Problem mit Startseite, trotz Ad-ware, Sbybot und CWShredder

#1 Hallo liebe Forummitglieder,

ich versuche seit Tagen das Problem mit der Statsteite zu beheben und habe die Tipps alle befolgt und die Programme Ad-ware, Sbybot und CWShredder benutzt. Leider ohne Erfolg. Ich habe dann mit Hijackthis versucht das Problem zu lösen und mit hijackthis.de die File analysieren lassen. Ich habe alles vorgeschlagene gelöscht und das System neu gestartet. Allerdings tragen sich die ersten sechs Zeilen (R0 und R1) immer wieder nach dem ersten Mal Internet nutzen ein, obwohl ich sich fixen lassen habe. Ich nutze Windows 2000, Internet Explorer und WLAN. Kann mir jemand weiterhelfen und sagen wie ich es verhindere, dass sich die Zeilen automatisch wieder eintragen? Vielen Dank im voraus!

Liebe Grüße
Christian

Logfile of HijackThis v1.97.7
Scan saved at 17:31:35, on 27.06.2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\PackethSvc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\d3iy32.exe
C:\WINNT\Explorer.EXE
C:\Programme\Winamp\Winampa.exe
C:\cFosNT\cFosDNT.exe
C:\m.exe
C:\WINNT\system32\syssq.exe
C:\Programme\Microsoft Money\System\reminder.exe
C:\WINNT\System32\windll32.exe
C:\Programme\Psion\PsiWin\Psconsv.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\802.11 Wireless LAN\802.11g Wireless Cardbus & PCI Adapter HW.21 V1.00\WlanCU.exe
C:\PROGRA~1\Psion\PsiWin\Elogerr.exe
C:\Programme\mozilla.org\Mozilla\mozilla.exe
C:\Dokumente und Einstellungen\Big Brother\Eigene Dateien\Virus\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\nmxbr.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://nmxbr.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://nmxbr.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\nmxbr.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://nmxbr.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\nmxbr.dll/sp.html#96676
O2 - BHO: (no name) - {AC369179-08EE-D094-77D5-2292D789A736} - C:\WINNT\system32\mfcne32.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [AutoSpid] C:\WINNT\System32\Digi\PDemon.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [cFosDNT] C:\cFosNT\cFosDNT.exe
O4 - HKLM\..\Run: [mysoft] C:\m.exe
O4 - HKLM\..\Run: [syssq.exe] C:\WINNT\system32\syssq.exe
O4 - HKCU\..\Run: [Oasis] regsvr32 /s "c:\Program Files\Oasis\oasis.dll"
O4 - HKCU\..\Run: [WNST] C:\WINNT\System32\wnsapiit.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Wireless Configuration Utility.lnk = C:\Programme\802.11 Wireless LAN\802.11g Wireless Cardbus & PCI Adapter HW.21 V1.00\WlanCU.exe

#2 Hallo,

Zitat

Leider ohne Erfolg

Das wundert mich nicht bei deinen ungepatchten System.

Lade dir SpHjfix.exe und hier die mwav.exe runter und entpacke diese in den Ordner C:\bases, danach die kavupd.exe (Online-Update) ausführen.

Beende folgende Prozesse im TaskManager:
C:\WINNT\system32\d3iy32.exe
C:\m.exe -> wenn du sie kennst nicht beenden, fixen oder löschen
C:\WINNT\system32\syssq.exe
C:\WINNT\System32\windll32.exe

Diese Einträge fixen:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\nmxbr.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://nmxbr.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://nmxbr.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\nmxbr.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://nmxbr.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\nmxbr.dll/sp.html#96676
O2 - BHO: (no name) - {AC369179-08EE-D094-77D5-2292D789A736} - C:\WINNT\system32\mfcne32.dll
O4 - HKLM\..\Run: [mysoft] C:\m.exe
O4 - HKLM\..\Run: [syssq.exe] C:\WINNT\system32\syssq.exe
O4 - HKCU\..\Run: [WNST] C:\WINNT\System32\wnsapiit.exe

Anmelden im abgesicherten Modus und diese Dateien löschen:
C:\WINNT\system32\mfcne32.dll
C:\m.exe
C:\WINNT\system32\syssq.exe
C:\WINNT\System32\wnsapiit.exe
C:\WINNT\system32\d3iy32.exe
C:\WINNT\System32\windll32.exe

- Temporäre Internet Files löschen
- mit mwav.exe (den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan clean" klicken.) und SpHjfix.exe scannen
- Neustart
- dein System updaten http://v4.windowsupdate.microsoft.com/de/default.asp
- neues Log-File posten
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung

#3 Vielen Dank Cidre! Ich werde es ausprobieren und melde mich dann. Was heisst ungepachtes System?

Ciao Christian

#4 Ungepatchtes System heißt:
Dein Betriebssystem und der Internet Explorer sind nicht am aktuellsten Stand.
Daher Windows auf SP4 und den IE auf 6 SP1 updaten, sowie weitere sicherheitsrelevante Patches aufspielen.
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung

#5 Hallo Cidre,

vielen Dank für Deine Tipps. Ich finde seit den Umzug meine Orgnial CD Windows nicht mehr. Kann ich trotzdem ohne Probleme auf SP4 und IE 6 Sp1 updaten oder geht es nur mit Orginalversion?

Vielen Dank!

Anbei meine aktuelle Log File.

Ciao Christian


Logfile of HijackThis v1.97.7
Scan saved at 21:38:03, on 27.06.2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\PackethSvc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Winamp\Winampa.exe
C:\cFosNT\cFosDNT.exe
C:\Programme\Microsoft Money\System\reminder.exe
C:\Programme\Psion\PsiWin\Psconsv.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\802.11 Wireless LAN\802.11g Wireless Cardbus & PCI Adapter HW.21 V1.00\WlanCU.exe
C:\PROGRA~1\Psion\PsiWin\Elogerr.exe
C:\Programme\mozilla.org\Mozilla\mozilla.exe
C:\Dokumente und Einstellungen\Big Brother\Eigene Dateien\Virus\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [AutoSpid] C:\WINNT\System32\Digi\PDemon.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [cFosDNT] C:\cFosNT\cFosDNT.exe
O4 - HKCU\..\Run: [Oasis] regsvr32 /s "c:\Program Files\Oasis\oasis.dll"
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Wireless Configuration Utility.lnk = C:\Programme\802.11 Wireless LAN\802.11g Wireless Cardbus & PCI Adapter HW.21 V1.00\WlanCU.exe

#6 @linus111

Die REGSVC.EXE (Remote Registry Service) ist ein Systemprozess.
Mit dieser kann man von einem anderen Rechner auf die Registry zugreifen und sie bearbeiten.
Wer diesen Dienst nicht nutzt (was wohl für die Meisten zutrifft) kann ihn deaktivieren....Sicherheitsrisiko

Start<Systemsteuerung<Verwaltung<Dienste


#lade einen Antivir., falls du noch keinen hast.
http://www.free-av.de/


MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#7 @linus111

Die REGSVC.EXE (Remote Registry Service) ist ein Systemprozess.
Mit dieser kann man von einem anderen Rechner auf die Registry zugreifen und sie bearbeiten.
Wer diesen Dienst nicht nutzt (was wohl für die Meisten zutrifft) kann ihn deaktivieren....Sicherheitsrisiko

Start<Systemsteuerung<Verwaltung<Dienste


#lade einen Antivir., falls du noch keinen hast.Stelle ein <alle Dateien scannen<
und mache einmal pro Tag ein Update
http://www.free-av.de/


MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#8 @ linus111

Du kannst ohne Probleme dein System updaten, dafür benötigst du die Windows CD nicht.
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung

#9 vielen Dank für die Tipps. Ich glaube mein System ist jetzt sauber. Ich habe die aktuelle Windows und IE sowie den Antivir installiert. Vielen Dank an Euch!

Anbei meines neues Log File:

Logfile of HijackThis v1.97.7
Scan saved at 00:29:16, on 29.06.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Winamp\Winampa.exe
C:\cFosNT\cFosDNT.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Psion\PsiWin\Psconsv.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\802.11 Wireless LAN\802.11g Wireless Cardbus & PCI Adapter HW.21 V1.00\WlanCU.exe
C:\PROGRA~1\Psion\PsiWin\Elogerr.exe
C:\Dokumente und Einstellungen\Big Brother\Eigene Dateien\Virus\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [AutoSpid] C:\WINNT\System32\Digi\PDemon.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [cFosDNT] C:\cFosNT\cFosDNT.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [Oasis] regsvr32 /s "c:\Program Files\Oasis\oasis.dll"
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Wireless Configuration Utility.lnk = C:\Programme\802.11 Wireless LAN\802.11g Wireless Cardbus & PCI Adapter HW.21 V1.00\WlanCU.exe

#10 @linus111
Sieht gut aus, aber du solltest noch Sabinas Tipp befolgen:

Zitat

Die REGSVC.EXE (Remote Registry Service) ist ein Systemprozess.
Mit dieser kann man von einem anderen Rechner auf die Registry zugreifen und sie bearbeiten.
Wer diesen Dienst nicht nutzt (was wohl für die Meisten zutrifft) kann ihn deaktivieren....Sicherheitsrisiko

Start<Systemsteuerung<Verwaltung<Dienste

__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung