Hallo, habe folgendes Problem und zwar geht es um den Rechner eines Kunden. Eigentlich ist es der Rechner seiner Tochter auf dem die windowsupdate seite nicht mehr zugaenglich ist. Statt dessen wird eine schadenfeinige suchseite angezeigt auf der u.a. auch viagra genannt wird also keine seite auf der seine Tocher irgendwie sein sollte. Ich habe also wie ueblich bei so sachen alle temporaeren datein geloescht in den registry aufgeraeumt spybot und adaware durchlaufen lassen doch nichts half. Einfach den internet explorer neuinstallieren geht nicht da die vorhandene version neuer ist, ein reinstallationsscript von der windows XP home cd half auch nicht. Wie kann ich das blos los werden?

Der arme Kunde.......wenn sein Admin/PC-betreuer net weiss wie man da vorgeht.


1. Sp2 von CD installieren!
2. Inoffizieles Updatepack saugen und auf betroffenem PC installieren!
3. Tool von dingens.org saugen und ausführen!
4. Hier ein Hijackthislog posten!
5. Spybot drüberlaufen lassen!
6. Antivir updaten und drüberlaufen lassen!
7. Stinger drüberlaufen lassen!


mfg

Edit: Dem Kunden den Kauf eines Routers sowie Wechsel auf Firefox und Thunderbird ans Herz legen!

Das hab ich schon mehr oder weniger alles gemacht< das dingens tool kann ich nicht verwenden weil beim kunden dann evtl die haelfte nicht mehr funktioniert< avg, noton und stinger finden nichts updates sind schon alle drauf.


Logfile of HijackThis v1.99.1
Scan saved at 14:33:02, on 21/08/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\zHotkey.exe
C:\WINDOWS\System32\LXSUPMON.EXE
C:\Program Files\BroadJump\Client Foundation\CFD.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\BigFix\BigFix.exe
C:\Program Files\Kodak\Kodak EasyShare Software\bin\EasyShare.exe
C:\WINDOWS\System32\PackethSvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\HJK\HijackThis.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CHotkey] zHotkey.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [BJCFD] C:\Program Files\BroadJump\Client Foundation\CFD.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: BigFix.lnk = C:\Program Files\BigFix\BigFix.exe
O4 - Global Startup: Kodak EasyShare software.lnk = C:\Program Files\Kodak\Kodak EasyShare Software\bin\EasyShare.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Virtual NIC Service (PackethSvc) - America Online, Inc. - C:\WINDOWS\System32\PackethSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Ist uebrigens ein englisches windows XP


spybot und adware finden nichts besonderes und die seite taucht immer noch auf jedesmal wenn ich auf windowsupdate.com will

Die Seite ist uebrigens http://findtop.net/ ist auch default start page

Etwas weg vom Thema:
Falls du dem Kunden einen Komplettrechner verkauft hast und nichts anderweitiges zu deinen Ungunsten vereinbart hast, bist du rechtlich übrigens nicht dazu verpflichtet solche Probleme zu beheben.

Ist kein von mir verkaufter Rechner, es geht nunmal darum den Rechner wieder herzustellen und das ist nunmal das offensichtlichste Problem fuer den Kunden welches ich aber ungluecklicherweise bisher nicht beheben konnte. Also sprich kein zugriff auf die windowsupdate (ersatz mit oben genannter seite welche auch die startseite ist ohne das es sich bisher aendern haette lassen). Ich habe jede MEnge spyware entfernt, der Rechner faehrt endlich wieder in akzeptablem tempo hoch aber das Problem ist noch nicht geloest.

Gibt es eine moeglichkeit den ie weitgehend zu deinstallieren und so dann quasi eine frische version einzuspielen. Hab eh schon zu firfox geraten trotzdem muss das funktionieren.

Erklär mal das Problem bitte genauer! Kommt bei jedem Seitenaufruf immer diese Suchseite? Kommen im Firefox beim Aufruf derselben Adressen die richtigen Seiten? Gibts sonst noch irgendwelche Probleme? Der Hijackthoslog an sich sieht ja ganz gut aus...vielleicht ist in der hosts-Datei in C:\WINDOWS\system32\drivers\etc ja irgendwie Müll drin.

mmm...

Kann es sein, dass das Logfile mal wieder gekürzt wurde? Ich vermisse irgendwie ein paar Einträge. Ansonsten kann ich auch keine auffälligen Processe erkennen, der Internetzugang wird über Compuserv/ AOL erledigt? ... würde auch empfehlen, die HOSTS- Datei zu überprüfen, da dürften einige falsche Einträge drinne sein.

Hallo,
die hosts file sieht soweit gut aus. Log wurde nicht gekuerzt.

Diese webseite kommt bei jedem neu geoeffneten internet explorer als startseite, in den Einstellungen ist sie nicht als startseite eingetragen. Auch manuelles eintragen einer anderen webseite bringt nichts denn nach einem erneuten Programmstart ist das feld wieder leer diese seite aber immernoch startseite.

In Firefox komme ich auf windowsupdate.com oder http://update.microsoft.com/windowsupdate/v6/default.aspx?ln=en-us da wird dann halt angezeigt das der browser nicht unterstuetzt wird activex und so

Hmm...könnte das hier sein:
CoolWebSearch/InetDoor: a homepage- and search hijacker and backdoor controlled and distributed by crdrcr.com, currently targeted at the related domains findtop.net, redtr.com and find-it-easy.org. Stored as a DLL in the System folder with a name of the form msNNNNNN.dll, where NNNNNN is a hexadecimal number which varies; so far, ms0b920b.dll and ms9b1d3f.dll have been seen. InetDoor ‘infects’ legitimate executable files by adding its DLL to their built-in ‘import tables’ of dependencies, ensuring that the DLL will be loaded whenever they are run. InetDoor targets programs that are set to run on Windows startup, so that it will be run on startup too. Removal is tricky; deleting just the DLL will leave the ‘infected’ programs unable to run.
siehe http://allentech.net/parasite/CoolWebSearch.html
Falls so eine Datei existiert bei dir, dann mach mal das, was dort bei den Removal Instructions (ziemlich weit unten) für das Ding steht!
Ansonsten vielleicht mal noch das http://www.trendmicro.com/cwshredder/ Tool laufen lassen...
Bei der Gelegenheit dann bitte auch die Microsoft Java Virtual Machine deinstallieren und (falls nötig) die von Sun installieren, da dieses Coolwebsearch-Zeug oft durch Lücken in der MS-Java-VM drauf kommt!

Scheine es geloest zu haben und zwar habe ich ein Programm Namens Security Task Manager benutzt welches einzelne prozesse isolieren und loeschen kann. Da war etwas was sich als komponente von einem symantec update programm ausgegeben hat. symantec AV war zwar installiert wurde aber unlaengst entfernt und seitdem das weg ist kein hijack versuch mehr.

So ganz glaube ichs aber immer noch nicht