Hallo zusammen,
Hab mir was eingefangen, was ich gar nicht mag. Mein Internet Explorer 5 geht als Startseite jetzt auf eine Suchsite namens Home Search, die ich gar nicht haben will. Interessanterweise steht in der Adressleiste nach wie vor „about:blank“, wie ich es auch eingegeben habe. Weder SpyBot noch AdAware koennen mir die Home Search Seite killen. Weiss irgendeiner ein Programm, das es kann?
Verzweifelte Gruesse
Ralph
CWShredder und co
Hallo zusammen,
Hab mir was eingefangen, was ich gar nicht mag. Mein Internet
Explorer 5 geht als Startseite jetzt auf eine Suchsite namens
Home Search, die ich gar nicht haben will. Interessanterweise
steht in der Adressleiste nach wie vor „about:blank“, wie ich
es auch eingegeben habe. Weder SpyBot noch AdAware koennen mir
die Home Search Seite killen. Weiss irgendeiner ein Programm,
das es kann?
Guck mal da:
http://www.trojaner-info.de/hijacker/entfernung.shtml
(Es lohnt sich auch mal allgemein auf der Site rumzustöbern)
Verzweifelte Gruesse
Kopf hoch, das wird schon
Gruesse auch und viel Erfolg
Ralph
Stefan
Hallo Stefan,
nuetzliche Seite, das, vielen Dank. Half aber nicht. Der CWShredder bringt mir beim Start die Meldung "You have a variant of the CoolWeb Trojan (CWS.SmartSearch.2) that has attempted to close CWShredder…
Wenn ich CWS laufen lasse, bricht er mit einer Fehlermeldung (Could not read referenced memory…) ab. Ich hab dann mit HijackThis alles vernichtet, was mir sicher aussah und nochmal CWS probiert, hilft aber auch nix, es kommt die gleiche Fehlermeldung.
Noch irgendwelche Ideen?
Ralph
Hallo Stefan,
Falls es es hilft, hier das log von HijackThis:
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchAssistant = ,
R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = ,
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = ,
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\kpfxi.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\kpfxi.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\kpfxi.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\kpfxi.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\kpfxi.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\kpfxi.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\kpfxi.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://69.50.184.51/find4u/sp.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by ABB
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 130.110.199.14:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *hot-searches.com*;*lender-search.com*
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O1 - Hosts file is located at: C:\WINNT\nsdb\hosts
O1 - Hosts: 81.211.105.69 lender-search.com
O1 - Hosts: 81.211.105.68 hot-searches.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {DC595BDB-3E5B-97B5-7438-7D818EF3DD19} - C:\WINNT\atliz.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM…\Run: [TrackPointSrv] tp4serv.exe
O4 - HKLM…\Run: [LTWinModem1] ltmsg.exe 9
O4 - HKLM…\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM…\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM…\Run: [PRPCMonitor] PRPCUI.exe
O4 - HKLM…\Run: [ZENRC Tray Icon] zentray.exe
O4 - HKLM…\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM…\Run: [PDTray] C:\Program Files\ThinkPad\Utilities\Pdtray.exe
O4 - HKLM…\Run: [EPSON Stylus C82 Series (Copy 2)] C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S0HIC1.EXE /P32 „EPSON Stylus C82 Series (Copy 2)“ /O6 „USB001“ /M „Stylus C82“
O4 - HKLM…\Run: [EPSON Stylus C82 Series] C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S0HIC1.EXE /P23 „EPSON Stylus C82 Series“ /O6 „USB001“ /M „Stylus C82“
O4 - HKLM…\Run: [TkBellExe] „C:\Program Files\Common Files\Real\Update_OB\realsched.exe“ -osboot
O4 - HKLM…\Run: [ntce32.exe] C:\WINNT\ntce32.exe
O4 - HKCU…\Run: [seticlient] c:\ralph\seti[[email protected]](mailto:[email protected]) -min
O4 - Global Startup: ABB Inc. Security Group SRA (VPN) Client.lnk = C:\Program Files\Cisco Systems\VPN Client\ipsecdialer.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://inside.abb.com
O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} (InstallShield International Setup Player) - http://www.installengine.com/engine/isetup.cab
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = lum.us.abb.com,lga.us.abb.com,lum.nl.abb.com
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = lum.us.abb.com,lga.us.abb.com,lum.nl.abb.com
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: SearchList = lum.us.abb.com,lga.us.abb.com,lum.nl.abb.com
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = lum.us.abb.com,lga.us.abb.com,lum.nl.abb.com
O19 - User stylesheet: (file missing)
O21 - SSODL: systemie - {65451E85-5CD1-46D5-B523-89A59487E948} - systemie.dll (file missing)
Ich hab dabei schon einiges geloescht, was mir sicher vorkam (Hab die Eintraege ueber die Hijack website pruefen lassen)
Ralph
Hab noch was vergessen: Eintraege wie
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\kpfxi.dll/sp…
fuehren auch auf eine Suchseite, koennte ich also loeschen. Muss ich dazu nur die registry oeffnen, den entsprechenden Eintrag markieren und delete druecken? Ich hab noch nie manuell die registry geaendert, sprich bin ein DAU.
Ralph
Hab mir was eingefangen, was ich gar nicht mag. Mein Internet
Explorer 5 geht als Startseite jetzt auf eine Suchsite namens
Home Search, die ich gar nicht haben will. Interessanterweise
steht in der Adressleiste nach wie vor „about:blank“, wie ich
es auch eingegeben habe. Weder SpyBot noch AdAware koennen mir
die Home Search Seite killen. Weiss irgendeiner ein Programm,
das es kann?
Wenn du das Problem wirklich ‚killen‘ willst, ist deine einzige Option die vollständige Neuinstallation. Alle anderen Massnahmen sind nicht weiter als Augenwischerei. Ich empfehle dir das gründliche Studium folgenden Artikels: http://www.heise.de/security/artikel/52988
Leg aber vorher eine Kotztüte parat,
Schorsch
Hi,
für die Zukunft zu empfehlen: regelmässige Festplattenimages mit einem passenden Tool (ich nehme Norton Ghost, es gibt aber auch andere) anfertigen, dann ist das Neuinstallieren das gesamten Systems incl. aller Software in einigen Minuten automatisch gemacht, meist muss ich nur ein paar Updates runterladen und alles ist wie vorher.
A.