Nahezu unmöglich "www.greatsearch.biz" aus der Startseite zu entfernen |
||
---|---|---|
#0
| ||
28.05.2004, 23:37
...neu hier
Beiträge: 2 |
||
|
||
29.05.2004, 00:54
Member
Beiträge: 175 |
#2
raman würde jetzt sagen das du dir das mal durchlesen solltest!
http://www.rokop-security.de/main/article.php?sid=703 http://www.rokop-security.de/main/article.php?sid=746 __________ there's no place like 127.0.0.1 |
|
|
||
29.05.2004, 12:53
Member
Beiträge: 1122 |
#3
Fix:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://greatsearch.biz/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://greatsearch.biz/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://greatsearch.biz/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://greatsearch.biz/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://greatsearch.biz/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://greatsearch.biz/ O4 - HKLM\..\Run: [MSZTCE] F:\WINDOWS\System32\MSZTCE.EXE O4 - HKLM\..\Run: [sys] regedit -s sys.reg O16 - DPF: {093F9CF8-0DE1-491C-95D5-5EC257BD4CA3} - http://akamai.downloadv3.com/binaries/IA/dtc32_EN_XP.cab O16 - DPF: {42F2D240-B23C-11D6-8C73-70A05DC10000} - http://www.oyunfabrikasi.com/as/2/060172as.exe Kannst du mir bitte die Datei F:\WINDOWS\System32\MSZTCE.EXE schicken, An: Spam-Email@gmx.net MFG DAFRA |
|
|
||
30.05.2004, 11:40
...neu hier
Themenstarter Beiträge: 2 |
#4
Hallo Dafra,
Wir haben die angegebenen Zeilen gefixt, aber die gewünschte Wirkung leider nicht erzielt -> immer noch greatsearch.biz . Die Datei kann nicht üübermittelt werden, da sie offensichtlich auf der Festplatte nicht mehr vorhanden ist. Diese Seite ist eine Plage und geht sichtlich einfach nicht mehr Weg. Bin für jeden Rat dankbar, lg, Harri Nach deinen Anweisungen hier, neu erstelltes Log: Logfile of HijackThis v1.97.7 Scan saved at 11:42:52, on 30.05.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: F:\WINDOWS\System32\smss.exe F:\WINDOWS\system32\winlogon.exe F:\WINDOWS\system32\services.exe F:\WINDOWS\system32\lsass.exe F:\WINDOWS\system32\svchost.exe F:\WINDOWS\System32\svchost.exe F:\WINDOWS\system32\logonui.exe F:\WINDOWS\Explorer.EXE F:\WINDOWS\system32\spoolsv.exe F:\PROGRA~1\MediaKey\MediaKey.EXE G:\programme\inCd\InCD.exe F:\WINDOWS\SOUNDMAN.EXE G:\programme\quick time\qttask.exe G:\programme\internetz\Dragdiag.exe F:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE F:\Programme\AVPersonal\AVGNT.EXE F:\Programme\Java\j2re1.4.2_03\bin\jusched.exe F:\WINDOWS\System32\ctfmon.exe F:\Programme\Messenger\msmsgs.exe F:\Programme\Skype\Phone\Skype.exe G:\programme\Distillr\AcroTray.exe F:\Programme\AVPersonal\AVGUARD.EXE F:\Programme\AVPersonal\AVWUPSRV.EXE F:\WINDOWS\System32\nvsvc32.exe F:\Programme\Internet Explorer\iexplore.exe F:\WINDOWS\System32\wuauclt.exe F:\Dokumente und Einstellungen\Gerhard\Lokale Einstellungen\Temp\Temporäres Verzeichnis 6 für hijackthis1977.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://greatsearch.biz/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://greatsearch.biz/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://greatsearch.biz/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://greatsearch.biz/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://greatsearch.biz/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://greatsearch.biz/ O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - g:\programme\Acrobat\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [MediaKey] F:\PROGRA~1\MediaKey\MediaKey.EXE O4 - HKLM\..\Run: [InCD] G:\programme\inCd\InCD.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [QuickTime Task] "G:\programme\quick time\qttask.exe" -atboottime O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "G:\programme\internetz\Dragdiag.exe" /icon O4 - HKLM\..\Run: [LWBMOUSE] F:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE O4 - HKLM\..\Run: [AVGCtrl] F:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [SunJavaUpdateSched] F:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [NeroCheck] F:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "F:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Yahoo! Pager] G:\programme\yahoo\Messenger\ypager.exe -quiet O4 - HKCU\..\Run: [Skype] "F:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - Global Startup: Acrobat Assistant.lnk = G:\programme\Distillr\AcroTray.exe O4 - Global Startup: Microsoft Office.lnk = G:\programme\officexp\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\Office10\EXCEL.EXE/3000 O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM) O9 - Extra button: Descarregas (HKLM) O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20021126/qtinstall.info.apple.com/dribnif/de/win/QuickTimeInstaller.exe O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://pub.plan.at/mgaxctrlde.cab O16 - DPF: {91413D86-9F27-402C-B5E3-DEBDD122C339} - http://content.netvenda.com/sites/games-intl/at/games4.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{E777F2F7-CB94-4492-A0F6-1981B29A4C08}: NameServer = 131.130.1.11 131.130.1.12 Dieser Beitrag wurde am 30.05.2004 um 12:02 Uhr von oberst-klink editiert.
|
|
|
||
Ohne viele blumige Wort komm' ich gleich zu des Pudels Kern:
Das Problem alt-bekannt, am PC einer Freundin von mir hat sich eine Seite den IExplorer unter den Nagel gerissen:
Folgende Log Datei wurde von mir auf ihrem PC erstellt, ber man gelangt nicht immer auf die Seite die uten steht sondern auch manchmal auf IP adressen wie 212.116.123.594 o.ä.
Ich hab einmal versucht mit Hijack alle R-Zeilen zu fixen, aber das hat 0 gebracht.
Hier das Log:
Logfile of HijackThis v1.97.7
Scan saved at 23:23:30, on 28.05.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\Explorer.EXE
F:\WINDOWS\system32\spoolsv.exe
F:\PROGRA~1\MediaKey\MediaKey.EXE
G:\programme\inCd\InCD.exe
F:\WINDOWS\SOUNDMAN.EXE
G:\programme\quick time\qttask.exe
G:\programme\internetz\Dragdiag.exe
F:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE
F:\Programme\AVPersonal\AVGNT.EXE
F:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
F:\WINDOWS\System32\ctfmon.exe
F:\Programme\Messenger\msmsgs.exe
F:\Programme\Skype\Phone\Skype.exe
G:\programme\Distillr\AcroTray.exe
F:\Programme\AVPersonal\AVGUARD.EXE
F:\Programme\AVPersonal\AVWUPSRV.EXE
F:\WINDOWS\System32\nvsvc32.exe
F:\WINDOWS\System32\wuauclt.exe
F:\Dokumente und Einstellungen\Gerhard\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis1977.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://greatsearch.biz/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://greatsearch.biz/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://greatsearch.biz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://greatsearch.biz/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://greatsearch.biz/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://greatsearch.biz/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - g:\programme\Acrobat\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [MediaKey] F:\PROGRA~1\MediaKey\MediaKey.EXE
O4 - HKLM\..\Run: [InCD] G:\programme\inCd\InCD.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "G:\programme\quick time\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "G:\programme\internetz\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [LWBMOUSE] F:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE
O4 - HKLM\..\Run: [MSZTCE] F:\WINDOWS\System32\MSZTCE.EXE
O4 - HKLM\..\Run: [AVGCtrl] F:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] F:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] F:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [sys] regedit -s sys.reg
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "F:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] G:\programme\yahoo\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [Skype] "F:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Acrobat Assistant.lnk = G:\programme\Distillr\AcroTray.exe
O4 - Global Startup: Microsoft Office.lnk = G:\programme\officexp\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: Descarregas (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {093F9CF8-0DE1-491C-95D5-5EC257BD4CA3} - http://akamai.downloadv3.com/binaries/IA/dtc32_EN_XP.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20021126/qtinstall.info.apple.com/dribnif/de/win/QuickTimeInstaller.exe
O16 - DPF: {42F2D240-B23C-11D6-8C73-70A05DC10000} - http://www.oyunfabrikasi.com/as/2/060172as.exe
O16 - DPF: {5F426A93-0821-47D2-A126-5A48A874B289} (DialerWeb Class) - http://212.145.159.194/251065/dialercab/WebRecomendada.cab
O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://pub.plan.at/mgaxctrlde.cab
O16 - DPF: {91413D86-9F27-402C-B5E3-DEBDD122C339} - http://content.netvenda.com/sites/games-intl/at/games4.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E777F2F7-CB94-4492-A0F6-1981B29A4C08}: NameServer = 131.130.1.11 131.130.1.12
Wenn mir da wer helfen kann, vielen lieben Dank,
Harri