hartnäckiges cookie (?)

Chadov · 11.08.2004

Heute hab ich meine Festplatte formatiert und XP + Programme wieder installiert. Nun hab ich aber soetwas wie ein cookie drin, das meine startseite nach jedem neustart auf mysearchnow.com umstellt und außerdem meine favouriten, desktop mit links wie online casino vollmüllt. dazu war noch eine toolbar dieser seite installiert und ich bekomme am anfang erstmal einpaar popupfenster von dieser casinoseite, die auch ein werbe und popupblocker nich blockiert. jetzt hab ich alle temp.internetdateien gelöscht, antivir und spybot drüberlaufen lassen, aber es kommt immernoch.

hat jemand ne idee?

Link editiert

PCDpan_fee · 11.08.2004

schau nach, ob es unter Systemsteuerung/Software drin steht und versuch es mal mit dem Tool CoolWebShredder

auch mal lesen:
http://www.wintotal.de/Tipps/Eintrag.php?TID=873

pan_fee

Chadov · 11.08.2004

äähhh ja, ungünstigerweise geht die weiterleitung bei den beiden downloads, die da angeben sind nicht, ich bekomme nur immer wieder diese nervige searchsite.

wärst du so liebenswert, mir diese beiden kleinen proggis mal als mail zu schicken oder so? büddää!

diese seite nervt -.-

PCDpan_fee · 11.08.2004

Chadov schrieb:
wärst du so liebenswert, mir diese beiden kleinen proggis mal als mail zu schicken oder so? büddää!

ist unterwegs

pan_fee

Chadov · 12.08.2004

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\soundman.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Messenger Plus! 3\MsgPlus.exe
c:\progra~1\intern~1\iexplore.exe
c:\progra~1\intern~1\iexplore.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\chadov\LOKALE~1\Temp\Rar$EX00.312\HijackThis.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Trillian\trillian.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.fpzroislyisfbutpfuideqwm...CmIveQGscP2rlHNLqrIfehcSJsucfQOWDfmWX_lP.html
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [MessengerPlus3] C:\Programme\Messenger Plus! 3\MsgPlus.exe
O4 - HKLM\..\Run: [insidebat] C:\PROGRA~1\Less Store Move\Default Jump Meet.exe
O4 - HKLM\..\Run: [dalebenddrawamen] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RuleAtomDaleBend\GramDvd.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_link.htm
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra->Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra->Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{9A410797-40B8-4A32-BD95-1BDDA2CAF1C3}: NameServer = 62.104.191.241 62.104.196.134

Das is das log.
ganz oben, der R0, das is der übeltäter, doch er kommt immer und immer wieder. ich hab die systemwiederherstellung deakt. und alle anderen fenster geschlossen, aber trotzdem... was sollschn jetzt machn?

smartie · 12.08.2004

Erst mal alle laufenden Programme schließen (vor allem den IE) und das komplette Log posten, inkl. BS-/IE-Version. Eben wie es in PCDpan_fee's Anleitung steht.

Chadov · 12.08.2004

Logfile of HijackThis v1.98.0
Scan saved at 10:42:16, on 12.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\soundman.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Messenger Plus! 3\MsgPlus.exe
c:\progra~1\intern~1\iexplore.exe
C:\WINDOWS\System32\ctfmon.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\chadov\LOKALE~1\Temp\Rar$EX00.422\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mysearchnow.com/passthrough/index.html?http://about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://wsfrlmwqfvxar.com/MV_j/wqVE2hQ1RBzv7TQgR3NCmIveQGscP2rlHNLqrLd28mRRsTKhwOWDfmWX_lP.html
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [MessengerPlus3] C:\Programme\Messenger Plus! 3\MsgPlus.exe
O4 - HKLM\..\Run: [insidebat] C:\PROGRA~1\Less Store Move\Default Jump Meet.exe
O4 - HKLM\..\Run: [dalebenddrawamen] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RuleAtomDaleBend\GramDvd.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_link.htm
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra->Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra->Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

so, hier das ganze.
es waren alle programme zu,außer einmal Windows Explorer, und das was im autostart steht .. antivir, zonealarm etc.

PCDpan_fee · 12.08.2004

hast du schon die anderen Tools ausgeführt, die ich dir geschickt habe? ???

pan_fee

Flocke · 12.08.2004

Hm, offensichtlich taucht der IE aber immer noch in den laufenden Prozessen auf...

Naja, mal folgendes fixen:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mysearchnow.com/passthrough/index.html?http://about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://wsfrlmwqfvxar.com/MV_j/wqVE2hQ1RBzv7TQgR3NCmIveQGscP2rlHNLqrLd28mRRsTKhwOWDfmWX_lP.html

und bei dem hier solltest du mal schauen, ob du das kennst bzw. ob dir das was sagt, mir sagt es jedenfalls nix:
O4 - HKLM\..\Run: [dalebenddrawamen] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RuleAtomDaleBend\GramDvd.exe

PCDpan_fee · 12.08.2004

Chadov schrieb:
O4 - HKLM\..\Run: [insidebat] C:\PROGRA~1\Less Store Move\Default Jump Meet.exe

und das würde mich auch noch interessieren, für meine Liste :

pan_fee

Chadov · 12.08.2004

Logfile of HijackThis v1.98.0
Scan saved at 11:57:17, on 12.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\soundman.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Messenger Plus! 3\MsgPlus.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Dokumente und Einstellungen\chadov\Desktop\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.iavkijvttzyqlsb.com/MV_j/wqVE2hQ1RBzv7TQgR3NCmIveQGscP2rlHNLqrInKrhbUr7fcQOWDfmWX_lP.html
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [MessengerPlus3] C:\Programme\Messenger Plus! 3\MsgPlus.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra->Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe

So, das ist das scanergebnis nachdem ich mal flashget und die googletoolbar entfernt hab (nur der übersichtlichkeit halber... das war soviel)

ich hab die beiden angesprochenen hinweise
O4 - HKLM\..\Run: [insidebat] C:\PROGRA~1\Less Store Move\Default Jump Meet.exe
O4 - HKLM\..\Run: [dalebenddrawamen] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RuleAtomDaleBend\GramDvd.exe

mal mit entfernt, weil sie mir auch unbekannt waren. hat sich aber nichts getan.

die anderen beiden tools haben angezeigt, mein system wäre sauber.

Chadov · 12.08.2004

O17 - HKLM\System\CCS\Services\Tcpip\..\{9A410797-40B8-4A32-BD95-1BDDA2CAF1C3}: NameServer = 62.104.191.241 62.104.196.134

das taucht auch immer mal wieder auf, auch wenn ichs mal gelöscht hatte.

PCDpan_fee · 12.08.2004

Chadov schrieb:
O17 - HKLM\System\CCS\Services\Tcpip\..\{9A410797-40B8-4A32-BD95-1BDDA2CAF1C3}: NameServer = 62.104.191.241 62.104.196.134

Domäne zum ISP, dein Provider ist wohl Freenet.

pan_fee

Chadov · 12.08.2004

ich weiß nich wie, aber nachdem ich immer wieder dasselbe gemacht hab, bei jedem start gescannt etc. isses dann irgendwann einfach so weg gewesen und seitdem nimmer aufgetaucht ..

warum nicht gleich so *gg*

achso, na dann ^^ nee, nich mein provider, aber ich hab mailaddis dort.

also dann Danke danke für die hilfe ^^

hartnäckiges cookie (?)

Chadov

PCDpan_fee

Chadov

PCDpan_fee

Chadov

smartie

Chadov

PCDpan_fee

Flocke

PCDpan_fee

Chadov

Chadov

PCDpan_fee

Chadov

hartnäckiges cookie (?)

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums