CwsShredder/Hijackthis update????

  • #1
B

Beachelch

Guest
Hallo zusammen.
Habe folgendes Problem beim starten von Cws Shredder. Erfolgt folgende anzeige:CWS.Smartsearch.2.blockiert Cws Shredder.
Updates lassen sich ebenfalls nicht abrufen. Beim anschließenden Scan zeigt er aber an das das System sauber ist. Hijackthis lässt sich ebenfalls nicht mehr updaten. Sowohl Cws SH.. als auch Hijackthis Seiten nicht vorhanden Server nicht erreichbar. Ein Scan mit Spybot/Norton war auch ohne Ergebnis. Habe auch keine andere Startseite oder sonstige verdächtigen Seiten oder POPups.
Habe gestern noch Hijack von 1.98.0 auf 1.98.1 upgedatet. Kanns damit zu tun haben? Habe mal ein Scan von Hijackthis mit reingestellt vielleicht kann mir ja einer eine Auskunft geben was das mit Smartsearch.2 auf sich hat.
Schon ml vielen Dank im vorraus.
Beachelch


Logfile of HijackThis v1.98.1
Scan saved at 21:09:50, on 04.08.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\ATI2EVXX.EXE
C:\PROGRAMME\NORTON INTERNET SECURITY\NISSERV.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\NORTON INTERNET SECURITY\NISUM.EXE
C:\PROGRAMME\NORTON INTERNET SECURITY\SYMPROXYSVC.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
C:\WINDOWS\SYSTEM\HPZTSB04.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\WORKS SHARED\WKUFIND.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\NORTON INTERNET SECURITY\IAMAPP.EXE
C:\PROGRAMME\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE
C:\EIGENE DATEIEN\DOWNLOAD PROGRAMME\TRANSPARENT PROG\TRANSPARENTB.EXE
C:\PROGRAMME\NORTON INTERNET SECURITY\ATRACK.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\EIGENE DATEIEN\DOWNLOAD PROGRAMME\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.rz-online.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb04.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE
O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton Internet Security\IAMAPP.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [ATIPOLAB] ati2evxx.exe
O4 - HKLM\..\RunServices: [ScriptBlocking] C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe -reg
O4 - HKLM\..\RunServices: [nisserv] C:\Programme\Norton Internet Security\NISSERV.EXE
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\PROGRAMME\SPYBOT - SEARCH & DESTROY\TeaTimer.exe
O4 - Startup: Erinnerungen in Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
O4 - Startup: Verknüpfung mit TransparentB.lnk = C:\Eigene Dateien\Download Programme\transparent Prog\TransparentB.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra->Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra->Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab
 
  • #2
Hallo

bei CWS und Hijackthis kommt's öfter mal vor, dass der Update-Server nicht erreichbar ist (ist mit gestern abend auch passiert), insofern ist das nichts Besonderes.

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb04.exe ist das von einem HP-Drucker?

O9 - Extra->Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -
C:\WINDOWS\web\related.htm

sind mir suspekt, würde ich fixen

O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab

hier bin ich mir nicht sicher, ob das schädlich ist. Kennen die Experten hier aber sicherlich besser als ich......ich würd's fixen
 
  • #3
Hallo Dakota.
Schon mal vielen Dank für deine Auskünfte.

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb04.exe ist das von einem HP-Drucker?

Ja ist ein HP Drucker.

O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab

Brauch ich bei Ebay zum hochladen von Bildern.

O9 - Extra->Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

Bei dem Eintrag bin ich auch nicht so sicher was es ist. Warte aber besser noch etwas ab vielleicht was ja einer was genaueres.
Nochmal vielen Dank Dakota für die Auskünfte.
Beachelch
 
  • #4
den

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL

hat keine funktion mehr

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra->Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

http://www.pestpatrol.com/PestInfo/r/relatedlinks.asp

greetz

hugo
 
  • #5
Hallo hp.
Danke für die Auskunft.
Bin im Moment etwas begriffstutzig(Es ist noch zu früh um richtig zu denken) ;). Bedeutet es das ich die 3 Eiträge fixen kann?
Nochmals vielen Dank
Beachelch
 
  • #6
ja, kannst du fixen ...

greetz

hugo
 
  • #8
Hallo zusammen. :)
Habe die 3 Einträge gefixt. Leider lief danach der Spybot nicht mehr.
Habe folgenden Eintrag wieder hergestellt:
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
Danach lief er wieder.
Beim Gebrauch vom CwShredder kommt immer noch folgender Hinweis:
CWS.Smartsearch.2.blockiert Cws Shredder
Updaten von Cws und Hij.this geht immer noch nicht auch die Homepage ist nicht erreichbar. Hab das ganze auch mal von meinem rechner auf der Arbeit ausprobiert da komm ich sofort auf die Homepageseiten. Dort war auch ein Hinweis auf ein Entfernungstool für:CWS.Smartsearch.2 .
Kann das Tool aber nicht Downloaden da ich kein Admin bin nur einfacher nutzer.
Hat von euch noch einer eine Idee wie man dieses mergwürdige Teil wieder los wird???????
Schonmal vielen Dank für die Hilfe
Beachelch
 
  • #9
Schau dir mal zu Hause die Einträge deiner Datei Hosts.sam an.
Diese kannst Du mit Notepad öffnen.

Da sollte, sofern Du da nichts eingetragen hast, nur die IP 127.0.0.1 Localhost drinstehen.

Den Rest den Du da nicht eingetragen hast kannst Du dann löschen.

Die Datei findest Du im Windows-Verzeichnis

Anschließend solltest Du dich auch wieder mit den Webseiten verbinden können um deine Programme zu aktualisieren.

PS: Wenn Du dir nicht sicher bist was Du löschen sollst, kann Du ja den Inhalt hier posten.
 
  • #10
Hallo Blabla.
Danke für die Auskunft bin aber leider nicht der user an sich sondern eher der wo die Kiste laufen. Kannst du mir bitte genau denn pfad beschreiben wie ich an diese Host .sam rankomme.
System ist win 98 se.
Wäre supernett von dir.
Danke Beachelch
 
  • #11
Der Pfad sollte C:\WINDOWS\hosts.sam sein
 
  • #12
Hasllo Blabla.
Danke schonmal.
Da ich mir absolut nicht sicher bin stell ich mal das ganze hier rein.

# Copyright (c) 1998 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP stack for Windows98
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a->#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host

127.0.0.1 localhost

Wäre nett von dir wenn du mir sagen könntest was ich jetzt damit anfangen soll???
Beachelch
 
  • #13
Die Hosts.sam ist sauber.
Lass sie so wie sie ist.

Ich schau mir mal dein Logfile von HiJackThis noch mal an
 
  • #14
wennschon, dann schau dir lieber die hosts an (die wird nähmlich in tcp/ip genommen) und nicht die hosts.sam (das ist nur eine beispieldatei). wenn in der hosts datei einträge außer dem localhost (127.0.0.1) drinsteht und du sie nicht selber dort eingetragen hast, dann solltest du die einträge (außer localhost) löschen...

greetz

hugo
 
  • #15
Hugo hat recht :-[

Hab ich doch wieder mal was verwechselt.

Dachte bei Win 9x heisst die so :-[

Edit; In deinem Logfile konnte ich nichts aussergewönliches feststellen.
Ausser das was die anderen schon beanstandet hatten.
 
  • #16
hp schrieb:
wennschon, dann schau dir lieber die hosts an (die wird nähmlich in tcp/ip genommen) und nicht die hosts.sam (das ist nur eine beispieldatei). wenn in der hosts datei einträge außer dem localhost (127.0.0.1) drinsteht und du sie nicht selber dort eingetragen hast, dann solltest du die einträge (außer localhost) löschen...

greetz

hugo
Zum Vergrößern anklicken....

Ich kann dir leider nicht so ganz folgen (Gründe siehe oben).
Mal ganz einfach ausgedrückt bei mir ist nichts außergewöhnliches zu sehen.
Außer das ich nicht auf die seiten von Hijthis und CwS... komme. Warum auch immer????
Versteh ich das richtig?
Ich danke schon mal allen für die Mühen die sie mit mir hatten. Falls es doch noch eine Lösundg des Probl. gibt immer her damit.
ich versuch jetzt erstmal rauszubekommen was das hier nochm,al sein soll:
CWS.Smartsearch.2.

Schönen Tag der
Beachelch
 
  • #17
ich hab ja nur hingewsiesen, daß du in die falsche host datei geschaut hast, da gibts nicht viel zum folgen ... und das die update-webseiten von cwshredder und hijackthis oft nicht erreichbar sind ist auch schon fast normal ...

greetz

hugo
 
  • #18
Hallo HP.
Ich wollte keinem auf die Füße tretten kam wohl etwas falsch rüber sorry.
In welches Host muß ich denn nun reinschauen??
Ich Poste denn Inhalt dann!
Vielleicht findet sich ja was.
Danke an alle.
 
  • #19
Hallo Beachelch,

wie Hugo schon bemerkte, hatte ich dir die falsche Datei genannt. die Datei hosts liegt im selben Verzeichnis und hat keine Endung.

Tschuldigung


Edit: spywareinfo.com ist zur Zeit nicht zu erreichen
 
  • #20
Hallo Blabla.
Anbei das Post vom Hosts

Hoffe das ist das richtige da sind noch Hosts vom Spybot vorhanden.
Bei bedarf kann ich die auch noch posten.

# Copyright (c) 1998 Microsoft Corp.
#
# This is a sample LMHOSTS file used by the Microsoft Wins Client (NetBios
# over TCP/IP) stack for Windows98
#
# This file contains the mappings of IP addresses to NT computernames
# (NetBIOS) names. Each entry should be kept on an individual line.
# The IP address should be placed in the first column followed by the
# corresponding computername. The address and the comptername
# should be separated by at least one space or tab. The # character
# is generally used to denote the start of a comment (see the exceptions
# below).
#
# This file is compatible with Microsoft LAN Manager 2.x TCP/IP lmhosts
# files and offers the following extensions:
#
# #PRE
# #DOM:<domain>
# #INCLUDE <filename>
# #BEGIN_ALTERNATE
# #END_ALTERNATE
# \0xnn (non-printing character support)
#
# Following any entry in the file with the characters #PRE will cause
# the entry to be preloaded into the name cache. By default, entries are
# not preloaded, but are parsed only after dynamic name resolution fails.
#
# Following an entry with the #DOM:<domain> tag will associate the
# entry with the domain specified by <domain>. This affects how the
# browser and logon services behave in TCP/IP environments. To preload
# the host name associated with #DOM entry, it is necessary to also add a
# #PRE to the line. The <domain> is always preloaded although it will not
# be shown when the name cache is viewed.
#
# Specifying #INCLUDE <filename> will force the RFC NetBIOS (NBT)
# software to seek the specified <filename> and parse it as if it were
# local. <filename> is generally a UNC-based name, allowing a
# centralized lmhosts file to be maintained on a server.
# It is ALWAYS necessary to provide a mapping for the IP address of the
# server prior to the #INCLUDE. This mapping must use the #PRE directive.
# In addtion the share public in the example below must be in the
# LanManServer list of NullSessionShares in order for client machines to
# be able to read the lmhosts file successfully. This key is under
# \machine\system\currentcontrolset\services\lanmanserver\parameters\nullsessionshares
# in the registry. Simply add public to the list found there.
#
# The #BEGIN_ and #END_ALTERNATE keywords allow multiple #INCLUDE
# statements to be grouped together. Any single successful include
# will cause the group to succeed.
#
# Finally, non-printing characters can be embedded in mappings by
# first surrounding the NetBIOS name in quotations, then using the
# \0xnn notation to specify a hex value for a non-printing character.
#
# The following example illustrates all of these extensions:
#
# 102.54.94.97 rhino #PRE #DOM:networking #net group's DC
# 102.54.94.102 appname \0x14 #special app server
# 102.54.94.123 popular #PRE #source server
# 102.54.94.117 localsrv #PRE #needed for the include
#
# #BEGIN_ALTERNATE
# #INCLUDE \\localsrv\public\lmhosts
# #INCLUDE \\rhino\public\lmhosts
# #END_ALTERNATE
#
# In the above example, the appname server contains a special
# character in its name, the popular and localsrv server names are
# preloaded, and the rhino server name is specified so it can be used
# to later #INCLUDE a centrally maintained lmhosts file if the localsrv
# system is unavailable.
#
# Note that the whole file is parsed including comments on each lookup,
# so keeping the number of comments to a minimum will improve performance.
# Therefore it is not advisable to simply add lmhosts file entries onto the
# end of this file.

Für mich sind das alles spaniche Dörfer.
 
Thema:

CwsShredder/Hijackthis update????

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums

Themen
113.836
Beiträge
707.957
Mitglieder
51.488
Neuestes Mitglied
elkhse
Oben