33 [msworks.exe]
FilePath : c:\Programme\Microsoft Works\
ThreadCreationTime : 25.04.2004 07:15:38
BasePriority : Normal
FileSize : 72 KB
FileVersion : 6.00.1911.0
ProductVersion : 6.00.1911.0
Copyright : Copyright
CompanyName : Microsoft
FileDescription : Microsoft
InternalName : MSWORKS
OriginalFilename : MSWorks.exe
ProductName : Microsoft
Created on : 01.10.2002 06:09:57
Last accessed : 25.04.2004 07:15:38
Last modified : 04.10.2001 14:46:50

#:34 [firefox.exe]
FilePath : C:\Programme\Mozilla Firefox\
ThreadCreationTime : 25.04.2004 07:47:18
BasePriority : Normal
FileSize : 6592 KB
FileVersion : 0.8
ProductVersion : Personal
Copyright : Mozilla
CompanyName : Mozilla
FileDescription : Firefox
InternalName : Firefox
OriginalFilename : firefox.exe
ProductName : Firefox
Created on : 22.04.2004 08:12:37
Last accessed : 25.04.2004 07:45:01
Last modified : 07.02.2004 10:12:00

#:35 [ad-aware.exe]
FilePath : C:\Programme\Lavasoft\Ad-aware 6\
ThreadCreationTime : 25.04.2004 07:53:16
BasePriority : Normal
FileSize : 668 KB
FileVersion : 6.0.1.181
ProductVersion : 6.0.0.0
Copyright : Copyright
CompanyName : Lavasoft Sweden
FileDescription : Ad-aware 6 core application
InternalName : Ad-aware.exe
OriginalFilename : Ad-aware.exe
ProductName : Lavasoft Ad-aware Plus
Created on : 07.03.2004 18:13:52
Last accessed : 25.04.2004 07:53:16
Last modified : 12.07.2003 21:00:20

Memory scan result :
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
New objects : 0
Objects found so far: 0


Started registry scan
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

CoolWebSearch Object recognized!
Type : RegValue
Data :
Rootkey : HKEY_LOCAL_MACHINE
Object : SOFTWARE\Microsoft\Internet Explorer\Main
Value : HOMEOldSP


Registry scan result :
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
New objects : 1
Objects found so far: 1


Started deep registry scan
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

CoolWebSearch Object recognized!
Type : RegKey
Data :
Rootkey : HKEY_CLASSES_ROOT
Object : CLSID\{6872A6CC-A364-4C74-9FA1-2439576D4BF3}


CoolWebSearch Object recognized!
Type : File
Data : djn.dll
Object : c:\windows\system32\
FileSize : 36 KB
Created on : 25.04.2004 07:10:51
Last accessed : 25.04.2004 07:10:51
Last modified : 25.04.2004 07:10:51


CoolWebSearch Object recognized!
Type : RegKey
Data :
Rootkey : HKEY_CLASSES_ROOT
Object : CLSID\{FB33F016-9B15-49B5-BC17-BBB31BF36936}


CoolWebSearch Object recognized!
Type : RegKey
Data :
Rootkey : HKEY_CLASSES_ROOT
Object : PROTOCOLS\Filter\text/html


CoolWebSearch Object recognized!
Type : RegKey
Data :
Rootkey : HKEY_CLASSES_ROOT
Object : PROTOCOLS\Filter\text/plain


CoolWebSearch Object recognized!
Type : RegKey
Data :
Rootkey : HKEY_LOCAL_MACHINE
Object : SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FB33F016-9B15-49B5-BC17-BBB31BF36936}


Deep registry scan result :
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
New objects : 5
Objects found so far: 7


¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯


Deep scanning and examining files (C:)
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯


Performing conditional scans..
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

Conditional scan result:
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
New objects : 0
Objects found so far: 7


09:56:19 Scan complete

Summary of this scan
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Total scanning time :00:02:51:750
Objects scanned :46010
Objects identified :7
Objects ignored :0
New objects :7

Hallo Jens,

mach bitte einmal die ganze 'Litanei' mit Ad-Aware, Spybot SD, CWShredder im abgesicherten Modus von XP

Folgende Einträge (bitte ebenfalls im abgesicherten Modus) mit HiJackThis fixen:

</font><blockquote>Zitat:</font><hr />R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\eglmca.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\eglmca.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\eglmca.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\eglmca.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\eglmca.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\eglmca.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {CA982910-08DD-4675-873F-05EAAA1EEA58} - C:\WINDOWS\System32\eglmca.dll
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ? &lt;- Ist ein verwaister Eintrag</font>[/QUOTE]Die ActiveX-Einträge unter O16 kannst Du auch bedenkenlos löschen. Bei einem neuen Besuch der entsprechenden Seite(n) werden diese bei Bedarf neu installiert.

Folgende Dateien löschen:
</font><blockquote>Zitat:</font><hr />C:\WINDOWS\System32\eglmca.dll

Data : djn.dll
Object : c:\windows\system32\
</font>[/QUOTE]Du kannst auch noch dein Glück mit diesem Scanner versuchen:
ftp://ftp.microworldsystems.com/download/tools/mwav.exe
In anderen Foren hat sich das teilweise als erfolgreich gezeigt.

Viel Glück,
Lutz

Hallo Lutz,

Da bin ich wieder. Leider habe ich es ja nicht geschafft, mich von dieser leidigen Startseite zu trennen, da ich jedoch schon so viel Zeit investiert habe und im Moment sowieso ziemlich im Prüfungsstress bin, habe ich es dabei belassen und eifach nur noch Mozilla Firefox verwendet.

Ich wollte nur einmal fragen, ob du inzwischen eine neue Lösungsvariante oder sogar DIE LÖSUNG zum Problem hast. Das Problem taucht ja immer mehr und mehr auf. Was ich ja auch schon eimal bemerkt habe, ist das mein PC viel langsamer läuft als vor der ganzen "Startseiten" Geschichte. Weisst du dazu mehr?

Einige Facts, die dir (vielleicht) weiterhelfen können (?)

Nach jedem Neustart finden folgene Programme folgende Dateien:

CWShredder

- CWX.Searchx REMOVED
- Restoring Internet Pages RESTORED (6 items)

Hijack This

- R1 - HKCU\Software\IE\Main, HOmeoldSP=about-blank
- O2 - hier wird jedoch immer eine neue Datei unter C:\WINDOWS\SYSTEM32\.... angegeben. (-&gt; befindet sich auf meinem Rechner irgend einen versehnlich heruntergeladenen Installer? Wo finde ich diesen?)

Adware

hat immer 1 inzwischen findet er sogar 2 Reg. Dateien:

CoolWebSearch HKEY_LOGAL_MASCHINE Software\Microsoft\IE\Main
und
CoolWebSearch HKEY_ CURRENT_USER Software\Microsoft\IE\Main

Vielen Dank im Voraus für deinen Support!

Gruss,
Jens

Hallo Jens,

DIE Lösung habe ich leider noch nicht, vor allem keine "Knopfdrucklösung". Aber schau Dir in diesem Thread http://www.trojaner-board.de/forum/u...6;t=005301;p=1 mein Post vom 05. Mai 2004 09:11 und folgende an. Da geht es imho um genau das gleiche Problem.
Wenn Du nicht sicher bist, was Du genau fixen musst, poste bitte noch einmal ein aktuelles Log von HijackThis.

ich lese hier immer den Quatsch, daß man den Browser wechseln sollst.
Damit beseitigst Du das Problem nicht und der Trojaner schlummert immer noch auf Deiner Festplatte. Also was soll das????


Die einfachste Lösung ist, Deine Festplatte zu formatieren und Dein System neu aufzuspielen.
Es nützt nichts, er - der Trojaner/ Schädling - kommt immer wieder.

So hätte ich mir fünf Tage Ärger ersparen können, wenn ich gleich formatiert hätte und sämtliche Vorschläge nützen nichts. Einige helfen zwar auf kurze Dauer, aber er ist wieder da.


Also mach ne Radikalkur und formatiere Deinen Rechner und Du hast Ruhe und mach Dir vorher ein Backup mit Norton Ghost z. B., damit das Aufspielen schneller geht und Du nach ca. einer halben Stunde mit einem sauberen System arbeiten kannst.


Aber verschont uns bitte mit der Aussage, den Browser zu wechseln, damit ist das Problem nicht aus der Welt geschafft!!!

Ich habe bemerkt, daß die Seite harmlos ist, aber das Popup wählt sich ins Internet ein...

Ich bin jetzt zum Glück den Plagegeist los und ehe man sich tagelang ärgert und dies und das versucht, einfach die radikalste Lösung nehmen und sei es, daß man nur ein Backup einspielt....


So, schönen Tag noch und ich hoffe, Euch geholfen zu haben, denn es scheint keine wirksame Methode gegen diesen hartnäckigen Plagegeist zu geben...
Modifiziert wurde er am 2.5.!

</font><blockquote>Zitat:</font><hr />Original erstellt von Dibo:
ich lese hier immer den Quatsch, daß man den Browser wechseln sollst.
Damit beseitigst Du das Problem nicht und der Trojaner schlummert immer noch auf Deiner Festplatte. Also was soll das????</font>[/QUOTE]Deinen Sachverstand hast Du ja schon in Deinem ersten Thread hinreichend unter Beweis gestellt.

Natürlich wird durch einen Browserwechsel der Trojaner nicht beseitigt; das ist aber hoffentlich jedem hier klar.

Aber mit einem frühzeitigen Browserwechsel hätte es das Problem gar nicht gegeben! Das soll das, und so einfach ist das!

Und wenn Du den Browser nicht wechselst und/oder Dein Surfverhalten nicht überdenkst, wirst Du über kurz oder lang wieder Probleme bekommen. Komm dann nur nicht wieder an und frag um Hilfe...

Das war jetzt übrigens das zweite Mal, dass Du hier Stuss absonderst, und das bei 5 Postings insgesamt. Respekt!

Gruß
Yopie

toll gebrüllt Löwe...

weißt du, was du mir mit deinem Posting bescheinigst????

"..Deinen Sachverstand hast Du ja schon in Deinem ersten Thread hinreichend unter Beweis gestellt. .."

Was bist Du denn für ein Dreikäsehoch, der sich diese Frechheiten rausnimmt, die du eben verzappt hast???
Wird wohl in deiner Natur liegen, jeden Neuling hier anzupöpeln und auf deine Hilfe verzichte ich liebend gerne!!!

[ 10. Mai 2004, 01:36: Beitrag editiert von: Dibo ]

</font><blockquote>Zitat:</font><hr />Dido:
ich lese hier immer den Quatsch, daß man den Browser wechseln sollst. </font>[/QUOTE] </font><blockquote>Zitat:</font><hr />Dido:
Was bist Du denn für ein Dreikäsehoch... </font>[/QUOTE]Wie man in den Wald hineinruft, ... &lt;- kennst Du sicherlich.

</font><blockquote>Zitat:</font><hr /> Die einfachste Lösung ist, Deine Festplatte zu formatieren und Dein System neu aufzuspielen.
Es nützt nichts, er - der Trojaner/ Schädling - kommt immer wieder. </font>[/QUOTE]Ich denke, Yopie meinte u.a. dies mit 'Sachverstand'. Diese Aussage ist insich unschlüssig.
Natürlich ist es meistens die einfachste Lösung, das System platt zu machen und neu zu installieren. Aber, wenn man sich 'nur' einen BrowserHijacker eingefangen hat, ist dass wie 'mit Kanonen auf Spatzen zu schießen'.
Nur, was nützt die Neuinstallation eines Systems, wenn man dann nachher weiterhin dem Unsicherheitsfaktor Internet-Explorer vertraut?
Ja, genau:
</font><blockquote>Zitat:</font><hr />Es nützt nichts, er - der Trojaner/ Schädling - kommt immer wieder. </font>[/QUOTE]Es hat hier imho niemand geraten, 'nur' den Browser zu wechseln und das 'ge-hijackte' System so zu belassen wie es ist. Es handelt sich immer um Empfehlungen für die Zukunft, um eben nicht wieder so schnell Opfer eines Hijackers zu werden. Und hinter dieser Meinung steht nicht nur der 'Dreikäsehoch' Yopie. Aber natürlich hindert Dich hier niemand daran, Deinen IE weiter zu benutzen.

</font><blockquote>Zitat:</font><hr /> Also mach ne Radikalkur und formatiere Deinen Rechner und Du hast Ruhe und mach Dir vorher ein Backup mit Norton Ghost z. B., damit das Aufspielen schneller geht und Du nach ca. einer halben Stunde mit einem sauberen System arbeiten kannst.</font>[/QUOTE]Wie jetzt?? Ein Image ziehen, den Rechner platt machen und dann anschließend das infizierte System zurückspielen. Das kannst Du unmöglich so gemeint haben... :confused: :confused:

</font><blockquote>Zitat:</font><hr />Aber verschont uns bitte mit der Aussage, den Browser zu wechseln, damit ist das Problem nicht aus der Welt geschafft!!!</font>[/QUOTE]Mit der von Dir vorgeschlagenen Vorgehensweise auch nicht. Zumindest nicht dauerhaft.

Hallo Lutz,

erstmals Danke, daß Ihr ein Board ins Leben gerufen habt, wo man Hilfe erfahren kann sowie praktische Tipps erhält.

Erstmals vorweg, ich habe Beiträge von Dir lesen können und Du bist nicht ausfallend geworden, wie dieser nette Mensch, der mir Unkenntnisse vorwirft, obwohl ich erst seit kurzem hier registriert bin.

Ich habe in diesem Thread hier noch keine einzige Zeile von ihm lesen können und seine abfällige Bemerkung mir gegenüber soll er mal beweisen und mit Fakten kommen.

Fakt ist, daß alle Lösungsversuche hier fehlgeschlagen sind und es sich um einen hartnäckigen Burschen handelt. Bis keine anständige Lösung getroffen ist, ist doch das Naheliegenste, sein System zu plätten und wieder neu aufzuspielen.

Er disqualifiziert sich selbst mit seiner Aussage, daß ich angeblich keinen Sachverstand besitzen solle. Jeder Privatanweder eines PCs muß in seinem Leben mehrmals seinen Rechner formatieren und das Positive dran ist, daß man sämtlichen Ballast von seiner Platte löscht, auch die sogenannten Dateileichen, die man im Laufe der Zeit einfängt.

Und wenn einfach gesagt wird, daß man den Browser wechseln sollte, so ist das totalst unlogisch! Wenn man gesagt hätte, daß man nach dem Neuaufspielen den Browser wechseln sollte, hätte ich nichts gesagt, aber doch nicht im laufenden Betrieb!!!! Damit umgeht man nur das Problem und wenn das von Unsachkenntnissen zeugt, dann PrositNeujahr!!!

Ich habe bisher noch nichts gefunden, was das Problem der about:blank-Geschichte auf Dauerhaft löst und ehe man sich seine HD weiter zumüllt mit diversen Helferchen, die nicht das tun, was sie eigentlich sollten, mach ich halt kurzen Prozess und habe wenigstens meine Ruhe und muß mir nicht weiterhin den Kopf zermartern, weil die scheiß Search for-Seite mit diesem Popup kommt.

Und außerdem zeugt das auch nur von Unkenntnis, wenn ich gesagt habe, daß die Seite wahrscheinlich harmlos ist, aber daß das anschließende Popupfenster ins Internet will...

Und zu jedem sag ich, der mir angeblich Unwissenheit bescheinigt, daß er als Löwe gut gebrüllt habe. So was habe ich nicht nötig, nur weil ein Fatzke mein, besser Bescheid wissen zu wollen...

Komischerweise, mein System ist jetzt clean und war bis zum 2.5. ebenfalls "clean" und ich wähle nicht den billigsten Weg, einfach den Browser bei noch laufenden! Betrieb zu wechseln, damit ich diese lästige Startseite mit dem noch lästigeren PopUp habe.

[ 10. Mai 2004, 10:23: Beitrag editiert von: Dibo ]

</font><blockquote>Zitat:</font><hr />...aber die bisherigen Lösungen haben doch nichts gefruchtet und das "about:blank-Problem" kam doch immer wieder...</font>[/QUOTE]Ich will Dir 'Deinen' IE gar nicht ausreden. Und ich glaube, dass wollte auch Yopie nicht.
Das Problem ist, dass -nach allem, was ich bisher rund um den Globus dazu gelesen habe- die dafür verantwortliche Lücke immer noch nicht geschlossen ist.

Daher unsere 'Empfehlung',nach dem Bereinigen des Systems (egal, ob nun durch Neuinstallation, oder den Versuch, der schädlichen dll 'habhaft' zu werden und sie zu löschen), auf einen anderen Browser umzusteigen, um eben nicht innerhalb kürzester Zeit das neue System wieder mit diesem Hijacker zu infizieren. Ein Besuch mit dem IE einer entsprechend präparierten Seite im Web reicht dazu nämlich aus.
Da sind Browser wie Mozilla, Firefox, Opera, ... zum Glück bei weitem noch nicht so anfällig.

Ich glaube auch nicht, dass hier jemand 100%ige Sicherheit suggerieren will. Dass man diese niemals erreicht, ist eigentlich jedem klar.

</font><blockquote>Zitat:</font><hr />Original erstellt von Dibo:
"..Deinen Sachverstand hast Du ja schon in Deinem ersten Thread hinreichend unter Beweis gestellt. .."

Was bist Du denn für ein Dreikäsehoch, der sich diese Frechheiten rausnimmt, die du eben verzappt hast???
Wird wohl in deiner Natur liegen, jeden Neuling hier anzupöpeln und auf deine Hilfe verzichte ich liebend gerne!!! </font>[/QUOTE]Was bist Du nur für ein Dreikäsehoch, der sich die Frechheit herausnimmt, gleich im im fünften Beitrag die Ratschläge von im Board geschätzten Usern als 'Quatsch' abzutun.

Und wenn Du mal ein bißchen im Forum stöberst wirst Du feststellen, dass ich in der Regel sehr gerne gerade bei neuen Usern helfe. Warum das bei Dir nicht so ist, liegt nicht an mir. Kannst ja mal in einer stillen Minute drüber nachdenken.

Zu Deiner PM: Trink demnächst lieber erst einen Beruhigungstee, bevor Du so ein Geschreibsel loslässt!

Zu Deinem Sachverstand hat sich ja auch Lutz schon geäußert.

Gruß
Yopie

Was willst du Pimpf eigentlich von mir, hä???

Es wäre besser gewesen, wenn du dich für deine Frechheiten mir gegenüber entschuldigt hättest.

So, das wars, was ich zu sagen hatte und da Lutz mehr Anstand hat als du, verlasse ich dieses Board wieder und wenns geht, lösche ich meinen Account wieder, denn mit solchen eingebildetet Leuten wie dich möchte ich mich nicht einlassen...

Tschüss!

Hi Leute,

auch ich schlage mich schon seit einiger Zeit mit dem "about:blank-Problem" herum - erfolglos. Ich kann leider auf den IE beruflich nicht verzichten und Kiste neu aufsetzen ist zeitlich auch nicht drin. Also werde ich jetzt mal versuchen, den Trojaner (isses einer?) still zu legen [img]graemlins/kloppen.gif[/img] : Er schreibt ja seine Settings nur in HKCU\Software\Microsoft\Internet Explorer\Main und Search. Auffällig ist, dass a) die DLL immer eine andere ist und b) diese nicht existiert. Damit ist jeder Ansatzpunkt erst einmal flöten... Entferne ich die Einstellungen in der Registry mit HijackThis, wird alles wieder brav zurückgesetzt - für den Moment... Jetzt kommt's: Mit regedt32 nehme ich die Sicherheitsberechtigungen für Search ganz raus - der Key ist leer, also nehme ich jede Berechtigung weg. Für Main setze ich die Berechtigungen auf Lesen für alle Benutzer. Ich kann zwar jetzt spontan keine Änderungen z.B. der Startseite mehr vornehmen, aber der Trojaner auch nicht - es sei denn, er ist so schlau und verschafft sich wieder die entsprechenden Rechte. Schaumermal...

[ 13. Mai 2004, 14:47: Beitrag editiert von: Mäc ]

Hallo Mäc und Willkommen an Board,

Deiner Beschreibung entnehme ich, dass Du nicht 'ganz unbedarft' bist, was beispielsweise die Registry angeht... [img]smile.gif[/img]

Schau Dir doch mal bitte diesen Thread im Rokob-Board an: http://www.rokop-security.de/board/i...ndpost&p=33741
Wir 'basteln' da gerade an einer manuellen Lösung. Vielleicht findest Du das eine oder andere bei Dir wieder?!?

Kleiner Nachtrag: Der Trojaner (ich nenn' ihn jetzt einfach mal so) hat sich nun in HKLM\...\Main und Search eingetragen... OK, same procedure as before: HijackThis anschmeißen, dann die Reg-Keys Main und Search (hier gibt's auch standardmäßig Einträge) auf nur Lesen setzen.

Jetzt trägt er zwar immer noch sein BHO (Browser Helper Object) ein - die DLL existiert übrigens doch, heißt nur alle Nase lang anders - aber das nutzt ihm nix (Inshallah!)...

To be continued...

[ 13. Mai 2004, 14:49: Beitrag editiert von: Mäc ]

So Leute, ich glaube mit dem Workaround Registry-Schlüssel auf nur Lesen setzen habe ich erst einmal Ruhe. Aber das wird sich erst in den nächsten Tagen wirklich zeigen...

Dennoch möchte ich den kleinen Stinker ja doch endgültig los werden. Also habe ich mal ein bisschen mit diversen Tools rumgeschnüffelt: Der Process Viewer zeigt mir über Module Usage, dass diese DLL sich nicht nur in den Explorer und IE einklinkt, sondern auch in Outlook (auch so ein Tribut an den Job - zu Hause wird brav mit Opera und Pegasus gearbeitet!) - na super! Aber wer oder was erzeugt immer wieder diese BHO-DLL? Der Dependency Walker u.ä. Tools waren da keine wirkliche Hilfe - die DLL selbst verwendet nur MS-DLLs. Meine laufenden Tasks sind auch alle sauber.

Habe ein bisschen mit dem BHODemon experimentiert. Mit diesem Tool kann man einzelne BHOs deaktivieren. Fragt sich, ob's das bringt, da sich die BHO-DLL ja in kürzester Zeit wieder umbenennt... Ergebnis: BHODemon nutzt nix - die DLL wird einfach ein weiteres Mal mit einer neuen ID geladen... :( Besser wäre ein Tool, mit dem man gezielt BHOs läd und generell alle anderen verbietet und dann bei Bedarf dann aktivieren kann!

Vielleicht habe ich ja dem einen oder anderen einen Denkanstoß gegeben. Vielleicht hat ja jemand Lust, noch mit dem einen oder anderen Sysinternals-Tool zu schnüffeln...

Für mich war's das jetzt erst einmal für heute... ;)

PS: Danke für Deine Einschätzung, ich sei auch nicht ganz unbedarft, Lutz - ist berufsbedingt... ;)

[ 13. Mai 2004, 14:50: Beitrag editiert von: Mäc ]

Es lässt mir ja doch keine Ruhe... ;)

Jetzt habe ich die DLL mir mal in einem HEX-Editor angeschaut: Habe Verweise auf \drivers\etc\hosts und HKLM\System\CurrentControlSet\Services\Tcpip\Parameters gefunden, sieht aber für mich unverdächtig aus...
Weiterhin sind darin eine SP.HTML und eine GO.GIF eingebettet, die dann die Such-Seite nach Laden von about:blank aufbauen.
Ich glaube aber nicht, dass es sich um CWS.Searchx handelt: http://www.spywareinfo.com/~merijn/c...s.html#searchx - habe keine filter.log gefunden...

Vielleicht sieht ja jemand anderes noch was!? :confused:

[ 13. Mai 2004, 14:51: Beitrag editiert von: Mäc ]

Zumindest die in den chronicles aufgeführte 'Urversion' von searchx würde ich nach allem, was ich bisher weiß auch ausschließen. Entweder eine abartige Mutation oder etwas ganz neues...

Was wir jetzt brauchen ist den Aufruf/Start oder meinetwegen auch die Initialisierung der dll. Die muss doch irgendwoher kommen... [img]redface.gif[/img]

Hab' jetzt doch mal eine Textsuche nach searchx gemacht und siehe da - neben der BHO-DLL ist noch eine weitere aufgetaucht: Bocioba.dll... Hab' mal gegoogelt - no success! Habe jetzt beide DLLs nach .old umbenannt (die BHO-DLL über Freigabe auf einem entfernten Rechner). Ich mach' jetzt Feierabend. Morgen ist ein neuer Tag! ;)

Moin,

heute Morgen war nach Hochfahren meiner Arbeitskiste Schweigen im Walde - soll heißen, kein about:blank-Problem mehr. HijackThis zeigte auch keine Einträge der BHO-DLL mehr. Bin dann mal zur umbenannten BHO-DLL und plötzlich erkannte McAfee selbige als Trojaner StartPage-CZ und hat sie gelöscht (wahrscheinlich durch ein automatisches Viren-Update?)! [img]graemlins/daumenhoch.gif[/img] Die Bocioba.dll ist ebenfalls still - hab' sie jetzt auch gelöscht.

So, jetzt werde ich die Registry-Einträge wieder zurücksetzen und abwarten...

Noch'n Zusatz: Scheinbar wird der Trojaner von den verschiedenen Antivirenprogrammen unterschiedlich benamst. Das habe ich beim Googeln gefunden:
"(...) F-Secure Anti-Virus Trojan.Win32.StartPage.gv (3.28 seconds taken)
Kaspersky Anti-Virus Trojan.Win32.StartPage.gv (6.08 seconds taken)
McAfee VirusScan StartPage-CZ (3.00 seconds taken) (...)"

Dieses Zitat bezieht auf sich ein und die selbe DLL. Also scheint StartPage-CZ = Trojan.Win32.StartPage.gv... [img]graemlins/balla.gif[/img]

[ 13. Mai 2004, 14:52: Beitrag editiert von: Mäc ]

Soeben hat McAfee StartPage-CZ wieder gemeldet und gleich gelöscht - für mich ist der Fall also damit wohl erledigt. [img]graemlins/huepp.gif[/img] War wohl doch eine automatische Virenupdate-Definition, die das Problem endgültig gelöst hat... Nichtsdestotrotz war das Bearbeiten der Sicherheitseinstellungen der entsprechenden Registry-Einträge ein Workaround, mit dem ich hätte leben können. Wann ändert man schon mal diese Settings...!?

War mir 'ne Freude, hier etwas beitragen zu können... ;)

Hallo Mäc,

</font><blockquote>Zitat:</font><hr />Soeben hat McAfee StartPage-CZ wieder gemeldet und gleich gelöscht</font>[/QUOTE]Kannst Du nachvollziehen, ob das während des Surfens auf einer 'bösen' Seite passierte, oder 'einfach so'. Bei letzterem habe ich den Verdacht, dass trotz McAfee vielleicht doch noch Reste auf Deinem System schlummern.
Aber Du weißt ja, 'wir' arbeiten an einer Lösung...

</font><blockquote>Zitat:</font><hr /> War mir 'ne Freude, hier etwas beitragen zu können... </font>[/QUOTE]Mir auch! [img]smile.gif[/img]

Hm, das passierte "einfach so". Der IE lief zwar, hab' aber gerade nix drin gemacht... McAfee zeigte mir die BHO-DLL an, den IE-Cache und noch 'ne Datei (sorry, weiß nicht mehr welche, aber wie ich StartPage-CZ mittlerweile kenne, meldet er sich bestimmt noch mal... ;) ).

Ich beobachte weiter und berichte dann ggf.

Du könntest mir -oder besser uns allen- in der Zwischenzeit noch einen Gefallen tun.
Hier posted Aendru am 12. Mai 2004 um 17:40 Uhr ein paar Reg-Schlüssel, in denen eine verdächtige dll aufgerufen wird. Würdest Du bei Gelegenheit mal nachschauen, ob dort (also bei Dir ;) )auch soetwas vorkommt?

Danke! [img]graemlins/daumenhoch.gif[/img]

Hallo Lutz,

ich poste meine Antwort gleich bei Aendru. Nur so viel: Der HijackThis-Scan von Aendru kommt mir sehr bekannt vor: ;)

</font><blockquote>Zitat:</font><hr />R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\cdae.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\cdae.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\cdae.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\cdae.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\cdae.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\cdae.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {2BBD3D0B-93EC-41A3-BF94-331092075F59} - C:\WINDOWS\System32\cdae.dll (file missing)</font>[/QUOTE]Sieht für mich aus wie StartPage-CZ/StartPage.gv: Ersetze den DLL-Namen des BHO durch einen (beliebigen) anderen, dann passt's!

[ 13. Mai 2004, 14:53: Beitrag editiert von: Mäc ]

Hi,

kannst Du bitte mal nachschauen, ob es diese Einträge in Deiner Reg auch gibt (natürlich mit 'Deiner' dll:

</font><blockquote>Zitat:</font><hr />In folgenden Keys fand RegAlyzer den Eintrag wdmbcn.dll (jeweils an Position 000 REG_SZ):

HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603

HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5604

HKEY_USERS\S-1-5-21-57989841-842925246-682003330-1003\Software\Microsoft\Search Assistant\ACMru\5603

HKEY_USERS\S-1-5-21-57989841-842925246-682003330-1003\Software\Microsoft\Search Assistant\ACMru\5604 </font>[/QUOTE]

Hi Lutz,

Fehlanzeige - diese Registry-Einträge sind bei mir nicht (mehr?) vorhanden. :(

BTW: HKEY_CURRENT_USER entspricht HKEY_USERS\S-1-5-21-57989841-842925246-682003330-1003 - aus historischen Gründen sind etliche Registry-Schlüssel doppelt vorhanden. So ist HKEY_CURRENT_USER immer eine Teilmenge von HKEY_USERS, eben einer dieser S-1-...-Schlüssel. Jeder User hat einen eigenen HKEY_CURRENT_USER-Ast (logo ;) ), der einem dieser S-1-...-Schlüssel entspricht.

[ 13. Mai 2004, 12:32: Beitrag editiert von: Mäc ]

Danke Mäc, dass Du das überprüft hast. [img]graemlins/daumenhoch.gif[/img]
Ich bin im Moment halt auf der Suche nach Parallelitäten bzw. Abweichungen...
Das Tool, was da zur Zeit entwickelt wird, soll ja nicht mit 'heißer Nadel' gestrickt sein und nur manchmal helfen, sondern nach Möglichkeit immer erfolgreich sein bei diesem Sch****-Hijacker.

Keine Ursache Lutz!

Ich wünschte nur, ich hätte bei HijackThis genauer hingesehen und vielleicht auch mal die betroffenen Registry-Schlüssel exportiert und die BHO-DLL gesichert... :( Aber ich habe HijackThis wegen diesem Trojaner schon so oft täglich angeschmissen (um dann kurz darauf "Freund StartPage-CZ" wieder zu haben), dass ich einfach nur froh war, ihn nun (hopefully) endgültig los zu sein.

Naja, das war sicher nicht der letzte Trojaner, der mir über den Weg läuft... ;)

Hey Leute

Da ist ja eingiges gelaufen. Von Streitereien zwischen "löaplkjupo.iewrjögmkfla" und "Jopie" bis zur Lösung zum Problem (?) Leider weiss ich nicht ganz so gut Bescheid, wie ihr. Nachdem ich aber alles erdenkliche probiert habe um den "Trojaner" loszuwerden und immer wieder gescheitert bin, wäre ich wahnsinnig an einer Lösung zum Problem interessiert. Kann mit einer von euch weiterhelfen? Lutz, gibt es bald ein Tool für mein Problem?

Danke & Gruss
Jens

</font><blockquote>Zitat:</font><hr />Lutz, gibt es bald ein Tool für mein Problem ? </font>[/QUOTE]Ich hoffe es stark. Das, was ich bisher davon gesehen habe, sieht sehr erfolgversprechend aus, muss aber noch ein bisschen 'feingeschliffen' und natürlich getestet werden...

Wir werden dich -und natürlich alle anderen- auf dem Laufenden halten.

Moin, das Remove-Tool ist da: Rokop Security - aber wie gesagt, ein aktuelles Antiviren-Update tut's mittlerweile auch... ;) Trotzdem: Hut ab, Rokop! [img]graemlins/daumenhoch.gif[/img]

Super gemacht!!!! Endlich bin ich ihn los, den mühsamen Browser Hijacker. Vielen Dank an Lutz & Co.!!!!

Gruss
jens

Ps. Der PC läuft jetzt auch wieder besser :)