Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

Verfolgung starten Optionen

Media Ticket Browser Hijacker

Cloud_Strife / 15 Antworten / Baumansicht Nickles

So, ich bin glücklicherweise nicht das Opfer des Media Ticket Hijackers, allerdings ein guter Freund von mir, was wir schon versucht haben:

Spybot Search&Destroy
Antivirenscan (Norton und Bit Defender)
CWShredder
Uninstaller von mediatickets.net

Leider wird immer noch in Abständen eine Seite über den Standardbrowser geöffnet, und sei es das er dafür geladen werden muß, in diesem Falle Mozilla Firefox 0.8DE.

Leider konnte ich über Google keine gescheiten Informationen finden wie man den Hijacker loswird. Ich hoffe ihr könnt da weiterhelfen.

http://www.angelfire.com/mn3/feds0rs/pwn.html
Ich bedanke mich schonmal im Vorraus für hilfreiche Antworten.

bei Antwort benachrichtigen
GarfTermy Cloud_Strife „Media Ticket Browser Hijacker“
Optionen

* nickles hat eine suchfunktion
* google auch
* 3 cm tiefer auf diesem brett wurde das gerade behandelt...

was hindert dich daran etwas nach unten zu scrollen?

;-)

The two basic principles of Windows system administration: For minor problems, reboot For major problems, reinstall
bei Antwort benachrichtigen
Teletom Cloud_Strife „Media Ticket Browser Hijacker“
Optionen

Bitte Hijackthis downloaden, ausführen > scan > save log> Schließen und den log-File- Inhalt hier posten, falls das Problem noch besteht:
http://www.spywareinfo.com/~merijn/files/HijackThis.exe

Gruß
Teletom

bei Antwort benachrichtigen
GarfTermy Cloud_Strife „Media Ticket Browser Hijacker“
Optionen

...noch eine vorsorglicher lösungsansatz...

1. webwasher installieren
2. konfigurieren, zb mit der anti-ad liste des janaservers, oder der hosts aus spybot
3. scripte filtern lassen

oder

1. proxomitron installieren
2. und 3 wie oben

beide filtersysteme sind freeware und vorsorge ist IMMER die beste methode.

;-)

The two basic principles of Windows system administration: For minor problems, reboot For major problems, reinstall
bei Antwort benachrichtigen
Cloud_Strife Nachtrag zu: „Media Ticket Browser Hijacker“
Optionen

@garftermy, ich habe sowohl die Suchfunktion als auch Google benutzt, über die Suchfunktion bekam ich mit den Schlagworten "Media Ticket" nur diesen Thread hier. Google hat bisher auch nicht helfen können. Was deine 3cm angeht ist Humbug, von Media Tickets Hijacker ist da nix zu finden. Da ich 99% der Tipps schon befolgt habe, mal abgesehen von Registry und Festplattenbackups nicht mehr befolgen kann. Wer backupt schon gerne mit vollem Wissen ein infiziertes System?
Der Hijacker hat bisher jedem Versuch widerstanden entfernt zu werden, was ich ersten bemerkenswert finde, da eine Kombination aus CWShredder, Spybot Search&Destroy sowie 2 Virenscannern nicht den ausschlagenden Erfolg gehabt hat. Andererseits finde ich das auch ein wenig beänstigend. Das Problem ist das der Hijacker noch recht neu zu sein scheint, da die URL die im Quelltext auf der Seite im oben genannten Link auftaucht, erst seit dem 9. März 2004 besteht. Ihr könnt euch gerne http://www.mt-downloads.com ansehen, die index.html ist harmlos.


@Teletom Hijack This! Log wird nahgeliefert

bei Antwort benachrichtigen
GarfTermy Cloud_Strife „@garftermy, ich habe sowohl die Suchfunktion als auch Google benutzt, über die...“
Optionen

das richtige suchwort ist eher "browser hijacking". egal. du hast ja schon diverse möglichkeiten probiert - scheinbar ohne erfolg.

ohne die sicherheit, was du für ein problem hast, kannst du dein system nicht reparieren - oder?

doch...

1. daten sichern
2. neu installieren (mit format c:)
3. vorsorge treffen, das so etwas nicht nochmal passiert

wie?

* image vom neuen system ziehen
* persönliche daten nicht auf c speichern
* evtl anderen browser nehmen
* webwasher/proxomitron
* guten virenschutz
* firewall
* to be continued

und...

"lssass.exe" ist verdächtig!

im übrigen schliesse ich mich teletom an.

;-)

The two basic principles of Windows system administration: For minor problems, reboot For major problems, reinstall
bei Antwort benachrichtigen
Cloud_Strife Nachtrag zu: „Media Ticket Browser Hijacker“
Optionen

Logfile of HijackThis v1.97.7
Scan saved at 14:53:39, on 20.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\PROGRA~1\NORTON~1\NORTON~2\GHOSTS~2.EXE
C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
C:\WINDOWS\System32\lssass.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Program files\EPoX\USDM\USDM.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
E:\Programme\mIRC\mirc.exe
D:\Programme\Azureus\Azureus.exe
C:\Programme\Java\j2re1.4.2_03\bin\javaw.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Winamp\winamp.exe
F:\Programme\Adobe\Photoshop CS\Photoshop.exe
D:\Daniel\System\HiJackThis\HijackThis.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [Microsoft Update] lssass.exe
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [EPoXUSDM] "C:\Program files\EPoX\USDM\USDM.EXE" "5000"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\RunServices: [Microsoft Update] lssass.exe
O4 - HKCU\..\Run: [Microsoft Update] lssass.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Tevion Scanner Finder.lnk = C:\Programme\Tevion\ScanWizard 5\ScannerFinder.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: concept/design's onlineTV (HKLM)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38157.2562152778
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4DEE3BC7-255C-4947-8E8F-F2EB60F58747}: NameServer = 217.237.150.97 194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{4DEE3BC7-255C-4947-8E8F-F2EB60F58747}: NameServer = 217.237.150.97 194.25.2.129

Hier ist die Log von HijackThis!

Ich selbst konnte nix allzu auffälliges entdecken, hab aber auch net so viel Ahnung in der Interpretation^^''.

bei Antwort benachrichtigen
Teletom Cloud_Strife „Media Ticket Browser Hijacker“
Optionen

Thx,

ansonsten alles OK
Deutet nicht auf ein Browser- Hijacking hin, eher auf ein Virus.

Bitte Systemwiederherstellung deaktivieren:
«Start/Systemsteuerung/Leistung und Wartung/System/Systemwiederherstellung» indem die Option «Systemwiederherstellung auf allen Laufwerken deaktivieren» mit einem Häckchen versehen wird.

Taskmanager mit strg+alt+entf starten und sofort den Prozess lssass.exe benden.
ACHTUNG nicht mit lsass.exe verwechseln!!!
L dann 2 mal s dann a dann 2 mal s dann .exe = lssass.exe beenden.

(Falls man das Programm nicht beenden kann, System im abgesicherten Zustand starten)

Hijackthis starten> scan
Folgendes durch Haken reinklicken auswählen:
O4 - HKLM\..\Run: [Microsoft Update] lssass.exe
O4 - HKLM\..\RunServices: [Microsoft Update] lssass.exe
O4 - HKCU\..\Run: [Microsoft Update] lssass.exe
fix checked> anklicken

Start> Ausführen > regedit (enter) eingeben und folgende Pfade einstellen
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
lssass.exe Eintrag falls vorhanden weglöschen.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
lssass.exe Eintrag falls vorhanden weglöschen.

Datei C:\WINDOWS\System32\lssass.exe weglöschen.

Was ist C:\Program files\EPoX\USDM\USDM.EXE für ein Programm?
Falls das nicht bekannt ist, genauso wie lssass.exe behandeln.
Beenden mit Hilfe das Taskmanager,
HiJackthis > Scan
O4 - HKLM\..\Run: [EPoXUSDM] "C:\Program files\EPoX\USDM\USDM.EXE" "5000"
auswählen fix checked
regedit
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
C:\Program files\EPoX\USDM\USDM.EXE Eintrag falls vorhanden weglöschen
Datei C:\Program files\EPoX\USDM\USDM.EXE löschen

Bliebe noch zu klären, was D:\Programme\Azureus\Azureus.exe ist.
Evtl. beenden und weglöschen.

Falls alles bestens läuft, unbedingt mit erunt die Registry sichern.
(siehe 3cm tiefer)

HTH
Gruß
Teletom

bei Antwort benachrichtigen
Cloud_Strife Nachtrag zu: „Media Ticket Browser Hijacker“
Optionen

Azureus ist ein Bit Torrent Client, der ist harmlos^^

Was USDM angeht werde ich ihn mal fragen ob der das kennt.

Werde ihm mal deine Ratschläge zukommen lassen, mal schaun was rauskommt.

bei Antwort benachrichtigen
Cloud_Strife Nachtrag zu: „Media Ticket Browser Hijacker“
Optionen

Ok, das USDM ist ein Tool von Epox: unified system diagnostic manager.

Ist von der Mainboard Software.

Ich kann euch ausrichten das dieses Problem nicht mehr auftritt, möchte euch im Namen meines Freundes ein Danke ausrichten^^.

Auch ich sag mal Danke und "Bis zum nächsten Mal"^^

bei Antwort benachrichtigen
Teletom Cloud_Strife „Media Ticket Browser Hijacker“
Optionen

Hi,

freut mich.

Nach der Säuberung solltest Du mindestens die Registry sichern und
EruNt einsetzen (Emergency Recovery Utility for NT).

http://home.t-online.de/home/lars.hederer/erunt/erunt.zip
downloaden und in ein Verzeichnis z.B. C:\Programme\Erunt extrahieren.
Im Explorer nach C:\Programme\Erunt wechseln und erunt.exe doppelt anklicken und somit starten - OK
Haken setzen bei Andere geöffnete Benutzerregistrierungen OK
Ordner ex. nicht C:\ERDNT Erstellen? Ja
Sicherung läuft Registry wird in C:\ERDNT gesichert.
Abgeschlossen OK

Falls Du wieder Probleme mit der Registry hast, z.B. Trojaner oder Browser Hijacking, brauchst Du das System nur möglichst im abgesicherten Modus zu starten, im Explorer nach C:\ERDNT zu wechseln und die ERDNT.EXE durch Doppelklick auszuführen. Das System muss anschließend neu gestartet werden und nach dem Neustart hast Du wieder den alten sauberen Zustand der Registry zum Zeitpunkt der Erunt- Sicherung.

Gruß
Teletom

bei Antwort benachrichtigen
halloenno Cloud_Strife „Media Ticket Browser Hijacker“
Optionen

Guten Abend allerseits,

dachte, ich wäre fit genug,
alleine klar zu kommen, aber is nich.

bei mir läuft noch win98 se auf einem alten aber großartigen notebook :-) und ich hab mir was eingefangen.

hab sämtliche foren durchwühlt, programme installiert und gescannt, nix zu machen, der virus/wurm/? ist hartnäckig.

hijackthis bringt folgendes (hab die internet explorer geschichten schon "gefixt"):
Logfile of HijackThis v1.97.7
Scan saved at 23:44:20, on 22.06.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\IPMT32.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\NORTON UTILITIES\NPROTECT.EXE
C:\WINDOWS\SYSTEM\IRMON.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE
C:\WINDOWS\IRXFER.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZAPRO.EXE
C:\WINDOWS\SYSTEM\IEBG32.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\A HIJACK THIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://home.microsoft.com/access/autosearch.asp?p=%s
O2 - BHO: (no name) - {1EADCC41-3931-38A3-FB28-0FF201DF6EE5} - C:\WINDOWS\D3WH.DLL
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [NPROTECT] C:\Programme\Norton Utilities\NPROTECT.EXE
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [IrMon] IrMon.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\ADVTOOLS\ADVCHK.EXE
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zapro.exe
O4 - HKLM\..\Run: [IEBG32.EXE] C:\WINDOWS\SYSTEM\IEBG32.EXE
O4 - HKLM\..\Run: [LEDTRAY] C:\PROGRA~1\GEMEIN~1\SCM\LEDTRAY.EXE
O4 - HKLM\..\Run: [ICONFIG] C:\PROGRA~1\GEMEIN~1\SCM\ICONFIG.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton Personal Firewall\IAMAPP.EXE
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [IPMT32.EXE] C:\WINDOWS\SYSTEM\IPMT32.EXE
O4 - HKLM\..\RunServices: [nisserv] C:\Programme\Norton Personal Firewall\NISSERV.EXE
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe
O9 - Extra button: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)

wer kann helfen?

1000 dank
andreas

bei Antwort benachrichtigen
Teletom Cloud_Strife „Media Ticket Browser Hijacker“
Optionen

Hi,

verdächtig ist D3WH.DLL.

Falls nicht bekannt, unbedingt deaktivieren:

Notepad öffnen und das fett Dargestellte per drag & drop einfügen:

REGEDIT4

[HKEY_CLASSES_ROOT\CLSID\{1EADCC41-3931-38A3-FB28-0FF201DF6EE5}

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{1EADCC41-3931-38A3-FB28-0FF201DF6EE5}"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]

"{1EADCC41-3931-38A3-FB28-0FF201DF6EE5}"=-


Datei > Speichern > Typ Alle Dateien > Speichern in: Desktop einstellen> Dateiname: D3WH.REG > Schließen

Starte System im abgesicherten Zustand (F8 beim Booten drücken > abgesicherter Zustand)
Schließe alle Programme auch den Internet Browser.
Starte hijackthis und setze folgende Checkbox (Haken setzen):
O2 - BHO: (no name) - {1EADCC41-3931-38A3-FB28-0FF201DF6EE5} - C:\WINDOWS\D3WH.DLL

"fix checked" ausführen!!!
Schließen

D2WH.REG auf dem Desktop doppelt anklicken und in die Registry importieren.

Was ist C:\WINDOWS\SYSTEM\IPMT32.EXE?

Und HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe mit regedit ansehen (falls unbekannt, weglöschen)

HTH
Gruß
Teletom

PS: Vergiss nicht, die saubere Registry z.B. mit ERU von MS zu sichern !!!!

bei Antwort benachrichtigen
halloenno Teletom „Hi, verdächtig ist D3WH.DLL. Falls nicht bekannt, unbedingt deaktivieren:...“
Optionen

das wird heute abend probiert. besten dank auf jeden fall. wenn's funzt: wie kann ich mich revanchieren?
andreas

bei Antwort benachrichtigen
Teletom halloenno „das wird heute abend probiert. besten dank auf jeden fall. wenn s funzt: wie...“
Optionen

>wie kann ich mich revanchieren?

in dem Du antwortest, ob alles ok ist. :)

bei Antwort benachrichtigen
halloenno Cloud_Strife „Media Ticket Browser Hijacker“
Optionen

Tja, hab alles so gemacht wie beschrieben (danke nochmal!) und anschließend hat immerhin norton 2 trojaner erkannt (scanregw und taskmon).

hijack bringt jetzt folgendes ergebnis:
Logfile of HijackThis v1.97.7
Scan saved at 00:00:26, on 26.06.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\NORTON UTILITIES\NPROTECT.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\IRMON.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE
C:\WINDOWS\IRXFER.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZAPRO.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\A HIJACK THIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://69.50.173.251/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.173.251/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.173.251/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://69.50.173.251/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://69.50.173.251/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://69.50.173.251/search.php
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://69.50.173.251/search.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.173.251/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.173.251/search.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.173.251/search.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://69.50.173.251/search.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://69.50.173.251/search.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://69.50.173.251/search.php
R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://69.50.173.251/search.php
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://69.50.173.251/search.php
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [NPROTECT] C:\Programme\Norton Utilities\NPROTECT.EXE
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [IrMon] IrMon.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\ADVTOOLS\ADVCHK.EXE
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zapro.exe
O4 - HKLM\..\Run: [LEDTRAY] C:\PROGRA~1\GEMEIN~1\SCM\LEDTRAY.EXE
O4 - HKLM\..\Run: [ICONFIG] C:\PROGRA~1\GEMEIN~1\SCM\ICONFIG.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton Personal Firewall\IAMAPP.EXE
O4 - HKLM\..\Run: [winupd] C:\WINDOWS\SYSTEM\winupd.exe
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [nisserv] C:\Programme\Norton Personal Firewall\NISSERV.EXE
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe
O9 - Extra button: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?38163.6023611111



weiß auch nicht, warum ich keine IE updates installieren kann (verbindung klappt nicht) und warum mozilla firefox sich nicht mit dem www verbinden lässt.

Unter Systemsteuerung/Software sind 3 "Programme", die sich nicht deinstallieren lassen:
Home Search Assistent
Search Extender und
Shopping Wizard

Meldung: http://looking-for.cc/uninstall/ShoppingWizard.html konnte nicht gefunden werden.

Bin für Tipps dankbar.

Alles sehr mysteriös. Und wenn man bedenkt, dass ein Kollege bei BMW 2(!) Tage nicht arbeiten konnte, weil die einen Virus nicht in den Griff bekommen haben, erst recht...

Gute Nacht
martin

bei Antwort benachrichtigen