|
Hallo! Bin relativ neu hier und hoffe das dieser Thread an der richtigen Stelle steht. Also bei mir hat sich vor ein paar Tagen eine Websearch-Variante eingeschlichen. Diese hat meine Startseite verändert Badlinks(Hijack) gemacht. Habe als erstes temporäre Dateien und Cookies entfernt. Das half natürlich nichts. Dann folgende Programme ausprobiert : Add-Aware, CW Shredder, Spybot - Search & Destroy, Hijack This, Sphjfix und Reg Clean. Also alle empfohlenen Programme. Doch leider ohne Wirkung. Entweder wird was gefunden und angeblich repariert, aber dann ist es beim Neustart wieder da oder es wird nichts gefunden. Geupdatetd habe ich die Proggys auch so weit ein Update vorhanden war. Hier mal eine log aus HijackThis: ---------------------------------------------------------------------------------- R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://greatsearch.biz/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://greatsearch.biz/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://greatsearch.biz/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://greatsearch.biz/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://greatsearch.biz/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://greatsearch.biz/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = res://D:\PROGRA~1\Toolbar\toolbar.dll/sa R3 - URLSearchHook: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - D:\PROGRA~1\COMMON~1\WinTools\WToolsB.dll O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {82315A18-6CFB-44a7-BDFD-90E36537C252} - D:\Programme\QuickSearch\QuickSearchBar1_27.dll O2 - BHO: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - D:\PROGRA~1\COMMON~1\WinTools\WToolsB.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O3 - Toolbar: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - D:\Programme\QuickSearch\QuickSearchBar1_27.dll O3 - Toolbar: (no name) - {339BB23F-A864-48C0-A59F-29EA915965EC} - (no file) O4 - HKLM\..\Run: [ccApp] "D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "D:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [Config33.exe] Config33.exe O4 - HKLM\..\Run: [WinTools] D:\Programme\Common files\WinTools\WToolsA.exe O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\RunServices: [Config33.exe] Config33.exe O9 - Extra button: ICQ Lite (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Messenger (HKLM) O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} - http://download.macromedia.com/pub/s...irector/sw.cab O16 - DPF: {40BF816B-D862-41B9-9445-ECA36D5F67F7} (Flatcast Viewer 4.10) - http://www.1mal1.com/flatcast/NpFv410.dll O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...886.4935648148 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{B1F0D44B-7437-4DF7-87B4-DE99DFED1876}: NameServer = 217.237.149.161 194.25.2.129 -------------------------------------------------------------------------------- Weiss nicht was ich da machen soll. Auf jeden Fall habe ich die Sachen mit "GReatSearch" angeklickt. Die löscht er auch aber kommen beim Neustart wieder. By Addaware hat er das gefunden: -------------------------------------------------- ArchiveData(auto-quarantine- 21-05-2004 00-14-52.bckp) ====================================================== NEW.NET ŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻ obj[0]=Verzeichnis : D:\Programme\NewDotNet obj[8]=Datei : d:\dokumente und einstellungen\freak\lokale einstellungen\temp\nsj9.tmp\new_net.exe obj[21]=Datei : d:\programme\newdotnet\newdotnet6_22.dll obj[22]=Datei : d:\programme\newdotnet\uninstall6_22.exe obj[35]=Datei : d:\windows\ndnuninstall5_20.exe obj[36]=Datei : d:\windows\ndnuninstall6_22.exe VIRTUALBOUNCER ŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻ obj[1]=Verzeichnis : D:\Programme\VBouncer TRACKING COOKIE ŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻ obj[2]=Datei : d:\dokumente und einstellungen\freak\cookies\freak@180solutions[1].txt obj[3]=Datei : d:\dokumente und einstellungen\freak\cookies\freak@as1.falkag[1].txt obj[4]=Datei : d:\dokumente und einstellungen\freak\cookies\freak@mediaplex[1].txt obj[29]=Datei : d:\windows\temp\cookies\freak@mediaplex[1].txt 180SOLUTIONS ŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻ obj[5]=Datei : d:\dokumente und einstellungen\freak\lokale einstellungen\temp\nsj9.tmp\fleok\msbb.exe obj[6]=Datei : d:\dokumente und einstellungen\freak\lokale einstellungen\temp\nsj9.tmp\msbb.exe obj[7]=Datei : d:\dokumente und einstellungen\freak\lokale einstellungen\temp\nsj9.tmp\ncmyb.dll obj[43]=Datei : d:\windows\wfwxydsx.exe WEBHANCER ŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻ obj[9]=Datei : d:\program files\webhancer\programs\whagent.ini obj[42]=Datei : d:\windows\webhdll.dll obj[44]=Datei : d:\windows\whagent.inf obj[45]=Datei : d:\windows\whinstaller.exe obj[46]=Datei : d:\windows\whinstaller.ini CLEARSEARCH ŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻ obj[10]=Datei : d:\programme\clearsearch\loader.exe obj[23]=Datei : d:\programme\stc\clrschp070.exe ADROTATOR ŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻ obj[11]=Datei : d:\programme\common files\slmss\slmss.exe obj[24]=Datei : d:\programme\stc\slmss.exe obj[32]=Datei : d:\windows\ieasst.dll obj[33]=Datei : d:\windows\mwsvm.bin obj[34]=Datei : d:\windows\mwsvm.exe obj[40]=Datei : d:\windows\urls.bin obj[41]=Datei : d:\windows\vurls.bin SHIELD-BLSS ŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻ obj[12]=Datei : d:\programme\edonkey2000\support\bl-install4.exe EZULA ŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻ obj[13]=Datei : d:\programme\edonkey2000\support\ezstub.exe obj[14]=Datei : d:\programme\ezula\chcon.dll obj[15]=Datei : d:\programme\ezula\eabh.dll obj[16]=Datei : d:\programme\ezula\genun.ez obj[17]=Datei : d:\programme\ezula\mmod.exe obj[18]=Datei : d:\programme\ezula\seng.dll obj[31]=Datei : d:\windows\ezinstall.exe IBIS TOOLBAR ŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻ obj[19]=Datei : d:\programme\gemeinsame dateien\wintools\btiein.dll obj[20]=Datei : d:\programme\gemeinsame dateien\wintools\wintools.exe obj[26]=Datei : d:\programme\toolbar\iexploreskins.exe SECONDTHOUGHT ŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻ obj[25]=Datei : d:\programme\stc\stc.exe obj[28]=Datei : d:\windows\system32\idleui.dll DIALXS ŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻ obj[27]=Datei : d:\windows\downloaded program files\dialxs.ocx VX2.BETTERINTERNET ŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻ obj[30]=Datei : d:\windows\alchem.exe obj[38]=Datei : d:\windows\preinstt.exe obj[39]=Datei : d:\windows\twaintec.dll WEBDIALER ŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻŻ obj[37]=Datei : d:\windows\ole32ws.dll -------------------------------------------------------------- zeigt keine Wirkung.......... Dann bei Spybot das hier : --------------------------------------------------------------------- DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done) HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3 DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done) HKEY_USERS\S-1-5-21-515967899-492894223-1957994488-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3 DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done) HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3 DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done) HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3 DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done) HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3 --- Spybot - Search && Destroy version: 1.3 --- 2004-05-12 Includes\Cookies.sbi 2004-05-12 Includes\Dialer.sbi 2004-05-12 Includes\Hijackers.sbi 2004-05-12 Includes\Keyloggers.sbi 2004-05-12 Includes\LSP.sbi 2004-05-12 Includes\Malware.sbi 2004-05-12 Includes\Revision.sbi 2004-05-12 Includes\Security.sbi 2004-05-12 Includes\Spybots.sbi 2004-05-12 Includes\Tracks.uti 2004-05-12 Includes\Trojans.sbi ----------------------------------------------------------- Und die anderen haben gar nichts gefunden. Ich weiss nichtmal welche Variante das von Websearch ist. Wenigstens hat Spybot die Hijack Verlinkung blockiert. Trotzdem hängt sich manchmal die Startseite auf. Als Alternative benutze ich Firefox. Aber der gefällt mir nicht so gut. Von der Oberfläche usw. Deswegen würde ich gerne den IE weiter verwenden.Wie kriege ich den Eintrag raus der die Startseite verändert? PS: Ich hatte die ganze Zeit Norton Antivirus laufen das sich regelmäßig selber updated. |
Hallo Andy und Willkommen im Board, schau dir bitte mal diesen Thread an. Das dürfte 'passen'. Edit: Thread verschoben nach 'Trojaner-Info Trojaner, Viren, Würmer' |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 15:46 Uhr. |
Copyright ©2000-2025, Trojaner-Board