Unerwünschte Startseite http:// 213.159.117.132

#1 Hallo zusammen,

seit gestern habe ich immer wieder die Startseite http://213.159.117.132/ oder ähnlich.

Habe es schon mit Hijack, Registry Mechanic, CWShredder, Ad-aware 6, spybot versucht, jedoch kein Erfolg.
Wer kann mir weiterhelfen.

Gruß Andi

Logfile of HijackThis v1.97.7
Scan saved at 12:19:22, on 01.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\wintime.exe
C:\Programme\1&1 Programme\cFos1\cFosDNT.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\mstasks2.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Dokumente und Einstellungen\....\Startmenü\Programme\Eigene\PITray.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\WinSweep\WSMonitor.exe
C:\Programme\Microsoft Office\Office\1031\msoffice.exe
C:\WINDOWS\system32\fxssvc.exe
C:\Programme\Registry Mechanic\RegMech.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\.....\Eigene Dateien\Downloads\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.132/redir.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.132/redir.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.132/redir.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.132/redir.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.132/redir.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.132/redir.php
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinTime] C:\WINDOWS\system32\wintime.exe
O4 - HKLM\..\Run: [cFosDNT] C:\Programme\1&1 Programme\cFos1\cFosDNT.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Upgrade Service] C:\WINDOWS\winupd.exe
O4 - HKLM\..\Run: [ist service uninstall] C:\WINDOWS\mstasks2.exe /u
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [WINSWEEP] C:\Programme\WinSweep\WinSweep.Exe /AUTO
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: PowerInfo SpeedInfo.lnk = ?
O8 - Extra context menu item: &Google Search - res://c:\programme\google\googletoolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\googletoolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\googletoolbar2.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38138.4003240741

#2 Fix:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.132/redir.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.132/redir.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.132/redir.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.132/redir.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.132/redir.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.132/redir.php
O4 - HKLM\..\Run: [Upgrade Service] C:\WINDOWS\winupd.exe
O4 - HKLM\..\Run: [ist service uninstall] C:\WINDOWS\mstasks2.exe /u

Schick die Dateien C:\WINDOWS\winupd.exe
C:\WINDOWS\system32\wintime.exe

an:

Spam-Email@gmx.net

MFG
DAFRA


P.s.
Weis wer was das ist:
O4 - HKLM\..\Run: [WinTime] C:\WINDOWS\system32\wintime.exe

#3 Hat leider nichts genutzt.

Startseite kommt wieder und auch die mit Hijack entfernten Dateien.

Wer weis Rat ?

Gruß Andi

#4 Hallo Andi!
Ich sehe grade, du hast die selbe hübsche Startseite wie ich - oder hast du dein Problem schon gelöst? Wenn nicht, ein user namens PAFF hat mir da sehr weitergeholfen. Hat irgendwas mit den Dateien
C:\WINDOWS\system32\wintime.exe
und
C:\WINDOWS\system32\system32.exe
zu tun. Wenns dich noch interessiert, schau in mein posting "Ein weiteres Hijack Opfer bittet um Hilfe"
Grüsse,
Gunni

#5 @All

hier der Link zu "Ein weiteres Hijack Opfer bittet um Hilfe"
http://board.protecus.de/t10415.htm

DIesen wintime EIntrag kannste auf jedenfall fixen
O4 - HKLM\..\Run: [WinTime] C:\WINDOWS\system32\wintime.exe

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware