Qwertysearch

AliBaba_a333c6 · 7. April 2004 um 16:39

hallo…
habe seit monaten auf einem trechner von mir das problem mit der startseite von I explorer.
ich krieg das nicht raus.
habe mitbekommen das ich das mit hijackthis entfernen kann.
aber ich weiss nicht was ich da löschen soll…
ich kopier mal die Logfile hier rein.

danke im vorraus bye bye.

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\NavNT\vptray.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\FRITZ!\FriFax32.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
C:\WINDOWS\system32\crypserv.exe
C:\Programme\NavNT\defwatch.exe
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\NavNT\rtvscan.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\RealVNC\WinVNC\winvnc.exe
C:\WINDOWS\System32\MsgSys.EXE
C:\Programme\Microsoft Works\MSWorks.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Merlin\Mrl32Srv.exe
C:\Merlin\Merlin4.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen____(name)______\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://qwertysearch123.biz/?id=1017
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://qwertysearch123.biz/?id=1017
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://qwertysearch123.biz/?id=1017
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://qwertysearch123.biz/?id=1017
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://qwertysearch123.biz/?id=1017
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.blazefind.com
O2 - BHO: Clear Search - {00000000-0000-0000-0000-000000000240} - C:\Programme\ClearSearch\IE_ClrSch.DLL
O2 - BHO: (no name) - {00000EF1-0786-4633-87C6-1AA7A44296DA} - (no file)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {71ED4FBA-4024-4bbe-91DC-9704C93F453E} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM…\Run: [vptray] C:\Programme\NavNT\vptray.exe
O4 - HKLM…\Run: [WinVNC] „C:\Programme\RealVNC\WinVNC\winvnc.exe“ -servicehelper
O4 - HKCU…\Run: [MsnMsgr] „C:\Programme\MSN Messenger\MsnMsgr.Exe“ /background
O4 - Startup: FRITZ!fax.lnk = C:\Programme\FRITZ!\FriFax32.exe
O4 - Startup: wkcalrem.LNK = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related (HKLM)
O9 - Extra ‚Tools‘ menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra ‚Tools‘ menuitem: Messenger (HKLM)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://www.stadtplan.sindelfingen.de/vermessung/view…
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsC…
O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/fl…
O16 - DPF: {F5192746-22D6-41BD-9D2D-1E75D14FBD3C} (ddm_download.ddm_control) - http://216.65.38.226/crack.CAB
O17 - HKLM\System\CCS\Services\Tcpip…{2D110F70-2DF7-47CA-B0D3-7C42A247AFEB}: NameServer = 217.5.100.129 194.25.2.129
O17 - HKLM\System\CCS\Services\Tcpip…{A37326B8-3AE6-40B4-A9BD-8521EEC79306}: NameServer = 192.168.120.252,192.168.120.253

PC_Shark_27543c · 8. April 2004 um 08:51

Hallo,

Versuch es mal so:
starte den Registrierungseditor (regedit.exe) und gehe zu
HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel.
Doppelklick auf „HomePage“ und ändere den Wert auf 00 00 00 00.
Überprüfe anschließend sicherheitshalber dein System mit Ad-aware
oder auch mit SpyBot-Search & Destroy auf Malware.

Gruß
Frank

Fred_5ad83a · 8. April 2004 um 12:14

hi,

der cw-shredder hat sich da recht oft bewehrt.

Link zum progi habi nur zaus, aber im www findest ihn sicher.

lg,
fred

AliBaba_a333c6 · 8. April 2004 um 16:43

danke. ich versuchs mal

Fred_5ad83a · 8. April 2004 um 19:49

hi,

http://spychecker.com/program/coolwebshredder.html
http://www.trojaner-info.de/news/spoonweg.shtml

verschiedene tools wie „pest patrol“, „hijack this“ etc.
http://spychecker.com/software/antispy.html

gl,
fred