HighjackThis log - Startseite auf Homepage.com |
||
---|---|---|
#0
| ||
02.06.2004, 15:50
...neu hier
Beiträge: 2 |
||
|
||
02.06.2004, 15:57
Member
Beiträge: 1122 |
#2
Fix:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://homepage.com%00@www.e-finder.cc/hp/ (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://homepage.com%00@www.e-finder.cc/hp/ (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Lycos Europe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank R3 - URLSearchHook: VeriSign Inc. i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\PROGRAMME\VERISIGN\I-NAV\I-NAV_4_1_3.DLL F1 - win.ini: load=C:\TBridge\Flatbed.exe N1 - Netscape 4: user_pref("browser.startup.homepage", ""); (C:\Programme\Netscape\Users\gustke\prefs.js) O2 - BHO: (no name) - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\PROGRAMME\VERISIGN\I-NAV\I-NAV_4_1_3.DLL O2 - BHO: (no name) - {834261E1-DD97-4177-853B-C907E5D5BD6E} - C:\DPE.DLL O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file) O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [Shell] C:\WINDOWS/DOWNLO~1/tray.exe O4 - HKCU\..\Run: [Lawe] C:\WINDOWS\Anwendungsdaten\sata.exe O14 - IERESET.INF: START_PAGE_URL=http://www.lycos.de/ MFG DAFRA P.s. Lad dir mal en Virenscanner runter ( www.free-av.de ) Falls ich was vergessen haben sollte, SRY ich bin Müde. |
|
|
||
02.06.2004, 16:03
...neu hier
Themenstarter Beiträge: 2 |
#3
sorry, jetzt ging'S doch - hatte beim fixing noch ein fenster geoffnet...
nein, kein virus... f-prot hat geprueft... also nochmal: wenn HjT die zeilen R0 fixt, bleibt meine startseite genau einen start erhalten. dann startet der IE wieder mit homepage.com und beim naechsten scan erscheinen die beiden zeilen wieder. scannen, fixen, scannen, fixen, scannen... das kann es ja nicht sein. Dieser Beitrag wurde am 02.06.2004 um 16:56 Uhr von gustke editiert.
|
|
|
||
09.06.2004, 12:04
...neu hier
Beiträge: 3 |
#4
Habe mich wochenlang mit "homepage.com" als immer wiederkehrender Startseite rumgeschlagen und bin sie kürzlich mit der neuesten Version von cwshredder losgeworden. Gruß, aris1
|
|
|
||
10.06.2004, 09:37
...neu hier
Beiträge: 1 |
#5
Glückwunsch aris1 !
Bei mir bleibt auch mit der neuesten cwshredder Version alles beim alten. Wie guske schon sagte: scannen, fixen,scannen, fixen,scannen, fixen,..... Also ich werde dieses Homepage.com auch nicht los. Ausserdem löscht sich bei mir seit sich dieser jacker eigenistet hat bei jedem neustart die Adressen Zeile automatisch ;-(( Kann es sein das man den betroffenen dll im system32 löschen muß?? Nur welchen??? Vielleicht ist ja jemand schlauer als wir!!?? Gruß Markus |
|
|
||
11.06.2004, 15:49
...neu hier
Beiträge: 3 |
#6
Mein entscheidender Tip kam vom www.wilderssecurity.com - Forum (search:"homepage.com"; thread-Beitrag vom 26.2.04); laut backup-Liste von hijackthis habe ich aber direkt vor cwshredder-Einsatz auch noch R0- und R1-Items gefixt. Alle Items mit"homepage.com""efinder""%65%68%...." waren natürlich auch gefixt.
Unter www.trojaner-board.de findet sich auch einiges zum Thema. Viel Glück, aris1 Dieser Beitrag wurde am 11.06.2004 um 16:05 Uhr von aris1 editiert.
|
|
|
||
11.06.2004, 22:16
Ehrenmitglied
Beiträge: 29434 |
#7
@Hepcat
Es gibt dlls, welche die Tools nicht entfernen. Deshalb sollten sie auch manuell geloescht werden. Um zu sehen, was auf deinem Comp. los ist, lade den HijackThis, scanne, save und kopiere das Log ins Forum. http://board.protecus.de/t9391.htm MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 11.06.2004 um 22:16 Uhr von Sabina editiert.
|
|
|
||
11.06.2004, 22:25
Ehrenmitglied
Beiträge: 29434 |
#8
@Gustke
Lade von dieser Site AdAware...free Spybot CWShredder Sphjfix.exe http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html ................................................................................................. scanne mit dem HijackThis, hake an, was ich poste und dann \fix\ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://homepage.com%00@www.e-finder.cc/hp/ (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://homepage.com%00@www.e-finder.cc/hp/ (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank O2 - BHO: (no name) - {834261E1-DD97-4177-853B-C907E5D5BD6E} - C:\DPE.DLL O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file) neustarten 1.scanne ohne Internetverbindung mit den Tools, die du geladen hast. 2.Dann loesche unter InternetOptionen die TemporaryInternetFiles und stelle die Startseite neu ein 3.Dann lade die mwav.exe und scanne http://www.mwti.net/antivirus/free_utilities.asp 4. Lade den Firefox als Zweit/und SurfBrowser...ist hijackerfrei http://www.firebird-browser.de/ 5. Aktualisiere den IE http://www.microsoft.com/windows/ie_intl/de/ie6sp1.mspx Poste das EndLog von diesem mwav.exe Scann, sowie das neuen Log vom HijackThis. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 11.06.2004 um 22:40 Uhr von Sabina editiert.
|
|
|
||
noch nie sowas hartnaeckiges gehabt...
bin natuerlich fuer hilfe dankbar!
hier das logfile:
Logfile of HijackThis v1.97.7
Scan saved at 15:42:27, on 02.06.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.50 SP1 (5.50.4522.1800)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\ZONELABS\MINILOG.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\ZSTATUS.EXE
C:\WINDOWS\EXPLORER.EXE
C:\TBRIDGE\FLATBED.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\PDESK\PDESK.EXE
C:\WINDOWS\NEWMIXER.EXE
C:\LOGITECH\MOUSE\SYSTEM\EM_EXEC.EXE
C:\PROGRAMME\LOGITECH\ITOUCH\ITOUCH.EXE
C:\PROGRAMME\WINPORTRAIT\WPCTRL.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZONEALARM.EXE
C:\PROGRAMME\SYMANTEC\WINFAX\WFXCTL32.EXE
C:\PROGRAMME\CAPI MONITOR 1.04 DT\CAPIMON.EXE
C:\PROGRAMME\FINEPIXVIEWER\QUICKDCF.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\SPYWAREBLASTER\SPYWAREBLASTER.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://homepage.com%00@www.e-finder.cc/hp/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://homepage.com%00@www.e-finder.cc/hp/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Lycos Europe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R3 - URLSearchHook: VeriSign Inc. i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\PROGRAMME\VERISIGN\I-NAV\I-NAV_4_1_3.DLL
F1 - win.ini: load=C:\TBridge\Flatbed.exe
N1 - Netscape 4: user_pref("browser.startup.homepage", ""); (C:\Programme\Netscape\Users\gustke\prefs.js)
O2 - BHO: (no name) - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\PROGRAMME\VERISIGN\I-NAV\I-NAV_4_1_3.DLL
O2 - BHO: (no name) - {834261E1-DD97-4177-853B-C907E5D5BD6E} - C:\DPE.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINDOWS\SYSTEM\PDesk\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [C-Media Mixer] C:\WINDOWS\NewMixer.exe /startup
O4 - HKLM\..\Run: [EM_EXEC] c:\LOGITECH\MOUSE\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] C:\PROGRA~1\LOGITECH\iTouch\iTouch.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [PivotSoftware] C:\Programme\WinPortrait\wpctrl.exe
O4 - HKLM\..\Run: [Shell] C:\WINDOWS/DOWNLO~1/tray.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [hp 1000 firmware] C:\Programme\hp LaserJet 1000\fwdl.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [MiniLog] C:\WINDOWS\SYSTEM\ZONELABS\MINILOG.EXE -service
O4 - HKCU\..\Run: [Lawe] C:\WINDOWS\Anwendungsdaten\sata.exe
O4 - Startup: Controller.LNK = Symantec\WinFax\WFXCTL32.EXE
O4 - Startup: Verknüpfung mit Capimon.exe.lnk = C:\Programme\CAPI Monitor 1.04 dt\Capimon.exe
O4 - Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Exif Launcher.lnk = FinePixViewer\QuickDCF.exe
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Hilfe zu i-Nav (HKLM)
O9 - Extra 'Tools' menuitem: Hilfe zu i-Nav (HKLM)
O9 - Extra 'Tools' menuitem: Optionen für i-Nav (HKLM)
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.lycos.de/