kann diesen idiotischen Eintrag löschen, finden tun sie ihn aber beide.

Folgendes, eine Freundin meiner Tochter hat an ihrem PC ( Win 98 ) ständig als Startseite im IE eine Sexseite Namens "Specialgoods".

Dieser freundliche Reg. eintrag schleust Sie auch ständig auf diese dubiose Sexseite und fordert Sie dort auf einen Dialer zu installieren.

Adaware und auch Hijack finden diesen Eintrag, stufen Ihn auch als "Böse" ( Maleware ) ein, sind aber beide nicht in der Lage Ihn zu entfernen.

Beim "manuellen" suchen in der Reg. finde ich Ihn auch, kann ich dort auch löschen, aber schwupp isser wieder da.

Wisst Ihr weiter ??

Griassle

Holle

Gibt es am Pc auch Ordner oder Dateien mit komischen Namen oder .exe dateien die dir nicht bekannt sind?

....das ist der Rechner einer 15 jährigen !


Da herrscht Chaos--> Die Eltern machen mit dem Rechner ja nur Onlinebanking :eek:

Etwas lang aber schau ma:

http://www.geekstogo.com/forum/index.php?showtopic=30321&hl=Specialgoods


PS: Das is ein klasse Forum haben mir auch geholfen ;)

....das ist der Rechner einer 15 jährigen !


Da herrscht Chaos--> Die Eltern machen mit dem Rechner ja nur Onlinebanking :eek:

Das macht das ganze aber schwerer - denn wenn du einen "komischen" Ordner finden würdest bzw. in Verdacht hättest, würde ich dir raten den mal restlos (mit so manchen freeware tools) zu löschen und dann die reg nomal

aber dadurch dass die reg immer wieder erscheint (auch wenn du sie löscht) tipp ich auf ein Programm dass sich beim start automatisch mitstartet

lad mal Startup Inspector (oder so) runter und schau ob dir da einträge komisch vorkommen

Etwas lang aber schau ma:

http://www.geekstogo.com/forum/index.php?showtopic=30321&hl=Specialgoods


PS: Das is ein klasse Forum haben mir auch geholfen ;)


...aber das sollte wir doch hier auch hinbekommen !

mmm...

Poste mal das Log von HijackThis. Welcher Virenscanner läuft im Hintergrund???

mmm...

Poste mal das Log von HijackThis. Welcher Virenscanner läuft im Hintergrund???

Log kann ich im Augenblick nicht posten....

Virenscanner ist AntiVir ( der erkennt ihn übrigens nicht )

Gruss

Holle

msconfig --> mal schauen ob sich da bei win was mitstartet

weiters im abgesicherten modus virenscanner und das ganze zeug drüber gehen lassen. da sollte die entfernung auch klappen.

msconfig --> mal schauen ob sich da bei win was mitstartet

weiters im abgesicherten modus virenscanner und das ganze zeug drüber gehen lassen. da sollte die entfernung auch klappen.


"msconfig" hab ich natürlich nachgeschaut, aber auch dort nix unter "autostart" gefunden was mit dem zu tun hat.

und der abgesicherte modus??

mmm...

Könnte die Systemwiederherstellung noch ein Prob sein:confused: ...

mmm...

Könnte die Systemwiederherstellung noch ein Prob sein:confused: ...



gabs bei win 98 noch nicht :cool:

mmm...

Könnte die Systemwiederherstellung noch ein Prob sein:confused: ...
Seit wann hat Windows 98 den eine Systemwiederherstellung?

und der abgesicherte modus??


hab ich auch schon probiert......

Kinder Kinder........wenn man auch auf jedes OK klicken muss

gabs bei win 98 noch nicht :cool:Seit wann hat Windows 98 den eine Systemwiederherstellung?mmm...

Ups, sollte vielleicht lieber nur eine Sache machen ... dann kann es eigentlich nur noch sein, dass vom Programm immernoch etwas im Speicher rumlungert, HijackThislog oder Spybot 1.4 testen ...

da ist sie, die logfile....


logfile of HijackThis v1.99.1
Scan saved at 19:01:07, on 06.06.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.00 (5.00.2614.3500)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\STARTER.EXE
C:\PROGRAMME\AHEAD\INCD\INCD.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\SMARTSURFER\SMARTSURFER.EXE
C:\PROGRAMME\WINZIP\WINZIP32.EXE
C:\TEMP\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.specialgoods.info/ad/ad0413/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - Startup: SmartSurfer.lnk = C:\SmartSurfer\SmartSurfer.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O12 - Plugin for .mpg: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin3.dll
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://arcade.icq.com/multiplayer/odyssey_web8.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab

Also, hab mir das Protokoll mal angeschaut. ISt auf dem Rechner Smartsurfer installiert? ansonsten ist dieser EIntrag der übeltäter:


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.specialgoods.info/ad/ad0413/


einfach mal mit Hijack This fixen und berichten obs wieder OK ist, ansonsten Spybot drüber laufen lassen oder Microsoft Antispy http://www.microsoft.com/athome/security/spyware/software/default.mspx MS hat es von der Entwicklerfirma GIANT gekauft und verbreiten das Teil jetzt kostenlos unter Ihrem Namen - Also nicht von dem Betastatus abschrecken lassen, nutze es schon seit einem Jahr - ohne Probleme...


MfG AlexM

soweit ist mir das alles ja klar @ AlexM , nur bekommt keines der kleinen tools diesen eintrag gelöscht !!!

gruss

holle

Hier die Lösung für Dein Problem:

http://forum.hijackthis.de/showpost.php?p=21267&postcount=14

MfG AlexM

...das gibt mir hoffnung ! danke erstmal, ich versuch es heute abend


gruss

holle

mmm...

Diese 2 Einträge gefallen mir erstmal nicht wirklich, allerdings weiss ich nicht, ob der Smartsurfer einen Proxy einrichtet:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.specialgoods.info/ad/ad0413/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

Wenn das das ganze Log ist, kann ich auf die schnelle nichts ungewöhnliches entdecken. Ich gucke heute abend nochmal ...

Hier die Lösung für Dein Problem:

http://forum.hijackthis.de/showpost.php?p=21267&postcount=14

MfG AlexM


..........leider auch nicht !

ich bekomm die fixme.reg nicht in die reg. kopiert.

ich werd die kiste wohl mal formatieren müssen!

gruss

holle

mmm...

Hast du schon formatiert?

Du sollst eigentlich nur 2 Schlüssel entfernen (und hoffen, dass sie entfernt bleiben). Hast du beim erstellen der Fixme.reg darauf geachtet, dass CurrentVersion auf der Seite auseinandergeschrieben ist und dadurch nicht passt?

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTask Scheduler]
"{D56A1203-1452-EBA1-7294-EE3377770000}"=-

[-HKEY_CLASSES_ROOT\CLSID\{D56A1203-1452-EBA1-7294-EE3377770000}]

ne, formatiert habe ich noch nicht !!

win 98 moniert immer, dass es sich bei der fixme.reg um keine registrierungsdatei handelt.....

gruss

holle

mmm...

Ich vergesse dauernd, dass du Win98 hast ;). Zuhause kann ich nachschauen, als was es exportiert wird und eine fixme.reg basteln.

REGEDIT4

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\SharedTask Scheduler]
"{D56A1203-1452-EBA1-7294-EE3377770000}"=-

[-HKEY_CLASSES_ROOT\CLSID\{D56A1203-1452-EBA1-7294-EE3377770000}]

Du kannst ansonsten auch einfach "regedit" aufrufen (start => ausführen) und dann den Pfad selber abgehen und die 2 Einträge entfernen.
HKEY_LOCAL_MACHINE => Software => Microsoft => Windows => CurrentVersion => Explorer => SharedTaskScheduler und dort dann den Eintrag mit "{D56A1203-1452-EBA1-7294-EE3377770000}" löschen. Danach noch in HKEY_CLASSES_ROOT => CLSID das Teil {D56A1203-1452-EBA1-7294-EE3377770000} löschen. Wenn es nicht neu eingetragen wird, solltest du deine Ruhe haben.

.....nicht ich hab 98 sondern die freundin meiner tochter ;-)

ich werds heute abend bei denen nochmal versuchen.

danke für deine bemühungen


holle

Also ich würd die Kiste einfach plätten! ;)
Nur aus einem solchen GAU lernt der DAU! ;D
Ich hab sowas mal als pädagogische Maßnahme gemacht, nachdem mich jemand 3 Mal mit ähnlichem Müll genevt hat!
Es gibt echt Noobs die auf alles klicken müssen! Selber Schuld!
Hab ihm dann weißgemacht, das es nicht anders geht und Format C: eingeleitet! :ulol: Seitdem paßt er zumindest etwas besser auf!
P1

Log kann ich im Augenblick nicht posten....

Virenscanner ist AntiVir ( der erkennt ihn übrigens nicht )

Gruss

Holle
Antivir ist scheiße, das hat meinen letzten Virus nicht gefunden...

Wisst Ihr weiter ??

Griassle

Holle
.NET installieren und nLite nehmen.

Dann den IE samt IE Core entsorgen und für Indernet nur Opera vorsehen ;)

Also ich würd die Kiste einfach plätten! ;)
Nur aus einem solchen GAU lernt der DAU! ;D
Ich hab sowas mal als pädagogische Maßnahme gemacht, nachdem mich jemand 3 Mal mit ähnlichem Müll genevt hat!
Es gibt echt Noobs die auf alles klicken müssen! Selber Schuld!
Hab ihm dann weißgemacht, das es nicht anders geht und Format C: eingeleitet! :ulol: Seitdem paßt er zumindest etwas besser auf!
P1


in die richtung gehen meine gedankengänge auch schon.

das "problem" ist nur, dass sich das töchterchen ( ja, der virsenscanner hätte sie gewarnt - sie hielt die meldung aber nicht für sehr wichtig ) den rechner zusammen mit den eltern teilt.

aber es ist wirklich schockierend wie manche auf alles klicken und "ok" eingeben ohne sich über die folgen gedanken zu machen.

mmm...

So, hab eine fixme.reg gebastelt und rangehängt. Sie sieht genauso aus, wie im Text beschrieben, wobei der Anfang von Win98 First Edition kommt. Bei mir wurde die Datei ohne Probleme eingespielt => benenne sie von fixme.reg.txt in fixme.reg um und dann sollte es bei Win98 klappen ...

...danke, werds morgen bei ihnen versuchen !

geb dir dann bescheid

gruss

holle

mmm...

Im verlinkten Text werden einige Dateien genannt, kannst du die alle vorm Löschen in ein Archiv packen und mir mailen??? Ich mail den ganzen Krempel mal weiter an Spybot, wobei dort in den nächsten Tagen ein neues Update rauskommen soll. Dann wird es davon gefixt werden können ... lokadamus@gmx.de Betreff: 3dc- Malware ... am besten wäre es natürlich, wenn Sie noch weiss, wodurch/ wo sie den Kram bekommen hat ...

Versuch mal die Tipps dort : http://www.forum-3dcenter.org/vbulletin/showpost.php?p=2893260&postcount=15