about:blank

jenskueng · 21.04.2004, 11:01

Hallo

Auch ich bin dem "Startseiten Problem" leider auf die Schliche gekommen. Schon einige Tage beschäftigt mich das Problem. Ich habe schon mehrere Beiträge und Lösungsvorschläge dazu gelesen und verschiedenes probiert. (Antivirus Norton 2004 updated, Systemscan/CWShreeder/Spbot-Destroy&Search) Auch habe ich bereits den Hijack This heruntergeladen und laufen lassen, habe aber betreffend log. keine Ahnung und nur das gelöscht, was mir wirklich "coolwebsearch"-mässiv vorkam.(aus regedit habe ich die Einträge von Coolwebsearch auch gelöscht)
Gestern glaubte ich das Problem gelöst zu haben, die Startseite wurde nicht mehr geändert (auch nach mehrerern Neustarts. Ich habe jetzt wirklich keine Ahnung was ich noch machen soll...

Ich hoffe jemand von euch kann mir helfen, dieses Problem ein für alle Male zu lösen. Im voraus vielen Dank!

Gruss,
Jens

PS. Den Artikel "Browser-Hijacking - Entführung auf unerwünschte Suchmaschinen" und diverse andere Beiträge habe ich bereits gelesen. Ohne weitere Erkenntnisse.

Rene-gad · 21.04.2004, 11:08

Hallo und Willkomen an Board
<blockquote>Zitat:<hr />
Ich habe jetzt wirklich keine Ahnung was ich noch machen soll...
Ich hoffe jemand von euch kann mir helfen, dieses Problem ein für alle Male zu lösen. Im voraus vielen Dank!
[/QUOTE]...Browser-Wechsel löst das Problem radikal und für immer

: Firefox, Mozilla, Opera..... haben Hijacker-Problem (noch) nicht.
Interesses halber: http://www.trojaner-board.de/forum/u...6;t=005159;p=1

Lutz · 21.04.2004, 11:10

Hallo Jens und Willkommen im Board,
<blockquote>Zitat:<hr />...Gestern glaubte ich das Problem gelöst zu haben, die Startseite wurde nicht mehr geändert (auch nach mehrerern Neustarts. Ich habe jetzt wirklich keine Ahnung was ich noch machen soll...[/QUOTE]Und heute hast Du doch wieder ein Problem, oder wie soll ich diesen Satz zu Ende deuten??

Am besten ist es, wenn Du uns mal dein Log von HijackThis postest...

Gruß,
Lutz

jenskueng · 21.04.2004, 11:46

Sorry! Genau, heute ist das Problem wieder augetaucht und bei jedem Internet Explorer erscheint about:blank.

Logfile of HijackThis v1.97.7
Scan saved at 12:47:04, on 21.04.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\gearsec.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton Personal Firewall\NISUM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Norton Personal Firewall\SymProxySvc.exe
C:\Programme\Norton Personal Firewall\NISSERV.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Norton Personal Firewall\IAMAPP.EXE
C:\Programme\FreePDF\FreePDFA.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\Hardcopy\hardcopy.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\Dokumente und Einstellungen\Jens Küng\Desktop\Security\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\eglmca.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\eglmca.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\eglmca.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\eglmca.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\eglmca.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\eglmca.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {CA982910-08DD-4675-873F-05EAAA1EEA58} - C:\WINDOWS\System32\eglmca.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] c:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton Personal Firewall\IAMAPP.EXE
O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Works Update Detection] c:\Programme\Microsoft Works\WkDetect.exe
O4 - Startup: HotSync Manager.lnk = C:\Programme\Sony Handheld\HOTSYNC.EXE
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Hardcopy.LNK = C:\Programme\Hardcopy\hardcopy.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: ConferenceRoom Java Client - http://irc1.bluewin.ch/java/cr.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {093F9CF8-0DE1-491C-95D5-5EC257BD4CA3} - http://akamai.downloadv3.com/binarie...tc32_EN_XP.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} (Fun Web Products Installer Start) - http://imgfarm.com/images/nocache/fu...tup1.0.0.5.cab
O16 - DPF: {1E50B82A-0D78-48B9-97EC-391B2F81CE8A} (IELoaderCtl Class) - http://acxd.freeload.cc/ieloader.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {486E48B5-ABF2-42BB-A327-2679DF3FB822} - http://akamai.downloadv3.com/binaries/IA/ia_XP.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...tatsClient.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://cam02.neuemedienag.ch/activex/AxisCamControl.ocx
O16 - DPF: {CEFB7B49-9652-464F-8AFD-A577C0500F39} (EGP2ECOM Class) - http://akamai.downloadv3.com/binarie...34_pack_XP.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab

Lutz · 21.04.2004, 13:22

Hallo,

im Moment muss Du folgendes fixen:

<blockquote>Zitat:<hr /> R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\eglmca.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\eglmca.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\eglmca.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\eglmca.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\eglmca.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\eglmca.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
...
O2 - BHO: (no name) - {CA982910-08DD-4675-873F-05EAAA1EEA58} - C:\WINDOWS\System32\eglmca.dll [/QUOTE]Folgendes erscheint mir zumindest verdächtig:
<blockquote>Zitat:<hr />O16 - DPF: {093F9CF8-0DE1-491C-95D5-5EC257BD4CA3} - http://akamai.downloadv3.com/binarie...tc32_EN_XP.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} (Fun Web Products Installer Start) - http://imgfarm.com/images/nocache/fu...tup1.0.0.5.cab
O16 - DPF: {1E50B82A-0D78-48B9-97EC-391B2F81CE8A} (IELoaderCtl Class) - http://acxd.freeload.cc/ieloader.cab [/QUOTE]Näheres kann ich Dir hierzu aber erst sagen, wenn ich wieder zu Hause an meinem Rechner bin...

Da dieser 'Mist' aber immer wieder kommt, schlage ich vor, dass Du das fixt, während dein Rechner im abgesicherten Modus gebootet ist. Auch ein Scan mit dem CWShredder im abgesicherten Modus hilft lt. mehrerer Anwenderaussagen.

Du solltest auch mal dein Windows updaten:
<blockquote>Zitat:<hr /> Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
[/QUOTE]Das ist nicht besonders aktuell...

Da es sich aber hier um eine ungepachte Lücke des IE handelt, ist es statistisch gesehen eigentlich nur eine Frage der Zeit, bis Du Dir wieder soetwas einfängst. Daher lege ich Dir einen Browserwechsel nahe...

Gruß,
Lutz

jenskueng · 21.04.2004, 13:46

Vielen Dank. Ich werde die betreffenden Einträge einmal fixen und auch CWShreeder im abges. Modus laufen lassen. Windows werde ich updaten und den Browers wechseln? Was empfiehlst du? Mozilla?

Ich schaue einmal ob das funkt.

Danke vielmals inzwischen!

Lutz · 21.04.2004, 13:59

<blockquote>Zitat:<hr />Was empfiehlst du? Mozilla?[/QUOTE]Da ich persönlich Opera bisher immer stiefmütterlich vernachlässigt habe, kann ich Dir hierzu eigentlich nicht viel sagen, außer eben, dass auch er sicherer ist als der IE.

Und ob nun Mozilla oder Firefox ist für mich persönlich hauptsächlich eine Frage dessen, was Du damit machen willst. Wenn Du einen reinen Browser willst, nimm den Firefox, wenn Du ein Komplettpaket mit Mailprogramm, Newsreader, HTML-Editor,... willst, würde ich die Mozilla-Suite vorziehen.

Lutz

[ 21. April 2004, 15:05: Beitrag editiert von: Lutz (DerBilk) ]

jenskueng · 22.04.2004, 08:38

Guten Morgen

Hier bin ich wieder. Gestern war alles i.O. Startseite hat sich nicht mehr geändert. Heute Morgen beim 1. Start vom IE kam auch noch die richtige Seite, doch als ich ein 2. Fenster öffnete wieder about:blank. Dieser Eintrag ist auch wieder bei den Internetoptionen als Startseiten eintrag gespeichert.

PLEASE HELP! I bin nahe daran zu verzweifeln...

Lutz · 22.04.2004, 10:32

Hallo Jens,

es gibt im Internet mindestens zwei Theorien hierzu:

1.) Die verantwortlichen Dateien werden durch den CWShredder nur scheinbar gelöscht und 'schlummern' weiter.

2.) Die Sicherheitslücke in Internet-Explorer ist noch nicht geschlossen und man infiziert sich deswegen immer wieder neu, wenn man auf entsprechend präparierte Seiten gelangt.

Ich persönliche tendiere mehr zu Variante 2. Ich halte es für relativ unwahrscheinlich, dass der HiJacker auf den betroffenen Systemen schlummert und entweder nach Zeitablauf oder nach x Neustarts sich plötzlich wieder aktiviert. Sicher nicht unmöglich, aber imho doch eher unwahrscheinlich.

Wenn man jetzt -wie ich- unterstellt, dass die 2. Variante zutrifft, hat man imho nur die Möglichkeit auf einen anderen Browser umzusteigen.
Zumindest solange, bis diese Lücke des IE geschlossen wurde. Wobei dann aber noch 'genügend' andere Lücken bleiben...

Gruß,
Lutz

jenskueng · 22.04.2004, 15:46

<blockquote>Zitat:<hr />Original erstellt von Lutz (DerBilk):
hat man imho nur die Möglichkeit auf einen anderen Browser umzusteigen. [/QUOTE]Vielen Dank. Ich habe inzwischen auf Mozilla Firefox gewechselt.

Einen schönen Abend!

jenskueng · 23.04.2004, 17:37

Hallo zusammen

Wie hatte/habe ich da dieses Problem mit der about:blank Seite. Inzwischen habe ich ja auf Mozilla Firefox umgestellt. (benütze nur noch diesen und bin bislang auch nur auf etwa 3 sehr seriösen Seiten gewesen) trotzdem erscheint mir beim CWS Shredder bei Searchx REMOVED und dann noch bei den Interneteinträgen 6 Eitnräge gelöscht. Auch findet HijackThis jeden Tag aufs neue den about:blank Eintrag. (Aber nur diesen einen!)

Das alles ist ja noch halb so schlimm, aber was viel schlimmer ist, ist das mein PC sehr schlecht läuft, teilweise läuft er unendlich langsam! vorher war er immer sehr schnell. Hat das etwas damit zu tun? Was kann ich machen?

Vielen Dank für eure Hilfe.

Lutz · 24.04.2004, 07:32

Hallo Jens,

läuft der Rechner insgesamt langsamer, oder nur wenn Du im Internet bist? So spantan habe ich leider keine Idee, woran das jetzt liegen mag.

Poste doch bitte mal ein aktuelles Log von HiJackThis.

Gruß,
Lutz

jenskueng · 25.04.2004, 08:55

Sorry für die Verspätung (... so langsam läuft der Rechner nun auch nicht wieder

Übrigens danke, dass du mir immer wieder hilfst!

Das Internet läuft momentan normal aber die Programme starten so langsam und werden sehr lansam ausgeführt (oft kommt "keine Rückmeldung") Bis der Rechner nur einmal aufgeschalet ist dauert es eine Ewigkeit...

Ich habe gestern Adware updated und einen Scan gemacht, da hat er 23 neue Objekte gefunden, ich habe diese gelöscht und dachte jetzt ist definitiv gegessen, denkste, --> siehe HijackThis log.

An was kann das nur liegen? Was ich auch nicht loswerde ist diese Reg.-Datei CoolWebSearch Datei (Es muss irgendwie mit dieser zusammenhängen, normalerweise erscheint nur eine, doch heute sieht es horrormässig aus --> siehe Adware log.), jedesmal lösche ich sie in Adware und nach jedem Scan nach dem Start erscheint sie wieder.

Danke im Voraus für deine Mühen.

Logfile of HijackThis v1.97.7
Scan saved at 09:47:07, on 25.04.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\System32\gearsec.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton Personal Firewall\NISUM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Norton Personal Firewall\SymProxySvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton Personal Firewall\NISSERV.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Norton Personal Firewall\IAMAPP.EXE
C:\Programme\FreePDF\FreePDFA.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\Hardcopy\hardcopy.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
c:\Programme\Microsoft Works\MSWorks.exe
C:\Dokumente und Einstellungen\Jens Küng\Desktop\Security\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\djn.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\djn.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\djn.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\djn.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\djn.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\djn.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {FB33F016-9B15-49B5-BC17-BBB31BF36936} - C:\WINDOWS\System32\djn.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] c:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton Personal Firewall\IAMAPP.EXE
O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Works Update Detection] c:\Programme\Microsoft Works\WkDetect.exe
O4 - Startup: HotSync Manager.lnk = C:\Programme\Sony Handheld\HOTSYNC.EXE
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Hardcopy.LNK = C:\Programme\Hardcopy\hardcopy.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: ConferenceRoom Java Client - http://irc1.bluewin.ch/java/cr.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...tatsClient.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://cam02.neuemedienag.ch/activex/AxisCamControl.ocx
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...098.2549421296
O16 - DPF: {CEFB7B49-9652-464F-8AFD-A577C0500F39} (EGP2ECOM Class) - http://akamai.downloadv3.com/binarie...34_pack_XP.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab

Lavasoft Ad-aware Personal Build 6.181
Logfile created on :Sonntag, 25. April 2004 09:53:26
Created with Ad-aware Personal, free for private use.
Using reference-file :01R299 22.04.2004
______________________________________________________

Ad-aware Settings
=========================
Set : Activate in-depth scan (Recommended)
Set : Safe mode (always request confirmation)
Set : Scan active processes
Set : Scan registry
Set : Deep scan registry

25.04.2004 09:53:26 - Scan started. (Smart mode)

Listing running processes
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

#:1 [smss.exe]
FilePath : \SystemRoot\System32\
ThreadCreationTime : 25.04.2004 07:09:25
BasePriority : Normal

#:2 [winlogon.exe]
FilePath : \??\C:\WINDOWS\system32\
ThreadCreationTime : 25.04.2004 07:09:30
BasePriority : High

#:3 [services.exe]
FilePath : C:\WINDOWS\system32\
ThreadCreationTime : 25.04.2004 07:09:31
BasePriority : Normal
FileSize : 99 KB
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
CompanyName : Microsoft Corporation
FileDescription : Anwendung f
InternalName : services.exe
OriginalFilename : services.exe
ProductName : Betriebssystem Microsoft
Created on : 01.10.2002 06:15:38
Last accessed : 25.04.2004 07:09:25
Last modified : 18.08.2001 12:00:00

#:4 [lsass.exe]
FilePath : C:\WINDOWS\system32\
ThreadCreationTime : 25.04.2004 07:09:31
BasePriority : Normal
FileSize : 11 KB
FileVersion : 5.1.2600.1106 (xpsp1.020828-1920)
ProductVersion : 5.1.2600.1106
CompanyName : Microsoft Corporation
FileDescription : LSA Shell (Export Version)
InternalName : lsass.exe
OriginalFilename : lsass.exe
ProductName : Microsoft
Created on : 01.10.2002 06:15:15
Last accessed : 25.04.2004 07:09:25
Last modified : 29.08.2002 10:43:40

#:5 [svchost.exe]
FilePath : C:\WINDOWS\system32\
ThreadCreationTime : 25.04.2004 07:09:33
BasePriority : Normal
FileSize : 12 KB
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
OriginalFilename : svchost.exe
ProductName : Microsoft
Created on : 01.10.2002 06:15:43
Last accessed : 25.04.2004 07:09:25
Last modified : 18.08.2001 12:00:00

#:6 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ThreadCreationTime : 25.04.2004 07:09:33
BasePriority : Normal
FileSize : 12 KB
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
OriginalFilename : svchost.exe
ProductName : Microsoft
Created on : 01.10.2002 06:15:43
Last accessed : 25.04.2004 07:09:25
Last modified : 18.08.2001 12:00:00

#:7 [spoolsv.exe]
FilePath : C:\WINDOWS\system32\
ThreadCreationTime : 25.04.2004 07:09:39
BasePriority : Normal
FileSize : 50 KB
FileVersion : 5.1.2600.0 (XPClient.010817-1148)
ProductVersion : 5.1.2600.0
CompanyName : Microsoft Corporation
FileDescription : Spooler SubSystem App
InternalName : spoolsv.exe
OriginalFilename : spoolsv.exe
ProductName : Microsoft
Created on : 01.10.2002 06:15:42
Last accessed : 25.04.2004 07:09:25
Last modified : 18.08.2001 12:00:00

#:8 [ccsetmgr.exe]
FilePath : C:\Programme\Gemeinsame Dateien\Symantec Shared\
ThreadCreationTime : 25.04.2004 07:09:39
BasePriority : Normal
FileSize : 229 KB
FileVersion : 2.0.0.635
ProductVersion : 2.0.0.635
Copyright : Copyright (c) 2000-2003 Symantec Corporation. All rights reserved.
CompanyName : Symantec Corporation
FileDescription : Common Client Settings Manager Service
InternalName : ccSetMgr
OriginalFilename : ccSetMgr.exe
ProductName : Common Client
Created on : 19.08.2003 20:29:56
Last accessed : 25.04.2004 07:09:25
Last modified : 19.08.2003 20:29:56

#:9 [gearsec.exe]
FilePath : C:\WINDOWS\System32\
ThreadCreationTime : 25.04.2004 07:09:40
BasePriority : Normal
FileSize : 52 KB
FileVersion : 1, 0, 0, 6
ProductVersion : 1, 0, 0, 6
Copyright : Copyright
CompanyName : GEAR Software
FileDescription : gearsec
InternalName : gearsec
OriginalFilename : gearsec.exe
ProductName : gearsec
Created on : 03.11.2003 11:47:08
Last accessed : 25.04.2004 07:09:25
Last modified : 03.11.2003 11:47:08

#:10 [navapsvc.exe]
FilePath : C:\Programme\Norton AntiVirus\
ThreadCreationTime : 25.04.2004 07:09:40
BasePriority : Normal
FileSize : 154 KB
FileVersion : 10.00.13
ProductVersion : 10.00.13
Copyright : Norton AntiVirus 2004 for Windows 98/ME/2000/XP Copyright (c) 2003 Symantec Corporation. All rights reserved.
CompanyName : Symantec Corporation
FileDescription : Norton AntiVirus Auto-Protect Service
InternalName : NAVAPSVC
OriginalFilename : NAVAPSVC.EXE
ProductName : Norton AntiVirus
Created on : 28.02.2004 15:33:05
Last accessed : 25.04.2004 07:09:25
Last modified : 04.12.2003 18:58:00

#:11 [nisum.exe]
FilePath : C:\Programme\Norton Personal Firewall\
ThreadCreationTime : 25.04.2004 07:09:40
BasePriority : Normal
FileSize : 85 KB
FileVersion : 4.0.1.91
ProductVersion : 4.0
Copyright : Copyright (c) 2001 Symantec Corporation
CompanyName : Symantec Corporation
FileDescription : Norton Internet Security Stats
ProductName : Norton Internet Security
Created on : 09.11.2003 00:54:22
Last accessed : 25.04.2004 07:09:25
Last modified : 14.11.2001 16:53:22

#:12 [nvsvc32.exe]
FilePath : C:\WINDOWS\System32\
ThreadCreationTime : 25.04.2004 07:09:40
BasePriority : Normal
FileSize : 80 KB
FileVersion : 6.14.10.5216
ProductVersion : 6.14.10.5216
Copyright : (C) NVIDIA Corporation. All rights reserved.
CompanyName : NVIDIA Corporation
FileDescription : NVIDIA Driver Helper Service, Version 52.16
InternalName : NVSVC
OriginalFilename : nvsvc32.exe
ProductName : NVIDIA Driver Helper Service, Version 52.16
Created on : 06.10.2003 12:16:00
Last accessed : 25.04.2004 07:09:25
Last modified : 06.10.2003 12:16:00

#:13 [explorer.exe]
FilePath : C:\WINDOWS\
ThreadCreationTime : 25.04.2004 07:09:42
BasePriority : Normal
FileSize : 983 KB
FileVersion : 6.00.2800.1106 (xpsp1.020828-1920)
ProductVersion : 6.00.2800.1106
CompanyName : Microsoft Corporation
FileDescription : Windows Explorer
InternalName : explorer
OriginalFilename : EXPLORER.EXE
ProductName : Betriebssystem Microsoft
Created on : 21.04.2004 13:26:28
Last accessed : 25.04.2004 07:09:44
Last modified : 29.08.2002 10:43:36

#:14 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ThreadCreationTime : 25.04.2004 07:09:43
BasePriority : Normal
FileSize : 12 KB
FileVersion : 5.1.2600.0 (xpclient.010817-1148)
ProductVersion : 5.1.2600.0
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
OriginalFilename : svchost.exe
ProductName : Microsoft
Created on : 01.10.2002 06:15:43
Last accessed : 25.04.2004 07:09:25
Last modified : 18.08.2001 12:00:00

#:15 [symproxysvc.exe]
FilePath : C:\Programme\Norton Personal Firewall\
ThreadCreationTime : 25.04.2004 07:09:44
BasePriority : Normal
FileSize : 53 KB
FileVersion : 4.0.1.91
ProductVersion : 4.0
Copyright : Copyright (c) 2001 Symantec Corporation
CompanyName : Symantec Corporation
FileDescription : Transparent Proxy Server
ProductName : Norton Internet Security
Created on : 09.11.2003 00:54:26
Last accessed : 25.04.2004 07:09:25
Last modified : 07.11.2001 18:53:02

#:16 [ccevtmgr.exe]
FilePath : C:\Programme\Gemeinsame Dateien\Symantec Shared\
ThreadCreationTime : 25.04.2004 07:09:44
BasePriority : Normal
FileSize : 250 KB
FileVersion : 2.0.0.635
ProductVersion : 2.0.0.635
Copyright : Copyright (c) 2000-2003 Symantec Corporation. All rights reserved.
CompanyName : Symantec Corporation
FileDescription : Common Client Event Manager Service
InternalName : ccEvtMgr
OriginalFilename : ccEvtMgr.exe
ProductName : Common Client
Created on : 19.08.2003 20:27:14
Last accessed : 25.04.2004 07:09:25
Last modified : 19.08.2003 20:27:14

#:17 [nisserv.exe]
FilePath : C:\Programme\Norton Personal Firewall\
ThreadCreationTime : 25.04.2004 07:09:46
BasePriority : Normal
FileSize : 61 KB
FileVersion : 4.0.1.91
ProductVersion : 4.0
Copyright : Copyright (c) 2001 Symantec Corporation
CompanyName : Symantec Corporation
FileDescription : IAMSERV.EXE
ProductName : Norton Internet Security
Created on : 09.11.2003 00:54:21
Last accessed : 25.04.2004 07:09:25
Last modified : 14.11.2001 16:53:18

#:18 [soundman.exe]
FilePath : C:\WINDOWS\
ThreadCreationTime : 25.04.2004 07:09:49
BasePriority : Normal
FileSize : 45 KB
FileVersion : 5.0.03
ProductVersion : 5.0.03
Copyright : Copyright (c) 2001-2002 Avance Logic, Inc.
CompanyName : Avance Logic, Inc.
FileDescription : Avance Sound Manager
InternalName : ALSMTray
OriginalFilename : ALSMTray.exe
ProductName : Avance Sound Manager
Created on : 01.10.2002 06:42:18
Last accessed : 25.04.2004 07:09:25
Last modified : 02.08.2002 17:00:12

#:19 [qttask.exe]
FilePath : C:\Programme\QuickTime\
ThreadCreationTime : 25.04.2004 07:09:49
BasePriority : Normal
FileSize : 96 KB
FileVersion : 6.5
ProductVersion : QuickTime 6.5
CompanyName : Apple Computer, Inc.
InternalName : QuickTime Task
OriginalFilename : QTTask.exe
ProductName : QuickTime
Created on : 23.01.2003 20:32:13
Last accessed : 25.04.2004 07:09:25
Last modified : 22.12.2003 21:45:48

#:20 [ituneshelper.exe]
FilePath : C:\Programme\iTunes\
ThreadCreationTime : 25.04.2004 07:09:50
BasePriority : Normal
FileSize : 224 KB
FileVersion : 4.2.0.72
ProductVersion : 4.2.0.72
CompanyName : Apple Computer, Inc.
FileDescription : iTunesHelper Module
InternalName : iTunesHelper
OriginalFilename : iTunesHelper.exe
ProductName : iTunes
Created on : 16.12.2003 11:06:12
Last accessed : 25.04.2004 07:09:25
Last modified : 16.12.2003 11:06:12

#:21 [iamapp.exe]
FilePath : C:\Programme\Norton Personal Firewall\
ThreadCreationTime : 25.04.2004 07:09:51
BasePriority : Normal
FileSize : 373 KB
Created on : 09.11.2003 00:54:19
Last accessed : 25.04.2004 07:09:25
Last modified : 14.11.2001 16:53:06

#:22 [freepdfa.exe]
FilePath : C:\Programme\FreePDF\
ThreadCreationTime : 25.04.2004 07:09:51
BasePriority : Normal
FileSize : 120 KB
FileVersion : 1.00.0140
ProductVersion : 1.00.0140
Copyright : Benutzung auf eigenes Risiko
CompanyName : shbox
FileDescription : Wartet auf FreePDF.ps und startet FreePDF.exe
InternalName : FreePDFA
OriginalFilename : FreePDFA.exe
ProductName : FreePDF Assistent
Created on : 07.03.2004 12:49:09
Last accessed : 25.04.2004 07:09:51
Last modified : 28.05.2003 21:16:08

#:23 [ccapp.exe]
FilePath : C:\Programme\Gemeinsame Dateien\Symantec Shared\
ThreadCreationTime : 25.04.2004 07:09:51
BasePriority : Normal
FileSize : 69 KB
FileVersion : 2.0.0.635
ProductVersion : 2.0.0.635
Copyright : Copyright (c) 2000-2003 Symantec Corporation. All rights reserved.
CompanyName : Symantec Corporation
FileDescription : Symantec Common Client User Session
InternalName : ccApp
OriginalFilename : ccApp.exe
ProductName : Common Client
Created on : 19.08.2003 20:21:40
Last accessed : 25.04.2004 07:09:25
Last modified : 19.08.2003 20:21:40

#:24 [msnmsgr.exe]
FilePath : C:\Programme\MSN Messenger\
ThreadCreationTime : 25.04.2004 07:09:52
BasePriority : Normal
FileSize : 4572 KB
FileVersion : 6.1.0211
ProductVersion : Version 6.1
Copyright : Copyright (c) Microsoft Corporation 1997-2003
CompanyName : Microsoft Corporation
FileDescription : Messenger
InternalName : msnmsgr
OriginalFilename : msnmsgr.exe
ProductName : Messenger
Created on : 04.03.2004 21:01:00
Last accessed : 25.04.2004 07:11:05
Last modified : 04.03.2004 21:01:00

#:25 [ctfmon.exe]
FilePath : C:\WINDOWS\System32\
ThreadCreationTime : 25.04.2004 07:09:55
BasePriority : Normal
FileSize : 13 KB
FileVersion : 5.1.2600.1106 (xpsp1.020828-1920)
ProductVersion : 5.1.2600.1106
CompanyName : Microsoft Corporation
FileDescription : CTF Loader
InternalName : CTFMON
OriginalFilename : CTFMON.EXE
ProductName : Microsoft
Created on : 21.04.2004 13:25:36
Last accessed : 25.04.2004 07:09:25
Last modified : 29.08.2002 10:43:36

#:26 [wkcalrem.exe]
FilePath : C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\
ThreadCreationTime : 25.04.2004 07:10:03
BasePriority : Normal
FileSize : 24 KB
FileVersion : 6.00.1911.0
ProductVersion : 6.00.1911.0
Copyright : Copyright
CompanyName : Microsoft
FileDescription : Microsoft
InternalName : WkCalRem
OriginalFilename : WKCALREM.EXE
ProductName : Microsoft
Created on : 01.10.2002 06:08:12
Last accessed : 25.04.2004 07:10:03
Last modified : 04.10.2001 14:46:14

#:27 [hardcopy.exe]
FilePath : C:\Programme\Hardcopy\
ThreadCreationTime : 25.04.2004 07:10:04
BasePriority : Normal
FileSize : 932 KB
FileVersion : 14.6.0
ProductVersion : 14.6.0
Copyright : Copyright
CompanyName : Siegfried Weckmann
FileDescription : Hardcopy - Drucken Fenster/Bildschirminhalt
InternalName : HARDCOPY
OriginalFilename : HARDCOPY.EXE
ProductName : Hardcopy f
Created on : 01.10.2002 03:25:48
Last accessed : 25.04.2004 07:10:16
Last modified : 01.10.2002 03:25:48

#:28 [ipodservice.exe]
FilePath : C:\Programme\iPod\bin\
ThreadCreationTime : 25.04.2004 07:10:18
BasePriority : Normal
FileSize : 408 KB
FileVersion : 4.2.0.72
ProductVersion : 4.2.0.72
CompanyName : Apple Computer, Inc.
FileDescription : iPodService Module
InternalName : iPodService
OriginalFilename : iPodService.exe
ProductName : iTunes
Created on : 16.12.2003 11:05:56
Last accessed : 25.04.2004 07:09:25
Last modified : 16.12.2003 11:05:56

#:29 [msmsgs.exe]
FilePath : C:\Programme\Messenger\
ThreadCreationTime : 25.04.2004 07:10:50
BasePriority : Normal
FileSize : 1462 KB
FileVersion : 4.7.2009
ProductVersion : Version 4.7
Copyright : Copyright (c) Microsoft Corporation 1997-2003
CompanyName : Microsoft Corporation
FileDescription : Messenger
InternalName : msmsgs
OriginalFilename : msmsgs.exe
ProductName : Messenger
Created on : 14.04.2003 18:05:18
Last accessed : 25.04.2004 07:10:27
Last modified : 14.04.2003 18:05:18

#:30 [savscan.exe]
FilePath : C:\Programme\Norton AntiVirus\
ThreadCreationTime : 25.04.2004 07:11:30
BasePriority : Normal
FileSize : 189 KB
FileVersion : 9.2.1.14
ProductVersion : 9.2
Copyright : Copyright (c) 2003 Symantec Corporation
CompanyName : Symantec Corporation
FileDescription : Symantec AntiVirus Scanner
InternalName : SAVSCAN
OriginalFilename : SAVSCAN.EXE
ProductName : Symantec AntiVirus AutoProtect
Created on : 28.02.2004 15:33:08
Last accessed : 25.04.2004 07:09:25
Last modified : 26.11.2003 08:26:22

#:31 [outlook.exe]
FilePath : C:\Programme\Microsoft Office\Office10\
ThreadCreationTime : 25.04.2004 07:11:45
BasePriority : Normal
FileSize : 45 KB
FileVersion : 10.0.2627
ProductVersion : 10.0.2627
Copyright : Copyright
CompanyName : Microsoft Corporation
FileDescription : Microsoft Outlook
InternalName : Outlook
OriginalFilename : Outlook.exe
ProductName : Microsoft Outlook
Created on : 07.03.2001 07:15:54
Last accessed : 25.04.2004 07:12:58
Last modified : 07.03.2001 07:15:54

#:32 [winword.exe]
FilePath : C:\Programme\Microsoft Office\Office10\
ThreadCreationTime : 25.04.2004 07:13:30
BasePriority : Normal
FileSize : 10329 KB
FileVersion : 10.0.2627
ProductVersion : 10.0.2627
Copyright : Copyright
CompanyName : Microsoft Corporation
FileDescription : Microsoft Word
InternalName : WinWord
OriginalFilename : WinWord.exe
ProductName : Microsoft Office XP
Created on : 09.11.2002 17:01:49
Last accessed : 25.04.2004 07:13:29
Last modified : 07.03.2001 09:11:12

#:33 [msworks.exe]
FilePath : c:\Programme\Microsoft Works\
ThreadCreationTime : 25.04.2004 07:15:38
BasePriority : Normal
FileSize : 72 KB
FileVersion : 6.00.1911.0
ProductVersion : 6.00.1911.0
Copyright : Copyright
CompanyName : Microsoft
FileDescription : Microsoft
InternalName : MSWORKS
OriginalFilename : MSWorks.exe
ProductName : Microsoft
Created on : 01.10.2002 06:09:57
Last accessed : 25.04.2004 07:15:38
Last modified : 04.10.2001 14:46:50

#:34 [firefox.exe]
FilePath : C:\Programme\Mozilla Firefox\
ThreadCreationTime : 25.04.2004 07:47:18
BasePriority : Normal
FileSize : 6592 KB
FileVersion : 0.8
ProductVersion : Personal
Copyright : Mozilla
CompanyName : Mozilla
FileDescription : Firefox
InternalName : Firefox
OriginalFilename : firefox.exe
ProductName : Firefox
Created on : 22.04.2004 08:12:37
Last accessed : 25.04.2004 07:45:01
Last modified : 07.02.2004 10:12:00

#:35 [ad-aware.exe]
FilePath : C:\Programme\Lavasoft\Ad-aware 6\
ThreadCreationTime : 25.04.2004 07:53:16
BasePriority : Normal
FileSize : 668 KB
FileVersion : 6.0.1.181
ProductVersion : 6.0.0.0
Copyright : Copyright
CompanyName : Lavasoft Sweden
FileDescription : Ad-aware 6 core application
InternalName : Ad-aware.exe
OriginalFilename : Ad-aware.exe
ProductName : Lavasoft Ad-aware Plus
Created on : 07.03.2004 18:13:52
Last accessed : 25.04.2004 07:53:16
Last modified : 12.07.2003 21:00:20

Memory scan result :
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
New objects : 0
Objects found so far: 0

Started registry scan
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

CoolWebSearch Object recognized!
Type : RegValue
Data :
Rootkey : HKEY_LOCAL_MACHINE
Object : SOFTWARE\Microsoft\Internet Explorer\Main
Value : HOMEOldSP

Registry scan result :
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
New objects : 1
Objects found so far: 1

Started deep registry scan
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

CoolWebSearch Object recognized!
Type : RegKey
Data :
Rootkey : HKEY_CLASSES_ROOT
Object : CLSID\{6872A6CC-A364-4C74-9FA1-2439576D4BF3}

CoolWebSearch Object recognized!
Type : File
Data : djn.dll
Object : c:\windows\system32\
FileSize : 36 KB
Created on : 25.04.2004 07:10:51
Last accessed : 25.04.2004 07:10:51
Last modified : 25.04.2004 07:10:51

CoolWebSearch Object recognized!
Type : RegKey
Data :
Rootkey : HKEY_CLASSES_ROOT
Object : CLSID\{FB33F016-9B15-49B5-BC17-BBB31BF36936}

CoolWebSearch Object recognized!
Type : RegKey
Data :
Rootkey : HKEY_CLASSES_ROOT
Object : PROTOCOLS\Filter\text/html

CoolWebSearch Object recognized!
Type : RegKey
Data :
Rootkey : HKEY_CLASSES_ROOT
Object : PROTOCOLS\Filter\text/plain

CoolWebSearch Object recognized!
Type : RegKey
Data :
Rootkey : HKEY_LOCAL_MACHINE
Object : SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FB33F016-9B15-49B5-BC17-BBB31BF36936}

Deep registry scan result :
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
New objects : 5
Objects found so far: 7

¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

Deep scanning and examining files (C

¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

Performing conditional scans..
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

Conditional scan result:
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
New objects : 0
Objects found so far: 7

09:56:19 Scan complete

Summary of this scan
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Total scanning time :00:02:51:750
Objects scanned :46010
Objects identified :7
Objects ignored :0
New objects :7

Lutz · 25.04.2004, 09:21

Hallo Jens,

mach bitte einmal die ganze 'Litanei' mit Ad-Aware, Spybot SD, CWShredder im abgesicherten Modus von XP

Folgende Einträge (bitte ebenfalls im abgesicherten Modus) mit HijackThis fixen:

<blockquote>Zitat:<hr />R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\eglmca.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\eglmca.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\eglmca.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\eglmca.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\eglmca.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\eglmca.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {CA982910-08DD-4675-873F-05EAAA1EEA58} - C:\WINDOWS\System32\eglmca.dll
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ? <- Ist ein verwaister Eintrag[/QUOTE]Die ActiveX-Einträge unter O16 kannst Du auch bedenkenlos löschen. Bei einem neuen Besuch der entsprechenden Seite(n) werden diese bei Bedarf neu installiert.

Folgende Dateien löschen:
<blockquote>Zitat:<hr />C:\WINDOWS\System32\eglmca.dll

Data : djn.dll
Object : c:\windows\system32\
[/QUOTE]Du kannst auch noch dein Glück mit diesem Scanner versuchen:
ftp://ftp.microworldsystems.com/download/tools/mwav.exe
In anderen Foren hat sich das teilweise als erfolgreich gezeigt.

Viel Glück,
Lutz

jenskueng · 09.05.2004, 08:42

Hallo Lutz,

Da bin ich wieder. Leider habe ich es ja nicht geschafft, mich von dieser leidigen Startseite zu trennen, da ich jedoch schon so viel Zeit investiert habe und im Moment sowieso ziemlich im Prüfungsstress bin, habe ich es dabei belassen und eifach nur noch Mozilla Firefox verwendet.

Ich wollte nur einmal fragen, ob du inzwischen eine neue Lösungsvariante oder sogar DIE LÖSUNG zum Problem hast. Das Problem taucht ja immer mehr und mehr auf. Was ich ja auch schon eimal bemerkt habe, ist das mein PC viel langsamer läuft als vor der ganzen "Startseiten" Geschichte. Weisst du dazu mehr?

Einige Facts, die dir (vielleicht) weiterhelfen können (?)

Nach jedem Neustart finden folgene Programme folgende Dateien:

CWShredder

- CWX.Searchx REMOVED
- Restoring Internet Pages RESTORED (6 items)

Hijack This

- R1 - HKCU\Software\IE\Main, HOmeoldSP=about-blank
- O2 - hier wird jedoch immer eine neue Datei unter C:\WINDOWS\SYSTEM32\.... angegeben. (-> befindet sich auf meinem Rechner irgend einen versehnlich heruntergeladenen Installer? Wo finde ich diesen?)

Adware

hat immer 1 inzwischen findet er sogar 2 Reg. Dateien:

CoolWebSearch HKEY_LOGAL_MASCHINE Software\Microsoft\IE\Main
und
CoolWebSearch HKEY_ CURRENT_USER Software\Microsoft\IE\Main

Vielen Dank im Voraus für deinen Support!

Gruss,
Jens

about:blank

Plagegeister aller Art und deren Bekämpfung: about:blank

about:blank

about:blank

about:blank

about:blank

about:blank

about:blank

about:blank

about:blank

about:blank

about:blank

about:blank

about:blank

about:blank

about:blank

about:blank

Ähnliche Themen: about:blank

21.04.2004, 13:46	#6
jenskueng	about:blank Vielen Dank. Ich werde die betreffenden Einträge einmal fixen und auch CWShreeder im abges. Modus laufen lassen. Windows werde ich updaten und den Browers wechseln? Was empfiehlst du? Mozilla? Ich schaue einmal ob das funkt. Danke vielmals inzwischen!

22.04.2004, 08:38	#8
jenskueng	about:blank Guten Morgen Hier bin ich wieder. Gestern war alles i.O. Startseite hat sich nicht mehr geändert. Heute Morgen beim 1. Start vom IE kam auch noch die richtige Seite, doch als ich ein 2. Fenster öffnete wieder about:blank. Dieser Eintrag ist auch wieder bei den Internetoptionen als Startseiten eintrag gespeichert. PLEASE HELP! I bin nahe daran zu verzweifeln...

22.04.2004, 15:46	#10
jenskueng	about:blank </font><blockquote>Zitat:</font><hr />Original erstellt von Lutz (DerBilk): hat man imho nur die Möglichkeit auf einen anderen Browser umzusteigen. </font>[/QUOTE]Vielen Dank. Ich habe inzwischen auf Mozilla Firefox gewechselt. Einen schönen Abend!

24.04.2004, 07:32	#12
Lutz	about:blank Hallo Jens, läuft der Rechner insgesamt langsamer, oder nur wenn Du im Internet bist? So spantan habe ich leider keine Idee, woran das jetzt liegen mag. Poste doch bitte mal ein aktuelles Log von HiJackThis. Gruß, Lutz __________________ Gruß, Lutz *** "Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann)