Tut mir leid, aber wieder mysearchnow

hallo Medusa0 ,

Ad-aware, Sypbot etc. haben keinen Erfolg gebracht?
Auch nicht im abgesicherten Modus?  Ok.

Fixe/=lösche (also klick links bei den folg.Einträgen):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.eyniugtzkynkqnfjbfxmpytvo.com/huhhdBbfSyAnShJemjasByZ9YhwimJa8u542bCf EkbtEi_E2r83JY7ZdG049I2G3.php

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ttgvlyxtlivrdovtni.net/huhhdBbfSyB2D/IvTt1dW2kLkYSLxtgi7/AjwHy0lM.jpg

O2 - BHO: (no name) - {1F33661B-67D2-C61B-C66F-12B73026BA45} - C:\DOKUME~1\Jasmin\ANWEND~1\64BOLT~1\IdleClock.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [licensemfcdsetuplite] C:\Dokumente undEinstellungen\AllUsers\Anwendungsdaten\armyfraglicensemfcd\love team.exe

Dieses Programm ist mir völlig unbekannt und es ist nichts darüber zu finden:--->
O4 - HKCU\..\Run: [ProgramFor] C:\DOKUME~1\Jasmin\ANWEND~1\FILMGR~1\cool soap.exe
Wenn du es aus einer vertrauenswürdigen Quelle bekommen hast, dann evlt. ok. Aber im Zweifel ist es böse und somit auch fixen/löschen! Wenn du es hinterher unbedingt brauchst,da vertrauenswürdig,dann eben nachinstallieren.

Wenn du diese Seite www.1mal1.com kennst bzw.willst,dann soweit ok.Diese ist nicht böse! Sonst kann man sie auch gleich  fixen:
O16 - DPF: {40BF816B-D862-41B9-9445-ECA36D5F67F9} (Flatcast Viewer 4.12) - http://www.1mal1.com/flatcast/NpFv412.dll

Dann unten den Button Fix checked einfach drücken zum fixen.
Sollte diese o.g. Einträge anschliessend immer noch da sein, dann das ganze nochmals im sog. abgesicherten
Modus fixen (Taste F8 beim PC starten mehrfach drücken- www.bsi.bund.de/av/texte/wiederher.htm ).

Gehe dann noch auf C:\Programme\MyWebSearch und lösche mit rechtem Mausklick diesen Ordner. Wenn du ihn so nicht findest, dann mit der Windowssuche suchen lassen.

Am Ende mußt du dann wieder eine neue Startseite wie auch neue Suchseite (google etc.) vergeben.

Viel Erfolg.

Hallo, falls sich die Startseite auf dem 'normalen Weg' nicht umstellen lässt hilft dabei Spybot/Erweiterter Modus/Werkzeuge/Browserseiten.
Die entsprechende Seite anklicken und auf 'ändern' gehen.

daaankeschön es hat alles geklappt, nichts viriges mehr drauf ^^ mein Pc läuft jetzt sogar schneller   danke

aaaarg kaum schreib ich das alles wieder heil ist gehts wieder los ^^
jetzt ist hier plötzlich oft für ein paar Sekunden ein "Love Coach" in meinem Taskmanager  ???
Dazu kommt noch das ich den Internet Explorer nur einmal geöffnet hab, aber er im Taskmanager 4 mal angezeigt wird, wie vorher bei mywebsearch...  ???
Ich hoffe es weiss jemand was es damit jetzt wieder auf sich hat ^^

Hallo Medusa0 ,
am besten gleich ein neues HJT-Log erstellen und hier posten.
Kommt ab und zu mal vor, daß eigentlich gefixte Sachen bei der Nachkontrolle doch nicht vom Tool gelöscht wurden. dann muß man es einfach wiederholen.
Oder du hast evlt. einen Eintrag übersehen zu fixen und durch einen Nachlader kommt aus dem Internet alles komplett wieder zurück.
Nehme an, daß du Sypbot usw. schon hast laufen lassen.

Evlt. es auch mit a² free von
 http://www.emsisoft.de/de/software/free zusätzlich
versuchen. Schaden kann es nicht, aber HJT sollte genügen, man darf halt nichts übersehen.

Tur mir leid das ich erst jetzt antworte, ich konnte gestern die Seite irgendwie nich öffnen.

Logfile of HijackThis v1.99.1
Scan saved at 14:08:25, on 07.04.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
E:\Programme\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\MSN Messenger\msnmsgr.exe
E:\PROGRA~1\INCRED~1\bin\IMApp.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\ntvdm.exe
E:\Programme\Winamp\winamp.exe
C:\PROGRA~1\T-ONLINE\BSW4\ToDuCAlC.EXE
E:\PROGRA~1\INCRED~1\bin\IncMail.exe
E:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\taskmgr.exe
C:\Dokumente und Einstellungen\Jasmin\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.vxslsgsfhkpuwymuctin.biz/huhhdBbfSyAnShJemjasByZ9YhwimJa8u542bCfEkbszRPdZDkCjBLZdG049I2G3.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://g.msn.com/5meen_us/133?Version=6.2&GeoID=0000005e&Plcid=0407&CLCID=0407&Country=00&BrandID=MSMSGS&Build=6.2.0137&OS=Win
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [ICQ Lite] E:\Programme\ICQ Lite\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] "E:\Programme\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [IncrediMail] E:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [GCS] "C:\Programme\GrabClipSave\GrabClipSave.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ProgramFor] C:\DOKUME~1\Jasmin\ANWEND~1\FILMGR~1\cool soap.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - E:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQ Lite\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQ Lite\ICQLite\ICQLite.exe
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{074A6494-EA32-4B96-8A55-8348A96CA56A}: NameServer = 217.237.150.225 217.237.150.141
O17 - HKLM\System\CS1\Services\Tcpip\..\{074A6494-EA32-4B96-8A55-8348A96CA56A}: NameServer = 217.237.150.225 217.237.150.141
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Hallo Medusa0 ,
kein Problem, wann du antwortest :-)

Einige Sachen wurden nun schon mit HJT  gelöscht, aber ein paar sind immer noch da. Vermute mal stark du hast da einen Nachlader in deiner sog. Hosts-Datei.

Gehe aber zuerst in den abgesicherten Modus (wie o.g. mit F8) und fixe/lösche dort folgendes:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.vxslsgsfhkpuwymuctin.biz/huhhdBbfSyAnShJemjasByZ9YhwimJa8u542bCfEkbsz RPdZDkCjBLZdG049I2G3.htm

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://g.msn.com/5meen_us/133?Version=6.2&GeoID=0000005e&Plcid=0407&CLCID=0407&C ountry=00&BrandID=MSMSGS&Build=6.2.0137&OS=Win

O4 - HKCU\..\Run: [GCS] "C:\Programme\GrabClipSave\GrabClipSave.exe"
 (muß dort nicht sein, kann man bei Bedarf jederzeit
  auch dann manuell starten!)

O4 - HKCU\..\Run: [ProgramFor] C:\DOKUME~1\Jasmin\ANWEND~1\FILMGR~1\cool soap.exe

Gehe dann immer noch im abgesicherten Modus mit dem
HJT-Tool zu deiner Hosts-Datei:--->
du siehst rechts unten Other stuff-->klicke dort
auf Config-->weiter zum Reiter "Misc Tools":

dort findest du in der Liste dann:
Open host file manager

Hier wird zunächst einiges allgemein erklärt, aber
ganz wichtig ist, daß dort nur EIN Eintrag wie folgt sein  darf und dieser lautet:

127.0.0.1   local host

Möglicherweise sind dort noch mehr Einträge (wahrscheinlich dieser Popup/Werbenachloader). Diese
müssen gelöscht werden: einfach kurz anklicken und dann immer "Delete Line(s)"  drücken.
Hier ist ein Link, der dir diese Host-Datei zeigt, wie sie richtig ist: siehe Punkt 7 --->
http://yourhighness.eddys-domain.de/hijackthis.html#Wie_der_Host-datei_Manager_genutzt_wird

Anschliessend schliessen und PC wie immer neu starten.

Viel Erfolg.

hei jetzt mal ne frage die du nicht beantworten must....aber: gehst du auf sex-seiten????
würde ich dir abraten den die sind voll mit so zeugs!!!

-O4 - HKCU\..\Run: [ProgramFor] C:\DOKUME~1\Jasmin\ANWEND~1\FILMGR~1\cool soap.exe

-O4 - HKCU\..\Run: [GCS] "C:\Programme\GrabClipSave\GrabClipSave.exe"

das sieht doch nach sowas aus.....
Sry für die frage wolltwe nur sagen das mann das auch vermeiden soll

@richard. vo wo weisst du sovile darüber??

Grap Clip Save ist ein Programm mit dem man in Spielen Screenshots machen kann ^^
Und nein, gehe ich nicht. Ich bin immernoch weiblich ^^ Ich versuch es jetzt nochmal im abgesicherten Modus

Tja geht nich.. Im abgesicherten Modus findet Spybot zwar was aber es lässt sich nich löschen, dass Programm stürzt dann ab -.-
Und im "normalen" Modus findet Spybot nichts..  
Ich weiss echt nich was ich noch tun soll.

Hallo Medusa0 ,
lese gerade, daß du immer noch von dieser mysearchbar verfolgt wirst, wobei ich langsam bezweifle, daß dies die Ursache ist. Im HJT-Log ist davon nichts mehr zu finden (hat einen ganz charakterischen Eintrag).

Deine hosts-Datei wie oben gesagt hast du schon überprüft?  Was steht da drin?

Mein Verdacht liegt auf der GrabClipSave.exe . Ich kenne diese auch und es wird dort auch behauptet  "it's freeware! No nags, no spyware, no gotchas".
Nun, das sagen viele und es gibt zig Gegenbeispiele von verdächtigen Tools. Niemand hat was zu verschenken und viele dieser angeblichen Freeware-Sachen sind eben dann mit Adware oder Spyware verseucht.
Insofern mein Vorschlag, diese kurz mal zu deaktivieren/deinstallieren. Kann man ja jederzeit
neuinstallieren.
oder überprüfe diese GrabClipSave.exe mit
 http://virusscan.jotti.org/de (sind 12 AV-Scanner)
ob nicht doch was böses drin steckt.

Hast du schon free a² versucht, was ich dir am Mittwoch empfahl. Wenn wirklich noch Mysearchbar da sein sollte (sehr unwahrscheinlich), dann erkennt/cleant es a². Ist in deren Auflistung erwähnt.

Leider erkennt kein Tool alle Spyware-Arten,damit müssen wir leben. Die besten schaffen so um die 80%
wie z.B. Microsoft Anti Spyware Beta-kostenlos bis 7/2005--->
gibt's z.b. hier:
www.zdnet.de/specials/spyware-center/0,39028488,39129212-3,00.htm  . Teilweise sogar etwas besser als Ad-aware oder Spybot je nach Spyware-Art.
Ein Versuch ist es immer wert und dann nach dem updaten gleich im abgesicherten Modus scannen lassen.

Auch der kostenlose Escan (= Kaspersky) ist immer gut für eine Überprüfung,auch gleich im abges.Modus.
Bekommst du z.b. hier mit Schaubildern etc.:
 http://trojaner-info.de/hijacker/escan.shtml
Wichtig ist, daß du dir vorab  auf C einen Ordner
namens bases (also:  C:\bases) anlegst und dort dann downloadest.
Möglicherweise sind noch irgendwo Viren,Spyware etc. versteckt, die HJT nicht aufdeckt (vieles,aber nicht alles kann mit HJT erkannt werden!).

Auch mal den PC allgemein reinigen mit Tools wie z.b.
ClearProg 1.4.1 Final( von http://www.clearprog.de ).
Dort "alles löschen" anhaken und löschen lassen.
Reinigt gut und zuverlässig nach meiner Erfahrung auf mehreren Rechnern.

Alternativ kann man durch aus mal den einen oder anderen AV-Online-Scanner einsetzen als 2./3.Meinung.
Hier eine Liste von 13 kostenlosen Scannern:
 http://malware.bul-online.de/av_onlinescan.php
Gute sind da z.B. Bitdefender, Panda, F-Secure, RAV etc. Diese cleanen auch im Einzelfalle je nach Viren oder Spyware.

Wir brauchen einfach den/die genauen Namen von (noch)möglichen Schädlingen, sonst stochert man im Nebel und wo sie genau stecken. Also den Pfad, den Dateinamen, eine dll usw.

P.S:
@ Schnibu: war selbst vor vielen Jahren leidgeprüfter
  PC-User (alle Fehler gemacht,die man so machen kann)
  und aus diesen Fehlern viel gelernt.
  Mittlerweile Mitglied in 17 Spyware-Foren
  (hauptsächlich USA,wo vieles ja her kommt) und so
  lernt man über die Jahre (aber lerne noch jeden Tag
  neues) vieles kennen: Foren lesen bildet.
  Seit 6 Jahren ohne Viren
  (und das immer mit Windows-Versionen-nix Linux)
  und hoffe, ich schaffe es auch im 7.Jahr :-)
  Bin zwangsläufig auf vielen Spyware-Seiten unterwegs
  aber da muß man sich doppelt und dreifach schützen,
  sonst könnte ich meinen PC jede Woche formatieren.
  Und die größte Gefahr in den nächsten Jahren sind
  weniger die reinen Viren, sondern vielmehr diese
  vertrackte Spyware.

So, jetzt bin ich endgültig am verzweifeln. Ich hab alles ausprobiert. Spybot hatte vor ein paar Tagen ja noch was gefunden, was sich aber durch abstürzen des Programms nich löschen lies. Aber jetzt findet er gar nichts mehr, aber die Viren sind noch da. Spybot hatte zB. "lop.com" gefunden und jetzt nicht mehr, aber das Teil is noch da, es öffnet sich ständig einfach so als Internetseite. Ich hab jetzt im abges. Modus Antivir, Ad-aware und Spybot laufen lassen, aber es wird nichts mehr gefunden. Auch die Online Virensucher haben nichts gefunden. Ausserdem hab ich mir dieses ClearProg geholt, bloss das stürzt auch ab wenn ich "Temporary Internet Files (Cache)" löschen will.
Also ich hab keine Ahnung was jetzt noch helfen kann.

Hallo, habe seit ca. Januar ein großes Problem. Komme nicht mehr bei Ebay und Online Telefonrechnung in meine abgesicherten Seiten. Habe schon mehrmals mit meinem Netzanbieter kommuniziert. Browsercache leeren, Cookies löschen und und und, hat alles nichts gebracht. Java neu, auch nichts gebracht. Ich bin kein Computerfreak, reicht nur für Hausgebrauch. Wer kann mir helfen, bzw. Tipps geben. Danke

Hallo, habe seit ca. Januar ein großes Problem. Komme nicht mehr bei Ebay und Online Telefonrechnung in meine abgesicherten Seiten. Habe schon mehrmals mit meinem Netzanbieter kommuniziert. Browsercache leeren, Cookies löschen und und und, hat alles nichts gebracht. Java neu, auch nichts gebracht. Ich bin kein Computerfreak, reicht nur für Hausgebrauch. Wer kann mir helfen, bzw. Tipps geben. Danke

Hallo MedusaO ,

eine ganz neue Erkenntnis mit lop.com, aber leider auch eher eine schlechte Erkenntnis. Berühmt-berüchtigt und gib's auch in vielen Varianten, ab und zu  taucht mal wieder eine neue auf.
Schlimm ist, daß es sehr viele Einträge im PC verändert, ihn so richtig verseucht.
Hier eine Lop.com-Liste:
  www3.ca.com/securityadvisor/pest/search.aspx?pst=Lop&allwords=true

Wenn dein PC im Normalmodus beim scannen mit clearprog etc. abstürzt, hast du es schon auch im abgesicherten Modus versucht?
Du hast es auch über folgenden Weg (auch gleich im abgesicherten Modus) versuchen:
Start-->ausführen--> dort  cleanmgr  eingeben, dann OK
drücken. Dort dann ALLES anhaken (übertragene Programmdateien, temporäre Dateien, temporäre Internetdateien usw.) und dann löschen lassen.
Diese temporäre Dateien, temporäre Internetdateien und  der Rest dort müssen unbedingt sauber sein.

Hast du auch schon mit Hilfe des HJT-Tools mal in deine Hosts-Datei reingeschaut, was ich dir vor Tagen schrieb?  
Bin mir bei lop.com (je nach Variante) sicher, daß
dort Einträge sind, die da nicht reingehören.
Wie schon gesagt, bei der Hosts-Datei darf als letzte Zeile dort nur stehen:
127.0.0.1   local host

Alle anderen Einträge, die dann folgen, kannst du gleich mit HJT-Tool anklicken und dort rauslöschen. Sonst hast du ewig diese Nachlader.

Evlt. wäre auch der Einsatz von pestpatrol (erkennt praktische alle Varianten) zu überlegen.
Gibt eine kostenlose 30-Tage-Testversion bei:
 http://www.pestpatrol.de

Nein, es stürzt im abges. Modus ab, das ist es ja..   In meiner Hosts-Datei steht auch nur dieser eine Eintrag... Ich versuch es jetzt einfach mit Pestpatrol und melde mich dann nochmal. Aber danke das ihr (du) so geduldig hilfst =)

So, ich hab es jetzt mit Pestpartol versucht und es kam sogar was dabei raus ^^ Das Problem ist nur das man mit der Test-Version nicht löschen kann, und kein anderes meiner Programme die Spyware findet.
Ich liste einfach mal auf was gefunden wurde:

Spyware Cookies:

Zedo
Z1.Adserver.com
Trafficmarketplace
Tradedoubler.com
Revenue.net
Kazaacjt1.net (das wurde 2 mal gefunden)
As1falkag.de
Adtech.de
2o7.net


Adware:

CWS.GoogleMS.3


Und wie krieg ich dieser Viecher nun weg?
Sie stören EIGENTLICH ja nicht sonderlich, bloss ich hab eh zu wenig Arbeitsspeicher und durch diese ganzen Sachen die im Hintergrund laufen kann ich kaum noch was machen, da die Auslagerungsdatei so groß wird   Deswegen würd ich die schon ganz gern demnääächst mal weg haben ^^

Hallo Medusa0 ,

der Spyware-Kampf geht weiter aber nur nicht aufgeben :-)

Diese Sypwarecookies sind relativ harmlos und ungefährlich. Einfach Cookies manuell über Extras-->
Internetoptionen löschen und weg sind. Oder eben mit Tools wie Clearprog.

Interessante Erkenntnisse von Pestpatrol mit CWS.GoogleMS.3 . Kein Tool findet alles, leider.
Problemchen ist, daß es einige Berichte gibt, wonach dieser Fund bei Pestpatrol ein sog. false positiv sein soll, also fehlerhaft was gefunden wird.Liegen aber schon fast 1 Jahr wieder zurück.
Die Einzelheiten werden hier genannt,wo er sich auf dem PC einträgt:
www3.ca.com/securityadvisor/pest/pest.aspx?id=453078847

Aber egal, ob es wirklich der CWS.GoogleMS.3 bei dir
ist. CWS gibt's in über 40 Varianten und sind teilweise extrem schwer zu entfernen.
Hier mal die Liste (deiner ist Nr. 17) dazu:
http://ftp.officefive.org.uk/sites/cwshredder.net/cwshredder/cwschronicles.html

Gottseidank gibt's dazu ein kostenloses Removaltool
CWShredder Version 2.14  bei:
 www.intermute.com/products/cwshredder.html
Lade es dir herunter und lasse es laufen, gffls mehrmals nötig.

Hoffe, dass du auch deine temp-Dateien sauber bekommst, dass ist hierbei sehr wichtig. Da kann sich einiges einnisten.
Wenn clearprog abstürzt (kein gutes Zeichen), dann
noch folgende Vorschläge:
1. gehe auf Start->ausführen-> gib  cmd ein,dann OK.
   gib dann im DOS-Fenster bei Cursor folg. ein:
   del c:\windows\temp
   dann wirst du gefragt: mit J und Enter beantworten.
2. oder per folgenden Tools von
   http://www.helmrohr.de  . Unter downloads gibt's
   - DelTempFiles (eine zip-file mit 1,44 kb)  und
   - TIF-Löscher 3.0 (Selbstextrah. Archiv, 47 kb)

   Damit konnte ich schon temps  usw.löschen, wo sonst
   nichts mehr anders ging.

Ansonsten kannst du auch jederzeit bzw. zur Reserve auch immer den o.g. eScan (ist ja mit den Kaspersky-Viren und AdwareSignaturen) herunterladen.
Immer gut,wenn man mehrere Meinungen hat und stört auch keinen anderen AV-Scanner, da eScan keinen Wächter hat.

Evlt. nach der CWS-Cleanen nochmals ein neues HJT-Logfile erstellen zur Nachkontrolle.
 
Viel Erfolg.

geh mal da drauf hier kannst du ein remove tool runtersaugen vieleicht geht damit bei mir gings
good luck
http://www.mysearchnow.com/help.html#startpage2

Also CWShredder findet auch nach vielen Durchläufen nichts ^^ Schon mal sehr gut
Hab mir jetzt eScan geholt, aber der löscht ja auch wieder nich sondern findet nur, aber immerhin ist jetzt was dabei rausgekommen:

File c:\dokume~1\jasmin\lokale~1\temp\bqxaqbac.exe infected by "not-a-virus:AdWare.Lop.m" Virus.

File C:\DOKUME~1\Jasmin\ANWEND~1\FILMGR~1\COOLSO~1.EXE infected by "not-a-virus:AdWare.Lop.m" Virus.

File C:\DOKUME~1\Jasmin\LOKALE~1\Temp\bqxaqbac.exe infected by "not-a-virus:AdWare.Lop.m" Virus.



Hab einfach mal ganz toll kopiert was da stand, ich weiss ja nich ob man damit was anfangen kann ^^

Die TIF konnte ich jetzt löschen und CleanProg stürzt auch nich mehr ab ^^ Wenigstens etwas


Achja, zu dem CWShredder gabs ja noch dieses SpySubtract und das auch noch was gefunden und habs gelöscht.

Trotzdem hocken hier noch so einige Sachen und treiben meinen PC und mich zum Wahnsinn ^^

Guten Morgen , Medusa0 !

lop.com war und ist ne 'harte Nuß'. aber es wird immer besser. Und eScan (= Kaspersky) findet immer noch was,wo andere versagen. Leider cleant eScan nicht mehr automatisch, muß man manuell gemacht werden. Aber ist auch kein Problem und geht wie folgt:

lade dir von http://www.bleepingcomputer.com/files/killbox.php
diese sog. Pocket KillBox  v.2.0.0.175 herunter.

Dann dort "Delete File on Reboot" anhaken.
Und klicke  immer auf das rote Kreuz,wenn gefragt wird, ob "Do you want to reboot? ----> klicke auf "no",und kopiere das naechste rein und erst beim letzten auf "yes".
Und kopiere dann dort die folg. 3 Einträge jeweils in dieser Art wie soeben beschrieben rein:

c:\dokume~1\jasmin\lokale~1\temp\bqxaqbac.exe infected by "not-a-virus:AdWare.Lop.m" Virus

C:\DOKUME~1\Jasmin\ANWEND~1\FILMGR~1\COOLSO~1.EXE infected by "not-a-virus:AdWare.Lop.m" Virus

C:\DOKUME~1\Jasmin\LOKALE~1\Temp\bqxaqbac.exe infected by "not-a-virus:AdWare.Lop.m" Virus

Schalte dann den PC aus und starte (= boote) neu.
Dann müssten (hoffentlich) diese 3 Missetäter weg sein.

Viel Erfolg.

@ tu: interessant, daß du mit dieser Page
  www.mysearchnow.com/help.html#startpage2 die
  Sache wegbekammst und überrascht mich.
  Ich kenne diese Seite auch, aber habe diese
  bewußt nie empfohlen. Ich habe zwar keine
  handfesten Beweise, aber ich halte das ganze
  von der Aufmachung (Online Casino, Adult
  Entertainment usw.) einfach für unseriös,wenn
  man im gleichen Atemzuge dann Removaltools
  anbietet.
  Searchtheweb, lop.com, mywebsearch sind alles
  "zweifelhafte" Seiten aus meiner Sicht.
  Ich konzentriere mich immer möglichst auf
  anerkannte Seiten/tools, sonst multipliziert man
  möglicherweise noch seine Probleme.

So, ich hab jetzt alle Virenprogramme die ich habe mehrmals im abges. Modus laufen lassen und dabei noch so einiges gefunden, was nun aber alles gelöscht ist. Soweit ich das sehe läuft wieder alles einwandfrei =)
Danke für eure Hilfe und Geduld =)
Hier nochmal HJT log zum nachkontrollieren:

Logfile of HijackThis v1.99.1
Scan saved at 14:52:06, on 15.04.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\Jasmin\Desktop\AntiViren Kram\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.rxfoqgasbdhjkorpgdnlmcz.info/huhhdBbfSyAnShJemjasByZ9YhwimJa8u542bCfEkbsimajt6qKvZ7ZdG049I2G3.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [ICQ Lite] E:\Programme\ICQ Lite\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] "E:\Programme\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [IncrediMail] E:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: SpySubtract.lnk = C:\bases\cws\SpySub.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - E:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQ Lite\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQ Lite\ICQLite\ICQLite.exe
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bul-online.de/scan/Msie/bitdefender.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Ich hoffe die Log zählt, ich war gerade im abges. Modus als ich sie erstellt lassen habe.

Hallo,

meine Tochter hatte mysearchnow auch schon oft drauf. Hier gibt es ein Removal-Tool (ganz unten ist der uninstaller):

http://www.mysearchnow.com/help.html

Da muss man dann einen Code eingeben und weg ist mysearchnow!

Gruss

Eva