|
Brauche dringend Hilfe! Hallo zusammen, ich habe mir mal wieder einen Browser-Hijacker eingefangen, doch diesmal bin ich nicht in der Lage ihn loszuwerden. Immer wenn ich den IE starte, kommen Seiten, die mit http://www.newgenlook.info anfangen, meistens ist es die Seite http://www.newgenlook.info/ad/ad0278/index.html. Ich habe mir HiJackThis runtergeladen und versucht diesen Registry-Eintrag im abgesicherten Modus zu löschen, aber es hat nicht funktioniert. Könnte mir vielleicht jemand sagen, was ich falsch gemacht habe, bzw. wie genau ich das löschen kann? Hier ist die HJT-log-file: Logfile of HijackThis v1.99.1 Scan saved at 12:23:25, on 29.04.05 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS.000\SYSTEM\KERNEL32.DLL C:\WINDOWS.000\SYSTEM\MSGSRV32.EXE C:\WINDOWS.000\SYSTEM\MPREXE.EXE C:\WINDOWS.000\SYSTEM\mmtask.tsk C:\WINDOWS.000\SYSTEM\MSTASK.EXE C:\WINDOWS.000\EXPLORER.EXE C:\WINDOWS.000\SYSTEM\RNAAPP.EXE C:\WINDOWS.000\SYSTEM\TAPISRV.EXE C:\WINDOWS.000\TASKMON.EXE C:\WINDOWS.000\SYSTEM\SYSTRAY.EXE C:\WINDOWS.000\SYSTEM\MGACTRL.EXE C:\PROGRAMME\MATROX MGA POWERDESK\COLOR\HGCCTL95.EXE C:\WINDOWS.000\SYSTEM\HPZTSB03.EXE C:\WINDOWS.000\SYSTEM\SPOOL32.EXE C:\WINDOWS.000\SYSTEM\QTTASK.EXE C:\WINDOWS.000\LOADQM.EXE C:\WINDOWS.000\SYSTEM\STIMON.EXE C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE C:\WINDOWS.000\SYSTEM\WMIEXE.EXE C:\WINDOWS.000\SYSTEM\DDHELP.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\WINDOWS.000\TEMP\HIJACKTHIS.EXE C:\PROGRAMME\LAVASOFT\AD-AWARE SE PERSONAL\AD-AWARE.EXE C:\PROGRAMME\ZUBEHöR\WORDPAD.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.newgenlook.info/ad/ad0278/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHELPER.DLL O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS.000\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS.000\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [MGA Control Center] Mgactrl.exe O4 - HKLM\..\Run: [Colorific Control Panel] C:\Programme\Matrox MGA PowerDesk\Color\hgcctl95.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS.000\SYSTEM\hpztsb03.exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS.000\SYSTEM\QTTASK.EXE" -atboottime O4 - HKLM\..\Run: [gnewmous] C:\GMOUSE\gnewmous.exe O4 - HKLM\..\Run: [LoadQM] loadqm.exe O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS.000\SYSTEM\STIMON.EXE O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Startup: MGA QuickDesk.lnk = C:\Programme\Matrox MGA PowerDesk\qdesk\mgaqdesk.exe O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE O4 - Startup: CD Xpress.lnk = C:\Programme\HighPoint\CD Xpress\Cdexp.exe O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O9 - Extra button: AOL Instant Messenger (TM) - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\PROGRAMME\NETSCAPE\COMMUNICATOR\PROGRAM\AIM\AIM.EXE (file missing) O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRAMME\YAHOO!\MESSENGER\YHEXBMES0521.DLL (file missing) O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRAMME\YAHOO!\MESSENGER\YHEXBMES0521.DLL (file missing) O14 - IERESET.INF: START_PAGE_URL=http://www.arcor.de O16 - DPF: Yahoo! Literati - http://download.games.yahoo.com/game...ts/y/tt3_x.cab Danke schonmal im Vorraus! Suzanne |
MSIE: Internet Explorer v6.00 (6.00.2600.0000) -> veraltet, bitte dringend updaten, am besten eine anderen Browser nutzen (IE aber trotzdem updaten!) R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.newgenlook.info/ad/ad0278/ R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) -> bitte fixen! O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS.000\SYSTEM\hpztsb03.exe -> unbekannt, könnte zu einem HP-Drucker gehören. O4 - HKLM\..\Run: [gnewmous] C:\GMOUSE\gnewmous.exe -> gehört das zu deiner Computer-Mouse? O4 - Startup: CD Xpress.lnk = C:\Programme\HighPoint\CD Xpress\Cdexp.exe -> Ist das ein dir bekanntes Programm? |
Danke schonmal, ich habe jetzt ein IE Update gemacht und O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS.000\SYSTEM\hpztsb03.exe und O4 - HKLM\..\Run: [gnewmous] C:\GMOUSE\gnewmous.exe gehören wirklich zu Drucker und Mouse. Die anderen drei Einträge habe ich gelöscht, trotzdem taucht das erste immer wieder auf: Logfile of HijackThis v1.99.1 Scan saved at 16:19:29, on 29.04.05 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS.000\SYSTEM\KERNEL32.DLL C:\WINDOWS.000\SYSTEM\MSGSRV32.EXE C:\WINDOWS.000\SYSTEM\MPREXE.EXE C:\WINDOWS.000\EXPLORER.EXE C:\WINDOWS.000\SYSTEM\SPOOL32.EXE C:\WINDOWS.000\DESKTOP\ANTIVIRUS-PROGRAMS\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.newgenlook.info/ad/ad0278/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHELPER.DLL O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS.000\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS.000\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [MGA Control Center] Mgactrl.exe O4 - HKLM\..\Run: [Colorific Control Panel] C:\Programme\Matrox MGA PowerDesk\Color\hgcctl95.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS.000\SYSTEM\hpztsb03.exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS.000\SYSTEM\QTTASK.EXE" -atboottime O4 - HKLM\..\Run: [gnewmous] C:\GMOUSE\gnewmous.exe O4 - HKLM\..\Run: [LoadQM] loadqm.exe O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS.000\SYSTEM\STIMON.EXE O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS.000\SYSTEM\KB891711\KB891711.EXE O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Startup: MGA QuickDesk.lnk = C:\Programme\Matrox MGA PowerDesk\qdesk\mgaqdesk.exe O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O14 - IERESET.INF: START_PAGE_URL=http://www.arcor.de O16 - DPF: Yahoo! Literati - http://download.games.yahoo.com/game...ts/y/tt3_x.cab Ich verstehe das nicht so ganz, was könnte ich denn noch falsch machen? |
Zitat:
Du könnetst zusätzlich auch noch das hier fixen, wird aber das Problem wohl nicht beheben. O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O14 - IERESET.INF: START_PAGE_URL=http://www.arcor.de Habe mit Google noch das hier gefunden, da ist jemand newgenlook losgeworden. Ist aber in Englisch: http://www.geekstogo.com/forum/index...T&f=37&t=19042 Posting Nr. 5 enthält wohl die Lösung. Der User hat dazu noch Killbox genommen, um einige Dateien zu löschen. Erhältlich hier: http://spywareinfo.com/~merijn/ kurze Anleitung und Downloadlink im Beitrag von March 24, 2004. Edit: hier scheinbar noch eine Lösung http://www.geekstogo.com/forum/index...howtopic=19766 |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 05:44 Uhr. |
Copyright ©2000-2024, Trojaner-Board