Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   farblich markierte worte im IE (https://www.trojaner-board.de/7547-farblich-markierte-worte-ie.html)

tommyt 14.09.2004 05:41
farblich markierte worte im IE
 
Hallo alle zusammen,

habe seit gestern massive Probleme wegen "Search The Web". Hatte zunaechst diese Toolbar drauf, aber inzwischen mit Hilfe von Ad-Aware SE-Personal, Spybot - Search & Destroy und Hijack This wegbekommen :-)

Dachte ich zumindest, bei jedem Neustart steht aber wieder folgendes drin:
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.begin2search.com/googlesidesearch.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.begin2search.com/googlesidesearch.html

Geblieben ist daneben folgendes Problem: Worte wie mp3, spam oder sex werden farblich hinterlegt und mit einem Link auf einschlaegige Seiten versehen.

Was kann ich tun?

Danke im Voraus fuer Eure Hilfe!
Thomas

rock 14.09.2004 06:49
Geblieben ist daneben folgendes Problem: Worte wie mp3, spam oder sex werden farblich hinterlegt und mit einem Link auf einschlaegige Seiten versehen.
______
na dann ist scheinbar die toolbar eben noch da anscheinend! oder hast du die google toolbar nebenbei auch?
______

wenn man das betriebsystem von dir wüsste wär schon mal geholfen...
______
da du anscheinend weist mit welchen tool du das wegbekommen kannst, wiederhole die arbeit im abgesicherten modus.
______
hast du XP oder ME dann deaktiviere vor etwaigen aufräumarbeiten die systemwiederherstellung, damit sich keine schadhaften daten ins system zurückkopieren können...
______

rock

tommyt 14.09.2004 07:35
farblich markierte worte im IE 2
 
Hallo nochmal,

sorry fuer die fehlenden Infos: Habe lokal auf dem PC Windows XP.


Komplett siehts bei mir (leider wieder) so aus:

Logfile of HijackThis v1.98.2
Scan saved at 08:32:57, on 14.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Intel\ASF Agent\ASFAgent.exe
C:\Programme\Network Associates\VirusScan\Avsynmgr.exe
C:\Programme\Dell\OpenManage\Client\Iap.exe
C:\WINDOWS\System32\mnmsrvc.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Network Associates\VirusScan\VsStat.exe
C:\Programme\Network Associates\VirusScan\Vshwin32.exe
C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe
C:\Programme\Network Associates\VirusScan\Webscanx.exe
C:\Programme\Network Associates\VirusScan\Avconsol.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\desk98.exe
C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
C:\Programme\Gemeinsame Dateien\Nokia\Tools\NclTray.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe


R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.begin2search.com/googlesidesearch.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/d...en/default.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/advanced_search?hl=de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/d...en/default.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/countries/d...en/default.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.begin2search.com/googlesidesearch.html
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: ohb - {4D568F0F-8AC9-40AB-88B7-415134C78777} - C:\WINDOWS\SYSTEM32\winb2s32.dll
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [HydraVisionDesktopManager] desk98.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\Tools\NclTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com.../c381/chat.cab
O16 - DPF: {6F750200-1362-4815-A476-88533DE61D0C} (Ofoto Upload Manager Class) - http://www.ofoto.de/downloads/BUM/BU...1/axofupld.cab
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll


Bin allmaehlich am Verzweifeln.

Dumme Frage, aber wie deaktiviere ich die Systemwiederherstellung?


Thomas

rock 14.09.2004 08:30
edit:

Zitat:
Zitat von tommyt
Dachte ich zumindest, bei jedem Neustart steht aber wieder folgendes drin:
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.begin2search.com/googlesidesearch.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.begin2search.com/googlesidesearch.html

Geblieben ist daneben folgendes Problem: Worte wie mp3, spam oder sex werden farblich hinterlegt und mit einem Link auf einschlaegige Seiten versehen.
ja eben, weil du hast ja die google toolbar! daher hast du auch die makierten wörter nach denen du gesuchst hast (sex z.b. ;) ), das ist eine einstellung bei der google toolbar. hervorheben musst du deaktivieren z.B. usw.

bei dir ist was anderes am dampfen!

O2 - BHO: ohb - {4D568F0F-8AC9-40AB-88B7-415134C78777} - C:\WINDOWS\SYSTEM32\winb2s32.dll

ACHTUNG: diese datei mal hier scannen lassen: (wenn virus dann auch fixen natürlich!)
C:\WINDOWS\System32\wbem\wmiprvse.exe
http://www.kaspersky.com/de/remoteviruschk.html

versuche jetzt NICHT MEHR ins Internet zu klicken, bis das erledigt ist:
erst die Systemwiederherstellung abdrehen, pc neustarten. wenn du keine firewall hast, dann aktiviere die XP interne!
hier weiter unten ist mit bild beschrieebn wie du die systemwiederherstellung bei XP ausmachst!
http://service1.symantec.com/SUPPORT...30807105707924
hier ist beschrieben wie du XP firewall aufdrehst:
http://www.microsoft.com/germany/ms/...windowsxp.mspx


besten gruss
rock

tommyt 14.09.2004 10:09
Hallo rock,

vielen lieben Dank fuer die Hilfe.


winb2s32.dll war der Uebeltaeter und ist nun beseitigt

Daneben war im Windowsverzeichnis auch noch ein Ordner namens b2s_cache in dem alles nochmal abgelegt war.


Ist nun alles entfernt und ich kann endlich wieder problemlos arbeiten *freu*

Thomas


Alle Zeitangaben in WEZ +1. Es ist jetzt 11:57 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20