Hallo Experten,

ich hoffe, ihr könnt mir bei meinem ersten Anliegen weiterhelfen!?
Habe mir gestern mittag beim Online-Recherchieren einen üblen highjacker (?) eingefangen.
Rechner "hängte sich auf" (nur noch mittels "boot" zum Neustart zu bewegen, danach genau die gleichen Anzeichen, die "Yamamba" ab 28/8/2004 in Thread ID 46 über die veränderte Startseite "thenewsearch.com/*" beschrieben hat:
Bei mir lässt sich die Startpage nicht mehr auf die gewünschte einstellen, springt immer wieder auf "find-more.net/*" oder "find-everything/*" zurück.
Auch tauchen unter "Favoriten" die beschriebenen Ordner wie "Adult, Health, Insurance, Internet u.a. sowie Verknüpfungen wie "Findonline, Findonline Porn, Free Porn Ezines u. a. auf, die sich nach löschen und Neustart wieder erneuern.
Diverse Aktionen mit Internet Explorer und Windows Explorer reagieren nicht oder mit minütiger Verzögerung.
Bei jedem Versuch eines Neustarts kommt auch auf meinem Rechner die Meldung "Programm beenden - Win Min" mit anschließendem "Das Programm reagiert nicht . . ."
Noch was: Wenn ich manuell google.de eintippe und online gehe, hat die homepage ein verändertes Aussehen: mit drolligen, aber seeeehr verdächtigen Eisbär-Bildchen um den Schriftzug herum!

Bisherige Schritte:
Jeweils mit neuen updates folgende Programme suchen lassen:
AntiVir, AdAwareSE, Spybot und - zum ersten mal - RegSupreme. Für den CWShredder finde ich allerdings seit nem halben Jahr kein update mehr!?)
Ach ja: Mit "Ashampoo" habe ich die Registry, den Inernet-Bereich und die Festplatten "reinigen" lassen.
Geschockt war ich ja, dass RegSupreme im "gründlich"-Modus 1196 (!) ungültige Einträge findet (im "normal"-Modus immerhin noch 270.
Da muss ich doch erst mal fragen, ob ich diese 1196 Einträge "einfach so beheben" soll???
Oder das Suchergebnis hier zunächst reinstellen?

Hijackthis habe ich auch suchen lassen, unten der logfile dazu. Ich habe versucht, die fünf verdächtigen Einträge in R1 und R0 zu fixen, aber nach jedem (merkwürdigen, s. o.) Neustart sind die Einträge wieder da.
Sind noch weitere Einträge verdächtig???
Noch eine Frage: Muss ich den Guard von AntiVir deaktivieren, bevor ich Hijackthis und RegSupreme ausführe?

Schon mal vielen Dank im voraus für die Hilfe,
tschö, Bernd

und hier noch der logfile:

http://www.windowspower.de/fileup/upload/10208.txt

Hi Kangaroo
Lese erst die genauen Anleitungen für das weitere bearbeiten . Die Fehleinträge mit Reg-Supremekönnen immer komplett gelöscht werden,denn die sind ja schon aussortiert.
Deaktiviere die Systemwiederherstelleung und arbeite mit den Tool's immer offline.Damit ist der
Guard automatisch neutral gesetzt. CW-Chredder hat neue Updates, gestern noch selbst gehabt.
Fixe diese hier:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.find-more.net/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.find-more.net/index.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.find-more.net/sp.htm Nasty
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {4C66EC15-A72E-1537-6CE9-EFA08605B6C5} - (no file)
O4 - HKLM\..\Run: [SearchUpgrader] C:\Programme\Common files\SearchUpgrader\SearchUpgrader.exe
This entry should be fixed by HijackThis! This entry should be fixed by HijackThis!
R1 - HKCU\Software\Microsoft\Internet E
O4 - HKCU\..\Run: [mstask] C:\WINDOWS\mstask.exe
HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.find-more.net/index.htm
O16 - DPF: {00000000-d9e3-4bc6-a0bd-3d0ca4be5271} -

Gruss rolfpower

Hallo Mitdenker,

Zunächst vielen Dank für die Hinweise an rolfpower!
Bevor ich anfange, habe ich noch einige Nachfragen:
1. WIE deaktiviere ich die Systemwiederherstellung???
2. Reihenfolge und Bedingungen: Sollte ich zuerst die Fehleinträge laut RegSupreme löschen, dann erst die Einträge in Hijackthis fixen? Zwischendurch Neustart oder erst am Ende?
3. Einträge im Logfile:
3.1 „R0 – HKCU\Software\Microsoft\Internet Explorer\Main, Start Page = http://www.find-more.net/index.htm“ hat rolfpower nicht genannt: Soll der Eintrag so drin bleiben oder AUCH fixen???
3.2 „R1 – HKCU\ Software\Microsoft\Internet E“:
Ist damit der Eintrag „...Explorer\SearchURL, (Default) = http://www.find-more.net/index.htm gemeint?
Die vorletzte Zeile in rolfpowers post lässt vermuten, dass dieser Eintrag zerschnippelt dargestellt wurde!?
4. CWShredder: Update-Button im Programm zeigt immer „Seite kann nicht angezeigt werden“. Gibt es einen Link zur neuesten Version – ich habe 1.5.9, etwa seit Juli kein update bekommen.

Danke für eure Mühe

Bernd

Hallo Mitdenker,

Zunächst vielen Dank für die Hinweise an rolfpower!
Bevor ich anfange, habe ich noch einige Nachfragen:
1. WIE deaktiviere ich die Systemwiederherstellung???
2. Reihenfolge und Bedingungen: Sollte ich zuerst die Fehleinträge laut RegSupreme löschen, dann erst die Einträge in Hijackthis fixen? Zwischendurch Neustart oder erst am Ende?
3. Einträge im Logfile:
3.1 „R0 – HKCU\Software\Microsoft\Internet Explorer\Main, Start Page = http://www.find-more.net/index.htm“ hat rolfpower nicht genannt: Soll der Eintrag so drin bleiben oder AUCH fixen???
3.2 „R1 – HKCU\ Software\Microsoft\Internet E“:
Ist damit der Eintrag „...Explorer\SearchURL, (Default) = http://www.find-more.net/index.htm gemeint?
Die vorletzte Zeile in rolfpowers post lässt vermuten, dass dieser Eintrag zerschnippelt dargestellt wurde!?
4. CWShredder: Update-Button im Programm zeigt immer „Seite kann nicht angezeigt werden“. Gibt es einen Link zur neuesten Version – ich habe 1.5.9, etwa seit Juli kein update bekommen.

Danke für eure Mühe

Bernd

Hi Bernd Hier mal deine neuen versionen: http://www.windowspower.de/beitrag1431.html

zu Frage 1: | Rechtsklick auf Arbeitsplatz > Systemwiederherstellung |
zu Frage 2: bitte zuerst von HiJackThis
zu Frage 3: ja bitte das auch fixen, das hat rolf anscheinden übersehen, kann mal pasieren (wir sind auch nur menschen)

lg

christian

Jubel!!!

Es scheint "alles" wieder O.K. zu sein:
Habe also zuerst mit Hijackthis die empfohlenen Einträge gefixt - der "R0..." ließ sich erst beim zweiten scan + fix überlisten.
Beim Neustart-Versuch hat sich der Rechner zwar noch mit task beenden "bitten" lassen, aber nach dem Neustart und erneuter Hijackthis-Suche sind keine der 10 gelöschten wieder aufgetaucht. Neuer Logfile siehe unten!
Ein Eintrag macht mir noch Sorgen: was ist mit
"O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe"???

Danach habe ich RegSupreme suchen lassen: 1195 Einträge, 39 wurden korrigiert, 1156 gelöscht.

Nochmal Neustart: Läuft prima, keine verdächtigen Einträge mehr!

Trotzdem noch ne Frage: Wenn ich über Start > Ausführen > regedit in der Registry nach "find" suche, finde ich immer noch 10 Einträge zu "Startpage" und "search" verbunden mit "find-more . . . " bzw. "find-everything . . . " Soll / kann / darf ich die da rauslöschen / ändern / umbenennen???

Ach so: Habe vorab probiert, über Arbeitsplatz > rechter Mausklick > Systemwiederherstellung zu finden: Gibts bei mir nicht! Bin ich zu dumm oder gibts das bei Win98SE nicht?

So, jetzt noch mal ein d i c k e s Lob an die Forumsbetreiber, speziell an rolfpower und Christian! ! ! Das war ne gute Werbung, werde euch wärmstens weiterempfehlen!

Gruß

Bernd

und hier noch der letzte Logfile:

http://www.windowspower.de/fileup/upload/10213.txt

Hallo Kangaroo

Sicherheitshalber löschen: Die Meldung:mit Task beenden liegt daran ,dass der Cache noch voll ist
Verlauf leeren. Mit Reg-Supreme alle Fehleinträge löschen. 2. Durchgang wenn dann da noch Einträge sind, diese einzeln markieren und Mausrechtsklick und in den Registry Editor findest Du den Eintrag wieder,der manuell zu löschen ist. So bekommt man den Laden Super-Mega-Clean.
Sollte danach die mtask.exe noch da sein, so suche sie im Windows\System32\mtask.exe und manuell löschen.

O9 - Extra button: PhoenixNet - {f15e74a0-b5be-11d4-b23f-d0ee50c10000} - http://www.seqdl.com/servlets/Redir?BID=65457&CID=9875 (file missing)
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

Gruss rolfpower

Kurze Rückmeldung:

System macht wieder einen sehr stabilen Eindruck, prima!
Die beiden "09 - Extra button"-Einträge habe ich über Hijackthis auch noch gelöscht.

Auch die "mstask.exe" ließ sich auf gleiche Art vernichten. Aber: Über die Start > Suche finde ich 15 Einträge auf meinem Rechner, darunter "mstask.exe, "mstask.exe1" sowie "mstask.exe2", alle direkt unter c:\Windows\. Einige davon zeigen als letzte Änderung einen Zeitpunkt von vor zwanzig Minuten an.
:question: Was tut "mstask.exe" eigentlich? :question:
Ich sollte ja mit zuerst die "O4 - HKCU\..\Run: [mstask] C:\WINDOWS\mstask.exe" löschen.

Sämtliche "find-more*" und "find-everything*"-Einträge aus dem regedit habe ich manuell gelöscht. Sie sind nicht mehr aufgetaucht.

Danke für die Beantwortung der noch offenen Fragen

Gruß

Bernd

Hallo Kangaroo

Die mstask.exe gehört zu Windows und ist für Updates + Backup's verantwortlich.
Sie installiert sich selbst und in deinem Fall hängt sie als Eintrag ohne Bedeutung irgendwo.

Du solltest den Cache leeren (Verlauf,leeren,Cookies löschen und solltest Du mit der REg-Supreme
nach 2 maligem Scannen noch Einträge haben,so kannst Du sie manulell löschen (unbedenklich)
Markieren >rechtklick> Registry Editor öffnen da wird der bewusste Eintrag angezeigt und gelöscht werden

Frohe Weihnachten rolfpower