Forum
Tipps
News
Menu-Icon

Suchseite beim IE - Spyware - Hijacker

Hi, ich hab das schon oft deklarierte Problem mit der komischen Suchseite im IE beim Compi meines Sohnes. Allerdings weiß ich nicht wann und wie es dazu kam. Er beklagte sich nur das der IE solange braucht um sich zu öffnen. Krieg die Seite auch nicht weg - about blank ist übrigens eingetragen - und find sie auch sonst nirgendwo um zu löschen. Also hab ich heut nen komplett Check gemacht. Mit Norton, Adaware und Spybot. Ergebnis: nichts weltbewegendes - Resultat: die seite war immer noch da. Das Schärfste -plötzlich öffnete sich ein zweites Fenster und auf englisch wurde mir mitgeteilt das ich wohl Spyware hätte und ich könnte gleich was downloaden. Ist das jetzt ne Vera.... - oder können sich Norton, Adaware und Spybot so täuschen?? Was kann ich tun? Sollte man den IE deinstallieren/löschen?  Wenn ja, wie tue ich das?
Hab grad schon euren Hijacker oder wie ihr das nennt gemacht - hier das Ergebnis:
Logfile of HijackThis v1.97.7
Scan saved at 19:53:15, on 14.05.2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
C:\Programme\Norton Internet Security\IAMAPP.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Roxio\WinOnCD\DirectCD\DirectCD.exe
C:\Programme\Common files\updmgr\updmgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\CalCheck.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\Programme\Norton Internet Security\SymProxySvc.exe
C:\WINDOWS\System32\mqsvc.exe
C:\Programme\Norton Internet Security\NISSERV.EXE
C:\WINDOWS\System32\mqtgsvc.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Programme\Norton Internet Security\ATRACK.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
\Hagenbey\c\Dokumente und Einstellungen\All Users\Dokumente\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.iquicksearch.net/search.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\ggnedba.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\ggnedba.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\ggnedba.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\ggnedba.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\ggnedba.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\ggnedba.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: (no name) - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {4E7BD74F-2B8D-469E-C0FF-FD60B590A87D} - C:\PROGRA~1\GEMEIN~1\Real\Toolbar\realbar.dll
O2 - BHO: Veevo Library - {6E34D984-4054-45E3-8452-0159A2F0D232} - (no file)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {FA558D55-7985-4744-AD1A-E555B70ACDD8} - C:\WINDOWS\System32\ggnedba.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: (no name) - {224530A0-C9CB-4AEE-9C0F-54AC1B533211} - (no file)
O3 - Toolbar: REALBAR - {4E7BD74F-2B8D-469E-C0FF-FD60B590A87D} - C:\PROGRA~1\GEMEIN~1\Real\Toolbar\realbar.dll
O4 - HKLM\..\Run: [sys] regedit -s sys.reg
O4 - HKLM\..\Run: [QD FastAndSafe] C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [Openwares LiveUpdate] C:\Program Files\LiveUpdate\LiveUpdate.exe
O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton Internet Security\IAMAPP.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~2\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\WinOnCD\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [updmgr] C:\Programme\Common files\updmgr\updmgr.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O9 - Extra button: Preispiraten 2.02 (HKLM)
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {11111111-1111-1111-1111-111111111123} - http://george.ud-dial.biz/1/dexDE592.exe
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O17 - HKLM\System\CCS\Services\Tcpip\..\{A73CC44E-1489-45F3-B9A0-6C434BF80795}: NameServer = 192.168.0.1



Antworten zu Suchseite beim IE - Spyware - Hijacker:

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Im Programm Hijackthis fixen:

Alle R1+R3

O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)

O2 - BHO: Veevo Library - {6E34D984-4054-45E3-8452-0159A2F0D232} - (no file)

O2 - BHO: (no name) - {FA558D55-7985-4744-AD1A-E555B70ACDD8} - C:\WINDOWS\System32\ggnedba.dll

Diese Datei ggnedba.dll auch löschen zur Not im abgesicherten Modus

weiter fixen

O3 - Toolbar: (no name) - {224530A0-C9CB-4AEE-9C0F-54AC1B533211} - (no file)

O4 - HKLM\..\Run: [updmgr] C:\Programme\Common files\updmgr\updmgr.exe

updmgr.exe mal prüfen könnte ein Virus sein und löschen.

fixen
O16 - DPF: {11111111-1111-1111-1111-111111111123} - http://george.ud-dial.biz/1/dexDE592.exe






So, ich hab alles angegebene gefixt, das eine hab ich geprüft - ist kein Virus, das andere hab ich im abgesicherten Modus gelöscht. soweit sogut! Beim neuen Hochfahren danach benötigte der Compi 5 - 10 Minuten!!! Ist das noch normal??? Oder sagen wir besser der WExplorer benötigte solange um sich zu laden!
Außerdem - die Suchseite ist nun weg - allerdings auch das "Outfit" des IEs! Er ist jetzt nur noch weiß - es erscheint kein "Fensterrahmen" auch die Taskleiste verschwindet und auch die oberste Datei-Reihe sowie die Adresszeile! Nur die Leiste mit Zurück u.a. ist noch da!

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Ist der jetzt im Vollbilmodus evtl.? Drück mal F11 ob sich das dann gibt. Ansonsten kann man den IE auch nochmal zur Reparatur installieren. Wenns nicht hilst, sag ich wie.

Ja, prima, das mit F11 hat geklappt. Nun ist soweit scheinbar alles wieder in Ordnung.
Allerdings ist der Compi beim Hochfahren halt immer noch so verdammt langsam. Da es ja nun scheinbar nichts mit einem Virus zu tun hat - was kann ich tun?
Zu voll ist er nicht - hat insg. 28 GB auf 2 Partitionen verteilt und mehr als die Hälfte ist auf beiden frei!
Ist zu viel im Autostart?
Wenn ja, wie kommt ich dahin und kann ich etwas ändern?

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Autostart kannste ganz gut mit start / ausführen / msconfig - Register Systemstart sehen und probieren ob das alles nötig ist.


« FirewallFrage eigentlich nicht dramatisch, aber kann trotzdem mal bitte einer nachgucken »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!

Fremdwörter? Erklärungen im Lexikon!
Compiler
Als Compiler bezeichnet man ein Programm zum Übersetzen der Quellprogramme einer bestimmten Programmiersprache in ausführbare Dateien, also in die Maschinenspra...

Spyware
Als Spyware bezeichnet man Programme, Dateien und Funktionen, die Daten über das Surfverhalten an den Hersteller der Spyware verschicken. Meistens kommen diese Anh&a...

Logfile
Eine Log-Datei ist eine Datei mit einer Art Protokoll, dass Aufschluss gibt über jegliche Aktivität auf einem Rechner. Das automatrisch geführte Protokoll ...